金融監管人士今日向網易財經證實，俗稱“10號文”的關于規范商業銀行與第三方支付機構合作的文件已于本月10日下發。

      據今日財新網報道，銀監會和央行已于近日聯手下發俗稱“10號文”的《中國銀監會中國人民銀行關于加強商業銀行與第三方支付機構合作業務管理的通知》，試圖規范商業銀行和第三方支付機構的合作。

       在第三方支付機構資質方面，10號文要求首先銀行要對客戶的風險承受能力進行評估，以確定客戶與第三方支付機構相關的賬戶關聯、業務類型、交易限額等，包括單筆支付限額和日累計支付限額。在客戶提出申請且通過身份驗證和辨別后，在臨時期限內可以適當調整單筆支付限額和日累計支付限額。至于限額是多少、臨時期限有多長，由銀行自己決定。

      10號文再次重申了客戶身份認證的重要性。要求首次建立業務關聯時，必須通過第三方支付機構和銀行的雙重身份鑒別，此前86號文可由第三方支付機構單獨認證客戶身份，5號文則要求商業銀行識別。10號文再次強調銀行在用電子渠道驗證客戶身份時，應采用雙因素驗證方式對客戶身份進行鑒別。

       在賠付責任方面，10號文要求，商業銀行在與第三方支付機構簽訂合作協議時，要求對客戶通過大額資金劃轉強化身份認證，確保由客戶本人發出資金劃轉要求。對大額支付、可疑支付要及時通知客戶。從銀行賬戶劃出的支付交易資金，遇到交易終止、失敗應劃回原銀行賬戶。

      在銀行人士看來，此次10號文的主要十八條要求中，其中至少十條都是針對支付機構在以往操作中不配合銀行的違規行為。比如，第十一條，商業銀行應明確要求第三方支付機構不得在未經授權的情況下屏蔽本銀行的支付界面與接口。前述銀行人士反映，他們發現，支付機構沒給客戶提供可以選擇的銀行卡支付界面，或者銀行卡支付網關在不顯眼的地方。“這是支付機構人為制造銀行和用戶的矛盾”。

      在加強銀行內部風險防范方面，要求銀行將與第三方支付機構的合作業務納入運營風險監測系統的監控范圍，特別是對其中大額、異常的資金收付要逐筆監測。銀行應構建安全的網絡通道（如果專線連接、VPN通道等），制定安全邊界（如部署防火墻、DMZ隔離區等），防止第三方機構越界訪問。

      據銀行人士解釋，所謂越界訪問，是指支付接口原本只是用于繳納水電煤費用，但購物也從這個通道走了，“支付機構就偷偷摸摸的干了。缺少銀行的授權和監督，沒法合規地做。”

      中金公司今日就此發布報告指出，該公司認為第三方支付機構的快捷支付和數據共享面臨挑戰，但實際效果取決于執行力度：

      1、第三方支付機構的快捷支付功能將受到進一步限制。繼四大行下調快捷支付的支付限額后，此次10號文提到了兩點，可能會對快捷支付，包括余額寶等的申購產生影響：

      a、快捷支付用途受限。10號文指出，“銀行應構建安全的網絡通道，制定安全邊界，防止第三方機構越界訪問”。所謂越界訪問，指快捷支付的功能超出了銀行的授權范圍。據我們了解，銀行普遍對支付接口的用途設定一定的限制，比如只能用于繳納水電煤氣費，但部分第三方支付機構在操作中存在擴寬支付接口用途的行為，比如將之擴寬到購物。

      b、快捷支付開通受限。10號文指出，“首次建立業務關聯時，必須通過第三方支付機構和銀行的雙重身份鑒別”。而實踐操作中，開通快捷支付時一般只需要第三方支付機構的身份鑒別。增加銀行的身份鑒別，會影響開通快捷支付的便捷性和客戶體驗。

      2、第三方支付需要和銀行共享客戶和交易信息。10號文和去年央行發布的《銀行卡收單業務管理辦法》指出，“收單機構應當...正確選用交易類型，準確標識交易信息并完整發送...交易信息至少應包括：直接提供商品或服務的商戶名稱、類別和代碼，受理終端(網絡支付接口)類型和代碼，交易時間和地點(網絡特約商戶的網絡地址)，交易金額，交易類型和渠道，交易發起方式等。網絡特約商戶的交易信息還應當包括商品訂單號和網絡交易平臺名稱。”但實際操作中，部分第三方支付機構發送給銀行的信息并不包括二級賬戶的信息，即銀行只能看到這有一筆錢通過支付寶[微博]交易，但無法得知資金具體流向和用途。我們理解，客戶和交易信息是大數據環境下第三方支付公司的重要資產，如果未來被迫和銀行分享，將影響第三方支付公司這些數據的價值。