一、何为虚拟信用卡
(一)本文所讨论的虚拟信用卡:淘宝异度卡与微信信用卡
本文讨论的虚拟信用卡指的是中信银行和众安在线分别与支付宝、腾讯于2014年3月11日宣布合作推出的网络数字信用卡,前者名为中信淘宝异度支付信用卡(简称“淘宝异度卡”),后者名为中信银行微信信用卡(简称“微信信用卡”)。两类卡片除了名称与发卡渠道不同,其公司合作模式、主要特征与功能都相类似。
以淘宝异度卡为例。根据中信银行3月14日发布的公告[1],在该项金融业务合作中支付宝将利用其实名用户资源,负责为淘宝异度卡提供用户平台服务,包括对支付宝用户的数据挖掘,协助为淘宝异度卡提供用户身份核实及授信支持,以及在支付宝、淘宝平台上进行产品推广和相关支付宝产品功能的开发。而中信银行信用卡中心则会负责淘宝异度卡的资信审核、额度审批、年费政策和标准制定、发卡和卡片运营、风险管理、账务处理、咨询与投诉等相关的金融服务。作为具有互联网保险牌照的保险公司,众安保险将为淘宝异度卡提供相应的信用保险保障服务和大数据支持,并根据业务发展不断提出风险防范优化措施,降低金融风险。
此种卡片的申请需要通过支付宝移动客户端——支付宝钱包在线进行。用户进入到支付宝钱包后,需要首先添加“中信银行信用卡”的服务号,然后在该服务号的窗口内选择“淘宝异度卡”操作,即时申请、即时获准,省去了传统信用卡在线提交申请、网点现场确认、评定额度和寄送等长达一个月左右的申请步骤。
腾讯的微信信用卡与淘宝异度卡大同小异,进入微信“我的银行卡”专区,就可见到申请微信信用卡的入口,在输入姓名、身份证号码、手机号码等真实资料后,即时可以知晓审批结果。[2]对比腾讯的微信信用卡与淘宝异度卡,其区别如下图:
|
对比项目 |
淘宝异度卡 |
微信信用卡 |
|
最低授信额度 |
200元 |
50元 |
|
最高授信额度 |
无上限 |
5000元 |
|
首批发行量 |
100万张 |
50万张 |
|
申请方式 |
支付宝钱包 |
微信——我的银行卡 |
|
使用平台 |
阿里旗下的网站 |
线上及线下微信支付 |
不同于传统信用卡需要线下搜集用户的实名信息、工作收入、家庭财产等资料来决定是否发授信用卡,在虚拟信用卡的发授审核中直接采用用户网络大数据的计算替代了这一环节,由此减少了线下审核所需的人力与时间。不论是淘宝异度卡,还是微信信用卡,其关键都是采用了信用支付的思路,即采用大数据和云计算的方式,根据用户在网络上的交易记录、投资情况、支付习惯、个人信息等,挖掘每一个用户的信用情况,再根据具体的信用等级,提供不同的信用支付额度,在该额度内为用户提供赊账消费。具体来说,支付宝公司在挖掘出上述用户的信用情况后,将针对该用户的虚拟信用卡给出一个200元以上的信用额度,用户在阿里旗下的网站购物时,可以在所给额度内选择该张虚拟信用卡的快捷支付作为结算方式,该笔消费的资金在购物当时由中信银行垫付,并且由众安保险作为还款担保。就还款期限而言,用户在结算后首先会有一个38天的免息期,免息期之后将需要承担一定利率的罚息。
(二)信用支付头一炮:京东白条
事实上,此番推出的虚拟信用卡并不是信用支付思路打出的头一炮。在2014年2月13日,京东商城推出个人消费贷款服务业务,取名“京东白条”。用户通过京东网站页面登陆,在填写真实姓名、身份证号码、银行卡信息等申请材料后,京东将根据用户在京东上的消费记录、配送信息、退货信息、购物评价等数据进行风险评级,得出相应的信用额度,最高1.5万元。[3]拿到该“白条”后,用户在京东网站上的额度消费内,可以选择最长30天延期付款,或者3至24个月分期付款。
“京东白条”的推出,也相当于向用户提供了一张“虚拟信用卡”,为京东用户提供赊账购物的机会。但与上述淘宝异度卡和微信信用卡所不同的是,在运营方面,京东并没有选择与银行合作来进行该项业务,而是使用了自有资金进行周转;在用户使用方面,申请白条首先需要通过京东旗下的网银钱包绑定建设银行、中国银行等10家银行之一发行的信用卡(贷记卡),而最终申请到的白条也只能用来购买京东商城自营商品。如此一来,“京东白条”就好比京东商场自己搞的一个促销手段,针对老顾客、大主顾,给出了赊账或者分期的优惠,而如果到期用户没有返还赊账的金额,京东将有权从用户在申请白条时填写的与账户绑定的银行卡中直接扣减使用信用付款服务应支付的全部款项(包括赊账金额和相应罚息)。[4]
(三)商业模式比较
“京东白条”的运营模式通过主体限制、违约救济等各种方式降低了业务风险,但也因此大大限缩了用户市场。首先,申请白条需要绑定特定银行的信用卡,而支持绑定的银行只有10家,这首先排除了没有这10家银行信用卡、甚至根本没有申请传统信用卡资格的低收入用户(为了弥补这一缺憾,京东又通过“校园白条”拉拢了一部分高校学生业务,即高校学生可以用有效学生证件结合身份证件替代信用卡来申请京东的赊账额度);其次,据实现了绑定、通过实名认证的用户反映,有消费上千仍没有通过白条申请的,有买了一本书便获得白条的,可见审核的标准略有些难以捉摸,这种标准的模糊性直接浇灭了用户尝试申请的兴趣;最后,白条审核大概需要1至2日,虽然与传统信用卡申请相比已快了不少,但毕竟不是即时获准,较虚拟信用卡还是略逊一筹。
相比之下,虚拟信用卡的商业前景似乎更为光明。第一,不同于“京东白条”促进消费的主要功用,虚拟信用卡的商业目的在于使移动支付更快捷,提升支付宝、微信支付的移动支付率。据阿里金融在2013年4月对外公布的数字:在移动端上,用户打开支付宝钱包选择网银付款时,成功率只有38%,如此低的比率很大程度上归结于各银行手机客户端的不给力。虚拟信用卡的出现,就是为了针对性提高移动支付的成功率,使用户在面临一些小额付款的时候跳过银行的界面,而直接使用虚拟信用卡所给予的额度,便捷付款,提升用户体验。第二,不论是面向大众的“普通白条”还是针对高校学生的“校园白条”,都要求用户绑定特定银行的银行卡,而根据阿里相关人士对虚拟信用卡的介绍,虚拟信用卡的申请只需要有实名的支付宝账户,而无需绑定任何的信用卡或者储蓄卡,这又是瞄准了那些担心账户资金安全而不敢轻易在网络上交出银行卡信息的用户。在这样的模式下,他们将果断优先使用虚拟信用卡作为支付手段。
然而,心急吃不了热豆腐。虚拟信用卡为了吸引用户,一味地降低门槛,省去通过绑定银行卡来保证实名认证的环节、完全依赖在线数据即时通过信用卡申请,这些“出格”的举动在引起业界热论的同时更带来了监管部门的注意,以致在正式宣布业务推出后仅三天,虚拟支付卡连同同时期发布的二维码线下支付业务都被央行以内部发文的方式紧急暂停。
二、虚拟信用卡可能存在的风险和问题
(一)消费者权益遭受威胁
在现有的技术条件下,手机、身份证和银行卡同时丢失而导致的风险无法规避,首当其冲会带来伪冒申请(即申请人以恶意侵占为目的,假冒他人身份信息进行信用卡申请并恶意消费或套现的行为)的问题。尤其是在目前个人身份信息非法买卖行为未得到有效遏制的情况下,伴随着虚拟信用卡业务的推广,极易发生因伪冒申请而损害消费者合法权益的事件。在该类事件发生之后,消费者要如何维护自身的损害求偿权、知情权等,目前都缺少明确的理论和实践指引。
其次,一旦虚拟信用卡投入使用,通过阿里巴巴、淘宝、天猫、支付宝以及微信支付的各个平台所获得的数据将大幅度增加。消费者的信息安全、隐私权保护也注定要面临更大的挑战。
(二)反洗钱任务难以执行
随着网络支付手段的兴起,互联网支付很可能成为洗钱和恐怖融资活动的重要阵地。为预防洗钱和恐怖融资活动,央行于2012年3月发布了《支付机构反洗钱和反恐怖融资管理办法》(以下简称“反洗钱管理办法”),要求建立反洗钱和反恐怖融资内部控制制度,确定反洗钱和反恐怖融资组织机构和工作人员。根据《反洗钱管理办法》的规定,支付机构主要需要在客户身份识别、客户身份资料和交易记录保存、可疑交易报告等方面依法履行职责。而现有的虚拟信用卡申领过程简单,使用额度小不易被监控部门察觉,很容易成为犯罪分子借助的手段。如犯罪分子可能利用账户实名的漏洞,通过开设多张虚拟信用卡来进行洗钱活动。
(三)不公平竞争损害传统信用卡利益
虚拟信用卡一旦获准,势必意味着其将适用与传统信用卡相比更为宽松的监管标准。由此,从申请条件、审核程序到利率优惠等各方面,虚拟信用卡都将给信用卡领域带来更好的客户体验。同时,其也存在庞大的潜在客户群和良好的产品推广渠道。据央行的统计数据,截止到2013年末,信用卡累积发卡量方达到3.91亿张,其中国有四大银行占据了近2亿张。而根据支付宝公司2014年2月8日发布的数据,截至2013年底支付宝实名用户已近3亿,手机支付用户超过1亿;[5]微信支付的用户数量也在2014年春节借助“微信红包”和之后对嘀嘀打车的补贴大幅上涨,市场人士在2014年2月给出的预估在2亿左右。拥有如此大量的潜在用户,再加上良好的客户体验,虚拟信用卡在发卡市场的竞争力不容小觑。然而,这种竞争力的差异某种程度上直接源于监管标准的不一致,因此有被质疑存在不公平竞争的风险,传统信用卡的正当利益也将大大受损。
三、为何遭受监管暂停
导致虚拟信用卡业务被紧急暂停的是由央行支付结算司于3月13日向其杭州、深圳两地分支行发出的通知,全称《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》(以下简称“通知”)。《通知》要求立即暂停支付宝、财付通推出的线下条码(二维码)支付与虚拟信用卡有关业务。通知中指出,虚拟信用卡突破了现有信用卡业务模式,在落实客户身份识别义务、保障客户信息安全等方面尚待进一步研究。
通知下发之后,央行负责人在其24日发布的答记者问中进一步明确表示“央行对有关机构拟推出的上述两项业务只是暂停,不是终止”,并且,人民银行将会支持有关支付机构在进一步完善业务流程和规则、保护支付资金安全、切实落实相应的消费者权益保护制度安排等基础上,按照试点先行的原则开办相关业务,以维护支付市场健康有序发展。[6]此外,业界对央行的该举动亦颇多揣测,有的对此举并不感到意外,认为虚拟信用卡此举确实难以保障支付安全;有的则认为此举乃是出于对银联利益的保护,是央行为了让银联有充足的时间来发展NFC支付而作出的缓兵之计。尽管众说纷纭,不可否认的是虚拟信用卡在技术安全、金融实名制、消费者保护等方面的确突破了现有的规则,容易导致相应的风险。关于该业务模式所涉及的相关规则,主要可以从以下几方面进行分析:
(一)网络数字信用卡的合法性
就虚拟信用卡被暂停首先想到的是,“虚拟”信用卡究竟算不算信用卡?网络数字信用卡的存在形式是否合法?根据央行1999年下发的《银行卡业务管理办法》第2条规定,本办法所称银行卡是指由商业银行(含邮政金融机构)向社会发行的具有消费信用、转帐结算、存取现金等全部或部分功能的信用支付工具。在银监会2011年颁布的《商业银行信用卡业务监督管理办法》(以下简称“监督管理办法”)中亦有如下规定,“本办法所称信用卡,是指记录持卡人账户相关信息,具备银行授信额度和透支功能,并为持卡人提供相关银行服务的各类介质。”因此,根据上述规定,要成为一张信用卡需满足如下三个关键要件:(1)商业银行发行;(2)具有消费信用、转帐结算、存取现金等全部或部分功能;(3)具备授信额度和透支功能。并且,从《监督管理办法》中“各类介质”的规定,可见监管部门并不否认以网络数字作为载体的非实体信用卡,“虚拟”的网络数字信用卡属于合法合规的信用卡。事实上,2013年至今,包括中国银行、工商银行在内的若干家银行都已推出了自己的网络数字“虚拟”信用卡(这几家银行推出的虚拟卡都需要挂靠在已有的信用卡账户之下,交易均记入实体卡主账户中,是在用于网络购物的同时保障账户安全的手段)。因此,不论是从立法还是实践的角度,虚拟信用卡以网络数字为介质的特点都不应该是其遭受暂停的主要原因。
(二)与央行相关规定的冲突之处
1、事前未报备
在央行下发的《通知》中提到,“商业银行、支付机构在推出创新产品与服务、与境外机构合作开展跨境支付业务时,应至少提前30日履行业务报备义务”。事实上,根据中信银行内部人士说明,相关业务已经按照《监督管理办法》第28条的规定向银监会报批,手续齐备。但央行宣称,因为其没有向央行履行报备义务,再加上有部分消费者投诉,根据“谁监管谁负责”的原则,央行只能紧急暂停虚拟信用卡的业务。央行另表示,待相关企业做好了风险识别和排查机制,向央行报备,央行会再“开闸放行”。
2、不满足客户身份识别要求
央行对信用卡客户身份识别的要求主要规定在《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会令〔2007〕第2号,以下简称“2号文”)中。根据2号文第33条的相关规定,信用卡的发放需要征集客户的9个要素,即客户的姓名、性别、国籍、职业、住所地或者工作单位地址、联系方式,身份证件或者身份证明文件的种类、号码和有效期限。而在虚拟信用卡的发放环节中,明显缺少对客户住所地、经常居住地的征集与核查,不满足现下的要求。
3、征信阻碍
在申请发卡时,根据《征信业管理条例》第18条的规定,发卡机构要使用征信机构所提供的个人信息,必须获得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。作为一项排除信息主体本人主要权利的格式条款,发卡方难以在全自动发卡的模式下通过合理的方式提请对方注意,因此即便在虚拟信用卡的使用协议中存在征求同意、约定用途的条款,其也应当被判定为无效,发卡方没有使用征信机构所提供的个人信息的正当性。
(三)与银监会相关规定的冲突之处
1、违反“三亲”要求
目前在我国申请一张传统信用卡通常需要经历在线提交申请、银行网点现场确认、评定额度和寄送几个步骤,客户需要在申请材料中填写个人身份、住宅、工作等方面的信息,提交之后选择附近的网点办理现场确认,一般根据收入、资产情况与申请银行不同,普通信用卡申请者会得到一万以内的透支额度。“面签”是信用卡风险管控的关键一步,通过当面审核,可以保证申请人与其身份信息的吻合,确保各项申请材料的真实性。而虚拟信用卡则省去了这一步骤,其“即时申请、即时审核”的发卡模式明显违反了《监督管理办法》第43条“对首次申请本行信用卡的客户,不得采取全程系统自动发卡方式核发信用卡”的规定。与此同时,由于所有的申请过程均在线进行,同样也无法满足《监督管理办法》中关于“三亲”原则的要求,即在发授信用卡的过程中,业务员要亲自访问申请人工作单位、看到申请人亲自签名、业务员亲自核实申请资料,又称“亲访、亲签、亲核”。
2、违规向学生核发信用卡
《监督管理办法》第45条另外规定,在发放学生信用卡之前,发卡银行必须落实第二还款来源,取得第二还款来源方(父母、监护人、或其他管理人等)愿意代为还款的书面担保材料,并确认第二还款来源方身份的真实性。而虚拟信用卡以网络交易记录为信用来源,未严格区分无独立收入的学生与其他工作者。换言之,哪怕父母以子女的支付宝、微信账户进行大宗买卖、投资交易,其子女也很有可能在其家长毫不知情的情况下凭借这些记录申请到信用卡透支额度。这不仅明确违反了条文的规定,也极易给银行带来坏账风险。
3、核心业务不得外包
虚拟信用卡的合规性,可能还存在一个“核心业务不得外包”的问题。《监督管理办法》第71条规定,发卡银行不得将信用卡发卡营销、领用合同(协议)签约、授信审批、交易授权、交易监测、资金结算等核心业务外包给发卡业务服务机构。而在虚拟信用卡的业务模式中,淘宝异度卡的产品推广是通过支付宝、淘宝等阿里的平台来进行的;而微信信用卡则计划通过微信手机端进行体验式营销。可见两款产品都将利用阿里与腾讯的市场影响力来作发卡营销,这与单纯利用中信银行的平台作为营销手段,其影响力的差别是不言而喻的。既然《监督管理办法》将发卡营销作为核心业务,我们也自然将这一点归入违规原因之列。
四、现有监管的合理性探讨
(一)应当明确网络数字信用卡是否合法
目前商业银行发行信用卡主要受到上述已经提过的《银行卡业务管理办法》和《监督管理办法》。其中《银行卡业务管理办法》并非针对信用卡专门而立,而是将各类银行卡业务笼统纳入进行规定,对信用卡牵涉的操作流程、多方权利义务都未作具体规定。因此具体到信用卡的发行管理上,还是要回到银监会于2011年发布的《监督管理办法》。这部规章在严格信用卡市场准入管理、规范信用卡营销管理、加强业务风险管理等方面都作了详细规定,但是对以网络数字作为介质的“虚拟”信用卡却没有给出明确的认定,更没有相关的特殊标准。因此,对商业银行来说,能否发行“虚拟”信用卡其实尚属模糊地带。而对支付机构而言,央行早在2012年1月就起草了《支付机构互联网支付业务管理办法(征求意见稿)》,其中第6条规定“支付机构不得为客户提供账户透支、现金存取和融资服务。”该草案的第三版于今年3月19日在网上流出,名称稍有更改,为《支付机构网络支付业务管理办法(征求意见稿)》,原第6条的规定变至第12条,内容变为“支付机构不得为客户办理或变相办理支付账户的透支和现金存取、以及融资、担保业务”。[7]那么,淘宝异度卡和微信信用卡是否会被监管部门认为是“变相办理支付账户透支”呢?至少,不论是监管部门出于鼓励创新的想法而肯定“虚拟”信用卡的合法性,或者是紧守防范风险的原则一概否决,都应该对新介质下的信用卡是否合法合规做出明确的答复。就作者个人看来,“虚拟”信用卡在本质上并未超出原信用卡的概念范围,在风险管控、发行管理等方面与传统信用卡亦颇多共性,只要因时制宜地就其特殊之处另作规定,在关键程序上把控风险,不失为促进网络消费的良好手段。
(二)“三亲”原则不再必要
虚拟信用卡要实现合法化,势必要打破“三亲”原则。而“三亲”原则可谓是信用卡发行风险管控的重要一关。通过亲自到申请人单位进行身份信息的核实,不仅可以最真实的考察本人的信息真实与工作环境,还可以当面告知所办理信用卡产品的相关信息以及可能牵涉到的权利义务规则;而亲自签名的要求,则是为了确认本人的办卡意愿,防止冒名办卡的行为损害消费者利益;至于亲自审核,主要是保证上门考察的业务员与最终审核发卡的业务员为同一个,这样可以保证材料链条的完整性,尽可能降低因材料审核疏忽而“发错卡”的概率。那么,在虚拟信用卡的情境下,“三亲”原则是否还有存在的必要性?或者说,是否可以采取其他措施来替代呢?
仍旧以淘宝异度卡为例。首先,由于虚拟信用卡的资信审核主要依靠的是用户的网络数据,只要保证申请人的支付账户实名,就可以通过云计算得出申请人的收入水平、消费能力等必要数据,用以替代传统信用卡依靠线下考察所得出的工作情况等信息。那么,支付账户实名是否容易实现?事实上,支付宝一直在循序渐进的发展实名用户。目前,未进行实名校验的支付宝用户只可通过网银付款,不能收款;而只有同时通过身份验证+银行卡验证的用户,才可以使用支付宝提供的理财、保险、贷款等服务。因此,只要虚拟信用卡的申请只针对这些用户开放,保证账户实名是可以实现的。其次,如何在省去“亲签”程序的前提下防止冒名办卡?因为淘宝异度卡只能通过手机客户端申领,那么被冒名的情况最可能是因为手机丢失导致账户被盗。“如果你手机丢了,那你的支付宝就铁定被盗,跟你支付宝绑定的余额宝、银行卡中的资金也都能被轻易转出”[8]。作者亲身体验之后发现,不论是用手机登陆支付宝钱包的应用选择忘记手势密码还是直接通过手机浏览器登陆支付宝网站选择忘记登陆密码,系统都会提供如下四种找回方式:手机校验码+证件号码;手机校验码+安全保护问题;安全保护问题+邮箱;联系在线客服(需要上传身份证件图片)。因此容易因为丢失手机而被陌生人盗取支付宝账户的情况主要可能有手机里事先存了个人身份信息、安全保护问题设置的太简单、手机直接设置了邮件推送等情况,而这些情况其实都可以通过用户个人的小心谨慎(如勿激活手机号登陆功能;独立设置支付宝关联邮箱以区分常用推送邮件的邮箱等)来避免,与此同时支付宝也可以开发设置禁止用手机找回密码、修改密码等技术障碍来防止账户被盗。鉴于支付宝还宣称要将指纹、人脸、虹膜等技术应用于支付当中,相信采取一点技术来替代“亲签”不是难事。最后,“亲核”在虚拟信用卡的情境下原本就没有多大意义,毕竟都是计算机在替代人工审核数据材料。
(三)小结
如前所述,在互联网时代,许多概念都得到了扩充甚至颠覆。“虚拟”信用卡作为以网络数字为媒介的信用支付手段,已经初现端倪,其实用性和便利性也受到普遍认可。因此,对其不论是从认定归属上,还是具体的监管标准上,相关部门都应当作出明确规定。而就其目前所触及的法规红线,我们也应当论证该红线存在的必要性。对于可以依靠技术进步、市场竞争来解决的问题,监管大可放行;而对于牵涉资本市场整体的健康运行、投资人的权利保障等方面的风险控制,相关部门自当紧守红线。
[1] http://vip.stock.finance.sina.com.cn/corp/view/vCB_AllBulletinDetail.php?stockid=601998&id=1315816,2015年2月6日最后访问。
[2]http://www.efinancial.com.cn/index.php/ai-rui-zhuan-lan-cong-xu-ni-xin-yong-ka-bei-jiao-ting-kan-hai-you-na-xie-lei-qu-3.html, 2014年12月20日最后访问。
[3] http://baike.baidu.com/view/12106210.htm?fr=aladdin,2014年12月20日最后访问。
[4] 信用付款(京东白条)服务协议:https://www.wangyin.com/agreements/v1.3/creditpayment.htm,2014年12月23日最后访问。
[5] http://finance.ifeng.com/a/20140208/11610019_0.shtml,2014年12月23日最后访问。
[6]http://www.pbc.gov.cn/publish/goutongjiaoliu/524/2014/20140324115913973173009/20140324115913973173009_.html,2014年12月21日最后访问。
[7] http://finance.sina.com.cn/money/bank/bank_hydt/20140319/181818554837.shtml,2014年12月23日最后访问。
[8] http://www.vojs.cn/2014new/headline/a/tw_content_374.shtml,2015年2月6日最后访问。