央行立規讓“條碼支付”更健康

王瑞紅

央行近日發布《條碼支付業務規范（試行）》的通知，自2018年4月1日起實施?！锻ㄖ芬?，嚴格遵循業務資質及清算管理要求。非銀行支付機構（以下簡稱支付機構）向客戶提供基于條碼技術的付款服務的，應當取得網絡支付業務許可；支付機構為實體特約商戶和網絡特約商戶提供條碼支付收單服務的，應當分別取得銀行卡收單業務許可和網絡支付業務許可。

央行為什么給條碼支付“立規矩”

為鼓勵并規范金融創新，促進條碼支付健康可持續發展，中國人民銀行近日印發了《條碼支付業務規范》，并配套印發了《條碼支付安全技術規范》《條碼支付受理終端技術規范》，自2018年4月1日起實施。所謂條碼支付，即人們常說的“掃碼支付”，此項支付形式近年來發展迅速。與此同時，市場的無序競爭、機構的違規操作、不法分子的攻擊詐騙等問題也時有發生，像“掃碼領紅包，4000元瞬間被盜”、“掃個二維碼，18萬就沒了”的報道，平時并不見少。因此，此次相關規范文件的發布，可謂恰逢其時。

具體來看，規范基于信用卡的條碼支付收款金額實行按日按月累計限額，減少了個別商戶利用小微商戶身份進行大額套現的可能性，促進條碼支付業務回歸小額、便民的定位，回歸服務實體經濟的本源。同時明確了小微商戶憑身份證、租賃協議等證明文件即可辦理商戶入網。至此，無論是線上還是線下，小微商戶均可入網開展業務，優化了原有的商戶準入要求，體現了監管層尊重現實的務實精神。

更為重要的是，參照對銀行卡收單機構的要求，規范對支付機構在提升條碼的防護能力、交易安全強度、風險管理機制和客戶端軟件安全等方面提出了具體可操作要求，顯示了央行整肅支付服務市場秩序的決心。業內皆知，銀行業金融機構、支付機構開展條碼支付業務涉及跨行交易時，應當通過人民銀行跨行清算系統或者具備合法資質的清算機構處理。銀行、支付機構不得新增不同法人機構間直連處理條碼支付業務；存量業務應按照人民銀行有關規定加快遷移到合法清算機構處理。

為此《通知》明確，規范條碼支付收單業務管理。銀行、支付機構應當加強條碼支付收單業務管理，嚴格遵守商戶實名制、商戶風險評級、交易風險監測等基本規定。為實體特約商戶提供收單服務，應履行本地化經營、商戶定期巡檢責任；為網絡特約商戶提供收單服務，應強化對網絡支付接口的使用管理和交易監測，采取有效的檢查措施和技術手段對其經營內容和交易情況進行檢查。銀行、支付機構與外包服務機構開展條碼支付業務合作的，應明確外包服務機構定位，加強管理，防范業務風險。

《通知》提出，發揮行業自律作用。銀行、支付機構從事條碼支付業務，應接受中國支付清算協會行業自律管理。《通知》還提出，支付機構不得基于條碼技術，從事或變相從事證券、保險、信貸、融資、理財、擔保、信托、貨幣兌換、現金存取等業務。銀行、支付機構發現特約商戶發生疑似套現、洗錢、恐怖融資、欺詐、留存或泄露賬戶信息等風險事件的，應對特約商戶采取延遲資金結算、暫停交易、凍結賬戶等措施，并承擔因未采取措施導致的風險損失責任；發現涉嫌違法犯罪活動的，應及時向公安機關報案。

《通知》還建立了動態條碼支付的風險等級與對應的交易限額。具體而言：對于采用數字證書或電子簽名在內的兩種（含）以上有效要素進行驗證的，條碼支付交易限額由市場主體（銀行、支付機構）與客戶自行約定；對于采用不包括數字證書、電子簽名在內的兩類（含）以上有效要素進行驗證的，單個銀行賬戶和所有支付賬戶、快捷支付限額5000元/天；對于采用不足兩類有效要素驗證的，業務限額1000元/天。對于靜態碼，則不區分交易驗證方式，均為限額500元/天。

規范掃碼支付恰逢其時

作為一種新興支付方式，條碼支付無疑給消費者帶來了諸多新奇體驗和支付便利，但盜取支付憑證、盜用資金、攜帶病毒、木馬竊取賬戶或支付敏感信息、信用卡套現等風險隱患也相伴而生。事實上，自本世紀初，國內外市場主體便開始嘗試將條碼技術應用于移動支付領域。在我國，中國銀聯最早著手研發條碼支付。不過，由于部分支付機構采取持續補貼、交叉補貼的方式推廣條碼支付業務，大搞“跑馬圈地”，導致條碼支付安全問題不斷暴露，2014年3月份，央行一度叫停線下二維碼支付服務。

但是，部分支付機構并未真正停止條碼支付業務的拓展。2014年9月份，支付寶、微信支付隨即再次布局二維碼支付。現在，幾乎每一部智能手機都可支持二者的二維碼支付，市場形成了雙寡頭壟斷的局面。去年8月份，支付清算協會向會員單位下發《條碼支付業務規范（征求意見稿）》。一位業內人士表示，這對于支付市場而言無異于宣告曾一度被緊急叫停的二維碼支付業務正式回歸。而本次業務規范的正式出臺，則在進一步明晰細化征求意見稿的基礎上，更清晰地釋放出條碼支付業務需回歸小額、便民本質的監管信號。

《規范》規定，對于采用數字證書或電子簽名在內的兩種（含）以上有效要素進行驗證的，條碼支付交易限額由市場主體（銀行、支付機構）與客戶自行約定；對于采用不包括數字證書、電子簽名在內的兩類（含）以上有效要素進行驗證的，單個銀行賬戶和所有支付賬戶、快捷支付限額每天5000元；對于采用不足兩類有效要素驗證的，業務限額每天1000元。

市場統計數據顯示，95%的條碼支付業務為單筆500元以下的小額交易，2017年上半年筆均100元左右。中國社科院金融所支付清算研究中心特約研究員趙鷂表示，數據充分體現出條碼支付小額、便民的特征。對此，中國支付清算協會執行副會長兼秘書長蔡洪波用“小而美”來形容條碼支付的定位。他進一步解釋稱，《規范》將條碼支付仍舊定位于小額、便民支付，是銀行卡支付的重要補充。同時，考慮到用戶的多樣化、個性化需求與條碼支付風險的特殊性，《規范》建立了動態條碼支付的風險等級與對應的交易限額。

基于防替換、防盜刷等因素考慮，《規范》要求銀行、支付機構對使用靜態條碼進行支付執行更加嚴格的額度管理措施。同一客戶單個銀行賬戶或者所有支付賬戶、快捷支付單日累計交易金額應不超過500元。蔡洪波表示，總體來看，各項單日累計交易額度能夠有效滿足絕大部分客戶使用條碼支付進行付款的需求，基本上不會影響消費者使用的便利性體驗，同時也能夠顯著提高條碼支付的安全水平。

堅決整肅支付服務市場秩序

“以后使用條碼支付時，盡量不要拿手機掃描別人的靜態條碼，而是要讓別人掃描你的手機。那種事先張貼在墻上的二維碼是靜態的，安全性遠低于手機上實時生成的動態二維碼?！敝袊嗣翊髮W重陽金融研究院高級研究員董希淼建議。董希淼表示，快速發展中的條碼支付市場存在三方面的問題。從技術層面看，二維碼通過幾何圖形來記錄數據和儲存信息，可能攜帶非法鏈接或代碼。如果二維碼支付終端缺乏識別與攔截功能，就可能產生安全漏洞和隱患。

而二維碼本身的可視化特性，在互聯網環境下以圖形化方式傳輸，容易受到攻擊，容易傳播木馬、病毒，造成用戶資金損失和信息泄露。從市場層面看，部分支付機構在拓展業務時，通過不當的交叉補貼、不計成本的低價傾銷等手段，甚至濫用本機構及關聯企業的市場優勢地位，導致行業無序發展和不公平競爭。從合規層面看，部分市場機構片面追求業務發展速度，在業務拓展過程中未履行“了解你的客戶”義務，違規發展商戶，加劇了套現、二清以及外包管理不到位等收單亂象，帶來各類安全隱患。部分機構進行跨行交易時未通過央行跨行清算系統或清算機構，而是直連處理條碼支付業務，變相實現跨行清算的功能。

針對上述問題，《規范》第一是明確條碼支付業務資質和清算管理要求，即支付機構開展條碼支付，應取得網絡支付業務許可及銀行卡收單業務許可等，涉及跨行清算的應通過央行跨行清算系統或清算機構辦理；第二是針對條碼生成和受理提出一系列安全性要求，使條碼支付更加安全可靠，大幅度降低基于條碼的支付詐騙風險。

對于此前失手支付市場江山的銀行業來說，上述業內人士分析稱，盡管銀行前期喪失了對客戶、場景以及數據的掌控，但伴隨著支付機構備付金集中存管、網聯統一接入、銀聯“云閃付”發力，依托二三類賬戶深耕支付業務或許會成為擺在銀行業面前的機會。