为规范聚合支付市场发展，2017年中国人民银行先后发布《中国人民银行支付结算司关于开展违规“聚合支付”服务清理整治工作的通知》（银支付〔2017〕14号）、《中国人民银行关于持续提升收单服务水平规范和促进收单服务市场发展的指导意见》（银发〔2017〕45号）。这两个文件将聚合支付服务机构定位为“收单外包服务机构”，并按照银行卡收单业务管理要求，明确聚合支付服务机构开展业务应遵循《中国人民银行关于加强银行卡收单业务外包管理的通知》（银发〔2015〕199号），不得从事资金结算、收单业务交易处理、受理终端主密钥生成和管理等收单核心业务。

文件针对聚合支付服务机构存在的最大风险点“钱”和“信息”，在资金安全和信息保护方面强化监管要求。

在“钱”方面，要求聚合支付服务机构不得以任何形式经手特约商户的结算资金，严禁从事或者变相从事特约商户资金结算业务。

针对部分聚合支付服务机构触碰核心交易信息，文件还要求聚合支付服务机构不得伪造、篡改或隐匿交易信息，不得采集、留存特约商户和消费者的敏感信息。

文件的发布对于规范和促进支付服务市场发展，持续提升支付服务水平具有重要的积极作用，但对于促进聚合支付服务市场规范发展，还需厘清以下问题。

关于聚合支付服务机构的定位

文件将聚合支付服务机构定位为“收单外包服务机构”。下文按消费者付款资金的来源分析聚合支付服务机构在支付链条中的定位。

（一）付款资金来源于支付账户。当消费者使用非银行机构的支付账户余额付款时，由于支付账户余额属于预付价值，不是银行存款，此时，该类业务似乎不是银行卡收单。若将该类业务认定为银行卡收单，则默认“市场上两家主流的二维码支付机构”为发卡机构。

考虑到支付账户余额属于预付价值（类似于预付卡中的余额），扫码支付类似预付卡受理。因此，从理论上分析，对扫码支付采用类似预付卡业务的监管模式更符合业务本质。

如《支付机构预付卡业务管理办法》规定发卡机构、受理机构和特约商户应签订三方合作协议，若条码支付有类似监管规定，一方面将有利于收缩支付账户的开放使用，另一方面将有利于纠正目前实务中已出现“两家主流的二维码支付机构”认为自己在二维码支付业务中属于发卡机构不承担特约商户管理责任的倾向。由于聚合支付服务机构不可避免的会涉及支付业务的交易处理（详见下文），对聚合支付服务机构提供的服务理论上也可参照预付卡受理业务管理。而且，《支付机构预付卡业务管理办法》规定“预付卡受理机构不得参与资金结算”，即发卡机构应当通过发卡机构客户备付金存管银行直接向特约商户划转结算资金，这和聚合支付服务机构不得从事商户资金结算的要求是一致的。但是对聚合支付服务机构参照预付卡受理业务管理是从业务本质上得出的，

在实际操作中，监管部门对其是否按照预付卡受理业务管理还需秉持尊重市场实际，平衡消费者支付安全和便捷等因素后做出。

（二）付款资金来源于银行结算账户。假设支付机构已按照互联网金融风险专项整治工作要求完成了整改（不再擅自从事资金跨行清算），当消费者使用银行账户余额付款时，此时“两家主流的二维码支付机构”属于收单机构。从条码支付实务来看，在开放模式下(商户不是由“两家主流的二维码支付机构”拓展，而是由其他支付服务机构拓展)，聚合支付服务机构未和“两家主流的二维码支付机构”直接合作，当然也不是它们的收单外包服务机构；而在封闭模式下(商户由“两家主流的二维码支付机构”自行拓展)，聚合支付服务机构是“两家主流的二维码支付机构”的收单外包服务机构。

关于穿透视监管的实施

聚合支付加剧了支付机构将一笔收付款人之间的货币资金转移业务拆分成若干段的问题，存在交易结构复杂、交易链条长、信息不透明，不利于实施穿透监管等风险。

下文以聚合支付的付款资金来源于消费者银行结算账户，“收单机构”又是非银行支付机构为例，说明资金如何从消费者银行账户转入商户的收款银行账户。

为避免违反“两个支付机构的备付金银行账户之间不得发生资金往来”的监管规定，“收单支付机构”在与“两家主流的二维码支付机构”发生资金往来时，会寻找一家机构中转，这家机构常为商业银行。

此时一笔交易的资金被拆分成4段：

1-消费者的开户银行将资金划付给那两家机构的备付金银行账户

2-那两家机构的备付金银行账户将资金划转给中转银行

3-中转银行将资金划给“收单支付机构”

4-“收单支付机构”再将资金划付给商户

此时，为核实一笔交易的资金流向需收集多家机构的资金清算文件，并核实对应的资金流水，导致查清一笔交易的资金来源，资金中转和资金最终去向相当困难。若监管部门允许该交易模式存在，则应加快建立便于穿透式监管的信息上送和信息统计监测框架，实现资金链全流程的监测与统计。

关于商户真实性问题

确保特约商户信息的真实是支付服务机构开展支付业务的基础和底线。

在聚合支付服务中，“两家主流的二维码支付机构”认为自己属于发卡机构，虽然要求收单机构上送商户信息，但不对商户信息的真实性负责。另外，为不违反“备付金银行账户间不得发生资金往来”的规定，其他支付机构与“两家主流的二维码支付机构”在扫码业务合作中，会寻找一家商业银行中转资金。此时，“两家主流的二维码支付机构”将资金中转银行视为收单机构，但商业银行认为自己仅承担资金结算服务，不负责商户真实性审核。事实上商业银行也缺乏足够的资源对众多小微商户逐一管理（包括现场巡检）。而合作支付机构与聚合支付服务机构认为自己在支付链条中是收单外包服务商，也不负责商户真实性的审核。根据上述分析，在整个支付链中，没有机构认为自己为收单机构，应承担商户管理责任。同时，聚合支付服务的对象主要是小微商户，确保商户信息真实的工作本来就较为困难，而产业链中各方定位的混乱，加剧了虚假商户的问题。

关于不得从事交易处理规定

从实际业务开展情况来看，以“扫码”聚合为主的聚合支付服务机构，不可避免的涉及支付业务的交易处理，违反不得从事“收单核心业务”的规定。

（一）被扫模式。聚合支付服务机构要通过扫码等方式采集消费者展示的二维码和商户信息，然后再将采集的信息(包括条码信息、商户信息含商户名称和商户编号、交易金额等）上送“收单机构”。因此，在被扫模式下，聚合支付服务机构会涉及支付业务的交易处理。

（二）主扫模式。该模式下，消费者通过手机APP读取商户二维码（以静态二维码为例），并发起支付交易。聚合支付模式下的商户二维码由聚合支付服务机构生成，包含商户信息（商户名称、商户编号）。交易发生时，消费者通过读取商户二维码信息进入聚合支付服务机构手机页面，先输入订单金额等信息，然后由聚合支付服务机构将采集的信息(包括消费者ID、商户信息含商户名称和商户编号、交易金额等）上送“收单机构”。因此，在主扫模式下，聚合支付服务机构也会涉及支付业务的交易处理。

关于信息安全问题

在“扫码”聚合为主的支付业务中，“两家主流的二维码支付机构”在收到“收单机构”或消费者通过这两家机构APP上送的支付交易信息后，会主动判断该笔交易是否需要凭密支付，如需要，这两家机构会通知消费者在这两家机构的手机APP中输入支付密码并直接提交这两家机构。

聚合支付服务机构以及“收单机构”在条码支付中并未接触账户支付密码等敏感信息。消费者的账户信息相对安全可控。但聚合支付服务机构仍接触了交易金额、特约商户信息。

因此，须采取有效措施防止聚合支付服务机构留存和泄露相关信息。同时，聚合支付服务机构应对其业务系统的安全性、稳定性负责，确保业务连续性；监管部门也应抓紧制定针对聚合支付服务机构业务设施的技术要求。

作者系金融学博士，长期奋斗在监管一线，是国内研究监管政策和监管实践的顶尖专家。