創新與法遵平衡 第三方支付業者新挑戰

COVID-19疫情開始以來，無形推動了許多數位轉型與新興金融科技應用，其中最廣為使用的數位支付工具為電子支付及第三方支付。然電子支付屬金管會監管之特許金融業務；第三方支付主管機關非金管會、亦不屬特許金融業務，係由數發部監管，較無強制性法規約束，從而導致近期經第三方支付進行洗錢及詐騙事件遽增，引發主管機關高度重視第三方支付業者風險控管重要性。

為此，數發部已公告第三方支付服務機構服務能量登錄申請機制，以期強化並完善第三方支付業者風險控管。

第三方支付風險控管策略

依據數發部公告的登錄申請機制，第三方支付業者應遵循事項分為法遵面、業務面及行政協助面；除要求業者應備洗錢防制暨法遵聲明書與內控稽核制度等文件外，業者亦須與銀行簽署信託或履約保證，而相關監督任務則由銀行執行。

勤業眾信金融風險與合規管理團隊建議，因應支付市場風險及監管環境變化，業者應考量以下六項風險：

1. 網路與資訊安全：由歐盟發布的《Payment Services Directive 2》中要求，支付業者須規範第三方單位之存取權限。從支付到嵌入式金融(Embedded Finance)，傳統資安防禦策略未必能符合機構間串連的業務需求，而業者須將資安策略更加貼合支付系統特性。
2. 與 IT 緊密相連的營運韌性：在跨機構與跨業務的嵌入式金融生態系中，資訊系統的營運韌性將成為此生態系的心臟，如何維持營運不中斷可謂管理策略的重點之一，並應設計更符合生態系需求的營運持續計畫(BCP)。
3. 委外管理：支付業者可能考量營運成本，選擇將部分職能委外，但仍應履行核心管理職責及作業。業者應確保有適當資源監督委外安排與風險，包含委外之風險評估、資料與系統安全性、稽核權利等。
4. 客戶身分驗證強化：參考電子支付機構之規範強化客戶身分確認，例如針對申請人於開戶金融機構或信用卡發卡機構留存之行動電話號碼，進行強化檢核作業，以降低身分盜用及詐欺事件之風險。
5. 洗錢防制與打擊資恐：業者應針對內部控制、防制洗錢與打擊資恐建立管理架構，包含政策與程序、客戶風險評估等並具體施行，以落實其洗錢防制法遵義務。
6. 法令法規的變遷與合規：全球眾多監管機構正致力將支付詐騙、國際支付、金融科技與大型科技業者之金融產品納入監管範疇中。然各國法令法規仍具差異性，業者應持續關注監管機構動向，並將法遵合規視為必要成本，以提升自身競爭力並避免監管風險。

隨著現今經濟環境變遷所激發的許多創新機會，第三方支付業者應了解未來第三方支付創新趨勢及須採取的對應措施。此外，緊追在創新及新興科技應用後的主管機關與法規動向，亦為密切注意的目標。第三方支付業者可就上述面向檢視及強化管理機制，在數位化進展、生態系創新、監管要求之間取得平衡，進而解決第三方支付業者面臨的風險議題。

（本文已刊登於 2023-11-01 工商時報 A6 名家評論版）