導(dǎo)語：第三方支付信息安全監(jiān)管及對策一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

［摘要］我國第三方支付市場具有涉及面廣、復(fù)雜度高、監(jiān)管主體多等特點，其研究目前主要集中于行業(yè)發(fā)展、監(jiān)管主體、風(fēng)險管理、支付機構(gòu)監(jiān)管定位和消費者權(quán)益保護等方面，但從信息安全監(jiān)管角度對第三方支付市場的政策方面的研究較少。本文給出了以穩(wěn)定、有效和公平的第三方支付市場信息安全的監(jiān)管目標、以央行為主多方協(xié)調(diào)的強制介入的監(jiān)管機制。提出引入第三方評估機構(gòu)實行外部評估并定期匯報、明確第三方支付機構(gòu)信息安全的管理要求、實施差異化監(jiān)管，加大對重點機構(gòu)信息安全檢查和披露等多個方面的政策措施。并提出從安全運行率、安全標準達標率、信息泄漏率、交易欺詐率等方面建立評估第三方支付信息安全情況的指標體系，以期推動我國第三方支付市場的穩(wěn)健發(fā)展。

［關(guān)鍵詞］第三方支付；信息安全；監(jiān)管政策；評估指標

一、引言

國內(nèi)學(xué)者對新興的第三方支付市場發(fā)展和監(jiān)管進行大量的研究，主要的研究成果集中于對第三方支付機構(gòu)監(jiān)管定位、第三方支付行業(yè)發(fā)展和第三方支付行業(yè)的風(fēng)險管理等方向的研究。沈紅兵通過研究歐美等國家關(guān)于第三方支付行業(yè)的政策法規(guī)，發(fā)現(xiàn)美國第三方支付需要聯(lián)邦與州分層監(jiān)管，沉淀資金存入美國聯(lián)邦存款保險公司（FDIC）無息賬戶，提出加強第三方支付機構(gòu)在最低資本金、內(nèi)控和風(fēng)險管理的準入門檻。［1］黎四奇、李俊平認為，人民銀行將第三方支付機構(gòu)歸屬為非金融機構(gòu)這一說法欠妥當，對比商業(yè)銀行提供的業(yè)務(wù)范圍，第三方支付機構(gòu)業(yè)務(wù)與商業(yè)銀行的中間業(yè)務(wù)是高度重合的，為了更好地規(guī)制第三方支付機構(gòu)的行為確切地說將第三方支付機構(gòu)應(yīng)被界定為準金融機構(gòu)。［2］任曙明、張靜、趙立強等認為，第三方支付行業(yè)包含了買方、賣方、商業(yè)銀行、支付機構(gòu)四種角色，第三方支付平臺是擔(dān)保買賣雙方交易的信用平臺等特性。［3］馬梅、朱曉明指出，互聯(lián)網(wǎng)與移動互聯(lián)網(wǎng)技術(shù)的發(fā)展和普及，改變了原有商業(yè)模式，產(chǎn)生了新的商業(yè)機會，第三方支付市場適時而生，并在新的商業(yè)模式下不斷的發(fā)展壯大，從而又推動了新的商業(yè)模式的產(chǎn)生，深刻影響我國的金融行業(yè)和互聯(lián)網(wǎng)行業(yè)。［4］李洪心對第三方支付行業(yè)的風(fēng)險應(yīng)建立健全的監(jiān)管法律體系，以商業(yè)銀行的監(jiān)管要求來控制第三方行業(yè)的風(fēng)險，建立類似商業(yè)銀行存款保證金政策等。［5］郭明他認為第三方支付機構(gòu)是準金融機構(gòu)，會存在如同金融機構(gòu)一樣的風(fēng)險，并建議監(jiān)管機構(gòu)應(yīng)該監(jiān)督第三方支付流動性和信用風(fēng)險。［6］國外一些學(xué)者對第三方支付的行業(yè)發(fā)展、監(jiān)管主體、支付風(fēng)險、消費者權(quán)益保護以及數(shù)據(jù)安全標準等方面進行了相關(guān)研究，研究成果主要集中在第三支付行業(yè)發(fā)展對社會和經(jīng)濟的意義、第三方支付行業(yè)的監(jiān)管定位和第三方支付行業(yè)的風(fēng)險管理等方面。DanJKim對eBay公司進行了深入的研究，論證了PayPal的支付服務(wù)對經(jīng)濟和社會的積極意義。［7］CindyClaycomb論證了第三方支付行業(yè)發(fā)展對國家工業(yè)市場的積極意義。［8］CeceliaKye研究了歐盟范圍內(nèi)的第三方支付市場，歐盟將第三方支付企業(yè)定性為電子貨幣機構(gòu)，歐盟的監(jiān)管部門要求第三方支付企業(yè)遵循審慎監(jiān)管原則，對第三支付機構(gòu)進行界定與監(jiān)管。［9］SarahJHughes等介紹了美國各州對儲值類第三方支付機構(gòu)的最新法律法規(guī)，并介紹和分析了美國部分州監(jiān)管部門的監(jiān)管實踐和訴訟案例。［10］RichardJSullivan考察了零售支付行業(yè)的最新狀況和面臨的風(fēng)險，分析和反思了政府針對非銀行支付服務(wù)提供者設(shè)立的監(jiān)管體系，并且建議監(jiān)管者為了控制零售支付系統(tǒng)的風(fēng)險而提出特殊的監(jiān)管政策，要進一步關(guān)注零售支付系統(tǒng)內(nèi)外的信息一致、外部環(huán)境和支付機構(gòu)適配的問題。［11］國內(nèi)外學(xué)者們對第三方支付行業(yè)的研究成果主要集中在經(jīng)濟學(xué)、金融學(xué)和法學(xué)等學(xué)科領(lǐng)域，對第三方支付行業(yè)的監(jiān)管建議是制定相應(yīng)的法律法規(guī)，審核第三方支付企業(yè)的準入資格，第三方支付機構(gòu)的風(fēng)險管理，包含沉淀資金管理以及反洗錢風(fēng)險等方面，使第三方支付機構(gòu)健康發(fā)展，進而為國家的經(jīng)濟、社會產(chǎn)生積極貢獻，但是對第三方支付市場在有效保護用戶信息安全、第三方支付機構(gòu)網(wǎng)絡(luò)信息安全技術(shù)標準等方面的研究較少，更缺少從信息安全角度對第三方支付市場的監(jiān)管政策進行系統(tǒng)性研究，因此，本文針對性提出我國第三方支付市場信息安全監(jiān)管的目標、機制和政策，并嘗試建立一套我國第三方支付市場信息安全效果評估指標體系。

二、監(jiān)管目標：確保穩(wěn)定、有效和公平的第三方支付市場

監(jiān)管部門應(yīng)對第三方支付市場信息安全實施有效、可持續(xù)的監(jiān)管，才能對其發(fā)展中的各類風(fēng)險和隱患進行及時的監(jiān)控和防范，同時有效的監(jiān)管還應(yīng)能持續(xù)促進產(chǎn)業(yè)的不斷創(chuàng)新和長期良性發(fā)展，即保證第三方支付機構(gòu)既能在網(wǎng)上支付市場合規(guī)經(jīng)營，切實履行保護客戶信息安全義務(wù)，又能通過行業(yè)創(chuàng)新和有序發(fā)展促進整個互聯(lián)網(wǎng)金融健康成長、社會公共安全平安穩(wěn)定。監(jiān)管部門對第三方支付市場信息安全實施有效監(jiān)管的目標在于第三方支付市場的穩(wěn)定、有效和公平。具體包括以下目標：（1）穩(wěn)定目標。即維護第三方支付市場的平穩(wěn)發(fā)展和安全運行。穩(wěn)定目標主要是防范整個第三方網(wǎng)上市場信息安全的系統(tǒng)性、大規(guī)模風(fēng)險。韓國客戶信息大規(guī)模泄漏案件就是電信的系統(tǒng)性信息安全風(fēng)險爆發(fā)，最終導(dǎo)致整個國家的客戶信息認證制度推倒重來，造成的經(jīng)濟損失不可計量，特別對于網(wǎng)上支付等互聯(lián)網(wǎng)業(yè)務(wù)打擊重大。因此，有效實施第三方支付市場信息安全的首要目標就是避免由于第三方機構(gòu)信息大規(guī)模泄漏而出現(xiàn)影響社會公共安全和經(jīng)濟穩(wěn)定運行的系統(tǒng)性風(fēng)險。（2）有效目標。即維護第三方支付市場的公平競爭和持續(xù)發(fā)展。有效目標是指有效的監(jiān)管措施能夠創(chuàng)造一個公平有效的市場環(huán)境，既能有效打擊破壞信息安全的違規(guī)企業(yè)，也能保證不過度監(jiān)管或監(jiān)管成本過高，導(dǎo)致整個市場業(yè)務(wù)創(chuàng)新受到壓制，良性發(fā)展受到限制。（3）公平目標。即維護社會公眾的利益。公平目標主要是提高第三方支付機構(gòu)對個人客戶信息安全保護要求，確保個人對機構(gòu)的合法權(quán)益得到有效保證。在線上支付交易過程中，消費者與第三方支付機構(gòu)相比，明顯處于劣勢地位，第三方支付機構(gòu)掌握著交易規(guī)則，消費者在信息安全保護方面往往處于弱勢地位，其權(quán)益不易受到保障。因此，公平監(jiān)管的目標就是消除第三方支付市場由于信息不對稱或其他天然原因給個人客戶帶來的不公平和利益受損。

三、監(jiān)管機制：以央行為主，多方協(xié)調(diào)的強制監(jiān)管介入

第三方支付發(fā)展創(chuàng)新迅速，相關(guān)客戶信息安全規(guī)范監(jiān)管勢在必行。在我國，對于支付結(jié)算這類資金業(yè)務(wù)，必須由中國人民銀行承擔(dān)主要的監(jiān)管任務(wù)。第三方支付企業(yè)和機構(gòu)屬于非銀行金融機構(gòu)，即公司性質(zhì)金融機構(gòu)，它是銀行業(yè)務(wù)的延伸和發(fā)展，中國人民銀行應(yīng)承擔(dān)主要的監(jiān)管職責(zé)。由于第三方支付業(yè)務(wù)利用了大數(shù)據(jù)和云計算等先進技術(shù)，并構(gòu)建于移動互聯(lián)網(wǎng)、互聯(lián)網(wǎng)基礎(chǔ)之上，所以，互聯(lián)網(wǎng)金融監(jiān)管需要形成監(jiān)管合力，利用“大金融”理念來統(tǒng)籌多部門協(xié)調(diào)監(jiān)管，僅有央行的監(jiān)管遠遠不夠，第三方支付行業(yè)應(yīng)積極采取行業(yè)自律的手段，通過建立行業(yè)監(jiān)管協(xié)會，并制定行業(yè)規(guī)范，從而更好地促進第三方支付行業(yè)的健康發(fā)展。目前，對于第三方支付的研究都提出了各自關(guān)于監(jiān)管主體的設(shè)想。中國人民銀行對第三方支付機構(gòu)的企業(yè)性質(zhì)、企業(yè)注冊資本金、機構(gòu)存在的風(fēng)險監(jiān)控、機構(gòu)的審批程序等方面作出了相應(yīng)規(guī)定。實際上，第三方支付的業(yè)務(wù)是一個綜合性業(yè)務(wù)，會涉及到很多方面，包括金融服務(wù)業(yè)務(wù)，對網(wǎng)絡(luò)的運營業(yè)務(wù)等方面，如果只是根據(jù)第三方支付的單一業(yè)務(wù)功能去確定它的監(jiān)管者是片面的，特別是信息安全涉及工信部、公安部、工商行政管理總局等部門職責(zé)管轄范圍，因此第三方支付的某些業(yè)務(wù)會受到上述監(jiān)管機構(gòu)的監(jiān)管，如表1所示。因此，對信息安全的監(jiān)管不能只靠一個監(jiān)管機構(gòu)進行監(jiān)管，建議構(gòu)建以人民銀行為主導(dǎo)，工信部、公安部、銀監(jiān)會、工商行政管理總局等部門為輔的多層次第三方支付市場信息安全監(jiān)督管理機制。

四、監(jiān)管政策：制定覆蓋制度、管理的監(jiān)管規(guī)范

（一）引入第三方評估機構(gòu)實行外部評估并定期匯報。第三方支付市場信息安全涉及到很強的專業(yè)性，第三方支付市場融合了金融和互聯(lián)網(wǎng)兩個行業(yè)，而且還具有復(fù)雜、動態(tài)、易擴散、高風(fēng)險的信息安全特征。第三方支付行業(yè)事關(guān)金融安全、個人財產(chǎn)安全和社會公共安全，不能僅靠第三方支付企業(yè)或行業(yè)自律解決，而政府監(jiān)管部門只能在這些專業(yè)領(lǐng)域提供框架性的指導(dǎo)政策，所以引入專業(yè)、獨立和權(quán)威的第三方評估機構(gòu)就非常必要。獨立的第三方檢測機構(gòu)對第三方支付企業(yè)的信息安全進行合法性、合規(guī)性檢查。在選擇第三方評估機構(gòu)時，要注意確保獨立的第三方評估機構(gòu)與“第一方”-監(jiān)管機構(gòu)和“第二方”-第三方支付機構(gòu)不具有任何行政隸屬關(guān)系，也不具有任何利益關(guān)系，在檢查中要體現(xiàn)過程透明，結(jié)果客觀。獨立的第三方評估對第三方支付機構(gòu)的信息安全實行外部評估，出具具有公信力和真實性的評估報告，并向監(jiān)管部門報送報告，監(jiān)管部門對第三方支付機構(gòu)的信息安全進行及時糾正，也便于第三方支付機構(gòu)針對性地進行查漏補缺，提高第三方支付機構(gòu)的信息安全等級，避免信息安全事故的發(fā)生。除了引入第三方評估機構(gòu)實行外部評估外，還需要第三方支付機構(gòu)定期從內(nèi)部進行自查自檢，并將信息安全風(fēng)險管理報告報送給監(jiān)管部門，信息安全風(fēng)險管理報告主要包括以下內(nèi)容：一是將第三方支付機構(gòu)可能存在的風(fēng)險事項和運行情況及時報送給監(jiān)管部門，如果發(fā)現(xiàn)信息安全風(fēng)險管理存在問題，需要及時報告現(xiàn)狀、問題及解決方案，有改善建議的，可以向監(jiān)管部門提出信息安全改善工作建議，并尋求監(jiān)管部門的幫助和指導(dǎo)，將風(fēng)險防患于未然。二是第三方支付機構(gòu)要履行向監(jiān)管機構(gòu)上報信息的職責(zé)，如果以后出現(xiàn)問題，支付機構(gòu)可因向監(jiān)管機構(gòu)報送過信息而免于責(zé)任。三是便于監(jiān)管部門對第三方支付機構(gòu)進行監(jiān)管，并配以嚴格的處罰制度，監(jiān)管部門要對執(zhí)行報告制度不到位的機構(gòu)進行評判和處罰，尤其對于瞞報重大信息安全風(fēng)險事件的機構(gòu)要從嚴從重處罰。（二）明確第三方支付機構(gòu)信息安全的管理要求。目前，第三方支付在央行二號令中沒有確切的規(guī)范信息安全管理要和風(fēng)險防范義務(wù)，僅是要求第三方支付機構(gòu)要妥善保管客戶信息資料，不得出賣客戶信息等。建議增加關(guān)于第三方支付機構(gòu)信息安全的管理要求：一是對于我國第三方支付機構(gòu)在信息安全方面因治理缺失、重視不夠、規(guī)劃不足和管理不到位等原因，帶來的系統(tǒng)性風(fēng)險日益集中和擴大的問題，將風(fēng)險管理關(guān)口前移，監(jiān)管機構(gòu)在機構(gòu)、業(yè)務(wù)和首席信息官的準入管理方面，將信息科技準入納入有關(guān)行政許可法規(guī)，確保第三方機構(gòu)在機構(gòu)設(shè)立、業(yè)務(wù)開辦與系統(tǒng)投產(chǎn)之初，就建立符合業(yè)務(wù)發(fā)展需要、支持業(yè)務(wù)安全穩(wěn)定運行的信息科技管理與運行環(huán)境。二是對于涉及到消費者的個人隱私和財產(chǎn)安全的客戶信息，如消費者在進行網(wǎng)上支付時提供的詳細個人信息，應(yīng)制定規(guī)定以規(guī)范第三方支付機構(gòu)查閱消費者客戶信息的權(quán)限和保密義務(wù)，第三方支付機構(gòu)如果沒有盡到義務(wù)則應(yīng)承擔(dān)法律責(zé)任，嚴格確定隱私范圍，并要確定哪些機構(gòu)有權(quán)查看消費者的隱私信息，哪些機構(gòu)無權(quán)查看，保護消費者的隱私不受到侵犯。三是對于第三方支付機構(gòu)高層管理人員和員工普遍對信息安全風(fēng)險意識淡薄、重視不夠的情況，一方面要明確要求信息安全管理和系統(tǒng)建設(shè)列入第三方支付機構(gòu)高層管理人員風(fēng)險管理工作，明確公司高層管理人員對信息安全風(fēng)險事件承擔(dān)的責(zé)任。另外，要求第三方支付機構(gòu)日常加強員工的信息安全風(fēng)險管理培訓(xùn)，提升全員對網(wǎng)絡(luò)信息安全風(fēng)險意識和參與風(fēng)險管理的責(zé)任心。四是對于客戶信息違法的行政處罰偏輕，及缺乏明確的處罰責(zé)任，違法成本偏低的情況設(shè)置不同程度罰款的行政處罰，甚至對于大范圍和數(shù)據(jù)極大的信息泄漏風(fēng)險事件處罰之外還要責(zé)令第三方支付機構(gòu)停業(yè)整改，即加大違規(guī)行為處罰力度。從系統(tǒng)存在漏洞、信息泄露以及導(dǎo)致資金損失的行為，對其高級管理人員及直接責(zé)任人進行處罰。從信息監(jiān)管的角度考慮，有必要設(shè)定行政處罰且要設(shè)定具有足夠威懾力的行政處罰，如果行政處罰的威懾力不足，則起不到監(jiān)管的作用，很難發(fā)揮法律法規(guī)的作用。因此，應(yīng)該合理地設(shè)置第三方支付機構(gòu)法律制度中的行政處罰條款，真正實現(xiàn)監(jiān)管的目的。五是明確要求第三方支付機構(gòu)制定信息安全風(fēng)險事件應(yīng)急預(yù)案和提取信息安全風(fēng)險補償金。制定信息安全風(fēng)險事件應(yīng)急預(yù)案，以確保在即便出現(xiàn)嚴重的系統(tǒng)癱瘓、網(wǎng)絡(luò)攻擊、客戶信息泄漏以及群體性輿情事件的情況下，能夠有完整的應(yīng)對措施和準備手段，防止風(fēng)險進一步擴散惡化，最大程度減少機構(gòu)和客戶損失，并能夠及時恢復(fù)正常運行和交易。近年來，經(jīng)常發(fā)生的案件是第三方支付平臺網(wǎng)絡(luò)客戶賬戶登錄名及密碼被盜所導(dǎo)致的財產(chǎn)損失，由于線上支付環(huán)境很難界定客戶和第三方支付機構(gòu)各自的責(zé)任，因此，第三方支付機構(gòu)應(yīng)根據(jù)線上支付交易規(guī)范和風(fēng)險概率發(fā)生情況，提前建立信息安全風(fēng)險補償金，對上述情況難以認定責(zé)任的客戶在第一時間給予資金賠付。建議第三方支付機構(gòu)建立客戶先行賠付機制，引入保險公司對網(wǎng)上交易風(fēng)險補償，切實保護客戶財產(chǎn)和客戶信息，提高網(wǎng)絡(luò)用戶對第三方支付平臺安全性的信任度。六是規(guī)范信息安全風(fēng)險管理機制，做到事前預(yù)防、事中控制、事后治理的全過程控制。事前預(yù)防：制定分級管理制度，對涉及信息安全的人員制定不同的訪問權(quán)限，還有不同的數(shù)量控制。制定監(jiān)督檢查機制，從管理層面入手對第三方支付信息安全涉及的各個部門進行監(jiān)督管理，規(guī)范交易流程。加大網(wǎng)絡(luò)信息安全的宣傳力度，提高用戶的自我安全保護意識，加強對相關(guān)工作人員的專業(yè)性培訓(xùn)，減少因操作失誤引起的信息安全風(fēng)險。事中控制：建立風(fēng)控管理平臺，設(shè)定關(guān)鍵風(fēng)險指標并實時采集，對小額多次、短時異地、頻繁交易等異常交易進行預(yù)警，并根據(jù)預(yù)警信息及時做好風(fēng)險評估及風(fēng)險應(yīng)急處理方案，有效監(jiān)控并防范重要風(fēng)險。并對過程實行風(fēng)險監(jiān)控，定期審查系統(tǒng)和數(shù)據(jù)，對系統(tǒng)日志、系統(tǒng)維護記錄、系統(tǒng)報警記錄、違章報告、數(shù)據(jù)的操作記錄和下載記錄等進行審查，發(fā)現(xiàn)問題及時上報。對關(guān)鍵崗位的工作人員按照人員審查標準進行定期審查。事后治理：風(fēng)險事件過后，組織專門小組對風(fēng)險進行分析、總結(jié)和記錄，制定風(fēng)險預(yù)防措施，建立風(fēng)險記錄檔案，并及時彌補現(xiàn)有系統(tǒng)漏洞，升級病毒庫文件。（三）實施差異化監(jiān)管，加大對重點機構(gòu)信息安全檢查和披露。我國第三方支付市場呈現(xiàn)寡頭集中現(xiàn)狀，雖然我國第三方支付企業(yè)較多，但是主要業(yè)務(wù)集中在幾個大型支付企業(yè)中。在監(jiān)管實施過程中，通過差異化分級分類管理第三方支付機構(gòu)，篩選出支付寶、財付通等占據(jù)重要市場份額和具有較大影響力的支付機構(gòu)，將其列為重點支付機構(gòu)，與其他非重點支付機構(gòu)實行差異化監(jiān)管。差異化監(jiān)管的實質(zhì)是總體上投入更多的監(jiān)管資源，引入更加嚴格的監(jiān)管標準，但是對于重點支付機構(gòu)又實行與其他支付機構(gòu)差別化的監(jiān)管標準。1.明確重點支付機構(gòu)的確立原則根據(jù)市場上的各種可能因素如市場份額、涉及工作范圍等因素設(shè)計評分標準，對機構(gòu)按照設(shè)定的評分標準進行打分，按照得分高低情況評出重點支付機構(gòu)，重點進行管理。加強監(jiān)管第三方支付構(gòu)可以采取實地檢查與報告檢查相結(jié)合的方法。對于重點支付機構(gòu)，最好采用實地檢查的方法，而且檢查頻率要高，如果采用報告檢查的方法，則要求報告盡量詳細，對報告必須包含的內(nèi)容要有明確的要求，根據(jù)報告的內(nèi)容，結(jié)合以往的經(jīng)驗，可以發(fā)現(xiàn)第三方支付機構(gòu)市場中存在的一些涉及信息安全的問題。2.制定更加嚴格的監(jiān)管標準監(jiān)管重點支付機構(gòu)在現(xiàn)在普遍適用的監(jiān)管規(guī)則上，要結(jié)合重點支付機構(gòu)尤其構(gòu)成壟斷寡頭的個別幾家支付機構(gòu)的業(yè)務(wù)特征，制定更加嚴格的監(jiān)管標準。監(jiān)管部門要建立監(jiān)管系統(tǒng)，可以實時監(jiān)控重點第三方支付機構(gòu)，掌握重點第三方支付機構(gòu)的營業(yè)狀況，有效防范客戶信息系統(tǒng)風(fēng)險防控問題和支付機構(gòu)不如實上報業(yè)務(wù)情況。處理違規(guī)情況，不能僅僅依靠行業(yè)自律，應(yīng)該提高規(guī)則制度的威懾力、加大懲處力度，對違反《管理辦法》的機構(gòu)高管和直接責(zé)任人員相應(yīng)施以處罰，提高違規(guī)的經(jīng)濟成本和社會成本。對于通過違規(guī)非法謀取利益的，應(yīng)該提高罰款金額，若仍未悔改者，則應(yīng)該命令其立即停止營業(yè)，防止別的行內(nèi)機構(gòu)效仿。3.對運營良好的重點支付機構(gòu)給予一定的監(jiān)管激勵不僅要對違規(guī)機構(gòu)進行處罰，對于運營良好的重點支付機構(gòu)要給予一定的監(jiān)管激勵，例如對于那些歷史上沒有發(fā)生過信息安全風(fēng)險事件的重點支付機構(gòu)，對內(nèi)控制度完善、產(chǎn)品設(shè)計和業(yè)務(wù)流程符合規(guī)范的重點支付機構(gòu)、及時報告信息且信息真實的重點支付機構(gòu)、央行在實地檢查和報告檢查中都沒發(fā)現(xiàn)什么問題或者問題特別少的重點支付機構(gòu)等，可以給予正向的監(jiān)管激勵。比如，允許運營良好的支付機構(gòu)在經(jīng)監(jiān)管部門同意的前提下安全、靈活運用客戶備付金，并適度放松對客戶備付金和自有資本金存管的要求，提高其企業(yè)信用度，或者可以安排運營良好的重點支付機構(gòu)進行新業(yè)務(wù)或者新產(chǎn)品試點等。

五、效果評估：建立第三方支付信息安全情況評估指標體系

（一）指標體系設(shè)計的依據(jù)和原則。監(jiān)管部門或行業(yè)協(xié)會組織應(yīng)對第三方支付機構(gòu)建立一套統(tǒng)一的行業(yè)信息安全標準和評價指標，明確自身在信息安全管理和系統(tǒng)建設(shè)方面的義務(wù)和責(zé)任，對問題和風(fēng)險實行定量評估和指標管理，發(fā)現(xiàn)信息安全風(fēng)險關(guān)鍵點和隱患。指標體系建設(shè)可督促第三方支付機構(gòu)切實落實監(jiān)管政策各項要求，也便于定期公布對比各第三方支付機構(gòu)信息安全管理等級，使行業(yè)風(fēng)險管理更加嚴謹細致和科學(xué)合理。（二）第三方支付機構(gòu)計算機系統(tǒng)安全運行率指標。計算機系統(tǒng)安全運行率=一年內(nèi)系統(tǒng)安全運行實際天數(shù)/365天。計算機系統(tǒng)安全質(zhì)量：按照一年內(nèi)生產(chǎn)事故數(shù)量劃段評估，數(shù)量越少質(zhì)量越高。該指標衡量第三方支付機構(gòu)計算機系統(tǒng)安全運行的持續(xù)能力和質(zhì)量。（三）第三方支付機構(gòu)網(wǎng)絡(luò)信息安全標準達標率指標。網(wǎng)絡(luò)信息安全標準達標包括：網(wǎng)絡(luò)線路的暢通，路由設(shè)備的安全配置，網(wǎng)絡(luò)安全類防病毒軟件的安裝、升級和審計防火墻的訪問配置，審計專用網(wǎng)絡(luò)的隔離和訪問控制等，根據(jù)上述內(nèi)容評分得到指標。（四）第三方支付機構(gòu)客戶信息泄漏率指標。客戶信息泄漏指標=發(fā)生客戶信息外泄的數(shù)量/該機構(gòu)所有客戶信息數(shù)量?？蛻粜畔⑿孤┌讣墑e：按照不同客戶信息外泄數(shù)量對應(yīng)等級，數(shù)量越大等級越高。（五）第三方支付機構(gòu)網(wǎng)上交易欺詐率指標。網(wǎng)上交易欺詐比率指標用來衡量支付機構(gòu)支付業(yè)務(wù)風(fēng)險控制能力。監(jiān)管機構(gòu)可以設(shè)定一個允許網(wǎng)上交易欺詐比率指標的最大值，若支付機構(gòu)的網(wǎng)上交易欺詐比率的值超過這個最大值，則說明這個支付機構(gòu)的經(jīng)營不合法，需要進行整改，監(jiān)管機構(gòu)可以處罰這個支付機構(gòu)，根據(jù)超過最大值的程度確定支付機構(gòu)的違規(guī)程度，對其實施相應(yīng)程度的處罰。而對于有些支付機構(gòu)，該指標數(shù)值較小，比如支付機構(gòu)具有完備的風(fēng)險控制措施，不拓展賭博、洗錢等非法商戶，在拓展商戶方法進行嚴格審核，在信息安全方面具有較強的能力、可保障支付安全、客戶資金安全，對于這類支付機構(gòu)，則該指標數(shù)值較小。

六、結(jié)語

本文旨在提出第三方支付市場信息安全監(jiān)管的目標、機制、政策和效果評估等政策設(shè)計建議。首先明確了有效監(jiān)管的目標：確保第三方支付市場的穩(wěn)定，有效和公平；為了實現(xiàn)監(jiān)管目標，需要明確監(jiān)管主體和職責(zé)范圍，提出以央行為主，多方協(xié)調(diào)強制監(jiān)管介入的監(jiān)管機制，多個監(jiān)管部門一起承擔(dān)監(jiān)管責(zé)任，一起對第三方支付機構(gòu)的信息安全進行監(jiān)管，發(fā)揮多部門聯(lián)合監(jiān)管的系統(tǒng)化治理作用；提出了引入第三方評估機構(gòu)實行外部評估并定期匯報、明確第三方支付機構(gòu)信息安全的管理要求、實施差異化監(jiān)管，加大對重點機構(gòu)信息安全檢查和披露等多個方面的政策措施。最后提出監(jiān)管效果的評估指標體系，使用具體的數(shù)據(jù)量化地衡量監(jiān)管效果。

作者:危懷安 李松濤 單位:華中科技大學(xué)公共管理學(xué)院