導語：第三方支付信息安全監(jiān)管及對策一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

［摘要］我國第三方支付市場具有涉及面廣、復雜度高、監(jiān)管主體多等特點，其研究目前主要集中于行業(yè)發(fā)展、監(jiān)管主體、風險管理、支付機構監(jiān)管定位和消費者權益保護等方面，但從信息安全監(jiān)管角度對第三方支付市場的政策方面的研究較少。本文給出了以穩(wěn)定、有效和公平的第三方支付市場信息安全的監(jiān)管目標、以央行為主多方協(xié)調的強制介入的監(jiān)管機制。提出引入第三方評估機構實行外部評估并定期匯報、明確第三方支付機構信息安全的管理要求、實施差異化監(jiān)管，加大對重點機構信息安全檢查和披露等多個方面的政策措施。并提出從安全運行率、安全標準達標率、信息泄漏率、交易欺詐率等方面建立評估第三方支付信息安全情況的指標體系，以期推動我國第三方支付市場的穩(wěn)健發(fā)展。

［關鍵詞］第三方支付；信息安全；監(jiān)管政策；評估指標

一、引言

國內學者對新興的第三方支付市場發(fā)展和監(jiān)管進行大量的研究，主要的研究成果集中于對第三方支付機構監(jiān)管定位、第三方支付行業(yè)發(fā)展和第三方支付行業(yè)的風險管理等方向的研究。沈紅兵通過研究歐美等國家關于第三方支付行業(yè)的政策法規(guī)，發(fā)現美國第三方支付需要聯邦與州分層監(jiān)管，沉淀資金存入美國聯邦存款保險公司（FDIC）無息賬戶，提出加強第三方支付機構在最低資本金、內控和風險管理的準入門檻。［1］黎四奇、李俊平認為，人民銀行將第三方支付機構歸屬為非金融機構這一說法欠妥當，對比商業(yè)銀行提供的業(yè)務范圍，第三方支付機構業(yè)務與商業(yè)銀行的中間業(yè)務是高度重合的，為了更好地規(guī)制第三方支付機構的行為確切地說將第三方支付機構應被界定為準金融機構。［2］任曙明、張靜、趙立強等認為，第三方支付行業(yè)包含了買方、賣方、商業(yè)銀行、支付機構四種角色，第三方支付平臺是擔保買賣雙方交易的信用平臺等特性。［3］馬梅、朱曉明指出，互聯網與移動互聯網技術的發(fā)展和普及，改變了原有商業(yè)模式，產生了新的商業(yè)機會，第三方支付市場適時而生，并在新的商業(yè)模式下不斷的發(fā)展壯大，從而又推動了新的商業(yè)模式的產生，深刻影響我國的金融行業(yè)和互聯網行業(yè)。［4］李洪心對第三方支付行業(yè)的風險應建立健全的監(jiān)管法律體系，以商業(yè)銀行的監(jiān)管要求來控制第三方行業(yè)的風險，建立類似商業(yè)銀行存款保證金政策等。［5］郭明他認為第三方支付機構是準金融機構，會存在如同金融機構一樣的風險，并建議監(jiān)管機構應該監(jiān)督第三方支付流動性和信用風險。［6］國外一些學者對第三方支付的行業(yè)發(fā)展、監(jiān)管主體、支付風險、消費者權益保護以及數據安全標準等方面進行了相關研究，研究成果主要集中在第三支付行業(yè)發(fā)展對社會和經濟的意義、第三方支付行業(yè)的監(jiān)管定位和第三方支付行業(yè)的風險管理等方面。DanJKim對eBay公司進行了深入的研究，論證了PayPal的支付服務對經濟和社會的積極意義。［7］CindyClaycomb論證了第三方支付行業(yè)發(fā)展對國家工業(yè)市場的積極意義。［8］CeceliaKye研究了歐盟范圍內的第三方支付市場，歐盟將第三方支付企業(yè)定性為電子貨幣機構，歐盟的監(jiān)管部門要求第三方支付企業(yè)遵循審慎監(jiān)管原則，對第三支付機構進行界定與監(jiān)管。［9］SarahJHughes等介紹了美國各州對儲值類第三方支付機構的最新法律法規(guī)，并介紹和分析了美國部分州監(jiān)管部門的監(jiān)管實踐和訴訟案例。［10］RichardJSullivan考察了零售支付行業(yè)的最新狀況和面臨的風險，分析和反思了政府針對非銀行支付服務提供者設立的監(jiān)管體系，并且建議監(jiān)管者為了控制零售支付系統(tǒng)的風險而提出特殊的監(jiān)管政策，要進一步關注零售支付系統(tǒng)內外的信息一致、外部環(huán)境和支付機構適配的問題。［11］國內外學者們對第三方支付行業(yè)的研究成果主要集中在經濟學、金融學和法學等學科領域，對第三方支付行業(yè)的監(jiān)管建議是制定相應的法律法規(guī)，審核第三方支付企業(yè)的準入資格，第三方支付機構的風險管理，包含沉淀資金管理以及反洗錢風險等方面，使第三方支付機構健康發(fā)展，進而為國家的經濟、社會產生積極貢獻，但是對第三方支付市場在有效保護用戶信息安全、第三方支付機構網絡信息安全技術標準等方面的研究較少，更缺少從信息安全角度對第三方支付市場的監(jiān)管政策進行系統(tǒng)性研究，因此，本文針對性提出我國第三方支付市場信息安全監(jiān)管的目標、機制和政策，并嘗試建立一套我國第三方支付市場信息安全效果評估指標體系。

二、監(jiān)管目標：確保穩(wěn)定、有效和公平的第三方支付市場

監(jiān)管部門應對第三方支付市場信息安全實施有效、可持續(xù)的監(jiān)管，才能對其發(fā)展中的各類風險和隱患進行及時的監(jiān)控和防范，同時有效的監(jiān)管還應能持續(xù)促進產業(yè)的不斷創(chuàng)新和長期良性發(fā)展，即保證第三方支付機構既能在網上支付市場合規(guī)經營，切實履行保護客戶信息安全義務，又能通過行業(yè)創(chuàng)新和有序發(fā)展促進整個互聯網金融健康成長、社會公共安全平安穩(wěn)定。監(jiān)管部門對第三方支付市場信息安全實施有效監(jiān)管的目標在于第三方支付市場的穩(wěn)定、有效和公平。具體包括以下目標：（1）穩(wěn)定目標。即維護第三方支付市場的平穩(wěn)發(fā)展和安全運行。穩(wěn)定目標主要是防范整個第三方網上市場信息安全的系統(tǒng)性、大規(guī)模風險。韓國客戶信息大規(guī)模泄漏案件就是電信的系統(tǒng)性信息安全風險爆發(fā)，最終導致整個國家的客戶信息認證制度推倒重來，造成的經濟損失不可計量，特別對于網上支付等互聯網業(yè)務打擊重大。因此，有效實施第三方支付市場信息安全的首要目標就是避免由于第三方機構信息大規(guī)模泄漏而出現影響社會公共安全和經濟穩(wěn)定運行的系統(tǒng)性風險。（2）有效目標。即維護第三方支付市場的公平競爭和持續(xù)發(fā)展。有效目標是指有效的監(jiān)管措施能夠創(chuàng)造一個公平有效的市場環(huán)境，既能有效打擊破壞信息安全的違規(guī)企業(yè)，也能保證不過度監(jiān)管或監(jiān)管成本過高，導致整個市場業(yè)務創(chuàng)新受到壓制，良性發(fā)展受到限制。（3）公平目標。即維護社會公眾的利益。公平目標主要是提高第三方支付機構對個人客戶信息安全保護要求，確保個人對機構的合法權益得到有效保證。在線上支付交易過程中，消費者與第三方支付機構相比，明顯處于劣勢地位，第三方支付機構掌握著交易規(guī)則，消費者在信息安全保護方面往往處于弱勢地位，其權益不易受到保障。因此，公平監(jiān)管的目標就是消除第三方支付市場由于信息不對稱或其他天然原因給個人客戶帶來的不公平和利益受損。

三、監(jiān)管機制：以央行為主，多方協(xié)調的強制監(jiān)管介入

第三方支付發(fā)展創(chuàng)新迅速，相關客戶信息安全規(guī)范監(jiān)管勢在必行。在我國，對于支付結算這類資金業(yè)務，必須由中國人民銀行承擔主要的監(jiān)管任務。第三方支付企業(yè)和機構屬于非銀行金融機構，即公司性質金融機構，它是銀行業(yè)務的延伸和發(fā)展，中國人民銀行應承擔主要的監(jiān)管職責。由于第三方支付業(yè)務利用了大數據和云計算等先進技術，并構建于移動互聯網、互聯網基礎之上，所以，互聯網金融監(jiān)管需要形成監(jiān)管合力，利用“大金融”理念來統(tǒng)籌多部門協(xié)調監(jiān)管，僅有央行的監(jiān)管遠遠不夠，第三方支付行業(yè)應積極采取行業(yè)自律的手段，通過建立行業(yè)監(jiān)管協(xié)會，并制定行業(yè)規(guī)范，從而更好地促進第三方支付行業(yè)的健康發(fā)展。目前，對于第三方支付的研究都提出了各自關于監(jiān)管主體的設想。中國人民銀行對第三方支付機構的企業(yè)性質、企業(yè)注冊資本金、機構存在的風險監(jiān)控、機構的審批程序等方面作出了相應規(guī)定。實際上，第三方支付的業(yè)務是一個綜合性業(yè)務，會涉及到很多方面，包括金融服務業(yè)務，對網絡的運營業(yè)務等方面，如果只是根據第三方支付的單一業(yè)務功能去確定它的監(jiān)管者是片面的，特別是信息安全涉及工信部、公安部、工商行政管理總局等部門職責管轄范圍，因此第三方支付的某些業(yè)務會受到上述監(jiān)管機構的監(jiān)管，如表1所示。因此，對信息安全的監(jiān)管不能只靠一個監(jiān)管機構進行監(jiān)管，建議構建以人民銀行為主導，工信部、公安部、銀監(jiān)會、工商行政管理總局等部門為輔的多層次第三方支付市場信息安全監(jiān)督管理機制。

四、監(jiān)管政策：制定覆蓋制度、管理的監(jiān)管規(guī)范

（一）引入第三方評估機構實行外部評估并定期匯報。第三方支付市場信息安全涉及到很強的專業(yè)性，第三方支付市場融合了金融和互聯網兩個行業(yè)，而且還具有復雜、動態(tài)、易擴散、高風險的信息安全特征。第三方支付行業(yè)事關金融安全、個人財產安全和社會公共安全，不能僅靠第三方支付企業(yè)或行業(yè)自律解決，而政府監(jiān)管部門只能在這些專業(yè)領域提供框架性的指導政策，所以引入專業(yè)、獨立和權威的第三方評估機構就非常必要。獨立的第三方檢測機構對第三方支付企業(yè)的信息安全進行合法性、合規(guī)性檢查。在選擇第三方評估機構時，要注意確保獨立的第三方評估機構與“第一方”-監(jiān)管機構和“第二方”-第三方支付機構不具有任何行政隸屬關系，也不具有任何利益關系，在檢查中要體現過程透明，結果客觀。獨立的第三方評估對第三方支付機構的信息安全實行外部評估，出具具有公信力和真實性的評估報告，并向監(jiān)管部門報送報告，監(jiān)管部門對第三方支付機構的信息安全進行及時糾正，也便于第三方支付機構針對性地進行查漏補缺，提高第三方支付機構的信息安全等級，避免信息安全事故的發(fā)生。除了引入第三方評估機構實行外部評估外，還需要第三方支付機構定期從內部進行自查自檢，并將信息安全風險管理報告報送給監(jiān)管部門，信息安全風險管理報告主要包括以下內容：一是將第三方支付機構可能存在的風險事項和運行情況及時報送給監(jiān)管部門，如果發(fā)現信息安全風險管理存在問題，需要及時報告現狀、問題及解決方案，有改善建議的，可以向監(jiān)管部門提出信息安全改善工作建議，并尋求監(jiān)管部門的幫助和指導，將風險防患于未然。二是第三方支付機構要履行向監(jiān)管機構上報信息的職責，如果以后出現問題，支付機構可因向監(jiān)管機構報送過信息而免于責任。三是便于監(jiān)管部門對第三方支付機構進行監(jiān)管，并配以嚴格的處罰制度，監(jiān)管部門要對執(zhí)行報告制度不到位的機構進行評判和處罰，尤其對于瞞報重大信息安全風險事件的機構要從嚴從重處罰。（二）明確第三方支付機構信息安全的管理要求。目前，第三方支付在央行二號令中沒有確切的規(guī)范信息安全管理要和風險防范義務，僅是要求第三方支付機構要妥善保管客戶信息資料，不得出賣客戶信息等。建議增加關于第三方支付機構信息安全的管理要求：一是對于我國第三方支付機構在信息安全方面因治理缺失、重視不夠、規(guī)劃不足和管理不到位等原因，帶來的系統(tǒng)性風險日益集中和擴大的問題，將風險管理關口前移，監(jiān)管機構在機構、業(yè)務和首席信息官的準入管理方面，將信息科技準入納入有關行政許可法規(guī)，確保第三方機構在機構設立、業(yè)務開辦與系統(tǒng)投產之初，就建立符合業(yè)務發(fā)展需要、支持業(yè)務安全穩(wěn)定運行的信息科技管理與運行環(huán)境。二是對于涉及到消費者的個人隱私和財產安全的客戶信息，如消費者在進行網上支付時提供的詳細個人信息，應制定規(guī)定以規(guī)范第三方支付機構查閱消費者客戶信息的權限和保密義務，第三方支付機構如果沒有盡到義務則應承擔法律責任，嚴格確定隱私范圍，并要確定哪些機構有權查看消費者的隱私信息，哪些機構無權查看，保護消費者的隱私不受到侵犯。三是對于第三方支付機構高層管理人員和員工普遍對信息安全風險意識淡薄、重視不夠的情況，一方面要明確要求信息安全管理和系統(tǒng)建設列入第三方支付機構高層管理人員風險管理工作，明確公司高層管理人員對信息安全風險事件承擔的責任。另外，要求第三方支付機構日常加強員工的信息安全風險管理培訓，提升全員對網絡信息安全風險意識和參與風險管理的責任心。四是對于客戶信息違法的行政處罰偏輕，及缺乏明確的處罰責任，違法成本偏低的情況設置不同程度罰款的行政處罰，甚至對于大范圍和數據極大的信息泄漏風險事件處罰之外還要責令第三方支付機構停業(yè)整改，即加大違規(guī)行為處罰力度。從系統(tǒng)存在漏洞、信息泄露以及導致資金損失的行為，對其高級管理人員及直接責任人進行處罰。從信息監(jiān)管的角度考慮，有必要設定行政處罰且要設定具有足夠威懾力的行政處罰，如果行政處罰的威懾力不足，則起不到監(jiān)管的作用，很難發(fā)揮法律法規(guī)的作用。因此，應該合理地設置第三方支付機構法律制度中的行政處罰條款，真正實現監(jiān)管的目的。五是明確要求第三方支付機構制定信息安全風險事件應急預案和提取信息安全風險補償金。制定信息安全風險事件應急預案，以確保在即便出現嚴重的系統(tǒng)癱瘓、網絡攻擊、客戶信息泄漏以及群體性輿情事件的情況下，能夠有完整的應對措施和準備手段，防止風險進一步擴散惡化，最大程度減少機構和客戶損失，并能夠及時恢復正常運行和交易。近年來，經常發(fā)生的案件是第三方支付平臺網絡客戶賬戶登錄名及密碼被盜所導致的財產損失，由于線上支付環(huán)境很難界定客戶和第三方支付機構各自的責任，因此，第三方支付機構應根據線上支付交易規(guī)范和風險概率發(fā)生情況，提前建立信息安全風險補償金，對上述情況難以認定責任的客戶在第一時間給予資金賠付。建議第三方支付機構建立客戶先行賠付機制，引入保險公司對網上交易風險補償，切實保護客戶財產和客戶信息，提高網絡用戶對第三方支付平臺安全性的信任度。六是規(guī)范信息安全風險管理機制，做到事前預防、事中控制、事后治理的全過程控制。事前預防：制定分級管理制度，對涉及信息安全的人員制定不同的訪問權限，還有不同的數量控制。制定監(jiān)督檢查機制，從管理層面入手對第三方支付信息安全涉及的各個部門進行監(jiān)督管理，規(guī)范交易流程。加大網絡信息安全的宣傳力度，提高用戶的自我安全保護意識，加強對相關工作人員的專業(yè)性培訓，減少因操作失誤引起的信息安全風險。事中控制：建立風控管理平臺，設定關鍵風險指標并實時采集，對小額多次、短時異地、頻繁交易等異常交易進行預警，并根據預警信息及時做好風險評估及風險應急處理方案，有效監(jiān)控并防范重要風險。并對過程實行風險監(jiān)控，定期審查系統(tǒng)和數據，對系統(tǒng)日志、系統(tǒng)維護記錄、系統(tǒng)報警記錄、違章報告、數據的操作記錄和下載記錄等進行審查，發(fā)現問題及時上報。對關鍵崗位的工作人員按照人員審查標準進行定期審查。事后治理：風險事件過后，組織專門小組對風險進行分析、總結和記錄，制定風險預防措施，建立風險記錄檔案，并及時彌補現有系統(tǒng)漏洞，升級病毒庫文件。（三）實施差異化監(jiān)管，加大對重點機構信息安全檢查和披露。我國第三方支付市場呈現寡頭集中現狀，雖然我國第三方支付企業(yè)較多，但是主要業(yè)務集中在幾個大型支付企業(yè)中。在監(jiān)管實施過程中，通過差異化分級分類管理第三方支付機構，篩選出支付寶、財付通等占據重要市場份額和具有較大影響力的支付機構，將其列為重點支付機構，與其他非重點支付機構實行差異化監(jiān)管。差異化監(jiān)管的實質是總體上投入更多的監(jiān)管資源，引入更加嚴格的監(jiān)管標準，但是對于重點支付機構又實行與其他支付機構差別化的監(jiān)管標準。1.明確重點支付機構的確立原則根據市場上的各種可能因素如市場份額、涉及工作范圍等因素設計評分標準，對機構按照設定的評分標準進行打分，按照得分高低情況評出重點支付機構，重點進行管理。加強監(jiān)管第三方支付構可以采取實地檢查與報告檢查相結合的方法。對于重點支付機構，最好采用實地檢查的方法，而且檢查頻率要高，如果采用報告檢查的方法，則要求報告盡量詳細，對報告必須包含的內容要有明確的要求，根據報告的內容，結合以往的經驗，可以發(fā)現第三方支付機構市場中存在的一些涉及信息安全的問題。2.制定更加嚴格的監(jiān)管標準監(jiān)管重點支付機構在現在普遍適用的監(jiān)管規(guī)則上，要結合重點支付機構尤其構成壟斷寡頭的個別幾家支付機構的業(yè)務特征，制定更加嚴格的監(jiān)管標準。監(jiān)管部門要建立監(jiān)管系統(tǒng)，可以實時監(jiān)控重點第三方支付機構，掌握重點第三方支付機構的營業(yè)狀況，有效防范客戶信息系統(tǒng)風險防控問題和支付機構不如實上報業(yè)務情況。處理違規(guī)情況，不能僅僅依靠行業(yè)自律，應該提高規(guī)則制度的威懾力、加大懲處力度，對違反《管理辦法》的機構高管和直接責任人員相應施以處罰，提高違規(guī)的經濟成本和社會成本。對于通過違規(guī)非法謀取利益的，應該提高罰款金額，若仍未悔改者，則應該命令其立即停止營業(yè)，防止別的行內機構效仿。3.對運營良好的重點支付機構給予一定的監(jiān)管激勵不僅要對違規(guī)機構進行處罰，對于運營良好的重點支付機構要給予一定的監(jiān)管激勵，例如對于那些歷史上沒有發(fā)生過信息安全風險事件的重點支付機構，對內控制度完善、產品設計和業(yè)務流程符合規(guī)范的重點支付機構、及時報告信息且信息真實的重點支付機構、央行在實地檢查和報告檢查中都沒發(fā)現什么問題或者問題特別少的重點支付機構等，可以給予正向的監(jiān)管激勵。比如，允許運營良好的支付機構在經監(jiān)管部門同意的前提下安全、靈活運用客戶備付金，并適度放松對客戶備付金和自有資本金存管的要求，提高其企業(yè)信用度，或者可以安排運營良好的重點支付機構進行新業(yè)務或者新產品試點等。

五、效果評估：建立第三方支付信息安全情況評估指標體系

（一）指標體系設計的依據和原則。監(jiān)管部門或行業(yè)協(xié)會組織應對第三方支付機構建立一套統(tǒng)一的行業(yè)信息安全標準和評價指標，明確自身在信息安全管理和系統(tǒng)建設方面的義務和責任，對問題和風險實行定量評估和指標管理，發(fā)現信息安全風險關鍵點和隱患。指標體系建設可督促第三方支付機構切實落實監(jiān)管政策各項要求，也便于定期公布對比各第三方支付機構信息安全管理等級，使行業(yè)風險管理更加嚴謹細致和科學合理。（二）第三方支付機構計算機系統(tǒng)安全運行率指標。計算機系統(tǒng)安全運行率=一年內系統(tǒng)安全運行實際天數/365天。計算機系統(tǒng)安全質量：按照一年內生產事故數量劃段評估，數量越少質量越高。該指標衡量第三方支付機構計算機系統(tǒng)安全運行的持續(xù)能力和質量。（三）第三方支付機構網絡信息安全標準達標率指標。網絡信息安全標準達標包括：網絡線路的暢通，路由設備的安全配置，網絡安全類防病毒軟件的安裝、升級和審計防火墻的訪問配置，審計專用網絡的隔離和訪問控制等，根據上述內容評分得到指標。（四）第三方支付機構客戶信息泄漏率指標。客戶信息泄漏指標=發(fā)生客戶信息外泄的數量/該機構所有客戶信息數量。客戶信息泄漏案件級別：按照不同客戶信息外泄數量對應等級，數量越大等級越高。（五）第三方支付機構網上交易欺詐率指標。網上交易欺詐比率指標用來衡量支付機構支付業(yè)務風險控制能力。監(jiān)管機構可以設定一個允許網上交易欺詐比率指標的最大值，若支付機構的網上交易欺詐比率的值超過這個最大值，則說明這個支付機構的經營不合法，需要進行整改，監(jiān)管機構可以處罰這個支付機構，根據超過最大值的程度確定支付機構的違規(guī)程度，對其實施相應程度的處罰。而對于有些支付機構，該指標數值較小，比如支付機構具有完備的風險控制措施，不拓展賭博、洗錢等非法商戶，在拓展商戶方法進行嚴格審核，在信息安全方面具有較強的能力、可保障支付安全、客戶資金安全，對于這類支付機構，則該指標數值較小。

六、結語

本文旨在提出第三方支付市場信息安全監(jiān)管的目標、機制、政策和效果評估等政策設計建議。首先明確了有效監(jiān)管的目標：確保第三方支付市場的穩(wěn)定，有效和公平；為了實現監(jiān)管目標，需要明確監(jiān)管主體和職責范圍，提出以央行為主，多方協(xié)調強制監(jiān)管介入的監(jiān)管機制，多個監(jiān)管部門一起承擔監(jiān)管責任，一起對第三方支付機構的信息安全進行監(jiān)管，發(fā)揮多部門聯合監(jiān)管的系統(tǒng)化治理作用；提出了引入第三方評估機構實行外部評估并定期匯報、明確第三方支付機構信息安全的管理要求、實施差異化監(jiān)管，加大對重點機構信息安全檢查和披露等多個方面的政策措施。最后提出監(jiān)管效果的評估指標體系，使用具體的數據量化地衡量監(jiān)管效果。

作者:危懷安 李松濤 單位:華中科技大學公共管理學院