在加强银行内部风险防范方面,10号文要求银行将与第三方支付机构的合作需纳入全行业务运营风险监测系统的监控范围,达到风险标准的,应组织核查,特别是对其中大额、异常的资金收付要逐笔监测。银行应构建安全的网络通道(如专线连接、VPN通道等),制定安全边界(如部署防火墙、DMZ隔离区等),防止第三方机构越界访问。
据银行人士解释,所谓越界访问,是指快捷支付的功能超出了银行的授权范围。通常银行对支付接口的用途设定一定的授权,比如只能用于缴纳水电煤气费,但一些第三方支付机构在操作中存在扩宽支付接口用途的行为,将之延伸到购物等领域,但商业银行并未给其授权,“支付机构就偷偷摸摸地干了。如果支付机构想从这个接口处理其他业务,可以和银行谈在明处,银行会按照合规性的要求来合作”。
比如,银行授权支付宝的个人信息只是用于支付,但淘宝可能就会给客户推送一些广告,“在这个过程中,银行和支付机构共享的客户信息越多,信息保护安全性越差”。
10号文第十五条还要求商业银行对客户通过第三方支付机构进行的交易,建立自动化的交易监控机制和风险监控模型,对资金情况实时监控,及时发现和处置异常行为、套现或欺诈事件。
”这一条能否落实,取决于支付机构首先应按照去年央行下发的《银行卡收单管理办法》的规定,把明细的完整交易信息传输给银行,包括交易信息、真实场景、商户名称等信息,银行才能据测此建立风险识别监测模型。“前述银行人士称,目前,无论买理财、水电煤费、购物等,银行只能看到有资金通过第三方支付机构交易,但无法得知资金用途。
按照《银行卡收单管理办法》的规定,交易信息至少应包括:直接提供商品或服务的商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道,交易发起方式等。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。但实际操作中,大多数第三方支付机构发送给银行的信息并不包括二级账户的信息,即银行只能看到这笔第三方交易,但无法得知资金具体流向和用途,就无法向客户提示风险。
他介绍说,银行卡对每一笔交易的详细信息都会短信提醒给客户,降低出现伪卡盗刷现象,有利于识别风险。比如一天之内,某张银行卡在泰国和欧洲各发生了一笔交易,商业银行就会短信提醒,确认是否系卡主本人的支付行为。”其实这些交易信息支付机构都掌握,只是支付机构的信息提醒没有银行这么细;另外,支付机构想把银行给屏蔽掉,让银行慢慢失去这个客户的信息,让客户直接面对第三方支付机构。“
他亦强调,银行和第三方支付机构合作顺利的前提,是双方都遵守监管规定、合法合规。“比如,在快捷支付方面,此次银行并未下调腾讯财付通的支付额度,单笔支付限额都在几万元,这也是双方都尊重规则的结果。身份识别、交易验证,这些都是保护客户资金安全的最基本的底线,全世界都一样。”
为何各大行对于支付宝和财付通的快捷支付政策不同。业内人士认为,这或许和财付通推出的理财通产品之安全性有关系,理财通的申购赎回要求必须是原卡申购原卡赎回,而余额宝在赎回时可以跨行,这增加了安全上的难度。
财新专栏作者信海光撰文表示,此前携程网信用卡支付信息泄密事件,关键就在于如何合规对待用户信息上。携程网操作不规范,不但存储了CVV2码等按照国际惯例不该存储的信息,而且没有加密,使得信用卡支付这种安全的支付方式也变得不安全。“没有绝对安全的支付方式,关键在于操作者是否规范,相关的保障制度是否健全。”
一位消费者则告诉财新记者,“某天第二次用快捷支付时,发现信用卡号码都被记在里面了,直接输密码就完成支付,这样是很快,但是感觉好没安全感。”
一位不愿意透露姓名的第三方支付公司高管表示,创新不能没有底线,“很多第三方支付从业者不是不明白,是装糊涂,总是习惯用情绪化的抱怨来代替说理。”
