央行银监会联合下发10号文 规范银行与第三方支付合作

　　近日，银监会和央行联手下发《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》（银监发10号，下简称10号文），试图规范商业银行和第三方支付机构的合作。

　　10号文延续了此前银监会的86号文和央行的5号文的基调，从保护客户资金安全和信息安全出发，对有针对性的问题细化了规范，涉及客户身份认证、信息安全、交易限额、交易通知、赔付责任、第三方支付机构资质和行为、银行的相关风险管控等。86号文是银监会于2011年8月下发的加强电子银行客户信息管理有关规定，5号文则是今年1月央行下发的关于加强银行卡管理业务的有关规定。

　　一位银监会创新部人士证实，“支付宝嫌麻烦，一直没执行有关操作规则。大行和支付宝还有谈判空间；小银行和支付宝没有多少谈判空间。如果支付宝不执行规定，小行为了留住客户也只能迁就”。支付宝是中国最大的第三方支付机构，是阿里小微金服的核心机构，未在阿里巴巴[微博]海外上市的资产内。

　　10号文要求银行于2014年6月30日前做好相应的制度及合同修订工作；5号文亦要求商业银行于7月5号完善涉及银行卡安全的有关合规制度。

　　在第三方支付机构资质方面，10号文要求首先银行要对客户的风险承受能力进行评估，以确定客户与第三方支付机构相关的账户关联、业务类型、交易限额等，包括单笔支付限额和日累计支付限额。在客户提出申请且通过身份验证和辨别后，在临时期限内可以适当调整单笔支付限额和日累计支付限额。至于限额是多少、临时期限有多长，由银行自己决定。

　　10号文再次重申了客户身份认证的重要性。要求首次建立业务关联时，必须通过第三方支付机构和银行的双重身份鉴别，此前86号文可由第三方支付机构单独认证客户身份，5号文则要求商业银行识别。10号文再次强调银行在用电子渠道验证客户身份时，应采用双因素验证方式对客户身份进行鉴别。

　　在赔付责任方面，10号文要求，商业银行在与第三方支付机构签订合作协议时，要求对客户通过大额资金划转强化身份认证，确保由客户本人发出资金划转要求。对大额支付、可疑支付要及时通知客户。从银行账户划出的支付交易资金，遇到交易终止、失败应划回原银行账户。

　　在银行人士看来，此次10号文的主要十八条要求中，其中至少十条都是针对支付机构在以往操作中不配合银行的违规行为。比如，第十一条，商业银行应明确要求第三方支付机构不得在未经授权的情况下屏蔽本银行的支付界面与接口。前述银行人士反映，他们发现，支付机构没给客户提供可以选择的银行卡支付界面，或者银行卡支付网关在不显眼的地方。“这是支付机构人为制造银行和用户的矛盾”。

　　“10号文的目的并不是终止合作，而是要求支付机构整改。因为一旦资金发生纠纷，客户首先会先找商业银行的责任。”一位银行人士表示。

　　在加强银行内部风险防范方面，要求银行将与第三方支付机构的合作业务纳入运营风险监测系统的监控范围，特别是对其中大额、异常的资金收付要逐笔监测。银行应构建安全的网络通道（如果专线连接、VPN通道等），制定安全边界（如部署防火墙、DMZ隔离区等），防止第三方机构越界访问。

　　据银行人士解释，所谓越界访问，是指支付接口原本只是用于缴纳水电煤费用，但购物也从这个通道走了，“支付机构就偷偷摸摸的干了。缺少银行的授权和监督，没法合规地做。”

　　10号文第十五条还要求商业银行对客户通过第三方支付机构进行的交易建立自动化的交易监控机制和风险监控模型，对资金情况实时监控，及时发现和处置异常行为、套现或欺诈事件。“这一条能否落实，取决于支付机构首先应按照《银行卡收单管理办法》的规定，把明细的完整交易信息传输给银行。目前，银行只能看到这有一笔钱通过支付宝交易，但无法得知资金用途。”前述银行人士称。

　　至于执行效果如何，在业内人士看来，有关第三方支付的所有规定，实际都“取决于银行的执行力度。如果银行都严格落实既有规定，就会改变银行面对第三方机构的被动局面，支付机构就不会有这么大的谈判余地。”