央行有關(guān)負責(zé)人表示,部分市場機構(gòu)在開展條碼支付業(yè)務(wù)時,在定價和市場推廣策略中采取傾銷、交叉補貼等不正當(dāng)競爭手段,濫用本機構(gòu)及關(guān)聯(lián)企業(yè)的市場優(yōu)勢地位,排除、限制支付服務(wù)競爭,導(dǎo)致支付行業(yè)無序發(fā)展和不公平競爭,擾亂市場秩序。

最受大眾歡迎的支付方式——掃碼支付今后終于告別野蠻生長,開始有章可循。昨天,央行發(fā)布《中國人民銀行關(guān)于印發(fā)〈條碼支付業(yè)務(wù)規(guī)范(試行)〉的通知》(銀發(fā)〔2017〕296號),配套印發(fā)了《條碼支付安全技術(shù)規(guī)范(試行)》和《條碼支付受理終端技術(shù)規(guī)范(試行)》(銀辦發(fā)〔2017〕242號發(fā)布),自2018年4月1日起實施。

現(xiàn)狀

部分市場機構(gòu)存在不正當(dāng)競爭

央行有關(guān)負責(zé)人表示,近年來條碼支付業(yè)務(wù)快速發(fā)展,在小額、便民支付領(lǐng)域顯現(xiàn)出門檻低、使用便捷的優(yōu)勢,市場份額持續(xù)增長,成為移動支付發(fā)展的重要體現(xiàn)形式。同時,條碼支付的技術(shù)實現(xiàn)方式和業(yè)務(wù)風(fēng)險相對傳統(tǒng)銀行卡支付具有其特殊性,部分市場機構(gòu)在業(yè)務(wù)開展中也存在擾亂公平競爭秩序、支付風(fēng)險防范不到位等問題。

該負責(zé)人指出,條碼支付在降低商戶準(zhǔn)入門檻的同時,加劇收單市場亂象。部分市場機構(gòu)利用條碼可遠程發(fā)送、不受專業(yè)受理終端限制的特點,在商戶拓展過程中未履行“了解你的客戶”義務(wù),通過“一證下機”等方式違規(guī)發(fā)展商戶,加劇了套現(xiàn)、二清、外包管理不到位等收單亂象,存在各類安全隱患,對市場可持續(xù)發(fā)展造成較大的危害。

同時,條碼支付在促進移動支付普及發(fā)展的同時,出現(xiàn)擾亂市場公平競爭秩序的現(xiàn)象。部分市場機構(gòu)在開展條碼支付業(yè)務(wù)時,在定價和市場推廣策略中采取傾銷、交叉補貼等不正當(dāng)競爭手段,濫用本機構(gòu)及關(guān)聯(lián)企業(yè)的市場優(yōu)勢地位,排除、限制支付服務(wù)競爭,導(dǎo)致支付行業(yè)無序發(fā)展和不公平競爭,擾亂市場秩序。

隱憂

條碼支付存在安全風(fēng)險

此外,條碼支付借助開放互聯(lián)網(wǎng)和非專業(yè)設(shè)備進行交易處理,帶來一定的技術(shù)風(fēng)險。包括:可視化風(fēng)險,條碼在開放互聯(lián)網(wǎng)環(huán)境下以圖形化方式進行展示,不法分子可通過截屏、偷拍等手段盜取支付憑證,在支付憑證有效期內(nèi)盜用資金;易攜帶惡意代碼的風(fēng)險,條碼不僅可存儲支付要素,也可攜帶非法鏈接或程序代碼,不法分子可將木馬病毒、釣魚網(wǎng)站鏈接制成條碼,誘導(dǎo)客戶掃描,竊取支付敏感信息;信息單向交互風(fēng)險,條碼支付只能實現(xiàn)發(fā)起方或接收方的單向信息交互,不法分子可利用該弱點實施“中間人攻擊”,繞過身份認證機制,造成用戶資金損失;掃碼設(shè)備安全強度低的風(fēng)險,條碼支付對設(shè)備要求低,普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設(shè)備均可識別條碼,易被不法分子非法改裝使用。

規(guī)范

同一客戶單日最多不超500元

此次發(fā)布的文件強調(diào)業(yè)務(wù)資質(zhì)要求。明確支付機構(gòu)向客戶提供基于條碼的付款服務(wù)時,應(yīng)取得網(wǎng)絡(luò)支付業(yè)務(wù)許可;支付機構(gòu)為實體特約商戶和網(wǎng)絡(luò)特約商戶提供條碼支付收單服務(wù)的,應(yīng)當(dāng)分別取得銀行卡收單業(yè)務(wù)許可和網(wǎng)絡(luò)支付業(yè)務(wù)許可。

央行此次還要求加強商戶管理和風(fēng)險管理。具體來說,央行首先把條碼分為兩大類;靜態(tài)和動態(tài)。街邊小商戶張貼的收款二維碼就屬于典型的靜態(tài)條碼。央行規(guī)定,使用靜態(tài)條碼進行支付的,風(fēng)險防范能力最低,為D級,限額也最低。無論使用何種交易驗證方式,使用靜態(tài)條碼支付,同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額應(yīng)不超過500元。

動態(tài)條碼的風(fēng)險防范能力由高到低分為A、B、C三級,不同等級對應(yīng)的交易驗證方式條碼和支付限額也各不相同。越安全的動態(tài)碼支付,交易限額就越高。

采用包括數(shù)字證書或電子簽名在內(nèi)的兩類(含)以上有效要素進行驗證的動態(tài)碼,風(fēng)險防范能力為A級,可以由銀行、支付機構(gòu)與客戶通過協(xié)議自主約定單日累計額度。

采用不包括數(shù)字證書、電子簽名在內(nèi)的兩類(含)以上有效要素(注:如指紋、密碼等)進行驗證的,風(fēng)險防范能力為B級,同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額最高為5000元。

采用不足兩類有效要素進行驗證的動態(tài)碼支付,風(fēng)險防范能力為C級,同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額最高為1000元。

央行有關(guān)負責(zé)人解釋稱,為引導(dǎo)銀行、支付機構(gòu)提高交易驗證方式的安全性,加強客戶資金安全保護,對于風(fēng)險防范能力高、交易驗證方式更為安全的,不設(shè)定額度上限,市場主體可與客戶自行約定交易限額。基于防替換、防盜刷等安全因素角度考慮,要求銀行、支付機構(gòu)使用靜態(tài)條碼支付時要執(zhí)行更加嚴格的限額管理措施,以鼓勵市場主體采用更為安全的動態(tài)條碼提供支付服務(wù)。依據(jù)主要市場機構(gòu)條碼支付交易數(shù)據(jù)顯示,上述額度已覆蓋絕大部分使用條碼支付付款客戶及商戶的需求。

要求

靜態(tài)條碼宜采用防偽紙張展示

大街小巷最常見的靜態(tài)條碼用起來很方便,但容易被篡改或變造,易攜帶病毒,真?zhèn)坞y辨,導(dǎo)致支付風(fēng)險較高。

此次央行新規(guī)提出了一系列防范靜態(tài)條碼風(fēng)險的措施:一是要求靜態(tài)條碼應(yīng)由后臺服務(wù)器加密生成,宜采用防偽紙張展示條碼,防偽紙張應(yīng)具備一定防偽特征。二是要求展示靜態(tài)條碼的介質(zhì)應(yīng)放置在商戶收銀員視線范圍內(nèi),商戶應(yīng)定期對介質(zhì)進行檢查。三是要求靜態(tài)條碼采用防護罩等物理防護手段避免被覆蓋或替換,宜使用防偽標(biāo)簽對防護罩進行標(biāo)記。四是要求在靜態(tài)條碼介質(zhì)顯著位置明顯展示收款方信息,便于用戶核對。五是通過風(fēng)險防范能力分級管理,進一步規(guī)范使用靜態(tài)條碼,并鼓勵使用風(fēng)險防范能力較高的收款掃碼方式。

釋疑

小微商戶信用卡條碼支付有限額

央行有關(guān)負責(zé)人表示,考慮到條碼支付業(yè)務(wù)涉及銀行賬戶和支付賬戶,且可應(yīng)用于網(wǎng)絡(luò)特約商戶和實體特約商戶,為保持監(jiān)管制度和標(biāo)準(zhǔn)的一致性,遵循銀行卡收單業(yè)務(wù)管理的相關(guān)要求,從條碼支付特約商戶拓展、特約商戶審批、特約商戶信息留存及管理、黑名單管理、實體商戶屬地化管理、外包業(yè)務(wù)管理等方面明確了具體的管理要求。

同時,為了兼顧小微商戶受理條碼支付的需求,促進普惠金融發(fā)展,明確在符合相關(guān)資質(zhì)審核和認定的前提下,小微商戶可以受理條碼支付;同時,為了防范套現(xiàn)等交易風(fēng)險,對以同一個身份證件在同一家收單機構(gòu)辦理的全部小微商戶基于信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元,但受理基于借記卡的條碼支付不受收款額度的限制。

文/本報記者 程婕