巴曙松：网络支付行业风险总体可控

新华08网2月28日讯 27日，在由新华社国家金融信息中心和中国金融台主办的“互联网 新金融——网络支付安全学术研讨会”上，国务院发展研究中心金融研究所副所长巴曙松认为，网络支付行业总体风险是可控的。未来中国网络支付安全的关注点之一是网络支付安全和效率的关系。

国务院发展研究中心金融研究所副所长巴曙松发表主题演讲 新华08网 陈周阳 摄

巴曙松指出，支付行业的核心是“安全”，网络支付在很大程度上提高了支付效率，但同时它的安全性也始终受到密切关注。

巴曙松认为，网络支付行业总体风险是可控的。经过近十年的发展，国内的互联网的支付企业市场份额比较大的主要的互联网支付企业的安全方面的投入规模非常大，所以使网上支付的安全技术在不断完善，包括Ukey、动态口令、证书、钓鱼网站的实时拦截等等，已经广泛应用。目前一些主流的支付机构总体的风险管理能力是能接受的。

同时，巴曙松认为效率和安全的平衡是移动支付里面的核心，在平衡网络支付安全和效率方面有几个方面值得关注：

第一，风险控制不能牺牲效率和客户的体验，电子商务产业链很长，整个产业链必须高效率配合、分工合作，才能达到销售、分享利润。

第二，通过技术创新解决安全问题。在电子商务产业链成本收入比的公式中，用户交易成本和风险损失并不是单纯的负相关关系，通过安全技术创新可以在不提高用户交易成本情况下降低风险损失。比如大数据的技术创新可以通过意想不到的数据指标验证人的身份。

第三个是安全合作要加强。客户的信息和安全技术分散在产业链的不同环节中，应该鼓励客户信息较多和安全技术水平高的企业以市场化的方式输出安全管理能力，加强产业链合作。

以下为演讲实录：

巴曙松：谢谢主持人，非常荣幸来到新华社参加今天的会议，也很荣誉抛砖引玉，首先让我来发言，玉在后面，我先来介绍一些我们自己跟踪研究了解的一些情况供大家做一个讨论的基础。我想谈三个方面，一个就是网络支付市场发展的基本格局、基本态势；第二个，讨论一下推动中国网络支付发展的主要因素、动力；第三个就是下一阶段，中国网络支付安全的关注点。

从整个网络支付的市场需求来看，整个市场需求的不断扩张成为推动着这个行业快速发展的一个非常大的动力，刚才主持人前面也用了几个数字，我们看到互联网络信息中心1月15号刚发布的第31次统计显示，去年底网民的规模在5.64亿，互联网普及率在42.1%，使用网上支付的用户规模是2.21亿，刚才主持人用了这个数字，使用率是39.1%，跟上一年相比用户增长5389万，增长率32.3%，这是在一个整体上宏观经济回落的背景下实现这样一个增长。刚才说到了需求，2013年1月8号央行周司长这边发放了第六批非金融机构业务的金融许可证26张，累计发牌223张支付牌照，我看到支付清算协会的名单第一个就是支付宝。223张支付牌照里面，不涉及互联网支付、移动支付的有143家，主要就是一些预付卡的发行与受理、银行卡的收单，从事互联网支付、移动支付的有80家，持牌支付机构，可以说是我们的央行和政府监管部门主动适应市场需求去引导、规范、推动的结果。在供求因素之外，我们业务应用也在不断扩展，除了零售、团购网上的购物领域以外，新兴的细分市场不断拓展和深化，保险、基金、非税、高校、跨境支付、交通，包括铁路、公路这些新兴市场不断拓展。我也参加了一些产品的支付方案的讨论设计，白酒交易贵州的，还有是否引入到证券交易领域，对于传统零售业和制造业需求不断的挖掘，为第三方支付市场提供了强劲的业务增长的基础。大家经常用银行卡来比，网络支付市场相比较而言还有很大的发展空间。

我们看到2012年互联网交易的总金额是38412亿元，同比增长70.46%，这个占到全年社会消费品零售总额20.72万亿元的18.54%，我那次到支付宝调研，那一天你们正准备迎接光棍节。全国银行卡它的业务交易规模是210万亿元，是同期互联网支付交易规模的近一百倍，在周司长召集的会上我就说我们银行不能太小气，稍微有点高效率的工具出来恨不得马上通过自己的垄断地位给他挤没了，空间还大。目前我们调研了解的情况来看，市场普遍的观点就是网上支付整体占比逐年增加，在不远的将来有望超过线下支付。今年春节受到一个短信，现在大人带着小孩拜年，小孩也不好意思离开，和长辈也没什么话说，首先问你们家有没有wifi，有的话密码是多少。银联统计的数据显示，2012年银行卡跨行交易总额是21.8万亿元，如果按照这个目标赶上它的话，按这个保守的估计，3-5年内网络交易支付规模至少还有6倍以上的增幅。业界的判断比这些专业咨询机构要乐观。实际上我们走访了一些第三方支付公司，现在目前实际上也没有盈利，为什么还愿意投入，看到未来增长的空间在。手机支付和手机金融成为新的增长点，我本人也是中国移动集团的战略咨询委员会委员，我每次开战略会我就提手机支付、手机金融，随着移动支付技术标准的确立，支付企业在手机支付领域的布局和发力带动了手机网上支付业务的快速增长。2012年，手机网上支付用户达到5531万，用户的年增长是80.9%，使用率是13.2%，各银行年报中披露的手机银行签约的客户数量已经达到1.2亿，增长还挺迅速。电子商务超预期增长，成为我们网络支付市场发展很大的基础。我们看到工信部发布的电子商务十二五发展规划的预计，十二五期间，电子商务的交易额会翻两番，突破18万亿元，网络零售的交易总额会突破三万亿元，这个是个什么比例，是占到社会消费品零售总额的比例也就是刚刚超过9%而已。2012年底各方数据显示，2012年网络支付规模已经超越了电子商务十二五发展规划预测，电子商务超预期的快速增长，预示着网上支付行业发展的空间不断打开。

支付行业的核心，很重要的一点，就像刚才慎总讲的“安全”，网络支付在很大程度上提高了支付效率的同时，它的安全性也始终是各参与方密切关注的一个事情。欧洲央行在它的互联网支付安全建议报告里面强调，当前监管者、立法者、支付服务提供者，以及社会公众的感觉是，通过互联网进行支付，遭受欺诈的概率要高于通过传统支付方式，是不是这样我们用数据来说话。实际上这是感觉，那么国内社会公众也普遍存在着网络支付受欺诈概率比较高的观点，我估计我们在座的记者朋友也有类似的印象。但是从实际数据我们调动的情况来看，消费者的主观的感觉和实际情况之间有着明显的差异。首先我们看整个行业在短短的14年间从零自然增长到2万亿，如果没有一定的风险控制能力，今天我们支付宝的首席风险官也来了，原来也是我们做银行风控的，如果没有这个风险控制能力，没有强大的数据管理能力，这样的一个规模是很难想象的。我现在也在一家上市银行做风险委员会的主席，从到两的数据处理，从风险识别、控制，肯定背后是有它的专业知识支持的。作为一个充分市场化的行业，行业中的发行企业风险管理能力相对比较强的，主体的风险可控，再加上我们监管机构，央行的领导，我觉得总体的评价，行业的风险是可控的。经过近十年的发展，国内的互联网的支付企业市场份额比较大的主要的互联网支付企业的安全方面的投入规模非常大，所以使网上支付的安全技术在不断完善，这个就包括Ukey、动态口令、证书、钓鱼网站的实时拦截等等，已经广泛应用，我自己的体会我们国内的银行业用的比国际的银行还早，我自己差不多在香港待了6、7年，这些银行很晚才用，用U盾、动态密码，这可能和我们信用环境也有关系。我们调研的一些主流的支付机构，目前来看，总体的风险管理能力是能接受的，国内网络支付平均盗卡的欺诈水平在0.01%，包括支付宝在内的主流的支付机构风险水平比这个明显要低，江总你们大概多少？

江朝阳：我们大概十万分之五之下。

巴曙松：国际网络欺诈盗卡大概在1-2%，甚至有的更高。国际领先的支付企业它的网上支付商户拒付的比例0.27%，包括极少数没有到货的情况。Paypal有庞大的风控团队，很多年发展的风险控制的系统和经验，一万多人里面有一半是做风险管理的，所以它的风险水平是有代表性的。国内和国外的差距一个是业务模式和风险控制手段不一样，还有理念上并不是一味的压低风险，我们做银行也是一样的，是收入和成本之间的平衡。我们大家做银行的是不是零不良是最好的，不一定，金融机构本身就是承担风险获得收益，这是它存在的理由，所以如果它保持在1-2%，但是他能覆盖成本，获得正的收益，也是一个风险收益平衡的概念，而且这个时候成本也不是消费者，还是这些支付的企业，所以一定比例下的风险容忍度有助于鼓励支付机构把支付服务推向一些诚信体系，目前还不是太完善，或者电子程度还不是太高的边远地区，这个也是面临着银行传统金融服务覆盖不到的地方要延伸的话，可能就要对此有一个信息的了解。我看了一下在香港几乎每个人都有好几张八达通，在香港待过一个月的人不用八达通，说明你确实没有融入当地生活，逢年过节谁来了见面礼物就是一张、两张八达通，你说它的技术有多么的高深，出现故障的也比较多，但是它在整个提高支付的效率。

央行及时的监管对行业发挥了积极的作用，央行发布的《非金融机构支付服务管理办法》明确了非金融支付行业的地位级业务属性，设立了行业的准入门槛，从备付金安全、实名制规范、反洗钱与反恐怖融资、支付风险管理、客户权益保护等方面提出了监管要求。二号令出台以后整个行业得到了制度红利，200多家机构拿到牌照，找到更多传统行业合作伙伴，增强了行业的声誉，消费者因为方便、安全的电子服务更放心地使用，行业主体在市场前景的感召下也加大了投入，所以迅速的市场主体开始向行业的纵深拓展，创新服务模式，开拓与传统行业B2B的电子商务流行业解决方案为代表的全新的业务体系。监管主体和市场主体之间的互动，在这一年里面光我自己参与的协会、央行讨论会和我自己的调研和以前相比明显增多。提供的服务从单纯的提供支付服务项解决行业产业链的方向发展、渗透，包括钢铁、物流、基金、保险等等很多领域。随着第三方支付机构快速的发展，监管政策也在不断完善。最主要哪些望山大家可以问央行和协会的领导，比如说存款的办法、支付机构互联网支付管理办法、银行卡收单业务管理办法等等，这几个办法构成了第三方整个业务范围监管政策的基础框架，央行也已经搭建了现场和非现场检查系统、信息报送系统，下一步怎么做，以政策上讲的为准。

四个方面的问题，第一整体的产业链上的安全防范水平参差不齐，从银行端到第三方支付到商户，内部的风险管理、安全防范水平呈现出一个逐渐降低的趋势，持牌的很多种小的，属于生存边缘挣扎的第三方支付机构安全投入有待提高；第二个就是行业的安全联防协作程度有待提高，高风险的客户、商户、IP地址等黑名单共享方面有待加强；第三个，市场主体比较看重的是安全技术的手段，忽视用户安全教育，用户的安全感不足，安全防范意识不够；第四网上支付和电子商务整体的行业的基础设施、外部的环境管理有待加强，业务连续性的保障力还不够。

网络环境也存在着一些潜在的风险，据统计看，植入后门网站激增70%，2012年10月份，中国境内数据统计，中国被植入后门的网站有7366个，比9月份4334个增长了70%，在主要的节假日期间，我们看到监测发现平均每一秒拦截157次购物钓鱼网站的仿冒页面。据监测2010年中国大陆近3.5万个网站被篡改，数量比2009年下降21.5%，但其中被篡改的政府网站高达4635个，比2009年上升了67.6%，2010年被篡改的政府网站的数量占境内被篡改网站数量13.3%。2010年被篡改的政府网站比例是10.3%，1/10这么一个状况。在推动、讨论网络支付发展的主要因素有这几个方面：第一，法制环境，制度的框架建设；第二逐步完善网络的监管法规和相关法律关系，网络支付已经有专门的牌照管理，但实际上还处于多部门监管的状态；第三，我们看到已经颁布的《支付机构预付卡业务管理办法》、《非金融机构支付服务管理办法》，商务部也提出电子商务立法的计划，工信部也表示要加快互联网的管理、网络信息安全等等。

第二个是网络支付产品与服务创新。我们看到在十二五期间互联网支付企业创新的重点是适应移动支付、金融IC卡推广应用等新的发展推广趋势。我们看到中国支付网评选出来2012年中国支付行业十大关键词，移动支付标准、手机刷卡器、刷卡手续费下调，TSM平台，WTO电子支付中国败诉，这个好像后来媒体没怎么宣传，比较配合。后牌照时代、PBOC3.0、银付竞合、O2O、积分支付，所以产品和服务的创新会成为未来网络支付的发展主线。

第三互联网支付的产业链竞合，第三方支付企业直接面向中小企业和个人用户提供服务，在金融服务的创新，在用户服务的体验方面是比银行有优势的，第三方在创新和体验方面的优势为银行电子化支付也带来了一定的压力，虽然现在比例还比较低，对引火的电子化服务提出了更高的标准，我们看到有一些银行业开始日益重视电商、金融平台的建设。银行与支付企业之间有合作，我看也有竞争，也在展开。围绕着支付活动，安全和效率这两个核心，比较亮相的状态我们可以看到，围绕效率的竞争和围绕安全的合作，支付的环境也有积极的作用。欧银行业发布了《互联网支付安全建议》，提出了类似的政策建议，在网络支付安全领域，各参与者之间的相应的行为彼此影响、彼此渗透，共同决定着网络支付安全的整体水平。

第四点网络支付安全的继续强化，随着网络的日益普及，网上银行以及电子商务的广泛应用，网络支付安全日益受到重视，在外部的压力和关注下，强化网络支付安全的步伐不会停滞。我们金融消费者的权益保护和消费者教育工作也在加强，在支付的核心要素中，我们看到一个说法，安全是生命线，效率是成长线，网络支付安全是在内在需求驱动下，互联网支付企业规范发展、参与竞争的内在需要。

最后一点我们讨论未来中国网络支付安全的关注点。

站在互联网支付企业的角度来看，第一的，借鉴、参考欧央行《互联网支付安全建议》中提到的四个原则，三大类的十四项建议；第二个，在继续保持平稳较快发展的同时，网络支付安全的着眼点主要从基础设施、业务管理、资本风险的覆盖、产业链安全合作等方面着手，强化第三方支付机构的系统安全运行和业务风险控制能力，确保网络支付的安全和稳步运行；从支付企业的发布环境来看，着眼点要加大打击网络犯罪的力度，增强跨境网络犯罪的国际合作防控力度，同时打击网络犯罪的主要目标除了避免直接或间接的损失之外，更重要维护整个支付系统的公信度，避免低效率支付工具的复兴；打击网络犯罪需要建立主要的工作机制是预防、侦测和反馈，打击网络犯罪的国际合作机制十分重要。2013年荷兰的海牙也会成立欧洲网络犯罪执法部门，这是我们从欧央行的网站看到的最新的动向，也是一个全球范围内共同关注的一个领域。刚开始的时候谢总特地问，为什么新华社关注这个，我看新华社这个东西写的很好，至少有国际前沿视野，全球都在关注这个问题。从信息安全的角度来看，关注网络支付的数据信息安全，随着信息技术的发展，大量数据的筛选、分析、挖掘、统计利用支付信息的需求和能力将越来越近。支付交易产品或沉淀的数据信息分析会成为未来网络支付领域的一个非常巨大的有商业价值的金矿。我估计我们中国金融信息网机构都会有它的利用价值。站在银行的角度看，大家通常说网络金融的竞争优势在于我们通常的商业银行在二八定律里面关注的是20%，资产负债表比较完备的那部分客户，这些积累的支付交易信息，对银行来说很高评估信用风险的客户，对这些支付企业变成一个课题，实际上很难说和银行之间是直接的竞争，我倒觉得是一个包容式的金融服务，把原来不被传统领域包容的客户包容进来。当然支付交易信息的分析必须要严格遵循数据信息安全的基本规则，切实保护客户的信息。

第四点，安全对国际竞争力的影响。从前瞻性的角度，关注网络支付安全对网络支付国际竞争力的影响。网络跨境支付发展到一定阶段后，游戏规则及安全要求发生了变化。大家非常关注的华为、中兴这些中国的IT企业被美国众议院情报委员会认定为可能会威胁美国国家通讯安全。网络支付是否会遇到、如何避免这些问题，也关乎到中国的互联网企业的国际竞争力。第二个就是国际互连网、银行卡支付机构和组织之间的安全合作也很重要。我今年去泰国用微信摇一摇看有没有当地人用，一摇很多当地人用，所以国际的合作，国际竞争力已经变成一个现实的课题。

第五个网络支付安全和效率的关系。效率和安全的平衡我认为是移动支付里面的核心，过于关注安全会大幅度降低企业的经营效率，给消费者带来不便。忽略了安全同样会给商户、用户、支付企业带来损失。亚洲地区人口稠密、信用体系不太健全，安全投入相应较多，风险控制技术创新也比较领先，适当的允许一定的风险水平，有助于激励企业向风险纵深处探索、创新，研发更加有效的新型安全技术。这个也是，我从银行角度类似的情况，我也在中行待了十年，他们技术人员和我说，招行的一卡通在技术上不算是很好的，在当时，但是他有效率，网点推的快，很快占领市场，边发展边完善这个系统，有的国有银行花了很大的经费投入，开发的信息技术水平很高，得到国家奖励，但是客户用起来很烦，最后业务市场丢失了，我想这个比例用在这里也是一样的。互联网和金融的双重特征下混合型安全与效率目标，就是指，金融特征就是指这些公司有自己的虚拟账户，可以沉淀和流转资金，管理要求很高，容错率很低，100%风险备付，没有杠杆。互联网特征指所处的产业以及提供的服务都是在互联网上进行的，必须符合互联网的产业特点，规模要求、分工协同要求、市场效应要求等等。我看到杂志上讲马云的信贷工厂，这也是以民生银行为代表的，小微金融做的好的金融企业的经验总结。我现在是民生银行的风险委员会主席，我们评估下来，为什么它的不良率控制的不错，小微出现不良的真正的是一些一单单假装做小微的，真正大批量的产业化、规模化的出现违约的很少，所以做小微一定要找到它独特的模式，风险评估控制的模式。现在很多金融机构假装做小微，向做大企业一样，一单单批，以支付宝代表的互联网的企业从不同的方式找到批量、工厂化、组合式管理这样一个路径。

在平衡网络支付安全和效率方面有几个方面值得关注，第一，风险控制不能牺牲效率和客户的体验，电子商务产业链很长，整个产业链必须高效率配合、分工合作，才能达到销售、分享利润。电子商务产业链的效率可以用成本收入比来衡量，单比交易的收入乘以用户关注度乘以下单率，成以支付成功率，分母是商户及支付机构经营成本加用户交易成本加风险损失，用户交易成本是非常关键的变量，传统的金融机构通过增加交易成本减少风险损失，同时降低了交易成功率。外资银行现在在中国还非常的审慎，如果牺牲效率换来了安全，产业链上的收入无法覆盖成本，很快就会在竞争中被淘汰。

第二通过技术创新解决安全问题。在电子商务产业链成本收入比的公式中，用户交易成本和风险损失并不是单纯的负相关关系，通过安全技术创新可以在不提高用户交易成本情况下降低风险损失。现在卖的比较火的书在IT领域是大数据，大数据的技术创新可以通过意想不到的数据指标验证人的身份，快捷支付方式的创新缩短了网络支付验证步骤流程，减少了木马钓鱼的风险，搜索技术和智能监控系统的创新，能够让我们更快速的发现风险并及时进行处理，安全技术创新还可以降低门槛，让更多处于城市边缘的农民工和边远山区的消费者能够在网上放心购物。

第三个是安全合作要加强。客户的信息和安全技术分散在产业链的不同环节中；应该鼓励客户信息较多和安全技术水平高的企业以市场化的方式输出安全管理能力，加强产业链合作，这一点兴业银行是个典型，一说兴业银行大家印象比较深的是同业业务，他们在卖系统的过程中，内部业务流程整合、对接，然后他们合作；中央政府应该鼓励产业链的合作，鼓励安全技术创新，鼓励银行和支付机构的合作，使用新技术，帮助城市的弱势群体，农村地区和边远山区的消费者也能够享受到便捷安全的支付服务。

从未来安全的技术趋势来看，第一个智能的实时防控系统，由机器完成的通过相应规则对交易进行实时筛查的监控系统，我自己有体会，我曾经在香港一家银行，有意把交椅价格输错，他系统识别，电话打过来，问是不是出错了，通过数据分析、挖掘等等建立一整套规则体系，来捕捉异常的或者有风险的操作账户，系统初步筛查，配合人工核查，最终锁定风险交易，控制风险账户，从事后相应转为事中相应，从而提高风险防控效率。第二是大数据在安全方面的应用，体现了信息间的协同，从杂乱无章的数据中发现知识是我理解的所谓的大数据，互联网技术提供了这个可能性，通过手机、电话等等大量的行为状态记录，存储到云端，通过对人的行为的连续性进行综合分析，而不仅仅是通过密码和密钥来分析。

我想就简单的抛砖引玉，给大家汇报这三个方面，讲的不对的地方请大家批评指正，谢谢各位。