这几年,人们不时会在路边、超市、商场附近看到银行的信用卡业务办理点,许多衣着整齐的工作人员以银行工作人员的身份极力热情地劝路人申请办理信用卡。为了吸引客户,他们会选择一些小礼物作为办卡礼品送出,并对申请人作出信用卡年费条件的承诺。申请办卡的人大多以为这些人都是银行的工作人员,其实他们中很多人都是与银行有信用卡业务的外包服务机构的工作人员,其中也有黑中介。
与此同时,不少在使用银行信用卡后逾期未还的用卡人也遭受到了来自名为信用卡讨债公司人员的骚扰。他们并不是以银行的身份出现,而是以讨债公司的名义追讨、催促欠款人还款,其手段可以说是无所不用其极,有深夜打电话骚扰的,有发恐吓信威胁的,有骚扰其家人和亲友的,还有追到单位的,严重干扰了信用卡使用人的正常生活工作秩序。
来自中国人民银行的一组数据从另一个侧面印证了这个潜在市场的存在:截至2009年第一季度末,我国信用卡期末授信总额达10 350.91亿元,同比增长104.3%;增速比2008年经济刚刚开始下行的第二季度还要高,当时信用卡信贷总额为6 931.73亿元,同比增长68.4%。人民银行数据显示,2009年第一季度,信用卡逾期半年未偿信贷总额达49.7亿元,同比增加了133%;占期末应偿信贷总额的3.0%,同比增加0.6个百分点。
为了规范信用卡申请和使用中存在的问题,2009年4月27日,人民银行、银监会等四部委联合下发了《关于加强银行卡安全管理预防和打击银行卡犯罪的通知》,明确了发卡机构不得将信用卡发卡营销业务外包。
这个通知与上文两个事实中都提到了一个存在的现象:即商业银行将自己的部分信用卡业务外包给了中介机构,外包机构替代了银行的部分功能,与银行客户打交道。那么,什么是信用卡业务外包呢?本文将从信用卡业务外包入手,分析其特点以及对银行监管造成的新挑战。
一、银行业务外包概述
首先我们需要明确外包和银行业务外包的相关概念。外包( Outsourcing)是指企业为维持组织竞争核心能力,将组织的非核心业务委托给外部的专业公司,以降低营运成本,提高品质,集中人力资源,提高顾客满意度,缩减相关费用的一种企业经济安排。美国著名管理学家彼得·德鲁克曾预言:“在10到15年内,任何企业中仅做后台支持而不创造营业额的工作都应该外包出去。”英国的查尔斯·盖伊和詹姆斯·艾辛格在《企业外包模式》一书中,将外包定义为:依据服务协议,将某项服务的持续管理责任转嫁给第三者执行。外包战略是在专业化分工日益细致的前提下企业向非一体化的战略选择,其实质是企业对边界的一种重新界定。[2]
巴塞尔监管委员会发布的有关金融业外包的咨询文件—《金融业务中的外包》(Outsourcing in Financial Services)中将金融业务外包界定为:“被监管者将部分在持续经营的基础上本应由自己从事的业务利用第三方(既可以是被监管者集团内部的附属子公司,也可以是集团外的公司)来完成。”[3]银行的业务流程外包(BusinessProcess Outsourcing, BPO),作为金融BPO业务的重要组成部分,涉及了几乎所有的银行非核心业务。
2005年2月,银监会开始允许中国金融机构把某些业务流程外包。2007年6月,上海国际金融服务外包研讨会发布一项数据,预计到2010年,中国在岸金融业务流程外包市场规模将达到500亿元,离岸金融业务流程外包将超过50亿美元。中国银行业在逐步实现上市之后,在一些非核心的业务领域也出现了金融BPO的市场机会,这也是同中国金融资本市场发展的要求密切相关的。例如,中信银行、兴业银行等部分中小型商业银行已经尝试将自己的数据处理业务外包;中国农业银行将自己的国际汇款业务外包给西联。
具体在信用卡领域的外包,主要包括营销发卡业务外包、客户服务中心业务外包、催债业务外包等。例如,中信银行、兴业银行、广州发展银行、深圳发展银行等都曾外包部分信用卡发卡业务和催债业务,建设银行将准贷记卡的销售外包给银联公司,招商银行信用卡部在北京、上海等地都建立了信用卡中心,中信银行也找到一家外包公司开展直销。银行信用卡业务外包在给其带来巨大利润的同时,也对银行监管提出了新的要求。本文从信用卡外包服务的角度,分析其在现行的法律、法规制度体系下遇到的问题、风险以及应对之策。
二、信用卡外包业务的法律关系
在目前的信用卡外包业务中,涉及的主体主要有三方,即银行、信用卡外包机构以及信用卡客户。下文分别介绍这三方主体在信用卡外包服务业务中的地位和作用。
(一)银行
银行作为信用卡外包业务的发包方,其在业务中掌握着极大的主动权,在信用卡的外包业务中居于主导地位。实践中,银行主要通过信用卡外包合同约定相关权利义务安排。
银行大量将信用卡业务外包与信用卡业务的特点紧密相关。与传统业务主要针对的是企业、机构客户相比,信用卡业务面对的是个人和家庭,与家庭的生活性消费密切相关,个人申请使用信用卡并不是为了从事生产的需要,而是为了购买消费品。因此信用卡业务对于银行而言,具有业务流程简单,客户群体广、单笔消费数量小、盈利周期长的特点,如果都由银行“亲历亲为”,银行将需要支付高额的人工成本和管理成本(包括前期申领、中期服务以及后期追债)。而信用卡业务外包则可以在一定程度上降低银行的人工成本和管理成本,使其更加专注于核心业务以及能够为其带来高收益的特色业务。对于银行而言,其既可以通过规范的信用卡业务外包合同实现自己对于信用卡业务的有效控制,又可以通过外包将自己隔离在信用卡客户之外,免去了与几百万的信用卡持有人正面接触的麻烦,节省了雇用大量人员的开支,可谓一举多得。
(二)信用卡业务外包机构
信用卡业务外包中的另一个重要主体是信用卡业务的外包机构。实践中与信用卡业务外包密切相关的涉及了信用卡业务三大流程,一是信用卡发卡营销和申请外包,二是信用卡客户服务外包,三是信用卡追债外包,不同的流程中都需要同银行签订不同的外包服务合同。信用卡外包服务机构依据合同享有相关的权利和义务。从本质上讲,信用卡外包服务合同是一种委托合同,外包服务机构在委托和授权的范围内行使职权,为银行信用卡业务的潜在客户和既有客户提供相关服务。与银行相比,信用卡外包机构一般并非金融机构,而是以担保、咨询公司等形式出现。
(三)信用卡申请人和使用者
在银行的信用卡业务外包服务中,还涉及一个重要主体的利益,即信用卡的申请人和使用人,亦即银行信用卡的客户以及潜在客户。传统的银行与客户之间的法律关系主要有:存款法律关系、贷款法律关系、中间业务法律关系等。但是由于银行信用卡外包业务的存在,外包机构非常有可能会影响到银行金融消费者的多种权利,甚至突破金融类权利的范畴。
在信用卡业务外包中,由于接包方的故意或者过失行为,可能导致金融消费者的个人信息数据和金融以及其他隐私的泄露。而且,由于外包机构的存在,从一定程度上起到了隔离信用卡申请人、使用人与银行的作用。
三、信用卡外包业务产生的问题、风险及其对现有金融法制的挑战
信用卡业务外包使得银行客户数量迅速增加,短短几年间,中国许多城市中几乎人手一卡,甚至一人手中就有好几张卡。银行间的发卡大战引发了诸多争议,与此同时,信用卡持有人对于信用卡发卡银行的投诉也与日俱增,主要有以下几种类型:
一是申请时发卡人作出了相关的年费承诺但是没有履行。对于普通的信用卡申领人而言,其一般将信用卡的发卡人员视做银行工作人员,在填写申领资料时,其往往并不能很好地理解许多涉及格式条款的内容;对于外包机构而言,其通常只关心是否能够顺利劝说消费者办卡,为了竞争客户,其往往作出年费减免的承诺,这种承诺往往超出了银行允诺的范围,即使在事后产生纠纷,信用卡客户也往往难以得到银行的支持。
二是个人金融隐私信息遭遇泄露。由于信用卡申请和使用过程中会涉及许多客户的私人信息,包括身份证、住址、手机电话、工作单位等,这些信息一旦泄露将会给持卡人带来许多麻烦。2007年6月,美国专为银行处理信用卡交易的资讯厂商Cardsystem遭黑客入侵,包括各品牌信用卡共4 000万张信用卡资料被盗取,其中可能有8 660个中国客户受到牵连。这一事件在国内也产生强烈反响。6月22日,中国人民银行网站发表名为《中国人民银行高度关注美信用卡资料外泄波及中国持卡人事件》的文章,要求相关的万事达、Visa等信用卡组织妥善处理中国持卡人信用卡信息泄露问题。由于信用卡外包服务公司和机构集中了大量个人信息和金融隐私,其泄露后果严重。
三是信用卡追债中存在过激行为。随着个人信用卡业务的持续增长,作为一种没有担保的业务,其坏账风险也在增加。实践中,不少银行不直接出面追讨信用卡欠账,而是采取了追债服务外包的做法,通过支付一定比例的佣金,将信用卡的欠账打包给追债公司。这种做法的效果比较明显,但是现实中许多追债公司为了达到目的经常使用非常手段,例如,在小区里张贴欠款人名单和身份证号码,甚至追债追到亲戚朋友家中,或者在深夜打电话骚扰,出言威胁,严重干扰了信用卡持有人及其家人、亲友甚至同事的生活和工作。
除了这些问题的存在,现实中的信用卡业务外包还面临着以下风险:
首先是银行信用卡外包服务的合同风险。其主要是基于合同而产生的,如遇到合同无法履行、解除等情况,还包括合同内的不利条款和实践中超出合同事项范围的事件,等等。由于合同并不能穷尽所有事项,在信用卡业务外包中,信用卡业务外包机构可能在没有取得银行授权的情况下对信用卡申请人和使用人作出相关承诺而银行实际却无法履行。
其次是信用卡业务外包服务中的操作风险。这是由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。[4]由于业务外包机构多数规模较小,很多人的素质不如银行工作人员高,而且缺乏充分的培训,员工和程序的不当很可能会给信用卡持有人和银行带来无可挽回的损失。
最后是信息风险。在银行信用卡业务中,外包机构的工作人员手中掌握着大量客户的身份信息,在缺乏保密意识的情况下,一旦这些信息泄露将会带来不可估量的后果。实践中,甚至有的办卡人员利用这些真实的信息去办理假身份证,再通过假身份证办真信用卡,严重损害了信息权利人和银行自身的利益。
除此之外,信用卡外包服务还面临着金融监管的风险。2009年,信用卡发卡营销外包被银监会等联合叫停,这也使得许多银行正在开展中的相关业务受到了影响。
这些现象和风险的存在,不仅损害了持卡人的相关权益,也给银行造成了许多负面影响。由于信用卡业务涉及的范围和领域广、内容新,在目前的法律法规体系中,很难找到充分的对应。同其他外包业务一样,信用卡业务外包的核心是银行与外包机构签订的合同。但是,对于信用卡业务外包这样一个较新的业务安排,在现行法律法规的制度框架下,仅仅依靠信用卡业务外包合同并不能解决实践中大量出现的问题。
从现有的法律制度来看,直接涉及信用卡外包业务的少之又少,虽然从宏观来看,近十年来,中国金融领域的基本法律建设已日渐完善,形成了以银行法、证券法、保险法、信托法四种金融基本法律为依托,兼顾公司法、合同法、民法、行政法等法律的体系,同时在实际的操作中,也适时地引入了一些金融行业的国际惯例,以履行我国在金融行业加入世界贸易组织的承诺。
对商业银行的BPO业务有重要影响的规范,主要是以《中国人民银行法》、《银行业监督管理法》、《商业银行法》三部基本法律为基础所制定的金融规章、监管政策以及业务指引。2009年5月,针对现实中许多银行将信用卡发卡业务外包引发的种种问题,人民银行、银监会、公安部、国家工商总局联合发布了《关于加强银行卡安全管理预防和打击银行卡犯罪的通知》,规定了发卡机构不得将信用卡发卡营销业务外包。2009年6月23日,银监会发布了《关于进一步规范信用卡业务的通知》,通知从发卡、授信、年费、用卡几个环节对银行信用卡业务进行严格控制。其中明确规定:银行业金融机构应审慎实施催收外包行为。实施催收外包行为的银行业金融机构,应建立相应的业务管理制度,明确催收外包机构选用标准、业务培训、法律责任和经济责任等,选用的催收外包机构应经由本机构境内总部高级管理层审核批准,并签订管理完善、职责清晰的催收外包合同,不得单纯按欠款回收金额提成的方式支付佣金。银行业金融机构应持续关注催收外包机构的财务状况、人员管理、业务流程、工作情况、投诉情况等,确保催收外包机构按照本机构管理要求开展相关业务。对因催收外包管理不力,造成催收外包机构损害欠款人或其他相关人合法权益的,银行业金融机构承担相应的外包风险管理责任。监管部门将视情况追究相关银行业金融机构和人员责任,视严重程度采取责令限期整改,限制、暂停或停止其信用卡新发卡业务,以及实施其他相应的行政处罚等审慎性监管措施。从银监会的这个通知来看,无疑大大加重了商业银行在实施信用卡业务外包中所应当承担的责任和负担,增加了其进行信用卡服务外包中的成本。
四、相关建议
从金融监管本身的出发点来看,其目标在于金融监管机构依法利用公权力对金融机构的金融活动执行直接限制和约束,各国金融监管机构一般不干涉金融机构内部事务管理,而是规定它们各自经营活动的范围和风险承担的最大限度,提供公平的竞争环境,保护存款人和投资人的利益,保持金融体系的稳定。[5]因此,对于创新性极强的银行信用卡外包业务的监管,也需要本着间接和宏观的层面,而不是对具体业务的直接干预,需要在效率和安全两个维度之间达到平衡。既不能对其实行全面的事无巨细的监管,也不能任其放任自流。
针对目前信用卡业务外包中出现的种种问题和风险,在现有的法律体系中,很难有一个完美的解决方案。由于信用卡业务涉及的法律关系、主体比较多元,涉及的公民权利范围也比较广,因此作为一种新型的银行业务,这种监管既涉及金融系统外部的法律制度,也涉及金融系统内部的监管。从外部来讲,主要涉及个人金融权利以及信息权利、信用法律体系等。在金融行业领域内部,应当建立一套较为通行的制度安排。银行信用卡外包业务的监管困难就在于其涉及的监管关系复杂,与中国金融行业分业经营、分业监管的现实脱节。
风险防范具体到银行自身而言,首先要注意防范和控制合同风险的产生。通过合同条款的安排明确双方的权利义务关系。在信用卡业务外包中,针对不同的业务设置不同的权利义务安排。其次要建立起银行自身的风险评估和合规审查体系,对BPO业务中可能涉及的各类风险进行评估,依据风险评估的情况制定不同的应对策略。银行在开始信用卡服务外包业务前,需要针对不同的业务种类进行风险评估和合规审查,防止其面临法律风险和制度风险,尤其是对于可能触犯中国金融行业的特许权这一“天条”的成分,更应当谨慎对待。
综上,银行信用卡业务风险控制不仅仅来自于银行内部,还来自于银行外部,对于银行自身而言,其风险控制应该更多地从自身入手,在不违反法律的强制性规定下,建立健全自身的内部防控风险的机制和能力。
此外,需要补充的是,无论是银行内部还是外部的风险控制手段,在对于银行信用卡业务外包的监管和法律责任的制度设计上,应当着重采用民事、行政等领域的法律制度,减少刑事法律制度的运用,在责任设计中着重以能力责任与财产责任为核心,即通过限制或者取消资格能力,防止重复侵害的可能以及财产损失的弥补和赔偿为主要方式,否则将会使得银行在相关业务中丧失创新的动力,不利于银行信用卡业务的正常发展。[6] [1]北京大学法学院硕士研究生。
[2]陈明:《一种策略性价值增长方式》,载《新营销》,2006 (3)。
[3]Basel Committee on Banking Supervision, Outsourcing in Financial Services, February2005, p. 4,转引自吴庶:《中国金融服务业BPO企业竞争力的若干问题研究》, 2007年北京大学硕士论文。
[4]参见银监会发布的《商业银行操作风险管理指引》第三条。
[5]何立慧主编:《金融法原理》,37页,兰州,兰州大学出版社,2004。
[6]胡启忠、高晋康:《金融领域法律制度规制新视域》,255页,北京,法律出版社,2008。
2009 > 2009年总第79辑