掃碼支付之亂，新規能治嗎

用支付寶、微信等應用掃碼付款，迎來額度限制，最低等級掃碼的單日支付限額為500元。央行近日發布《中國人民銀行關于印發〈條碼支付業務規范（試行）〉的通知》，從額度、風險防范等多個角度對掃碼支付進行了規范。

二維碼支付存在哪些安全漏洞？限額能多大程度上保障支付安全？如何盡快轉變制作、發布二維碼的無序狀態？

二維碼在支付領域或有“原罪”

車寧（中國農業銀行網絡金融部員工）

掃碼支付的二維碼，本質是支持用戶在智能終端快速錄入數據的工具，其特點在于錄入內容在外觀上不能為肉眼識別，且是單向信息傳送，這是二維碼從工業應用母體中所繼承而來的先天屬性，但在支付領域或成為其不可承受的“原罪”：

從條碼來說，偽造、變造二維碼沒有技術門檻，設備在對信息識別后直接進入處理過程，沒有撤回機制。APP為提升客戶體驗，普遍使用短網址且在瀏覽中遮蔽地址欄，這就更增加了對病毒等風險發現的難度。

從信息傳送來說，掃碼支付的兩種方式——客戶主動掃碼和被動掃碼在身份識別上都是單方面一次上送二維碼信息，為確保交易便捷，支付機構也不愿增加認證通道。在實踐中，靜態二維碼堂而皇之地置于公開場合，在缺乏雙向安全認證情況下無異于“裸奔”。

從用卡環境來說，掃碼支付在流程上其實是對POS機刷卡的變相模擬，但POS機只具有支付的單一功能且部署了嚴格的安全認證和密鑰體系，而手機系統被Root、越獄后會有病毒感染的可能性，底層數據被打通后還存在權限劫持的風險。

從賬務處理來說，掃碼支付存在單邊賬和洗錢套現風險，資金很可能跑出交易閉環，追索難度很大。另外，在掃碼支付業務拓展期，支付機構普遍降低了商戶準入門檻，留檔要求越來越低，費率一降再降，滋生了相當數量的套現甚至詐騙事件，且不易偵測。

從交易流程來說，過去無論線上線下支付，都沿襲商戶創建訂單，客戶確認支付，支付機構后端處理的模式；而掃碼支付流程變為支付機構從后端走向前臺，參與甚至主導訂單的建立，對原來商戶-客戶二維法律關系進行了顛覆式重整，客觀上加重了自身所承擔的義務，也給交易帶來了新的不穩定性。

上述這些問題，有待從技術和法律兩個方向上去解決。

從三方面提升掃碼支付的安全

趙之胤（手機支付從業者）

掃碼支付的風險并非剛為人所知。早在2014年3月，人民銀行就曾向支付寶下發緊急文件叫停線下支付業務，不過后來還是難擋手機支付發展的洶涌趨勢，2016年8月，在對業務發展進行規范后，央行又以其下屬的支付清算協會名義認可了支付寶線下支付的合法性。

從實踐來看，對掃碼支付的安全提升主要應從三方面努力：

技術方面，要使用國際芯片卡標準化組織推出的支付標記化技術，通過標記代替銀行卡號進行交易驗證。另一方面，從基礎入手，要求二維碼生成須遵守相關部門發布的技術標準并控制生成通道。

模式方面，逐漸用較為安全的客戶被掃模式代替粗放低費的客戶主掃模式，保證二維碼信息生成、傳輸、解析的真實性和完整性，減少客戶中毒、被下木馬以及遭遇信息篡改的風險。

制度方面，要引入“你敢付，我敢賠”的保險機制，完善非正常交易損失補償機制。還應保證對異常交易數據的監控，要求支付雙方與移動設備、身份證甚至銀行卡綁定，同時要求遵守反洗錢、反欺詐、信息安全和消費者保護等規定。

掃碼支付將一個安全上不滿足金融交易要求的技術廣泛投入到了最高頻的應用場景，重安全策略的應用在主打便捷的場景里天然被排斥，因此掃碼支付背后蘊藏的“奧秘”是大部分安全策略等同虛置，真正起作用的實際上只有限額。但是當掃碼支付從邊緣走向主流，不可避免地會擴張業務邊界，隨著其業務樣態越來越復雜，最終交易效率也會被拉到平均水平邊緣。可以預見，掃碼支付在未來一個時期還會光鮮亮麗，只是在其日漸模糊的面龐后面，我們依稀看見了當年NFC和POS“死在沙灘上”的影子。

看新規如何轉變掃碼支付的無序狀態

肖颯（互聯網金融法律專家）

從法律角度加強監管，轉變掃碼支付的無序狀態，自然要認真研讀2018年4月1日生效的《條碼支付業務規范（試行）》的規定：

首先，條碼支付要遵循“三不得”。支付機構不得采取二維碼的方式進行借貸、投資、投保、換匯、取現等；銀行、支付機構不得利用二維碼支付從事非法交易等；銀行、支付機構不得采取不正當競爭手段排擠競爭對手、損害其他市場主體利益，破壞市場公平競爭秩序。

第三個“不得”針對的是各家支付機構爭奪客戶的“戰爭”。有采取返現、打折、送禮等做法，還有設置各類錢包讓消費者提前消費等，甚至還有“獨家代理支付”等約束消費者的行為。

其次，交易安全是二維碼支付的首要任務，沒有之一。銀行、支付機構開展二維碼支付業務必須做三種要素的組合驗證：靜態密碼、數字證書、生物特征等。因此，單靠刷臉本身不能直接完成支付，必須如上三種之兩種或全部進行驗證，才達到最低標準。同時，由于手機被盜、電腦被黑等現實問題，采用一次性密碼作為驗證要素的，應當切實防范一次性密碼獲取端與支付指令發起端為相同設備的風險，將一次性密碼有效期限定在最短必要時間內。

再次，規范掃碼支付的“真實場景”很重要，按照規定正確選用交易類型，準確標識交易信息并完整發送，確保交易信息的完整性、真實性、可追溯性。從實際辦案的角度，如果能夠再現交易場景和過程，就有利于還原事情的真實情況。

另外，在沒有個人破產法律制度的當下，限制“剁手黨”的沖動消費十分有必要，對于儲蓄卡用戶，因為有余糧不必過分限制，但對于信用卡的消費必須作出限定。

最后，新規要求科技金融不能外包核心技術。一些金融科技公司號稱為銀行等機構提供核心技術，受理終端主密鑰生成和管理等，現在看來，這個生意銀行不敢輕易給“外人”做了。

將信息的“根服務器”建在中國

張也平（中國二維碼產業聯盟執行秘書長）

二維碼是一個跨學科、跨領域、跨行業的信息化應用工具，與國家網絡信息安全、經濟運行安全、公共安全和百姓生活息息相關。目前我們大量運用的國外二維碼技術，其開放式的市場應用模式導致了各種安全問題頻發且難以有效監控。

目前我國廣泛應用的是日本電裝株式會社1994年研制的快速響應碼，由于當時國內沒有自主知識產權的二維碼技術，快速響應碼自2000年起被我國廣泛應用于政務系統、智能制造、金融支付、電子商務、新聞傳媒等領域。

國內的二維碼市場幾乎全部被快速響應碼占據，但快速響應碼專利既沒有在國內申請，也沒有放棄專利權。2015年快速響應碼頒布了新的技術標準并開始收取專利費用，但國內市場仍在免費使用2000年的技術標準，隨時可能產生嚴重的知識產權風險，甚至可能直接影響到經濟社會運行安全。

為了達到市場壟斷目的，快速響應碼采取了所謂的全市場免費開放策略，導致我國二維碼應用基本處于失控和無序狀態。任何人都可以通過網絡下載生成和解析二維碼，并通過前臺的手機進行實時解碼，但沒有后臺對前臺解析的內容進行識別和監控，出了問題往往無法鎖定責任主體。

只有以自主知識產權二維碼核心技術和相應的中國標準為基礎的信息系統，才能將信息的“根服務器”建立在中國，從而在保障國家信息安全的同時避免國外標準帶來的專利風險。

實際上，我國自主研發的漢信碼、GM碼、CM碼的標準能力、技術水平等都不低于國外標準，完全具備替換QR碼和PDF417碼的技術標準能力和產業配套能力。然而，國產標準因缺乏政策扶持和驅動而遲遲不能有效使用，這極大制約了我國自主二維碼產業的發展。