年交易規模近4萬億元的互聯網支付業，迎來了首個風控板塊的規范性文件。

    近日，中國支付清算協會印發了《支付機構互聯網支付業務風險防范指引》（下稱《指引》）。這是國內第一部針對互聯網支付業務風險防范操作的具體規范性文件，填補了互聯網支付風險管理自律規范的空白。

    根據艾瑞咨詢[微博]的報告，2012年，國內互聯網支付業務交易規模達3.66萬億元，同比增長66%。其中，2012年第四季度單季交易規模突破萬億元，達1.07萬億元。而伴隨著交易規模的迅速增長，互聯網支付安全問題日益引人關注。

    人民銀行支付結算司副司長周金黃上周就公開表示，目前我國網絡支付總體安全，但潛在問題不容忽視。較多用戶的網絡安全意識薄弱，風險防范能力不足。

    類銀行風控體系

    周金黃稱，中國網民人數超過5.5億，網絡支付用戶達2.21億，也就是說網民中使用網上支付的比例達到約40%。中國已經成為全世界最大的網上支付消費國家。

    通俗地講，互聯網支付是指用戶通過互聯網渠道進行的在線資金交付行為，如網上銀行、手機銀行、快捷支付等。伴隨著新技術的出現，支付安全問題變得日益重要。

    “支付業務，風險控制無小事?！币晃恢Ц豆靖笨偛梅Q，雖然網絡支付損失的資金占總的支付金額比例非常低，但資金損失對于單個用戶來說可能就是百分之百。

    此次印發的《指引》聚焦于互聯網支付的風險防范領域。事實上，在此之前，無論是央行，還是支付清算協會，均未針對互聯網支付領域專門下發過正式 文件。此次下發的《指引》，對支付公司的風險管理組織架構、風險管理支付、風險管理系統等方面作出硬性規定，還明確提出風險防范的具體要求和操作規范，保 障互聯網支付安全。

    總體來看，《指引》對支付公司在風險控制領域的要求與銀行結算的風險控制體系，大體類似。

    一位支付清算協會人士稱，《指引》的制定吸取了銀行風控方面的經驗，也吸收借鑒了歐洲中央銀行關于互聯網支付安全建議等國際經驗。他還稱，互聯網支付是一個兩極分化嚴重的行業，大的公司很大，小的公司很小，《指引》的制定要平衡二者的實際情況。

    截至目前，人民銀行已經累計發放223張非金融機構支付許可證，其中從事互聯網支付和移動支付的約80家?；ヂ摼W支付領域，支付寶[微博]、財付通兩家的市場份額超過70%以上。

    “安全板塊，支付寶目前配備了400多人。交易風險、信息風險、備付金風險還有合規、內控等方面，支付寶都有非常完整的管理體系?！敝Ц秾毚蟀踩笨偛媒枌Α兜谝回斀浫請蟆繁硎荆Ц缎袠I具有明顯的規模效益，達到一定規模后，資源投入才會跟得上。

    “對于一些小的支付公司來講，要構建如此嚴密的風控體系尚需一定時間?！鄙鲜鲋Ц豆靖笨偛帽硎?，安全問題是支付企業的生命線。風控向銀行看齊，長遠來看，這種要求是正確的。

    不得匿名開戶

    中后臺，搭建風控體系，防范客戶資金出現損失；在前臺，《指引》則積極推進實名制。

    “用戶風險防范的首要環節是用戶注冊審查環節，包括實名制要求、用戶身份信息審核、用戶申請資料保存等?！敝Ц肚逅銋f會稱，支付機構要強化用戶身份認證，防止用戶信息被冒用、盜用。

    根據上述《指引》，支付機構應根據審慎原則，實名開立用戶支付賬戶，對用戶身份信息的真實性負責，不得為用戶開立匿名、假名支付賬戶。

    “銀行賬戶實名制推行已有多年。由于存量的原因，今年銀行也在清理虛假匿名賬戶。”上述支付公司副總裁稱，支付行業畢竟是個新興的行業，目前難免有一些支付公司會匿名開戶，但長遠趨勢會與銀行類似。

    《指引》還要求，支付機構應為同一用戶建立唯一的用戶身份識別號，對該用戶開立的所有支付賬戶進行關聯、統一管理；對同一用戶在同一支付機構開立多個支付賬戶的，應采取有效措施確保支付賬戶為同名賬戶且多個支付賬戶中登記的用戶基本身份信息一致。

    與銀行對公、對私賬戶類似，支付機構在為用戶開立賬戶時，根據賬戶開立主體不同，分為個人支付賬戶和單位支付賬戶。上述支付公司副總裁稱，開戶時，支付公司會承諾客戶，嚴格保護其個人信息安全。

    在保護金融消費者信息安全上，《指引》也給出了硬性規定。

    《指引》稱，支付機構應設立或指定專門部門負責用戶信息保護工作，并與所有接觸用戶賬戶信息及交易數據等敏感信息的員工簽署保密協議，明確員工需要承擔的保密責任以及員工離職時的脫密期。

    此外，《指引》還要求，未經用戶授權，支付機構不得為任何單位或個人查詢用戶身份信息及交易信息資料，不得將用戶身份信息及交易信息向任何第三方提供，法律法規另有規定的除外。