银行与第三方支付机构的合作主要体现在快捷支付和网关支付两个方面。而最近围绕银行和第三方支付机构的矛盾,主要是银行要降低快捷支付的限额,基本要控制在小额的范围内。“这触碰到了支付宝想要大发展的‘根’。”一位第三方支付机构人士如是说。
所谓快捷支付,是指用户在网上购买商品时,不需开通网银,只需提供银行卡卡号、户名、手机号码等信息,银行验证手机号码正确性后,第三方支付机构发送手机动态口令到用户手机号上,用户输入正确的手机动态口令,即可完成支付。
网关支付,即支付机构为用户提供通道,从支付机构页面跳转银行网银页面。这种支付方式可采用数字证书(U盾,即数字签名)验证交易,金额不受限制,比快捷支付安全。
10号文在客户身份认证、信息安全、交易限额、交易通知、赔付责任、第三方支付机构资质和行为、银行的相关风险管控等方面,提出了针对性要求,包括进一步规范快捷支付和网关支付。
快捷支付额度是由第三方支付机构向央行申请,由央行确定一个区间,商业银行负责执行,支付限额由每家银行自定,标准不一。从目前的实际情况看,快捷支付的额度几度提升后,金额已不能称之为小额了,有的银行月累积限额可以达到50万元。
此次10号文要求对等的安全保障原则。在第三方支付机构资质方面,首先银行要对客户的风险承受能力进行评估,客户与第三方支付机构相关的账户关联、业务类型、交易限额等要与其技术风险承受能力相匹配。
同时,10号文要求银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额。要求银行向客户提供临时调整支付限额的服务,在客户提出申请且通过身份验证和辨别后,在临时期限内可以适当调整单笔支付限额和日累计支付限额。至于限额是多少、临时期限有多长,由银行自己决定。
10号文再次重申了客户身份认证的重要性。要求首次建立业务关联时,必须通过第三方支付机构和银行的双重身份鉴别。此前86号文可由第三方支付机构单独认证客户身份,5号文则要求商业银行识别。10号文再次强调银行在用电子渠道验证客户身份时,应采用双因素验证方式对客户身份进行鉴别。
在交易通知方面,要求客户应开通至少一种账户变动即时通知技术方式,不具备条件的客户,不得通过银行与第三方支付机构建立一次性的、多次支付的业务合作。同时,对预留手机号码且设定短信通知的客户,要在客户进行支付时,对第三方支付机构提供的手机号码和银行预留的手机号码,进行一致性检验。此外,商业银行应就大额支付、可疑支付及时通知客户,对开通短信或其他方式即时通知功能的客户,应就每一笔支付交易即时通知客户,通知信息包含但不限于第三方支付机构名称、交易金额、交易时间等。
在赔付责任方面,10号文要求,商业银行在与第三方支付机构签订合作协议时,对于非银行直接认证的客户身份的批量扣款或电子支付,要与第三方机构就赔付责任达成一致。要求对客户通过大额资金划转强化身份认证,确保由客户本人发出资金划转要求。对大额支付、可疑支付要及时通知客户。从银行账户划出的支付交易资金,遇到交易终止、失败应划回原银行账户。
10号文第十六条则直接针对第三方支付机构的备付金管理出现的问题,强化对备付金监督管理。要求凡涉及备付金存放和资金划转的,均应建立每日对账制度,严格执行备付金银行及备付金银行账户相关监管要求,明确不得使用或变相使用银行内部账户以待清算资金等名义,为第三方支付机构存放客户备付金。商业银行应就第三方支付机构备付金存管业务建立统一管理机制,未经总行书面授权,任何分支机构不得直接与第三方支付机构合作开展备付金存管业务。
一位银行网络银行部人士透露,长期以来,支付宝利用手中沉淀的备付金,找各家银行的各分支行谈判,以求利益最大化。“但这不利于银行内部的集中管理,也不利于支付宝的头寸调度。”
