为规范非银行支付机构网络支付业务，防范支付风险，保护当事人合法权益，央行起草了《非银行支付机构网络支付业务管理办法(征求意见稿)》(以下简称《征求意见稿》)，并从7月31日起向社会公开征求意见。8月7日，央行又通过《人民日报》对网络支付新规作出回应，称非银行支付机构“在迅速发展的过程中，相关问题和风险不断显现，消费者未能得到有效保护”。央行还指出，“满足金融消费者的有效需求、维护消费者权益是金融工作的出发点。罔顾安全，简单地迎合消费者金融需求，往往是造成金融风险乃至金融危机的重要原因。”沪上某大型商业银行人士日前在接受记者采访时也指出，当前的网络支付业务有诸多风险隐患，而《征求意见稿》对这些风险均有针对性的办法。

　　是进步，而非倒退

　　中信证券分析师肖斐斐、向启指出，传统的支付清算体系为:央行不直接与社会单位和个人对接，而是由各商业银行将各自的账户及结算系统接入央行的支付清算系统，即央行作为“终极账户”，为各商业银行提供清算服务；各商业银行直接与社会单位和个人对接，提供账户及支付结算服务。“对央行而言，可通过这套体系将所有资金流动及以此为基础开展的金融业务纳入监管范围，其对防范风险的重要性不言而喻。”肖斐斐、向启表示。

　　“支付机构的存在为绕开现有的以央行和银行为主导的支付体系提供可能。”肖斐斐、向启指出，“当前支付机构为用户提供支付服务，可通过三种方式:跳转银行网关；银行卡快捷支付；为用户开立"虚拟账户"(如支付宝账户)。前两种方式均不需要开立"虚拟账户"且都是通过银行结算支付，而第三种方式可以使得支付机构绕开现有央行支付体系。支付机构一方面在各银行开立普通账户，另一方面为用户开立"虚拟账户"，当用户将其银行账户的资金转入"虚拟账户"后，对支付机构而言，其可在自有的支付体系中为客户提供支付服务以及由此衍生出的融资、理财等综合金融服务；对商业银行而言，只会与支付机构发生结算关系，而与客户之间的关系被隔断；对央行而言，由于银行与客户之间关系被隔断，社会单位和个人的金融活动便游离于监管之外。”

　　“因此，我们认为央行新规并非退步，而是进步。”肖斐斐、向启认为，新规对于互联网用户九成的金融需求和使用不会产生影响，但将资金流转约束在央行和商业银行为主体的支付体系中，兼顾用户体验和金融安全。

　　剑指五大风险

　　在某大型商业银行人士看来，当前的网络支付业务有五大风险隐患，而《征求意见稿》对这些风险均有预防和化解之道。

　　风险之一:支付账户管理要求不清，处于金融监管真空地带。“从金融范畴来看，账户应是本人开设在银行体系内，归属本人，且可以根据本人意愿有效支配资金的户头，是金融体系的核心基础。但是，支付账户的出现打破了整体金融体系构架:一方面，支付账户游离于金融账户管理范畴外，客户可以随意在任一支付机构网站，通过互联网进行申请，且无需通过面对面核对身份要求即可开立，缺乏实名制验证等要求，不利于反洗钱和反恐怖融资等相关要求；另一方面，支付账户中的资金监管存在灰色地带，即客户从银行账户转入支付账户的资金，只有在支付机构体系内显示是属于客户本人的资金，从银行体系内无法体现客户对于资金的所有权。”该银行人士称。

　　央行在回应中也指出，支付账户普遍未落实账户实名制。“据公安部反映，不少机构为"黄赌毒"、洗钱、恐怖融资及其他违法犯罪活动提供便利。”央行称。

　　央行同时也指出，“挪用客户资金事件时有发生。”“多地屡次引发消费者上街和围堵政府部门事件，严重影响社会稳定。”

　　前述银行人士指出，《征求意见稿》“明确支付账户定义与属性，落实账户实名制管理要求”。“首先，第三条明确了支付账户的定义，一定程度上对于支付账户开立提升了门槛，规范了支付账户使用范围；其次，第五条对于支付账户的开立明确了实名制管理要求，并落实了支付机构核实客户身份的职责，一定程度上杜绝了虚假账户等的开立申请；第三，第十条对于支付账户余额的属性进行了明确定义，同时进一步提示客户该部分资金"不受《存款保险条例》保护"，但"该预付价值对应的货币资金的所有权归属客户"，明确地将支付账户余额与银行存款进行了边界区分。”该人士称。

　　风险之二:支付账户功能存在跨界问题，易形成系统性金融风险。前述银行人士表示:“现行支付机构业务范围已突破了货币资金转移的单一功能，逐步覆盖至资金账户开立、资金借贷存储、转账取现、公共事业类缴纳、理财投资担保等，基本等同于银行账户的一般功能，但却游离于金融账户监管体系之外，且支付机构对于前述的类金融服务尚缺乏完整业务监管体系与风险承担机制，在极端情况下，可能会造成连锁反应，对支付体系、信贷体系乃至整个金融体系的安全造成严重影响。”

　　在这方面，该银行人士对《征求意见稿》的解读是“立足审慎管理原则，明确支付机构业务范围”。“第八条、第十三条均采用禁止性要求对于支付机构不允许开展业务进行了明确。同时，第十四条进一步落实了网络支付业务管理要求，即"应执行银行卡业务监管要求与管理规范"，极大提升了支付机构网络支付管理要求。”该人士称。

　　风险之三:支付账户存储海量客户信息，存在巨大安全隐患。前述银行人士指出:“网络支付业务飞速发展的同时，各类新型风险案件与作案手法也层出不穷，其核心的问题就在于客户信息安全性管理缺失。支付机构的支付账户掌握了大量客户真实身份信息，还掌握了客户大量支付信息，一旦发生系统问题，将导致客户信息大量泄漏，存在极大的风险隐患。”

　　央行也指出，非银行支付机构疏于安全管理，具体而言，“部分支付机构风险意识薄弱，客户资金和信息安全机制缺失，安全控制措施不到位，对消费者的信息和财产安全构成严重威胁，甚至可能将相关风险引导至消费者的银行账户。今年1月，某支付机构泄露了上千万张银行卡信息，涉及全国16家银行，截至7月31日，由于伪卡形成的损失已达3900多万元。”

　　前述银行人士指出:“《征求意见稿》一方面在第二十三条、第二十四条及第二十九条中要求支付机构的验证要素需"通过符合相关技术安全标准要求且具有数据安全存储和运算能力的硬件载体"进行保护，另一方面在第三十四条、第三十五条及第三十六条中明确支付机构"不得存储客户银行账户密码、银行卡验证码和有效期等敏感信息"，同时还应承担特约商户管理职责。上述两点管理要求极大提升了客户信息安全管理等级，切实保障了客户信息保留在安全体系内，将一定程度降低虚假欺诈、伪冒类交易发生率。”

　　风险之四:监控体系尚不完备，易催生违规交易。“一方面，支付账户易被非法违规利用，另一方面，由于支付机构不向银行上送完整的交易信息(如二级商户名称、交易类型等)，银行根本无法监控每笔交易的来源、实际用途、商户真实信息等，只能被动地为第三方支付机构提供清算服务，实际已造成客户交易资金使用处于监管真空地带，对于客户与商户都造成了一定损失，易造成社会大众对于网络支付业务的不安全感。”前述银行人士指出，而《征求意见稿》对于支付机构发起交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性提出了要求。风险之五:过度追求客户体验，风险与效益的平衡较难把控。前述银行人士表示:“网络支付业务的发展是基于市场大众对其便利性的需求，从推出伊始普遍关注的焦点大多围绕"客户体验"，而业务背后隐藏的风险较难发现。随着业务普及，各类问题特别是客户权益问题逐步展现，其背后正是客户对于网络支付业务风险性的认识盲区，客户对于网络支付安全性知识亟需加强。”

　　“《征求意见稿》中多项条款均对于客户知情权进行了保障，如对于客户开立支付账户的，支付机构应要求"客户确认已充分知晓并清晰理解"风险。另外，对于非因客户原因导致的资金损失，明确了支付机构进行全额赔付的要求，有效保护了客户资金权益。”该银行人士表示。

　　在新规下，商业银行将持续提升自身产品体验与服务水平，在合规合法的基础上与非银行支付机构加强合作，共同为客户提供安全、便捷的支付服务和体验。