文章
《非银行支付机构监督管理条例实施细则》解读
发布日期:2024年8月5日
一、背景
非银行支付行业规模持续增长,迈向高质量发展阶段
非银行支付行业近年来发展迅速,规模持续增长,市场竞争格局集中,头部效应凸显。业务多元化,与各行业深度融合,行业生态走向开放多元,数字化转型加速,正迈向高质量发展阶段。根据人民银行发布的《支付体系运行总体情况》,非银行支付机构处理网络支付业务在2015年-2023年呈现出增长趋势,交易笔数和交易金额都有显著增加。
图1:2015年-2023年非银行支付机构处理网络支付业务数量及金额变化趋势
数据来源:人民银行发布的2015年-2023年《支付体系运行总体情况》
监管趋严、趋广、趋深,非银行支付机构合规管理面临严峻挑战
通过分析2015年-2023年人民银行对三方支付行业的行政处罚发现,人民银行对三方支付行业的监管处罚力度不断加强,处罚数量和金额均呈上升趋势,且千万级罚单增多。处罚领域主要涉及违反商户管理规定、违反清算管理规定,违反账户管理规定、未按规定履行客户身份识别义务、未按规定报送大额交易报告和可疑交易报告及与身份不明的客户进行交易等方面。
在非银行支付行业高速发展的背景之下,为了保障金融稳定、保护消费者权益、维护市场秩序、防范违法犯罪以及促进金融创新,监管机构对非银行支付机构的监管日益严格,非银行支付机构在合规管理方面面对巨大挑战。
图2:2015年-2023年人民银行三方支付行业罚单数量及处罚金额变化趋势
数据来源:人民银行公开行政处罚信息
二、概述
自2010年《非金融机构支付服务管理办法》颁布以来,非银行支付市场经历了14年的发展,随着新型科技手段的不断丰富以及业务种类的复杂化,非银行支付行业监管也在不断优化和完善,以应对大规模的业务监管需求,保障行业的规范健康发展。
图3:非银行支付行业监管沿革
来源:德勤分析
2024年7月26日,人民银行在官网公布了《非银行支付机构监督管理条例实施细则》(以下简称“《实施细则》”),为国务院2023年12月发布、2024年5月正式实施的《非银行支付机构监督管理条例》(以下简称“《条例》”)的配套规章,进一步细化了支付机构的监管要求。《条例》与《实施细则》一同取代《非金融机构支付服务管理办法》(人民银行令〔2010〕第2号)与《非金融机构支付服务管理办法实施细则》(中国人民银行公告〔2010〕第17号公布),成为监管非银行支付机构的最新监管法规。
《条例》为支付行业首部行政法规,提高了非银行支付监管层级,旨在全面加强非银行支付机构事前事中事后、全链条全领域监管,对支付机构的准入、业务规则、监管职责等作出了总体规定;《实施细则》作为《条例》配套的重要部门规章,进一步细化了有关规定,确保《条例》可落地、可操作、可实施,以推动行业规范健康发展。
三、核心内容解读
全文由总则、设立、变更与终止、支付业务规则、监督管理、法律责任与附则六大章节构成,共七十七条规定,分别从行政许可要求、支付业务规则、监管职责、法律责任等方面,对非银行支付机构的监督管理做出了具体规定。
1. 时间表要求
《实施细则》自2024年7月9日发布施行,过渡期为施行之日至支付业务许可证有效期截止日,过渡期不满12个月的,按12个月计。要求非银行支付机构在过渡期结束前达到《条例》及《实施细则》关于设立条件以及净资产与备付金日均余额比例的规定,其他规定自《实施细则》施行之日起执行。非银行支付机构应当在过渡期结束前逐项对照《实施细则》要求,确保将《实施细则》各项规定内化为自身制度和操作实践。
2. 行政许可要求
要点1:提高董监高任职资格要求
《实施细则》将董事、监事和高级管理人员的学历要求提升至大学本科以上,同时针对不同业务线制定了从业年限的门槛,要求从事支付结算、金融、信息处理业务2年以上或者从事会计、经济、信息科技、法律工作3年以上。对于不符合董事、监事和高级管理人员任职资格要求的,非银行支付机构应当停止其任职,并于10日内将相关情况报告住所所在地中国人民银行的分支机构。
表1:非银行支付机构设立基本条件
要点2:要求建立有效的组织架构及内部控制管理机制
申请设立非银行支付机构时,非银行支付机构应提交组织机构设置方案、内部控制制度、风险管理制度、退出预案以及用户合法权益保障机制材料。其中:
- 组织机构设置方案应当包含公司治理结构,董事、监事、管理层、各职能部门设置,岗位设置和职责等情况;
- 内部控制制度为合理保证拟设立非银行支付机构经营管理合法合规、资产安全、财务报告和相关信息真实完整而制定的相关制度;
- 风险管理制度应当包含拟设立非银行支付机构经营过程中的风险分析、风险识别、风险处置等内容。
要点3:要求建立有效的反洗钱和反恐怖融资管理机制
申请设立非银行支付机构时,非银行支付机构应提交反洗钱和反恐怖融资措施材料,具体包括反洗钱内部控制制度文件、反洗钱岗位设置和职责说明、开展大额和可疑交易监测的技术条件说明、洗钱风险自评估制度。《条例》施行前已按照有关规定设立的非银行支付机构还应当提交已完成的洗钱风险自评估报告。
要点4:明确非银行支付机构变更事项审查流程
非银行支付机构变更主要股东或者实际控制人、合并或者分立、变更业务类型或者经营地域范围、变更名称或者注册资本等事项变更均需要先提交分支机构进行报备和审查,部分事项分支机构可自行决定结果,部分事项由分支机构受理、初步审查后报中国人民银行审查、决定。同时,针对不同变更事项,《实施细则》明确了变更应当符合的条件以及所需提交的材料。
表2:非银行支付机构变更事项审查要求
3. 支付业务规则
要点5:重新划分非银行支付业务类型
2010年,人民银行发布的《非金融机构支付服务管理办法》(人民银行令〔2010〕第2号),按照交易渠道和受理终端,将非银支付业务分为网络支付、银行卡收单和预付卡业务等三类;2023年,《条例》根据能否接收付款人预付资金,将非银行支付业务分为储值账户运营和支付交易处理两种类型;《实施细则》对储值账户运营和支付交易处理所涉及到的非银支付业务进行了细分,包括储值账户运营I类与II类、支付交易处理I类与II类。
图4:新老非银行支付业务分类对应关系
来源:德勤分析
《实施细则》明确了业务类型划分,将原有业务全部列入新的分类,既保证了原业务和牌照顺利衔接过渡,又能根据牌照类型和特点重新制定监管规则保证监管穿透性和全面性。新的分类方式下,无论支付业务外在表现形式如何,均可按照其业务实质进行归类和管理,能较好地适应当前行业发展变化,将各种新型支付渠道、支付方式归入两大基本业务类型。
要点6:强调制度完备性
《实施细则》要求非银行支付机构建立健全并落实合规管理制度、内部控制制度、业务管理制度、风险管理制度、突发事件应急预案以及用户权益保障机制等。完备的内部制度能够确保非银行支付机构严格遵守相关法律法规和监管要求,有助于识别、评估和控制信用风险、操作风险、市场风险等各类风险,保障机构的稳健运营。同时,明确的业务流程、岗位职责和操作规范能够减少内部的混乱和冲突,提高工作效率,优化资源配置。
要点7:健全用户权益保障机制
《实施细则》要求建立健全用户权益保障内控制度和工作机制,并明确应涵盖用户信息安全保护机制、重要信息披露机制、投诉处理机制、损失赔付机制、支付业务终止过程中用户权益保障方案等重要方面。有效的用户权益保障机制能够及时发现和处理支付过程中的风险和问题,减少欺诈、盗刷等风险事件的发生,充分保护用户的合法权益。
要点8:明确非银行支付机构净资产红线
在过去发生的风险事件中,由于部分支付机构备付金管理混乱,出现了挪用备付金导致资金链断裂,无法保障用户提现和正常交易的情况,给用户带来了巨大损失,也扰乱了金融市场秩序。因此,建立科学、严格、有效的备付金管理机制对于非银行支付机构的健康发展和金融体系的稳定至关重要。
《实施细则》根据非银行支付机构备付金日均余额,阶梯式设置了非银行支付机构净资产要求。根据规定,非银行支付机构备付金日均余额越高,其净资产要求也就越高。随着备付金日均余额增长,其净资产要求将采取阶梯式超额累退方式确定。同时,《实施细则》要求非银行支付机构建立有效的备付金管理机制,确保备付金的安全存放和准确核算,防止被挪用、占用或滥用,从而保障用户的合法权益。
图5:非银行支付机构净资产最低限额要求
来源:德勤分析
要点9:要求公示支付费率
近几年,非银行支付行业处于剧烈的变革之中,出现了费率偷偷上涨、循环扣除流量费等杂费、搭售增值服务等现象,为了规范非银行支付行业的收费行为,保障消费者的合法权益,监管部门通过政策引导支付费率逐渐走向透明化和规范化。
《条例》要求非银行支付机构合理确定并公开支付业务的收费项目和收费标准,进行明码标价。在业务办理途径的关键节点,清楚、完整标明服务内容、收费项目、收费标准、限制条件以及相关要求等,保证用户知情权和选择权,不得收取任何未予标明的费用。《实施细则》进一步细化了支付业务收费项目或者收费标准公示的具体要求,公示时间原则上应当至少于调整施行前30个自然日,公示位置在经营场所、官方网站、公众号等醒目位置,并要求进行持续公示。
四、支付机构应对建议
非银行支付机构应高度重视《条例》和《实施细则》,系统梳理合规要点,评估管理现状,对比发现不合规的方面,制定整改方案和整改时间表,持续跟踪整改情况,在过渡期内进行相应调整以满足监管要求,全面、系统地完善公司治理结构、合规管理体系和内控管理机制,包括业务逻辑梳理与业务类型分类、制度体系管理与优化迭代、消保体系构建与升级、净资产管理体系实施、洗钱风险自评估及管理优化、信息披露终端测试与评估六大重点工作。
1. 业务逻辑梳理与业务类型分类
经过准备、业务逻辑梳理、业务类型分类、结果评估与调整、制度与流程更新、定期审查六个阶段,支付机构能够较为系统、全面地完成业务逻辑梳理与业务类型分类工作,不断完善工作流程和方法,为合规经营和稳健发展奠定基础。
图6:业务逻辑梳理与业务类型分类流程
来源:德勤分析
2. 制度体系管理与优化迭代
通过制度盘点与梳理、作业指导书建立、制度数智化规划、技术支持与能力培养,助力非银行支付机构实现制度管理智能化、智慧化。运用数据自动化管理工具对制度数据资产进行全面管理,更直观、更敏捷、更智慧地理解数据,为制度数据应用实践奠定基础,打通全行合规内控数据底座,利用制度管理赋能其它内控合规模块的日常管理与数据输送依据。
3. 消保体系构建与升级
通过开展消费者权益保护体系自评估,明确非银行支付机在构消费者保护体系存在的问题,从组织体系建设、制度机制建设、消费者金融信息保护、行为规范、金融消费争议解决、重大创新创优六大维度实现管理体系的优化升级。同时,考虑结合在信息化上的投入,充分利用信息系统提升消费者保护的效果和效率。
4. 净资产管理体系实施
通过明确净资产管理的治理架构与职责分工,完善资产配置和运作、融资管理、资产运营管理和流动性风险管理机制,梳理各个管理模块的工作流程、主要风险点和关键控制措施,建立资产负债管理报告体系,形成净资产管理框架,实现管理体系平稳落地实施,保障资金流动性安全。
图7:净资产管理体系框架
来源:德勤分析
5. 洗钱风险自评估及管理优化
根据中国人民银行《中华人民共和国反洗钱法》、《金融机构反洗钱和反恐怖融资监督管理办法》等法律法规,参照《法人金融机构洗钱和恐怖融资风险自评估指引》的要求,结合公司实际业务流程、信息系统建设情况与经营层期望,定位重点问题,构建机构洗钱风险评估指标体系,形成洗钱风险管理工具,开展对洗钱风险的全面评估工作,建立从被动合规转向主动风险管理的长效机制,持续优化洗钱风险管理。
6. 信息披露合规性检查与系统测试
对信息披露进行合规性检查与系统测试,涵盖系统功能测试、数据准确性测试、合规性评估、用户体验测试、安全性评估、性能测试六个核心模块,根据测试和评估结果对信息披露进行持续改进和迭代优化,以确保信息披露符合相关法规、标准和最佳实践,并能够有效传达必要的信息给利益相关者。
图8:信息披露合规性检查与系统测试内容
来源:德勤分析
五、结束语
《实施细则》与前期监管工作保持连续性和宏观政策取向的一致性,为《条例》的落地实施提供了具体指导,有利于规范非银行支付机构的经营行为,提升支付机构的风险防御能力,强化公司治理和稳健经营,推动行业健康发展,同时更好地保护用户合法权益。《实施细则》明确了一系列严格的监管要求,将促使非银行支付机构更加注重内部制度建设和合规管理。未来,建立健全合规体系、持续提升风控能力的非银行支付机构将更具市场竞争力,不合规的机构将逐步被淘汰,从而推动整个行业规范化、合规化、高质量发展。
德勤持续跟踪、深入了解非银行支付行业现状与发展趋势,逐步形成一整套业务覆盖完整、流程设计完备的非银行支付行业内部控制、合规管理和风险管理方法论,在内部控制、合规管理和风险管理咨询服务领域一直占据领先市场地位,拥有业务逻辑梳理与业务类型分类、制度体系管理与优化迭代、消保体系构建与升级、净资产管理体系实施、洗钱风险自评估及管理优化、信息披露终端测试与评估等方面的成熟先进解决方案。