第三方支付信息安全監管及對策

導語：第三方支付信息安全監管及對策一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

［摘要］我國第三方支付市場具有涉及面廣、復雜度高、監管主體多等特點，其研究目前主要集中于行業發展、監管主體、風險管理、支付機構監管定位和消費者權益保護等方面，但從信息安全監管角度對第三方支付市場的政策方面的研究較少。本文給出了以穩定、有效和公平的第三方支付市場信息安全的監管目標、以央行為主多方協調的強制介入的監管機制。提出引入第三方評估機構實行外部評估并定期匯報、明確第三方支付機構信息安全的管理要求、實施差異化監管，加大對重點機構信息安全檢查和披露等多個方面的政策措施。并提出從安全運行率、安全標準達標率、信息泄漏率、交易欺詐率等方面建立評估第三方支付信息安全情況的指標體系，以期推動我國第三方支付市場的穩健發展。

［關鍵詞］第三方支付；信息安全；監管政策；評估指標

一、引言

國內學者對新興的第三方支付市場發展和監管進行大量的研究，主要的研究成果集中于對第三方支付機構監管定位、第三方支付行業發展和第三方支付行業的風險管理等方向的研究。沈紅兵通過研究歐美等國家關于第三方支付行業的政策法規，發現美國第三方支付需要聯邦與州分層監管，沉淀資金存入美國聯邦存款保險公司（FDIC）無息賬戶，提出加強第三方支付機構在最低資本金、內控和風險管理的準入門檻。［1］黎四奇、李俊平認為，人民銀行將第三方支付機構歸屬為非金融機構這一說法欠妥當，對比商業銀行提供的業務范圍，第三方支付機構業務與商業銀行的中間業務是高度重合的，為了更好地規制第三方支付機構的行為確切地說將第三方支付機構應被界定為準金融機構。［2］任曙明、張靜、趙立強等認為，第三方支付行業包含了買方、賣方、商業銀行、支付機構四種角色，第三方支付平臺是擔保買賣雙方交易的信用平臺等特性。［3］馬梅、朱曉明指出，互聯網與移動互聯網技術的發展和普及，改變了原有商業模式，產生了新的商業機會，第三方支付市場適時而生，并在新的商業模式下不斷的發展壯大，從而又推動了新的商業模式的產生，深刻影響我國的金融行業和互聯網行業。［4］李洪心對第三方支付行業的風險應建立健全的監管法律體系，以商業銀行的監管要求來控制第三方行業的風險，建立類似商業銀行存款保證金政策等。［5］郭明他認為第三方支付機構是準金融機構，會存在如同金融機構一樣的風險，并建議監管機構應該監督第三方支付流動性和信用風險。［6］國外一些學者對第三方支付的行業發展、監管主體、支付風險、消費者權益保護以及數據安全標準等方面進行了相關研究，研究成果主要集中在第三支付行業發展對社會和經濟的意義、第三方支付行業的監管定位和第三方支付行業的風險管理等方面。DanJKim對eBay公司進行了深入的研究，論證了PayPal的支付服務對經濟和社會的積極意義。［7］CindyClaycomb論證了第三方支付行業發展對國家工業市場的積極意義。［8］CeceliaKye研究了歐盟范圍內的第三方支付市場，歐盟將第三方支付企業定性為電子貨幣機構，歐盟的監管部門要求第三方支付企業遵循審慎監管原則，對第三支付機構進行界定與監管。［9］SarahJHughes等介紹了美國各州對儲值類第三方支付機構的最新法律法規，并介紹和分析了美國部分州監管部門的監管實踐和訴訟案例。［10］RichardJSullivan考察了零售支付行業的最新狀況和面臨的風險，分析和反思了政府針對非銀行支付服務提供者設立的監管體系，并且建議監管者為了控制零售支付系統的風險而提出特殊的監管政策，要進一步關注零售支付系統內外的信息一致、外部環境和支付機構適配的問題。［11］國內外學者們對第三方支付行業的研究成果主要集中在經濟學、金融學和法學等學科領域，對第三方支付行業的監管建議是制定相應的法律法規，審核第三方支付企業的準入資格，第三方支付機構的風險管理，包含沉淀資金管理以及反洗錢風險等方面，使第三方支付機構健康發展，進而為國家的經濟、社會產生積極貢獻，但是對第三方支付市場在有效保護用戶信息安全、第三方支付機構網絡信息安全技術標準等方面的研究較少，更缺少從信息安全角度對第三方支付市場的監管政策進行系統性研究，因此，本文針對性提出我國第三方支付市場信息安全監管的目標、機制和政策，并嘗試建立一套我國第三方支付市場信息安全效果評估指標體系。

二、監管目標：確保穩定、有效和公平的第三方支付市場

監管部門應對第三方支付市場信息安全實施有效、可持續的監管，才能對其發展中的各類風險和隱患進行及時的監控和防范，同時有效的監管還應能持續促進產業的不斷創新和長期良性發展，即保證第三方支付機構既能在網上支付市場合規經營，切實履行保護客戶信息安全義務，又能通過行業創新和有序發展促進整個互聯網金融健康成長、社會公共安全平安穩定。監管部門對第三方支付市場信息安全實施有效監管的目標在于第三方支付市場的穩定、有效和公平。具體包括以下目標：（1）穩定目標。即維護第三方支付市場的平穩發展和安全運行。穩定目標主要是防范整個第三方網上市場信息安全的系統性、大規模風險。韓國客戶信息大規模泄漏案件就是電信的系統性信息安全風險爆發，最終導致整個國家的客戶信息認證制度推倒重來，造成的經濟損失不可計量，特別對于網上支付等互聯網業務打擊重大。因此，有效實施第三方支付市場信息安全的首要目標就是避免由于第三方機構信息大規模泄漏而出現影響社會公共安全和經濟穩定運行的系統性風險。（2）有效目標。即維護第三方支付市場的公平競爭和持續發展。有效目標是指有效的監管措施能夠創造一個公平有效的市場環境，既能有效打擊破壞信息安全的違規企業，也能保證不過度監管或監管成本過高，導致整個市場業務創新受到壓制，良性發展受到限制。（3）公平目標。即維護社會公眾的利益。公平目標主要是提高第三方支付機構對個人客戶信息安全保護要求，確保個人對機構的合法權益得到有效保證。在線上支付交易過程中，消費者與第三方支付機構相比，明顯處于劣勢地位，第三方支付機構掌握著交易規則，消費者在信息安全保護方面往往處于弱勢地位，其權益不易受到保障。因此，公平監管的目標就是消除第三方支付市場由于信息不對稱或其他天然原因給個人客戶帶來的不公平和利益受損。

三、監管機制：以央行為主，多方協調的強制監管介入

第三方支付發展創新迅速，相關客戶信息安全規范監管勢在必行。在我國，對于支付結算這類資金業務，必須由中國人民銀行承擔主要的監管任務。第三方支付企業和機構屬于非銀行金融機構，即公司性質金融機構，它是銀行業務的延伸和發展，中國人民銀行應承擔主要的監管職責。由于第三方支付業務利用了大數據和云計算等先進技術，并構建于移動互聯網、互聯網基礎之上，所以，互聯網金融監管需要形成監管合力，利用“大金融”理念來統籌多部門協調監管，僅有央行的監管遠遠不夠，第三方支付行業應積極采取行業自律的手段，通過建立行業監管協會，并制定行業規范，從而更好地促進第三方支付行業的健康發展。目前，對于第三方支付的研究都提出了各自關于監管主體的設想。中國人民銀行對第三方支付機構的企業性質、企業注冊資本金、機構存在的風險監控、機構的審批程序等方面作出了相應規定。實際上，第三方支付的業務是一個綜合性業務，會涉及到很多方面，包括金融服務業務，對網絡的運營業務等方面，如果只是根據第三方支付的單一業務功能去確定它的監管者是片面的，特別是信息安全涉及工信部、公安部、工商行政管理總局等部門職責管轄范圍，因此第三方支付的某些業務會受到上述監管機構的監管，如表1所示。因此，對信息安全的監管不能只靠一個監管機構進行監管，建議構建以人民銀行為主導，工信部、公安部、銀監會、工商行政管理總局等部門為輔的多層次第三方支付市場信息安全監督管理機制。

四、監管政策：制定覆蓋制度、管理的監管規范

（一）引入第三方評估機構實行外部評估并定期匯報。第三方支付市場信息安全涉及到很強的專業性，第三方支付市場融合了金融和互聯網兩個行業，而且還具有復雜、動態、易擴散、高風險的信息安全特征。第三方支付行業事關金融安全、個人財產安全和社會公共安全，不能僅靠第三方支付企業或行業自律解決，而政府監管部門只能在這些專業領域提供框架性的指導政策，所以引入專業、獨立和權威的第三方評估機構就非常必要。獨立的第三方檢測機構對第三方支付企業的信息安全進行合法性、合規性檢查。在選擇第三方評估機構時，要注意確保獨立的第三方評估機構與“第一方”-監管機構和“第二方”-第三方支付機構不具有任何行政隸屬關系，也不具有任何利益關系，在檢查中要體現過程透明，結果客觀。獨立的第三方評估對第三方支付機構的信息安全實行外部評估，出具具有公信力和真實性的評估報告，并向監管部門報送報告，監管部門對第三方支付機構的信息安全進行及時糾正，也便于第三方支付機構針對性地進行查漏補缺，提高第三方支付機構的信息安全等級，避免信息安全事故的發生。除了引入第三方評估機構實行外部評估外，還需要第三方支付機構定期從內部進行自查自檢，并將信息安全風險管理報告報送給監管部門，信息安全風險管理報告主要包括以下內容：一是將第三方支付機構可能存在的風險事項和運行情況及時報送給監管部門，如果發現信息安全風險管理存在問題，需要及時報告現狀、問題及解決方案，有改善建議的，可以向監管部門提出信息安全改善工作建議，并尋求監管部門的幫助和指導，將風險防患于未然。二是第三方支付機構要履行向監管機構上報信息的職責，如果以后出現問題，支付機構可因向監管機構報送過信息而免于責任。三是便于監管部門對第三方支付機構進行監管，并配以嚴格的處罰制度，監管部門要對執行報告制度不到位的機構進行評判和處罰，尤其對于瞞報重大信息安全風險事件的機構要從嚴從重處罰。（二）明確第三方支付機構信息安全的管理要求。目前，第三方支付在央行二號令中沒有確切的規范信息安全管理要和風險防范義務，僅是要求第三方支付機構要妥善保管客戶信息資料，不得出賣客戶信息等。建議增加關于第三方支付機構信息安全的管理要求：一是對于我國第三方支付機構在信息安全方面因治理缺失、重視不夠、規劃不足和管理不到位等原因，帶來的系統性風險日益集中和擴大的問題，將風險管理關口前移，監管機構在機構、業務和首席信息官的準入管理方面，將信息科技準入納入有關行政許可法規，確保第三方機構在機構設立、業務開辦與系統投產之初，就建立符合業務發展需要、支持業務安全穩定運行的信息科技管理與運行環境。二是對于涉及到消費者的個人隱私和財產安全的客戶信息，如消費者在進行網上支付時提供的詳細個人信息，應制定規定以規范第三方支付機構查閱消費者客戶信息的權限和保密義務，第三方支付機構如果沒有盡到義務則應承擔法律責任，嚴格確定隱私范圍，并要確定哪些機構有權查看消費者的隱私信息，哪些機構無權查看，保護消費者的隱私不受到侵犯。三是對于第三方支付機構高層管理人員和員工普遍對信息安全風險意識淡薄、重視不夠的情況，一方面要明確要求信息安全管理和系統建設列入第三方支付機構高層管理人員風險管理工作，明確公司高層管理人員對信息安全風險事件承擔的責任。另外，要求第三方支付機構日常加強員工的信息安全風險管理培訓，提升全員對網絡信息安全風險意識和參與風險管理的責任心。四是對于客戶信息違法的行政處罰偏輕，及缺乏明確的處罰責任，違法成本偏低的情況設置不同程度罰款的行政處罰，甚至對于大范圍和數據極大的信息泄漏風險事件處罰之外還要責令第三方支付機構停業整改，即加大違規行為處罰力度。從系統存在漏洞、信息泄露以及導致資金損失的行為，對其高級管理人員及直接責任人進行處罰。從信息監管的角度考慮，有必要設定行政處罰且要設定具有足夠威懾力的行政處罰，如果行政處罰的威懾力不足，則起不到監管的作用，很難發揮法律法規的作用。因此，應該合理地設置第三方支付機構法律制度中的行政處罰條款，真正實現監管的目的。五是明確要求第三方支付機構制定信息安全風險事件應急預案和提取信息安全風險補償金。制定信息安全風險事件應急預案，以確保在即便出現嚴重的系統癱瘓、網絡攻擊、客戶信息泄漏以及群體性輿情事件的情況下，能夠有完整的應對措施和準備手段，防止風險進一步擴散惡化，最大程度減少機構和客戶損失，并能夠及時恢復正常運行和交易。近年來，經常發生的案件是第三方支付平臺網絡客戶賬戶登錄名及密碼被盜所導致的財產損失，由于線上支付環境很難界定客戶和第三方支付機構各自的責任，因此，第三方支付機構應根據線上支付交易規范和風險概率發生情況，提前建立信息安全風險補償金，對上述情況難以認定責任的客戶在第一時間給予資金賠付。建議第三方支付機構建立客戶先行賠付機制，引入保險公司對網上交易風險補償，切實保護客戶財產和客戶信息，提高網絡用戶對第三方支付平臺安全性的信任度。六是規范信息安全風險管理機制，做到事前預防、事中控制、事后治理的全過程控制。事前預防：制定分級管理制度，對涉及信息安全的人員制定不同的訪問權限，還有不同的數量控制。制定監督檢查機制，從管理層面入手對第三方支付信息安全涉及的各個部門進行監督管理，規范交易流程。加大網絡信息安全的宣傳力度，提高用戶的自我安全保護意識，加強對相關工作人員的專業性培訓，減少因操作失誤引起的信息安全風險。事中控制：建立風控管理平臺，設定關鍵風險指標并實時采集，對小額多次、短時異地、頻繁交易等異常交易進行預警，并根據預警信息及時做好風險評估及風險應急處理方案，有效監控并防范重要風險。并對過程實行風險監控，定期審查系統和數據，對系統日志、系統維護記錄、系統報警記錄、違章報告、數據的操作記錄和下載記錄等進行審查，發現問題及時上報。對關鍵崗位的工作人員按照人員審查標準進行定期審查。事后治理：風險事件過后，組織專門小組對風險進行分析、總結和記錄，制定風險預防措施，建立風險記錄檔案，并及時彌補現有系統漏洞，升級病毒庫文件。（三）實施差異化監管，加大對重點機構信息安全檢查和披露。我國第三方支付市場呈現寡頭集中現狀，雖然我國第三方支付企業較多，但是主要業務集中在幾個大型支付企業中。在監管實施過程中，通過差異化分級分類管理第三方支付機構，篩選出支付寶、財付通等占據重要市場份額和具有較大影響力的支付機構，將其列為重點支付機構，與其他非重點支付機構實行差異化監管。差異化監管的實質是總體上投入更多的監管資源，引入更加嚴格的監管標準，但是對于重點支付機構又實行與其他支付機構差別化的監管標準。1.明確重點支付機構的確立原則根據市場上的各種可能因素如市場份額、涉及工作范圍等因素設計評分標準，對機構按照設定的評分標準進行打分，按照得分高低情況評出重點支付機構，重點進行管理。加強監管第三方支付構可以采取實地檢查與報告檢查相結合的方法。對于重點支付機構，最好采用實地檢查的方法，而且檢查頻率要高，如果采用報告檢查的方法，則要求報告盡量詳細，對報告必須包含的內容要有明確的要求，根據報告的內容，結合以往的經驗，可以發現第三方支付機構市場中存在的一些涉及信息安全的問題。2.制定更加嚴格的監管標準監管重點支付機構在現在普遍適用的監管規則上，要結合重點支付機構尤其構成壟斷寡頭的個別幾家支付機構的業務特征，制定更加嚴格的監管標準。監管部門要建立監管系統，可以實時監控重點第三方支付機構，掌握重點第三方支付機構的營業狀況，有效防范客戶信息系統風險防控問題和支付機構不如實上報業務情況。處理違規情況，不能僅僅依靠行業自律，應該提高規則制度的威懾力、加大懲處力度，對違反《管理辦法》的機構高管和直接責任人員相應施以處罰，提高違規的經濟成本和社會成本。對于通過違規非法謀取利益的，應該提高罰款金額，若仍未悔改者，則應該命令其立即停止營業，防止別的行內機構效仿。3.對運營良好的重點支付機構給予一定的監管激勵不僅要對違規機構進行處罰，對于運營良好的重點支付機構要給予一定的監管激勵，例如對于那些歷史上沒有發生過信息安全風險事件的重點支付機構，對內控制度完善、產品設計和業務流程符合規范的重點支付機構、及時報告信息且信息真實的重點支付機構、央行在實地檢查和報告檢查中都沒發現什么問題或者問題特別少的重點支付機構等，可以給予正向的監管激勵。比如，允許運營良好的支付機構在經監管部門同意的前提下安全、靈活運用客戶備付金，并適度放松對客戶備付金和自有資本金存管的要求，提高其企業信用度，或者可以安排運營良好的重點支付機構進行新業務或者新產品試點等。

五、效果評估：建立第三方支付信息安全情況評估指標體系

（一）指標體系設計的依據和原則。監管部門或行業協會組織應對第三方支付機構建立一套統一的行業信息安全標準和評價指標，明確自身在信息安全管理和系統建設方面的義務和責任，對問題和風險實行定量評估和指標管理，發現信息安全風險關鍵點和隱患。指標體系建設可督促第三方支付機構切實落實監管政策各項要求，也便于定期公布對比各第三方支付機構信息安全管理等級，使行業風險管理更加嚴謹細致和科學合理。（二）第三方支付機構計算機系統安全運行率指標。計算機系統安全運行率=一年內系統安全運行實際天數/365天。計算機系統安全質量：按照一年內生產事故數量劃段評估，數量越少質量越高。該指標衡量第三方支付機構計算機系統安全運行的持續能力和質量。（三）第三方支付機構網絡信息安全標準達標率指標。網絡信息安全標準達標包括：網絡線路的暢通，路由設備的安全配置，網絡安全類防病毒軟件的安裝、升級和審計防火墻的訪問配置，審計專用網絡的隔離和訪問控制等，根據上述內容評分得到指標。（四）第三方支付機構客戶信息泄漏率指標。客戶信息泄漏指標=發生客戶信息外泄的數量/該機構所有客戶信息數量。客戶信息泄漏案件級別：按照不同客戶信息外泄數量對應等級，數量越大等級越高。（五）第三方支付機構網上交易欺詐率指標。網上交易欺詐比率指標用來衡量支付機構支付業務風險控制能力。監管機構可以設定一個允許網上交易欺詐比率指標的最大值，若支付機構的網上交易欺詐比率的值超過這個最大值，則說明這個支付機構的經營不合法，需要進行整改，監管機構可以處罰這個支付機構，根據超過最大值的程度確定支付機構的違規程度，對其實施相應程度的處罰。而對于有些支付機構，該指標數值較小，比如支付機構具有完備的風險控制措施，不拓展賭博、洗錢等非法商戶，在拓展商戶方法進行嚴格審核，在信息安全方面具有較強的能力、可保障支付安全、客戶資金安全，對于這類支付機構，則該指標數值較小。

六、結語

本文旨在提出第三方支付市場信息安全監管的目標、機制、政策和效果評估等政策設計建議。首先明確了有效監管的目標：確保第三方支付市場的穩定，有效和公平；為了實現監管目標，需要明確監管主體和職責范圍，提出以央行為主，多方協調強制監管介入的監管機制，多個監管部門一起承擔監管責任，一起對第三方支付機構的信息安全進行監管，發揮多部門聯合監管的系統化治理作用；提出了引入第三方評估機構實行外部評估并定期匯報、明確第三方支付機構信息安全的管理要求、實施差異化監管，加大對重點機構信息安全檢查和披露等多個方面的政策措施。最后提出監管效果的評估指標體系，使用具體的數據量化地衡量監管效果。

作者:危懷安 李松濤 單位:華中科技大學公共管理學院