7月31日,央行在网站上公布《非银行支付机构网络支付业务管理办法(征求意见稿)》,公开征求意见。
每经编辑 每经记者 万敏
每经记者 万敏
各位某宝、某东的剁手族们,你们再也不用担心钱不够花了,只要你的支付账户实名制程度够高、支付的验证手段够过硬,用支付账户余额进行支付就可能不受额度限制了,之前流传的单笔最高限额5000已经不算数了!
7月31日,央行在网站上公布《非银行支付机构网络支付业务管理办法(征求意见稿)》,公开征求意见。与2014年三月份被支付机构自己爆出的行业内部征求意见稿相比,此次公开版本征求意见稿的最大变化就是对支付限额做出了一定程度上的放松,而这也正是去年那版征求意见稿最惹争议的部分。
2014年的征求意见稿中是这样规定的,“第二十五条个人支付账户转账单笔金额不得超过1000元,统一客户所有支付账户转账年累计金额不得超过1万元。超过限额的,应通过客户的银行账户办理。
第二十六条个人支付账户单笔消费金额不得超过5000元,同一人客户所有支付账户消费月累计金额不得超过1万元。超过限额的,应通过客户的银行账户办理。”
这版征求意见稿在2014年3月份曝光后,舆论一片哗然,各家支付机构也纷纷喊话“不能愉快的玩耍了”,大约一周之后,央行在其官方微博上解释称,该文件重心不在具体额度,而在业务及流程的各项风险控制。“目前仅在央行职能司局与机构小范围讨论阶段,对涉及的重大问题,还需征求社会公众意见,会在监管部门、支付机构、消费者三方之间寻求‘最大公约数’,在达成共识的基础上最终出台。 ”
现在回过头来看,央行当时解释并非空话。此次公开的《征求意见稿》与上一版相比最大的变化就是,在支付限额的确定上采取了更灵活的方式,以账户实名制的强弱及以交易环节验证级别的安全性高低来划分支付的额度,而非简单的一刀切。
先看看央行的原文:
“支付机构应根据客户身份对同一客户开立的所有支付账户进行关联管理。个人客户拥有综合类支付账户的,其所有支付账户的余额付款交易(不包括支付账户向客户本人同名银行账户转账,下同)年累计应不超过20万元。个人客户仅拥有消费类支付账户的,其所有支付账户的余额付款交易年累计应不超过10万元。超出限额的付款交易应通过客户的银行账户办理。”
“支付机构应根据支付指令验证方式的安全级别,对个人客户使用支付账户余额付款的交易进行限额管理。支付机构采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易,单日累计限额由支付机构与客户通过协议自主约定;支付机构采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元(不包括支付账户向客户本人同名银行账户转账,下同);支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。”
央行对此解释说,“考虑到客户在小额支付场景下对支付速度的客观需要,为兼顾安全与效率,本条款允许支付机构在小额支付业务中简化支付指令验证方式,仅采用一类验证要素甚至不采用验证要素,但这必须基于两个前提,一是支付机构对该笔交易的风险损失无条件承担全额赔付责任,二是单日累计金额应不超过1000元。客户将支付账户余额转账至本人同名银行账户的交易不受上述限额管理。”
除了可能直接影响你每天网购的限额,央行规定的这几点,也不得不看,因为这直接涉及你的资金和个人信息安全——
支付账户余额不等于存款
安全问题始终是支付行业监管的重中之重,此次央行发文也充分体现了这一核心精神,如支付账户的实名制管理、支付账户资金与银行存款的区别。
文件原文:“支付机构为客户开立支付账户的,应当对客户实行实名制管理,登记客户身份基本信息,核实客户有效身份证件,按规定留存有效身份证件复印件或者影印件,并通过三个(含)以上合法安全的外部渠道对客户身份基本信息进行多重交叉验证,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。”
“以显著方式明确告知客户:“支付账户所记录的资金余额不同于客户本人的商业银行货币存款,其实质为客户向支付机构购买的、所有权归属于客户并由支付机构保管的预付价值,不受《存款保险条例》保护。该预付价值对应的货币资金的所有权归属于客户,但以支付机构的名义存放在商业银行,可由支付机构向其开户银行发起支付指令进行调拨。”支付机构应当采取有效方式要求客户确认已充分知晓并清晰理解上述内容及相关风险。”
客户信息采集使用“最小化”
对客户信息采集和使用的规范也是监管的重点,在当前我国个人征信体系不断完善的背景下,个人信息的保护与每个人金融消费者的利益息息相关。
文件原文:“支付机构应当以“最小化”原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和范围。支付机构不得向本机构以外的其他机构和个人提供客户信息,因办理支付业务需要并经客户逐项确认并授权的,以及法律法规另有规定的除外。
支付机构不得存储客户银行账户密码、银行卡验证码和有效期等敏感信息。因特殊业务需要,支付机构确需存储客户银行卡有效期的,应当取得客户和开户银行的授权,以加密形式存储。”
银行依然担责任
在一些由于支付导致的资金被盗、银行卡密码被盗等案件中,在法律上往往很难追溯责任,此次征求意见稿也在一定程度上明确了非银支付机构、银行、客户三者之间的权责关系。
文件原文:“支付机构根据客户授权,向客户开户银行发送支付指令,扣划客户银行账户资金的,支付机构、客户和银行在事先或者首笔交易时,应当按照下列规则明确相关授权并依照执行:
(一)支付机构应当取得客户和银行的授权,同意其向客户的银行账户发起支付指令扣划资金;
(二)银行应当与客户直接签订授权协议,明确约定客户身份及交易验证方式,以及交易限额等必要风险管理措施;
(三)除单笔金额不足200元的小额支付业务,以及公共事业费、税费缴纳等收款人固定并且定期发生的支付业务外,支付机构不得代替银行进行客户身份及交易验证。银行对客户资金安全的管理责任不因支付机构代替验证而转移。
支付机构应当为银行对客户的身份及交易验证提供必要技术支持,不得人为设置障碍。”
虽然是本着保护客户资金安全的点出发,但是,支付机构辛苦攒来的客户数据会不会就这样被银行拿走呢?
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。