央行个人金融信息保护技术规范新规,对支付行业的影响

2020年2月22日 评论 2340字阅读7分48秒

本周,央行发布了传闻已久的《个人金融信息保护技术规范》(以下简称“《规范》”),可能很多人认为这是大金融方向,但从其管制的数据范围来看,其实对支付行业有着深远的影响。特别是移动支付普及后,支付作为诸多商业的入口,其数据量极为丰富,巨头以此逆向对金融结构进行业务侵蚀。这也就是为什么,支付虽然薄利,但诸多金融机构仍然重注这一业务。

而今《规范》发布,这将是支付行业的新门槛,微观看,会影响许多机构的业务开展,宏观来看,甚至可能影响支付行业格局。

那么接下来,我们来细细品一品这一文件。

个人金融信息保护是监管重点

时间回到2019年4月,央行发布了2019年的规章制定工作计划,12个项目中,就包括反洗钱、征信等热门业务,《个人金融信息(数据)保护试行办法》就在其中,足见央行对个人金融信息保护的重视。

央行个人金融信息保护技术规范新规,对支付行业的影响

 

现在发布的《个人金融信息保护技术规范》,仅仅是一个规范,而非强制性执行措施,不过从目前央行的监管趋势来看,个人金融信息保护会是未来一个监管重点,更多严格的措施将以《规范》为蓝本进行细化。

而在此之前,央行官员也多次强调个人金融信息保护的重要性。

央行科技司李伟就曾表示“拟定个人金融信息保护监管规则,明确覆盖金融信息收集、传输、存储、使用、销毁全生命周期的管理要求,从安全策略、访问控制、安全运行、安全监测与风险评估等方面加强个人金融信息安全管理。”这与目前所发布《规范》的主要内容相符。

那么,这又将怎样对支付行业影响呢?

“信息二清”有望缕清

“二清”问题一直是困扰支付行业正规化发展的老问题,在2017年,央行发布217号文,即《关于进一步加强无证经营支付业务整治工作的通知》之后,经过这两年的大力整治,“资金二清”问题基本解决。然而“信息二清”却一直悬而不见。

关于“信息二清”,业内的一个描述是:收单机构为控制风险,主动要求将风险识别、商户走访等控制环节交由“专业的”外包机构承担。外包机构主要监测商户异常交易数据,统一上送“经甄别”的商户交易信息数据,但不涉及资金清算,故称之为“信息二清”。

此外,无证机构在不涉及具体资金结算环节的情况下,依托掌握原始交易数据的优势,主导提供商户资金结算报表,使得商业银行和支付机构根据其提供的资金结算报表为商户入账,也可以计入“二清”范畴。

也就是说,其实“信息二清”很大程度上需要收集交易的较为详细信息,才能完成风控需求。而所谓的外包机构,很多就是现在的聚合支付服务商。

但是“信息二清”的判定较为困难,怎样的信息是持牌支付机构才能收集的,什么样的信息又是外包机构可以收集的,这很难界定,而今《规范》出台,界定有了标准。

《规范》要求,“不应委托或授权无金融相关资质的机构收集C3、C2类别信息。”目前为止,聚合支付服务商均属于无金融资质的机构,如果中国支付清算协会能够加快备案速度,或许部分较大的聚合支付服务商能够获得一定的资质。

那么C3、C2 信息有哪些呢?看下图:

央行个人金融信息保护技术规范新规,对支付行业的影响

 

C3与C2基本就包含了支付行业主要的四要素,即姓名、银行卡账户、身份证号、银行预留的电话号码。此外,C2还包含了KYC信息,这是反洗钱中常见的关键词。

在此要求下,也就是无资质机构不得收集KYC信息,支付机构的风控职能需要进一步加强,相关的业务能力也将进一步上收。

所以,如果《规范》进一步加强,依此促成强制性的执行文件,那么这将演变成“信息二清”的整治。持牌机构需要承担更多的个人金融信息保护责任,而非持牌机构则可能因此在数据层面,对商户的控制权下降。

当然还有灵活运作的空间,《规范》还要求,金融机构因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(包含外包服务机构与外部合作机构)处理时要承担信息安全的责任,限制C3及部分C2类别信息的委托处理,加强对重要信息的保护,采用去标识化等技术进行脱敏保护。

也就是说,持牌机构同意之下,部分业务还是可以开展的。

刷脸、信用卡、终端业务受影响

在2019年,银联发布《关于开展收单机构信用卡违规代还专项规范工作的通知》,整治信用卡代还业务。信用卡代还业务需要诸多用户的个人金融数据,其中包括卡号、CVV码等信息,均是《规范》中的C3、C2信息,无资质机构将不能收集。在《规范》之下,信用卡代还相关业务进一步被遏制。

此外,类似51信用卡此类信用卡官家应用,其相关业务或会受到《规范》影响,在2019年10月,51信用卡曾因为暴力催收而被警察调查。

在个人金融信息的储存方面,《规范》要求,受理终端、个人终端及客户端应用软件均不应储存银行卡账户、CVN、密码等敏感信息,完成交易时需要予以清除。受此影响,mPOS+APP的个人收款终端模式,业务流程上会有所改变。

《规范》中,非常明确的说明了“用于用户鉴别的个人生物识别信息”也属于C3信息,也就是最高级别的个人金融信息。按照《规范》要求的终端不得储存个人敏感信息的要求,刷脸支付终端将不得储存人脸信息,此外,目前诸多手机刷脸均储存在本地,如果进行金融应用,这如何划分呢?

《规范》带来的数据大治时代

支付行业正在经历一个转型的过程,从单纯的支付服务,向多样的数字化服务转型。《规范》的下发,更加利好持牌机构在数字化转型中遇到的数据收集问题,非持牌机构数据收集的边界受限,促使其回归到基础的商户服务中。

此外,目前许多非持牌机构都在一线服务商户,所接触的数据也异常之多,也纷纷推出了商户服务软件,通过获得交易信息推出数据服务,进而为商户提升经营效率。在《规范》推出的背景之下,一些数据服务或受限。此外,在2019年经历的微信支付商户“二次认证”风波中,持牌与非持牌机构均面临商户信息上收的境地。如果按照《规范》要求,持牌机构可以存留较多信息,非持牌机构如果再经历此类市场变化,可灵活处理的空间将更小。

匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: