20180124-银行账户和支付账户的关系

Posted by PaymentGroup on January 24, 2018

一、主题分享

监管文原文链接:

1. 开立比较

1.1 开户形式

支付账户和银行账户都允许以面对面形式开立账户,支付账户以面对面形式可以开立III类支付账户,银行II、III类类账户可以至银行柜面或者自助远程终端开立;

  • 面对面开户:2个账户面对面形式开立均无需绑定I类银行账户或者信用卡账户
  • 非面对面开户-支付账户开立:支付账户分别以1个,3个,5个不同认证渠道进行认证,分别可以开立I、II、III类支付账户,且同一个自然人在一家支付机构只允许开立一个III类支付账户
  • 非面对面开户-银行账户开立:银行非面对面形式开立银行II、III类账户,均需要上传用户身份证影像,差别在于绑定I类户银行卡或者信用卡要素不同,II类需要验证姓名、身份证号、卡号、预留手机号、账户类别5个要素,而III类账户没有账户类别要求,仅需要完成4要素认证即可

1.2 查询方式

银行账户类别仅能通过人行大小额系统进行有效查询。

针对银行卡账户类别在银发〔2015〕392号中描述: 人民银行将对小额支付系统“批量客户账户查询应答报文”中“账户状态”类型进行调整,删除“AS01已开户”,新增“AS07已开户为Ⅰ类户”、“AS08已开户为Ⅱ类户”、“AS09已开户为Ⅲ类户”、“AS10无此户”。相关调整自2016年4月1日起生效。

因此,可以认为目前银行账户类别查询仅能通过人行大小额系统进行有效查询。

1.3 支付账户和银行账户开户必要条件

根据人民银行2016 261号文的规定:
用户自开户之日起6个月内无交易,银行和支付账户都应该冻结该账户所有交易,直到重新核验用户身份后可以重新开立

用户银行账户和支付账户开立时,需要校验人民银行反电信欺诈黑名单数据,针对黑名单内的自然人用户进行阻断开立

同时针对支付账户登记注册的联系电话与绑定银行卡预留手机号可以不一致,但是银行II、III类账户注册登记的手机号与绑定因银行I类账户或者信用卡必须一致;也就是说目前直销银行没有验证注册手机号与绑定预留手机号是否一致存在合规问题

2.交易限额管理

2.1 支付账户限额

  • I类支付账户:终身消费、转账(转出)、提现额度不得超过1000元
  • II类支付账户:消费、转账(转出)的使用额度年累计不得超过10万,提现额度(除支付机构根据风险情况约定)不得设置限额
  • III类支付账户:消费、转账(转出)的使用额度年累计不得超过20万,提现额度(除支付机构根据风险情况约定)不得设置限额

2.2 支付账户用途

  • 针对支付账户的绑定卡消费未设定限额,且允许A类支付机构且 实名率超过95% 的机构使用非同名卡进行充值或者提现至非同名卡
  • 针对支付账户余额消费,仅III类支付账户允许购买理财,I、II类不得购买,且余额消费根据人民银行2016 261号文的规定,需要约定每日交易限额和笔数,避免存在使用电信欺诈

2.3 银行账户限额及用途

  • 针对银行II类账户:单笔单日累计消费限额不得超过1万元,年累计消费限额不得超过20万元,针对购买银行代销或者直销理财产品不受到限额约束
  • 针对银行II、III类账户:非绑定卡资金入金(充值)在未经过柜面核验情况下,此功能将受到限制

    但人行最新条款规定[2018]16号文:
    (六)银行为个人非面对面开立的Ⅱ、Ⅲ类户向本人同名支付账户充值的,充值资金可提回Ⅱ、Ⅲ类户,但提现金额不得超过该Ⅱ、Ⅲ类户向支付账户的原充值金额。除充值资金提回外,支付账户不得向Ⅱ、Ⅲ类户入金,但允许非绑定账户入金的Ⅱ、Ⅲ类户除外。

允许非绑定账户入金指的是已经通过银行面签的允许的II、III类账户非绑定卡入金,即支付宝微信可以给允许非绑定卡入金(面签开户)的II、III类账户充值

3.支付验证方式及限额

非银行支付机构网络支付业务管理办法:
第二十二条支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的交易进行验证:(一)仅客户本人知悉的要素,如静态密码等;(二)仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;(三)客户本人生理特征要素,如指纹等。

  • 支付账户如果为使用电子签名或者数字证书方式进行支付,单日余额支付不得超过5000元,且根据支付机构分类进行调整
  • 支付机构采用不足两类有效要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元(不包括支付账户向客户本人同名银行账户转账),且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。

因此仅仅通过支付密码进行的支付账户转账,单日不得超过1000元,且需要支付机构无条件全部承担

而针对银行II、III类账户的支付转账相对宽松的多,并没有强制必须使用数字证书或者签名来提高限额,且个人通过采用数字证书或电子签名等安全可靠验证方式登录电子渠道开立Ⅱ、Ⅲ类户时,如绑定本人本银行Ⅰ类银行结算账户(以下简称Ⅰ类户)或者信用卡账户开立的,且确认个人身份资料或信息未发生变化的,开立Ⅱ、Ⅲ类户时无需个人填写身份信息、出示身份证件等。

从中看出人民银行对于银行II、III类账户相比支付账户的安全要求相对较低

4. 经营范围

4.1 支付账户经营范围

非银行支付机构网络支付业务管理办法:
第九条 支付机构不得经营或者变相经营证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。

支付机构在自身不能申请基金销售、保险代理、融资租赁等金融牌照下经营相关金融业务,必须通过成立或者收购子公司的情况下进行,大大约束了支付机构的金融交叉风险的可能

且根据最新的296号文规定:第五条支付机构不得基于条码技术,从事或变相从事证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务

这里明确说的是支付机构,即支付账户不得基于条码技术从事相关信贷业务,大家注意这里的措辞,用的是【从事】而不是【经营】

非银行支付机构网络支付业务管理办法: 第八条 获得互联网支付业务许可的支付机构,经客户主动提出申请,可为其开立支付账户;仅获得移动电话支付、固定电话支付、数字电视支付业务许可的支付机构,不得为客户开立支付账户。支付机构不得为金融机构,以及从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构开立支付账户。

同样也是从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构,所以对比监管条文,是可以很明确的看到约束了支付机构的行为

4.2 银行账户经营范围

而针对银行II、III类账户人民银行无论从条码支付还是线上支付都没有进行约束,极大地为银行提供了发展FINTECH,直销银行模式的良好沃土,支付机构受限的同时,成了银行大力发展的机会

同时由于是远程开卡,对于一些地方性银行,尤其是农商银行,可以专注于加强自身互联网建设,提升用户服务,以此带来用户转化,这对一些大型商业银行也是一种冲击和挑战

所以银行II、III类账户可以看做是互联网金融的一次全新革命,人行一方面洗牌支付机构,一方面大力扶植中小银行,可以说是用心良苦

尤其我们看一下302号文的条款:   (一)人民银行上海总部,各分行、营业管理部、省会(首府)城市中心支行,深圳市中心支行应当发挥协调作用,推动辖区内地方性法人银行积极利用小额支付系统或者其他渠道,协助建立辖区内地方性法人银行的绑定账户互验机制,实现对绑定账户的客户账户信息查验。

一方面人行为地方性银行提供了全新的获客方式,避免了地方性银行因为业务单一引起的银行资本充足率不足,减少银行系统性风险,其次也是提高银行积极性,投身于金融科技的研发过程中,而非一直想着玩通道,各种非标

5. 对外输出能力

我们从京东白条、美团闪付等能够明显的看出,银行II、III类账户与支付账户相比存在明显的优势,可以为行业领先的APP以银行II、III类账户为依托,基于银行II、III类账户生成银联二维码,实现快速的线上线下使用

而支付账户因为其本身的封闭属性,且支付安全等级和强度必须由支付机构承担和承诺,导致了支付账户的输出和普及在行业APP受到了很大的限制,且人行针对支付账户提出联名账户的态度是坚决否定的,因此支付账户也只能作为一个封闭账户使用

所以从多方面因素来看,人民银行极大的便利了银行账户大力拓展发展自己的商户,大力以银行普惠金融的形式致力于小额高频场景,通过对支付账户的约束,避免支付宝微信双寡头的继续,势必2018年的格局将会发生重大改变


二、Q&A

Q1-1:问一个问题,支付机构不得变相经营融资、。。。等,请问D+0结算,算是一种变相经营融资么?
BZ:其实是有的,不过人民银行针对D+0算是特许的。不过支付机构需要对商户进行严格筛选吧,更准确的说应该是在说担保业务

Q1-2:是人行默许了这种第三方支付机构D+0的存在么?市面上银联好像跟一些城商行合作这种业务
BZ:嗯,实际出资方是银行。毕竟支付机构没有那么多自有资金。
A1:D0业务一般关闭反向交易,风险相对可控,垫资方一般为合作银行。

Q1-3:那支付机构自有资金垫资,算不算违规?
BZ:严格意义上是算的。。。不过业内很多这么干的。。

Q1-4:我觉得还有个原因,二三类是刚开始,所以没做太多限制?金融算是走一步,再监管?
BZ:不会的,银行这么多眼睛盯着,还要每日上报银监会,而且银行自身风控意识强于支付机构。现在很多支付机构空有外表,实质里面问题很大 。

Q2:大平台都可以通过二三类找银行做联名账户了?
20180124_213942 BZ:嗯,可以啊
A1:那未来的联合营销,估计市场可观……

Q3-1:对于5个,3个不同渠道认证,想请教下,比如买了五次机票算1个渠道还是5个渠道?
BZ:1个,而且机票不能算是一个认证渠道吧;机票是同一数据库系统查到的,不具有独立性的

非银行支付机构网络支付业务管理办法:
客户身份基本信息外部验证渠道包括但不限于政府部门数据库、商业银行信息系统、商业化数据库等。其中,通过商业银行验证个人客户身份基本信息的,应为Ⅰ类银行账户或信用卡。

BZ:这是人行原文,非面对面方式通过至少五个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户

Q3-2:我一直向下解读算五个的,交通和航空公司都算,除了机票外,还有保险、铁路、水电、燃气都算。原文如下:
20180124_232557 20180124_232558 BZ:那是要到航空公司去查,而不能仅仅根据购买记录认定,都是需要去外部商业化数据库查询;这里强调的航空公司所运营的,如果是5个航空公司,不同数据库,也可以算5个;但是单纯机票不满足的,而且即使勉强算也只能算1个,因为就一个来源数据库

Q3-3:我理解的并不一定要是航空公司运营的,比如OTA并不是航空公司,但对于支付机构来说是外部
BZ:OTA比较有争议的,我认为不算,可以找人行确认

Q3-4:并不一定需要是航空公司,解读的时候也存在一个向上解读和向下解读,就像你一开始说的算一次那个属于严格向上解读,我们做支付的一般都是向下解读,能够自圆其说就好
BZ:不是自圆其说,而是要中金国盛这种检测机构认可,否则年审都过不了; 人行要求多个渠道交叉验证的目地是为了支付安全,避免信息泄露。早先多次新闻曝光OTA发生信息泄露,万一不法分子拿这些数据做坏事就麻烦了。黑客有办法能够攻破单一渠道数据库,但是不同机构的数据库都攻破的几率比较低

Q3-5:先向下解读,再沟通,要求向上解读时候,再修正
BZ:所以不是向上或者向下的问题,而是对于人行这么规定的目地性去理解

Q4:多个渠道的定义,如何界定?
A1:多个渠道的定义,比较含糊,我个人认为从支付公司的角度来说,是多个信息维度比较好理解:比如一个人的工行信用卡算一个,借记卡算一个;不管你多少张借记卡和信用卡,最多只能算两个渠道;身份证是一个,你连公安局,政什么通,证诺,只要是身份证号+名字,就只能算一个
BZ:工行借记卡、建行借记卡、工行信用卡,算3个;证通、公安局,都是公安局的数据库,根子是一个
A1:对,同一个银行最多两个
BZ:嗯,对的。按照不同的机构数据查询作为统计维度
A1:借记卡贷记卡各自一个,你再添加个别的行,就算另外的了。比如三张工行借记卡,只能算一个
BZ:对,而且只能算1类户;不过现在1类户就1张卡,也不可能多个了
A1:你有五张移动公司电话卡只能算移动公司为一个外部渠道,如果有一个联通公司的电话卡,再算一个;我举个例子(同一个维度的信息,只算一个,这样好理解点):水电煤各自算一个;数据库的机构如果有上游,源头是一个,也只能算一个;我现在不清楚,火车票和飞机票算不算,算的话怎么接?我实际上没见过有人接这些数据;我觉省事儿的办法,是验证个身份证、手机号、再加三张银行卡这样最省事儿,再多的数据源其实意义不大了;仅仅从账户类别的角度来说,这样最好办,身份证、电话卡、三张银行卡(至少来自两家银行)
BZ:嗯,我主要看了人行的文反复揣摩,看明白为了避免撞库

Q5:请教一下我对银行III类户入金限额理解对不对:非面对面开立的,非绑定账户入金日累计限额是2000元,年累计5万;面对面开立的,非绑定账户入金还是按照之前的规定,日累计5000元,年累计10万
BZ:嗯,是的;不过还有一条,III类户的余额时点不能超过2000元,所以看似没有明确说但是隐含不可能入金5000元
A1:这个我看到了,只是入金没有说的明确,所以问问
BZ:嗯,要看隐含条件,理论上可以,但实际条件互相约束后实际不行

Q6:请问群里有谁有银行卡一、二、三类账户的判断接口吗?
BZ:人行小额系统

本文档来自“支付产品架构交流群” 的聊天记录整理,由志愿者整理并发布到本网站。如需要及时收到来自“支付产品架构交流群”的最新消息,请扫码关注“凤凰牌老熊”的微信公众号。目前支付产品架构群还有不少空位。 本群面向支付行业的有经验(2年以上)的产品经理、软件工程师、架构师等,提供交流平台。如想加入本群,请在本文评论中留言(不公开),说明所在的公司、负责的工作、入群分享的主题和时间。