【www.shanpow.com--热门范文】
银行卡支付篇(一):支付系统之银行卡支付
这一期,回到支付系统的核心业务,即支付。每个电商公司的支付系统都已经或多或少的实现了交易核心功能,可也都是一直在改进,总是不断的有新的需求冒出来。所以这一期开始,我们梳理一下,到底有哪些支付方式,每种支付方式都是怎么运作的。
支付和交易
说到支付就不得不提交易。这两个概念在不同公司中是不一样的。我们的定义是,交易是生成订单;支付是对订单进行付款。 订单生成过程我们以后另开话题来说。这一次重点介绍支付。而就支付行为来说,我们碰到的大部分都是单次支付,其次还有转账和退款。在苹果推出订阅支付后,国内支付宝等也在陆续跟进。 单次支付是我们用的最多的支付方式了,即一次结清所有款项。把单次支付走通了,其他支付方式也容易处理。 本期重点介绍单次支付。
银行卡支付
先说大家比较熟悉的银行卡支付,它分为线上支付和线下支付两种形式。线下支付就是通常说的POS收单,这里不介绍这个内容。对线上支付,按照卡的类别,分为贷记卡支付,也叫motopay、ePOS,即信用卡支付;和借记卡支付。按照支付形态,又分为认证支付、网银支付、快捷支付几种形态。银行卡网银支付要求银行卡必须开通在线支付功能,而快捷支付并不需要开通在线支付功能。主要利用支付验证要素(卡号、密码、手机号、CVN2、CVV2等),结合安全认证(例如短信验证码),让持卡人完成互联网支付。
认证支付
指用户在绑卡时,将卡信息提供给电商。这样在支付时,用户无需再输入这些信息,由电商在服务器侧保留用户的账户信息,比如身份证号,卡号,手机号。在用户支付时,无需再输入这些内容,最多就提供个密码或者校验码,就可以完成支付。这基本不会打断用户的使用体验,所以也是电商喜欢的支付方式。但认证支付最让人诟病的就是安全性。一方面需要向电商暴露个人信息,一旦被窃取,资金就容易被盗走。还有在手机上执行支付,一旦手机丢失,窃取者就可以轻而易举的使用或者转移资金。
快捷支付
快捷支付和认证支付类似,不同点在于绑卡之后,有些银行接口会返回token,后续使用token来作为支付凭证,无需提供卡号信息,这样电商也不需要本地保留卡号了。目前主要是银联有提供token接口。
网银支付
相对来说,网银支付要安全很多。网银支付是由银联或者银行提供支付界面,用户必须在页面上输入卡号,密码等验证信息才可以执行支付。大部分银行还要求用户使用U盾或者其它安全硬件。但安全和易用永远是个矛盾。网银使用会打断用户体验,增加用户使用难度。对使用硬件加密的支付,不可能天天带着U盘跑。另外网银主要用在web端,在手机端,嵌入网银页面,还是比较难看的
支付流程
走一个具体的例子看看吧。比如用户在电商系统中买了200块钱的东西,然后通过浦发银行卡做结算,用的是快捷支付。这个过程是:
用户在交易界面上,提交订单到交易系统中; 交易系统确认订单无误后,请求支付系统进行结算。这是在交易系统做的,后面工作就进入支付系统。
用户被引导到收银台页面, 让用户确认交易金额,选择支付方式,调用支付系统接口。
支付系统接收到支付请求,验证请求的各个字段是否有问题,确认无误后,调用支付网关执行支付。
支付网关请求浦发银行的快捷支付接口执行支付。
支付网关接收到支付结果报文后,对结果报文做解析,获取结果,并将结果告知交易系统。这可以通过URL或者RPC调用来实现。
商城系统收到支付结果后,开始执行后续操作。如果是支付成功,则开始准备出库。这一步在交易系统中处理,这里不做介绍。
网银支付,和快捷相比,就在第4步,插入一个步骤,将用户导航到网银页面输入支付信息,后续步骤是一样的。在资金流上也是相同的。
而在第五步获取返回结果上,一般银行就直接同步返回,银联是分为同步和异步返回。同步告知操作成功或者失败,异步告知扣款成功或者失败。同步操作和异步操作都需要调用方提供一个回调的URL地址,银联会将参数附加在这个地址上。通过解析这些参数可以得到执行结果。异步操作一般有2-3秒的延迟,取决于网络,以及该交易处理的复杂度。
资金流
上一节说的是支付的信息流,那资金流应该是怎么走的?
在第三步,会触发资金流。资金从用户个人账户上转移到电商公司的账户。当然,银行也不是活雷锋,这一笔交易是要收手续费的。资金是实时到账的,手续费一般是按月结算。有按交易笔数计费的,但大部分还是按照交易金额来收费。
同行快捷支付是比较简单的场景,让我们来逐步增加难度。如果支付系统没有对接浦发银行,那对浦发卡,就得走其它支付方式:银联或者第三方支付。
先说银联快捷。银联提供的多种接入方式,常说的快捷支付,在银联文档中叫商户侧开通token接口。通过这个接口,可以实现同行和跨行资金结算。不管收款行是浦发还是其它行,都可以完成结算。对本地和用户来说,体验是一样的。而在银联侧,后台资金流处理却不一样。了解这个资金流,有助于在异常情况下,了解资金到底跑到哪里了。
如果收款行也是浦发银行,银联发报文给浦发,浦发使用内部系统完成两个账户间的转帐,即时完成。
如果收款行是他行,比如工行。银联发指令给浦发和工行,分别完成各自账户上资金余额的增减,对个人和电商来说,这笔资金算是落地了。但实际资金流并不是立即发生。银联会在半夜做清结算后处理这笔资金。这个过程就是金融机构之间的清结算了,一般不需要关注。
如果使用的是第三方支付,对用户来说,处理的流程和银联一样。但资金流会不一样。 第三方支付在浦发和工行一般都会有落地的托管资金。 发生交易后,一般来说不会产生跨行资金流动。用户在浦发行的钱会被结算到第三方支付在浦发行的托管账户,而在工行的钱,会由第三方支付在工行的账户打到客户账户上。 这就降低了跨行资金流动成本。
目前国内主要银行都提供快捷和直联的接口。对电商来说,要对接哪些银行是个需要考虑的问题。怎么对接银行,渠道和第三方支付。参见这篇文章: 支付渠道那些事
银联Token支付
一般来说,大部分银行都提供直联和网银接口,但不需要直接对接所有银行。银联和第三方支付也提供直联接口,可以直接对接国内主要银行。也不是所有银行都被银联支持,这和银联签约的接口有关,需要在对接时咨询银联。从我们使用情况看, 浦发借记卡、邮储银行卡是不支持的。 另外 交行、平安(含原深发)、上海银行、浦发、北京银行,上述银行卡需通过 这个地址 开通银联在线支付业务。
对接银行
大部分银行提供的银行卡支付接口,借记卡支付和贷记卡支付是不一样的。但也有几个好心的银行,可以用一套接口同时开通借记卡和贷记卡。点名赞一下这些银行: 宇宙第一大行工商银行和建设银行。其他同学对接中如果也发现借记卡和贷记卡用一个接口的,也请及时告知。 作为国内最保守的软件团队,和银行对接时务必做好足够的准备。在商务谈判完成、拿到银行的接口文档后,需要考虑两个问题:专线问题、加密问题。
专线问题
首先是专线问题。 大部分银行对接是需要专线的。 与银行沟通的时候,注意收集如下信息:
专线类型: MSTP类型或者SDH类型。
专线接入点:目前国内主要是联通、电信。
封装类型: HDLC或者PPP
专线代宽:默认是2M
前置机IP,这个需要在银行侧和电商侧进行配置。 专线其实是在银行和电商之间建立一个局域网,需要双方分配通讯IP。 其实这两组IP都是NAT后的IP,银行分配给我们的是电商真实的前置机IP经过最外端的网络防火墙转换后的IP段,后者也是对方的真实前置机IP经过转换后的IP段。 出于安全考虑,双方都不会将真实IP暴露出去,所以要NAT。
接入地址:即电商这边机房的地址。
这些专业名词,可以自己检索,太专业了,其实我也不懂。从可靠性角度考虑,一般建议从联通、电信各拉一条线路出来。一旦有一个线路出问题了,也不会导致所有交易被终止了。不需要专线的银行接口有:浦发、工行、交行信用卡等。 需要专线的有中行、农行、建行等。一般专线需要1个月左右的时间,包括银行侧的申请、施工时间。
加密问题
其次是加密问题。部分银行,如中行,前置要求使用加密机。此处加密机的常用功能有三方面:
MAC加密(完整性);
支付会话\密码加密(安全性);
密钥交换加密(防截取)。
对开发来说,加密机的主要作用,是让黑客都无法从内存中看到密码。 不是做广告,国内对接银行一般就用江南天安的加密机了
对接银联
对接银联比对接银行简单, 不需要专线,不需要加密机。 不过需要获取ADSS认证。 银联最近在推Token接口,有两套接口,一套是银联侧开通,一套是商户侧开通。前者类似网银支付,后者类似快捷支付。 务必要求接入后者接口啊。基本上读完接口文档就知道怎么写代码了。
接下来,这里将分别介绍如何对接第三方支付、应用内支付等内容。敬请关注。
头条的同学们,记得帮忙点赞啊。
感谢您对本文的关注,如需要及时收到凤凰牌老熊的最新作品,或者有相关问题探讨,请扫码关注“凤凰牌老熊”的微信公众号,在公众号里留言或者回复,可以尽快处理,谢谢。
分享到:
微信
微博
豆瓣
新浪微博 QQ空间 搜狐微博 人人网 undefined 腾讯微博 开心网 豆瓣网 QQ undefined undefined 百度 undefined 谷歌 微信 undefined undefined undefined undefined undefined Facebook Twitter Linkedin undefined
多说分享插件
Previous支付系统的对账处理
Next支付系统之绑卡、签约和身份验证
银行卡支付篇(一):认证支付
银行卡支付篇(一):快捷支付
银行卡支付篇(一):网银支付
银行卡支付篇(一):银联Token支付
银行卡支付篇(一):专线问题
银行卡支付篇(一):加密问题
银行卡支付篇(二):银行卡支付行业(电子支付的趋势)
电子支付席卷全球 改变产业格局
(2008-06-04 17:34:29) 转载
分类: 银行卡支付行业
在英国,《国富论》作者、经济学家亚当·斯密今年春天取代了作曲家爱德华·埃尔加,出现在新版20英镑纸币上。这是苏格兰人首次登上英格兰银行发行的英镑(苏格兰银行发行的50英镑纸币早已经采用了亚当·斯密的肖像)。对此,《经济学人》杂志评论说:“他是第一位获得这一荣誉的经济学家,也可能是最后一位。”
这并不是说没有其他经济学家能跟亚当·斯密媲美,而是因为英镑很可能不再存在。以目前的发展来看,20年左右,英镑就会被汹涌而至的数字化浪潮淹没,并最终被“01”这种二进制电子码所取代。而已经延绵数千年的现金支付,也很可能与之一同消亡。
在中国,近日奥运支付环境建设工作领导小组在北京召开会议。在这次会议上,人民银行副行长苏宁强调:奥运支付环境建设是奥运会建设的重要组成部分,要大力改善银行卡受理环境,满足奥运期间境内外持卡人的支付需求,加强银行卡风险管理,确保银行卡的用卡安全。拓展非现金支付服务功能,为境内外客人办理外币兑换、银行卡、旅行支票、电子汇兑等提供优质的服务。确保各类支付系统的安全、稳定运行。
为了办好2008年北京奥运会,中国政府正在紧锣密鼓地布局我们不是很熟悉的奥运支付环境建设工作,其中重点是电子支付。
种种迹象表明,电子支付——现金时代的终结者——已成为我们日常生活中不可或缺的组成部分。它们是银行卡、公交卡、储值卡,也是Q币、支付宝或虚拟装备,甚至还是手机、短信息和MP3。尽管终结者们的表现形式多种多样,但它们都属于一个共同的家族——电子支付。
电子支付已成全球化之势
随着信息技术越来越普遍的应用于金融领域,古老的金融业迎来了新的发展机遇,电子支付就是其中一个典型代表,它指的是单位、个人直接或授权他人通过电子终端发出支付指令、实现货币支付与资金转移的行为。按其支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。
电子支付突破了现金支付的诸多瓶颈,受到人们的广泛欢迎,发展迅速。支付系统供应商ACI与金融分析公司Global Insight研究电子支付的报告指出,2005年全球电子支付年交易量达到2100亿美元,2010年将翻1倍,复合增长率是各地区GDP增长率的4倍。2004年至2009年,全球各种类型电子支付交易复合增长率达到12.9%,而同期报告数据所覆盖的79个国家的平均GDP增长率则为3.2%。
与之相对应的,则是现金支付在世界经济中所占的比重不断下降。这一趋势在电子支付发展水平较高的国家尤为明显。1979年,美国电子支付的市场份额仅为15%,而2003年这一数字已变成了55%,纸质支付向电子支付转移的步伐也在加快。美国的零售支付市场中,纸质支付工具在2001年还占据着63.14%的市场份额,此后开始逐渐下降,预计2007年将降至42.96%。银行卡支付工具则以10.12%的年均复合增长率增长,预计在2007年的市场份额为44.48%,超过纸质支付工具。同样,电子货币所占的市场份额也在不断攀升,将从2001年仅占零售支付市场份额的5%增长至2007年的12.56%。
美国是银行卡产业最发达的国家,各种卡类交易占了所有交易的一半以上。根据尼尔森的报告,美国人的钱包里装了15亿张信用卡,平均每户人家拥有10张以上。网络支付也发展的如火如荼,2003年美国互联网支付市场的规模为80亿美元,至2005年这一数字已达到125亿美元。目前美国在线拍卖先锋易贝(Ebay)公司旗下的贝宝(PayPal),已拥有超过1亿的用户,覆盖100多个国家,而且仍在迅猛增长之中。
与此同时,美国手机支付的基础投入也已经初具规模。美国储值卡市场已经超过1800亿美元,新型智能卡在现金和支票交易方面的运用也越来越广泛,许多美国司机都在用易通卡无线支付高速公路费用(即用安装了易通卡的手机刷卡),费用会自动计入信用卡账单。而埃克森石油发行的迅通卡(也是一种非接触连锁卡),则被广泛运用于加油站。
在日本,手机已经成为一种“生活方式”工具,Keitai(日本手持设备流行称谓)在日本往往具有多种功能,比如取现、信用卡、公交卡以及身份识别信息等等。手机支付的发展已开始改变日本的传统消费习惯。
Bit Wallet公司的爱迪卡(Edy)是日本最大的非接触支付品牌,目前已被4.3万家商户接受。它拥有2300万用户,其中450万使用手机系统,每月交易达到1500万次,增长率每年翻一番。紧随其后的东日本铁路公司的西瓜卡(Suica),用户也超过了1800万。2006年9月,它们还与日本第三大非接触式支付品牌JCB的QuicPay,以及日本移动运营商龙头NTTDoCoMo达成协议,四家共享支付平台,各自的产品将使用统一的POS终端。这种联合更进一步拉动了日本手机支付的迅猛发展。
日本手机支付最有力的推动者,则是NTTDoCoMo和电子产品巨头SONY。全日本已有60000台支持NTTDoCoMo移动支付的终端,预计到2007年4月终端数目将增长1倍以上。截至2006年10月12日,NTTDoCoMo推出的DCMX手机信用卡服务已经吸引了86万用户,这一系统基于索尼的FeliCa非接触式芯片技术,用户在购物付款时只需将手机靠近读取终端,敲几下手机键盘即可。NTTDoCoMo经常向用户寄送账单,对他们的姓名、地址和账户明细非常了解,因此可以轻而易举提供信用额度。目前DCMX主要信贷模式有两种,一种上限为1万日元,可以不经信用审核立即获得;另一种一般给予20万日元信用额度,可以提升至100万(还有一种金卡,额度更高),但信用审核往往需要数周。
NTTDoCoMo和SONY还正在共同推行其“i-mode Felica”移动钱包方案,并建立Felica Networks平台允许其他运营商与服务供应商的加入。其“钱包手机”内嵌Felica芯片,支持各种零售、电子票务、娱乐消费等非接触式支付。日本目前的移动钱包应用面向6大领域,包括购物、交通支付、票务、公司卡、身份识别、在线金融等,主要合作伙伴包括连锁便利店AM/PM、全日空、东日本铁路公司、票务公司PIA等。日本最大的航空公司日航也于年初开始提供I-mode Felica移动票务服务。
值得一提的还有香港的“八达通”卡。这是全世界最发达的公交一卡通系统。1997年投入运营;2000年部分便利店、快餐店、饼店、自动售卖机、学校及停车场开始接受八达通卡付费;2002年电车、缆车、影印中心、公众游泳池、运动场地及马场入场也进入八达通支付范围;2003年发展至部分家居用品商店、粥品店、保险机和政府停车收费表;2004年发展至街市及全港路旁泊车;2005年进一步发展至部分服装消费;2006年8月,深圳部分商户开始接受香港八达通付款,八达通卡开始走向区域化。截止2006年9月,全港共有1400多万张八达通卡流通,人均持有2张,全港95%的年龄在16-65岁的香港市民拥有八达通卡,支付范围包括了各种交通工具及衣食住行等420多家商户,每天处理交易达990多万宗,每年交易额达到了280亿港币,成为一个功能类似于城市通的非接触智能卡系统。目前八达通卡的流通量仍在稳定增加,支付范围越来越广,支付额度逐年增加。保守估计,2010年八达通交易额将达450亿港币,并将逐渐进入深圳、珠海等周边地区,与内地卡实现互通。
电子支付浪潮也席卷了世界其它地方。伦敦人即将拥有一种新型信用卡,它不但是采用密码方式付费的标准VISA卡,也是地铁卡,还具有“挥即付”功能,可以进行10英镑(19美元)内的交易。韩国最大的移动通信公司SK电讯,则联合VISA推出了一款手机支付系统,目标受众为3万名移动用户。已在肯尼亚取得成功的M-PESA汇款服务,也发展成为国际货币转账服务,被英国沃达丰和美国花旗联合推出,现任沃达丰主席约翰·邦德认为:“手机会极大的改变非洲的农村生活”。2007年2月12日,覆盖100多个国家的19家电信运营商宣布用户可以使用手机向海外地区汇钱,还可以通过万事达系统短信汇款,即使没有银行账户,也可以通过把信用额度转到预付卡中的方式购物。预计每年采用这种方式汇款的数额将达到2500亿美元。(转自2007年04月24日《新青年·权衡》)
发展迅猛的中国电子支付
中国电子支付最早出现在1990年代末,以招商银行推出其“一卡通”为标志。近几年随着宽带网络在中国的迅速普及,基于银行业务网络化的其他B2B和B2C电子/网络支付业务在中国兴起,加上3G的推动和中国移动运营商的努力,中国电子支付实现了飞跃式增长。
银行卡已成为中国使用最广泛、也最具发展前途的电子支付工具,截至2005年底,国内银行卡总量为9.6亿张,年净增长量为1.8亿张,增幅为23%左右。2005年银行卡总交易笔数90亿笔,总交易金额47万亿元,同比增长50%和80%。预计2006—2010年期间,银行卡产业将迎来前所未有的飞速发展。
中国还是公交一卡通最大的潜在市场。近年来,中国公交一卡通电子支付市场正成在迅速扩大,成为跨国金融巨头和智能卡企业的关注焦点。上海是中国大陆最早使用公交一卡通的城市,也是中国大陆投入使用最成功的公交一卡通系统,并逐渐向周边地区扩展,向实现长江三角洲互通“一卡通”的远景规划努力。北京则正处于新老公交支付体系交替期,2007年1月刚刚取消传统公交月票,用行政手段强制实行了一卡通收费。大连的明珠卡、深圳的深圳通、广州的羊城通等公交卡,则在运行之初就将其功能扩展到城市通。随着城市化进程和公共交通的加速发展,中国的非银行卡产业将获得巨大的发展空间。
中国的网络支付、移动支付也逐渐进入产业膨胀期,预计2007年中国网上支付平台市场规模将达605亿元。移动支付也将随着产业链的成熟、用户消费习惯的形成和基础设施的完善,于2007年进入产业规模快速增长的拐点。
无法抵挡的魅力
电子支付具有即时传输,无自重,精准等特点,自然也就提高了货币的周转速度和效用。VISA认为:无须经手的数码交易比现金交易节省一半时间,其便利性还促使电子消费用户比现金消费用户多出1/5的消费量。
电子支付无须找零,减少了计算错误,自然也就减少了欺诈与偷盗。对于商家来说,它降低了货币管理成本,其智能化的特点也便于提供增值服务。比如日本第二大航空公司全日空(ANA),就允许用户将飞行里程奖励转化为电子货币。
手机支付是电子支付大家族中最富魅力的成员。它比现金、银行卡更方便,在小额交易中的魅力更是难以抵挡,沃达丰主席约翰·邦德(也是汇丰银行前主席)曾指出“银行很难从小额交易中赚钱”,但现在手机支付提供了新的思路,一些低成本业务模式已经出现。欧日技术公司的戈哈得·法索(Gerhard Fasol)在其报告《移动支付与手机信用》中认为,小额电子支付正在改写信用卡行业的规则。
手机支付最大的吸引力在于其普遍性。VISA的研究表明,美国消费者喜欢携带手机的程度两倍于携带现金。在18-34岁这个年龄段,这一喜好偏向高达4倍。这一特点还解决了电子支付发展中“先有鸡还是先有蛋”的问题。过去,商家不会安装电子收费系统,除非消费者使用电子支付方式,而消费者不会使用电子支付方式,除非他们有东西一定要买。现在则打破了这种僵局。面对多数消费者拥有手机的事实,商家纷纷安装电子收费系统。这种改变使得几乎人人从中获益,一些日本商户已经开始向那些使用电子消费的消费者提供折扣,其他商户也纷纷效仿,以期推动更多的人使用手机支付。
手机的普遍性还使得发展中国家获得了某些出乎意料的后发优势,让它们能够比较容易的利用新技术节约成本。比如克罗地亚,它没有把大笔资金投入到体育馆进出口处的大量NFC(近距离无线通信)检查设备上,球迷们通过手机即可购票,入场时只需要向检查人员出示自己的手机屏幕。
现金时代的终结
1558年,托马斯·格雷欣爵士(伊莉莎白女王一世的顾问)首次提出了“格雷欣法则”,即著名的“劣币驱逐良币”。他认为当公众对货币供给的某一部分怀有疑虑时,人们就倾向于将低于法定重量或者成色的铸币——“劣币”转让,而将那些足值货币——“良币”收藏起来。最后,良币将被驱逐,市场上只剩下劣币流通。凯恩斯曾伤感地说道,因为货币具有其天生的内在价值,所以政府就可以通过货币贬值的手段欺骗民众。
一个无可争辩的现实是:把现金当作一种信息来支付,否定了货币具有内在价值的概念。曾是贵重金属,支付时需要仔细称量的货币,现在仅仅只是一种货币象征。而随着“格雷欣法则”被归入了“摩尔定律”门下,与之共同见证电脑处理器成本每18个月下降一半的奇迹,电子支付会以超出人们想象的速度发展。也许我们不久便能亲眼看到现金时代的终结。
安全风险的最大的问题是各参与方法律责任不清
尽管电子支付正在取代现金支付,但中国人的一种文化传统还是更倾向于使用现金支付。比起安全性较高的软件来,多数人更倾向于相信安全性较低的硬件,因为它看得见摸得着。这种根深蒂固的文化心理,形成了横亘在电子支付发展道路上的最大障碍——人们对支付安全性的担忧。
这在网络支付中尤为明显。艾瑞2006中国电子支付报告指出:网民不使用网上支付的最主要原因是担心交易的安全性和可靠性,占到66.1%。一是对网上支付的安全性表示怀疑,主要体现在担心泄漏个人隐私和错误操作对自己造成不必要的损失;二是担心个人帐号等信息为人利用、盗取,从而造成严重损失。
这种担忧不难理解。在网络如此发达的今天,我们经常会听到冒名开通网上银行、黑客盗取用户银行账户密码、电脑中病毒导致银行账户密码泄露的信息。在多数人对网络支付还比较陌生时,此类信息无疑更增加了他们对电子支付的排斥和恐惧。其实,电子支付的优点之一就是它比现金支付更安全。
常见的电子支付安全风险
电子支付的安全风险主要有系统安全风险和身份安全风险。
发生在2006年4月20日的银联系统中断事件,是系统安全风险的典型案例。当天银联系统中断8小时,全国商业银行卡支付清算全面瘫痪,经济损失巨大。此次事件的直接原因是银联在增加系统软件前,没有采取备份和系统预测试等必要的风险管理措施,主管部门也对系统调试缺乏相应的监管。而背后反映出的银联垄断对支付体系的负面影响之大,更是让人触目惊心。但从整个行业来看,到目前为止,电子支付大规模的系统风险还不是很大(也许未来会成为主要的风险来源)。
身份安全也是主要的风险来源。根据中国金融认证中心(CFCA)发布的《近来公布的部分网银事件分析报告》,网银安全事件主要包括木马病毒类、假网站类、冒充不知情的客户开通网上银行业务类、偷窥或直接骗取卡号口令、通过网上支付盗取资金类、网银开户审核不严、内外勾结作案等7种造成银行账户损失的事件类型,其中有5类是通过非法获取用户的帐号和密码从而冒充用户身份成功转移银行账户资金。而绝大多数的不安全案件都集中在仅通过卡号、密码(个别银行需要个人证件号码)就可以开通,并不同程度的具有一定的帐户资金转移功能(支付、缴费)的网银大众版身上。
网银大众版问题频频,主要原因是用户风险防范意识欠缺。但网银大众版本身也存在一定问题,它没有使用数字证书的认证方式,支付安全性自然较低。《电子支付指引(第一号)》中规定的“未使用安全认证方式的电子支付单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币”,便是针对此问题的保护和防范。
支付安全性在技术层面已没有问题
从技术层面来讲,电子支付安全性问题已经解决得相当好。人们对电子支付安全性的担心,更多的是一种心理层面的影响,正如人们往往觉得飞机是最不安全的交通工具一样。
一次性支付密码就是一种有效的方式。当你需要网上支付和转帐的时候,会收到银行通过手机短信发送的一次性密码。也就是说,通过用在支付时同时提供银行卡的密码和银行发送的一次性密码来保证安全性。
电子认证则是一种成本相对较高的方式。它确保签名与签名人身份存在真实联系,是一种组织制度上的保证。认证机构(CA)作为电子商务中受信任的第三方,负责产生、分配并管理所有参与网上交易的个体所需的认证证书,是安全电子交易的核心环节。这也是最安全的一种方式,据说银行业中采用这种手段支付的尚未碰到过风险。
但电子认证也存在一些问题。社科院金融所支付清算研究中心的有关电子支付的研究报告认为:“认证本身就是一种第三方的活动,不存在非第三方的认证。”而目前很多银行网上交易系统所适用的认证证书是自己颁发,这就造成银行一身兼任裁判与球员二职,整个的安全风险都集中在银行方面,不利于保护客户的利益。
研究报告还指出,电子商务实践中对CA的责任存在“只服务不负责”的倾向,认证机构往往只收取服务费,通过认证实务声明(CPS)将相关责任推给证书用户。因此,制度建设中应强调CA机构的中立性,使其独立于交易各方单独行使认证职能,在立法中应明确其职责,在允许其收取服务费用的同时,承担认证失误、管理失误的责任,承担因系统存在安全缺陷而带给客户的风险,以及承担因非不可抗力造成的系统可用性缺失引发的客户证书无法使用所带来的损失;规定其在争议出现时为交易相关方提供可靠真实电子记录证据的责任和义务。
此外,我国在身份认证的权威性和独立性、数据加密强度、商用密码产品、通讯安全控制措施等关系行际互联的电子支付技术参数上都没有制定相应的国家标准,各网上银行业务标准不一,技术各异。这既造成了巨大的的资源浪费,也不利于未来各行之间的合作与联合。支付产业急需进一步规划技术规范和实施标准,通过“互联互通”提高产业效率。
但总的来说,电子支付在安全性方面远远超过现金支付。只要用户本身有较高的风险防范意识,养成正确的使用习惯,同时银行方面做好对数字证书相关知识的宣传教育,鼓励用户正确使用第三方数字证书,对电子支付安全性的担忧是完全不必要的。
容易被忽视的真正风险
但这并不意味着电子支付在安全性方面无懈可击。支付安全性最大的问题不是技术,而是各参与方法律责任不清。但在谈论电子支付的安全性时,这一点往往被忽视。
2004年8月出台的《中华人民共和国电子签名法》,是中国第一部专门规范电子商务活动的法律。但它只是一部基础性法律,与其配套的法规非常不健全。中国现有的票据法律还不承认电子签章的有效性;电子货币的法律地位、电子支付安全的法律控制等问题在法律上都是空白;电子发票的合法性目前还没有得到相关法律的认可;票据法、会计法、海商法等法律对电子票据、电子发票、电子提单的合法性都没有规定,尚未与《电子签名法》相衔接;电子支付的很多领域,比如电子交易法、个人隐私保护法律等在立法上都是空白。
与电子签名法相配套的相关法律的完善,是保障电子签名应用于电子支付,维护支付安全的前提之一。但这些问题需要在一个动态化的法制环境下逐渐解决,还不是用户目前最担心的问题,而现有电子支付法律在风险承担、责任划分方面倾向于银行等金融机构,才是真正需要注意的问题。
虽然《电子支付指引(第一号)》规定:“因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因,造成电子支付指令无法按约定时间传递、传递不完整或被篡改,并造成客户损失的,银行应按约定予以赔偿。”但是,金融机构往往利用其优势地位要求客户承担涉及其账户的任何电子资金划拨的责任,所谓的“按约定”在实践中便成了银行可以任意制订规则,消费者却没有博弈的意识和能力,最终让这一规定变成了摆设。
工商银行网银失窃事件背后
早在2004年,中国消费者协会就指出金融领域六大霸王条款,“电话挂失不担责,生效时间往后拖;不可抗力随意用,混淆概念欲免责;章程规定单方改,强迫对方受约束;柜员机记录不算数,存款数额银行定”,但这种现状至今没有得到很好的改善。
发生在2006年6-7月间的工商银行网银失窃事件,便是一个消费者处于绝对弱势的典型案例。此次事件涉及十几个省市自治区,数百名受害者组成维权联盟,建立了网站(域名为www.ak.cn),表示将联名起诉工商银行总行。
受害者主要有两种典型情况。一是持卡人在办卡时被默认开通网银帐号,持卡人自己却不知道,导致帐号被盗,密码被破译。或者在其不知情的情况下被他人恶意开通网银服务并在网上转账,遭受损失。二是持卡人开通了工行网上银行业务,但是没有使用电子银行口令卡、U盾等特殊保护措施,由于交易需要等将账户公布在外,受害人声称未将密码透露给其他人,但是发生了网上购物、发出支付指令转账给他人的情形,遭受损失。
这一事件充分暴露了在金融机构面前消费者的弱势。与在营业网点开通网银服务相比,网上注册网银服务,“不需要到网点、不需要原卡和身份证件原件,只需要几个号码即可开通”,银行的审查责任没有得到更多地强调。若在储户不知情的情况下由第三人恶意开通了网银业务并给储户造成了损失,银行的责任无处可循,储户则需被迫承担风险。
《中国工商银行牡丹灵通卡章程》第五条规定:“凡使用密码进行的交易,发卡银行均视为持卡人本人所为。依据密码等电子信息办理的各类结算交易所产生的电子信息记录均为该项交易的有效凭据。”这意味着:任何由密码进行的交易,视为持卡人本人所为,由客户负全责。即使在交易指令人非客户本人发出时,或问题未查清、未破案时也是如此。
就这样,立法的缺失加上格式合同的强势利益主导性,使得银行应承担的保障网络平台安全和消极防盗义务,没有明确得到体现。“密码交易视为本人交易”前提更使得无法认定工行的过失、进而追究其责任。犯罪嫌疑人通过非银行过失的非法途径盗取了受害人的银行账号、网银密码等相关信息后,通过网上银行窃取了客户的资金,银行不对此损失承担责任。在面对类似假网站的群体性事件时,现有法律也只是规定银行有“帮助查找原因、尽量挽回损失”的义务,对银行应采取什么样的措施和态度予以应对,是否应及时侦测是否存在自己网站的冒牌货并采取措施等方面都没有规定。
更夸张的是消费者所陷入的举证困境。由于“一个人无法证明没有发生过的事”,工行事件中的受害者无法证明自己没有过失;立法上没有统一的网银安全标准,又使得受害人无法证明银行的网银系统存在重大漏洞;而银行的网银专家又以受害人不到网银用户的十万分之一,来证明银行的网银系统不存在漏洞,形成了一个“第22条军规”式的逻辑怪圈。
当务之急是建立合理的责任承担模式
因此,要推动中国电子支付的发展,除了加快在技术层面制订统一的国家标准,加快互联互通,加强信用体系建设,完善相关法律,鼓励用户使用数字证书,逐步推广实名制之外,更重要的是在立法中要适当地向消费者倾斜,适当增加银行等金融机构的义务和责任,加强对消费者的保护。
电子支付的各个环节都涉及信息技术问题,消费者作为受害者要去举证提供电子支付金融服务的银行方是否存在过错几乎是不可能的,所以传统的过错责任原则对消费者保护不力的一面必须得到纠正,而采用无过错责任原则,又可能因责任风险过大造成银行方拓展网络银行业务的积极性,不利于电子支付的发展。因此,实行过错推定责任制度应该是各方都能接受的做法。
在立法中,还要充分利用举证责任分配机制来平衡当事人间的实体权益。社科院金融所支付清算研究中心的研究报告认为:“在电子支付领域,证据规则的设计有时比实体规则的设计更能有效地调整风险的分配。所以在指定风险分配法律规则时,要充分考虑证据因素对当事人权利义务的影响,在某些特定情形下,可考虑采用举证责任倒置或者过错推定原则。”
所以,要破除人们对电子支付安全性的担忧,鼓励人们采用电子支付,当务之急并非教育用户加强风险防范意识(在现金支付根深蒂固的文化传统影响下,电子支付的方便、快捷、安全和降低成本才是最该宣传的),而是建立合理的责任承担模式,尽快破除目前金融机构处于绝对强势,普通消费者毫无博弈能力和意识的现状。
第三方支付公司的命运
2007年,最牵动电子支付业界神经的便是中国人民银行(以下简称“央行”)《电子支付指引(第二号)》文件,即《支付清算组织管理办法》的出台了。从2006年3月起,有关《支付清算组织管理办法》出台时间的传言一直不断,先传说是2006年3月,后来又说是2006年5月,最后说是2006年12月。但直到现在,这一文件仍是“只闻其声,未见其形”,目前最新的出台时间传言是2007年5月。
业界关注《支付清算组织管理办法》的出台,有很大一部分原因是这一《办法》“关系到第三方支付公司牌照发放”,将直接对第三方支付服务机构形成约束。按目前业内公认的说法,央行将首批发出10张左右的牌照,这意味着市场上现有的超过50家第三方支付企业中的绝大多数会被迫退出市场。
《支付清算组织管理办法》缘何难以出台
第三方支付是指一些和国内外各大银行签约、并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。它通过与银行的商业合作,以银行的支付结算功能为基础,向政府、企业、事业单位提供中立的、公正的面向其用户的个性化支付结算与增值服务。在国内主要有两种表现形式:一是依托大型B2C、C2C网站的支付工具,比如支付宝就属于这种非独立性的寄生形式;二是第三方支付平台,整合了网上支付、电话支付、移动支付等多种支付手段,目前正在迅速成长之中。
第三方支付出现的最初目的,是解决在电子商务小额支付情形下交易双方因银行卡不一致造成的款项转帐不便问题。由于它降低了政府、企业、事业单位直连银行的成本,满足了企业专注发展在线业务的收付要求,避免了与被服务企业在业务上的竞争,加上在中国电子商务中C-C模式起到了较好的中介监督作用,发展势头迅猛。2001年全国第三方网上支付平台市场的支付规模是1.6亿元人民币,2004年增长到23亿元,预测2007年中国第三方支付平台网上支付平台市场规模将达215亿元左右。
2005年6月之前,是中国第三方电子支付企业发展的良性时期,当时从事第三方电子支付的企业在10家左右,其中规模较大的企业包括上海环讯、北京首信、银联电子支付、IPAY和网银在线等。大部分公司处于一个相对公平的竞争环境,企业利润也非常可观,商户同支付企业之间除了年费之外的利润分成大致在1%—2%。
但随着银行本身对网上支付的觉醒和热衷,以及支付宝、贝宝等多家国内外电子支付企业进入中国市场,整个行业处于“价格战”之中。为了抢占市场,很多第三方电子支付企业采取降低交易手续费的策略,有些企业甚至不惜“倒贴”,零利润或者负利润去吸引商户。
2006年初,首信集团将其电子支付平台“易支付”以250万美元卖给香港公司PayEase,被称为国内电子支付企业洗牌的开始。2006年3月,YeePay又并购了西部支付,国内的其它支付企业,也都在借助种种方式扩张自己的规模。但即使如此,截至到2006年7月仍有支付宝、贝宝、首信易支付、腾讯财富通,环迅、网银在线、云网,上海快钱,Yeepay,汇付天下等50余家第三方网上支付平台活跃在网上支付市场。绝大多数企业都受限于盈利难题,盲目的无序竞争让各企业的利润大幅缩水。而第三方网上支付平台的性质到底是金融公司还是技术公司,也尚未形成一个统一的认识,面对种种不确定的政策与法律风险,电子支付企业在业务选择和创新上也是小心翼翼。
由此便不难理解业界何以翘首期待《支付清算组织管理办法》的出台,如果牌照能将一大批竞争对手挡在门槛之外,对苦于求解盈利难题的电子支付企业来说无异于雪中送炭,倘若能明确第三方网上支付平台从事业务的性质是金融增值服务,那更是“钱”景无限。而《支付清算组织管理办法》的迟迟不能出台,也是因为对业务范围的划分存在争议,其试图将所有从事支付清算的组织“一网打尽”(而不仅仅是第三方支付平台),以统一的口径出示管理办法,本身就非常困难。
第三方支付模式的风险
据媒体报道,重庆的张锴(化名)打开了一条通过信用卡零成本套现、廉价换汇和境内外资金转移的秘道。他通过网上支付平台PAY888,在信用卡上透支6000元人民币,将这笔资金打入他在欧洲一家博彩公司——伟德亚洲网站(vcbet88.com)的私人账户内。10秒钟后,他通过伟德网站上的支付工具GIS,将6000元提出来,并打入一张某银行的借记卡中,整个过程不收任何手续费。
同样,2006年底流传在网上的《用支付宝,成功套现25000元》一帖作者,用的也是类似手法,只不过他是和朋友约好,用虚构交易的方式套现而已。
信用卡套现只是第三方支付企业可能带来的金融风险之一,可能的还有非法资金转移、洗钱,当交易规模发展到一定程度,特别是第三方支付服务不是对一家企业,而是对着很多家企业时,一旦出了问题,其影响面之大更是难以估计。而这些问题的根本症结点,则是第三方支付企业的性质仍未被清楚界定。
在目前中国的法律框架下,无论是支付结算还是支付结算的代理,都被规定为银行的专营业务,其他未经主管机关批准的非金融机构和其他单位不得作为中介机构经营支付结算业务。第三方支付企业在实际上已经突破了现有的一些特许经营的限制,客观上已经具备了某些银行的特征。网上支付机构一般都存在资金吸存行为,买家需要把钱付给第三方支付企业,当买家收到货物进行确认之后,支付企业再把钱再付给卖家,在这一过程中,钱沉淀在支付机构里。此外,随着交易额的增加,提供支付服务的企业会和客户签约,约定一个清算周期,比如每周清算两次或者每月清算一次。这是增强网上交易信息,降低成本,维护公正性的有效做法,但它同时也带来了大量的资金沉淀,这种沉淀资金算不算存款,各方也尚未达成共识。
《中华人民共和国反洗钱法》规定,“金融机构通过第三方识别客户身份的,应当确保第三方已经采取符合本法要求的客户身份识别措施;第三方未采取符合本法要求的客户身份识别措施的,由该金融机构承担未履行客户身份识别义务的责任。”即第三方支付平台不因未履行反洗钱义务而承担相应责任,只会根据其与金融机构的合作协议向金融机构承担违约责任。一些网络支付平台提供商也对用户的信息严格保密,比如贝宝(Paypal)的用户协议规定:“贝宝会与为贝宝提供市场服务的公司共享。另外,贝宝会与和贝宝有联合市场协议的金融机构共享信息(不包括银号账户和银行卡信息)。”除此之外,贝宝一般只是在司法机关有要求时才提供相关信息。
对此,社科院金融所支付清算中心有关电子支付的研究报告认为:除银行之外的其他电子支付提供商在信息共享方面各自为政,权利与义务方面还缺乏明确的规定,有必要在界定电子支付服务提供商主体资格的前提下,将所有的支付服务供应商纳入到信息共享机制中,在共享协议下各方均有义务将自己所掌握的不良信息进行共享。
“牌照制”背后的监管隐忧
中国的电子支付产业正在由形成期转入成长期,而随着中国全面开放金融产业,这一新兴产业面临着前所未有的挑战。从世界范围看,非金融企业从事电子支付业务已成为不可逆转的趋势,第三方支付企业的出现符合电子商务的发展需要,应在鼓励其发展的前提下予以规范。目前人民银行以“支付体系以央行为主导,商业银行为主体,社会组织为补充”作为制定政策的准则,并未禁止非金融企业进入电子支付业务市场,而采用发放牌照的方法,用抬高市场准入门槛来实现监管目的,似乎也无可厚非。毕竟,与制订一部法律相比,发牌的方法会更快一些。从这个意义上讲,即将出台的《支付清算组织管理办法》,会给中国目前混乱的电子支付企业竞争态势带来一定的缓解。
但监管更应从产业的实际需要出发,解决信用评价体系不健全、产业内部风险系数过高等根本性问题。与解决第三方支付企业带来的麻烦相比,推动中国电子支付产业的发展无疑更为重要。因此,政策应该基于产业创新的目的推出,要鼓励而不是限制第三方支付企业。
从这个意义上来看牌照制,便不得不产生一些隐忧。如果通过政府设置门槛限制来清洗一批竞争者,是否会扼杀企业的创新意志和能力?牌照制会不会在操作中异化成一种“管制权力”?“牌照在美国,只要资质符合就批;而在中国,一旦发牌照的权力掌握在政府手中,批与不批有更大的不确定性。”有人如是说。这种担忧不无道理。这些问题确实需要监管部门进一步观察研究。
电子支付税收难题
“在这世界上,只有死亡和税收是不可避免的。”这是本杰明·富兰克林的一句名言。不过对于那些千方百计利用法规漏洞的“精明”人而言,恐怕只有死神才是真正摆脱不了的。他们能够通过规划交易来大幅度减少税单,甚至能让一些税务完全消失。而对于这些“精明”人而言,中国市场简直就是上帝赐予的礼物。面对汹涌而至的电子支付浪潮,中国尚未建立相应的办法和制度,许多征税部门和纳税人甚至简单地把电子支付当作是电子报税。毫不夸张的说,在中国你甚至不用处心积虑的思考如何避税,因为现有法律已经在帮忙,而且比你预想的更好。
巨额税款流失背后
中国的《增值税暂行条例》规定,对个人销售“自己使用过的物品”免征增值税。在C-C模式(个人对个人的网上交易模式)迅猛发展的今天,这一原本对漏征少征增值税无关紧要的规定造成了越来越严重的后果。
最初,中国只是把C-C电子商务模式的认识看作一个网上二手“跳蚤市场”,认为它仅仅意味着个人把自己不再使用或闲置的物品在网上拍卖或出售,是偶然发生的短期行为,免征增值税合情合理,即使出现个别漏征少征,流失的税款也是微乎其微的。
但随着第三方电子支付手段的普及和电子支付工具的不断改进,C-C交易规模攀升,C-C模式也从根本上发生了改变。数以百万计的网络商店在出售包装完好的全新商品,销售行为也早已演变成有正常进货流程,甚至有齐备的现代化物流渠道的持续性的、以盈利为目的的商业行为,而且规模扩张速度惊人,尚有巨大的发展空间。
来看看淘宝网——中国最大的C-C电子商务网站,2006年淘宝网交易总额突破169亿元人民币,与上年同期80.2亿元的交易额增长了110%,超过易初莲花(100亿元)、沃尔玛(99.3亿元)等零售巨头在华全年营业额。而根据中国互联网络信息中心(CNNIC)《第18次中国互联网发展状况统计报告》:截至2006年6月30日,中国网民人数达到了1.23亿人,经常上网购物的人数已达网民总数的1/4,有3000万人,而去年同期只有2000万。2005年中国的电子商务交易额达7400亿元,比2004年增长50%,网上购物用户数量达2200万户,比2004年增加600万户。
毫无疑问,1亿多网民背后蕴涵着一个巨大的市场,能抓住网民需求的C-C模式互联网商业应用,必能产生非常可观的经济效益。而与巨额销售同样明显的是:急剧增加的巨额税款流失问题日益凸显。
C-C电子商务模式本质上已同现实中的工商个体户没有任何区别。法律规定个体工商户必须在国家工商行政管理机构登记注册并取得营业资格后才能在经许可的经营范围内营业。但在网上开店经营,现行法规并无强制性的资格限定。虽然商务部公布的《关于网上交易的指导意见》(征求意见稿)中提出,网上交易者应经工商部门和其他有关部门的注册批准。但这只是指导意见,没有法律效力。
对于买方、卖方以及运营商来说,网上交易不用纳税已成为大家默认的潜规则。许多网店购物都公开宣称不提供发票,甚至明确指出提供发票要买方再支付4%的税金。而运营商也只是以“用户因进行交易、获取有偿服务或接触××网服务器而发生的所有应纳税赋,以及一切硬件、软件、服务及其它方面的费用均由用户负责支付”笼统表述,并未明确以工商、税务登记作为进场交易的必须条件,没有尽到告知纳税的义务。
同时,随着互联网技术、物流快递服务、电子支付体系的完善,以及身份认证、交易纠纷处理、信用评价等核心问题的改善,相当于小规模纳税人的虚拟网店甚至一般纳税人企业的跨境交易也悄然兴起。淘宝网、eBay易趣先后开设了网上跨境购物平台,还推出了境外代购服务。买卖双方之间几乎全部以邮局和快递公司作为物流渠道,因为邮递成本较高,单次交易金额一般都超过千元。买卖双方一般也都不谈及税款,尽管根据规定,以邮购或网上购物等方式从境外购物,应依法缴纳关税。
对于B-B模式(企业对企业的网上交易模式)而言,情况也并不美妙。由于企业的销售活动与其资金流的运动相对应,资金运动的轨迹最终都将反映在其银行账户的变动上,而且纳税人一般不能避免向购货方开具增值税专用发票,纳税地点也较明确,企业通过电子支付手段进行销售与通过传统结算方式进行销售二者之间在增值税的征管并没有什么明显的区别。但对于有意识通过现代电子支付手段避开销货地税务机关监管的企业分支机构来说,现有法规存在较大疏漏。如果企业的总分支机构分别在其所在地纳税,企业分支机构在销售企业内部移送的货物时,完全可以利用现代电子支付结算方式(最简单地就是开一个全国联网的银行卡),实现由远在异地的总机构直接收取购货方货款,并在销售实现后由总机构开具发票给购货方,从而逃避分支机构所在地税务机关征税。
这仅仅是增值税方面存在问题的冰山一角。在营业税(与增值税合称间接税)、所得税(或直接税)、印花税以及城市维护建设税和教育费附加(后三者并称为其他税)等方面,现行税法也是问题多多。举个最简单的例子,当你从网络上下载软件,特别下载是后续的更新及补丁软件时,供货方到底是提供劳务,还是转让产品所有权,又或者是转让特许权?现行法律都无法给出明确界定,而这种界定非常重要,因为不同性质交易的税收政策完全不同。
一言以蔽之,巨额税款流失背后是现行税收法规和政策的严重滞后。当个体工商户按照法律规定缴纳增值税、营业税和个人所得税时,网店经营者却逃避了此类支出,这明显违背了税收的公平性。同样,这种局面也影响了人们的市场选择,诱导人们纷纷转向网上开店、网上购物,与税收中性原则也是相悖的。这必将导致传统市场的税源被挤占,使得税收收入的大幅度减少。
而随着全球化的加速和中国市场的不断开放,相关法律法规的滞后必将导致大量外资趁虚而入。这不但加剧了巨额税款的流失幅度,也使得洗钱等犯罪行为更加容易。同时因为各国税收体制的不同,现行法规很容易出现对国内企业收税,对国外企业免税的情况,在接受跨境远程服务时尤其如此,这也对本土企业造成了很大的冲击。
税收背后的国际战略博弈
总体而言,各国政府在制定电子商务税收对策时大都持谨慎态度,并以现行税制为依归。1998年10月,在渥太华召开的经济合作与发展组织(OECD)部长级会议上通过的《渥太华宣言》,也在国际上获得了广泛的认可和接受。其主要观点如中性原则(在电子商务各种形式之间,电子商务与传统商务之间,税收应力求中性、公平,以避免重复征税或不征税)、效果和公平原则、确定和简化原则、灵活性原则、效率原则等等,也已成为各国制定电子商务税收政策的出发点和基本指导原则。
但在税收政策的具体制订上,发达国家与发展中国家存在着巨大的分歧。发达国家主张用“宽松的”姿态去制定电子支付下的网络交易所涉及的税收政策,以促进电子商务的发展,因此他们大都反对征收关税。而发展中国家大都反对电子商务免税以及如果征税则只是实施居民管辖权的主张。
在宽松政策的大前提下,发达国家又分成两派,一派是免税派,典型代表是美国。2006年11月28日,美国总统布什在国会提交的将互联网禁税期延长的法案上签字,使之成为正式法律。由此,已经执行了3年,于2006年10月21日到期的《互联网免税法案》又将延长两年,而美国政府原本希望能获得更长时间的有效期。
另一派是以欧盟为首的征税派。欧盟始终坚持保留对电子商务的征税权,普遍征收增值税。2000年6月,欧盟不顾美国的强烈反对,公布了电子商务增值税征收方案,对向欧洲顾客提供数字产品的非欧洲供应商征收增值税,并且要求每年对欧盟顾客的销售额超过100000欧元的供应商必须在欧盟国家注册,向欧盟支付增值税。目前这一方案已经生效。
但发展中国家大都坚决反对网上交易成为一个免税区,一般也反对按居民管辖权征税。比如印度政府于1999年4月作出一项决定:对在境外使用计算机系统,由印度公司向美国公司支付的款项均视为来源于印度的特许权使用费并须在印度征收预提税。在1999年12月美国西雅图的WTO会议上,美国“对电子网上交易永久性延期征税”的提案,最终因发展中国家的坚决反对而未能通过。
税收政策差异的根本原因
国家利益不同是税收政策差异的根本原因。从税制结构看,发达国家以所得税为主体税种,发展中国家则以流转税为主体税种(我国实行两种方法综合的税制)。电子支付下的网络贸易征税与否,对前者影响甚小,对后者影响甚大。而美国、欧盟等发达国家之间,又在争夺游戏规则的主导权,分歧势不可免。
美国主张对电子商务免税,是为其全球经济战略服务的。美国是世界第一经济强国和科技大国,集中了互联网干线的主要供应商在,拥有全球互联网用户的近60%。全球90%的互联网业务也在美国发起。而且美国的联邦财政收入中直接税(所得税)占财政收入的90%以上,免征电子支付下的网络交易的税收,对联邦政府的财政收入影响甚少。
欧盟主张不对电子商务开征新税,但必须与其他贸易活动一样,征收增值税,这也是基于自身经济利益的考虑。欧盟多数国家以本土税制为主,放弃对电子商务征税权的主张将导致税源流失和税款损失,不但把电子商务带来的好处拱手让给了美国,也放弃了对网络经济的规则制定权。
发展中国家反对电子商务免税,则是因为电子商务发展加快了经济全球化步伐,如果网上交易成为免税区,发展中国家便无法利用税收(例如关税)保障和扶持民族工业,后果是发达国家在不断扩大与发展中国家的经济交往中获得更大的利益,使得发达国家与发展中国家的差距日益扩大。反对按居民管辖权(属人原则)征税,是因为发展中国家大都是电子商务活动中的消费国,如果按居民管辖权征税而不按地域管辖权征税,发达国家的企业便可从发展中国家获取利润而不必支付任何税款,无疑将加大国际经济的不平衡。
由此可知,国内电子支付税收法规的缺位,不但造成了巨额税款流失,也让中国与美国等发达国家进行战略博弈时处于下风。
税收难题破冰
完善有关电子支付的税收法规,已经迫在眉睫。但这一任务十分艰巨,决非短时间内能完成的。这一方面是因为中国电子支付刚走出起步阶段,发展一日千里,形式也不断完善,因此税收政策的制订,不但要保证国家财政收入的增长,而且要避免不恰当的税制影响电子支付市场的蓬勃发展,还要具备前瞻性与灵活性,立法难度很高。另一方面是因为这需要有对中国电子支付产业的深刻认识。而中国税制改革的大方向——主体税种由增值税营业税等间接税让位于所得税等直接税,更是加剧了立法难度。
社科院金融研究所支付清算研究中心的研究报告——《中国电子支付中的税收问题》,开出了破解难题的药方。该报告建议,整体上应倾向于优惠的税收政策,鼓励中国电子支付的发展。报告在完善电子支付税收政策,特别是电子支付税收中现行法律不易界定的问题方面给出了可操作的具体建议,提出了“税源监控、修改税法、完善政策”三项完善电子支付税收的基本原则,以及逐步建立专门的电子支付税收登记制度、建立示范性电子账簿并要求纳税人保存交易的会计记录、大力推行电子申报制度、加大税收检查力度等完善电子支付税收征收管理的相关措施。
核心难题尚待求解
这是国内第一个系统研究电子支付税收问题的报告,标志着电子支付税收已进入国家税务部门视线,对规范电子支付市场有着重要意义。但值得注意的是,报告本身是从税收征管的角度来思考问题,更多反映的是政府部门的利益。
“法律和监管的挑战总是会妨碍这家公司的发展。他们不会让这家公司倒闭,但他们会阻碍这家公司做新的、创新的事情。”写下《PayPal战争》的艾瑞克·杰森(EricJackson)这样说。而这正是电子支付领域最核心的难题。
电子商务领域有一项特有的立法原则——技术中立,因为电子支付技术远未成熟,相关商业模式和技术条件变化迅速。政府难以制定恰当的条例,过于明晰和硬性的规定可能是不切实际的,甚至有妨碍技术进一步发展的潜在危险。长远来看,中国的电子支付大发展才刚刚开始,而东亚文化中倾向于使用现金支付、购买黄金保值等观念是发展电子支付的障碍之一。如果改变支付工具伴随着增加税收,反倒增加了推广电子支付的难度。
巨额税款流失是一个很重要的问题,但更重要的是如何从整体上改善电子支付工具的使用环境。这就需要设计一系列鼓励政策,鼓励人们在小额零售支付领域使用电子支付工具,以节省成本,加快资金周转速度。在电子支付税收问题上也不例外。这意味着,电子支付税收问题不仅仅是税务部门的事情,涉及到国家的整体利益。如何在鼓励电子支付发展的大前提下征税,才是电子支付税收的核心难题。
而这,与电子支付的诸多难题一样,尚待求解。
名词解释广义电子支付和狭义电子支付
根据目前金融法学界和电子商务法学界的研究,电子支付有广义和狭义之分:广义的电子支付包括卡类支付、网上支付和移动支付等等,狭义的电子支付仅指网上支付。到目前为止,以银行卡为主的卡类支付是电子支付的绝对主力,其它二者(网上支付和移动支付)远不能与其相提并论。目前媒体报道的“电子支付”,多半是狭义上的,比如2005年被媒体称作“电子支付元年”,这里的“电子支付”指的就是网上支付。否则,说“元年”就该是信用卡业务正式进入中国的1985年才对。
中国个人网上支付出现“井喷”式的发展,是从2005年开始的。2001年中国网上支付的市场规模为9亿元,2004年该规模增长为75亿元,2005年规模增长为161.3亿元,年增长率超过100%。预计2007年中国网上支付市场规模将达到605亿元。
目前国内网络支付主要有三种类型的机构参与:银行、银联、第三方专业机构。网上支付系统则又可以根据目前主要的几种支付模式分为银行卡网上支付系统、网上数字货币支付系统以及第三方认证的网上支付清算系统。
在国内最先开展网上支付的是银行,最早是招商银行,工商银行等在系统大集中之后也进入了这块领域。银联的网关一般都是在2001年左右才建立的。到目前为止,银联和各商业银行是电子支付产业的最重要的主体,金融背景与业务熟悉是这类支付平台的最大优势。它们不但乐于与规模较大的商户进行直连,也在加强与第三方支付公司的合作,进一步整合中小商户。
第三方专业化机构是在银联网关之前建立的,比如首信,其开展网上支付的历史较早,而第三方支付企业出现激烈竞争之势,则是受电子商务模式迅猛发展的推动,从2005年开始暂现端倪。(http://blog.sina.com.cn/s/blog_502a109d01009lmx.html)
银行卡支付篇(三):事实证明,无需银行卡密码,就可以把钱转走!
导读
总是听到报道投诉银行卡上的钱莫名其妙的丢失,卡在自己手里,网银在自己手里,密码未告诉别人,怎么丢失的呢?
一直以为卡里的钱出了问题,银行应该负责,可是了解到真相后,我震惊了!
先看看两个真实的案例报道:
当你的银行卡忽然在不知情的某天被绑上了别人的快捷支付,且未经自己银行卡支付密码的验证便被刷走卡内所有现金,这种惊心动魄的切身体验是否还会让你继续一往无前地依赖那种“方便”与“快捷”?
案例一:莫名其妙的投诉:
2014年11月13日,董女士通过农行银行ATM机存入该农行账户10万元。2014年11月26日,董女士查询这张储蓄卡余额,却惊讶发现这张银行卡的余额只有492.92元,卡内99600元存款不知去向。
董女士立即拨通中国农业银行全国客服热线电话,客服建议董女士冻结账户并立即报警。董女士在报警后又与开卡网点农业银行辽宁分行盘锦双兴支行取得联系,查询交易记录,并请银行协助调查。
董女士说:““我从农业银行柜台打印了交易记录,上面显示在11月24日至11月26日之间,我的银行卡发生很多笔交易,而我本人毫不知情。农业银行告诉我这些钱都是在网上通过第三方支付平台的快捷支付功能转走的,第三方支付平台分别是京东网银在线、黔汇通超级转账、中国石化销售有限公司网上交易支付平台”。
“我这张银行卡办了之后使用的次数并不多,银行卡信息也没有向别人泄露过,从来没有在网上交易过,更没有办理过这个三个第三方支付平台的快捷支付功能。”董女士表示。
若持卡人在第三方支付平台上开通快捷支付,需要给银行卡预留的手机号码发送动态验证码,正确输入验证码之后才能开通。董女士的手机从来没有收到过任何有关验证码的短信通知,且盗刷发生后,董女士与农业银行确认,她的银行卡预留的手机号码没有发生过变更。
那么董女士的银行卡为何会被开通快捷支付?新浪财经致电农业银行辽宁分行盘锦双兴支行个贷部负责人吴先生,对方也不能给出解释。
在发现银行卡通过第三方支付平台交易之后,董女士多次与第三方支付平台取得联系。从第三方支付平台中,均可查询到交易记录。从京东网银在线上消费的钱用于购买京东E卡,8笔交易,合计39300;通过黔汇通超级转账网上交易转账到一个工行账户;而通过中国石化销售有限公司网上交易支付平台的钱用来购买中石化的加油卡。
网银与快捷支付是毫不相干的两项业务,用户在使用快捷支付时并不需要开通网上银行业务,是否关闭网银与是否能成功使用快捷支付并不构成任何关联影响。
案例二:
近日,托人代办信用卡的李先生(化名)由于将银行预留手机号码、身份证与储蓄卡的高清照片都泄露给了骗子,尽管存款当天便惊醒回神,迅速去银行柜面关闭网银并更改预留联系方式,但仍未能避免三日后卡内现金被悉数盗刷而空的命运。
“用户的账户一旦绑定了快捷支付,账户验证和支付的流程就进入了支付宝的后台系统了,银行无法全面查询与掌握。”某国有大行内部人士对中国网财经记者表示。
记者就此走访多家银行,得到的回应不约而同地为“交行确实不算推卸责任”,各大银行均对记者表示,快捷支付的风险并非今日才浮出水面,也并非最近才引起银行的重视。据中国网财经记者获悉,以民生和交行为代表的数家商业银行早已向监管部门提交了关于与快捷支付合作的风险报备,但出于鼓励创新及互联网金融的角度,银行们得到的指示为“把控风险,风险自负”。
4月4日,由于工作单位问题限制导致办信用卡困难重重的李先生主动找到声称可以代办信用卡的张某(化名),并在张某的要求下当天便在交通银行广州分行的大石支行开通一张新储蓄卡,“这一点确实是我的过错在先,”李先生说,“张某要求我在开户时登记的是他的电话号码,并且让我把卡和身份证都拍了照片发给他,我便轻信并照做了。”
李先生对中国网财经记者表示,资料发去之后,张某又以交行办信用卡要“考核财力”为由要求其往卡内存入2万元现金。“那时我已心生警惕,所以4月8日存入现金后当天下午,我就去了开户支行柜台办理更改联系电话业务,并关闭了网上银行和电子银行业务,但没想到4月13日晚上11点收到短信,钱还是被转出了。”
调查记录显示,李先生的卡被绑定了快捷支付,卡里的款项正是通过快捷支付的方式支出。但李先生表示不解:明明已经关闭了网银和电子银行业务,为何钱款依然能被快捷支付扣走?
支付宝方面对中国网财经记者解释,网银与快捷支付是毫不相干的两项业务,用户在使用快捷支付时并不需要开通网上银行业务,是否关闭网银与是否能成功使用快捷支付并不构成任何关联影响。
但相对而言更让李先生气愤的是,此番快捷支付扣除他的款项,竟无需经过他银行卡支付密码的验证。
让我们再认识一下什么是快捷支付?“百度百科”一下!结果我震惊了!快捷支付的妈妈竟然是支付宝,不是银行!
“快捷支付
快捷支付是由支付宝率先在国内推出的一种全新支付理念,具有方便、快速的特点,是未来消费的发展趋势,其特点体现在“快”。
快捷支付指用户购买商品时,不需开通网银,只需提供银行卡卡号、户名、手机号码等信息,银行验证手机号码正确性后,第三方支付发送手机动态口令到用户手机号上,用户输入正确的手机动态口令,即可完成支付。如果用户选择保存卡信息,则用户下次支付时,只需输入第三方支付的支付密码或者是支付密码及手机动态口令即可完成支付。
警方提醒,不宜将工资卡等账户与快捷支付功能关联,最好每次交易完成后及时关闭该功能,避免银行卡里的钱被人转走。当银行卡被陌生支付宝账户绑定,市民应先冻结银行(注意,不是关闭网银或者不是更换银行短息通知号码)卡。卡主更换或者注销已绑定过手机金融服务业务的号码时,原有绑定并不会因更换或注销而消除,应提高自身安全防范意识,及时申请解除绑定服务,防止被犯罪分子利用造成财产损失。”
快捷支付的风险及漏洞
记者调查获悉,开通快捷支付业务并不繁琐,只需在支付宝快捷支付页面提供本人的姓名、身份证号码、银行卡号以及银行预留手机号等有效个人信息,即可快速开通,而后期支付时也无需经过原有银行卡的支付密码验证,只需在支付页面上输入支付密码或关联银行卡信息即可完成资金交易。
“这是非常典型的轻信了对方从而泄露自己个人信息结果被诈骗的案例。对方已经掌握了名字,手机号,身份证号,包括你办过那张储蓄卡所有卡面信息,完全可以拿你的身份在网上再注册一个网络账号,通过快捷支付的方式绑定银行卡,所有的密码可以自行设置,而且校验手机号也是他的,这样你卡里的钱当然就只能由他来支配了。”支付宝方面某负责人对中国网财经记者表示,该案例并非首发,支付宝此前便已收到过类似案件的投诉,因而“非常了解作案流程”。
而对于为何支付转账等走款流程要越过银行卡支付密码的环节,支付宝方面则对中国网财经记者表示:“这是国际上的规定和惯例,不允许在网上支付的时候输入银行卡密码。”
服务小贴士小编的测试:快捷支付来了,转账支付,银行卡密码,统统不用!
先实验自己的一张卡绑定支付宝账户,发现全程未验证银行卡的密码,就可以开通快捷支付,绑定后,即可直接对外转账、缴费:这是多么恐怖的一件事情啊!具体看下方截图:
谁给的快捷支付这么大的权力,可以绕过储户的密码,去动客户银行卡里面的钱呢?
真相是:银行与支付宝并非“无缝对接”,支付宝是个独立的王国,快捷支付的妈妈不是银行,而是支付宝;用户的储蓄卡账户一旦绑定了快捷支付,整个验证的流程都对应在支付宝的系统里,银行将无法查证
如果网银与快捷支付不相干,银行卡密码与快捷支付也不相干,那么为何开通快捷支付需要的银行办卡的预留手机号呢?李先生向中国网财经记者表达了自己的疑惑,自己明明已经提前去银行更改了预留手机号,为何最后却还是被绑上了别人的快捷支付,更改之后的号码只是收到了一条“2万元被转出”的事后通知?
交行方面对中国网财经解释称,李先生当日是在ATM机上自助更改的联系方式,且操作记录显示,更改的仅仅是“短信通知”的联系方式而非其他验证。但不少银行内部人士却对记者透露,即便更改了预留手机号,用户的储蓄卡账户绑定快捷支付后整个验证流程都对应在支付宝的系统,银行也无法查到快捷支付方面的联系方式验证是否会自动与银行同步。
“用户的储蓄卡账户一旦绑定了快捷支付,整个验证的流程都对应在支付宝的系统里,所以我们银行也没法确定,绑定后若只在银行柜台进行验证手机联系方式的更换、而不在快捷支付页面进行手动更新,控制用户快捷支付走款流程的验证号码,究竟是新的还是旧的。”前述国有某大行内部人士对中国网财经记者如是表示。
“如果不能自动匹配更新,假如我不知道别人拿我的号码绑定了快捷支付,我根本不可能自己去快捷支付的页面手动更改;或者即便我知道被别人绑定了,我也没办法知道别人设定的登录密码,同样无法手动更改。这样验证走款依然在旧的号码,我还能自主掌控自己的储蓄资金么?”一位刚刚关闭了快捷支付的用户如此质疑。
中国网财经记者多次就此问题咨询支付宝相关负责人,但截至发稿未曾收到对此问题的任何回应。
无独有偶,此前曾试图开通快捷支付的孟小姐(化名)对中国网财经记者反映称,某天其手机突然收到来自招商银行一条内容为“账户通过快捷支付转出0.1元”的提示短信,心生警惕的孟小姐旋即前往招商银行柜面查询,柜员调取记录告知称该0.1元为快捷支付方式转账,但也仅限于能查到转账方式是快捷支付,而更多的信息,柜员表示银行无法查看。
“此前在支付宝页面开通快捷支付显示开通失败,我便没有再继续开通,结果毫无防备就被快捷支付的方式转走卡里的钱,我不知道这是怎么做到的,连银行都查不到,我觉得心惊胆战。”孟小姐对中国网财经记者如是说。
“银行和支付宝并非是无缝对接的,”某银行界业内人士对中国网财经记者表示,“一旦用户的账户绑定了快捷支付,很多方面都是银行无法控制的。”
中国人民银行高级工程师吴晓光对此曾公开表示:“快捷支付业务模式里,银行的服务界面被屏蔽在客户的支付流程之外,银行从用户支付结算的前台,退到了代理第三方清算的后台,只扮演‘账房先生’的角色,被动地处理来自支付机构的指令,不再认证用户的身份,不再掌握用户的支付行为。”
“最安全支付”让银行“愤怒又无奈”
银行无法控制,那支付宝控制的系统安全性能又当如何?
“美国paypal的风险率是千分之几,国内的风险率比国外低,而快捷支付的风险率是十万分之一,比国内外所有同行都要低。”支付宝方面信心满满地告知中国网财经记者。
“虽然没有银行卡密码,但支付宝会在别的环节做好功课,比如短信校验码,若手机遗失被人试图重置密码,我们还会验证本人身份证信息和银行卡信息。”支付宝如是对中国网财经记者表示。
一位接近央行的分析人士表示:“目前,以快捷支付为代表的第三方支付机构的客户实名认证为非面对面的间接身份认证,流程一般为‘客户基本信息+ 身份证件上传与审核+小额打款回填’,该认证流程与银行实施的客户柜台面签的实名认证流程相比,强度要弱得多。”
一位不愿透露姓名的用户向记者提供了一份访客与支付宝在线客服“云在线”的咨询记录,在记录中“云在线”对客户坦言,若身份证被人知晓便可以注册新账户,若银行卡与手机同时落入他人之手,便可以给新注册的账户开通快捷支付。当该客户质疑银行卡和身份证号并非隐私信息身边已有多人知晓当如何防范时,客服回应称“无法防止,建议保管好自己的手机”。
而当客户质疑此漏洞更易被身边熟悉之人趁虚利用时,客服却匪夷所思地反问了一句:“您身边的人都很坏吗?”
“如此这般,用来规范与约束整个金融市场的,便不需要法律和规范了,全凭人的道德修养自律。”一位资深金融界人士对记者笑称。
支付宝方面对记者表示,李先生类似的案例,从快捷支付问世至今,他们“只接到了一两例”“前段时间银行与支付宝的纷争其实就在这里,”某国有行高层对中国网财经记者表示,“快捷支付的安全漏洞被不法分子趁虚而入,发生了大量跟李先生此案类似的案例,而受害人为了最有效率地收到赔付成果,往往把银行一并告上被告席,因为银行不会不回应,并且会在客观上帮忙举证,而支付宝承诺的72小时赔付机制其实条件并不宽松。但长此以往,银行会承受不了如此的重压。所以只好选择调低交易额度上限,一旦风险发生,损失能在客观上尽量降到最低。”
另一位国有行内部人士则向记者表达了无奈:“其实银行挺委屈,明明是为了保障客户安全,舆论却被煽动得一边倒,我们反而被自己努力保护的人斥责说‘垄断’与‘打压’。现在支付过程中用户过多贪图了快捷方便,但实际上网上支付最重要的应该是安全,若有天‘被盗刷’的案件发生在自己身上,到时候再想起来重视可能就来不及了。”
服务小贴士
不可否认,快捷支付给用户和金融支付带来了巨大的便利,但是,同时对于金融知识缺乏的用户来讲无疑也是一场灾难,同时对于利用快捷支付的漏洞进行金融诈骗的犯罪分子则是一场盛宴。
如果把银行卡比喻成一个封闭的箱子,密码就是唯一的一道门锁,而钥匙只有我们自己才有。可是,现在才明白,我们箱子的后面还有个洞,可以自由的进出!数家商业银行早已向监管部门提交了关于与快捷支付合作的风险报备,但出于鼓励创新及互联网金融的角度,银行们得到的指示为“把控风险,风险自负”。
那么我们银行卡的密码岂不是形同虚设?谁给的快捷支付这么大的权力,可以绕过储户的密码,去动客户银行卡里面的钱呢?
因此,我们强烈建议快捷支付不能再这么任性下去,必须加入银行卡密码验证验密!所谓的国际接轨都是扯淡,国外信用卡还都只认签字不用输密码呢,在中国能行得通吗?
整理此文的目的是为了让更多的用户认识什么是快捷支付,更加清楚由此带来的风险。
如有侵权及争议,请联系微信号:服务小贴士版主。
