第三方支付信息安全监管及对策

时间:2022-11-22 10:53:48

第三方支付信息安全监管及对策

[摘要]我国第三方支付市场具有涉及面广、复杂度高、监管主体多等特点,其研究目前主要集中于行业发展、监管主体、风险管理、支付机构监管定位和消费者权益保护等方面,但从信息安全监管角度对第三方支付市场的政策方面的研究较少。本文给出了以稳定、有效和公平的第三方支付市场信息安全的监管目标、以央行为主多方协调的强制介入的监管机制。提出引入第三方评估机构实行外部评估并定期汇报、明确第三方支付机构信息安全的管理要求、实施差异化监管,加大对重点机构信息安全检查和披露等多个方面的政策措施。并提出从安全运行率、安全标准达标率、信息泄漏率、交易欺诈率等方面建立评估第三方支付信息安全情况的指标体系,以期推动我国第三方支付市场的稳健发展。

[关键词]第三方支付;信息安全;监管政策;评估指标

一、引言

国内学者对新兴的第三方支付市场发展和监管进行大量的研究,主要的研究成果集中于对第三方支付机构监管定位、第三方支付行业发展和第三方支付行业的风险管理等方向的研究。沈红兵通过研究欧美等国家关于第三方支付行业的政策法规,发现美国第三方支付需要联邦与州分层监管,沉淀资金存入美国联邦存款保险公司(FDIC)无息账户,提出加强第三方支付机构在最低资本金、内控和风险管理的准入门槛。[1]黎四奇、李俊平认为,人民银行将第三方支付机构归属为非金融机构这一说法欠妥当,对比商业银行提供的业务范围,第三方支付机构业务与商业银行的中间业务是高度重合的,为了更好地规制第三方支付机构的行为确切地说将第三方支付机构应被界定为准金融机构。[2]任曙明、张静、赵立强等认为,第三方支付行业包含了买方、卖方、商业银行、支付机构四种角色,第三方支付平台是担保买卖双方交易的信用平台等特性。[3]马梅、朱晓明指出,互联网与移动互联网技术的发展和普及,改变了原有商业模式,产生了新的商业机会,第三方支付市场适时而生,并在新的商业模式下不断的发展壮大,从而又推动了新的商业模式的产生,深刻影响我国的金融行业和互联网行业。[4]李洪心对第三方支付行业的风险应建立健全的监管法律体系,以商业银行的监管要求来控制第三方行业的风险,建立类似商业银行存款保证金政策等。[5]郭明他认为第三方支付机构是准金融机构,会存在如同金融机构一样的风险,并建议监管机构应该监督第三方支付流动性和信用风险。[6]国外一些学者对第三方支付的行业发展、监管主体、支付风险、消费者权益保护以及数据安全标准等方面进行了相关研究,研究成果主要集中在第三支付行业发展对社会和经济的意义、第三方支付行业的监管定位和第三方支付行业的风险管理等方面。DanJKim对eBay公司进行了深入的研究,论证了PayPal的支付服务对经济和社会的积极意义。[7]CindyClaycomb论证了第三方支付行业发展对国家工业市场的积极意义。[8]CeceliaKye研究了欧盟范围内的第三方支付市场,欧盟将第三方支付企业定性为电子货币机构,欧盟的监管部门要求第三方支付企业遵循审慎监管原则,对第三支付机构进行界定与监管。[9]SarahJHughes等介绍了美国各州对储值类第三方支付机构的最新法律法规,并介绍和分析了美国部分州监管部门的监管实践和诉讼案例。[10]RichardJSullivan考察了零售支付行业的最新状况和面临的风险,分析和反思了政府针对非银行支付服务提供者设立的监管体系,并且建议监管者为了控制零售支付系统的风险而提出特殊的监管政策,要进一步关注零售支付系统内外的信息一致、外部环境和支付机构适配的问题。[11]国内外学者们对第三方支付行业的研究成果主要集中在经济学、金融学和法学等学科领域,对第三方支付行业的监管建议是制定相应的法律法规,审核第三方支付企业的准入资格,第三方支付机构的风险管理,包含沉淀资金管理以及反洗钱风险等方面,使第三方支付机构健康发展,进而为国家的经济、社会产生积极贡献,但是对第三方支付市场在有效保护用户信息安全、第三方支付机构网络信息安全技术标准等方面的研究较少,更缺少从信息安全角度对第三方支付市场的监管政策进行系统性研究,因此,本文针对性提出我国第三方支付市场信息安全监管的目标、机制和政策,并尝试建立一套我国第三方支付市场信息安全效果评估指标体系。

二、监管目标:确保稳定、有效和公平的第三方支付市场

监管部门应对第三方支付市场信息安全实施有效、可持续的监管,才能对其发展中的各类风险和隐患进行及时的监控和防范,同时有效的监管还应能持续促进产业的不断创新和长期良性发展,即保证第三方支付机构既能在网上支付市场合规经营,切实履行保护客户信息安全义务,又能通过行业创新和有序发展促进整个互联网金融健康成长、社会公共安全平安稳定。监管部门对第三方支付市场信息安全实施有效监管的目标在于第三方支付市场的稳定、有效和公平。具体包括以下目标:(1)稳定目标。即维护第三方支付市场的平稳发展和安全运行。稳定目标主要是防范整个第三方网上市场信息安全的系统性、大规模风险。韩国客户信息大规模泄漏案件就是电信的系统性信息安全风险爆发,最终导致整个国家的客户信息认证制度推倒重来,造成的经济损失不可计量,特别对于网上支付等互联网业务打击重大。因此,有效实施第三方支付市场信息安全的首要目标就是避免由于第三方机构信息大规模泄漏而出现影响社会公共安全和经济稳定运行的系统性风险。(2)有效目标。即维护第三方支付市场的公平竞争和持续发展。有效目标是指有效的监管措施能够创造一个公平有效的市场环境,既能有效打击破坏信息安全的违规企业,也能保证不过度监管或监管成本过高,导致整个市场业务创新受到压制,良性发展受到限制。(3)公平目标。即维护社会公众的利益。公平目标主要是提高第三方支付机构对个人客户信息安全保护要求,确保个人对机构的合法权益得到有效保证。在线上支付交易过程中,消费者与第三方支付机构相比,明显处于劣势地位,第三方支付机构掌握着交易规则,消费者在信息安全保护方面往往处于弱势地位,其权益不易受到保障。因此,公平监管的目标就是消除第三方支付市场由于信息不对称或其他天然原因给个人客户带来的不公平和利益受损。

三、监管机制:以央行为主,多方协调的强制监管介入

第三方支付发展创新迅速,相关客户信息安全规范监管势在必行。在我国,对于支付结算这类资金业务,必须由中国人民银行承担主要的监管任务。第三方支付企业和机构属于非银行金融机构,即公司性质金融机构,它是银行业务的延伸和发展,中国人民银行应承担主要的监管职责。由于第三方支付业务利用了大数据和云计算等先进技术,并构建于移动互联网、互联网基础之上,所以,互联网金融监管需要形成监管合力,利用“大金融”理念来统筹多部门协调监管,仅有央行的监管远远不够,第三方支付行业应积极采取行业自律的手段,通过建立行业监管协会,并制定行业规范,从而更好地促进第三方支付行业的健康发展。目前,对于第三方支付的研究都提出了各自关于监管主体的设想。中国人民银行对第三方支付机构的企业性质、企业注册资本金、机构存在的风险监控、机构的审批程序等方面作出了相应规定。实际上,第三方支付的业务是一个综合性业务,会涉及到很多方面,包括金融服务业务,对网络的运营业务等方面,如果只是根据第三方支付的单一业务功能去确定它的监管者是片面的,特别是信息安全涉及工信部、公安部、工商行政管理总局等部门职责管辖范围,因此第三方支付的某些业务会受到上述监管机构的监管,如表1所示。因此,对信息安全的监管不能只靠一个监管机构进行监管,建议构建以人民银行为主导,工信部、公安部、银监会、工商行政管理总局等部门为辅的多层次第三方支付市场信息安全监督管理机制。

四、监管政策:制定覆盖制度、管理的监管规范

(一)引入第三方评估机构实行外部评估并定期汇报。第三方支付市场信息安全涉及到很强的专业性,第三方支付市场融合了金融和互联网两个行业,而且还具有复杂、动态、易扩散、高风险的信息安全特征。第三方支付行业事关金融安全、个人财产安全和社会公共安全,不能仅靠第三方支付企业或行业自律解决,而政府监管部门只能在这些专业领域提供框架性的指导政策,所以引入专业、独立和权威的第三方评估机构就非常必要。独立的第三方检测机构对第三方支付企业的信息安全进行合法性、合规性检查。在选择第三方评估机构时,要注意确保独立的第三方评估机构与“第一方”-监管机构和“第二方”-第三方支付机构不具有任何行政隶属关系,也不具有任何利益关系,在检查中要体现过程透明,结果客观。独立的第三方评估对第三方支付机构的信息安全实行外部评估,出具具有公信力和真实性的评估报告,并向监管部门报送报告,监管部门对第三方支付机构的信息安全进行及时纠正,也便于第三方支付机构针对性地进行查漏补缺,提高第三方支付机构的信息安全等级,避免信息安全事故的发生。除了引入第三方评估机构实行外部评估外,还需要第三方支付机构定期从内部进行自查自检,并将信息安全风险管理报告报送给监管部门,信息安全风险管理报告主要包括以下内容:一是将第三方支付机构可能存在的风险事项和运行情况及时报送给监管部门,如果发现信息安全风险管理存在问题,需要及时报告现状、问题及解决方案,有改善建议的,可以向监管部门提出信息安全改善工作建议,并寻求监管部门的帮助和指导,将风险防患于未然。二是第三方支付机构要履行向监管机构上报信息的职责,如果以后出现问题,支付机构可因向监管机构报送过信息而免于责任。三是便于监管部门对第三方支付机构进行监管,并配以严格的处罚制度,监管部门要对执行报告制度不到位的机构进行评判和处罚,尤其对于瞒报重大信息安全风险事件的机构要从严从重处罚。(二)明确第三方支付机构信息安全的管理要求。目前,第三方支付在央行二号令中没有确切的规范信息安全管理要和风险防范义务,仅是要求第三方支付机构要妥善保管客户信息资料,不得出卖客户信息等。建议增加关于第三方支付机构信息安全的管理要求:一是对于我国第三方支付机构在信息安全方面因治理缺失、重视不够、规划不足和管理不到位等原因,带来的系统性风险日益集中和扩大的问题,将风险管理关口前移,监管机构在机构、业务和首席信息官的准入管理方面,将信息科技准入纳入有关行政许可法规,确保第三方机构在机构设立、业务开办与系统投产之初,就建立符合业务发展需要、支持业务安全稳定运行的信息科技管理与运行环境。二是对于涉及到消费者的个人隐私和财产安全的客户信息,如消费者在进行网上支付时提供的详细个人信息,应制定规定以规范第三方支付机构查阅消费者客户信息的权限和保密义务,第三方支付机构如果没有尽到义务则应承担法律责任,严格确定隐私范围,并要确定哪些机构有权查看消费者的隐私信息,哪些机构无权查看,保护消费者的隐私不受到侵犯。三是对于第三方支付机构高层管理人员和员工普遍对信息安全风险意识淡薄、重视不够的情况,一方面要明确要求信息安全管理和系统建设列入第三方支付机构高层管理人员风险管理工作,明确公司高层管理人员对信息安全风险事件承担的责任。另外,要求第三方支付机构日常加强员工的信息安全风险管理培训,提升全员对网络信息安全风险意识和参与风险管理的责任心。四是对于客户信息违法的行政处罚偏轻,及缺乏明确的处罚责任,违法成本偏低的情况设置不同程度罚款的行政处罚,甚至对于大范围和数据极大的信息泄漏风险事件处罚之外还要责令第三方支付机构停业整改,即加大违规行为处罚力度。从系统存在漏洞、信息泄露以及导致资金损失的行为,对其高级管理人员及直接责任人进行处罚。从信息监管的角度考虑,有必要设定行政处罚且要设定具有足够威慑力的行政处罚,如果行政处罚的威慑力不足,则起不到监管的作用,很难发挥法律法规的作用。因此,应该合理地设置第三方支付机构法律制度中的行政处罚条款,真正实现监管的目的。五是明确要求第三方支付机构制定信息安全风险事件应急预案和提取信息安全风险补偿金。制定信息安全风险事件应急预案,以确保在即便出现严重的系统瘫痪、网络攻击、客户信息泄漏以及群体性舆情事件的情况下,能够有完整的应对措施和准备手段,防止风险进一步扩散恶化,最大程度减少机构和客户损失,并能够及时恢复正常运行和交易。近年来,经常发生的案件是第三方支付平台网络客户账户登录名及密码被盗所导致的财产损失,由于线上支付环境很难界定客户和第三方支付机构各自的责任,因此,第三方支付机构应根据线上支付交易规范和风险概率发生情况,提前建立信息安全风险补偿金,对上述情况难以认定责任的客户在第一时间给予资金赔付。建议第三方支付机构建立客户先行赔付机制,引入保险公司对网上交易风险补偿,切实保护客户财产和客户信息,提高网络用户对第三方支付平台安全性的信任度。六是规范信息安全风险管理机制,做到事前预防、事中控制、事后治理的全过程控制。事前预防:制定分级管理制度,对涉及信息安全的人员制定不同的访问权限,还有不同的数量控制。制定监督检查机制,从管理层面入手对第三方支付信息安全涉及的各个部门进行监督管理,规范交易流程。加大网络信息安全的宣传力度,提高用户的自我安全保护意识,加强对相关工作人员的专业性培训,减少因操作失误引起的信息安全风险。事中控制:建立风控管理平台,设定关键风险指标并实时采集,对小额多次、短时异地、频繁交易等异常交易进行预警,并根据预警信息及时做好风险评估及风险应急处理方案,有效监控并防范重要风险。并对过程实行风险监控,定期审查系统和数据,对系统日志、系统维护记录、系统报警记录、违章报告、数据的操作记录和下载记录等进行审查,发现问题及时上报。对关键岗位的工作人员按照人员审查标准进行定期审查。事后治理:风险事件过后,组织专门小组对风险进行分析、总结和记录,制定风险预防措施,建立风险记录档案,并及时弥补现有系统漏洞,升级病毒库文件。(三)实施差异化监管,加大对重点机构信息安全检查和披露。我国第三方支付市场呈现寡头集中现状,虽然我国第三方支付企业较多,但是主要业务集中在几个大型支付企业中。在监管实施过程中,通过差异化分级分类管理第三方支付机构,筛选出支付宝、财付通等占据重要市场份额和具有较大影响力的支付机构,将其列为重点支付机构,与其他非重点支付机构实行差异化监管。差异化监管的实质是总体上投入更多的监管资源,引入更加严格的监管标准,但是对于重点支付机构又实行与其他支付机构差别化的监管标准。1.明确重点支付机构的确立原则根据市场上的各种可能因素如市场份额、涉及工作范围等因素设计评分标准,对机构按照设定的评分标准进行打分,按照得分高低情况评出重点支付机构,重点进行管理。加强监管第三方支付构可以采取实地检查与报告检查相结合的方法。对于重点支付机构,最好采用实地检查的方法,而且检查频率要高,如果采用报告检查的方法,则要求报告尽量详细,对报告必须包含的内容要有明确的要求,根据报告的内容,结合以往的经验,可以发现第三方支付机构市场中存在的一些涉及信息安全的问题。2.制定更加严格的监管标准监管重点支付机构在现在普遍适用的监管规则上,要结合重点支付机构尤其构成垄断寡头的个别几家支付机构的业务特征,制定更加严格的监管标准。监管部门要建立监管系统,可以实时监控重点第三方支付机构,掌握重点第三方支付机构的营业状况,有效防范客户信息系统风险防控问题和支付机构不如实上报业务情况。处理违规情况,不能仅仅依靠行业自律,应该提高规则制度的威慑力、加大惩处力度,对违反《管理办法》的机构高管和直接责任人员相应施以处罚,提高违规的经济成本和社会成本。对于通过违规非法谋取利益的,应该提高罚款金额,若仍未悔改者,则应该命令其立即停止营业,防止别的行内机构效仿。3.对运营良好的重点支付机构给予一定的监管激励不仅要对违规机构进行处罚,对于运营良好的重点支付机构要给予一定的监管激励,例如对于那些历史上没有发生过信息安全风险事件的重点支付机构,对内控制度完善、产品设计和业务流程符合规范的重点支付机构、及时报告信息且信息真实的重点支付机构、央行在实地检查和报告检查中都没发现什么问题或者问题特别少的重点支付机构等,可以给予正向的监管激励。比如,允许运营良好的支付机构在经监管部门同意的前提下安全、灵活运用客户备付金,并适度放松对客户备付金和自有资本金存管的要求,提高其企业信用度,或者可以安排运营良好的重点支付机构进行新业务或者新产品试点等。

五、效果评估:建立第三方支付信息安全情况评估指标体系

(一)指标体系设计的依据和原则。监管部门或行业协会组织应对第三方支付机构建立一套统一的行业信息安全标准和评价指标,明确自身在信息安全管理和系统建设方面的义务和责任,对问题和风险实行定量评估和指标管理,发现信息安全风险关键点和隐患。指标体系建设可督促第三方支付机构切实落实监管政策各项要求,也便于定期公布对比各第三方支付机构信息安全管理等级,使行业风险管理更加严谨细致和科学合理。(二)第三方支付机构计算机系统安全运行率指标。计算机系统安全运行率=一年内系统安全运行实际天数/365天。计算机系统安全质量:按照一年内生产事故数量划段评估,数量越少质量越高。该指标衡量第三方支付机构计算机系统安全运行的持续能力和质量。(三)第三方支付机构网络信息安全标准达标率指标。网络信息安全标准达标包括:网络线路的畅通,路由设备的安全配置,网络安全类防病毒软件的安装、升级和审计防火墙的访问配置,审计专用网络的隔离和访问控制等,根据上述内容评分得到指标。(四)第三方支付机构客户信息泄漏率指标。客户信息泄漏指标=发生客户信息外泄的数量/该机构所有客户信息数量。客户信息泄漏案件级别:按照不同客户信息外泄数量对应等级,数量越大等级越高。(五)第三方支付机构网上交易欺诈率指标。网上交易欺诈比率指标用来衡量支付机构支付业务风险控制能力。监管机构可以设定一个允许网上交易欺诈比率指标的最大值,若支付机构的网上交易欺诈比率的值超过这个最大值,则说明这个支付机构的经营不合法,需要进行整改,监管机构可以处罚这个支付机构,根据超过最大值的程度确定支付机构的违规程度,对其实施相应程度的处罚。而对于有些支付机构,该指标数值较小,比如支付机构具有完备的风险控制措施,不拓展、洗钱等非法商户,在拓展商户方法进行严格审核,在信息安全方面具有较强的能力、可保障支付安全、客户资金安全,对于这类支付机构,则该指标数值较小。

六、结语

本文旨在提出第三方支付市场信息安全监管的目标、机制、政策和效果评估等政策设计建议。首先明确了有效监管的目标:确保第三方支付市场的稳定,有效和公平;为了实现监管目标,需要明确监管主体和职责范围,提出以央行为主,多方协调强制监管介入的监管机制,多个监管部门一起承担监管责任,一起对第三方支付机构的信息安全进行监管,发挥多部门联合监管的系统化治理作用;提出了引入第三方评估机构实行外部评估并定期汇报、明确第三方支付机构信息安全的管理要求、实施差异化监管,加大对重点机构信息安全检查和披露等多个方面的政策措施。最后提出监管效果的评估指标体系,使用具体的数据量化地衡量监管效果。

作者:危怀安 李松涛 单位:华中科技大学公共管理学院