央行近日发布《条码支付业务规范(试行)》的通知,自2018年4月1日起实施。《通知》要求,严格遵循业务资质及清算管理要求。非银行支付机构(以下简称支付机构)向客户提供基于条码技术的付款服务的,应当取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。 央行为什么给条码支付"立规矩" 为鼓励并规范金融创新,促进条码支付健康可持续发展,中国人民银行近日印发了《条码支付业务规范》,并配套印发了《条码支付安全技术规范》《条码支付受理终端技术规范》,自2018年4月1日起实施。所谓条码支付,即人们常说的"扫码支付",此项支付形式近年来发展迅速。与此同时,市场的无序竞争、机构的违规操作、不法分子的攻击诈骗等问题也时有发生,像"扫码领红包,4000元瞬间被盗"、"扫个二维码,18万就没了"的报道,平时并不见少。因此,此次相关规范文件的发布,可谓恰逢其时。 具体来看,规范基于信用卡的条码支付收款金额实行按日按月累计限额,减少了个别商户利用小微商户身份进行大额套现的可能性,促进条码支付业务回归小额、便民的定位,回归服务实体经济的本源。同时明确了小微商户凭身份证、租赁协议等证明文件即可办理商户入网。至此,无论是线上还是线下,小微商户均可入网开展业务,优化了原有的商户准入要求,体现了监管层尊重现实的务实精神。 更为重要的是,参照对银行卡收单机构的要求,规范对支付机构在提升条码的防护能力、交易安全强度、风险管理机制和客户端软件安全等方面提出了具体可操作要求,显示了央行整肃支付服务市场秩序的决心。业内皆知,银行业金融机构、支付机构开展条码支付业务涉及跨行交易时,应当通过人民银行跨行清算系统或者具备合法资质的清算机构处理。银行、支付机构不得新增不同法人机构间直连处理条码支付业务;存量业务应按照人民银行有关规定加快迁移到合法清算机构处理。 为此《通知》明确,规范条码支付收单业务管理。银行、支付机构应当加强条码支付收单业务管理,严格遵守商户实名制、商户风险评级、交易风险监测等基本规定。为实体特约商户提供收单服务,应履行本地化经营、商户定期巡检责任;为网络特约商户提供收单服务,应强化对网络支付接口的使用管理和交易监测,采取有效的检查措施和技术手段对其经营内容和交易情况进行检查。银行、支付机构与外包服务机构开展条码支付业务合作的,应明确外包服务机构定位,加强管理,防范业务风险。 《通知》提出,发挥行业自律作用。银行、支付机构从事条码支付业务,应接受中国支付清算协会行业自律管理。《通知》还提出,支付机构不得基于条码技术,从事或变相从事证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。银行、支付机构发现特约商户发生疑似套现、洗钱、恐怖融资、欺诈、留存或泄露账户信息等风险事件的,应对特约商户采取延迟资金结算、暂停交易、冻结账户等措施,并承担因未采取措施导致的风险损失责任;发现涉嫌违法犯罪活动的,应及时向公安机关报案。 《通知》还建立了动态条码支付的风险等级与对应的交易限额。具体而言:对于采用数字证书或电子签名在内的两种(含)以上有效要素进行验证的,条码支付交易限额由市场主体(银行、支付机构)与客户自行约定;对于采用不包括数字证书、电子签名在内的两类(含)以上有效要素进行验证的,单个银行账户和所有支付账户、快捷支付限额5000元/天;对于采用不足两类有效要素验证的,业务限额1000元/天。对于静态码,则不区分交易验证方式,均为限额500元/天。 规范扫码支付恰逢其时 作为一种新兴支付方式,条码支付无疑给消费者带来了诸多新奇体验和支付便利,但盗取支付凭证、盗用资金、携带病毒、木马窃取账户或支付敏感信息、信用卡套现等风险隐患也相伴而生。事实上,自本世纪初,國内外市场主体便开始尝试将条码技术应用于移动支付领域。在我国,中国银联最早着手研发条码支付。不过,由于部分支付机构采取持续补贴、交叉补贴的方式推广条码支付业务,大搞"跑马圈地",导致条码支付安全问题不断暴露,2014年3月份,央行一度叫停线下二维码支付服务。 但是,部分支付机构并未真正停止条码支付业务的拓展。2014年9月份,支付宝、微信支付随即再次布局二维码支付。现在,几乎每一部智能手机都可支持二者的二维码支付,市场形成了双寡头垄断的局面。去年8月份,支付清算协会向会员单位下发《条码支付业务规范(征求意见稿)》。一位业内人士表示,这对于支付市场而言无异于宣告曾一度被紧急叫停的二维码支付业务正式回归。而本次业务规范的正式出台,则在进一步明晰细化征求意见稿的基础上,更清晰地释放出条码支付业务需回归小额、便民本质的监管信号。 《规范》规定,对于采用数字证书或电子签名在内的两种(含)以上有效要素进行验证的,条码支付交易限额由市场主体(银行、支付机构)与客户自行约定;对于采用不包括数字证书、电子签名在内的两类(含)以上有效要素进行验证的,单个银行账户和所有支付账户、快捷支付限额每天5000元;对于采用不足两类有效要素验证的,业务限额每天1000元。 市场统计数据显示,95%的条码支付业务为单笔500元以下的小额交易,2017年上半年笔均100元左右。中国社科院金融所支付清算研究中心特约研究员赵鹞表示,数据充分体现出条码支付小额、便民的特征。对此,中国支付清算协会执行副会长兼秘书长蔡洪波用"小而美"来形容条码支付的定位。他进一步解释称,《规范》将条码支付仍旧定位于小额、便民支付,是银行卡支付的重要补充。同时,考虑到用户的多样化、个性化需求与条码支付风险的特殊性,《规范》建立了动态条码支付的风险等级与对应的交易限额。 基于防替换、防盗刷等因素考虑,《规范》要求银行、支付机构对使用静态条码进行支付执行更加严格的额度管理措施。同一客户单个银行账户或者所有支付账户、快捷支付单日累计交易金额应不超过500元。蔡洪波表示,总体来看,各项单日累计交易额度能够有效满足绝大部分客户使用条码支付进行付款的需求,基本上不会影响消费者使用的便利性体验,同时也能够显著提高条码支付的安全水平。 坚决整肃支付服务市场秩序 "以后使用条码支付时,尽量不要拿手机扫描别人的静态条码,而是要让别人扫描你的手机。那种事先张贴在墙上的二维码是静态的,安全性远低于手机上实时生成的动态二维码。"中国人民大学重阳金融研究院高级研究员董希淼建议。董希淼表示,快速发展中的条码支付市场存在三方面的问题。从技术层面看,二维码通过几何图形来记录数据和储存信息,可能携带非法链接或代码。如果二维码支付终端缺乏识别与拦截功能,就可能产生安全漏洞和隐患。 而二维码本身的可视化特性,在互联网环境下以图形化方式传输,容易受到攻击,容易传播木马、病毒,造成用户资金损失和信息泄露。从市场层面看,部分支付机构在拓展业务时,通过不当的交叉补贴、不计成本的低价倾销等手段,甚至滥用本机构及关联企业的市场优势地位,导致行业无序发展和不公平竞争。从合规层面看,部分市场机构片面追求业务发展速度,在业务拓展过程中未履行"了解你的客户"义务,违规发展商户,加剧了套现、二清以及外包管理不到位等收单乱象,带来各类安全隐患。部分机构进行跨行交易时未通过央行跨行清算系统或清算机构,而是直连处理条码支付业务,变相实现跨行清算的功能。 针对上述问题,《规范》第一是明确条码支付业务资质和清算管理要求,即支付机构开展条码支付,应取得网络支付业务许可及银行卡收单业务许可等,涉及跨行清算的应通过央行跨行清算系统或清算机构办理;第二是针对条码生成和受理提出一系列安全性要求,使条码支付更加安全可靠,大幅度降低基于条码的支付诈骗风险。 对于此前失手支付市场江山的银行业来说,上述业内人士分析称,尽管银行前期丧失了对客户、场景以及数据的掌控,但伴随着支付机构备付金集中存管、网联统一接入、银联"云闪付"发力,依托二三类账户深耕支付业务或许会成为摆在银行业面前的机会。