上一版
放大
缩小
全文复制
为鼓励并规范金融创新,促进条码支付健康可持续发展,中国人民银行近日印发了《条码支付业务规范(试行)》,并配套印发《条码支付安全技术规范(试行)》《条码支付受理终端技术规范(试行)》,自2018年4月1日起实施。
部分市场机构存在不正当竞争
近年来,条码支付快速发展,由于其具有支付便捷、应用门槛低的优势,创新性地满足了小额便民支付需求,成为我国移动支付发展的重要体现形式。同时,条码支付的技术实现方式和业务风险相对传统银行卡支付具有其特殊性,部分市场机构在业务开展中也存在扰乱公平竞争秩序、支付风险防范不到位等问题。2011年,央行同意部分非银行支付机构在限定场景内试点开展条码支付业务,并提出严格的风险管理要求。
央行有关负责人指出,条码支付在降低商户准入门槛的同时,也加剧了收单市场乱象。部分市场机构利用条码可远程发送、不受专业受理终端限制的特点,在商户拓展过程中未履行“了解你的客户”义务,通过“一证下机”等方式违规发展商户,加剧了套现、二清、外包管理不到位等收单乱象,存在各类安全隐患,对市场可持续发展造成较大的危害。
同时,条码支付在促进移动支付普及发展的同时,出现扰乱市场公平竞争秩序的现象。部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争,扰乱市场秩序。
条码支付存在安全风险
条码支付过低的市场进入门槛触发了市场的无序竞争。北京网络法学研究会副秘书长、中国社科院金融所支付清算研究中心特约研究员赵鹞认为,条码支付“无证驾驶”“危险驾驶”风险集中,自2014年始,各类市场主体唯恐落后于人,部分支付机构采取持续补贴、交叉补贴的方式推广条码支付业务,大搞“跑马圈地”,将支付业务应有的安全措施的有效性,业务规则的统一性和消费者权益保护的合规性置于脑后,造成条码支付风险频发,损害了用户信息安全和资金安全。此次规范的发布,意味着条码支付将告别“无证驾驶”。
据悉,条码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险。包括:可视化风险,条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金;易携带恶意代码的风险,条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息;信息单向交互风险,条码支付只能实现发起方或接收方的单向信息交互,不法分子可利用该弱点实施“中间人攻击”,绕过身份认证机制,造成用户资金损失;扫码设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。
静态条码单日交易额不得超500元
此次发布的文件强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。
央行此次还要求加强商户管理和风险管理。具体来说,央行首先把条码分为两大类;静态和动态。街边小商户张贴的收款二维码就属于典型的静态条码。央行规定,使用静态条码进行支付的,风险防范能力最低,为D级,限额也最低。无论使用何种交易验证方式,使用静态条码支付,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。
动态条码的风险防范能力由高到低分为A、B、C三级,不同等级对应的交易验证方式条码和支付限额也各不相同。越安全的动态码支付,交易限额就越高。
采用包括数字证书或电子签名在内的两类(含)以上有效要素进行验证的动态码,风险防范能力为A级,可以由银行、支付机构与客户通过协议自主约定单日累计额度。
采用不包括数字证书、电子签名在内的两类(含)以上有效要素(注:如指纹、密码等)进行验证的,风险防范能力为B级,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额最高为5000元。
采用不足两类有效要素进行验证的动态码支付,风险防范能力为C级,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额最高为1000元。
央行有关负责人解释称,为引导银行、支付机构提高交易验证方式的安全性,加强客户资金安全保护,对于风险防范能力高、交易验证方式更为安全的,不设定额度上限,市场主体可与客户自行约定交易限额。基于防替换、防盗刷等安全因素角度考虑,要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施,以鼓励市场主体采用更为安全的动态条码提供支付服务。依据主要市场机构条码支付交易数据显示,上述额度已覆盖绝大部分使用条码支付付款客户及商户的需求。
