2023年11月24日，国务院召开国务院常务会议，审议通过《非银行支付机构监督管理条例》(以下简称“《条例》”)，并于2023年12月17日正式对外发布。

《条例》的正式出台，宣告着此前于2021年1月20日由中国人民银行(以下简称“人行”)发布的《非银行支付机构条例(征求意见稿)》（以下简称“《征求意见稿》”）结束了近两年的讨论和修订，也正式标志着我国非银支付领域的监管在总结过往十三年间监管经验的基础上完成了迭代和升级，形成了更为适配现行监管需求、市场环境及产品形态的监管思路和模式，对于保障非银支付行业未来的有序、健康发展具有极为重要的指导意义。

一、整体影响评述

（一）肯定行业价值，为非银支付行业的健康发展提供政策土壤

在整体立法思路上，《条例》充分肯定了支付行业在我国当前支付结算体系中的重要地位及发挥的积极、正向作用。支付机构在牢固树立“支付为民”理念，坚守小额、便民宗旨的前提下，《条例》为支付机构未来的运营和发展提供了稳定、可预期的政策空间。

在经历了“互金十年”的涤荡之后，与第三方支付相伴而生的大量互联网金融业态都已先后退出历史舞台。而第三方支付在过往的五年中，也密集地接受了“备付金集中存管”、“支付断直连”、“大型支付平台综合整改”等多项考验，甚至其“存废”也一度成为了市场讨论的话题。

在这一行业及监管背景下，《条例》的出台虽然在微观层面强化和明确了支付机构的合规要求，但从更宏观的意义来看，《条例》更是对行业稳定发展的保障与护航，为从业机构指明了清晰的合规边界和方向。

（二）完成监管规则迭代，监管逻辑全面适配当前市场环境

从具体的行文来看，《条例》可谓是近十年来最具颠覆性、但也最严谨和细致的监管迭代文件。

回顾我国的金融监管史，鲜有金融行业会如同第三方支付行业这般在短短十年间经历如此彻底的行业形态变化和监管规则调整。随着市场、技术和商业需求的飞速发展和转变，第三方支付的业态已经从十年前十分典型的“网络支付”、“预付卡发行与受理”、“银行卡收单”的三分业态发展出了大量难以定义的新业态，条码支付、刷脸支付、刷掌支付不一而足。而在监管手段上，也经历了“备付金集中存管”、“支付断直连”、“断开与金融产品的不当链接”等数次颠覆性的监管规则调整。

在这一背景下，《条例》大刀阔斧地推翻了既往的整体监管框架，以更为科学、合理的思路对支付行业的监管进行了彻底的重塑和整合，以更为明确和简化的思路勾勒出了现行的监管要求，高度贴合当前的市场现状，并为支付行业的后续创新预留了充足的空间，展现出了高超的立法水平。

（三）全面提升行政处罚标准及责任，强化行业监管

《条例》第五章通过11个条款全面细化和升级了支付机构可能面临的行政处罚责任。基于违法行为的严重程度，设定了三档违法责任。

其中特别值得注意的是，《条例》针对全部类型的违规行为均设置了“没一罚五”的处罚规则，全面对齐《人民银行法》第46条的规则，相对于此前规定中针对部分轻微违法事实仅设置1-3万元处罚区间的规则做了实质性提升，预计今后针对支付机构的罚单将更为频繁地出现“超大额”的情况。

此外，《条例》也开创性地将支付机构控股股东、实际控制人纳入行政责任的追责范围，针对支付机构的部分违规行为，监管机关亦有可能直接追究控股股东和实际控制人的责任。

（四）大量细节要求留待后续立法完善，后续影响需持续观察

《条例》开创性地设置了“业务形态二分”、“系统重要性非银行支付机构”、“净资产与备付金日均余额比例挂钩”等多项新型监管工具，但并未进一步展开，而是交由人行通过后续的立法做进一步的完善。

此外，《条例》明确将于2024年5月1日生效，但在过渡期的适用上，针对“存量牌照”具体如何进行衔接的问题，也同样交由后续的立法进行完善。

由此可以预见，围绕《条例》的出台，近期应当会有进一步的新规持续出台和更新，其对于支付机构的影响需要持续跟进和判断。

二、要点内容解读

（一）产品形态

01 业务形态沿用二分思路

现行监管规定中，人行将非银支付行业的业态整体上分为三大类，即“网络支付”、“预付卡发行与受理”、“银行卡收单”，并设定了大量基于“技术”和“介质”的分类标准，例如“网络支付”需要基于“网络”，且“不存在特定专属设备交互”；“收单”业务系针对“银行卡”，而并不明确涵盖其他支付手段。

上述划分和定义模式虽然在一定程度上使得监管对象和监管范围更为明确和直观，对于市场参与主体而言更容易形象地理解相关的业务具体适用何种牌照。但随着支付市场和支付技术的不断发展，此类基于“技术”和“介质”的定义思路则严重限制了相关监管规则的灵活性，也难以适配快速发展的市场实际业态。《条例》答记者问中即明确指出：随着技术创新和业务发展，出现了条码支付、刷脸支付等新兴方式，现有分类方式不能很好地满足市场发展和监管需要。

对此，《条例》延续了《征求意见稿》中提出的“储值账户运营”和“支付交易处理”的功能主义二分法，对于支付业务的类型进行了颠覆性的重新划分，以“能否接收付款人预付资金”为标准，界定了“储值账户运营”和“支付交易处理”两大类型，并将据此设置分类监管方式。

但在界定细节上，《条例》删除了关于“储值账户运营”和“支付交易处理”的定义和核心监管要求，仅保留了原则性规定。《条例》答记者问中提出，人行的下一步工作包括“制定《条例》实施细则”以及“完善《条例》其他配套文件”，我们认为，在该等后续监管规定中，将对于相关问题进行进一步明确，市场主体也应当对此保持持续关注。

02 放宽支付机构开展“非前置许可”类业务的可能性

《征求意见稿》中曾对支付机构的展业范围进行了严格限定，要求其“不得开展支付业务许可证载明范围之外的业务”，我们认为，此项要求过于严格，对于支付机构对外提供信息服务、导流服务、技术服务等无资质要求的服务构成了限制，也不符合支付机构展业的市场实践情况。

《条例》中则对该项要求进行了放宽，仅限制支付机构“未经批准不得从事依法需经批准的其他业务”，保留了支付机构在合法范围内进行业务创新的可能性，对于支付行业的良性、多元化发展属于利好。

03 对公支付账户未一刀切

对公支付账户的开立是长期以来困扰支付机构的问题之一，这一问题源于监管对于支付机构业务“小额、便民”以及与银行账户业务相区分的定位，不论从监管规定还是窗口指导层面，都不鼓励支付机构为B端客户开立支付账户，《征求意见稿》中更是明确规定支付账户的开立主体仅可以为自然人(含个体工商户)。

本次《条例》中则删除了此类表述，仅提出了“国家引导、鼓励非银行支付机构与商业银行开展合作，通过银行账户为单位用户提供支付服务”的原则性要求，但并未一刀切的“禁止”支付机构直接开展此类业务，给支付机构为B端客户提供支付账户服务留出了空间。我们认为，B端客户同样包括大量小微企业，支付机构为B端客户开立支付账户，并不必然意味着与其“小额、便民”的业务定位相违背，《条例》在这一问题上的修订思路值得肯定。

04 完全删除了支付信息服务机构的相关规定

《征求意见稿》中曾提出一类支付行业业态的新机构，即“支付信息服务机构”，并明确此类机构并不属于开展支付业务的主体，无需持有支付牌照，而仅需在中国支付清算协会办理备案即可。从《征求意见稿》的定义上看，“聚合支付”机构即应当属于支付信息服务机构的范畴。

自2021年《征求意见稿》出台至今，各个领域的金融监管都明确加强了“机构持牌，人员持证”的要求，在这一监管思路下，无需持牌、仅需备案的“支付信息服务机构”不宜直接作为《条例》的监管客体。基于这一背景，《条例》中完全删除关于“支付信息服务机构”的相关规定其实并不意外。我们预判，在后续的配套规则中，会进一步明确此类机构的监管思路。

05 规范了针对跨境业务的牌照适用范围

针对跨境业务，《征求意见稿》明确了“境外机构”向“境内用户”提供“跨境支付服务”，应在境内取得支付牌照。

据此，在跨境业务中，如境外支付机构提供的并非跨境环节的支付服务，例如帮助境内客户在纯境外层面进行付款和收单，原则上即无需在境内取得支付牌照。我们认为，这一规定与目前市场实践中，境内支付机构与境外支付机构或银行合作，由境外支付机构或银行提供境外收单服务的业务模式相符，具有合理性。

（二）业务管理

01 反垄断监管：删除了《征求意见稿》中的相关条款，不再基于市场份额界定垄断行为，人行的监管边界得以厘清

此前，《征求意见稿》中规定人行可以从市场支配地位的角度商请国家反垄断监管部门对支付机构进行反垄断审查，特别是明确界定了相关市场范围以及市场支配地位的认定标准，旨在加强对市场头部支付机构的反垄断监管。

但在正式发布的《条例》中，前述反垄断相关条款被删除，仅保留了“非银行支付机构不得实施垄断或者不正当竞争行为，妨害市场公平竞争秩序”的原则性规定，即不再基于市场份额界定垄断行为。

这一改动无论是从明确人行监管职权的角度，亦或是从“垄断行为”认定的实体角度，都更为合理和科学，终结了此前围绕《征求意见稿》的激烈讨论。

02 头部机构监管：确立了关于系统重要性非银行支付机构的监管机制

《条例》第38条规定，“中国人民银行依法制定系统重要性非银行支付机构的认定标准和监督管理规则”，从而在行政法规层面确立了支付机构可以划入系统重要性机构的法律基础。同时，参照2018年一行两会联合发布的《关于完善系统重要性金融机构监管的指导意见》，如被认定为系统重要性非银行支付机构，则可能需满足“附加资本要求”、“杠杆率要求”、“设立风险管理委员会”、“进行并表风险管理”、“信息报送和披露”等合规义务，具体要求有待人行未来进一步明确。

03 业务风险管理：防范重大风险、加强用户管理

近年来，金融监管部门愈发强调重大风险的防范工作，《条例》第5条明确提出支付机构应关注“反洗钱和反恐怖主义融资、反电信网络诈骗、防范和处置非法集资、打击赌博”等重大风险，而前述风险也是支付行业生态下常见的风险类型。为确保有效防范风险，《条例》第21、22条从用户管理的角度提出了相关要求，具体包括：

(i) 持续有效地开展用户尽职调查工作；

(ii) 涉及资金安全、信息安全等的核心业务和技术服务不得外包；

(iii) 自行完成特约商户的尽职调查、支付服务协议签订、持续风险监测等工作；

(iv) 不得为非法设立或非法经营的商户提供服务。

04 服务协议管理：从金融消保的角度进一步明确了协议内容、协议公示与协议变更等要求

金融消费者保护是近年来的监管重点之一，为贯彻金融消保监管要求，充分保护用户合法权益，《条例》第20条对支付机构的用户服务协议管理提出了相关要求，具体包括：

(i) 协议内容：明确了必备条款(如“机构与用户的权利义务”、“支付业务流程”等)和禁止性内容(如“排除、限制竞争”、“加重用户责任”等)；

(ii) 用户提示：对于协议重要条款应采取合理方式提示用户注意，并按照用户要求说明；

(iii) 协议公示：在经营场所、官方网站、移动互联网应用程序(即APP)等显著位置公示；

(iv) 协议变更：应当充分征求用户意见，并在上述第(iii)项的显著位置公告满30日后方可变更，且应与用户以书面形式(如数据电文)达成一致。

05 跨境业务监管：应遵守多项适用规定，删除《征求意见稿中》跨境断直连相关表述

《条例》第19条明确规定，“支付机构为跨境交易提供支付服务的，应当遵守跨境支付、跨境人民币业务、外汇管理以及数据跨境流动的有关规定”。一直以来，针对支付机构的跨境支付业务始终未颁布统一、明确的规范性文件，而由于跨境支付业务与境内支付业务存在明显差异，我国的跨境支付监管规则始终不太清晰，《条例》第19条明确了我国跨境支付业务的适用规则。考虑到2021年人行已出台《跨境支付服务管理办法(征求意见稿)》，在《条例》确立了支付行业的监管框架后，相信跨境支付管理规则的发布亦可相应期待。

值得一提的是，正式发布的《条例》删除了《征求意见稿》第6、40条关于跨境支付断直连的相关表述，这一定程度上也体现出“跨境断直连”短期内可能不会作为监管的重点关注事项，且未来是否启动、何时启动，亦有待观察。

（三）数据及系统管理

01 强调支付机构业务及系统的独立性

《条例》进一步强调了支付机构业务及系统的独立性要求。例如，《条例》第18条、第21条等条款要求支付机构应当具备必要和独立的业务系统、设施和技术，确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性，支付机构的业务系统及其备份应当存放在境内，并要求支付机构不得将涉及资金安全、信息安全等的核心业务和技术服务委托第三方处理。同时，《条例》第22条再次强调核心业务管理要求，明确支付机构应当自行完成特约商户尽职调查、支付服务协议签订、持续风险监测等业务活动。这一要求与此前《银行卡收单业务管理办法》(9号文)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(199号文)等规范性文件中“核心业务不得外包”的规定一脉相承，并将其上升为行政法规的层级。

02 重申“关键信息基础设施运营者”和“达到规定数量”的本地化处理要求

根据《条例》第33条规定，支付机构相关网络设施、信息系统等被认定为“关键信息基础设施”，或者“处理个人信息达到国家网信部门规定数量”的，其在境内收集和产生的个人信息的处理应当在境内进行。确需向境外提供的，应当符合有关规定，并取得用户“单独同意”。支付机构在境内收集和产生的重要数据的出境安全管理，依照有关规定执行。上述规定与《个人信息保护法》、《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》中的相关要求相呼应，体现了监管对于数据安全的重视。

03 个人信息保护要求相比《征求意见稿》趋严

《条例》第32条对支付机构个人信息保护相关要求作出了规定。总体而言，《条例》体现了《个人信息保护法》中明确的相关要求，例如强调处理用户信息的合法、正当、必要和诚信原则，规定支付机构需公开用户信息处理规则，明示处理用户信息的目的、方式和范围，并取得用户同意（法律、行政法规另有规定的除外），并要求支付机构不得收集与其提供的服务无关的用户信息，不得以用户不同意处理其信息或者撤回同意等为由拒绝提供服务等。

此外，《条例》要求支付机构与其关联公司共享用户信息的，应当告知用户该关联公司的名称和联系方式，并就信息共享的内容以及信息处理的目的、期限、方式、保护措施等取得用户单独同意，并要求支付机构对关联公司进行监督，确保依法合规、风险可控。该项要求显著严于《征求意见稿》，并且是在金融领域的监管文件中首次就金融业相关机构向关联公司共享用户信息进行明确规定，需引起重视。

（四）股权管理

近年来，监管机构高度重视金融机构股权管理工作，着力完善大股东行为约束机制。《条例》亦参考了银行、保险、证券等传统金融机构的相关规定，加强对支付机构的股权管理、完善对大股东的约束管控。具体包括：

01 引入多项对主要股东、控股股东以及实际控制人的监管要求

《条例》从资质要求、禁止性规定等维度出发，对支付机构主要股东、控股股东以及实际控制人作出约束，但区别于此前的《征求意见稿》，并未对主要股东、控股股东以及实际控制人的定义进行明确规定。考虑到现行法律法规项下不同金融机构不同类别股东的定义均存在一定差异，对于支付机构相关类别股东的具体界定有待在《条例》实施细则中进行明确。

02 对主要股东的股权质押提出管理要求

《条例》要求支付机构主要股东就质押其持有的支付机构股权事宜向人行进行事前报告，且限制质押股权不得超过其所持有的支付机构股权总数的50%。该等要求有助于避免股东利用股权质押形式，代持支付机构股权、违规关联持股以及变相转移股权。

03 特殊方式持股受到明确禁止

《条例》规定支付机构的控股股东和实际控制人不得通过特定目的载体或者委托他人持股等方式规避监管，透露出监管机构对于支付机构采取VIE架构持股的更为明确的审慎态度，也进一步表明了落实穿透式监管原则、防范监管套利的要求。

04 对股东入股支付机构的数量提出要求

与部分传统金融机构的监管要求类似，《条例》也对于同一股东入股支付机构的数量提出了要求，规定“同一股东不得直接或者间接持有两个及以上同一业务类型的非银行支付机构10%以上股权或者表决权。同一实际控制人不得控制两个及以上同一业务类型的非银行支付机构，国家另有规定的除外。”也即对于支付机构而言，同一股东作为10%以上股东参股支付机构或者作为实际控制人控制同一业务类型的支付机构的数量仅限一家。

05 首次明确支付机构风险监管措施

金融机构风险事件频频发生，无论是银行等传统金融机构的监管法规还是此前发布的《中华人民共和国金融稳定法（草案征求意见稿）》，均对于金融风险事件发生时的监管措施以及大股东责任进行了规定。在此背景下，《条例》首次明确人行对于支付机构采取风险监管措施的权利，包括主要股东履行资本补充承诺、限制重大资产交易以及调整限制董监高及其权利。未来，至少在入股环节，支付机构的主要股东也将面临签署资本补足承诺函等方面的要求。