蔡洪波解读《条码支付规范》:排除坏商户 防止不法支付
条码支付是当前应用十分普遍,非常贴合零售小额便民支付需求的支付方式,获得了广大消费者的欢迎和认可。
(中国支付清算协会执行副会长兼秘书长 蔡洪波)
条码支付是当前应用十分普遍,非常贴合零售小额便民支付需求的支付方式,获得了广大消费者的欢迎和认可。
为了进一步规范和推动条码支付业务的发展,人民银行近日发布了《条码支付业务规范(试行)》(以下简称《业务规范》)、《条码支付安全技术规范(试行)》(以下简称《技术规范》)以及《条码支付受理终端技术规范(试行)》,为条码支付业务开展提供统一的规范和标准。
这是我国首次对条码支付的一次全面、系统的安全梳理和管理规范,应该说,在全球范围也属比较新的尝试,反映了监管部门在如何跟进、管理和推动创新支付方面的前瞻思考和最新实践成果。总的来看,条码支付规范出台有利于引导市场主体合规经营,合理创新,有序竞争,防范资金和信息泄露风险,加强消费者权益保护,从而推动支付普惠包容发展,更好地服务新消费和实体经济。
作为新兴的、广受欢迎的支付业务,条码支付还在不断的创新发展中。我们对它的认识、观察和研究在不断深入中。条码支付规范的发布是十九大以后,在以人民为中心和加强监管的精神引领下,监管部门指导并与行业协会及市场主体充分磨合的成果,既反映了监管的规范要求和创新理念,也体现了市场机构的诉求和消费者的利益。条码支付规范综合性强,设计严谨,注重规范,同时又兼顾便捷和实际需求,具有以下鲜明的特点:
一、围绕基于“条码介质”的安全管理,保障条码支付的安全可靠
在条码支付业务推出初期,由于国内条码支付技术、业务模式及安全管理等方面处于探索阶段,尚无统一的业务和技术规范。与传统的银行卡不同,条码支付的条码具有可视化,容易被复制、截屏、传输,可以被打印,安全防护能力不强。很多不法分子就是针对条码防护能力弱、使用环境可控性差这些特点实施诈骗。如静态条码被调换、伪造条码进行欺诈、条码中嵌入木马病毒程序等导致客户个人信息泄露和账户资金被盗用等。
因此,人民银行针对条码生成和受理提出一系列安全性要求。一是加强对终端设备、应用软件和业务系统的管理。特别是从木马病毒防范、信息加密保护、运行环境可信等方面提升条码支付客户端软件的安全防护能力。二是明确条码信息仅限包含当次支付相关信息,不应包含任何与客户及其账户相关的支付敏感信息。三是通过设置条码使用效期、使用次数等方式,确保条码有效性和真实性。四是通过安全单元、支付标记化、条码防伪识别等手段,提高条码的安全防护能力。
条码安全,条码支付才能安全。正是通过对条码强化安全防护,使条码支付更加安全可靠,大幅度降低基于条码的支付诈骗风险,增强消费者对条码支付的信心。
二、围绕“交易额度管理”等制度设计达到技术安全水平与使用便捷之间的平衡
基于鼓励创新、防范风险的原则,综合考虑技术安全和方便使用两方面因素,根据《技术规范》确定的风险防护能力的等级,分类实施交易额度管理,同时要求银行、支付机构运用交易验证强度与交易额度相匹配的技术措施提高条码支付交易的安全性。
一是为引导银行、支付机构提高交易验证方式的安全性,加强客户资金安全保护,对于采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的条码支付业务,由银行、支付机构与客户通过协议自主约定单日累计额度。
二是对未采用数字证书、电子签名等要素进行交易验证的条码支付,根据验证要素的情况进行分类管理。采用指纹、密码等两种及以上其他有效要素进行交易验证的条码支付,同一客户单个银行账户或者所有支付账户、快捷支付单日累计交易金额应不超过5000元。对于采用不足两类验证要素的,相应的额度不超过1000元。这两类条码支付是当前市场的主流业务类型。一方面,交易额度的设定,可以防止条码支付交易超过其匹配的安全防护能力,朝大额化发展;另一方面,其额度与风险防范能力相匹配,通过多要素交叉验证能够有效提高安全水平,因此通过交易额度的分类设计给予消费者选择权,同时也鼓励银行和支付机构采用更多的验证要素来提升安全水平。
三是基于防替换、防盗刷等因素考虑,要求银行、支付机构对使用静态条码进行支付执行更加严格的额度管理措施。同一客户单个银行账户或者所有支付账户、快捷支付单日累计交易金额应不超过500元。
总体看,各项单日累计交易额度能够有效满足绝大部分客户使用条码支付进行付款的需求,基本不影响消费者使用的便利性体验,同时也能够显著提高条码支付的安全水平。
三、围绕“特约商户”的有效管理,防范和遏制违法犯罪活动
特约商户管理是条码支付安全管理的基础和重要环节。加强对条码支付特约商户的管理,其目的在于排除“坏商户”,防止“不法支付”,特别是由商户作为主谋或者帮凶参与的诈骗、洗钱、欺诈等犯罪活动,更好地维护条码支付业务参与各方的合法权益。
考虑到条码支付业务涉及银行账户和支付账户,且应用于实体特约商户,为保持监管制度和标准的一致性,参照《银行卡收单业务管理办法》、《中国人民银行关于加强银行卡收单业务外包管理的通知》等规定,从特约商户实名制、特约商户审批、特约商户信息留存及管理、黑白名单管理、实体商户属地化管理、外包业务管理等方面明确了具体的要求。
同时,强调了对于小微商户的服务和管理。基于市场发展现状和市场主体经营实际,针对小微商户的资质审核和认定,以及交易限额、交易功能权限等风险管理措施提出明确要求。以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元,月累计不超过1万元,但受理基于借记卡的条码支付不受收款额度的限制。
四、围绕“资金和信息”安全保护,维护广大客户的合法权益
由于条码支付的环境更开放,而且由于条码支付小额高频,消费者对支付安全的重视程度不足,容易引发“聚沙成塔”型的风险事件和消费者权益被侵害而不了了之等问题。为切实保障客户知情权及资金和信息安全,人民银行从账户及交易信息安全、业务及风险信息披露、争议和投诉处理、客户安全教育等方面对市场主体提出了相关要求。一是确保相关客户身份或账户信息安全,防止泄露;二是采取技术措施,以保证交易信息传输的安全性、完整性和抗抵赖性;三是充分披露条码支付业务产品类型、办理流程、操作规程、收费标准等信息,明确业务风险点及相关责任承担机制、风险损失赔付方式及操作方式;四是持续完善客户服务体系,及时受理和解决客户咨询、查询和投诉等问题;五是开展对客户的支付安全教育,提升其风险防范意识和应对能力。
五、充分发挥行业自律作用,促进市场主体规范经营、合理创新
自2014年以来,人民银行指导中国支付清算协会组织会员单位研究制定业务和技术规范。协会通过书面征求意见、召开专题会议等形式,多次听取会员单位的意见建议;结合监管要求和市场创新发展情况,组织会员单位对关键条款进行研究讨论和修改完善,并积极与监管部门汇报和沟通,为监管部门决策提供信息参考。
在条码支付规范的落实实施方面,协会将根据相关要求,履行条码支付业务的自律管理职责,将条码支付特约商户纳入特约商户信息管理系统管理,对条码支付外包服务机构纳入银行卡收单外包服务机构评级体系管理,对被实名举报涉嫌违法违规开展条码支付业务的,按照《支付结算违法违规行为举报奖励办法》及其实施细则的要求进行处理。
同时,条码支付业务规范强调了业务资质要求,重申了清算管理要求,同时对于规范市场竞争也提出要求,市场机构不得以任何形式诋毁其他市场主体的商业信誉,不得采用不正当竞争手段侵害其他市场主体利益、排挤竞争对手,破坏市场公平竞争秩序。
条码支付规范发布后,协会将严格按照业务和技术规范的相关要求,积极发挥行业自律作用,引导会员单位认真贯彻落实监管要求,做好政策的宣传和解读,及时跟踪反馈落实中的难点问题,积极研究条码支付业务出现的新情况、新问题,加快业务和技术规范的协同落实,推动条码支付市场更加规范、业务更加便捷、服务更加普惠,创新更有活力,成为新兴支付业务中的“小而美”和“水电煤”式的业务形态,更好地服务于新时期我国经济社会发展。