一、央行近期或将针对境外持牌机构出台监管新政

2018年3月19日，央行发布了《中国人民银行公告[2018]第7号——关于外商投资支付机构有关事宜公告》（简称“7号公告”），规定了外商投资支付机构的部分准入和监管政策。从7号公告内容来看, 央行仅对境外持牌支付机构[1]的"商业存在"、"支付业务设施"和"信息存储要求"等方面提出原则性要求, 但实务操作仍有大量细节尚未明确。

外资支付机构拟开展跨境外汇支付业务, 且境外股东在境外为网络商户或者用户提供资金与信息的结算服务, 则境外股东作为境内外资支付机构的"二清商户", 其本身是否必须持有所在地区的银行卡收单或电子支付业务资质存在不确定性, 监管要求也未曾明朗。

2020年4月19日央行发布规章制定计划， 2020年央行将制定和发布《跨境支付服务管理办法》。因多方原因该规定未能如期出台，根据央行近年释放的政策信号，我们预测该管理办法将于2021年下半年问世，将规定境外持牌机构参与境内跨境支付结算交易的准入、模式等实务操作及细节，同时会对境外持牌机构与境内支付机构的合作模式加以管理和限制

二、境外持牌机构可能受到影响的业务范围

跨境支付业务主要包括跨境人民币和跨境外汇业务两种。跨境人民币业务是支付机构依托商业银行，由其和商业银行共同向当地的人民银行提出业务申请，业务区域主要集中在“一带一路”沿线对人民币接受度比较高的国家和地区；跨境外汇业务是由支付机构独立向其注册地人民银行申请，主要流程是“收取客户人民币、代理客户购汇、向境外商家结算外币”。两者的主要区别在于依托的消费或者贸易场景不同。我们理解，央行新政将同时涉及人民币跨境和外汇支付业务。

以境外持牌机构参与中国境内（简称“境内”）企业之间的人民币跨境支付业务主要模式举例：

三、境外持牌机构可能面临的违规风险

（一）境内展业的资质问题

境外持牌机构一般会在中国境内设立企业或者办事机构，也有仅在境内设立运营中心的情形。境外持牌机构已获取其注册成立所在国相关支付监管主体颁发的境外支付牌照，比如由香港金融管理局颁发的储值支付牌（简称“SVF”，Stored Value Facilities），或者由英国金融行为监管局批准的支付资格（简称“EMI”，Electronic Money Institution）。

中国人民银行上海总部关于印发《关于上海市支付机构开展跨境人民币支付业务的实施意见》的通知（简称“20号文件”）规定，跨境人民币业务的开办主体为上海市注册成立并有互联网支付业务许可的支付机构，包括在试验区内注册成立和试验区外、上海市内注册成立的支付机构，上海市外注册成立并有互联网支付业务许可的支付机构在试验区内设立的分公司。开办业务条件包括，具有健全的跨境人民币支付业务内控制度和风险管控措施，具有针对跨境人民币支付业务的互联网支付业务技术以及反洗钱反恐怖融资等具体制度和措施等。

《非金融机构支付服务管理办法》第三条规定， 非金融机构提供支付服务，应当依据本办法规定取得《支付业务许可证》，成为支付机构。《非金融机构支付服务管理办法》第十七条规定， 支付机构应当按照《支付业务许可证》核准的业务范围从事经营活动，不得从事核准范围之外的业务。境外持牌机构在未获得中国人民银行颁发的《支付业务许可证》的情况下，不具备境内支付业务展业主体资格。同时，20号文件规定从事境内人民币跨境支付结算采用备案准入制，即相关主体应获得中国人民银行关于《跨境人民币支付业务试点资格》的批复，并按批复的范围开展业务。如批复准予开展货物贸易、留学教育、航空机票及酒店住宿等业务。若涉及汇款业务，支付机构需获得国家外汇管理局关于的《跨境汇款业务试点资格》的批复。境外持牌机构在未获得人民银行跨境人民币试点资格批复的情况下，不具备境内从事跨境人民币业务的展业资格。

通过境外监管方对境内持牌机构的监管案例预测境外持牌机构可能面临的央行监管。我们曾经参与过某家中国境内持牌机构在卢森堡开展业务的评估项目，通过对PSD Law条款的解读发现，只有被卢森堡监管机关授权的法人有资格提供支付服务（Payment Services Directive，Title II of directive 2007/64/EC），支付服务类型包括中国境内持牌机构将资金从中国境内结算至欧盟出口商的境外银行账户中（可以参考业务图解模式三），获批准方式是向金融业监管委员会（简称“CSSF”，Commission de Surveillance du Secteur Financier） 递交申请材料， 金融业监管委员会按规定进行审批，财政部（Ministry of Treasury） 根据金融业监管委员会的审批结果颁发许可证书。卢森堡要求中国企业设立公司并获得PI（Payment Institution）牌照后参与卢森堡的跨境支付业务。反向思维下不难发现，境外持牌机构在境内参与人民币跨境支付也应该取得相应的资质。

目前，境外持牌机构与境内支付机构的共同完成人民币跨境，如境内支付机构与境内进口商签订《支付业务协议》，将批量付款指令传输给境外持牌机构，并将人民币跨境结算至境外持牌机构在境外的管理账户中。境外持牌机构利用其当地持牌的优势，将人民币转化为外币后支付至境外出口商银行账户。人民银行主要通过境内支付机构报备境外合作方及境外收款账户的方式对境外持牌机构监管，没有严格的按照境内标准审查境外持牌机构境内展业的资质问题，也未审查其在反洗钱、反恐怖融资，风险管理以及网络安全、数据安全等方面的能力。    

新规出台之后，人民银行作为支付业务以及支付机构的监管主体，未来对该业内“默认”的人民币跨境模式是否认可？我们认为答案是否定的。《中国人民银行行政审批事项目录表》也将《支付业务许可证》作为行政许可事项予以公示, 并在《中国人民银行办公厅关于非金融机构支付业务监督管理工作的指导意见要求》中明确非金融机构支付业务许可工作应按照行政许可程序要求执行。因此, 支付业务准入属于《行政许可法》调整的行政许可事项并应适用《中国人民银行行政许可实施办法》的相关规定。

（二）网络安全与数据合规问题

境内支付机构开展互联网支付业务应通过公安机关的网络安全等级测评，根据网络系统的类别和是否涉及公民信息，分为网络安全等级保护三级和网络安全等级保护二级。同时，境内支付机构应具备网络安全事件应急预案，具有处理网络安全时间以及突发事件的能力，境外持牌机构的支付网络平台安全源于注册成立地监管机构的要求，各个国家的监管强度和力度不同，境外支付机构直接或者间接参与境内人民币跨境支付服务，应当严格按照《中华人民共和国网络安全法》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》及《网络安全等级保护定级指南》梳理自身网络安全方面的业务合规性。

境外持牌机构的支付业务设施和信息储存安全也应当符合中国境内的法律规定，7号公告明确，“外商投资支付机构应当在中国境内拥有安全、规范、能够独立完成支付业务处理的业务系统和灾备系统；在中国境内收集和产生的个人信息和金融信息的存储、处理和分析应当在境内进行。为处理跨境业务必须向境外传输的，应当符合监管规定，要求境外主体履行相应的信息保密义务，并经个人信息主体同意。”我们可以认为，这是人民银行未来对境外持牌机构数据合规方面的基本要求。境外持牌机构应当依照《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《个人金融信息保护技术规范》、《信息安全技术-个人信息安全规范（2020年版）》等相关规定对企业内部的数据合规进行梳理。同时，境外持牌机构与境内支付机构的业务交互中，作为个人信息处理者因业务等需要确需向中华人民共和国境外提供个人信息的，应按照《中华人民共和国个人信息保护法》的规定尽快梳理数据合规问题。

四、境外持牌机构如何应对新规之下的监管

我国对于违规提供支付服务，以及违反网络安全、数据安全等行为将采取严厉的处罚措施，企业可能面临责令改正，没收违法所得，罚款，甚至责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。企业的直接负责的主管人员和其他直接责任人员可能面临罚款、行政或刑事责任。企业应在新规出台前主动出击，结合境内支付法规及时制定企业整改方案及实施计划，迎接新一波“支付洗牌”。境外持牌机构也应当对主体资格及展业能力角度出发，结合境内对支付机构的规定先行制定整改方案及实施计划。一旦人民银行出台相关的管理办法，企业也可以从容应对。

注释：

[1]简称境外持牌机构，系指未获得中国人民银行颁发的《支付业务许可证》，具有中华人民共和国境外（包括中国港、澳、台地区）支付资质，参与中国境内人民币跨境支付交易的企业。

作者简介：关加贝 律师