2023年12月17日,《非银行支付机构监督管理条例》(“《条例》”)公布,自2024年5月1日起施行,将监管法规的位阶提升到行政法规层面,从而将非银行支付机构及其业务活动进一步纳入全链条全周期法治化轨道进行监管。
《条例》从相对宏观的视角,对三个方面的内容进行重点规定:(1)严格的主体资格要求;(2)契合实质的支付业务规则;(3)切实保护用户合法权益。简评如下:
一、严格的主体资格要求
(一)持牌经营、先批后筹
于2023年12月17日公布的《司法部、中国人民银行负责人就<非银行支付机构监督管理条例>答记者问》(“《答记者问》”)中表示,依法将各类金融活动全部纳入监管,及时推进金融重点领域和新兴领域立法。在这些基本方针的指导下,将非银行支付行业的全链条全周期监管纳入法治化、规范化轨道,防范支付风险,就是题中之义了。
《条例》第十一条规定:“申请人收到支付业务许可证后,应当及时向市场监督管理部门办理登记手续,领取营业执照。”因此,除已设立机构外,非银行支付机构的设立采取持牌经营、先批后筹模式,即取得央行颁发的支付业务许可证后,方可进行经营主体筹建并工商登记。
并且,《条例》第六条至第八条规定了非银行支付机构的许可条件:机构名称应当标明“支付”字样,注册资本最低限额为人民币1亿元的实缴货币资本且股东需以自有资金出资,主要股东与实际控制人应有良好资信状况,董监高应熟悉法律法规并具有履职经营管理能力,健全的公司治理结构、内控和风险管理制度以及退出方案和用户权益保障机制。
(二)对股东、实控人的严要求
根据《条例》的第三十六条,非银行支付机构的控股股东、实际控制人不得通过SPV或委托他人持股等方式规避监管,不得通过违规开展关联交易等方式损害非银行支付机构或其用户合法权益,不得存在其他可能对非银行支付机构经营管理产生重大不利影响的情形。并且,同一股东不得直接或间接持有两个及以上同一业务类型的非银行支付机构10%以上股权或表决权,同一实控人不得控制两个及以上同一业务类型的非银行支付机构,国家另有规定的除外。
(三)重大事项变更核准制
根据《条例》第十三条的规定,非银行支付机构发生重大变更事项的,亦应贯彻先批准后登记原则,即应先经央行批准然后再依法向市场监管部门办理登记手续:变更名称、注册资本、业务类型、经营地域范围、跨省级地域变更住所、变更主要股东或实控人、变更董监高、合并或分立。
二、契合实质的支付业务规则
(一)坚持功能监管理念,从业务实质出发实行二分法
《条例》第十五条规定:“非银行支付业务根据能否接收付款人预付资金,分为储值账户运营和支付交易处理两种类型,但是单用途预付卡业务不属于本条例规定的支付业务。储值账户运营业务和支付交易处理业务的具体分类方式和监督管理规则由中国人民银行制定。”
这种新的二分法,与过往按照交易渠道和受理终端将支付业务分为网络支付、银行卡收单和预付卡业务的分类方法不同。
《答记者问》表示,新二分法,是在坚持功能监管理念,从业务实质出发,根据其能否接收付款人预付资金进行的分类。一是具有良好的扩展性,有利于防范监管空白,无论支付业务外在表现形式如何,均可按照业务实质进行归类和管理;二是避免监管套利,有利于促进公平竞争,新二分法穿透支付业务表面形态,有利于统一资本等准入条件和业务规则要求,消除监管洼地,促进公平竞争。
至于更详细的分类方式和监管规则,后续由央行细化制定。
(二)不得从事或变相从事清算业务
《条例》第三十条规定:“非银行支付机构应当通过中国人民银行确定的清算机构处理与银行业金融机构、其他非银行支付机构之间合作开展的支付业务,遵守清算管理规定,不得从事或者变相从事清算业务。非银行支付机构应当向清算机构及时报送真实、准确、完整的交易信息。非银行支付机构应当按照结算管理规定为用户办理资金结算业务,采取风险管理措施。”
由此可见,清算业务为持牌经营业务,非银行支付机构领取的是支付业务许可证,许可经营范围中不包括清算业务,因此不得从事或者变相从事清算业务。
(三)坚持审慎经营要求,强化风险管理要求
1.制度先行
根据《条例》第十七条,非银行支付机构需坚持审慎经营要求,并应当建立健全至少如下六大制度:合规管理制度、内部控制制度、业务管理制度、风险管理制度、突发事件应急预案以及用户权益保护机制。
2.技术支撑
我国的非银行支付业务与数字经济、电子商务高度融合,具有小额、便捷的显著特点,我国非银行支付机构的年交易量超过1万亿笔,金额近400万亿元,日均备付金金额超2万亿元,服务超10亿个人和数千万商户。在这样的业务发展背景下,我国的非银行支付业务必须仰赖高效、稳定、安全的信息技术系统。
根据《条例》第十八条的规定,非银行支付机构应当具备必要和独立的业务系统、设施和技术,需按照强制性国家标准及相关网络、数据安全管理要求,确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性;并且,相关业务系统及其备份均应当存放在我国境内。
根据《条例》第十九条的规定,非银行支付机构为境内交易提供支付服务的,应当在境内完成交易处理、资金结算和数据存储;为跨境交易提供支付服务的,应当遵守跨境支付、跨境人民币业务、外汇管理以及数据跨境流动的有关规定。
根据《条例》第二十五条的规定,非银行支付机构应当将收款人和付款人信息等必要信息包含在电子支付指令中,确保所传递的电子支付指令的完整性、一致性、可跟踪稽核和不可篡改;并且非银行支付机构不得伪造、变造电子支付指令。
(四)坚持发展和规范并重,推动备付金集中存管
近年来,央行坚持发展与规范并重,推动了支付机构备付金集中存管,整顿违规清算业务,断开其与商业银行直接连接,在防范风险隐患方面取得了积极成效。
根据《条例》第二十九条的规定,非银行支付机构应当将备付金存放在央行或符合央行要求的商业银行,并且任何单位或个人不得对非银行支付机构存放备付金的账户申请冻结或强制执行。
根据《条例》第二十八条的规定,非银行支付机构的净资产应达到备付金规模的一定比例,即有多大碗就吃多少饭,如果想多吃饭就得有大碗。
三、切实保护用户合法权益
《答记者问》表示,《条例》将防范化解风险、保护用户合法权益摆在突出位置,因此《条例》用了不少的篇幅来规范并要求非银行支付机构依法切实保护用户合法权益。
(一)KYC
作为持牌金融业务机构,KYC是基本要求,也是保护用户合法权益的前提。
根据《条例》第二十一条和第二十二条的规定,非银行支付机构应当建立持续有效的用户尽职调查制度,识别并核实用户身份,了解用户交易背景和风险状况,并采取相应的风险管理措施;非银行支付机构不得将涉及资金安全、信息安全等的核心业务和技术服务委托第三方处理;非银行支付机构应当自行完成特约商户尽职调查、支付服务协议签订、持续风险监测等业务活动,不得为未经依法设立或者从事非法经营活动的商户提供服务。
(二)公平签订支付服务协议
根据《条例》第二十条的规定,非银行支付机构应当与用户签订支付服务协议,并应当按照公平原则拟定协议条款,并在其经营场所、官方网站、移动互联网应用程序等的显著位置予以公示,拟变更协议内容的,应当充分征求用户意见,并公告满30日方可变更,且应当以数据电文等书面形式与用户就变更的协议内容达成一致。
支付服务协议应当明确非银行支付机构与用户的权利义务、支付业务流程、电子支付指令传输路径、资金结算、纠纷处理原则以及违约责任等事项,且不得包含排除、限制竞争以及不合理地免除或者减轻非银行支付机构责任、加重用户责任、限制或者排除用户主要权利等内容。对于协议中足以影响用户是否同意使用支付服务的条款,非银行支付机构应当采取合理方式提示用户注意,并按照用户的要求对该条款予以说明。
(三)用户资金安全与信息安全
根据《条例》第二十三条的规定,从事储值账户运营业务的非银行支付机构为用户开立支付账户的,应当建立健全支付账户开立、使用、变更和撤销等业务管理和风险管理制度,防止开立匿名、假名支付账户,并采取有效措施保障支付账户安全,开展异常账户风险监测,防范支付账户被用于违法犯罪活动。
根据《条例》第三十二条的规定,非银行支付机构处理用户信息,应当遵循合法、正当、必要和诚信原则,公开用户信息处理规则,明示处理用户信息的目的、方式和范围,并取得用户同意;非银行支付机构应当依照法律、行政法规、国家有关规定和双方约定处理用户信息,不得收集与其提供的服务无关的用户信息,不得以用户不同意处理其信息或者撤回同意等为由拒绝提供服务,处理相关信息属于提供服务所必需的除外;非银行支付机构应当对用户信息严格保密,采取有效措施防止未经授权的访问以及用户信息泄露、篡改、丢失,不得非法买卖、提供或者公开用户信息;非银行支付机构与其关联公司共享用户信息的,应当告知用户该关联公司的名称和联系方式,并就信息共享的内容以及信息处理的目的、期限、方式、保护措施等取得用户单独同意。
(四)明码标价并依法保护用户知情权和选择权
根据《条例》第三十四条,非银行支付机构应当合理确定并公开支付业务的收费项目和收费标准,进行明码标价;非银行支付机构应当在经营场所的显著位置以及业务办理途径的关键节点,清晰、完整标明服务内容、收费项目、收费标准、限制条件以及相关要求等,保障用户知情权和选择权,不得收取任何未予标明的费用。
另外,《条例》还对央行的监管主责和地方政府的风险处置配合责任、非银行支付机构及其人员违法违规行为时的强处罚力度进行了规范。
并且,《答记者问》表示,后续将尽快出台与《条例》配套的《条例》实施细则,做好《条例》的贯彻落实,我们将持续关注。