央行出台支付条码新规 条码支付告别“无证驾驶”
2017年12月27日傍晚,中国人民银行发布《关于印发的通知》,(下称“《规范》”)以及配套技术安全规范文件《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》,自2018年4月1日起实施。
原标题:央行发布 《条码支付业务规范 (试行)》 条码支付告别“无证驾驶”
《中国经济周刊》记者 张燕|北京报道
(本文刊发于《中国经济周刊》2018年第2期)
2017年12月27日傍晚,中国人民银行发布《关于印发<条码支付业务规范(试行)>的通知》,(下称“《规范》”)以及配套技术安全规范文件《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》,自2018年4月1日起实施。
中国人民大学重阳金融研究院高级研究员董希淼称,央行此次提出的关于条码收单等相关要求,只是重申《银行卡收单业务管理办法》等已有制度,并非新的更高的要求。“对条码支付进行规范,是近年来央行加强支付清算市场乱象整治工作的延续,也是在支付清算领域防控金融风险的具体举措。”
“静态条码”:单一客户每日限额500元
随着移动支付的普及,扫二维码已经成为众多消费者线下购物的主要消费习惯。数据显示,2017年全国已经有4000多万小商家靠二维码贴纸实现了收银环节的数字化。不管是在餐厅买单、商店购物,还是在街边摊贩处买红薯,都可以通过扫描二维码进行支付。
尽管二维码支付场景早已延伸至日常生活的多个角落,但由于相关技术标准一直未出台,在条码生成机制和传输过程中存在的风险隐患,使得监管部门对二维码支付安全性的担忧一直存在。2011年,央行同意部分非银行支付机构在限定场景内试点开展条码支付业务,审慎地将条码定位于银行卡支付的补充,并提出严格的风险管理要求。2014年,在未建立有效安全措施、统一的业务规则和消费者权益保护制度的背景下,央行一度下令叫停线下条码支付业务。
央行有关人士在答记者问中表示,此次《规范》正是针对二维码支付可能引发的风险隐患,填补制度空白。在重申第三方支付机构必须持牌经营、切断与银行多头直连、遵守跨行清算系统规定、不得采用不正当竞争手段的情况下,《规范》将二维码支付分为静态条码和动态条码,并采取了交易限额管理,要求发行二维码的银行、支付机构应根据风险防范能力等级,在确保风险可控和尽量满足用户需求的前提下,科学合理设置相匹配的日累计交易限额。
《规范》明确支付机构向客户提供基于条码的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。
北京网络法学研究会副秘书长、中国社科院金融所支付清算研究中心特约研究员赵鹞打比方称,《规范》是条码支付的“驾驶证”,央行发布《规范》,条码支付从此告别“无证驾驶”与“危险驾驶”。
值得注意的是, 《规范》将条码支付分为付款扫码和收款扫码。“付款扫码”是指付款人通过手机、Pad等移动终端识读收款人展示的条码完成支付的行为,是用户主动扫码付款,俗称“主扫”;“收款扫码”是指收款人通过识读付款人移动终端展示的条码完成收款的行为,是用户被动扫码支付,俗称“被扫”。
具体而言,《规范》将二维码的风险防范能力从高到低分为A、B、C、D四级,风险防范等级越高,单日支付限额就越高。其中,静态条码由于易被篡改和携带木马或病毒,支付风险最高,风险防范等级最低,为D级,无论使用何种交易验证方式,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额不超过500元。
《中国经济周刊》记者了解到,静态条码目前被认为是风险最大的支付领域之一。在此前的试点应用中,条码支付风险乃至用户资金损失多发生于“主扫”,特别是“主扫”静态条码。此次除了限额管理外,新规还提出了一系列防范静态条码风险的措施:包括要求静态条码应由后台服务器加密生成、要求展示静态条码的介质应放置在商户收银员视线范围内,同时引导付款人“主扫”经过安全加密和设置有效期(一般为一次性条码)的动态条码,将商户的较大金额收款行为也引导到“被扫”上来。
部分机构滥用市场优势地位扰乱市场秩序
央行有关人士在答记者问中表示,二维码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险,包括可视化风险、易携带恶意代码的风险、信息单向交互风险以及扫码设备安全强度低的风险。
1月1日,成都火车北站东二路旁的一条小巷内,一名连续在两家商铺消费的顾客发现两次支付的收款人是同一个人。随后,小巷内经营的十多家店铺发现,自己贴在门口的二维码收钱码不知道什么时候已经被别人更换。也就是说,从更换之日起,这些小店的经营额全部进入了别人的微信钱包。
这样的事例在全国时有发生。《中国经济周刊》记者从多名从事金融行业安全认证的专业人士处得知,尽管互联网公司一再强调本身的金融安全,但是从技术层面来看,二维码支付趋势存在一定的安全风险。目前市面上大部分商家的“收钱码”都处在开放可视的环境下,很容易被盗取支付凭证;其次,二维码本身包含的信息可能是木马病毒,用户扫码之后会造成支付信息被窃,造成资金损失;此外,二维码支付的数字证书、电子签名还不完善,交易发生后的可追溯性不强,一旦资金损失,不容易找到对应的真实交易者。
央行发言人指出,条码支付在促进移动支付普及发展的同时,出现扰乱市场公平竞争秩序的现象。近年来,条码支付在小额、便民支付领域市场份额持续增加,促进了移动支付的快发展和普惠金融的广覆盖。但是,部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争,扰乱市场秩序。
中国人民大学重阳金融研究院高级研究员董希淼称,从合规角度来看,部分市场机构片面追求业务发展速度,在业务拓展过程中未履行“了解你的客户”义务,违规发展商户,加剧了套现、二清以及外包管理不到位等收单乱象,带来各类安全隐患。
中国支付清算协会执行副会长兼秘书长蔡洪波认为,目前部分机构跨行交易时未通过央行跨行清算系统或清算机构,而是直连处理条码支付业务,变相实现跨行清算的功能。因此央行在《规范》中要求银行业金融机构、非银行支付机构开展条码支付业务涉及跨行交易时,必须通过人民银行清算系统或者合法清算机构处理,支付机构还应符合相应的业务资质要求。
争夺场景应用,支付入口上演三国杀
在业内看来,监管层对第三方支付领域的强化监管,在防范风险的同时也促进了第三方支付市场的洗牌整合。尤其是二维码支付,一直被视作是微信、支付宝和银联对线下产品争夺的切入口。
据了解,支付宝在近期推出了“发红包赚赏金”瓜分10亿红包的活动。用户在支付宝内获得红包二维码后分享发布,他人通过扫描后获得随机红包,该红包只可以在线下消费支付时抵扣相应金额,与此同时,分享红包二维码的人则获得相应的红包金额奖励。对于支付宝来说,以如此烧钱贴补优惠的政策来打支付大战,不仅仅是出于对市场份额的占领,更是为了能够吸引更多消费者进入线下消费支付的场景应用之中。
无独有偶,就在2017年10月,微信支付上线了小程序“红包店”,并与不少门店联合拓展线下支付场景。据微信团队介绍,微信用户可以通过到店“支付领红包”和线上“好友抢红包”两种方式,获得现金红包奖励,据了解,在活动推出不到一个月时间里,腾讯就累计发放了接近2亿元的现金红包。
对于微信和支付宝这两大早已雄踞移动支付市场的巨头而言,再次发起补贴大战的压力或许来自姗姗来迟的银联。2017年6月,银联借力云闪付的新功能“二维码支付”打响反击战。云闪付的推出意味着银联集齐了各家发卡行的支付场景资源,有了统一的客户经营阵地。业内认为,这将给双雄割据的移动支付战局带来极大变数。
目前,移动支付巨头们的争夺场景已经从商家转移到了公共出行。无论是腾讯在共享单车支付场景下的密集布局、支付宝抢占地铁支付场景,还是银联率先在公交领域实现突破,未来二维码支付的场景之战只会愈演愈烈。伴随着监管日趋规范,条码支付的技术日益成熟,围绕着支付入口这一新的争夺点,这场由线上转到线下的场景大战还将继续。