央行官网昨日发布了《中国人民银行关于印发<条码支付业务规范(试行)>的通知》,配套印发相关技术规范,从额度、风险防范等多个角度进行了管理。
条码支付新规明确支付机构提供条码支付服务,必须持牌经营,此外还将对条码支付额度进行分级管理,新规自2018年4月1日起实施。
按风险划分四级,采取限额管理
新规的重点之一是强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。
新规指出,银行、支付机构应根据《条码支付安全技术规范(试行)》(银办发〔2017〕242号)关于风险防范能力的分级,对个人客户的条码支付业务进行限额管理。
具体来看:风险防范能力达到A级,即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,可与客户通过协议自主约定单日累计限额。
风险防范能力达到B级,即采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元。
风险防范能力达到C级,即采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元。
而风险防范能力达到D级,即使用静态条码的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。
静态条码目前被认为是风险最大的支付领域之一。除了限额管理外,新规还提出了一系列防范静态条码风险的措施:包括要求静态条码应由后台服务器加密生成、要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查、要求静态条码采用防护罩等物理防护手段避免被覆盖或替换等。
此次《规范》将条码支付分为付款扫码和收款扫码。“付款扫码”是指付款人通过手机、Pad等移动终端识读收款人展示的条码完成支付的行为,是用户主动扫码付款,俗称“主扫”;“收款扫码”是指收款人通过识读付款人移动终端展示的条码完成收款的行为,是用户被动扫码支付,俗称“被扫”。
中国社科院金融所支付清算研究中心特约研究员赵鹞认为,由于在此前的试点应用中,条码支付风险乃至用户资金损失多发生于“主扫”,特别是“主扫”静态条码,《规范》以限制静态扫码限额和约束银行、支付机构开展付款扫码服务的具体行为与风控措施并要求他们提供客户权益受损解决机制等具体条款,积极引导付款人“主扫”经过安全加密和设置有效期(一般为一次性条码)的动态条码,将商户的较大金额收款行为也引导到“被扫”上来。
赵鹞认为,《规范》是条码支付的“驾驶证”。央行新规让条码支付从此告别“无证驾驶”与“危险驾驶”。
安全风险考量,二维码支付曾被暂停
条码支付的发展经历了“一波三折”:2011年,央行同意部分非银行支付机构(简称支付机构)在限定场景内试点开展条码支付业务,并提出严格的风险管理要求。到了2014年,在未建立有效安全措施、统一的业务规则和消费者权益保护制度的背景下,部分支付机构采取持续补贴的方式广泛推广条码支付业务,人民银行对其采取了暂停线下条码支付业务的监管措施。
在此后的一段时间里,以支付宝、财付通为代表的二维码支付机构通过改造扫码流程(如从用户扫商家改为商家扫用户)等方式,并未放弃抢占二维码支付市场;而在互联网巨头的大额补贴之下,二维码支付也逐渐为大众所知晓。
央行有关负责人在答记者问中指出,随着近年来支付标记化(Tokenization)等技术在移动支付中的广泛应用,客观上提高了条码支付的安全标准。但是,囿于缺乏统一的业务规范和技术标准,在条码生成机制和传输过程中仍存在风险隐患,也引发了支付安全的风险案件,市场机构在业务推广过程中还存在不正当竞争等现象。
为规范条码支付业务,保护消费者合法权益,促进移动支付业务健康可持续发展,人民银行指导中国支付清算协会组织市场机构、专家学者就条码支付相关问题开展充分研讨并达成高度共识,研究制定了相应业务规范和技术规范。
新京报记者宓迪
■ 释疑
1 限额对消费者有影响吗?
专家认为,各项单日累计交易额度能满足大部分人使用条码支付付款的需求。
央行表示,条码支付与传统银行卡等支付工具相比在交易安全性上存在一定不足,人民银行坚持条码支付小额、便民的定位,对条码支付风险防范能力进行分级。发行条码的银行、支付机构应根据风险防范能力等级,在确保风险可控和尽量满足用户需求的前提下科学合理设置相匹配的日累计交易限额。
“简单地说,就是用户的风险防范等级越高,每天可以交易的金额就越高,如规范中提到的A级,采用数字证书或电子签名,再加上静态密码、指纹等要素,就可以不受额度限制。”拉卡拉支付股份有限公司资深合规总监唐凌指出,“如果商家放个静态码你就敢扫,支付额度自然就低。”
“尽管监管对静态码有不少要求,如商家定期检查,用玻璃罩盖上等措施,但在扫码支付的风险案件中,静态码占比仍很高,那每天就限额500元,即便是被骗,损失也可控。”唐凌表示,如用动态码付款,风险自然少,限额就会提升。这也是监管政策的一个良好导向。
据记者小范围调查,500元的静态条码限额能够满足多数人的日常支付需求。
“市场统计表明,条码支付业务量的95%是单笔500元以下的小额交易,2017年上半年笔均百元左右。”中国社科院金融所支付清算研究中心特约研究员赵鹞指出。
中国支付清算协会执行副会长兼秘书长蔡洪波认为,总体来看各项单日累计交易额度能够有效满足绝大部分客户使用条码支付进行付款的需求,基本不影响消费者使用的便利性体验,同时也能够显著提高条码支付的安全水平。
新京报记者宓迪
2 新规对机构有何影响?
腾讯和支付宝方面均表示,正在学习央行通知,会持续收集用户和商户的实际需求。
在第三方移动支付领域“寡头局面”逐渐形成的过程中,市场份额的细微变动背后,机构之间也不惜通过“线下支付返现”、“折扣”等优惠措施吸引用户和流量。
央行有关负责人直言,条码支付在促进移动支付普及发展的同时,出现扰乱市场公平竞争秩序的现象。“部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争,扰乱市场秩序。”
在苏宁金融研究院互联网金融研究中心主任薛洪言看来,新规注意到了“部分机构采取烧钱、补贴”等市场行为。“支付本就是微利业务,中小支付机构无力补贴市场,站在监管机构角度,部分机构采取烧钱、补贴等方式拓展市场会加速行业分化,不利于整个支付生态体系的稳定与健康发展。”
针对此次央行发布的条码支付业务规范,27日晚间,腾讯方面表示,正在组织相关团队学习消化这一通知,“我们也在收集用户和商户的实际需求,同时积极研发新技术以及探索新技术应用于条码支付领域的可行性。”公开资料显示,拥有央行第三方支付牌照的腾讯财付通目前旗下有微信支付、QQ钱包两大产品,用户数已超过8亿,日均交易笔数已超过6亿笔。
支付宝方面表示,高度认同央行为规范条码支付所作出的努力,支付宝非常关注并正在组织团队认真学习这一通知,会持续收集用户和商户的实际需求,积极研发新技术以及探索新技术应用于条码支付领域的可行性。
新京报记者陈鹏
■ 行业
二维码支付正上演“三国杀”
2016年,中国支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿),被行业内认为是官方首次公开认可条码支付的标志。此后的一段时间内,包括银联、商业大行们加快了二维码支付产品的步伐,纷纷推出二维码支付产品。
这段时间里,银联推出银联版二维码标准、涵盖二维码支付功能的“云闪付”APP,而支付宝、财付通们亦并未放慢攻城略地的步伐,更是将行业内“三国杀”的战火逐渐烧到海外,创始人纷纷亲自上阵,为自家产品站台。
专家指出,二维码的背后,是各个巨头对支付场景的争夺,而支付是金融体系的基础。根据中国支付清算协会此前的一份调研,用户最常见的条码支付场景为超市或便利店,之后为餐饮店、自动售卖机及电影院等。
央行公布的支付体系运行总体情况显示,三季度移动支付业务97.22亿笔,金额49.26万亿元,同比分别增长46.65%和39.42%。
新京报记者宓迪
■ 小贴士
欺诈手段多扫码小心这些雷
梳理公开材料可以发现,此前有不少案例利用的就是当下扫码的一些缺陷和漏洞。
1、静态条码被“调包”
2017年3月,江某误扫了共享单车上被掉包的二维码,将99元押金转入不法分子账户,无法追回。目前,部分特约商户(小微商户)用静态条码作为收款码,但静态条码容易被调换,如果扫描不法分子调换的条码支付,资金将付给不法分子,导致商户无法收到钱款。
2、利用收款码伪造交通罚单等
2017年3月,南京的邹先生在车上发现一张违停罚单,并附有二维码“扫码可缴费”。扫描二维码后显示“违章处理,转账200元,点击确认”。核实发现是假罚单。
不法分子利用消费者图省事的心理和有时存在粗心大意的情况,基于日常生活消费、公共事业缴费(水、电、燃气费等)、交通违章发单缴费等应用场景,编造虚假的缴费信息通知或提示,同时放置或印制伪造的条码,误导客户扫描伪码,实施欺诈。
3、嵌入木马,扫码被盗刷或窃取信息
不法分子将木马病毒程序嵌入到其生成的条码当中,一旦误扫了此类条码,手机就可能中毒或被他人控制,导致账户资金被盗刷、个人敏感信息泄露等风险问题发生。近期“清理僵尸粉”骗局也属于这种类型。
4、诱骗消费者发送付款码后盗刷
不法分子以金钱或物质奖励、优惠等诱导消费者向其发送付款码,之后迅速实施盗刷。2016年8月,参加了“集赞送礼品”活动的云南杨小姐联系商家换取奖品,商家不断要求杨小姐发送付款码,最终成功盗取了其账户资金。
5、虚假网店发收款条码实施欺诈
在网购过程中,存在不法商户在消费者支付环节骗取其使用购物平台监控外的扫码方式进行付款。南京的沈小姐在网购选好衣物后,通过店家发来的二维码进行手机付款,但之后被对方拉黑,损失约2000元。
6、利用小礼品等奖励诱导扫码注册
不法分子采用赠送小礼品的方式,诱导消费者扫描二维码并在注册页面填写姓名、手机号、身份证号等相关信息,随后将个人身份信息转卖获利。