“钱”和“信息”一直是聚合支付关注的最大风险点,央行规范聚合支付市场的文件在今年频频颁布,旨在对资金和信息的安全进行监管保护。
监管的加强对于规范聚合支付市场,提升聚合支付服务水平具有积极的促进作用。但是,若要具体了解聚合支付市场的发展规范,还须理清五大问题。
聚合支付定位问题
央行出台的文件将聚合支付机构定位为“收单外包服务机构”。严禁聚合支付服务商以任何形式截留结算资金,从事或者变相从事商户资金结算业务。收单机构应当对聚合支付服务商进行全面尽职调查并审慎选择合作机构,通过协议禁止并采取有效措施防止业务转包。
同时表示,鼓励部分收单机构或聚合支付服务商创新开展“聚合支付”服务,为商户提供支付渠道的融合服务、一站式资金结算和对账的技术解决方案,降低商户的系统投入和运营成本,满足资金结算和财务对账效率的实际需求;进而为消费者提供多元化支付方式,提升消费者支付体验,推动支付服务环境不断改善。
按支付资金来源分析,聚合支付服务机构在支付链条中的定位,介于银行、第三方支付机构和商户之间,属于它们的收单外包服务机构。
监管问题
交易链条长、交易结构复杂、信息不透明,使得聚合支付服务不利于监管。在聚合支付收单链条中,一笔交易的资金流转可被拆分成4段:
1.消费者银行账户里的资金划付给第三方支付机构的备付金银行账户;
2.再由第三方支付机构的备付金银行账户划转到商业银行;
3.商业银行将资金转给“收单服务机构”
4.“收单支付机构”再将资金最后划给商户。
可见,资金流水的核实需要多家机构配合,查清一笔交易资金的来龙去脉是一个棘手难题。因此,为实现资金链全流程的监测和统计,穿透式监管系统的建设势在必行。
商户真实性问题
确保合作商户信息真实,是聚合支付服务机构开展业务的基本底线。第三方支付机构虽然明确要求收单服务机构上传合作商户信息,但只是走标准化流程,不会对商户信息进行一一调查。
另外,央行规定“备付金银行账户间不得发生资金往来”,微信、支付宝两巨头与其他支付机构在扫码业务合作过程中,会寻找商业银行来做资金中转。此时,商业银行作为资金中转机构,认为自己的职责仅为资金结算服务,并不会负责对商户真实性的审核,而事实上商业银行也没有足够的资源来对众多的中小微商户进行逐一管理。而合作的支付机构与聚合支付服务机构则会认为,在支付链条中自己的定位是收单外包服务商,仅提供技术支持和对接服务,不负责对商户真实性的审核。
根据以上分析,在整个支付流程链条中,没有“人”认为自己是收单机构,去负责商户问题的管理。而且,聚合支付机构的服务对象主要是中小微商户,一一确保商户信息的真实性工作本身就极为困难,而收款资金链中各合作方定位的混乱,更是让商户真实性审核问题加剧。
交易处理问题
从业务开展的实际来看,聚合支付主要以扫码技术为主,无可避免会涉及到具体支付业务的交易处理,违反“收单外包服务机构”的定位,触碰“收单核心业务”的禁区。
在二维码被扫模式下,聚合支付通过扫码,采集消费者支付端口的二维码和商户信息,然后再将采集到条码信息、商户信息上传到“收单机构”。因此,聚合支付在此模式下,涉及到信息处理,直接触碰到支付核心业务。
在二维码主扫模式下,聚合支付通过收集商户信息来生成收款二维码,消费者通过手机APP扫描二维码信息进入相关的支付页面,输入订单金额信息,然后由聚合支付终端将采集的信息上传到“收单机构”。这种方式使聚合支付在某种意义上,也会涉及核心支付业务的交易处理。
信息安全问题
在以扫码支付为主的聚合支付业务中,作为收单机构的第三方支付平台,在接到交易信息后,系统会自动判断该笔交易的密保问题,消费者输入的信息中,难免会涉及到密码的提交。聚合支付服务机构虽未接触类似账户支付密码等敏感信息,但交易过程中所接触到的交易金额与合作商户数据,一览无遗。
因此,对聚合支付机构信息留存和泄露风险的防范也是必然。此外,聚合支付机构还须对其业务管理系统的稳定、安全负责,确保支付价值链的连贯;监管部门也应对聚合支付业务系统的技术标准做出规定。