圣诞节这天，央行发布加强银行人民币账户管理新规，银行账户进入网上开户的2.0时代。而《非银行支付机构网络支付管理办法》的正式出台，是该管理办法征求意见稿挂网后5个月后的“另一只靴子”落地。细细研读，最终稿和征求意见稿对比，还是多了很多料的，其间隐约可见市场与监管博弈的各种注脚。

　　新规正式出台，对消费者的网络支付行为和习惯会有哪些影响?管理办法和征求意见稿相比，监管对支付机构如何确立分类监管的差别点?结合银行账户2.0升级版，银行会有哪些应对策略?未来支付市场的监管，会面临哪些持续的挑战和故事?这些都是画在笔者脑海里的问号，借此小文一一罗列。

　　一、对客户网络支付的体验影响不大

　　开宗明义，消费者是最大的市场参与主体，因此先说对消费者的影响。在今年8月份的一篇《支付市场变天了吗(二)》中，我分析了快捷支付、银行网关支付、支付账户余额支付三种网络支付的区别，这里不再赘述。本次新规的实施，对消费者意味着什么?

　　第一，对银行网关支付的客户没有影响，对使用高类别支付机构快捷支付产品的客户基本没有影响。一是对使用银行网关支付方式的客户来说，原有的交易限额、认证工具、使用场景、转账支付消费等功能无任何影响;二是对使用支付宝、微信支付等快捷支付产品的客户来说，如果支付宝、财付通向银行准确、完整发送交易信息的情况下，这种支付体验也不会有啥变化。

　　第二，对使用支付账户余额支付(即客户先充值到支付账户，再用支付账户余额完成支付的方式)来说，新规较原征求意见稿在支付账户分类上发生了变化。根据支付账户的实名制身份核实强度，支付账户被分为Ⅰ、Ⅱ、Ⅲ三类。在功能上，三类账户都可以消费、转账，但只有Ⅲ类账户可以投资理财;在限额上，Ⅰ类账户自账户开立起累计限额1000元(类似微信中的零钱包)，Ⅱ类账户年累计10万元，Ⅲ类账户年累计20万元，后两者限额累计中不含从支付账户中提现回银行账户。

　　第三，对使用支付账户余额支付的客户而言，新规对绝大多数客户交易认证机制的使用体验影响不大。管理办法中对安全级别不高的支付账户余额支付，按照认证工具强度的不同，规定了不同的单日累计限额，如采取包括数字证书或者电子签名在内的双因子认证交易，限额可由支付机构和客户约定;对采用不包含数字证书或者电子签名在内的双因子认证(一般是静态支付密码+短信验证码)的交易，每日累计交易限额不超过5000元(不含从支付账户向银行账户提现);对不采用双因子认证的交易，每日累计限额不超过1000元。根据代表性支付机构所提供的交易数据，2014年全年使用支付账户余额付款累计5000以下的个人客户数量占到80.13%。所以，办法中的日累计限额管理，可以满足绝大多数客户的实际需要。

　　二、支付机构将面临差别监管政策

　　顾名思义，支付机构网络支付管理办法，规制的对象主要是支付机构。对照征求意见稿，新规对支付机构的监管约束角度有没有发生变化呢?有，且比较大。最大的变化：一是新规提出了分类监管、动态监管的监管理念和差别监管路径。二是新规对支付账户的分类标准做了微调。具体来看：

　　第一，支付账户按实名制身份认证强度分类，差别化管理。支付账户可以非面对面形式在线申请开立，但通过外部渠道交叉验证的数量决定了实名身份认证的强度，通过至少一个外部渠道验证身份的为Ⅰ类账户，通过至少三个外部渠道验证身份的为Ⅱ类账户，通过至少五个外部渠道验证身份的为Ⅲ类账户。这与上周五公布的银行账户的分类标准正好倒过来，银行账户实名身份认证强度最强的是Ⅰ类银行账户，这种设置，在具体实践中将便于区分不同支付主体的账户体系类别。

　　第二，支付机构按资质和风控能力分类监管，差别监管。新规对支付机构未来的分类将分为A、B、C三级，且按照支付账户的Ⅱ类账户和Ⅲ类账户的实名比例超过95%，超过90%两档相组合，形成三个监管对象群。即被评为A类并且Ⅱ类、Ⅲ类账户的实名比例超过95%的，为第一类监管对象;被评为B类且Ⅱ类、Ⅲ类账户的实名比例超过90%的，为第二类监管对象;被评为C类，或者支付账户的实名比例未达到上述要求的，为第三类监管对象。

　　这其实是把两百多家支付机构按照资质、风险管控和账户的实名比例分为了好孩子、乖孩子和一般孩子，从6个维度对不同群体的孩子进行差别监管。这6个维度，包括支付账户的实名认证核实方式、个人卖家的管理方式、支付账户的转账功能范围、安全级别不足情况下的单日交易限额，与银行合作的快捷支付交易验证方式、信息披露和现场检查的强度等。越是高类别的机构，这6个方面获得的政策豁免越多，反之则越少。

　　对支付机构来说，这样的差别管理带来的结果是，不同的机构的运营成本、客户体验、产品功能会形成梯次。这是一种竞优的安排，越是基础设施好、账户实名制比例高的支付机构将获得更多的红利。当然，事实上也会走向一种”马太效应”，即好的更好，强者恒强，市场集中度会相应提高。

　　三、对支付机构监管的几个普适性关键点

　　第一，账户有禁止范围，经营有禁止范围。为了明晰资金流向，加强资金监管，有效隔离市场风险，一是规定支付机构不得为金融机构以及从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构开立支付账户。各项资金收付应基于银行账户办理。二是规定基于支付机构的业务许可范围、业务专营性和审慎监管原则，支付机构不得经营或者变相经营证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。这实际上在建立一道防火墙，目前市场上一些互联网理财机构、P2P平台的理财账户或者客户投资的出入金通道，恰恰就是由部分支付机构提供的。而反洗钱、反恐资金监管的需要，也需要提高资金流向的透明度和可溯性。

　　第二，风险管理方面的普适性要求。在风险管理方面的主要要求：一是新规明确了交易验证要素的内容，要求支付机构应当确保采用的交易验证要素相互独立，部分要素的损坏或者泄露，不应导致其他要素损坏或者泄露，明确了一次性密码和指纹等生物特征要素的强度要求。二是针对支付账户余额支付，针对不同交易验证方式，明确对应了不同的交易限额要求。三是新规要求支付机构建立客户风险评级管理制度和机制，建立交易风险管理制度和交易监控系统，对客户进行必要的安全教育和风险警示。四是以“最小化”原则采集、使用、存储和传输客户信息，并告知客户相关信息的使用目的和范围，不能向其他机构或个人提供客户信息(法律法规另有规定，或者经客户本人逐项确认并授权的除外)。五是要求网络支付业务系统和备份系统的健壮性，要制定应急原和业务连续性计划。

　　第三，客户权益保护方面的普适性要求。在客户权益保护措施方面的主要要求：一是保证客户的知情权，提示交易风险，明示权责利害关系，并增加信息透明度，定期披露风险事件、客户投诉信息，加强客户和舆论监督。二是保障客户的选择权，要求支付机构充分尊重客户真实意愿，不得以诱导或者强迫等方式侵害客户自主选择权;变更协议条款或者提高服务收费、新设服务收费，应以客户明悉且自愿接受相关调整为前提。三是在信息安全方面，要求支付机构制定客户信息保护措施和风险控制机制。特别强调支付机构应对商户采取有效措施进行检查和监督，切实防范因为商户违规存储敏感信息而导致客户信息泄露或者资金损失，并依法承担损失和责任。四是在资金安全方面，要求支付机构及时处理客户提出的差错争议和投诉，并建立健全风险准备金和客户损失赔付机制。

　　四、对银行的网络支付后端通道支持加强约束

　　第一，快捷支付权责关系复杂，银行需明确权责关系。新规明确，银行卡快捷支付业务涉及客户、支付机构及开户银行三方，权责关系相对复杂。一是支付机构应该在事先或者首笔交易时自主识别客户身份，并分别获得客户和银行的协议授权，同意其向客户的银行账户发起支付指令扣划资金。二是银行作为客户资金安全的管理责任主体，事先或首笔交易时，应自主识别客户身份并与客户直接签订授权协议，明确约定扣款适用范围和交易验证方式，设立与客户风险承受能力相匹配的单笔和单日累计交易限额，承诺无条件全额承担此类交易的风险损失先行赔付责任，后续交易扣款，原则上应由银行进行交易验证。这就要求，银行下一步要开展针对目前快捷支付业务合作中不合规部分的整改。

　　第二，通过代发代扣通道拼装的快捷支付业务面临整改。之前，一些不规范的支付机构为压低通道成本，不采取常规网关接入的方式处理银行卡快捷支付业务。而是采取与银行的分支行签约，分散接入银行原本为公用事业单位提供的代扣代缴接口，实现消费者端的快捷扣款，缺乏客户签约和授权机制;同时拼接银行原本支持企事业单位代发工资的实时代发产品，实现商户端的回款。这种做法，一方面增加了异步清算的操作风险，另一方面规避了对网络支付业务的常规监管。因此，这种拼接式银行卡快捷支付行为，面临整改压力。

　　第三，面对差别监管的支付机构，银行需厘定合作策略。因为支付机构被分类监管，所以在业务合作伙伴的选择上，银行面临与高类别支付机构和一般支付机构合作的策略选择问题。在银行卡快捷支付业务、银行卡网关支付业务的合作方选择上，面临授权方式、认证机制、交易限额、损失赔付责任等方面的差别管理问题。

　　五、包容性监管将逐渐走向审慎监管

　　从第一家支付机构诞生到现在，中国的支付机构市场已经走过了十多年创新和监管之路。随着近几年互联网金融业态的快速发展，大量市场新进入者在互联网理财、众筹、P2P等领域，依托新兴的互联网技术和商业模式，快速积累了庞大的客户群，缔造了巨大的社会影响力。而网络支付已经成为互联网金融最不可或缺的基础设施，渗透到互联网金融从底层支撑系统到客户服务界面的方方面面，在这部分新兴社会机体运行中发挥着重要的润滑剂作用。因此，对支付机构的监管，已经成为监管部门当前的重要工作领域之一。毋庸置疑，中国市场已经形成了一批系统重要性支付机构，支付机构的稳健性、支付交易的安全性和支付行为的合规性，已经成为关系到国计民生的大问题。

　　在下一步的监管重点中，笔者认为以下问题会是关键。第一，把引导社会预期、保护保护消费者权利放在监管目标首位。第二，引导支付机构回归转接中介职能，支付机构不能成为存款类机构。第三，评估对系统重要性支付机构的监管有效性问题。第四，建立科学、动态的分类监管评级和资质认证机制。第五，在为移动支付创新设置观察窗的同时，关注这一新兴领域的金融安全标准基础设施建设。

　　在经历了中国网络支付市场十多年的浸淫和洗礼之后，市场从缺乏规矩到有规矩，很多规则终于清晰而扎实地确立起来，确实难能可贵。

　　支付市场没有变天，市场在从喧嚣鼓噪中走向水落石出，监管路径在从行政许可走向负面清单，消费者的合法权益在得到更多保障，一切都在欣欣然迈向新常态。

　　案例

　　快捷支付系列风险案件

　　近年来快捷支付在网络支付业务中应用广泛。快捷支付仅需要客户的少量身份信息、卡号和手机号即可开通，之后凭借手机短信验证即可实现资金快速的扣划。快捷支付的低门槛和便捷性同时带来了较高的风险，由于手机病毒泛滥、客户个人信息自我保护意识不足，手机号码实名制管理有待加强，因此快捷支付成为不法分子盗取客户资金的重灾区。与此同时，支付机构违规在未取得银行授权、且客户未经银行核实真实意愿的情况下即与客户签订快捷协议，扣划客户资金，进一步加剧了快捷支付业务的风险。以下是一些由于客户主客观原因导致个人信息泄露后，支付机构没有严格履行监管要求从而导致客户资金被盗的典型案件：

　　案件（1）：假冒银行工作人员，获取银行卡信息

　　2015年8月，陆先生接到一个号称平安银行工作人员的电话，说可以给他的信用卡提高额度，按照他们提示把手机收到的动态密码告知了“平安银行工作人员”，结果该银行卡内资金被扣刷，后陆先生和银行取得联系，发现该笔资金已通过某支付公司网站扣划。该案中支付机构未取得银行授权即与客户签订快捷协议，不符合监管规定。

　　案件（2）：伪造银行短信，利用虚假网站扣划持卡人资金

　　2015年7月，孙女士收到95533的短信提示，提示内容为积分兑换，后孙女士根据短信提示的手机网站(GOQCFR.COM),输入身份证号码、银行卡号、姓名、银行卡密码，之后就收到银行的扣款短信。后持卡人通过银行得知钱是由某支付公司扣取，经公安查明，孙女士是登陆的是一个虚假网站，不法分子利用孙女士填写的信息开通快捷支付将资金转移。

　　案件（3）：植入手机木马盗取客户资金

　　2015年11月，席女士名下建设银行储蓄卡，在某支付机构开通快捷支付，向该支付账户中充值5000元，并在充值成功后5分钟之内发起多笔向他人银行卡转账的操作尝试。席女士在交易发生前手机收到一条“10086”发来的短信，内容为“预存话费，存100返300，详情点击链接......”客户点击链接后导致手机中木马无法收到短信而被盗刷。经查在签约快捷支付时有手机校验码发送记录，且客户手机详单中显示当时客户手机有往陌生号码转发短信的记录，该案件是典型的客户手机中木马后短信被转移的案件。

　　案件（4）：通过贷款获取持卡人信息，盗取资金

　　2015年10月，四川吴先生致电某支付公司客服反映自己名下农业银行借记卡，在该平台发生2笔1999元的快捷支付交易;经查该银行卡签约快捷预留的手机号归属地为北京，与客户实际生活居住地不一致，吴先生表示自己在银行卡被盗刷之前从网上申请了贷款，按照对方提示办理了一张农行借记卡，将对方提供的手机号码预留在银行系统，并将身份信息、银行卡信息均提供给了对方。诈骗分子利用替客户完成贷款或信用卡审核等为借口，诱骗持卡人在银行预留其指定的手机号码，成功开通快捷支付并完成盗刷。

　　案件（5）：客户手机号码被替换导致客户银行卡被盗刷

　　近日，务工人员小张在网络上看到某代办信用卡的信息，联系到代办人刘某，并按刘某要求提供了个人身份证号、银行卡号等信息，随后，其银行卡内的10000元资金被转走。经查询，资金是通过某支付平台转出的。不法分子作案手法如下：第一步，以代办信用卡需要证明申请人的“财力”为由，要求小张新办理一张借记卡，并至少存入15000元;第二步，以方便“验资”等借口，要求小张在办理借记卡时填写指定的手机号为预留号码，并要求提供办卡人的身份证号和银行卡号;第三步，不法分子巧妙利用某支付平台的交易规则，根据小张提供的银行卡号、身份证号等信息申请绑定银行卡，并通过指定的手机号码接收验证码，完成支付账户对银行卡的绑定，盗取资金。

　　以上案件均是客户信息被盗取后资金被迅速转移，如果支付机构能够严格按照监管规定，在客户开通快捷支付时，分别取得客户和银行的授权，同时要求客户在与支付机构签约的同时，与商业银行独立签约，在客户信息泄露的情况下，依然能够避免大部分资金损失的状况，更好的保护客户资金安全。