6月5日,贝壳财经记者从中国支付清算协会获悉,协会近日发布近日,中国支付清算协会(以下简称协会)发布了《收单外包服务机构备案管理规范》(以下简称《备案规范》)和《收单外包服务评价管理规范》(以下简称《评价规范》),两项规范自发布之日起施行。 


其中,《评价规范》明确了外包机构风险类型、等级、信息共享及黑名单管理标准要求。《备案规范》则明确了持牌机构、外包机构违规情形及相应管理措施与自律惩戒措施,强调了数据安全、保密管理要求和工作纪律。


博通咨询金融行业资深分析师王蓬博表示,协会希望从根本上通过细化信息登记、风险分级、黑名单管理及自律评价机制,解决收单外包市场长期存在的违规经营、涉赌涉诈、套码套现、转包分包、风险传导等问题,提升行业透明度和风险防控能力,推动收单外包服务从野蛮生长转向规范化发展。从短期看,规范将推动行业加速洗牌,提高准入门槛。从长期看,外包机构将从拼价格转向拼合规和技术。


聚合支付服务机构应建立完善的数据加密机制


《备案规范》明确了外包机构备案条件、备案信息及证明材料,细化“聚合支付技术服务”等机构附加备案要求。


根据《备案规范》,外包机构可选择申请备案以下一种或者多种外包服务类型:特约商户服务和受理终端维护、特约商户引荐服务、支付受理标识张贴、交易信息转接服务(含聚合支付技术服务),但通过人工方式提供外包服务的,不得申请交易信息转接服务(含聚合支付技术服务)备案。 


针对含有聚合支付技术服务的交易信息转接服务机构,中国支付清算协会在答记者问中指出,这类机构需遵守国家及监管部门关于数据安全管理的法律法规、规章制度和规范性文件,与持牌机构共同界定清晰的数据安全管理责任边界,明确双方的数据安全管理责任和义务,确保数据处理活动的合法性、合规性和安全性。同时,这类机构应构建独立安全的技术架构。须具备独立的且符合相关技术服务国家规定及行业标准的业务系统,确保业务系统的独立性和安全性。


在有效防范数据泄露、篡改和滥用风险方面,中国支付清算协会指出,这类机构还应建立完善的数据加密机制,对敏感数据进行加密传输,防止数据在传输过程中被窃取或篡改。同时,应建立严格的访问权限管理机制,并实施数据全生命周期的监测管理。


“聚合支付机构有信息分配的职能,加强管理十分必要。”王蓬博表示,聚合支付特殊强调的原因在于其属于技术密集型机构,涉及多渠道交易信息整合与转接,数据安全风险较高,必须规范对其实施差异化管理。


收单机构应有序终止与不合格外包机构合作


《评价规范》明确了持牌机构登记合作外包机构信息的相关要求,还明确了外包机构风险类型、等级、信息共享及黑名单管理标准等要求。而评价结果是衡量外包机构的重要参考,持牌机构根据外包机构评价结果选择合作外包机构。 


《评价规范》列示出30种风险行为,包括外包机构违规经营被行政处罚,实施、参与洗钱、欺诈等违法活动,从事商户资金结算、转包分包业务,伪造或变造商户交易信息、频繁变更合作持牌机构等违规行为,明确收单外包服务主要风险类型标准;并按照违法违规行为的性质和危害程度,将风险等级划分为三级,明确黑名单管理标准,风险信息共享要求等。


王蓬博表示,30 种具体违规行为覆盖了当前收单外包市场的主要风险场景,这是在给外包行业划定业务红线。


此次《评价规范》还明确,外包机构近三年评价结果向社会公示,供收单机构开展业务合作时选择;评价结果为不合格的外包机构,合作收单机构应在20个工作日内有序终止合作,不得变相新增支付外包业务合作或拓展外包服务地域范围,其他收单机构不得与之建立新的业务合作关系。


中国支付清算协会表示,持牌机构和外包机构合作前,应当事先查询其是否存在风险信息,并审慎选择合作对象;合作中如发现外包机构存在风险行为,应自风险认定或核实之日起5个工作日内报送风险信息,如合作的外包机构被纳入风险共享,应根据风险等级、危害程度等因素进行综合考量并采取相应风险控制措施,并在10个工作日内将处理结果准确、及时反馈协会。


“对于被列入黑名单的外包机构,应在5个工作日内有序终止合作,及时反馈处理结果并变更登记信息。”中国支付清算协会指出,风险信息来源于持牌机构、清算机构、公检法机构、监管机构,社会公众举报中已查实的风险,以及协会自律评价和检查中获取的风险等。


王蓬博表示,黑名单共享机制重点在于要求全行业共同惩戒,规范要求持牌机构、清算机构、监管部门等多方共享外包机构的风险信息,打破了以往违规机构重新注册公司继续营业或变相新增业务或拓展地域的行业监管困局,大幅提升违规成本,确保违规机构彻底退出市场,防止风险扩散。


新京报贝壳财经记者 姜樊 编辑 陈莉 校对 柳宝庆