商業(yè)銀行開展第三方支付業(yè)務(wù)面臨的風險及對策

陳晨

隨著我國電子商務(wù)市場的蓬勃發(fā)展，日趨繁榮的第三方支付業(yè)務(wù)為商業(yè)銀行帶來了新的發(fā)展機遇，也讓商業(yè)銀行面臨諸多新的風險問題。本文擬在厘清第三方支付業(yè)務(wù)相關(guān)法律關(guān)系及民事責任分配機制的基礎(chǔ)上，針對商業(yè)銀行關(guān)注的問題和面臨的挑戰(zhàn)，提出切實可行的應(yīng)對措施。

法律地位

一般而言，第三方支付是由合法授權(quán)的機構(gòu)所提供的，為實現(xiàn)用戶、商戶兩端線上資金轉(zhuǎn)移、支付結(jié)算而設(shè)立并提供的與銀行相關(guān)結(jié)算系統(tǒng)關(guān)聯(lián)的接口和通道服務(wù)，從而將商戶、客戶及結(jié)算銀行構(gòu)建鏈接關(guān)系，實現(xiàn)資金安全交易結(jié)算的支持工具與功能載體。

現(xiàn)行法律和政策性文件對第三方支付的表述不完全一致。根據(jù)《非金融機構(gòu)支付服務(wù)管理辦法》規(guī)定：“本辦法所稱非金融機構(gòu)支付服務(wù)，是指非金融機構(gòu)在收付款人之間作為中介機構(gòu)提供下列部分或全部貨幣資金轉(zhuǎn)移服務(wù)：（1）網(wǎng)絡(luò)支付;（2）預(yù)付卡的發(fā)行與受理;（3）銀行卡收單;（4）中國人民銀行確定的其他支付服務(wù)。本辦法所稱網(wǎng)絡(luò)支付，是指依托公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)在收付款人之間轉(zhuǎn)移貨幣資金的行為，包括貨幣匯兌、互聯(lián)網(wǎng)支付、移動電話支付、固定電話支付、數(shù)字電視支付等?！敝泄仓醒胝桨l(fā)布《促進互聯(lián)網(wǎng)金融健康發(fā)展指導(dǎo)意見》，使用了“互聯(lián)網(wǎng)支付”一詞，用來指代“通過計算機、手機等設(shè)備，依托互聯(lián)網(wǎng)發(fā)起支付指令、轉(zhuǎn)移貨幣資金的服務(wù)?！备鶕?jù)《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法（征求意見稿）》的規(guī)定：“支付機構(gòu)是指依法取得《支付業(yè)務(wù)許可證》，獲準辦理互聯(lián)網(wǎng)支付、移動電話支付、固定電話支付、數(shù)字電視支付等網(wǎng)絡(luò)支付業(yè)務(wù)的非銀行機構(gòu)。網(wǎng)絡(luò)支付業(yè)務(wù)，是指客戶通過計算機、移動終端等電子設(shè)備，依托公共網(wǎng)絡(luò)信息系統(tǒng)遠程發(fā)起支付指令，且付款客戶電子設(shè)備不與收款客戶特定專屬設(shè)備交互，由支付機構(gòu)為收付款客戶提供貨幣資金轉(zhuǎn)移服務(wù)的活動?！?/p>

第三方支付主要參與主體有四方：付款方（買方）、收款方（賣方）、商業(yè)銀行、第三方支付機構(gòu)。第三方支付機構(gòu)和銀行之間的法律關(guān)系是服務(wù)合作關(guān)系，主要體現(xiàn)在實際交易中的兩個階段。

第一階段，付款方進行在線資金劃撥，通過第三方支付的網(wǎng)關(guān)進入到銀行的網(wǎng)關(guān)中進行轉(zhuǎn)賬，付款方銀行確認銀行卡真?zhèn)?、客戶預(yù)留信息以及轉(zhuǎn)賬金額，按指令將資金劃撥到第三方支付的虛擬賬戶中。在此階段，銀行在與第三方支付機構(gòu)的合作中，主要承諾如下義務(wù)：確認付款方銀行卡真?zhèn)?按照付款方指令完成資金的劃撥。銀行的主要權(quán)利是，完成指令人發(fā)出的正確指令或者拒絕指令人發(fā)出的不符合規(guī)定程序的、無法執(zhí)行的、無效的指令。

第二階段，在付款方通過第三方支付平臺發(fā)出確認收貨并支付貨款的指令后，第三方支付就會通知銀行將存放在其賬戶中的資金劃撥至收款方賬戶中。在此階段，銀行在與第三方支付平臺的合作中，主要承擔的義務(wù)是依照第三方支付的指令進行資金劃撥。

銀行與付款人存在信用卡或借記卡合同關(guān)系，對銀行來說，其負有按照付款人指令將存款支付給收款人或其指定的代理人、保障存款人資金安全等義務(wù);對付款人來講，其負有妥善保管銀行卡信息及密碼的義務(wù)。兩者之間是傳統(tǒng)的金融服務(wù)合同關(guān)系，雖然因第三方支付機構(gòu)的介入，兩者在客戶身份識別、客戶資金和信息安全等方面的義務(wù)增多，但是兩者的基礎(chǔ)法律關(guān)系仍然未發(fā)生變化。

面臨的風險

第三方支付機構(gòu)主體資格及經(jīng)營范圍風險?！斗墙鹑跈C構(gòu)支付服務(wù)管理辦法》規(guī)定了非金融機構(gòu)提供第三方支付服務(wù)的主體資格條件：“非金融機構(gòu)提供第三方支付應(yīng)當取得《支付業(yè)務(wù)許可證》，成為支付機構(gòu);支付機構(gòu)須依法接受中國人民銀行的監(jiān)督管理，未經(jīng)中國人民銀行批準，任何非金融機構(gòu)和個人不得從事或變相從事支付業(yè)務(wù)。”從事第三方支付除應(yīng)當具有符合條件的主體資格外，經(jīng)營范圍也有較高要求：“支付機構(gòu)應(yīng)當按照《支付業(yè)務(wù)許可證》核準的業(yè)務(wù)范圍從事經(jīng)營活動，不得從事核準范圍之外的業(yè)務(wù)，不得將業(yè)務(wù)外包。支付機構(gòu)的分公司從事支付業(yè)務(wù)的，支付機構(gòu)及其分公司應(yīng)當分別到所在地中國人民銀行分支機構(gòu)備案?！备鶕?jù)以上要求，第三方支付機構(gòu)開展經(jīng)營活動必須經(jīng)人民銀行審批，同時應(yīng)該在核準經(jīng)營的范圍內(nèi)開展經(jīng)營活動。

目前，經(jīng)人民銀行審批合法經(jīng)營的第三方支付機構(gòu)共269家，主體資質(zhì)良莠不齊，而商業(yè)銀行與第三方支付機構(gòu)的合作正處在探索階段，雖然商業(yè)銀行總行在合作機構(gòu)的遴選和資質(zhì)考察方面較為審慎嚴格，但是部分分支機構(gòu)為完成內(nèi)部經(jīng)營指標考核，在遴選合作機構(gòu)過程中，更加注重合作的第三方機構(gòu)能否為自身帶來更多的經(jīng)營收益，合作的業(yè)務(wù)范圍能否最大化的創(chuàng)造利潤，因此在主體資格和業(yè)務(wù)經(jīng)營范圍方面的考察失于嚴謹。同時，因商業(yè)銀行的分支機構(gòu)相對獨立，總行對分支機構(gòu)的合作情況缺乏統(tǒng)一管理，更無法做到對合作第三方支付機構(gòu)的動態(tài)監(jiān)管，但是當一家分支機構(gòu)的合作第三方支付機構(gòu)出現(xiàn)風險時，往往導(dǎo)致出現(xiàn)全行性聲譽風險。

第三方支付平臺交易安全風險可能波及銀行系統(tǒng)聲譽或安全。第三方支付機構(gòu)與銀行各接口進行對接，集成網(wǎng)關(guān)，隔絕了商戶網(wǎng)絡(luò)、用戶網(wǎng)絡(luò)與銀行網(wǎng)上銀行之間的聯(lián)系，雖然第三方支付在技術(shù)上不斷取得突破，效率提升，安全保障功能也加強了，但是在第三方支付平臺中的交易模式中，無論是簽訂服務(wù)合約還是進行資金的委托保管都是置于虛擬的網(wǎng)絡(luò)環(huán)境中，而在交易過程中，因為第三方支付平臺系統(tǒng)漏洞或者是網(wǎng)絡(luò)釣魚、木馬病毒或黑客入侵導(dǎo)致的交易信息的泄露會極大的侵害交易者的財產(chǎn)安全權(quán)。消費者在自有資金受到損害時，通常認為保障資金安全是商業(yè)銀行而非第三方支付機構(gòu)的責任，第一時間聯(lián)系銀行尋求保護，無法追償資金時，尋求多種手段向銀行追償，這種尋求救濟的思路之下，商業(yè)銀行極易產(chǎn)生被訴風險，若處理不當，更容易引發(fā)嚴重的聲譽風險。

消費者隱私信息泄露被利用攻擊銀行客戶賬戶。在第三方支付平臺代收代付消費者資金的過程中，為了保證交易的真實有效性，第三方支付機構(gòu)往往需要消費者提供一系列的個人資料信息，同時也可以利用技術(shù)方法獲得更多他人的個人信息，如果這些留置于第三方支付平臺數(shù)據(jù)庫中的龐大個人信息群，一旦因為管理疏漏或者網(wǎng)絡(luò)的客觀風險泄露或擴散，被不法分子收集利用攻擊銀行客戶賬戶，不僅導(dǎo)致客戶財產(chǎn)及信息安全受到侵害，同時也使銀行的賬戶安全遭到侵害，加重銀行對客戶賬戶的安全管理義務(wù)。

商業(yè)銀行無法及時監(jiān)測違法行為。由于第三方支付的主要目的是通過提供技術(shù)平臺，促進交易順利完成，對交易的目的、對象以及真實性并不刻意注重，因而極易導(dǎo)致違法犯罪行為的乘虛而入。在第三方支付中，通過一張信用卡、一個支付寶賬號和互相串通的買賣雙方，就可以將信用卡里的錢成功套現(xiàn)，而在交易中，商業(yè)銀行只是被動接收付款指令，而不能掌握交易信息，很難對交易背景的真實性做出判斷，一旦買賣雙方互相串通，信用卡套現(xiàn)將會變得十分容易。此外，第三方支付是伴隨網(wǎng)絡(luò)經(jīng)濟的產(chǎn)物，網(wǎng)絡(luò)經(jīng)濟除具有隱蔽性的特點外還具有匿名性，為洗錢犯罪提供了很大便利，商業(yè)銀行很難根據(jù)《反洗錢法》的要求履行建立客戶身份識別制度、客戶身份資料和交易記錄保存制度的義務(wù)，商業(yè)銀行面臨較大的反洗錢壓力。

應(yīng)對措施

目前，無論是從法律規(guī)范還是監(jiān)管要求方面，都對商業(yè)銀行提出了嚴格的責任，且隨著消費者的維權(quán)意識日益加強，在運用法律手段維護自身利益方面，往往因為商業(yè)銀行資金充足具備償還能力，且其經(jīng)營注重聲譽風險等特點，最終選擇由商業(yè)銀行承擔損失。在第三方支付業(yè)務(wù)領(lǐng)域，商業(yè)銀行面臨監(jiān)管機構(gòu)的嚴格要求和激烈的市場競爭，應(yīng)當從外部合作、內(nèi)部規(guī)范、符合監(jiān)管需求等各方面加強完善，防范第三方支付業(yè)務(wù)中面臨的法律風險。

謹慎選擇合作第三方支付機構(gòu)，完善雙方合作協(xié)議。雖然人民銀行出臺《非金融機構(gòu)支付服務(wù)管理辦法》對第三方支付機構(gòu)進行金融監(jiān)管，并對其進行發(fā)放經(jīng)營牌照，事實準入制度，但是因為互聯(lián)網(wǎng)金融業(yè)務(wù)的繁榮發(fā)展，第三方支付機構(gòu)中魚龍混雜，由許多資質(zhì)不佳的機構(gòu)在市場中實施違法行為，通過與銀行的業(yè)務(wù)合作，盜取銀行的客戶信息實施侵權(quán)行為，給合作銀行造成了大量的資金損失，因此商業(yè)銀行商業(yè)銀行在與第三方支付機構(gòu)合作過程中，一是須關(guān)注第三方支付機構(gòu)的主體是否合法，是否符合現(xiàn)有規(guī)章制度，確保第三方支付機構(gòu)主體資格合法合規(guī);二是注意審核該機構(gòu)《支付業(yè)務(wù)許可證》上已核準的業(yè)務(wù)范圍，避免超范圍合作;另外，還應(yīng)動態(tài)關(guān)注該機構(gòu)的經(jīng)營狀況，發(fā)現(xiàn)有超范圍經(jīng)營、業(yè)務(wù)外包、轉(zhuǎn)讓、出租、出借許可證行為的，應(yīng)及時中止或終止業(yè)務(wù)合作。

商業(yè)銀行應(yīng)該根據(jù)新形勢不斷完善與第三方支付機構(gòu)的合作協(xié)議，商業(yè)銀行與支付機構(gòu)簽訂業(yè)務(wù)合作協(xié)議時，應(yīng)就非商業(yè)銀行直接進行客戶身份認證的批量扣款或電子支付，與支付機構(gòu)就賠付問題達成一致。商業(yè)銀行應(yīng)在協(xié)議中明確約定由支付機構(gòu)自行完成客戶身份認證的資金支付，應(yīng)有支付機構(gòu)就客戶資金被盜等風險事件承擔先行賠付責任，并就此指定詳細的操作流程，確?？尚行约安僮餍?。

嚴格做好客戶信息安全與保密工作。商業(yè)銀行與第三方支付機構(gòu)合作開展各項業(yè)務(wù)，對涉及到的客戶金融信息管理，應(yīng)嚴格遵循有關(guān)法律法規(guī)和監(jiān)管制度的規(guī)定，嚴格遵照客戶意愿和指令進行支付，不得違法違規(guī)泄露。一是在客戶身份認證方面商業(yè)銀行賬戶與第三方支付機構(gòu)首次建立業(yè)務(wù)關(guān)聯(lián)時，應(yīng)經(jīng)雙重認證，即客戶在通過第三方支付機構(gòu)認證同時，還須通過商業(yè)銀行的客戶身份鑒別。二是商業(yè)銀行應(yīng)構(gòu)建安全的網(wǎng)絡(luò)通道（如專線連接、VPN通道等），指定安全邊界（如部署防火墻、DMZ隔離區(qū)等），防止第三方支付機構(gòu)越界訪問，確?？蛻粜畔踩?。

加強內(nèi)部制度管理，保障交易資金安全。一是商業(yè)銀行應(yīng)對客戶的技術(shù)風險承受能力進行評估，客戶與第三方支付機構(gòu)相關(guān)的賬戶關(guān)聯(lián)、業(yè)務(wù)類型、交易限額等決策要求應(yīng)與其技術(shù)風險承受能力相匹配;二是將與第三方支付機構(gòu)的合作業(yè)務(wù)納入全行業(yè)務(wù)運營風險監(jiān)測系統(tǒng)的監(jiān)控范圍，對其中的商戶和客戶在本行的賬戶資金活動情況進行實時監(jiān)控，達到風險標準的應(yīng)組織核查。特別是對其中大額、異常的資金收付應(yīng)做到逐筆監(jiān)測、認真核查、及時預(yù)警、及時控制;三是商業(yè)銀行應(yīng)通過電子渠道驗證和辨別客戶身份，應(yīng)采用雙（多）因素驗證方式對客戶身份進行鑒別，對不具備雙（多）因素認證條件的客戶，其任何賬戶不得與第三方支付機構(gòu)建立業(yè)務(wù)關(guān)聯(lián);四是商業(yè)銀行對賬戶與第三方支付機構(gòu)建立業(yè)務(wù)關(guān)聯(lián)的客戶，應(yīng)開通至少一種賬戶變動即時通知技術(shù)方式，并通過柜員介紹、短信提示、網(wǎng)站提醒、官方微博或微信提醒等多種渠道對客戶使用第三方支付相關(guān)的商業(yè)銀行產(chǎn)品或服務(wù)進行防欺詐知識宣傳，使客戶了解相關(guān)的基本常識以及常見的詐騙手段，引導(dǎo)客戶提高風險防范意識。

建立聯(lián)動風險防控機制。商業(yè)銀行在加強自身體系防御和對第三方支付機構(gòu)的監(jiān)測基礎(chǔ)上，加強與第三方支付機構(gòu)和保險機構(gòu)合作，尋求建立完備的風險防控體系和損失補償制度。一是建立有效的風險信息溝通渠道。商業(yè)銀行與第三方支付機構(gòu)可以通過與客戶簽署三方協(xié)議的方式，在客戶授權(quán)基礎(chǔ)上及時分享最新的風險事件，識別外部欺詐手段，針對性的建立風險防控措施。二是探索成立風險事件披露平臺。通過銀行渠道、支付機構(gòu)渠道及時向客戶披露網(wǎng)絡(luò)支付中的風險事件，提示客戶防范外部欺詐。三是在信息共享的基礎(chǔ)上建立風險防控模型。依托大數(shù)據(jù)技術(shù)，建立完善風險識別模型，準時和及時發(fā)現(xiàn)交易信息中的異常數(shù)據(jù)，為明確風險防控重點和指定針對性的風險防控措施提供支持。四是積極探索建立第三方支付損失保險制度。商業(yè)銀行應(yīng)該積極與保險公司合作，探索建立針對因外部欺詐等無法預(yù)測的風險導(dǎo)致的客戶資金損失保障制度，當客戶因外部欺詐或其他非本人原因?qū)е沦~戶資金被盜時，通過賬戶保險制度，積極對客戶予以賠償，以及時妥善解決客戶資金損失產(chǎn)生的投訴等問題，有效防控矛盾升級導(dǎo)致的聲譽風險。

（作者單位：中國工商銀行法律事務(wù)部）