钛媒体注:本文根据钛媒体举办的微信公开课“钛坦白”第20期分享整理。本期是“聚焦金融科技”系列分享的第二期,我们请到了五位支付领域的大咖,分享支付的解决方案,探讨支付产品创新的方法。以下是易极付金服事业部总经理宋阳的分享:
钛客:宋阳,易极付金服事业部总经理,多年从事支付产品设计,负责过移动支付牌照人行检查项目,针对B2B行业和消费金融行业有长期一线的运营经验。
分享主题:支付产品创新的三个必要条件
下面是宋阳在钛坦白分享的干货,由钛媒体整理:
先简单介绍下我们公司,易极付是重庆博恩集团旗下的核心金融服务板块,目前拥有互联网支付牌照、跨境支付牌照和基金支付牌照。我今天主要从方法论角度,跟大家分享下支付产品如何做创新。
必要条件1:充分了解支付产品和支付原则
说到支付产品,通常我们大家会想到收款产品和付款产品。
收款产品包括线上的支付产品和线下的支付产品,线下通常会有pos和现金收款,线上又分成移动版和PC版的收款,PC版包括网银支付和快捷支付。网银支付过程中间又分成对私的B2C的网银和对公的B2B的网银。
而所谓的快捷支付在行业里通常有两种,一种是银行说的快捷支付,另一种是第三方支付说的快捷支付。它们的差别是什么呢?银行的快捷支付是通过银行发短信验证码验证客户的身份来做相应的支付,第三方快捷支付通常是由第三方支付机构包装的一种叫代扣的服务来做验证,之后进行的扣款的服务叫快捷支付。这种快捷支付让用户不用第二次再输入相应的身份证等信息,直接输入支付密码就可以完成支付的。
在移动支付的场景里面,如果不包括前端的技术识别,单纯从后台的能力来看,我们把它简单分成快捷支付、NFC支付和聚合支付。移动端的快捷支付其实从本质上和PC端是一样的服务能力,通过验证用户的身份进行扣款;NFC支付是通过金融IC卡和具有NFC芯片模块的手机进行交互,之后直接输入这张银行卡在ATM机上取款的银行密码,来完成交易和支付。
聚合支付这里就有意思了,它也是有两种,第一种是涉及资金的,第二种是不涉及资金的,像这期钛坦白第一天分享的Ping++(钛坦白干货)是不涉及资金这块的。这两种聚合支付其实区别就是在前端聚合产品还是聚合能力。所谓的聚合产品通常是把微信、支付宝、百度钱包诸如此类的前端产品聚合到一起,用户付款的时候直接在百度钱包、微信、支付宝里面付款,而且资金仍然收在这些不同的第三方支付公司里面,然后分别从第三方支付公司里的帐户上结算到商户的银行卡帐户里面。而涉及资金的聚合支付,会把从支付宝、微信、银联或者其他的一些支付机构付款的资金,通过一种方式聚合到某一个资金帐户里面,特别是银行,银行有一些收付管家的产品会把资金收到一起,帮助商户做统一的对帐和结算。
下面跟大家分享一下付款产品。付款产品说直白一点,就是把自己在第三方支付帐户里面的钱付出去,离开第三方支付帐户体系。从主体和结算时间上来看,我们做了一个划分。从主体说,如果我把我在第三方支付帐户里面的钱结算到自己同名银行卡帐户里面,简称它为提现;如果把我资金帐户里的钱结算到其他人的银行卡里,通常叫代发。从结算时间上有当天实时结算的也有当天逐笔结算的,另外分成按照业务平台不同的结算时间分为T+0、T+N的结算方式。
以上是收款产品和付款产品的一个简单的分类。
从完整的支付解决方案来讲,通常都会用到签(约)、收(款)、付(款)、查(询)、对(账)这五个核心的基本原子能力,这里的“签”指的是支付公司和用户之间会有一份协议签约和验证用户本身是否是真实的,是否出于本人意愿绑定相应的帐户验证付款的真实性;"查"是指查付款和收款的交易订单是否成功,是否失败或者是出现了中间的一些异常的情况; “对"是指对帐,包括和银行之间的交互,资金结算,把帐务明晰对的非常非常清楚,而且还包括和业务平台的资金资金结算的对帐。
了解了分类、流程,还有些原则问题。在支付的基础能力板块里面还有一个很核心很核心的概念,或者说一个弦,必须印在每一个做支付的人的脑海里面,就是动帐户里的资金前一定要有用户的授权和确认。什么叫用户的授权和确认呢?用户的授权比如说我一个用户在线下和你签了一份协议,协议里面约定允许第三方支付公司或者是金融机构动我银行卡里的资金扣我卡里的钱,这个叫授权。什么叫确认呢?确认是说,我们通过各种技术手段去验证用户的真实性,比如说活体验证,包括我们的人脸识别,包括我们的虹膜、掌纹,指纹等,在这个中间其实发挥了决定性的一些很关键的一些作用,包括最简单的短信验证码,语音验证,诸如此类的这些其实都是用户必须主观上确认我授权你来动我的资金,我允许你,OK,你可以动我的资金。
必要条件2:深入剖析业务场景
因为我们集团还有一些投资的业务,所以我会从一些投资视角去看某一个垂直的行业领域是否值得我们做支付产品:
- 产业特性(这个产业的,生产和贸易环节有多少,分别是什么样的)
- 行业产能状态(供给两边情况如何)
- 商品标准化程度(产品的SKU的复杂度)
- 产品是不是刚需,客单价多少(市场规模可以间接算出)
- 购买决策重或轻(多人决策购买,谁是关键人,他有什么特性或需求)
- 上下游支付习惯(现金、网银、票据、电子支付、POS,保证金、红包、优惠券)
- 交易频次(年、季、月)
- 供应链要求(借款主体是谁,用钱干什么,如果获益需要与哪些人分)
- 人员素质和专业度(对信息化的接受程度)
通过上面的漏斗我们可以简单的分析和判断哪些行业值得我们深挖去做,哪些行业可能还需要暂时放缓。
在整个场景的剖析过程中,我们需要重点关注的是,参与整个生态链条的人分哪几种角色?谁与谁之间真正有交易?在进入行业领域之后,我们需要关心的是他的交易的模式:
- 1-1(点对点),就是A和B之间点对点的交易,没有其他人参与,比如转帐;
- 1-N(分销),也就是说我建了一个平台,把货物分销到一级批发商、二级批发商,以及下面的门店,下游给厂商来打款;
- N-1(采购),就是一家生产或贸易型的企业向上游供应商采购货物,他自身平台付款给多家的供应商,为供应商基于线上的订单进行付款;
- N-1-N(集采集销),我集中向下游把他们的采购需求统一到我的平台上来,由我集中向上游的供应商去下订单采购,交易的对手方都是这个中间的平台,平台是中间的核心企业;
- N-N(撮合),两边都是有N多的买方和卖方,平台在中间提供信息的撮合,这个里面有时候资金会经过平台,有时候资金不过平台,资金过平台的时候,会在付款方和收款方之间有一个叫代收代付的协议。
必要条件3:把控业务风险
下面跟大家一起探讨在我们的交易场景中的一些风险的把控。从我们前段时间在B2B运营和消费金融的运营上来看,我们把它做了一些抽象:
- 1-N(分销):付款方否认交易、盗刷;
- N-1(采购):无交易背景的洗钱;
- N-N(撮合):资金池,挪用资金;
- N-1-N(集采集销):盗刷、洗钱。
从我们实际运营的角度来看,我们重点要控制的是,真正交易的责任人是谁,中间过程中可能用了一些风控的手段,包括限额、用户登陆、交易的背景、目标,这些我们都是在日常的风控措施里面重点考量的,但是在这些考量的背后,重点就是要明确交易责任人。
对于付款方来讲,我们通常会从人、帐户、卡、设备、交易五个角度来看当前的付款方是否是安全可靠的,是否是真实的:
- 人。互联网上所有的诈骗的行为都是人做的,而不是机器做的,并且只有人会利用bug,如果是一个bug在那里,如果没有人利用他,其实是不会发生相应的损失的,所以在这个环节里,实名和用户身份是我们反欺诈重点的重点,也是中间最重要的一个基石。如何关注这个人呢?这个人使用的证件我们都需要去重点关注,证件的发放时间、有效期也要关注,这个人的年纪、性别、出生地、经常登陆的地址、手机号码的归属地、有几个手机、活跃度,这都是我们平时从数据角度来讲重点要关注和分析的。
- 帐户。一个人会开立多个帐户,这些帐户是否统一管理?对于支付公司或者金融服务公司来讲,它是一个开放式的服务结构,这就意味着它可能对接多个平台,但是在这个结构里面就会产生,一个人在A平台注册了一个帐号,在B平台也注册了一个帐号,他们同时对接的都是这个支付平台,这个时候对于支付平台就需要能够从支付帐户和业务帐户的前面识别出是同一个人,这点非常非常重要。这个帐户他绑定了多少张银行卡,注册的时间、地点,他的设备是什么,指纹是什么,与其他帐户关联的角度是什么,都需要我们关心。
- 卡。如果要做交易,势必会关联银行卡,单纯的平台帐户,除非像支付宝和微信支付有相应的余额,其他的一些平台大多都是通过绑定银行卡来完成相应的交易,那意味着一个帐号下面他可以绑定多张银行卡,是允许绑一张、五张还是一百张,那肯定业务平台需要做相应的设定,根据他的业务场景来做相应的限制。另外,对每一个人所有帐户下的卡都需要有一个统一的管理和监控,以防止盗刷,及时发现交易的异常。
- 设备。就是完成网上交易的终端,而一个人持有的终端设备其实是有限的,设备现在我们早期的迈克地址是唯一的,MAC地址可能会被模仿,我们可以融入其他,迈克地址以外的其他更多的硬件设备,包括时间、空间、地理位置以及其他的关联信息组合成我们说的设备指纹来标识这个设备,设备也是有白名单和黑名单这样一个关键性的要素在里面。
- 交易。前面四个都是导致可疑交易或者是欺诈交易的基础,这个交易他在什么样的背景条件下,交易的信息和本质的内容是什么,这是我们作为一个反欺诈关键的关键。
对于收款方来说,我们主要关注的第一个问题是,它是把资金结算到对公帐户还是对私帐户,这个需要把它拆开来讲。
对公账户,第一个要注意的是经营范围。任何一个商户入住平台开通相应的收款的支付帐户的时候,必须要经过严格的审核流程,当然这中间过程中大商户和小商户需要区别对待,因为需要兼顾一些平台的执行的效率,不能说小商户也按大商户的模式来走,那样运营的效率会特别的低,但无论是大商户还是小商户,都需要做定期的排查,核查他们的交易是否有问题,是否涉及黄赌毒,包括国家明令禁止的一些行业和经营范围。审查开户流程之后,我们需要给他商户开放相应的功能,功能里面包括我们交易支付的额度,交易的频率,特别是跟提现相关的额度和频率,这是我们重要的风控手段。我们必须根据用户的需求和风险来评估和制定相应的结构,从而来开放相应的功能,因为只要资金还在我们的帐户上,对于支付机构或者说金融机构它就有主动权,如果钱都已经结算出去了,想要再把它找回来,是一件非常难的事情。
所以,作为对公帐户来讲,我们需要在准入的时候做严格的风控要求,网上不允许销售的商品或者国家明文禁止的一些东西,必须坚决不接入。包括有一些网站在ICP备案上或在国家实名制上的一些要求有瑕疵的,包括网站负责人提供身份证件有一些问题的,我们就要坚决的抵制或者不接,这是我们重点把握的一个基本底线。
第二个是开户时间。有一些盗刷的或者洗钱的平台,一个平台刚刚注册,它下面的子帐户也马上跟着去开户,其实是因为这个盗刷集团找了一些皮包公司或者是壳公司注册了一下,也有相应的资质和证件,看上去也挺合规的,但是马上它就用自己买的其他人的银行卡快速地通过你们的业务平台,来做相应的虚假交易。虚假交易就把资金结算到他的所谓的对公帐户上然后就卷款跑了,这个时候相应的平台包括我们帮他做资金服务的结算平台都要承担相应的责任,所以在开户时间上也需要特别关注,因为经常正常在平台上做交易的特别是供应商,大多数都是有半年、一年或者好几年的从业经验。
对私帐户,很多时候有些业务平台有一些法人,或者说有买卖双方是个体户的情况,他希望把相应的资金结算到他的私人帐户上,他可能是出于避税的一些角度去思考或者提这样的一个需求,当然我们作为支付公司或者作为平台来讲,也能够理解这样的需求。但是核心点是说,这个人是真实有效的,他确实是一个经营人,他确实应该收到钱,这个时候我们可以帮助他,但是如果不是他,我来做相应的生意,他说我要结算到我老婆的帐户上,怎么证明你这个经营者和你这个借算银行卡帐户的持卡人是夫妻关系,其实无从考量。有的平台说我把我的结婚证、住房证明或者是其他的一些资质证明拿出来,如果确实是证明他们之间有这样的关系,包括说我的资金确实授权结算给他,也确认开户和经营的主体授权把自己的资金结算给到他的时候,其实也是可以考虑的,只要真的真实有效。
但是如果没有经营者的或者开户人本人的授权,而私自把相应的资金或者帐户上的钱结算到其他人的账户上,其实是有巨大风险的,一旦发生拒付、盗刷,平台方需要找相应的责任人的时候,其实是非常非常困难的。
综上我们认为,作为一个支付公司的支付产品经理,如果要做相应的支付业务或者是支付产品的创新,还是需要掌握三种基本的能力:第一是熟悉和了解我们支付的能力;第二是针对我们的业务场景要有深入的剖析;第三是把控住中间可能涉及到的业务的风险,明确真正的交易责任人是谁。(本文首发钛媒体,根据易极付金服事业部总经理宋阳在钛坦白上的分享整理)
………………………………………………
钛坦白第21期:聚焦金融科技之支付安全与创新2
7月18日
19点-20点 OKCoin副总裁兼首席研究员段新星:区块链将如何促进金融支付创新?
20点-21点 豆荚科技联合创始人、总裁张楚:从移动支付看手机安全新趋势
7月19日
19点-20点 国泰君安分析师王维东:融合支付与金融创新
20点-21点 科大讯飞云平台事业部人脸声纹技术主管李繁:多生物特征融合认证在安全支付领域的应用
21点-22点 同盾科技联合创始人兼反欺诈及基础风控部产品总监祝伟:基于大数据风控的支付创新
报名入群方式:在微信公号“钛媒体”(taimeiti),发送“钛坦白”获取
合作:请与钛坦白负责人佳音联系,邮箱jiayinge@tmtpost.com
根据《网络安全法》实名制要求,请绑定手机号后发表评论
支持干货分享