互聯網支付的風險與防控

●中國工商銀行股份有限公司結算與現金管理部 王正萍

一、互聯網支付概述

（一）發展背景。近年來，國內電子商務行業發展迅猛，陸續涌現出以淘寶、京東、蘇寧為代表的大型電商平臺，以及一大批涉及購物、旅游、民生等各個領域、各種規模的電商企業。互聯網技術的廣泛應用，給予電商行業以有力的支持，并且這種影響力正在逐步滲透到傳統的金融行業。基于電子商務需求而衍生的互聯網支付，已經成為目前主流的支付方式之一。

國內互聯網支付的服務供應商現在主要有五類。一是獨立的第三方支付企業，比如快錢、易寶支付等；二是國內電子商務平臺價值鏈延伸的在線支付工具，比如支付寶、財付通、易付寶等；三是銀行陣營，比如中國銀聯的ChinaPay、各家銀行傳統的網上銀行，以及以建設銀行“善融商務”為代表的銀行系電商平臺；四是依托社交平臺延伸的支付工具，如微信支付，雖然規模小，但增長勢頭迅猛；五是以中國移動等運營商為代表的移動支付企業，現階段數量還比較少。目前，國內取得央行非金融支付牌照的支付機構（以下簡稱“支付機構”）已超過200家，國內網購用戶2.5億，2012年互聯網支付交易額達到3.7萬億元，互聯網支付市場已經進入了同質化競爭日趨激烈的高速發展階段。

（二）互聯網支付的主要模式。互聯網支付主要可分為銀行支付模式和支付機構支付模式。銀行支付模式的服務供應商是商業銀行為代表的金融機構，支付機構支付模式的服務供應商是以支付寶為代表的支付機構。與傳統的支付結算業務相比，互聯網支付交易規模龐大、業務量增長的爆發力強，同時容錯率低、追索成本高。互聯網支付主要業務模式如表1：

二、互聯網支付的主要風險

互聯網支付屬于以提供資金轉移服務為目的的支付結算業務，會因支付手段和路徑的差別而產生不同風險，主要有以下三個方面。

表1 互聯網支付主要業務模式

（一）網絡環境安全控制風險。大量的互聯網支付業務是支付機構通過專線或互聯網渠道，將支付指令發送給銀行，完成最終支付。無論選擇何種方式或渠道，在大幅度提高效率的同時，都存在著信息、資金被盜的風險。

一是用戶基礎信息泄露風險。對于大多數的互聯網支付業務，特別是近兩年發展很快的快捷支付業務，用戶在初次注冊時，一般只需提供手機號碼、銀行賬號、姓名、身份證號等基礎信息，個人的保管不當容易使這些基礎信息泄漏。另外，支付機構的日常運營和信息管理不夠規范，若其未按規定留存、使用及銷毀客戶及交易信息，也會造成信息泄漏。一旦不法分子掌握了這些信息，再通過技術手段復制手機號碼，就可以進行虛假注冊，在用戶不知情的情況下開通賬戶互聯網支付的功能，威脅賬戶安全。

二是支付密碼被破解風險。即使用戶在注冊環節是真實合法的，由于快捷支付等互聯網支付業務具有“一次認證、重復使用”的特點，用戶一旦被虛假網址、計算機木馬、惡意軟件、山寨應用等網絡手段攻破，以及電商平臺或者支付機構系統被網絡攻破，就會出現支付密碼泄露或被破解的風險，用戶的銀行賬戶就失去了安全防護。

（二）備付金管理風險。備付金是指支付機構為辦理客戶委托的支付業務而實際收到的預收待付貨幣資金。備付金包括客戶在支付機構開立的支付賬戶內資金、支付在途資金、與銀行之間清算在途資金。現實中，備付金管理不當已直接威脅到用戶資金安全，并產生了嚴重后果。

一是支付機構挪用備付金的風險。由于相關規章制度與約束機制尚不健全，目前支付機構對客戶備付金和自有資金的分類管理主要依賴于自律。但市場上支付機構眾多，管理水平參差不齊，監管實踐中已發現部分支付機構擅自挪用客戶備付金用于購買理財產品、備付金與自有資金混合使用、自有資金存放或拆借關聯公司缺乏必要依據等情況，這些做法給備付金賬戶的安全帶來了很大的隱患。

同時，仍有大量尚未取得支付機構牌照的電商企業，存在自行開立和管理用戶支付賬戶、以電商公司清算賬戶統一管理資金的現象，資金挪用、損失的風險更高。例如，湖南維財大宗貴金屬交易所，利用客戶備用金進行交易操作，在8個月的時間騙取客戶保證金超過23億元，受騙人數遍布全國27個省市、達到3.9萬人。

二是支付機構及商戶間不規范合作帶來的安全風險。很多支付機構間的業務合作是以備付金在兩家以上支付機構間的轉移為基礎，有些轉移的備付金金額高達數千萬元甚至上億元。此類業務合作挪用了客戶備付金，顯然違背了客戶指令。同時，由于支付機構往往不參與電商運營商轄下的商戶拓展工作，會加大風險防控難度，給一些不法分子提供了可趁之機。比如，2011年5月媒體報道，有大量用戶投訴某支付機構與某信息科技公司涉嫌網絡詐騙，僅某個詐騙受害者QQ群里，就有全國各地193名被掛馬網頁欺騙的買家，涉案金額從50元到上萬元不等，多數沒能追回。

（三）信息不對稱的衍生風險。基于互聯網技術的支付服務通常具有復雜性、技術性和風險性并存的特點，但由于互聯網支付的相關信息披露、普及和教育程度不夠，衍生了一些問題和風險。

一是支付產品信息揭示不足的風險。服務供應商推介產品時，往往在產品優勢方面介紹較多，而對風險提示不夠，一定程度上侵害了消費者的知情權和選擇權。比如，某著名支付機構2013年推出的理財產品，通過集合投資貨幣基金的方式，提高用戶資金收益率，在較短的時間內其規模超過千億元。但該產品的收益規則是按日結算，如當日收益不足1分錢，則不計入累計收益。按照目前平均每萬份收益1.3元左右測算，用戶每日的資金余額不能低于80元，否則將不產生收益。然而，支付機構并未對此規則做詳細的說明和提示，很多存放在支付賬戶中的小額資金并未給用戶帶來收益。

二是資金流向的信息不對稱隱患。用戶調度資金到支付機構備付金專戶后，不論是用戶、金融機構還是監管部門，都缺少有效手段監測支付機構的備付金運作，存在著諸多安全隱患和問題。比如，一些互聯網支付機構，利用自身清算系統與各商業銀行直接對接，避開人民銀行現代化支付系統的監管。雖然其用戶可以免費實現多個銀行賬戶之間的資金劃轉，但這種模式給資金市場頭寸管理、銀行間備付金調整、反洗錢等多項金融工作帶來了隱患，不利于整個金融體系的穩定發展。

三、風險控制的制約因素分析

互聯網支付在快速發展的過程中，之所以產生了上述的風險和問題，一方面，新技術、新模式的出現形成了新的風險成因；另一方面，國內法律規范、風險防范等配套機制不完善，與風險形成有較大的關系。溯本求源，互聯網支付領域的風險控制主要受制于以下幾個方面的問題。

（一）法律規范、監管和執行方面。當前，央行已經針對支付機構準入和管理、支付機構的備付金管理制定了專門的制度辦法。但從實踐情況來看，相關法規體系的建設還存在一些問題。

一是缺少完善的法律框架和監管體系。互聯網支付與電子商務緊密關聯，國內電子商務目前沒有標準可遵循，缺乏標準體系和法律框架；相關部門在制定、執行互聯網支付規定時，審核、檢查的事項內容不夠全面，技術要求和規范不夠細化，電子商務立法規范的統籌協調有待加強，法規的覆蓋層次和內容有待豐富。例如，針對互聯網支付機構的準入，央行在非金融支付機構服務管理辦法和互聯網支付業務管理辦法中提出了審核要求，但在技術保障、信息管理、支付賠償等環節的流程，還沒有明確的標準和要求。

二是法律規范的執行力亟待提高。前期央行已經制定了一系列辦法和規定，但執行難度較大。比如，央行2013年6月發布的《支付機構客戶備付金存管辦法》中，對備付金賬戶管理有嚴格要求。《辦法》第十六條規定，“支付機構在滿足辦理日常支付業務需要后，可以以單位定期存款、單位通知存款、協定存款或中國央行認可的其他形式存放客戶備付金”；第二十五條規定，“支付機構每月在備付金存管銀行存放的客戶備付金日終余額合計數，不得低于上月所有備付金銀行賬戶日終余額合計數的50%”。但實踐中，由于存在各種因素，導致相應的法律規范難以執行。一方面是缺乏技術手段。目前還沒有銀行與支付機構建立實時連接、信息高度共享的備付金存管系統，銀行端不掌握支付機構備付金的賬戶、交易及資金明細，難以有效區分支付機構的備付金和自有賬戶資金；同時，由于跨行信息的交流缺乏組織，監管部門和銀行都無法及時掌握支付機構在多家銀行的資金頭寸。另一方面是商業銀行間存在惡性競爭。支付機構的備付金是銀行存款的重要來源，在資金市場競爭激烈的背景下，銀行往往會滿足支付機構提出的不同形式的高利率要求，甚至會對其挪用備付金購買理財產品等違規操作疏于管理。因此，央行對支付機構備付金的監管要求難以實現。

三是監管的范圍需要進一步延伸，職責需要進一步明確。互聯網支付風險并不僅限于購物支付過程中，當前的法律規范側重于交易過程中的監管和保護，對支付業務前后、包括出現糾紛后，銀行與支付機構間的責任劃分、消費者資金追索、權益保障等問題，沒有明確的規范和要求。同時，跨銀行支付工具及支付機構資金劃撥系統的存在，給金融系統資金頭寸管理和反洗錢帶來了很大的困難，在這一方面的責任和義務也亟須進行明確和強化。

（二）盈利模式所衍生的問題。目前支付機構的收入主要來自兩個方面，一是支付手續費收入，二是備付金存款的利息收入。在支付市場快速發展的過程中，同質化競爭導致支付機構間的價格戰升級，出現了抵扣率、零扣率和暗中返點等惡性競爭手段。在整個行業利潤空間被擠壓的前提下，違規行為就有可能被觸發，這也是部分支付機構挪用備付金進行投資套利的動因之一。

對商業銀行來說，互聯網支付的效率更高、成本更低，收費標準也大幅降低，直接收益相對降低，其在銀行的主營業務收入中占比很低，從而導致了商業銀行對互聯網支付業務重視不足，產品創新和研發相對滯后。

（三）互聯網金融知識普及的問題。互聯網支付的很多風險、案件的發生，很大程度上是由于公眾對互聯網支付業務的認知程度不深，僅關注支付的便捷性、易操作性，而忽視了安全性。一方面，公眾對結算賬戶的認知不夠。開戶人必須對賬戶功能有足夠的認知和關注，既可以充分發揮賬戶功能，又使自己更了解支付風險。近期的調查發現，不少人認為只要銀行卡在手中就是安全的，殊不知一旦賬戶及密碼信息外漏，不法分子便可以通過網上支付、轉賬平臺或偽造卡、手機等手段操作賬戶，以互聯網支付的途徑盜取資金或給戶主帶來不良記錄。另一方面，公眾對互聯網支付的安全防范意識不強，中國互聯網絡信息中心近期的調查顯示，47.2%的用戶對網上支付安全問題表示非常不關注或較不關注，57.6%的用戶表示不知道保障網上支付安全的辦法。

（四）技術風險控制的問題。在傳統支付領域，客戶的每一筆支付都基于實體賬戶交易，客戶和賬戶信息封閉在銀行系統內。銀行對客戶信息一般都有專門的信息管理系統和嚴密的信息保密制度，審計部門、銀監會、央行等監管機構也會對銀行信息的安全管理做檢查。在這種情況下，除非銀行內部人員違規，客戶信息被泄露、盜取的可能性較低。

而在互聯網支付領域，用戶保存在銀行中的客戶、賬戶信息不再是封閉、獨立的，而會根據互聯網支付業務的開通，與銀行之外的機構產生信息傳遞，被泄漏的可能性較大。與銀行相比，支付機構的技術能力、風控水平和制度建設都有一定差距，海量客戶信息的管理存在一定隱患；各類支付服務提供商的技術支持能力也有差距，對虛假網址、計算機木馬等技術隱患的防范和控制手段存在不足。

三、對策建議

（一）加強法規體系建設，從制度上強化業務監管。一是法規建設要進一步豐富和完善。國內互聯網支付領域的立法還有很大的空白地帶，應建立相關的法規對其身份認證、業務范圍以及網絡虛擬財產等給予明確解釋，增加用戶透明度，加大實名制推行力度，使網絡支付行為與個人信用關聯；從技術及安全監管角度建立網絡建設、安全認證審核等相關法律，建立健全業務開展的管理辦法，推動電子商務的保障體系建設，嚴厲打擊各種違法犯罪活動。

二是對互聯網支付機構的準入和審查要更加嚴格、更加細化。央行在準入、發放牌照以及對支付機構開展檢查時，要區別對待不同類型的支付機構。對提供互聯網支付服務的機構，對其運營流程、技術保障、信息管理、備付金使用等關鍵環節應當有更細化的準入和檢查條件，對信息披露的及時性、真實性和準確性要求要進一步明確，確保支付機構有充分的技術能力和制度安排，保障用戶的資金安全、支付安全和信息安全。

三是對執行法規要更到位。法規體系建設，更重要的是執行。一方面，監管部門在制定法規時，要充分考慮可操作性；另一方面，要嚴格執行已制定的法規，強化日常監管，如將支付機構備付金存管系統的建設納入到牌照審核和年檢工作中，促進相關制度辦法的執行更加機制化、常態化。

（二）加強風控體系建設，從流程上消除業務漏洞。一是加強各類支付機構的內部控制。商業銀行、支付機構，首先應從內部完善安全管理辦法、互聯網金融風險防范制度以及操作規程；其次應充實科技力量，建立專業的互聯網支付風險防范的技術隊伍，創新風險控制手段，如利用大數據分析，將與客戶行為習慣不同的支付進行事中監控，與客戶及時確認。監管機構也應加強引導，在各類銀行、支付機構內部以及監管機構中構建起全面的互聯網支付業務的動態風險監測和預警系統，及時對各類支付機構發布風險預警信息，進行窗口指導。

二是加快社會信用體系建設。完善的社會信用體系是減少信息不對稱、降低市場選擇風險的基礎。因此，應以央行的企業、個人征信系統為基礎，全面收集非銀行信用信息，建立客觀全面的企業、個人信用評估體系和電子商務身份認證體系，避免互聯網支付提供者因信息不對稱作出不利選擇；對各類互聯網支付機構建立信用評價體系，降低業務不確定性，避免客戶因不了解支付機構服務質量而作出逆向選擇。

三是加強行業自律和協調發展。為改善互聯網支付行業內惡性競爭的混亂局面，應加強行業自律和督導，促進規范經營。比如，南京人民銀行牽頭，于2012年成立了江蘇省內的支付清算服務協會，參與者包括省內的各家金融機構、在省內注冊以及在省內提供服務的支付機構。協會成立的目的在于促進各家銀行、支付機構之間的良性競爭與合作，規范行業準入及定價標準，強化內部管理和風險控制。這種舉措對于促進行業內部交流和溝通、明確和完善行業標準、促進整個互聯網支付產業的健康發展都有較好的保障和支持作用，應該成為監管單位引導、規范國內互聯網支付業務發展的一種有益思路。

四是引入互聯網支付保險機制。互聯網支付機構與保險公司合作開發新的支付業務險種，能形成雙贏的局面。一方面，解決了結算安全和信用問題，提升了用戶對交易安全的信任感，起到了信用背書的作用，從而促進互聯網大額支付、B2B業務的進一步發展；另一方面，伴隨著支付市場的迅速膨脹，保險公司也能隨之獲得穩定的保費，如支付寶已和平安保險合作，探索推出快捷支付保險業務。

（三）加強備付金監管，從資金安全上保障業務發展。備付金的合規管理是影響互聯網支付業務發展的關鍵，也是保障用戶權益、防范風險的重要措施。針對當前備付金監管不力、盜用挪用現象存在的情況，需要監管機構強化制度執行，加快實施對備付金的實質性監管，確保用戶資金安全。在法規制定和執行到位的情況下，央行主導、商業銀行和支付機構加強互動，加快建立、完善備付金存管系統，從兩方面對支付機構備付金進行實質性監管。

一是備付金頭寸的全面管理。備付金存管銀行應當通過系統（人民銀行結算賬戶管理系統、超級網銀等），自動、及時、全面的掌握支付機構在各家銀行開立的備付金賬戶及余額，根據監管要求，提示支付機構及時調整備付金頭寸，確保其按照規定的方式、比率進行存放，并向監管機構做定期報告。

二是備付金的調撥和審核。對支付機構備付金的調撥和清算，應該在存管系統中建立相應的審核模塊，控制支付方向和金額。總體來看，可通過兩種方式來實現。第一，審核支付機構與商戶的協議，建立備付金支付的 “白名單”，這種方式可操作性較強，有助于控制支付方向、降低挪用盜取備付金的可能性，但不能夠確保支付金額的準確性，也不能排除支付機構通過變造、偽造協議的方式增加虛擬交易對手。第二，建立與交易信息高度關聯的支付審核模塊，即銀行與支付機構之間建立實時連接的數據庫，在每筆備付金清算時，根據一定時間段、累計業務量和相關規則，由系統自動計算應支付金額，與支付機構提交的指令進行核對，審核一致后實施支付。這種方式監管效果好、潛在風險低，但對系統建設的要求高，同時也要充分考慮商業機密等因素。

（四）加快金融知識普及交易，從公眾層面改善發展環境。只有在公眾層面強化對互聯網支付業務的宣傳教育，引導用戶安全、規范地使用互聯網支付業務，才能從根源上規避業務風險、促進業務健康發展。

一方面，要加強對現代銀行結算賬戶功能的宣傳教育。央行、商業銀行要加強宣傳引導，逐步改變公眾對銀行賬戶憑存折、銀行卡的傳統觀念，提高用戶對賬戶結算功能和渠道的認知。同時，考慮到我國的個人結算賬戶用戶規模龐大、功能綜合化程度高，在加強教育的同時，應考慮對賬戶功能和權限做一定程度的區分和限制。參照我國互聯網支付快速發展的情況，建議在個人結算賬戶的基礎上，專門針對個人網絡支付業務設立網絡支付個人結算賬戶，可用于取現、互聯網支付及刷卡消費，并在此賬戶上實行限額支付管理。通過分設賬戶，可以有效降低風險，縮小網絡金融犯罪的潛在獲利空間，并且能對互聯網支付實名制的實施起到較好的促進作用。

另一方面，要加強對互聯網支付產品的宣傳教育，對支付產品的宣傳做強制性的要求。一是支付機構在提供某一種支付產品或服務時，要通過公開網站等渠道，對產品的功能、流程、風險、權利義務關系做詳細的揭示，監管機構對其產品信息的披露情況做規范性的要求和常規性的檢查；二是應引入類似于銀行用戶的風險評測機制，對擬開通互聯網支付業務的用戶，需在銀行端或支付機構端做互聯網業務的知識評估和風險測評，符合評估要求的用戶才能開通支付業務，強化用戶對互聯網業務和風險的認知，提高其風險防范意識。

1.鄧玲.2009.中國互聯網支付、新興電子支付現狀分析及發展趨勢[J].現代經濟信息，10。

2.梁麗雯.2013.互聯網支付風控立規:類銀行實名制[J].金融科技時代，4。