第三方支付机构主要问题及其风险控制点

　　近日，央行拟出台《支付机构网络支付业务管理办法》并征求意见，其主要内容包括：一是支付机构不得为金融机构以及从事融资、理财、担保、货币兑换等金融业务的其他机构开立支付账户。二是支付机构应对转账转入资金进行单独管理，转入资金只能用于消费和转账转出，不得向银行账户回提。三是个人支付账户转账单笔金额不得超过 1000元，同一客户所有支付账户转账年累计金额不得超过1万元。个人支付账户单笔消费金额不得超过 5000元，同一个客户所有支付账户消费月累计金额不得超过1万元。超过限额的，应通过客户的银行账户办理。

　　该意见稿一出，第三方支付机构如坐针毡，直呼此举乃“央行对第三方支付机构的围剿”.我们就一些典型的市场观点和事件加以全方位整理，并给出解决建议，以飨读者。

　　一、第三方支付机构现状。

　　第三方支付是具备一定实力和信誉保障的独立机构，采用与各大银行签约的方式，提供与银行支付结算系统接口的交易支持平台的网络支付模式。第三方支付机构业务模式如图1所示。在通过第三方支付平台的交易中，消费者选购商品后，使用第三方平台提供的账户进行支付，由第三通知商户货款到达、进行发货。消费者检验物品后，就可以通知付款给商户，第三方再将款项转至商户账户。

　　第三方支付作为目前主要的网络交易手段和信用中介，最重要的是通过在网上商户和银行之间建立中间站，实现第三方监管和技术保障的作用。

　　据统计，2013年中国第三方支付市场交易规模达53729. 8亿元，同比增长46. 8%,整体市场持续高速增长。

　　特别是2013年间，与金融的深度合作，使第三方支付公司找到了新的业务增长点。截至目前，央行累计发放250多张非金融机构支付许可证，其中从事互联网支付和移动支付的超过三成。2013年第三季度中国第三方支付企业中市场份额占据前五位的分别是支付宝（48. 8%}、财付通（18. 7%},好易联、快钱和汇付天下。

　　二、第三方支付机构暴露出的主要问题。

　　1.银行存款被蚕食可能造成对金融安全的冲击。第三方支付机构的线上支付业务以方便快捷的特性，迅速打破了传统银行支付独大的局面，并且迅速逼近了传统金融机构的市场份额。“第三方支付和虚拟账户的发展，基本绕开了银联和银行。”一位业内人士表示。现在不少第三方支付机构用较高的年化收益率作为竞争手段，变相高息揽存，导致银行活期存款被分流，从而给银行带来了流动性压力。在第三方支付机构大量吸引资金的同时，市场利率上升会传导到实体经济，增加了融资成本，转而又加剧企业债务资金链的紧张。同时，这部分资金的流向并未纳入监管范围之内。央行可以通过商业银行的存款增减货币供给，却无法直接控制第三方支付机构的资金头寸，这间接削弱了政府的货币政策实施。当银行的存款锐减，其信用创造能力大跌，一旦发生金融危机，央行的利率调节作用将大幅度削弱。另一方面，支付账户的余额仅代表支付机构的企业信用，法律保障机制远低于受严格监管的商业银行，一旦第三方支付机构本身出现风险，这种风险可能会由开户人承担。如果某家达到一定规模的第三方支付机构倒闭，中国可能陷入金融危机的泥沼。

　　2.违规巨额套现或非法洗钱。

　　第三方支付平台大多可以代行银行职能，直接支配交易款项，因此可能会出现不受有关部门监管，而越权调用交易资金的风险，也可能成为虚假交易实现资金非法转移套现或是洗钱的渠道。据报道，在2014年1月，浙江、福建、湖北等省部分持卡人通过向信用卡内存入大额溢缴款，利用预授权完成交易需在预授权金额115%范围内予以付款承兑的业务特性，与部分支持预授权类交易的特约商户勾结，合谋套取发卡银行额外信用额度。经核实的湖北辖内累计交易金额高达8.6亿元，全国预计100 亿元的涉案金额。据统计，仅上海汇付在一个多月内一共交易了近 800 笔信用卡预授权类交易，金额近7亿元。通过第三方支付机构发放的预授权 POS 机，用户可以套取银行的资金，实现“无息用款”.当恶意套现者通过虚假购物的形式利用第三方支付平台进行透支刷卡时，交易资金由信用卡账户进入第三方支付账户，商家获得消费者支付的货款后从银行取现，再返还给买家。整个过程没有真实的货物交易，只是在网上走了一个流程，就实现了信用卡套现。部分第三方支付机构在开展银联卡业务过程中，在直接与商业银行建立连接的同时存在变造交易类型、套用商户类别码（MCC）等违规情况，导致商业银行无法准确识别交易场景和客户真实交易行为，难以有效实施风险管控，容易掩盖伪卡欺诈、网络欺诈。而通过这样一个过程，实现了隐匿资金源头的功能，也为非法资金注入金融体系洗钱提供了可能。

　　3.资金沉淀问题。消费者将结算资金存入第三方支付机构的账户，然后第三方支付机构再将资金支付给商户的过程中，由于时间差产生了沉淀资金。作为“资金保管人”的第三方支付机构，始终不具备对资金的所有权，随着第三方支付平台用户数量的急剧增加，资金沉淀量将会非常巨大，如果沉淀资金得不到有效的管理，可能导致金融风险。

　　加之结算周期的不同，如何分配这部分存款的利息，也成了一大问题。

　　银行和消费者可能并不清楚，第三方支付机构将他们存放在其账户上的资金用在哪里。沉淀资金有可能被第三方支付机构用来进行投资，以获取额外的收益。若资金在投资过程中具有较大的风险，将直接影响客户结算资金。美国的法律对沉淀资金的定位，有着明确的规定：美国联邦存款保险公司认定第三方网上支付平台上的沉淀资金是负债而非存款，需存放在有保险公司保险的银行的无息账户中，每个用户账户的保险额上限为10万美元。如果该机构的结算金额超过了500 亿美元，就需要进行定期的压力测试，以估算第三方支付机构遭受损失的承压能力，从而将风险控制在一定范围内，保障消费者利益。

　　4.支付信息屡屡被盗用。随着第三方支付机构向移动互联网迁移，用户身份认证及其支付信息问题越来越突出。为提升用户体验，牺牲了一定的安全性。部分非金融机构在业务开展过程中通过截磁截密、私自留存持卡人敏感信息，也让持卡人的账户信息安全受到威胁。而一些钓鱼网站、伪装成收银员刷卡偷录词条信息、盗取密码等情形越来越让人防不胜防。近期，某宝被盗刷的现象频频曝光。一些犯罪嫌疑人利用部分第三方支付金融终端窃取银行卡信息，盗取持卡人信息。有电商观察者称：“支付平台的风险关键存在于快捷‘支付密码’的设置上，当手机和银行卡绑定后，捡到手机的人不需要输入卡号，就可以获取密码。这是支付平台存在的巨大隐患，而且这个隐患越来越严重。”归根结底，这类更为快捷的第三方支付与网银支付的最大区别是不需要跳转到银行网关，这无疑增加了风险。在实际操作中，用户账户被盗后，其资金会被迅速转入别的账户，而且不容易直接找到真实的资金流入主体，难以追踪到窃贼并向其主张索赔。另一方面，对于账户被盗信息，用户未必能及时知晓，也就难以进行及时、有效的事后弥补。

　　三、第三方支付机构的风险控制要点。

　　针对以上风险敞口，我们建议要从监管机构和第三方机构自身双管齐下，令金融创新与防范风险并行不悖。

　　1.监管层面疏导风险。（1）制定统一的监管标准。作为新技术、新模式的第三方支付在发展过程中也带来了一系列的金融风险，如操作风险、合规风险、资金安全风险、信用风险、信用卡套现、市场风险、欺诈风险、钓鱼攻击等。在第三方支付行业创新加速的同时，如果风险控制没有跟上，则创新就没有了游戏的规则可言，无疑是危险的。有学者指出，近年来，针对第三方支付的制度和监管环境有所改变，但是目前在风险控制方面缺乏一套统一认证标准。第三方支付本属于互联网行业，而其作为金融机构的非传统营销渠道销售金融产品，涉及资金的清分和结算，业务主体是资金的收付，但却未完全纳入金融监管体系，未能与商业银行等接受同样严格的监管，也就是说相应的风险可能未能有相应的风险管理措施，比如提取风险准备金。作为互联网企业，其从事金融业务，风险上限究竟该如何设定？换一个问题，目前中国市场上所谓的“互联网金融创新产品”宝宝们，是否就是实质的“金融创新”?

　　当前中国第三方支付机构的法律法规体系、技术和业务标准、监管部门的日常动态监管能力，都有待完善或构建，而风险控制标准的确立需要央行、银监会和工信部门等主管部门的协调进行。（2）反洗钱。为防止第三方支付成为洗钱犯罪的“新乐园”,第三方支付机构应被纳入洗钱金融监管，加强对其的合规监管和汇报制度。通过采取严谨有序的系统实施方法取得较为满意的效果：

　　一是实施风险聚焦情境。通过执行系统化的情境选择流程，机构就能够根据其反洗钱风险概况选择合适的情境。实施基于风险的适当情境可以提高金融机构合规人员的效率。

　　二是深入了解源数据和覆盖面。在反洗钱项目中经常会被发现与源系统或交易代码有关的数据结构问题。

　　在实施时必须应对这些问题，确保输入至反洗钱交易监控系统的数据准确和充分。三是持续的情境和标准维护流程。如果缺乏系统化的标准制定和调整流程，反洗钱实施过程将会困难重重。机构可以借鉴相关经验教训通过一个持续的方法来制定（限度）和调整情境标准。四是高效的部署流程。成立项目管理办公室（PMO）能推动各个团体之间的协调，共同部署完善的监控系统。

　　2.企业层面管理风险。（1）全面建造信息安全体系。第三方支付机构在网络支付的风险控制中，效率与安全的平衡至关重要，风险控制不能以牺牲效率和用户体验为代价。但是如果没有足够的风险控制能力，只是一味地追求用户体验而省略验证程序，会让持卡人的账户信息安全受到严重威胁。我们认为，信息安全体系由四大部分构成：信息安全制度体系、信息安全组织体系、信息安全管理流程以及信息安全技术实施。信息安全亦不仅限于企业的通信和系统安全，企业数据及用户数据保护也是企业安全防护中的一个重要部分。企业核心系统的稳定与安全是业务正常开展的基础条件，而影响其稳定与安全的因素可能来源于支撑核心系统运行的IT基础架构，如操作系统、网络设备等环节，也可能来自系统本身的影响。因此企业必须制定、执行及持续优化IT安全管理流程，包括有效地管理IT资产与IT风险，确保实现管理层目标。当前的商业环境中，对IT环境的威胁日益增多，这些威胁的目标是企业重要的信息、人员、流程和技术。企业应实施必要的技术安全手段，以确保信息系统和网络的安全。

　　这些技术手段包括且不限于部署防火墙、路由器、入侵检测及防御软件、防病毒软件并进行恰当配置，企业还应定期对信息系统及网络进行漏洞检测、模拟攻击测试、黑盒/白盒测试、脆弱点评估、内外部网络渗透测试、恶意代码和移动代码防范、隐私和可接受使用测评等，以有效识别潜在的安全技术弱点和漏洞。（2）企业全面风险管理。实施企业全面风险管理过程，实现“内嵌式”的“全面”风险管理，能够极大地保护和提升企业价值，主要体现在以下三个方面：一是优化风险管理成本，实现成本效益最大化。协调风险偏好与战略的关系，确保两者间匹配；正确厘定交易固有风险的价格；综合风险转移和风险接受决策；裁减冗余活动。二是改善经营绩效。引入系统化的风险评估流程，提高管理层对风险管理的信心；深化对影响收益和资本的风险的认识；预见和沟通绩效目标中固有的不确定因素；改善合规和风险应对措施；减少经营损失和意外事件；提高应对变革的就绪程度。三是建立竞争优势。将风险管理同经营规划和战略制定结合；实施更强劲高效的风险评估流程；改善对全企业共同风险的管理；改善资本利用及资源调配；确保风险承担与核心业务竞争力相符；保护声誉和品牌形象。（3）PCI DSS认证与商户准入风险评级。大力推广支付卡行业数据安全标准（PCI DSS,Payment Card Industry Data SecurityStandard）认证，提升支付账户的数据安全，以保障商家和服务提供商存储、处理和传输信用卡数据的安全性。例如，由具有资质的人员执行网络测试，识别第三方支付机构网络中存在的漏洞。作为目前国际上最为权威的支付卡安全合规评估和验证体系，PCI DSS的推广对于中国电子支付行业发展有着非常积极的促进作用。保障流程和安全技术的实施将为第三方支付机构高速发展的业务保驾护航，使得运转更加可控和稳健。

　　通过时间累积数据建立可参考的模型，第三方支付机构可结合传统信用评分模型，找到筛选和评估出优质客户和高风险商户的方法和渠道。在商户运营风险监控上开发出针对各个行业及将客户分级的风险控制模型，让系统能够智能化地及时反馈出一些违规行为，比如套现、欺诈、洗钱，确保第三方支付行业的规范化及合法化。同时能够对于商户的资金流动、交易模式、交易行为做出判定，在控制风险的基础上最大化商户收益。