支付服务指令2 (PSD2)
一 背景
支付服务指令(Payment Service Directive,简称PSD)最初于 2007 年通过,是单一欧元支付区(SEPA)的法律基础。PSD2 是修订后的支付服务指令。“2” 是指修订后的指令,因为它取代了原始支付服务指令(PSD)。PSD2 中概述的法规旨在保护消费者及其数据,其中包括更加安全可靠的支付选项、更快的支付周转,还定了退款权。
PSD 旨在使欧洲支付委员会 74 个成员国之间付款更便捷,并改善对欧盟成员国公民的消费者保护。PSD 的首要目标是通过将支付服务提供商集合在一套法规和标准之下,加强欧洲支付行业的参与和竞争。它适用于银行、金融机构以及非金融企业。
PSD2 指令有豁免权,主要适用于小型交易或被认为是低风险的交易。这包括小额非接触式支付、“白名单” 企业支付、经常性交易以及被视为 “低风险” 欺诈机会的其他交易。
该指令旨在向欧洲支付行业引入公平的做法和规则,这主要是通过 “最大限度协调” 的概念来实现的。最大限度的协调是指在考虑支付服务提供商的权利和义务的同时,也考虑到保护消费者的必要性。其目的是通过设立加强竞争、保护用户、加速支付流程以及明确界定所有参与者的权利和适当程序的法规,在两者之间取得平衡。
二 PSD2 所需的技术
PSD2 通过授权消费者和机构使用第三方支付服务提供商进行交易和管理财务,从而鼓励参与和竞争。第三方提供商包括金融公司、通过数字应用提供服务的金融科技公司或单独的独立支付提供商。
该指令要求支付服务提供商公开开放的 应用程序接口(API),使消费者能够通过第三方提供商安全地访问自己的银行账户和信息。这些支付服务提供商分为三大类:
- 账户信息服务提供商 (AISP) 可以访问敏感数据,以便分析支出模式,从而获得更多的商业智能。
- 支付启动服务提供商 (PisP) 是为消费者和组织发起交易的服务提供商。
- 账户服务支付服务提供商 (ASSP) 是提供可在线访问的支付账户的金融机构,包括银行、房屋信贷互助会、财富管理公司和投资公司。
这些机构处理个人消费者和组织的敏感个人数据,包括卡数据、银行账户信息、全名、政府签发的身份证号码等。因此,遵守 PSD2 的机构还必须遵守欧盟通用数据保护条例 (GDPR) 合规性法规。
鉴于通过开放式 API 访问的客户信息的敏感性,PSD2 规定了严格的安全数据保护规则,包括通过强客户身份验证来验证用户身份以及允许客户授权同意并指定数据使用偏好。该指令要求对电子支付进行强客户认证。它还规定,企业必须遵守通用和安全通信实践。通过采用这些做法,支付服务提供商与其消费者之间可以更快、更安全地共享数据。
三 PSD2 对数字化业务的影响
PSD2 通过整合整个欧洲的支付市场,帮助推动欧洲金融行业朝着正确的方向前进。修正案背后的动机是能够在欧洲经济区内颁布开放式银行标准。开放式银行是建立在通过结合传统银行、金融科技创业公司和其他新技术来实现银行现代化的理念之上的。
开放式银行利用 API 来实现与第三方应用程序和服务器的集成。它还促使各机构采用开源技术,这意味着采用最新的数据隐私标准。无论机构位于欧洲经济区,还是接受来自欧盟内部组织的电子付款,您都必须遵守 PSD2 法规。