2019年4月

首頁 > 財經快訊

Responsive image

2019 年 4 月–第三方支付之風險管理控制分析


第三方支付之風險管理控制分析

一、前言

鑒於電子科技發展日新月異,新興科技之應用已逐漸改變支付模式與型態,除傳統由銀行等金融機構提供支付服務外,為因應電子商務及小型或個人商家之支付需求,藉由網路資訊或通信技術之運用,以網路電子支付平臺為中介,參與支付服務之提供,形成一般所稱「第三方支付服務」之新興支付型態,其業務範圍自單純以實質交易為基礎所從事之代理收付款項,逐漸衍生至預先吸收社會大眾資金之儲值及非基於實質交易之資金移轉等需求;且伴隨行動電話或其他可攜式設備之普及,支付服務發展趨勢,亦由網路(線上)交易之支付,延伸至實體通路(線下)交易之支付,第三方支付機構之業務項目有參酌國外法令規範,比照開放收受儲值款項及無實質交易資金移轉,並包含實體通路交易之支付服務型態(即 O2O,Online To Offline)與跨境支付業務。容許兼營電子票證業務,並得對於經主管機關核准代理收付款項之金融商品或服務,提供支付服務。為因應業務發展趨勢及鼓勵業者積極創新,保留主管機關未來開放其他相關支付服務之空間,以符合業者需求及國際發展趨勢。

鑒於電子支付機構經營相關業務,無論係向社會大眾收受儲值款項、保管或移轉支付款項等,均涉及大量金流處理,必須具備專業之業務經營能力、健全之財務狀況、完善之資訊安全管理及妥適之風險控管措施等,故要求電子支付機構應具新臺幣五億元之最低實收資本額,俾於一定之資力基礎下,維持業務之穩定與安全運作,保障社會大眾權益。但僅經營第三方支付機構管理條例第三條第一項第一款業務者之最低實收資本額為新臺幣一億元(註1)。另衡酌實際業務需求,適度規範收受儲值款項與電子支付帳戶間款項移轉之限額,並考量未來經濟發展情況變遷之可能,授權主管機關洽商中央銀行依經濟發展情形調整之。復為合理控管電子支付機構作業風險及防制洗錢,授權主管機關得洽商中央銀行就電子支付機構經營業務之交易金額予以適當限制。目前專營之電子支付機構收受每一使用者之新臺幣及外幣儲值款項,其餘額合計不得超過等值新臺幣五萬元。專營之電子支付機構辦理每一使用者之新臺幣及外幣電子支付帳戶間款項移轉,每筆不得超過等值新臺幣五萬元。上項額度得由主管機關洽商中央銀行依經濟發展情形調整之。

二、第三方支付之風險管理回顧與文獻分析

第三方支付的威脅與風險,ISACA(2011)在「Mobile Payments: Risk, Security and Assurance Issues」內,闡述許多行動支付生態系統中參與者所面臨之風險。以使用者角度而言,包括身份盜竊、資料披露、重送、攻擊、交易抵賴、欺詐性交易、替換手機而減少其安全防禦程度、隱私侵犯、使用者行為剖析等,皆是常見的風險;以服務提供者的角度而言,則包括DoS攻擊、重送攻擊、內容失竊、 數位隱私、供應商面臨數位版權侵權、內容提供商或商家損失收入、非法轉移資金等風險。另外,Deloitte(2013)曾發表一篇「Mobile Payments Opportunity vs. Risk」文章,除了提出第三方支付風險智能地圖外,亦闡述了幾項第三方支付所面臨之挑戰與風險,包含商業模式的改善、法規遵循、資訊隱私與保護、安全性與舞弊風險(如裝置脆弱性、標籤中的惡意程式、竊取資料、中間人攻擊、財物損失、商譽受損)和新系統設計與施行等。

由於第三方支付是使用行動裝置進行付款的服務,行動裝置之安全性也是必須注意的。ENISA(2010)發表一篇關於智慧型手機安全性之報告書中,即提到智慧型手機安全風險包括:設備失竊所造成的資料洩漏、意外或無心地洩漏資料、智慧型手機攻擊、釣魚式攻擊、間諜軟體攻擊、網路詐騙攻擊、監視攻擊、Diallerware攻擊、財務惡意軟體攻擊、網路堵塞等。

與第三方支付風險相關之內部控制及標準COSO 委員會2013年的更新報告,強化原始架構外且要求組織應具有效內控監督系統的運作,更廣泛地運用內控來協助組織合理確信可有效率達到目標,增加了公司治理概念,加強反舞弊的重要性。COSO 2013新版針對有效之內控需要五大組成要素與對應的17項原則一併考量和運作,第三方支付風險管理稽核機制雛型之發展,以證交所於2015年公布之「內部控制制度有效性判斷參考項目」為基礎,其包含77個稽核要項,考量到於此第三方支付產業環境,企業在面對新興科技時勢必會考慮到更多資訊相關議題,因而我們加入了以COSO 2013為框架整理而得17個內部控制評估項目與158個內部控制稽核要項,作為風險管理與稽核機制雛型,並持續改善(註2)。

三、法律遵行之風險

政府欲藉由強化第三方支付機構及其業務之管理措施及風險控管機制,達成建立民眾使用電子支付之信心、降低小額交易支付成本及營造有利小型與個人商家經營環境之目標。允許辦理跨境支付業務,可產生產業關聯效果,第三方支付業者發展國外業務之金流需求,由第三方支付機構提供支付服務,對於電子商務產業及電子支付服務產業,均可擴大業務經營範圍及規模。符合電子商務企業對消費者(B2C)及消費者對消費者(C2C)之支付服務需求,亦提供企業對企業(B2B)之支付服務需求,有助國內產業之轉型及發展。

為配合第三方支付機構之行政管理與業務監理,主管機關在監理方面避免支付款項遭恣意挪用,規範第三方支付機構動用及運用支付款項之方式,並要求電子支付機構應將支付款項全部交付信託或取得銀行十足履約保證。以確保確保支付款項安全,確保犯罪或不法情事發生時得以有效追查,要求第三方支付機構建立使用者身分確認機制,並留存相關資料及必要交易紀錄,落實防制洗錢。要求第三方支付機構應建置客訴處理及紛爭解決機制,且定型化契約條款之內容,應遵守主管機關公告之定型化契約應記載及不得記載事項,對使用者權益之保障,不得低於主管機關所定範本之內容,保護消費者權益(註3),唯事實上徒法不足以自行,任何法律條文之制定即使已充分參酌當時之主客觀環境之需求,但是日後之金融環境變化太大無法掌控,尤其法律條文死的而人的消費支付金融行為是活的,換言之,它會存在法律遵行之風險,如何確保參與第三方支付行為者們本身,可以保證據實履行攸關第三方支付之法律規定。

例如專營之電子支付機構應建置客訴處理及紛爭解決機制,專營之電子支付機構應確保交易資料之隱密性及安全性,並維持資料傳輸、交換或處理之正確性。專營之電子支付機構應建置符合一定水準之資訊系統,其辦理業務之資訊系統標準及安全控管作業基準,由主管機關定之變更時亦同。專營之電子支付機構就第三條第一項各款業務,利用行動電話或其他可攜式設備於實體通路提供服務,其作業應符合前項安全控管作業基準規定,並於開辦前經主管機關核准,問題是如何真正落實法令之規定,以及是否皆設置有法律之遵行長,來管控第三方支付行為完全遵照法律之規範進行。

四、資訊安全維護之風險

為確保交易資訊安全及健全業務運作,要求第三方支付機構交易應確保交易資料之隱密性及安全性,維持資料傳輸、交換或處理之正確性,並建置適當之資訊系統及符合一定安全控管作業基準,完善資訊安全控管。落實執行防制洗錢金融行動工作組織(Financial Action Task Force)2012年2月發布之防制洗錢打擊資助恐怖主義國際標準第十項建議,有關禁止匿名或明顯利用假名開設帳戶之要求,以確保若有犯罪或不法情事發生時,得以追查交易人,規定專營之電子支付機構建立使用者身分確認機制之義務(註4)。授權主管機關洽商法務部及中央銀行訂定使用者身分確認機制建立方式、程序、管理及該程序所得資料之範圍等相關事項之辦法,固然有利於第三方支付活動之執行,另一方面是否增加參與第三方支付行為者,擔心其個人資訊可能遭致不當之外洩從而引發資訊安全之疑慮風險,對此相關之罰則是否規範到位,同時有踐行實質之考評機制。

財團法人資訊工業策進會產業情報研究所胡自立產業分析師指出(註5):促使消費者不使用第三方支付第三方支付消費地可能原因中,在環境條件方面係認為條件不夠安全,例如會擔心其個人資料與消費之紀錄等遭致外洩、被盜刷、遭重複之扣款,或其手機遭遺失。據財團法人資訊工業策進會產業情報研究所之調查數據顯示,不論是否有使用第三方支付第三方支付工具消費,整體來說有69.1%之受訪者指出第三方支付之環境條件不夠安全,影響整體用戶是否使用第三方支付,其中未曾使用過第三方支付者有63.9%是認為第三方支付之環境條件不夠安全,至於已使用過第三方支付者有22.0%亦認為第三方支付之環境條件是不夠安全地,換言之,上述之調查數據足以彰顯第三方支付環境資訊安全維護之重要性,而此一資訊安全之維護係有賴政府、民官、各方面之參與者共同齊心協力來加以強化重視地。

五、支付載具之風險

長期以來政府主管機關對於產業欲引進使用之技術方法,皆保持中立之看法,不願意表示明確之意見,只有wimax或許是其中之例外,目前中國大陸阿里巴巴關係企業螞蟻金服下之支付寶與騰訊旗下之微信支付均屬IOS/Android作業系統,支付之載具技術系採掃描QR CODE圖碼之方式,繞過銀聯系統從支付寶帳戶支付,但帳戶需先儲值,無須綁定信用卡或金融卡,可將資金存於帳戶中使用,金流系統獨立於銀行體系,軟體內結合應用情境及金融服務,唯曾傳盜用事件安全性較差。Apple Pay則使用IOS作業系統,支付之載具技術系採NFC(近距離無線通訊),以指紋辨識功能系統,及使用一次性之TOKEN代碼,來取代過去常見之信用卡卡號與PIN碼等機制,為傳統信用卡實施之電子化,操作簡單不需要網路,但僅蘋果手機支援,需綁定信用卡或金融卡,透過銀聯系統進行支付,安全性似乎較高(註6)。

在國內方面有中國信託、永豐商銀、玉山銀行等暨其主要事業合作夥伴,於2014年下半年刷卡機(mPOS)鎖定之目標客戶群為保險業者、飯店餐廳業者、快遞業者、零售業者、租車業者、計程車業者、小型商家、道路救援業者等,萬泰銀行和合作夥伴台中慈濟醫院2014年11月則針對一般民眾推出所謂 X 卡,玉山銀行與中華電信及悠遊卡公司等2015年4月亦針對一般民眾推出所謂NFC(近距離無線通訊)手機悠遊聯名卡業務,國泰世華、新光商銀、台北富邦、聯邦銀行、合作金庫等暨其搭配之中華電信、遠傳電信、台灣大哥大等三大電信事業合作夥伴、電子票證公司、聯合國際第三方支付公司等,分別於2014年2月至同年11月間分別針對一般消費者推出OTA(空中傳輸技術)/NFC(近距離無線通訊)等支付載具,台灣銀行、元大銀行、台新銀行、第一銀行、中國信託、國泰世華、合作金庫等暨其主要事業合作夥伴中華電信等,於2013年9月共推信用卡第三方支付平台掃描QR CODE之圖碼(註7),此外尚有採HCE(主機卡模擬第三方支付服務)之第三方支付業者。

上述這些第三方支付所使用之支付載具種類複雜,因每有政府主管機關之官方認證,消費者使用時不無莫衷一是之感覺,事實上任何一種第三方支付之載具本身,均會面臨個資之隱私以及資料可能外洩之風險問題,此一支付載具之風險對於使用第三方支付之消費者之信心造成相當之影響。政府主管機關宜建立便利安全的第三方支付環境,並統合發展所需的技術系統、推動第三方支付服務模式創新、導入高階資安認證、提升第三方支付服務供應鏈體系經營能力,並建構第三方支付服務產業發展所需之法制及經營環境,漸少使用者因支付載具不同所帶來之消費使用風險,提升消費使用者對第三方支付產業之運作信心。

六、競爭併購之風險

金融監督管理委員會銀行局預估第三方支付機構管理條例實施後,預估下半年應該會有10家第三方支付業者提出申請,目前已有聯合國際第三方支付公司、台灣第三方支付公司、群信科技第三方支付公司等國內三大第三方支付平台,以及遊戲橘子、歐付保、智付寶、網路家庭,數十家以銀行金融為主體導向運作之兼營第三方支付機構業者,以及法律規定現有電子票證業者、中華郵政股份有限公司等依法律規定可以轉化做第三方支付業者等,合計恐有數十家之多,然而以中國大陸經濟體之巨大規模而言,其第三方支付市場在沒有銀行等金融機構搶奪分食之有利條件發展之下,以其第三方支付市場實績經驗規模顯示,亦不過培養孕育了銀聯卡支付系統、阿里巴巴體系下之支付寶支付,、騰訊下之微信支付等七至八家第三方支付業者,未來會有外商之Apply Pay 及 Samung Pay等第三方業者之加入,為總家數尚比我們金融監督管理委員會銀行局預估地少,事實上以台灣淺碟式一窩蜂投入之經濟體規模而言,顯然未來在台灣第三方支付市場上可易存活之第三方支付業者將不如想像之多,如何規劃調適調整發展之重點面向重要,因此未來如何分工有效發揮既競爭又合作之正面關係,頗受全體第三方支付商務市場交易者之關注,政府相關主管機關之立場當然是以公開公平透明客觀中立地態度,讓第三方支付、第三方支付業者進行公平之市場競爭(註8),換言之未來國內第三方支付、第三方支付業者有可能面臨合併與併購之問題,此為未來第三方支付業者面對之競爭併購之風險,政府主管機關宜未雨綢繆,以免浪費國內有限之經濟資源。

七、社會博弈之風險

第三方支付機構經營及發展,提供民眾安全便利之資金移轉服務,降低小額交易支付成本及營造有利小型與個人商家經營環境之目標,再透過社群網路之連結,使得使用者在小額支付之分攤,彼此禮儀支付之處理迅速又正確,社會支付之效益效率顯著提升,其次第三方支付經由辦理跨境支付業務,產生產業關聯效果,第三方支付商務企業對消費者(B2C)及消費者對消費者(C2C)之支付服務需求,亦提供企業對企業(B2B)之支付服務需求,有助國內上下游相關產業之轉型及發展(註9)。但是利之所在弊亦叢生,人類社會之道德風險並不會因為新興網路科技之發達而有所減少,以第三方支付成長最為快速活耀地中國大陸來說,第三方支付在年節時固然可用以發放紅包支付禮金,但是也有人將第三方支付模式作為彼此無遠佛屆虛擬聚集賭博之新興工具,群主莊家參與搶紅包尚可抽佣,搶紅包金玩法看似公平,賭客參與群組幾乎輸多贏少,甚而出現群組莊家蓄意連結,可能出現詐賭欺騙之情形,形成新的網路詐財犯罪行為,而警方治安單位對與此種藉第三方支付之詐賭欺騙行為,事前無法預防事後不易偵辦造成社會問題,欲達人贓俱獲之直接積極證據恐不簡單,不無形成社會博弈風險之可能,政府有關主管機關、第三方支付產業及業者應共同研思因應之對策。

八、退場機制之風險

第三方支付機構累積虧損逾實收資本額二分之一者,應立即將財務報表及虧損原因函報主管機關。主管機關對支付機構,得限期令其補足資本,或限制其業務;第三方支付機構未依期限補足資本者,主管機關得勒令其停業(註10)。第三方支付機構因業務或財務顯著惡化,不能支付其債務或有損及使用者權益之虞時,主管機關得通知有關機關或機構禁止該第三方支付機構及其負責人或職員為財產移轉、交付、設定他項權利或行使其他權利,或函請入出國管理機關限制其負責人或職員出境,或令其將業務移轉予其他第三方支付機構。唯如果沒有任何第三方支付業者願意承接,將行成第三方支付機構退場機制之風險,建議參照新修正之保險法規定處理保險業者因經營不善之退場機制做法。

九、結語

第三方支付服務之新興支付型態,利用新科技模式提供民眾安全便利之資金移轉服務,對於促進我國電子商務產業發展與保護消費者權益,具有十分重大效益,但是本文所提及之法律遵行之風險、資訊安全維護之風險、支付載具之風險、競爭併購之風險、社會博弈之風險、以及退場機制之風險等,皆值得政府有關部門推動第三方支付服務為另一新型之兆元產業時,加以適當之考量提出具體有效之因應方案對策,共謀台灣經濟之發展出路。

註 釋

(註1) 請參見 行動支付風險管理稽核機制之研究 謝亞庭 國立中正大學會計與資訊科技研究所 碩士。張碩毅國立中正大學會計與資訊科技學系 教授 中華民國電腦稽核協會期刊 105年11月。

(註2) 請參見 劉耀文 電子支付機構管理與電子商務支付服務發展及管理條例之比較 信用合作季刊 民國104年7月。

(註3) 請參見 劉其昌 落實第三方支付機構之管理繁榮電子商務 台灣銀行家 2015年6月號。

(註4) 請參見 立院財政委員會報告併案審查行政院函請審議「電子支付機構管理條例草案」及委員李貴敏等45人、委員孫大千等25人分別擬具「電子商務支付服務發展及管理條例草案」 立法院議案關係文書 院總第1777號 政府提案第15108號、委員提案第16536號及第17012號之1民國104年1月。

...
中國香港六全集團

Copyright ®六全科技版權所有

會員線上服務:電話 +886 2 2287-3077 傳真 +886 2 2287-3099
   新北市三重區三和路四段103號10樓

www.000webhost.com