支付新规：破解商业银行与支付公司暧昧关系

　　电子支付限速跑

　　在央行《电子支付指引(第一号)》(以下简称《指引》)出台的第二天，记者致电某商业银行电子银行部的负责人，该人士对央行此举表示欢迎。但两天之后，该行电子银行部的另一高层私下告诉记者，现在已到了大力推广网上支付的时候，而这一政策最突出的地方就在于限额电子支付。“这无疑打击了网上支付的积极性”，他还表示，“通过限额来保证电子支付的安全，是治标不治本的做法。”

　　事实上，与这家商业银行态度一致的是，大多数商业银行人士在公开表述中都对《指引》表达了支持的意向，但私下对此颇有微词，到目前为止，商业银行的集体表现要么强调自己早已达到《指引》中的要求，要么按兵不动。由于《指引》只是央行的指导性文件，并没有做强制执行的要求，商业银行仍有比较大的回旋余地。

　　第三方电子支付公司群体则纷纷强调这一文件主要针对商业银行，而与自己关系不大。但在不少安全领域的专家看来，《指引》所强调的电子交易安全问题主旨不在技术安全，更多在于行业安全管理上的要求，而在这背后，破解商业银行与支付公司之间的暧昧关系是监管部门理顺电子支付市场的关键点。

　　不仅仅是安全

　　目前看来，对《指引》的解读，更多人仅注意到了交易安全这一关键词，而这正是商业银行最不愿看到的。事实上，在此之前的2005年9月，由CFCA(中国金融认证中心)牵头，几乎所有商业银行都参与了 “安全用网银”宣讲活动，一场浩浩荡荡的网银安全“全民运动”正在展开，各路专家都在纷纷劝说大众“放心用网银”。

　　在安全专家们看来，现在网上银行的安全问题已经不必再过份强调，现有的技术能够充分保证网上交易的安全。据吉大正元信息技术有限公司金融行业解决方案部李志勇介绍，就现有CA认证系统的网银交易而言，无论是在电子终端进行本地操作，还是在信息传递过程中，安全性都是相当高的。吉大正元是国内安全认证领域主要的厂商之一，在金融行业也颇有建树，其客户经验除招商银行和中国银行的CA系统之外，CFCA数字证书的主要技术也是由他们提供。

　　现在吉大正元的CA系统都是基于PKI技术开发出来的，自上世纪90年代初在西方安全认证领域流行以来，有多种算法为底层基础的PKI就一直是国际上主打的安全技术。李志勇认为，这种技术有足够的能力阻止木马程序的侵入，而在之前最容易出问题的信息传递过程中，由于有SSL安全协议的保护，也能够保证通信安全。现在国内所有的商业银行网银专业版都是通过CA认证来加强交易安全性，而对于大多数人使用的网银普通版，尽管安全性没有专业版高，但只要操作适当，一般不会出安全事故。

　　正因如此，在网银上被安全问题困挠多时的商业银行已经有点迫不及待，在各种场合都希望回避再谈交易安全防范。对于商业银行来说，现在更应该是在网上支付市场跑马圈地的时候，被安全问题再次拉回，不情愿也是理所当然。同时，对电子支付进行限额也意味着今后很长一段时间内银行难以放开手脚做市场，在不少商业银行人士看来，央行此举等于是缚住了他们的手脚。

　　接受记者采访时，央行相关负责人对商业银行的实质反弹表示理解，他重点解释了《指引》的出台背景，除了防范电子支付风险之外，他还强调促进网银专业版的大规模应用也是这一文件出台希望达到的效果之一。

　　标准统一之困

　　但事实上，网银安全认证证书的推广一直不尽人意，在李志勇看来，这与银行在证书操作流程上设定的程序过于麻烦有关，有不少银行的证书都需要先到柜台去办理，就算能在网上下载也比较复杂，而使用网银的群体本就是希望图个方便快捷。对于商业银行来说，要推广专业版，在申请流程上简单化甚至“傻瓜化”都是首先要做到的。

　　另一方面，在证书的发放问题上，央行和商业银行也处于貌合神离的状态。央行的本意是希望能够有一个统一标准的认证证书，在1999年牵头建立CFCA时，央行就对各商业银行表示了这一意愿，但直到现在，真正购买CFCA证书的商业银行屈指可数。CFCA总经理李晓峰告诉记者，现在CFCA发放到手的证书总共是70多万张，包括企业和个人网银的专业版用户在内，而其中单浦发一家就“贡献”了20多万张。据安全领域某人士透露，有时候商业银行也会碍于面子，象征性的向CFCA购买一些证书产品，但回头还是推荐客户使用自己的数字证书。

　　不少有实力的银行宁肯自建CA系统，其中除了CFCA在服务支持上的反应速度过慢之外，背后的利益关系也是银行考虑的主要因素。“在网上支付上，如果实力允许的话，没有人会愿意让自己受制于人”，李志勇称，“CA认证系统相对于银行的其他信息系统来说并不大，但在网上支付上起到关键作用。像工行这样的银行肯定愿意用自己开发的证书系统，在后和维护上都相对简单。”

　　另外，标准的统一也遭遇到来自一些网上银行业务状况良好的商业银行的阻力。以工行为例，2004年工行网银交易额已经超过34万亿元，仅B2C在线支付实现交易笔数就突破1000万笔，交易金额超过57亿元，已经成为最大的在线支付服务提供商。要统一标准，不能不考虑工行的态度，而能否让其他的商业银行“心服口服”的加入到这个统一标准的阵营中来，也是央行颇为头疼的难题。

　　据CFCA总经理李晓峰介绍，目前工行与CFCA正处于接触过程中，估计明年会有新的进展。在相关业内人士看来，拿下工行这家中国最大的商业银行对于CFCA来说具有重要意义，而央行在其中起到的作用不容忽视。CFCA的某位专家对记者表示，网银证书标准的统一是大势所趋，央行看到这一点，商业银行同样看到了。与在银行卡支付上有银联这样的机构类似，今后在网上支付上也会有统一认证的机构。

　　事实上，网上支付公司对商业银行CA系统的标准统一呼声也比较高。在目前状况下，每家网上支付平台都不得不向不同的商业银行提供不同的网关接口，“碰到某家银行系统升级的时候，支付公司在接口技术上都不得不跟进”，李志勇告诉记者，“这样一来，对网上支付公司来说，无形中造成了一笔颇大的成本支出。”

　　而在认证系统上缺乏统一标准的网银专业版要大规模推广，CFCA的一位技术顾问认为：“在一定时候将遭遇瓶颈。”但现在看来，这一过程在未来几年时间内都是难以解决的问题，背后的利益博弈要达到一个平衡点还有待时日。