（原标题：条码支付有了行业规范）

• 
  方便快捷的条码支付，越来越受青睐。本报记者 卫波 摄
  
  

• 

扫码时代，二维码无处不在。街头巷尾，无论是在便民餐车吃早点、商场超市购物买菜、还是打车骑车，随时随地“扫一扫”，早已成为我们的家常便饭。
　　2017年岁末，中国人民银行对支付条码进行了规范，新规将于2018年4月1日起执行。支付新规对老百姓的日常消费有何影响？对于支付创新会不会有约束？日前，记者采访了中国人民银行太原中心支行支付结算处副处长耿忠，对新规进行进一步解读。
　　记者：这次支付规范出台的背景是什么？为何要规范条码支付？
　　耿忠：条码支付具有支付便捷、应用门槛低的优势，在推动普惠金融和优化我国非现金支付环境建设方面能够发挥积极作用。对创新支付的监管，人民银行一贯秉承“鼓励创新，防范风险”并重的原则。
　　为鼓励市场机构业务创新，2011年，人民银行同意部分非银行支付机构（以下简称支付机构）在限定场景内试点开展条码支付业务，将条码定位于银行卡支付的补充，并提出严格的风险管理要求。随着近年来支付标记化（Tokenization）等技术在移动支付中的广泛应用，客观上提高了条码支付的安全标准。但是，由于缺乏统一的业务规范和技术标准，在条码生成机制和传输过程中仍存在风险隐患，也引发了支付安全的风险案件，市场机构在业务推广过程中还存在不正当竞争等现象。
　　为鼓励并规范金融创新，促进条码支付健康可持续发展，中国人民银行指导中国支付清算协会组织会员单位、专家学者进行研究论证，研究制定了条码支付业务规范和技术规范，并于2018年4月1日起执行。
　　记者：支付新规出台，对普通老百姓有什么影响？
　　耿忠：新规出台对山西消费者不会有任何方面的实质性的影响，只会让消费者条码支付在便捷的基础上更加安全。
　　对于涉及到老百姓消费的，仅仅是在限额上划分。这种划分，它能够满足各个层次的消费者，使大家扫码消费更加安全。设定一个限额，就等于是个防护墙。
　　大家日常购物时扫商家贴的这种二维码就是静态条码，因为长期有效，它就可能被不法分子篡改，或者替换。所以，限额是为了更好地保护消费者的资金安全。
　　我们生活中条码支付用的最广泛的就是到便利店、菜市场、早点摊等消费，这500元的限额对满足小微交易没有问题。如果购买的东西超过500元，可以和商家协商，让商家扫消费者手中的二维码。
　　记者：针对条码支付技术风险，新规提出了哪些针对性要求？
　　耿忠：扫二维码虽然方便，背后却有不少安全隐患。针对条码支付技术风险，新规提出了以下要求。
　　加强条码安全防护。采取支付标记化（Tokenization）、有效期控制、条码防伪识别等手段，提升条码生成、存储、展示、识读、解析、使用等环节的安全防护能力，有效保障条码的可靠性和有效性。
　　提升条码支付交易安全强度。针对不同条码生成方式，提出加密生成、定期更新、终端唯一标识绑定等具有针对性的安全防护措施。要求银行、支付机构和清算机构运用交易验证强度与交易额度相匹配的技术措施提高条码支付交易的安全性。
　　强化条码支付交易风险监测与预警。合理应用大数据分析、用户行为建模等手段建立条码支付风险监控模型和系统，对异常交易及时预警并附加风控措施，对高风险交易及时告知客户资金变化情况。
　　加强客户端软件安全管理。从木马病毒防范、信息加密保护、运行环境可信等方面提升条码支付客户端软件的安全防护能力，要求客户端软件能够监测并向后台系统反馈手机支付环境安全状况并作为风控策略的依据。
　　记者：条码支付的业务规范要求和安全管理措施是否会制约支付创新发展？
　　耿忠：不会的，只会使其更规范。支付服务属于金融服务，与社会经济运行和百姓日常生活密切相关，支付安全关乎人民群众财产安全和合法权益，稳健经营关乎产业的健康可持续发展。
　　新规出台主要还是对于相关机构的约束，对于银行、支付机构等要求在一个月之前报告人民银行，并不是限制创新，只是让创新更加规范。
　　便捷的使用方式、良好的用户体验是支付创新的生命力，但不能单纯追求无底线的创新；稳定、可持续的投入和运营是支付业务长远发展的保障，不能为了追求短期的市场份额，采取“烧钱”“补贴”等不当竞争手段。
　　记者：对于普遍使用的静态条码，提出了哪些针对性的风险防控措施？
　　耿忠：我们常用的静态条码易被篡改或变造，易携带木马或病毒，真伪难辨，导致支付风险较高。因此，新规提出了一系列防范静态条码风险的措施。
　　一是要求静态条码应由后台服务器加密生成，宜采用防伪纸张展示条码，防伪纸张应具备一定防伪特征。二是要求展示静态条码的介质应放置在商户收银员视线范围内，商户应定期对介质进行检查。三是要求静态条码采用防护罩等物理防护手段避免被覆盖或替换，宜使用防伪标签对防护罩进行标记。四是要求在静态条码介质显著位置明显展示收款方信息，便于用户核对。五是通过风险防范能力分级管理，进一步规范使用静态条码，并鼓励使用风险防范能力较高的收款扫码方式。
　　记者：这次新规对消费者使用条码支付付款的交易限额管理是如何统筹考虑的？
　　耿忠：条码支付与传统银行卡等支付工具相比在交易安全性上存在一定不足，人民银行坚持条码支付小额、便民的定位，对条码支付风险防范能力进行分级。发行条码的银行、支付机构应根据风险防范能力等级，在确保风险可控和尽量满足用户需求的前提下科学合理设置相匹配的日累计交易限额。
　　为了保证消费者的权益不受侵害，新规中，央行对不同条码按风险防范能力进行分级，并规定了相应的支付限额，对消费者使用的条码支付付款限额有四档。A级风险防范能力的交易金额自主约定，采用包括数字证书或电子签名在内的两类（含）以上有效要素进行验证，想花多少花多少；B级采用不包括数字证书、电子签名在内的两类（含）以上有效要素进行验证，限额5000元；C级采用不足两类有效要素进行验证，所有支付账户、快捷账户限额1000元；使用静态条码进行支付的，风险防范能力为D级，意思是，无论使用何种交易验证方式，同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。
　　商家贴在柜台上让客户扫的那种就是静态条码，因为这个条码是固定的、长期有效的，所以容易被不法分子篡改或者替换。扫静态码支付的金额限制，对绝大多数消费者而言不存在实质性的影响，因为这种条码支付一般都是用于日常的小微交易。万一消费者要买件衣服超过500元钱，可以让商家来扫消费者手机上的动态二维码。动态码的限额也是经过广泛、深入地调研，基本上能够满足消费者日常的需求。
　　因为移动支付它本身的定位就是小额、便捷，和银行卡的刷卡消费定位是不一样的。这样的话，在安全性和便捷性上能够达到一个比较理想的平衡。
　　为引导银行、支付机构提高交易验证方式的安全性，加强客户资金安全保护，对于风险防范能力高、交易验证方式更为安全的，不设定额度上限，市场主体可与客户自行约定交易限额。基于防替换、防盗刷等安全因素角度考虑，要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施，以鼓励市场主体采用更为安全的动态条码提供支付服务。依据主要市场机构条码支付交易数据显示，上述额度已覆盖绝大部分使用条码支付付款客户及商户的需求。
　　记者：对特约商户受理条码支付进行收款都有哪些具体要求？
　　耿忠：加强对条码支付特约商户管理的目的在于排除风险商户，防范和遏制不法分子利用条码支付业务隐藏木马病毒、进行洗钱、欺诈等犯罪活动，更好地维护条码支付业务参与各方的合法权益。考虑到条码支付业务涉及银行账户和支付账户，且可应用于网络特约商户和实体特约商户，为保持监管制度和标准的一致性，遵循银行卡收单业务管理的相关要求，从条码支付特约商户拓展、特约商户审批、特约商户信息留存及管理、黑名单管理、实体商户属地化管理、外包业务管理等方面明确了具体的管理要求。

　　为了兼顾小微商户受理条码支付的需求，促进普惠金融发展，在符合相关资质审核和认定的前提下，小微商户可以受理条码支付。同时，为了防范套现等交易风险，对以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过10000元，但受理基于借记卡的条码支付不受收款额度的限制。也就是说，使用银联二维码扫码支付可以“随心所欲”，只要银行账户有钱就行。