而困而知 而勉而行

分析详情

Case center

正策研究 | 第三方支付企业风控体系简析

日期:2019-03-01 律师:王程功

支付公司的风控不仅要考虑其自身的经营风险,更需从客户身份识别、异常交易监测、备付金管理、系统安全、客户信息安全保护以及反洗钱、反恐怖融资等多个方面来设计。

支付公司的风控一方面保护其客户资金的安全,另一方面,还要保障其支付体系安全、合规地运营,预防系统性风险的发生。因此,第三方支付企业在设计其风控体系时,必须要包含如下几方面内容:


客户身份识别(KYC)

首先,客户身份识别是支付公司提供支付服务的前提,按相关法律规定,支付公司对客户身份识别的标准为「充分了解你的客户」(即know your customer,KYC)。

支付公司必须根据其业务场景及产品设计,针对不同类型的客户制定详细的准入细则,并设置专门的部门及人员,根据公司的准入规定审核客户提供的开户资料,通过对客户开户资料的认定(例如对客户身份证、手机号码、银行卡账户等要素的验证)核实客户的真实身份。

只有通过开户资料审核的客户,支付公司才可以为其开通支付账户,开展资金清结算服务。完成开户后,支付公司还需设置专业的部门或人员负责客户开户资料的保管及维护,如企业营业执照等本身具有有效期限的资料,应该定期追踪更新。

需要特别注意的是,支付公司在设计产品时,就应该有风控人员参与,在产品上线前制订好明确的客户准入规则及风控措施,并在产品上线后严格实行。


异常交易监控

为客户开通支付账户后,支付公司需要对客户支付账户的使用进行合理的交易监测,如发生客户违法使用支付接口,或发生疑似欺诈、套现、洗钱、非法融资、恐怖融资等交易,支付公司应及时调查核实并依法进行处置。

支付公司的交易监控措施包括线上措施及线下措施两种,线上的监控措施,主要是针对客户交易的实时监控,支付公司风控部门应制定并不时更新、调整系统风控监测规则(如大额交易预警等)。一旦有客户的交易触碰公司系统设置的交易监测预警,系统将自动通知公司的风控人员,并由风控人员进行进一步的调查及处理。

线下的监控措施主要是对客户交易的事中、事后监测,分为常规监测措施和突发事件处理两种,常规措施包括在客户开户准入时根据客户特征及其选用的产品评定客户的风险等级,定期对客户的日常经营情况进行回访等。突发事件处理则主要是对通过线上系统监控预警、客户投诉等渠道发现的异常交易后,对疑似问题商户进行相应的处置。

一般来讲,支付公司处置的手段包括调高客户的风险等级、降低交易限额、延迟结算,甚至终止合作等。另外,按照规定,支付公司还应按规定及时向监管机关上报其发现的异常交易信息,如发现涉嫌违法犯罪活动的,可主动向公安机关反映。


备付金账户

其次,与银行不同,支付公司必须依托于在银行开立的备付金账户为客户提供清结算服务。备付金账户是指支付机构以其自身名义,在备付金合作银行开立的专用账户,用于存放其在办理客户委托的支付服务过程中,实际收到的预收待付货币资金。支付公司需依法制订严格的制度进行客户备付金管理,包括备付金账户的开立、备付金的划转、对账及报备等。

支付机构应严格按照客户的指令进行资金划转,不得挪用、占用客户备付金,不得将客户备付金与自有资金混同。


客户信息保护

再次,支付公司还肩负着保护客户信息安全的职责,支付公司在开展业务,为客户提供支付服务的同时,必然会接触、收集到客户的相关信息,包括商户开户时提供的身份信息及交易过程中形成的交易信息。按照相关法律规定,保护客户信息安全是支付公司的法定义务,支付公司应当以「最小化」原则采集、使用、存储和传输客户信息,不得存储客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息。

同时,支付公司还应制定严格的客户信息安全保护制度及公司员工的保密制度。非特定岗位人员不得接触客户保密信息,特定部门的员工因工作需要接触客户信息时,应严格遵循公司的保密流程,信息使用时还需进行必要的脱密处理。


反洗钱及反恐怖融资

最后,第三方支付作为被国家严格监管的行业,支付公司还需符合如下条件,以保障其支付系统安全运行:

具备与其支付业务相当的系统设施和技术;

持续符合国家、金融行业标准和相关信息安全管理要求;

在境内拥有安全、规范的网络支付业务处理系统及其备份系统,保障系统安全性和业务连续性等。

支付公司还需按照国家反洗钱、反恐怖融资的相关规定,履行客户身份识别、资料和交易记录保存及可疑交易报告等反洗钱、反恐怖融资义务。因此,支付公司在设计风控体系时,前述内容也都是必须涵盖在其风控体系的范围之内的。

需要说明的是,由于中国近年来电子商务发展迅速,新的交易模式、应用场景层出不穷,国家法律法规对第三方支付企业的业务风险管控,多是原则性的规定。

除了一些普遍适用的基础性要求,针对某一特定支付产品,或某类特定客户,支付公司应采取什么样的准入政策,如何设定风险监测预警规则,都需要支付公司自己研究、把握。

如何兼顾风险与效率,把确保系统安全、交易合规作为业务发展的前提,是值得每个第三方支付企业风控从业人员认真思考的问题。


返回列表