支付新规：破解商业银行与支付公司暧昧关系

　　破解商业银行与支付公司之间的暧昧关系是监管部门理顺电子支付市场的关键点

　　本刊记者｜辛云勇

　　电子支付限速跑

　　在央行《电子支付指引(第一号)》(以下简称《指引》)出台的第二天，记者致电某商业银行电子银行部的负责人，该人士对央行此举表示欢迎。但两天之后，该行电子银行部的另一高层私下告诉记者，现在已到了大力推广网上支付的时候，而这一政策最突出的地方就在于限额电子支付。“这无疑打击了网上支付的积极性”，他还表示，“通过限额来保证电子支付的安全，是治标不治本的做法。”

　　事实上，与这家商业银行态度一致的是，大多数商业银行人士在公开表述中都对《指引》表达了支持的意向，但私下对此颇有微词，到目前为止，商业银行的集体表现要么强调自己早已达到《指引》中的要求，要么按兵不动。由于《指引》只是央行的指导性文件，并没有做强制执行的要求，商业银行仍有比较大的回旋余地。

　　第三方电子支付公司群体则纷纷强调这一文件主要针对商业银行，而与自己关系不大。但在不少安全领域的专家看来，《指引》所强调的电子交易安全问题主旨不在技术安全，更多在于行业安全管理上的要求，而在这背后，破解商业银行与支付公司之间的暧昧关系是监管部门理顺电子支付市场的关键点。

　　不仅仅是安全

　　目前看来，对《指引》的解读，更多人仅注意到了交易安全这一关键词，而这正是商业银行最不愿看到的。事实上，在此之前的2005年9月，由CFCA(中国金融认证中心)牵头，几乎所有商业银行都参与了 “安全用网银”宣讲活动，一场浩浩荡荡的网银安全“全民运动”正在展开，各路专家都在纷纷劝说大众“放心用网银”。

　　在安全专家们看来，现在网上银行的安全问题已经不必再过份强调，现有的技术能够充分保证网上交易的安全。据吉大正元信息技术有限公司金融行业解决方案部李志勇介绍，就现有CA认证系统的网银交易而言，无论是在电子终端进行本地操作，还是在信息传递过程中，安全性都是相当高的。吉大正元是国内安全认证领域主要的厂商之一，在金融行业也颇有建树，其客户经验除招商银行和中国银行的CA系统之外，CFCA数字证书的主要技术也是由他们提供。

　　现在吉大正元的CA系统都是基于PKI技术开发出来的，自上世纪90年代初在西方安全认证领域流行以来，有多种算法为底层基础的PKI就一直是国际上主打的安全技术。李志勇认为，这种技术有足够的能力阻止木马程序的侵入，而在之前最容易出问题的信息传递过程中，由于有SSL安全协议的保护，也能够保证通信安全。现在国内所有的商业银行网银专业版都是通过CA认证来加强交易安全性，而对于大多数人使用的网银普通版，尽管安全性没有专业版高，但只要操作适当，一般不会出安全事故。

　　正因如此，在网银上被安全问题困挠多时的商业银行已经有点迫不及待，在各种场合都希望回避再谈交易安全防范。对于商业银行来说，现在更应该是在网上支付市场跑马圈地的时候，被安全问题再次拉回，不情愿也是理所当然。同时，对电子支付进行限额也意味着今后很长一段时间内银行难以放开手脚做市场，在不少商业银行人士看来，央行此举等于是缚住了他们的手脚。

　　接受记者采访时，央行相关负责人对商业银行的实质反弹表示理解，他重点解释了《指引》的出台背景，除了防范电子支付风险之外，他还强调促进网银专业版的大规模应用也是这一文件出台希望达到的效果之一。

　　标准统一之困

　　但事实上，网银安全认证证书的推广一直不尽人意，在李志勇看来，这与银行在证书操作流程上设定的程序过于麻烦有关，有不少银行的证书都需要先到柜台去办理，就算能在网上下载也比较复杂，而使用网银的群体本就是希望图个方便快捷。对于商业银行来说，要推广专业版，在申请流程上简单化甚至“傻瓜化”都是首先要做到的。

　　另一方面，在证书的发放问题上，央行和商业银行也处于貌合神离的状态。央行的本意是希望能够有一个统一标准的认证证书，在1999年牵头建立CFCA时，央行就对各商业银行表示了这一意愿，但直到现在，真正购买CFCA证书的商业银行屈指可数。CFCA总经理李晓峰告诉记者，现在CFCA发放到手的证书总共是70多万张，包括企业和个人网银的专业版用户在内，而其中单浦发一家就“贡献”了20多万张。据安全领域某人士透露，有时候商业银行也会碍于面子，象征性的向CFCA购买一些证书产品，但回头还是推荐客户使用自己的数字证书。

　　不少有实力的银行宁肯自建CA系统，其中除了CFCA在服务支持上的反应速度过慢之外，背后的利益关系也是银行考虑的主要因素。“在网上支付上，如果实力允许的话，没有人会愿意让自己受制于人”，李志勇称，“CA认证系统相对于银行的其他信息系统来说并不大，但在网上支付上起到关键作用。像工行这样的银行肯定愿意用自己开发的证书系统，在后和维护上都相对简单。”

　　另外，标准的统一也遭遇到来自一些网上银行业务状况良好的商业银行的阻力。以工行为例，2004年工行网银交易额已经超过34万亿元，仅B2C在线支付实现交易笔数就突破1000万笔，交易金额超过57亿元，已经成为最大的在线支付服务提供商。要统一标准，不能不考虑工行的态度，而能否让其他的商业银行“心服口服”的加入到这个统一标准的阵营中来，也是央行颇为头疼的难题。

　　据CFCA总经理李晓峰介绍，目前工行与CFCA正处于接触过程中，估计明年会有新的进展。在相关业内人士看来，拿下工行这家中国最大的商业银行对于CFCA来说具有重要意义，而央行在其中起到的作用不容忽视。CFCA的某位专家对记者表示，网银证书标准的统一是大势所趋，央行看到这一点，商业银行同样看到了。与在银行卡支付上有银联这样的机构类似，今后在网上支付上也会有统一认证的机构。

　　事实上，网上支付公司对商业银行CA系统的标准统一呼声也比较高。在目前状况下，每家网上支付平台都不得不向不同的商业银行提供不同的网关接口，“碰到某家银行系统升级的时候，支付公司在接口技术上都不得不跟进”，李志勇告诉记者，“这样一来，对网上支付公司来说，无形中造成了一笔颇大的成本支出。”

　　而在认证系统上缺乏统一标准的网银专业版要大规模推广，CFCA的一位技术顾问认为：“在一定时候将遭遇瓶颈。”但现在看来，这一过程在未来几年时间内都是难以解决的问题，背后的利益博弈要达到一个平衡点还有待时日。

　　破除非法交易隐患

　　如果说电子支付安全认证标准统一只能是一个逐步解决的过程，那电子支付非法交易所带来的隐患则是央行的当务之急。

　　2004年以来，地下赌博搬到网上的现象愈演愈烈，有不少赌博公司打着电子商务的旗号，光明正大的进行赌博业务的支付往来。与其他的电子商务活动类似，电子支付公司在这一业务运转的链条中处于关键环节。

　　据首信电子商务部经理鲍雁介绍，首信对每家客户的核实相当严格。“在签约之前，我们会向客户提出看他们的营业执照，并逐一查实”。在鲍雁看来，这样一个过程下来，首信心里能有一个底，至少知道客户是不是做正当生意的。

　　而大多数的支付公司并没有这样严密的审核程序，每天发生在网上支付平台之间数量繁多的转账和买卖交易，没有人能说清资金的来源和去向。与发生在银行账户之间的转账不同的是，银行对每一笔有异常的资金流向都有一套预警机制，能够大概分析出其中可能出现的风险，而支付公司对在支付交易过程中的这一风险往往很难察觉。

　　这也意味着，如果不设限的话，地下赌博机构或者其他非法的商业活动完全可能存在支付公司平台中。曾在上海一家支付公司有过两年工作经验的陈宪告诉记者，在某种意义上来说，绝大多数的支付公司都参与了洗黑钱的过程，对于多数支付公司来说，只要有交易，不论交易性质，只讲究交易结果。陈宪称：“其实有不少交易能够很明显的看出是在洗钱，但都当作视而不见。”

　　事实上，“黄”、“赌”、“黑”等非法交易的网上支付活动已经成为有些支付公司“客户沉淀资金”的主要来源。与此同时，其他的非法交易行为也开始在网上支付的过程中寻找避风港，而由于互联网全球通达的特征，用陈宪的话说，“几分钟的时候就能够绕地球转好几圈”，使得追查这些资金流向变得十分困难，一旦这种资金量过于庞大时，对国内的金融体系无疑是一种巨大冲击，这是央行不能不“牵肠挂肚”的。

　　等待政府发牌

　　让央行“牵挂”的还有电子支付公司的身份问题。目前涉足支付领域的公司多是IT和网络公司，并以技术服务商的面目出现，但事实上，支付公司已经部分涉及了银行的角色。有分析人士指出，几乎每家网上支付公司都存在“吸纳储蓄”的嫌疑，将在银行生成的利息当成最主要的利润来源，这已经是一笔金融范畴的生意。而最后到底将其定位在技术公司还是金融公司，据称，等央行的第二号指引出台后就有一个明确答案。

　　在这其中，支付公司与银行之间的暧昧关系使两者看起来更像是一个利益共同体，但有商业银行和电子支付公司的人士都表示，这样的关系可能不会太久远，“店大欺客，客大欺店”的现象也将出现在两者关系中。目前看来，支付公司开始做大的迹象越来越明显，对于一些中小商业银行来说，大的支付公司已经成为他们的座上宾。支付公司反客为主的心态已经越来越明显，有不少支付公司在暗中发力，为日后变身零售银行做准备，对于商业银行来说，今后在电子支付领域必定会出现一批新的“难缠”的竞争对手。

　　但商业银行并非只能被动应对。有不少第三方支付公司已经表现出这样的担心：有朝一日，银行做自己的支付平台，不再通过任何第三方支付公司，而直接与商家对接，这样一来，支付公司不得不面对来自银行的强大竞争。“不可排除的是，等某个时候网上支付成为银行重要的收益来源时，银行会跑到支付阵营来抢夺支付公司的客户。”某商业银行电子银行部高层对记者如此表示。

　　而在手机支付上，移动运营商和商业银行的系统对接在韩国已经成为普遍现象，有现成案例在先的情况下，中国的移动运营商与银行的后端业务系统直接对接存在极大可能性，而这也将直接导致第三方手机支付公司的集体死亡。

　　对于支付公司来说，能否走到变身银行的那一步还为时过早，他们正在等待政府发牌的时间，在《指引》出台之后，第二、第三号指引将接踵而来，这两者才真正密切关系到市面上所有支付公司的命运。

    相关报道：

    序言

    破解商业银行与支付公司暧昧关系

　　牌照发放暗藏洗牌悬机

　　电子支付暧昧的真相