互联网支付的风险与防控
互联网支付的风险与防控荫中国工商银行股份有限公司结算与现金管理部王正萍
【摘要】近年来,互联网支付 伴随国内电子商务快速发展而 崛起,支付模式多样、体量庞 大、增长迅猛,但国内对互联网 支付的管理还处于有待完善的 阶段。近两年陆续出现了一系 列风险事件,引发了消费者的 投诉和质疑,对整个行业的发 展造成了不利影响。在继续推 动互联网支付发展的同时,也 迫切需要加强对其风险的分析 和防范,并完善配套的监控和 管理机制。本文试对国内互联 网支付风险进行研究和分析,揭示制约行业风险控制的问题,并提出加强互联网支付业 务风险防范的建议和措施。【关键词】互联网支付电子商务备付金管理信息不对称一、互联网支付概述
(一)发展背景。近年来,国内电子商务
行业发展迅猛,陆续涌现出以淘宝、京东、
苏宁为代表的大型电商平台,以及一大批
涉及购物、旅游、民生等各个领域、各种规
模的电商企业。互联网技术的广泛应用,给
予电商行业以有力的支持,并且这种影响
力正在逐步渗透到传统的金融行业。基于
电子商务需求而衍生的互联网支付,已经
成为目前主流的支付方式之一。
国内互联网支付的服务供应商现在主
要有五类。一是独立的第三方支付企业,比
如快钱、易宝支付等;二是国内电子商务平
台价值链延伸的在线支付工具,比如支付
宝、财付通、易付宝等;三是银行阵营,比如
中国银联的ChinaPay、各家银行传统的网
上银行,以及以建设银行“善融商务”为代
表的银行系电商平台;四是依托社交平台
延伸的支付工具,如支付,虽然规模
小,但增长势头迅猛;五是以中国移动等运
营商为代表的移动支付企业,现阶段数量
还比较少。目前,国内取得央行非金融支付
牌照的支付机构(以下简称“支付机构”)已
超过200家,国内网购用户2.5亿,2012年
互联网支付交易额达到3.7万亿元,互联
网支付市场已经进人了同质化竞争日趋激
烈的高速发展阶段。
(二)互联网支付的主要模式。互联网
支付主要可分为银行支付模式和支付机构
支付模式。银行支付模式的服务供应商是
商业银行为代表的金融机构,支付机构支
付模式的服务供应商是以支付宝为代表的
支付机构。与传统的支付结算业务相比,互
联网支付交易规模庞大、业务量增长的爆
发力强,同时容错率低、追索成本高。互联
网支付主要业务模式如表1院
二、互联网支付的主要风险
互联网支付属于以提供资金转移服务
抵押、碳融资等金融创新业务的支持下,相关行业将能得到 快速发展,能够有效推动减排目标的实现和碳市场产业链的 完善,有利于培育新的行业增长点。姻
(本文系江西省社会科学院重点课题“江西农村社区建设法 治保障研究”〈项目编号院1304〉阶段研究成果之一。)
注释:
① 本文所涉及的试点方案及排放权交易实践中的相关数据,主要来自2013年5月北京环境交易所与中国质量认证中心 联合举办“碳交易与低碳管理”高级课程培训班的讲课内容,少数数据由互联网查询补充。
② 参见《五省两市开展碳市场情况》,2013年9月5日访问。③参见《浦发银行绿金融服务模式创新》,2013年9月16 日访问。
参考文献
1. 焦小平等译.2010.欧盟排放交易体系规则|M|.中国财政经 济出版社,45-48。
浦发银行网上2. 蔡昉.2011.野中等收入国家陷阱”的理论、经验与针对性J|.经济学动态,12。
3. |美丨朱迪•弗里曼.2010.合作治理与新行政法|M|.商务印书 馆,59-68。
4. |美丨凯斯,R.孙斯坦.金朝武、胡爱平、乔聪启译.2002.自由市 场与社会正义|M|.中国政法大学出版社,第10章。
表1互联网支付主要业务模式
服务供应商主要业务类型业务流程认证方式优点不足
银行支付模式网上银行支付用户登陆网银寅直接支付密码+U盾安全性高对计算机的网络和
软硬件环境要求较
为严格
银行端快捷支在柜面或网银注册寅捆绑银行账号和注册时账户密码+身支付效率高、对计算机对支付限额有较严付预留手机号码寅银行向预留号码发送
动态支付口令寅凭口令对外支付
份证件(柜面)或U盾
(网银),支付时凭动态
口令
软硬件的依赖程度低格的控制
支付机构支支付账户直接用户通过支付账户(开立在支付机构的预设密码+动态口令支付效率高、流程短用户需要预先在支付模式支付虚拟账户)提交支付指令寅资金托管在
支付机构的备付金专户中寅商品收讫
或达成其他付款条件寅用户确认付
款寅支付机构将该笔资金付给收款人
(支付金额较大时)付账户中存入资金
支付机构快捷支付通过支付机构向用户开户银行以预留
手机号码、银行账号、姓名、身份证号等
信息,完成身份核实和注册寅用户凭在
支付机构的注册信息和支付密码向银
行发送支付指令寅银行将用户账户中
的资金汇入指定账户
预设密码+动态口令
(支付金额较大时)
一次认证、重复使用,
身份核实、注册和支付
流程短、效率高,对手
机支付等移动支付终
端提供有力的支持
风险度较高
预付卡支付线下销售预付卡寅线上凭卡号和密码
支付预设密码支付效率高、流程短支付限额受到卡片
面值限制
为目的的支付结算业务,会因支付手段和路径的差别而产生 不同风险,主要有以下三个方面。
(―)网络环境安全控制风险。大量的互联网支付业务是支付机构通过专线或互联网渠道,将支付指令发送给银行,完成最终支付。无论选择何种方式或渠道,在大幅度提高效 率的同时,都存在着信息、资金被盗的风险。
一是用户基础信息泄露风险。对于大多数的互联网支付 业务,特别是近两年发展很快的快捷支付业务,用户在初次 注册时,一般只需提供手机号码、银行账号、姓名、身份证号 等基础信息,个人的保管不当容易使这些基础信息泄漏。另 外,支付机构的日常运营和信息管理不够规范,若其未按规 定留存、使用及销毁客户及交易信息,也会造成信息泄漏。一 旦不法分子掌握了这些信息,再通过技术手段复制手机号 码,就可以进行虚假注册,在用户不知情的情况下开通账户 互联网支付的功能,威胁账户安全。
二是支付密码被破解风险。即使用户在注册环节是真实 合法的,由于快捷支付等互联网支付业务具有“一次认证、重 复使用”的特点,用户一旦被虚假网址、计算机木马、恶意软 件、山寨应用等网络手段攻破,以及电商平台或者支付机构 系统被网络攻破,就会出现支付密码泄露或被破解的风险,用户的银行账户就失去了安全防护。
(二)备付金管理风险。备付金是指支付机构为办理客户 委托的支付业务而实际收到的预收待付货币资金。
备付金包 括客户在支付机构开立的支付账户内资金、支付在途资金、与银行之间清算在途资金。现实中,备付金管理不当已直接 威胁到用户资金安全,并产生了严重后果。
一是支付机构挪用备付金的风险。由于相关规章制度与 约束机制尚不健全,目前支付机构对客户备付金和自有资金 的分类管理主要依赖于自律。但市场上支付机构众多,管理 水平参差不齐,监管实践中已发现部分支付机构擅自挪用客 户备付金用于购买理财产品、备付金与自有资金混合使用、自有资金存放或拆借关联公司缺乏必要依据等情况,这些做 法给备付金账户的安全带来了很大的隐患。
同时,仍有大量尚未取得支付机构牌照的电商企业,存 在自行开立和管理用户支付账户、以电商公司清算账户统一 管理资金的现象,资金挪用、损失的风险更高。例如,湖南维 财大宗贵金属交易所,利用客户备用金进行交易操作,在8 个月的时间骗取客户保证金超过23亿元,受骗人数遍布全 国27个省市、达到3.9万人。
二是支付机构及商户间不规范合作带来的安全风险。很 多支付机构间的业务合作是以备付金在两家以上支付机构 间的转移为基础,有些转移的备付金金额高达数千万元甚至
上亿元。此类业务合作挪用了客户备付金,显然违背了客户 指令。同时,由于支付机构往往不参与电商运营商辖下的商 户拓展工作,会加大风险防控难度,给一些不法分子提供了 可趁之机。比如,2011年5月媒体报道,有大量用户投诉某支
付机构与某信息科技公司涉嫌网络,仅某个受害者 QQ里,就有全国各地193名被挂马网页欺骗的买家,涉案 金额从50元到上万元不等,多数没能追回。
(三)信息不对称的衍生风险。基于互联网技术的支付服 务通常具有复杂性、技术性和风险性并存的特点,但由于互 联网支付的相关信息披露、普及和教育程度不够,衍生了一 些问题和风险。
一是支付产品信息揭示不足的风险。服务供应商推介 产品时,往往在产品优势方面介绍较多,而对风险提示不 够,一定程度上侵害了消费者的知情权和选择权。比如,某 著名支付机构2013年推出的理财产品,通过集合投资货币 基金的方式,提高用户资金收益率,在较短的时间内其规模 超过千亿元。但该产品的收益规则是按日结算,如当日收益 不足1分钱,则不计人累计收益。按照目前平均每万份收益 1.3元左右测算,用户每日的资金余额不能低于80元,否则 将不产生收益。然而,支付机构并未对此规则做详细的说明 和提示,很多存放在支付账户中的小额资金并未给用户带 来收益。
二是资金流向的信息不对称隐患。用户调度资金到支付 机构备付金专户后,不论是用户、金融机构还是监管部门,都 缺少有效手段监测支付机构的备付金运作,存在着诸多安全 隐患和问题。比如,一些互联网支付机构,利用自身清算系统 与各商业银行直接对接,避开人民银行现代化支付系统的监 管。虽然其用户可以免费实现多个银行账户之间的资金划 转,但这种模式给资金市场头寸管理、银行间备付金调整、反 等多项金融工作带来了隐患,不利于整个金融体系的稳 定发展。
三、风险控制的制约因素分析
互联网支付在快速发展的过程中,之所以产生了上述的 风险和问题,一方面,新技术、新模式的出现形成了新的风险 成因;另一方面,国内法律规范、风险防范等配套机制不完 善,与风险形成有较大的关系。溯本求源,互联网支付领域的 风险控制主要受制于以下几个方面的问题。
(一)法律规范、监管和执行方面。当前,央行已经针对支 付机构准人和管理、支付机构的备付金管理制定了专门的制 度办法。但从实践情况来看,相关法规体系的建设还存在一 些问题。
一是缺少完善的法律框架和监管体系。互联网支付与电 子商务紧密关联,国内电子商务目前没有标准可遵循,缺乏 标准体系和法律框架;相关部门在制定、执行互联网支付规 定时,审核、检查的事项内容不够全面,技术要求和规范不够 细化,电子商务立法规范的统筹协调有待加强,法规的覆盖 层次和内容有待丰富。例如,针对互联网支付机构的准人,央 行在非金融支付机构服务管理办法和互联网支付业务管理 办法中提出了审核要求,但在技术保障、信息管理、支付赔偿 等环节的流程,还没有明确的标准和要求。
二是法律规范的执行力亟待提高。前期央行已经制定了 一系列办法和规定,但执行难度较大。比如,央行2013年6 月发布的《支付机构客户备付金存管办法》中,对备付金账户 管理有严格要求。《办法》第十六条规定,“支付机构在满足办 理日常支付业务需要后,可以以单位定期存款、单位通知存 款、协定
存款或中国央行认可的其他形式存放客户备付金”;第二十五条规定,“支付机构每月在备付金存管银行存放的 客户备付金日终余额合计数,不得低于上月所有备付金银行 账户日终余额合计数的50%冶。但实践中,由于存在各种因 素,导致相应的法律规范难以执行。一方面是缺乏技术手段。目前还没有银行与支付机构建立实时连接、信息高度共享的 备付金存管系统,银行端不掌握支付机构备付金的账户、交 易及资金明细,难以有效区分支付机构的备付金和自有账户 资金;同时,由于跨行信息的交流缺乏组织,监管部门和银行 都无法及时掌握支付机构在多家银行的资金头寸。另一方面 是商业银行间存在恶性竞争。支付机构的备付金是银行存款 的重要来源,在资金市场竞争激烈的背景下,银行往往会满 足支付机构提出的不同形式的高利率要求,甚至会对其挪用 备付金购买理财产品等违规操作疏于管理。因此,央行对支 付机构备付金的监管要求难以实现。
三是监管的范围需要进一步延伸,职责需要进一步明 确。互联网支付风险并不仅限于购物支付过程中,当前的法 律规范侧重于交易过程中的监管和保护,对支付业务前后、包括出现纠纷后,银行与支付机构间的责任划分、消费者资 金追索、权益保障等问题,没有明确的规范和要求。同时,跨 银行支付工具及支付机构资金划拨系统的存在,给金融系统 资金头寸管理和反带来了很大的困难,在这一方面的责 任和义务也亟须进行明确和强化。
(二)盈利模式所衍生的问题。目前支付机构的收人主要 来自两个方面,一是支付手续费收人,二是备付金存款的利 息收人。在支付市场快速发展的过程中,同质化竞争导致支 付机构间的价格战升级,出现
了抵扣率、零扣率和暗中返点
等恶性竞争手段。在整个行业利润空间被挤压的前提下,违 规行为就有可能被触发,这也是部分支付机构挪用备付金进 行投资套利的动因之一。
对商业银行来说,互联网支付的效率更高、成本更低,收 费标准也大幅降低,直接收益相对降低,其在银行的主营业 务收人中占比很低,从而导致了商业银行对互联网支付业务 重视不足,产品创新和研发相对滞后。
(三)
互联网金融知识普及的问题。互联网支付的很多 风险、案件的发生,很大程度上是由于公众对互联网支付 业务的认知程度不深,仅关注支付的便捷性、易操作性,而 忽视了安全性。一方面,公众对结算账户的认知不够。开户 人必须对账户功能有足够的认知和关注,既可以充分发挥 账户功能,又使自己更了解支付风险。近期的调查发现,不 少人认为只要银行卡在手中就是安全的,殊不知一旦账户 及密码信息外漏,不法分子便可以通过网上支付、转账平 台或伪造卡、手机等手段操作账户,以互联网支付的途径 盗取资金或给户主带来不良记录。另一方面,公众对互联 网支付的安全防范意识不强,中国互联网络信息中心近期 的调查显示,47.2%.的用户对网上支付安全问题表示非常 不关注或较不关注,57.6%.的用户表示不知道保障网上支 付安全的办法。
(四) 技术风险控制的问题。在传统支付领域,客户的每一笔支付都基于实体账户交易,客户和账户信息封闭在银 行系统内。银行对客户信息一般都有专门的信息管理系统 和严密的信息保密制度,审计部门、银监会、央行等监管机 构也会对银行信息的安全管理做检查。在这种情况下,除非 银行内部人员违规,客户信息被泄露、盗取的可能性较低。
而在互联网支付领域,用户保存在银行中的客户、账户 信息不再是封闭、独立的,而会根据互联网支付业务的开通, 与银行之外的机构产生信息传递,被泄漏的可能性较大。与 银行相比,支付机构的技术能力、风控水平和制度建设都有 一定差距,海量客户信息的管理存在一定隐患;各类支付服 务提供商的技术支持能力也有差距,对虚假网址、计算机木 马等技术隐患的防范和控制手段存在不足。
三、对策建议
(―)加强法规体系建设,从制度上强化业务监管。一是法规建设要进一步丰富和完善。国内互联网支付领域的立法 还有很大的空白地带,应建立相关的法规对其身份认证、业 务范围以及网络虚拟财产等给予明确解释,增加用户透明 度,加大实名制推行力度,使网络支付行为与个人信用关联; 从技术及安全监管角度建立网络建设、安全认证审核等相关
法律,建立健全业务开展的管理办法,推动电子商务的保障 体系建设,严厉打击各种违法犯罪活动。
二是对互联网支付机构的准人和审查要更加严格、更加 细化。央行在准人、发放牌照以及对支付机构开展检查时,要 区别对待不同类型的支付机构。对提供互联网支付服务的机 构,对其运营流程、技术保障、信息管理、备付金使用等关键 环节应当有更细化的准人和检查条件,对信息披露的及时
性、真实性和准确性要求要进一步明确,确保支付机构有充
分的技术能力和制度安排,保障用户的资金安全、支付安全 和信息安全。
三是对执行法规要更到位。法规体系建设,更重要的是 执行。一方面,监管部门在制定法规时,要充分考虑可操作 性;另一方面,要严格执行已制定的法规,强化日常监管,如 将支付机构备付金存管系统的建设纳人到牌照审核和年检 工作中,促进相关制度办法的执行更加机制化、常态化。
(二)加强风控体系建设,从流程上消除业务漏洞。一是 加强各类支付机构的内部控制。商业银行、支付机构,首先应 从内部完善安全管理办法、互联网金融风险防范制度以及操 作规程;其次应充实科技力量,建立专业的互联网支付风险 防范的技术队伍,创新风险控制手段,如利用大数据分析,将 与客户行为习惯不同的支付进行事中监控,与客户及时确 认。监管机构也应加强引导,在各类银行、支付机构内部以及 监管机构中构建起全面的互联网支付业务的动态风险监测 和预警系统,及时对各类支付机构发布风险预警信息,进行 窗口指导。
二是加快社会信用体系建设。完善的社会信用体系是 减少信息不对称、降低市场选择风险的基础。因此,应以央 行的企业、个人征信系统为基础,全面收集非银行信用信 息,建立客观全面的企业、个人信用评估体系和电子商务身 份认证体系,避免互联网支付提供者因信息不对称作出不 利选择;对各类互联网支付机构建立信用评价体系,降低业 务不确定性,避免客户因不了解支付机构服务质量而作出 逆向选择。
三是加强行业自律和协调发展。为改善互联网支付行业 内恶性竞争的混乱局面,应加强行业自律和督导,促进规范 经营。比如,南京人民银行牵头,于2012年成立了江苏省内 的支付清算服务协会,参与者包括省内的各家金融机构、在 省内注册以及在省内提供服务的支付机构。协会成立的目的 在于促进各家银行、支付机构之间的良性竞争与合作,规范 行业准人及定价标准,强化内部管理和风险控制。这种举措 对于促进行业内部交流和沟通、明确和完善行业标准、促进
整个互联网支付产业的健康发展都有较好的保障和支持作 用,应该成为监管单位引导、规范国内互联网支付业务发展 的一种有益思路。
四是引人互联网支付保险机制。互联网支付机构与保险 公司合作开发新的支付业务险种,能形成双赢的局面。一方 面,解决了结算安全和信用问题,提升了用户对交易安全的 信任感,起到了信用背书的作用,从而促进互联网大额支付、
B 2B 业务的进一步发展;另一方面,伴随着支付市场的迅速
膨胀,保险公司也能随之获得稳定的保费,如支付宝已和平 安保险合作,探索推出快捷支付保险业务。
(三)
加强备付金监管,从资金安全上保障业务发展。备
付金的合规管理是影响互联网支付业务发展的关键,也是保
障用户权益、防范风险的重要措施。针对当前备付金监管不 力、盗用挪用现象存在的情况,需要监管机构强化制度执行, 加快实施对备付金的实质性监管,确保用户资金安全。在法 规制定和执行到位的情况下,央行主导、商业银行和支付机 构加强互动,加快建立、完善备付金存管系统,从两方面对支 付机构备付金进行实质性监管。
一是备付金头寸的全面管理。备付金存管银行应当通过 系统(人民银行结算账户管理系统、超级网银等),自动、及 时、全面的掌握支付机构在各家银行开立的备付金账户及余 额,根据监管要求,提示支付机构及时调整备付金头寸,确保 其按照规定的方式、比率进行存放,并向监管机构做定期报 告。
二是备付金的调拨和审核。对支付机构备付金的调拨 和清算,应该在存管系统中建立相应的审核模块,
控制支 付方向和金额。总体来看,可通过两种方式来实现。第一, 审核支付机构与商户的协议,建立备付金支付的“白名 单”,这种方式可操作性较强,有助于控制支付方向、降低 挪用盗取备付金的可能性,但不能够确保支付金额的准确 性,也不能排除支付机构通过变造、伪造协议的方式增加 虚拟交易对手。第二,建立与交易信息高度关联的支付审 核模块,即银行与支付机构之间建立实时连接的数据库, 在每笔备付金清算时,根据一定时间段、累计业务量和相 关规则,由系统自动计算应支付金额,与支付机构提交的 指令进行核对,审核一致后实施支付。这种方式监管效果 好、潜在风险低,但对系统建设的要求高,同时也要充分考 虑商业机密等因素。
(四) 加快金融知识普及交易,从公众层面改善发展环境。只有在公众层面强化对互联网支付业务的宣传教育,引 导用户安全、规范地使用互联网支付业务,才能从根源上规
避业务风险、促进业务健康发展。
一方面,要加强对现代银行结算账户功能的宣传教育。 央行、商业银行要加强宣传引导,逐步改变公众对银行账户 凭存折、银行卡的传统观念,提高用户对账户结算功能和渠 道的认知。同时,考虑到我国的个人结算账户用户规模庞大、 功能综合化程度高,在加强教育的同时,应考虑对账户功能 和权限做一定程度的区分和限制。参照我国互联网支付快速 发展的情况,建议在个人结算账户的基础上,专门针对个人 网络支付业务设立网络支付个人结算账户,可用于取现、互
联网支付及刷卡消费,并在此账户上实行限额支付管理。通
过分设账户,可以有效降低风险,缩小网络金融犯罪的潜在
获利空间,并且能对互联网支付实名制的实施起到较好的促 进作用。
另一方面,要加强对互联网支付产品的宣传教育,对支
付产品的宣传做强制性的要求。一是支付机构在提供某一种 支付产品或服务时,要通过公开网站等渠道,对产品的功能、 流程、风险、权利义务关系做详细的揭示,监管机构对其产 品信息的披露情况做规范性的要求和常规性的检查;二是 应引人类似于银行用户的风险评测机制,对拟开通互联网 支付业务的用户,需在银行端或支付机构端做互联网业务 的知识评估和风险测评,符合评估要求的用户才能开通支 付业务,强化用户对互联网业务和风险的认知,提高其风险 防范意识。姻参考文献
1. 邓玲.2009.中国互联网支付、新兴电子支付现状分析及发展 趋势[J ].现代经济信息袁10遥
2. 梁丽雯.201
3.互联网支付风控立规:类银行实名制[J ].金融科 技时代,4。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。