2020-01-23 来源:第三方支付技术与监督 作者:胡娟
本文为第三方支付技术与监督,其中一章节,如需查看全文,请点击:《第三方支付技术与监督》全文
1、机构技术能力原因
(1)特定类型的支付应用要求技术具有跨多领域特点
从非金融机构从事的支付业务类型来看,很多支付业务不仅需要支付机构对金融支付有深刻的理解,即使在IT领域内支付机构也涉及将多个应用领域的融合,例如移动支付、数字电视支付等需要将移动通信技术或数字电视技术与金融支付的需求相结合。这种交叉学科的技术应用要求,往往限制了支付机构在支付设施建设中所能达到的技术要求。
通常情况下,从事特定IT应用领域内的机构,如移动(数字电视)运营商或其系统开发提供商,往往对移动通信系统的技术实现、移动通信的服务提供理解比较深刻,但是对于金融支付却往往经验欠缺,对金融支付的业务过程、服务模式。系统架构都积累不足;反之金融领域内各类机构同样对通信领域内的服务模式和技术架构显得比较陌生,由于缺少领域互通的人才和经验支付设施的开发建设往往不能一步到位满足行业规范要求。
支付业务类型日新月异,支付设施实现技术路线也千差万别,无论是有传统金融支付经验的机构还是有传统IT行业经验的机构,在推动非金融机构支付设施状况不断完善的道路上,都需要一个不断磨合的过程。
由于这样的支付业务类型本身对技术门槛要求比较高,甚至部分业务类型的受众范围也比较窄,例如数字电视支付业务等,很难形成市场和技术的良性循环(市场推动技术的革新,技术反过来促进市场的发展),因此在这种环境下的支付机构支付设施的技术完善进步相对会比较缓慢。
(2)对技术要求的理解不到位
非金融机构支付业务设施技术认证本身是符合性认证,由于非金融机构从事金融支付的服务时间不长,部分非金融支付机构进人金融领域时间较短,对“非金融机构支付设施认证技术要求和检测规范”的理解不深,支付设施在设计和建设阶段缺少“非金融规范”的遵循,在这样的条件下建设开发出来的支付设施与“非金融技术要求”存在差距。
另外,部分非金融支付机构虽然对“非金融技术要求”进行了研究,但理解往往还是从传统IT行业的技术要求进行认识,在支付设施开发建设中并没有严格贯彻“非金融规范”的技术要求。例如,部分支付机构在支付设施建设中,对于灾难备份往往理解为传统IT行业的数据级备份,而金融领域的要求是“应用级灾备”.显然类似这样对“非金融规范”理解上的偏差,都会造成支付机构在审查中问题的出现。
图1 支付技术改变世界
(3)部分支付机构快速扩张,对技术的理解和风险的认识不足
非金融机构从事金融支付服务是一个较新的事物,随着我国互联网和电子商务的飞速发展,已经从事或有意从事金融支付服务的非金融机构越来越多,市场竞争日趋激烈。
特别是部分早期就进人电子商务领域的机构,已经积累一定的资本和技术能力,在开展金融支付服务时起点相对于其他地方或微小支付机构形成强大的竞争优势。对于部分规模不大的支付机构要在如此惨烈的市场竞争中保留地位,就需要在少数“寡头”支付机构染指其支付领域或地区之前,进行快速地革新或扩张。其结果必然是支付设施“非金融规范”符合性建设工作让位于系统或服务的创新以及服务的快速部署。
由于部分支付机构为达到市场竞争目的,快速推出革新的支付服务,为追求技术的优势对新技术进行快速部署,造成了部分支付机构对创新的支付服务类型缺少深人研究,交易模型和流程没有经过缜密的设计,新技术没有真正理解,对金融支付过程中可能的风险估计不足,风险管控不完善,因此支付设施在风险监控、运维管理和支付设施安全性方面存在这样或那样的瑕疵,在“非金融”的认证审查工作中就会发现各种类型的问题,影响支付机构的“非金融”认证通过。
(4)部分支付机构技术力量不足,采用外购或外包方式,可控能力较弱
由于非金融机构开展金融支付业务时间不长,部分支付机构看到该领域内无限的市场前景,但由于自身技术和研发实力的限制以及对进人市场的迫切愿望,通常会采取技术方案外购或外包的方式。
支付设施技术方案外购或外包的方式虽然能快速解决支付机构因技术研发实力的限制从而实现快速市场部署,但缺少规范的外购或外包,将会给支付机构的系统建设带来各种隐患或无法满足“非金融规范”要求。例如:
1)委托方缺少质量控制对外包的支付设施带来风险;
2)受托方缺少资质或缺少金融支付设施开发经验带来风险;
3)由于采用外购或外包方式,支付机构对支付设施了解不深,运维保障能力有不利影响;
4)部分外购已经产品化的支付设施,并不一定依照“非金融规范”的要求进行设计开发。
外购或外包的方式是非金融支付机构快速进人金融支付市场的理想方式,显然缺乏规范管理的外购或外包,同样也会给支付机构的支付设施带来各种问题,在非金融机构审查认证工作中,这些问题都会很明显地突显出来。
(5)部分支付机构从事支付业务开发经验不足
对部分支付机构来说,支付业务是新的领域。虽然金融行业所采用的IT技术与传统行业的IT技术差别不大,但技术的应用方式和应用场景金融行业还是有自身的特色,特别是在风险监控和安全性方面的要求与传统IT行业并不是完全一样的。如何能将传统IT技术应用于金融行业,需要支付机构及其系统提供商对金融行业系统的特色有着较深刻的认识和理解。
图2 中国人民银行
2、机构管理能力原因
(1)部分支付机构从事支付业务运营管理经验不足
作为非金融支付机构,相对来说部分支付机构对金融支付业务还不太熟悉,对金融领域的信息系统的运维和管理、对金融支付业务的运营都还缺少经验积累。部分支付机构对金融支付信息系统的业务管理还沿袭传统IT行业的管理方式,传统IT行业由于其业务服务的特点。首先,传统IT服务受众范围具有明显的地域性、领域性或者人群适用性;其次,传统IT服务的服务可用性和安全性通常是没有金融领域的信息系统要求高的;最后,金融领域的信息系统都有着明确的国际、国家和行业标准或规范,而传统IT行业通常是缺乏类似约束的。
因此,与金融领域内的信息系统管理比较,刚进入金融支付领域的部分非金融支付机构在管理模式上相对粗放,自动化的IT管理手段不足,大规模业务处理能力和应对能力不足,高级别的灾难恢复处理能力都有所欠缺。
(2)部分支付机构运维管理存在能力方面的限制或不重视
由于金融支付业务关系到国计民生,金融支付业务的安全事件社会影响范围大,因此国内外包括金融行业都对金融领域内的信息系统的设计开发、建设与运营制定了标准和规范。从事金融行业机构的门槛比较高,与传统IT信息服务行业比较,运维管理水平高,运维管理标准而规范,运维管理信息自动化水平也高。
部分非金融支付机构,特别是来自于传统IT信息服务行业的支付机构,要达到金融领域信息系统运维管理水平,就必须要增大运维管理的投资力度。部分非金融支付机构相对于金融行业的机构,无论是资本投人能力和管理运维能力都是有明显差距的,按照金融机构的要求或“非金融规范”的要求都显得力不从心。特别是部分支付机构所开展的支付业务类型,受众范围和市场接受度都不高,支付机构已经在业务系统上进行了规模投资,更重视的是如何将业务推广出去产生市场回报,而在运维管理上投入重视程度不高。
3、其他原因
除了支付机构自身技术和管理方面的能力限制造成认证审查问题外,市场的监管不足也是问题产生的原因之一。总体来说,通过非金融机构支付设施技术认证工作的开展,中国人民银行对非金融支付机构支付牌照的总体把控,都为非金融机构的支付业务市场规范有序发展创造了条件。
但是作为信息化的金融支付业务来说,随着信息化技术的突飞猛进,不仅影响了人们的生活方式和生活节奏,还影响了人们通过信息化渠道实现的消费习惯。作为非金融支付机构,对市场的敏感度比较高,再加上自身体量相对于金融机构小因而转型比较快,能很快根据市场的变化提供差异性的信息化服务,例如QRCode等支付方式。从认证审查的角度来说,对新兴的业务类型研究相对滞后,技术规范更新不能实时保证市场的新需求,这样就存在用老的“非金融规范”用于新兴支付业务类型,问题就有可能显现出来。
中金国盛认证中心目前正在积极研究新的支付模式和新的支付技术,不断探索认证服务模式,积极配合监管部门,与各支付机构和检测机构共同努力,推动从事支付服务的非金融机构在支付设施的技术水平和服务水平上稳步提高,维护支付市场的稳定与健康发展。
