号称“史上最严”的《非银行支付机构网络支付业务管理办法》,也就是支付新规已于7月1日正式生效。自此,支付机构将对客户实行实名制管理,未进行实名认证的账户将被限制使用。而根据实名程度的不同,第三方账户也被分为三类,每一类账户的功能、限额及身份认证方式如下图:
支付账户是用户在支付机构开设的“资金户头”,是记录客户资金变动的重要凭证;实行支付账户实名制能够从法律上保护用户的财产权利,明确债权债务关系;能使监管机构有效开展反洗钱等工作,维护正常金融秩序。所以监管层也提出了7月1日之前,各支付机构实名率需满足95%的指标。但据支付清算协会相关负责人透露,目前支付机构实名认证工作距要求还有一段差距。第三方支付机构推广实名制不仅可应对监管需求,更能带来很多益处。例如实名制后可以更容易的检测到违规账号,以便追究其相关责任;能够让支付机构更准确、全面的了解客户,提升服务质量;在新规实施后,让用户升级为第III类账户可以增加其余额付款功能和限额,也等于增加了支付机构的业务流水。但从实名认证工作距监管层要求还有一段差距来看,实名制推广存在一定困难。那么,实名制推广的难点有哪些?用何种方法可以解决这些难点呢?
支付实名制的难点
归纳部分第三方支付机构的观点和媒体采访报道,我们发现实名制推广主要存在以下三个难点:
难点一,用户担心个人隐私被泄露
很多用户担心上传身份证、绑定银行卡等操作会泄露个人隐私,甚至增加银行卡被盗刷的概率及风险,所以不愿进行认证,用户的配合程度严重影响了实名认证工作的推进。
难点二,交叉验证难落实
据《办法》规定,支付机构给个人开户,如果未经面对面身份核实的,则需要相应的证明文件进行交叉验证。II类账户需要三个机构为用户做身份验证,III类账户则需要五个机构来验证。这一交叉验证方式牵涉机构较多,机构之间的沟通却差强人意,也几乎没有哪个机构、部门能将各个渠道的数据汇集齐全,这让交叉验证的落实变的更为困难。
难点三,部分支付机构安全状况堪忧
有央行人士表示,一些规模较小的网络支付机构系统存在漏洞,可能会给实名制后的消费者资产带来安全隐患。相关统计数据显示,2015年有近200家网上商城或支付平台被曝存在安全漏洞,其中多家网站泄露的用户信息达到数百万条,最多的甚至达到上千万条。
借助数据认证服务推进实名制
虽然困难较多,但随着电子认证、大数据等技术的成熟和普及,支付机构也有了更多可以协助他们推进实名制的工具。就以用户担心的隐私泄露问题来说,据第三方数字认证及数据服务机构CFCA(中国金融认证中心)数据产品负责人介绍,目前CFCA为第三方支付提供的用户身份验证是建立在用户授权基础上的认证服务,同时CFCA设立追溯机制倒逼支付机构在采集用户数据时采用合法途径,并对用户授权协议中注明的数据用途进行回访。如果发现支付机构未能给予用户知情权,CFCA就会停止提供验证服务。除此以外,数据加密、数据脱敏等技术手段也被CFCA用于对用户身份实名数据的保护。
对于交叉验证,该负责人表示,目前不少机构在对接公安、教育、财税、银行、铁路等掌握大量用户信息的部门时采用静态数据库、随机确认等无效认证手段,这会对身份信息变更的用户带来极大的隐患。支付机构对接数据,应当以公安部、人民银行等权威部门总数据库中的内容为准。CFCA数据服务通过与公安、人民银行进行对接,提供全面的数据认证解决方案。另一方面,CFCA做为信息安全服务商,所搭建的信心安全交换平台能够解决多个机构部门间的信息交换问题。如果支付机构通过CFCA验证用户身份,可建立“一对多”式的系统对接,一次性为用户完成多重交叉认证。另外,CFCA建议部分系统安全状况较差的支付机构可以考虑部署基于数字证书的安全解决方案,通过SSL安全网关、数字签名服务器、安全中间件、安全输入开发套件等产品提高平台安全系数,并定期由第三方机构对系统进行安全检测。
注:第三方支付整体安全解决方案系统架构
当然,作为推进实名制的主体,支付机构才是克服困难、做好这项工作的关键。此次新规也明确了第三方支付机构的责任。例如,新规要求支付机构以“最小化”原则采集、使用、存储和传输客户信息,采取有效措施防范信息泄露风险,明确支付机构不得向其他机构和个人提供客户信息,禁止支付机构的特约商户储存客户银行卡的敏感信息。如果第三方支付机构或卖家泄露了个人信息导致资金损失,那么客户可要求支付机构进行赔付。网络支付实名制由于之前欠账太多,落实起来很难一蹴而就,因此需要支付机构在隐私保护、验证便捷性、平台安全性等方面做出更多努力,同时也需相关部门、企业的多方配合,让支付实名制在我国早日实现全方位、高覆盖的落地。