来源：支付百科综合 21财经、唐凌、董希淼

支付百科 刘科长

曾有一个段子，小偷把楼下便利店的支付条码换成自己的，每天在家默默的收钱，直到月底店主结款才发现。网友纷纷留言，惊呼现如今做小偷都需要掌握高科技，更感叹条码支付早已深入到我们生活的方方面面。

昨日，中国人民银行发布《关于印发<条码支付业务规范（试行）>的通知》，配套印发安全技术规范和受理终端技术规范。备受关注的条码（二维码）支付，终于有了明确的制度规范。

对此支付宝、微信、银联商务、拉卡拉、美团、壹钱包、新生、随行付均积极拥护，认同央行规范，同时研发新技术以及探索新技术应用于条码支付领域的可行性。

 各主流支付机构纷纷表态：

支付宝

微信支付

银联商务

拉卡拉

美团

壹钱包

新生支付（最艺术的拥护）

随行付

通读全文，敲黑板，划重点，几大看点如下：

 一、明确展业资质，强调业务管理 

规范明确了为实体特约商户和网络特约商户提供条码支付收单服务的，需分别具备银行卡收单业务许可和网络支付业务许可。从业务本质上看，条码支付更多的场景是面对面支付，无论是主扫或是被扫，从商户进件、身份识别、交易处理、风险管理等方面与线下银行卡收单业务大同小异。基于此，规范中强调了提供条码支付收单服务的机构，需执行银行卡收单的规定，进行属地管理。即提供线下条码收单服务的机构，需在当地设立分支机构且具备收单业务资质，确保商户和消费者的权益能够得到有效的保护。

 二、促进普惠金融，服务实体经济 

与281号文件相呼应，此次规范明确了小微商户凭身份证、租赁协议等证明文件即可办理商户入网。至此，无论是线上还是线下，小微商户均可入网开展业务，优化了原有的商户准入要求。这一规定充分体现了监管层尊重现实，很接地气，真心为央妈点赞。同时，基于信用卡的条码支付收款金额实行按日按月累计限额，减少了个别商户利用小微商户身份进行大额套现的可能性，促进条码支付业务回归小额、便民的定位，回归服务实体经济的本源。

 三、严格限额管理，提高风险防范 

近年来，新闻媒体关于“扫码领红包，4000元瞬间被盗”、“扫个二维码，18万就没了”的报道层出不穷。为此，规范提出了支付机构要根据用户的风险防范等级来设置日累计交易限额。简单的说，就是用户的风险防范等级越高，每天可以交易的金额就越高，如规范中提到的A级，采用数字证书或电子签名，再加上静态密码、指纹等要素，就可以不受额度限制；如果商家放个静态码你就敢扫，支付额度自然就低。尽管监管对静态码有不少要求，如商家定期检查，用玻璃罩盖上等措施，但在扫码支付的风险案件中，静态码占比仍很高，那每天就限额500元，即便是被骗，损失也可控。如用动态码付款，风险自然少，限额就会提升。这也是监管政策的一个良好导向。

 四、增强安全管理，促进创新发展 

条码支付相比于银行卡支付，没有物理卡片的载体，也缺少专业设备的支持，在信息安全方面存在一定的隐患。为此，规范从条码的生成和受理方面，强调了相关的系统、软件、终端必须符合标准要求，系统的操作和维护必须由专人进行，条码信息与扫码结果不得包含客户和账户的敏感信息等要求。同时，也对支付机构在提升条码的防护能力、交易安全强度、风险管理机制和客户端软件安全等方面提出了具体要求。此次规范的出台，一方面保障了行业的持续健康发展，这是支付机构生存的土壤，也是创新的基础；另一方面，也为良币驱逐劣币提供了机会，遵循规范要求的创新，可以带来利润和效能，这是支付机构创新的动力。

 五、加强商户管理，规范外包服务 

参照对银行卡收单机构的要求，规范强调支付机构拓展条码支付特约商户要“了解你的客户”，同时要接受中国支付清算协会的行业自律管理。在支付机构拓展商户、开展业务方面，也提出了维护支付服务市场公平竞争秩序的要求，包括不得滥用优势市场地位，开展倾销、补贴等不正当竞争，扰乱市场秩序。另外，规范对支付机构和外包商的业务合作进行了明确要求，即外包商一不能碰交易中的支付敏感信息，二不能碰资金，这同央行前期发布的217号文保持了连续性，显示了央行坚决切断无证机构支付业务渠道，遏制支付服务市场乱象，整肃支付服务市场秩序的决心。

什么是条码（二维码）支付？这要从二维码说起。二维码作为一种可以完全暴露的图形载体，通常显示在各种媒介上，包括印刷材料或者是网页界面。它比普通条形码具有更多的优势，如数据存储量大、纠错能力强、反应更敏捷等。目前，该技术在国内外已被广泛应用于多个领域。

在我国，近年来随着智能手机不断普及，以二维码为代表的条码与智能手机结合，发展成为一种新型的承载和转换数据方式。这种方式被银行业金融机构或非银行支付机构利用后，探索出一种新的支付模式，可将业务从线上扩展到线下支付。所谓的条码支付，是指银行或支付机构应用条码技术，实现收款人、付款人之间货币资金转移的业务活动，包括付款扫码和收款扫码两种方式。

由于门槛较低、成本低廉、支付便捷，条码支付受到了商户、消费者和银行、支付机构的青睐。本世纪初，国内外市场主体开始尝试将条码技术应用于移动支付领域，创新出相关支付产品和服务。在我国，中国银联最早着手研发条码支付；2013年7月，中信银行推出二维码支付业务，打造“异度支付”品牌，不少支付机构还借此大力布局线下支付市场。不过，出于维护支付安全和保护消费者权益等考虑，2014年3月，央行叫停线下二维码支付服务。

此后，中国银联和商业银行的二维码支付在市场中偃旗息鼓。但是，部分支付机构并未真正停止条码支付业务的拓展。2014年9月，支付宝、微信支付随即再次布局二维码支付。

而银联和银行也决定重返条码支付战场。2016年7月，工行正式推出二维码支付产品，成为国内首家具有二维码支付产品的商业银行。2017年5月，中国银联联合40余家商业银行共同推出云闪付二维码产品。

不过，快速发展中的条码支付市场仍然存在着不少问题：

从技术层面看，二维码通过几何图形来记录数据和储存信息，这样的功能也可能携带非法链接或代码。如果二维码支付终端缺乏识别与拦截功能，就可能产生安全漏洞和隐患。而二维码本身的可视化特性，在互联网环境下以图形化方式传输，容易受到攻击，容易传播木马、病毒，造成用户资金损失和信息泄露。

从市场层面看，由于看到条码支付在零售支付领域的巨大发展空间，部分支付机构在拓展业务时，通过不当的交叉补贴、不计成本的低价倾销等手段，甚至滥用本机构及关联企业的市场优势地位，排除和限制支付服务竞争，导致行业无序发展和不公平竞争，不但扰乱了市场秩序，也影响支付市场长远健康发展。

从合规层面看，部分市场机构片面追求业务发展速度，在业务拓展过程中未履行“了解你的客户”义务，违规发展商户，加剧了套现、二清以及外包管理不到位等收单乱象，带来各类安全隐患。部分机构的跨行交易未通过央行跨行清算系统或清算机构，而是直连处理条码支付业务，变相实现跨行清算的功能。

因此，央行在这样的时候果断出手，在充分调研、研讨的基础上，出台关于条码支付完整的业务规范和技术规范。其本意是为条码支付建章立制，明确其小额、便民的定位，既鼓励创新又加强管理，从而更好地保护消费者合法权益，促进市场健康可持续发展。从内容上看，这套规范主要包括三个方面：一是明确条码支付业务资质和清算管理要求，支付机构开展条码支付，应取得网络支付业务许可及银行卡收单业务许可等，涉及跨行清算的应通过央行跨行清算系统或清算机构；二是规范支付收单业务管理，无论是银行还是支付机构应遵守商户实名制、风险评级、风险监测等规定，为实体商户提供收单服务的还应履行本地化经营等责任；三是强调发挥行业自律作用，银行、支付机构从事条码支付业务，应接受中国支付清算协会行业自律管理。

 静态扫码单日限额500元，鼓励使用动态码 

央行明确指出，条码支付有一定技术风险。由于条码是图形显示，不法分子可以通过截屏、偷拍等手段盗取支付凭证盗用资金；此外，条码容易携带非法链接或程序代码，不法分子可将木马病毒、钓鱼网站链接制成条码，诱导客户扫描，窃取支付敏感信息。此外，由于条码支付只能实现发起方或接收方的单向信息交互，一些不法分子实施“中间人攻击”，绕过身份认证机制，造成用户资金损失。扫码设备安全强度低，普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码，易被不法分子非法改装使用。

对于用户主动扫码（主扫）和出示付款码被扫付款（被扫）模式，由于被扫的安全性相对更高，综合安全和便捷因素，在对静态条码做出一些技术要求之外，央行通过对静态条码限额方式引导用户更多使用被扫模式，但对于小微商户广泛使用的主扫模式也并未完全限制。

央行明确条码支付小额、便民的定位，对条码支付根据技术安全等级的不同进行交易限额。无论银行还是支付机构，对于动态条码，如果采用包括数字证书或电子签名在内的两类（含）以上有效要素进行验证的话，单日交易限额可以与客户自主约定。如果采用不足两类有效要素进行验证单日限额1000元。而是用静态条码支付的无论何种交易验证方式，单日均不超过500元。

那么，这些新的要求实施之后，会对用户体验带来影响吗？尤其是，此次规范区分四种情况，对用户使用条码支付付款时提出了限额管理要求。比如使用静态条码的，无论是银行账户还是支付账户，每天的限额都是500元。那么，这会影响我们去买烤红薯吗？其实并不会。一个烤红薯5块钱，500元够买100个烤红薯了。那么，这会影响卖烤红薯大爷的生意吗？只要大爷不是将烤红薯都卖给你，那么他也不受影响。因为这500元限额是针对用户而言，对商户并无限制，大爷一天卖1000个烤红薯都是妥妥的。当然，如果你在饭店里吃了一顿600元的大餐，你要扫码付款就有点困难了。不过不要紧，这个时候你让收银小妹来扫你手机上的二维码就可以。

透露一个安全秘技给大家，以后使用条码支付时，尽量不要拿手机扫别人的静态条码，而是要让别人扫你的手机。那种事先贴在墙上的二维码是静态的，安全性远低于手机上实时生成的动态二维码。