专家解读《条码支付规范》之五:赵鹞:条码支付告别“无证驾驶”、“危险驾驶”
近年来,在几大市场主体的持续努力和推动下,条码支付在餐饮门店、超市、便利店等线下小额支付场景得到推广应用,用户的接受度和使用率迅速提升。较之于银行卡支付,条码支付具有进入门槛低、推广应用成本小、便于融入各种线上线下场景等优势,创新性地满足了民众小额便民支付需求,成为我国移动支付发展的重要体现形式。
凡事兴一利,必生一弊,条码支付的业务与商业优势使得其业务与技术风险都有特殊性。一是条码支付在开放(移动)互联网环境下以图形方式传输支付指令与信息的成本优势使得其易于被不法分子使用简单的技术手段,如截屏、偷拍、攻击移动支付终端(如手机、Pad等)等盗取条码支付承载的支付凭证信息,给用户带来资金损失。
二是条码支付可存储简单程序代码易于商业营销的场景优势使得条码亦容易携带恶意代码、木马和病毒,成为不法分子钓鱼,窃取用户敏感信息甚至盗取用户(商户)资金的“利器”。
三是条码支付相较于银行卡支付,其使用交易指令单向验证简化支付流程从而提升用户感受的体验优势使得其易于被黑客绕过银行卡身份认证机制,实施“中间人”攻击,造成用户资金失窃。四是条码支付配套的(静态)条码图形、扫码设备具有部署成本低、使用门槛低的竞争优势使得条码图形,特别是静态条码真假难辨,其易被篡改、变造,用户扫码支付风险突出;扫码设备安全强度过低,普通的手机摄像头、简易的收银台扫描枪都可识别条码,易于被不法分子非法改装盗用。
条码支付过低的市场进入门槛也触发了市场的无序竞争,“无证驾驶”、“危险驾驶”风险集中。自2014年始,各类市场主体唯恐落后于人,部分支付机构采取持续补贴、交叉补贴的方式推广条码支付业务,大搞“跑马圈地”,将支付业务应有的安全措施的有效性,业务规则的统一性和消费者权益保护的合规性统统置于脑后,造成条码支付风险频发,损害了用户信息安全和资金安全。
为此,央行果断采取了暂停业务的监管措施。其后,随着支付标记化等技术成熟,在移动支付中得到稳健的应用,条码支付的技术安全得到一定程度的提升,有关各方对条码支付的业务与技术规范进行持续论证与验证;在行业协会的协调下,各方就条码支付的普遍问题与业务、技术标准达成共识,都期待央行适时推出条码支付的“驾驶证”与“交规”。今天,央行审时度势的发布了《关于印发<条码支付业务规范(试行)>的通知》(以下简称《规范》),条码支付从此告别“无证驾驶”与“危险驾驶”。
《规范》是条码支付的“驾驶证”。第五次全国金融工作会议强调穿透式监管,要注重金融业务的实质,而不能囿于业务的表象。由于条码支付只是改变了支付业务流程中的第一阶段“交易”的表现形式,并没有颠覆支付业务流程与实质,因此《规范》在已有的《银行卡收单业务管理办法》与《非银行支付机构网络支付业务管理办法》的基础上,本着“同一业务,同一规则”的监管原则,使用穿透式监管,确立条码支付业务准入门槛:对于支付机构向用户提供条码技术的付款服务时,业务本质与网络支付同一,应适用网络支付业务许可;对于支付机构向实体特约商户和网络特约商户提供条码的收单服务时,业务实质与银行卡收单同一,应适用银行卡收单业务许可。
《规范》明确了条码支付的“交规”。市场统计表明,条码支付业务量的95%是单笔500元以下的小额交易,2017年上半年笔均百元左右。数据充分体现出条码支付小额、便民的特征。因此《规范》将条码支付仍旧定位于小额、便民支付,是银行卡支付的重要补充,同时考虑到用户的多样化、个性化需求与条码支付风险的特殊性,《规范》建立了动态条码支付的风险等级与对应的交易限额:对于采用数字证书或电子签名在内的两种(含)以上有效要素进行验证的,条码支付交易限额由市场主体(银行、支付机构)与客户自行约定;对于采用不包括数字证书、电子签名在内的两类(含)以上有效要素进行验证的,单个银行账户和所有支付账户、快捷支付限额5000元/天;对于采用不足两类有效要素验证的,业务限额1000元/天。对于静态码,则不区分交易验证方式,均为限额500元/天。
《规范》积极响应市场需要。为满足小微商户受理条码支付的要求,同时为堵住不法分子滥用商事登记管理与税收改革政策中关于小微商户的优待政策,甚至其与小微商户勾结套现大额信用卡资金的风险漏洞,《规范》要求银行和支付机构在“了解你的客户”原则的前提下,给予以同一身份证在同一家机构办理的全部小微商户基于信用卡的条码支付收款限额1000元/天、10000元/月。
《规范》注重引导用户的条码支付习惯。《规范》将条码支付分为付款扫码和收款扫码。“付款扫码”是指付款人通过手机、Pad等移动终端识读收款人展示的条码完成支付的行为,是用户主动扫码付款,俗称“主扫”;“收款扫码”是指收款人通过识读付款人移动终端展示的条码完成收款的行为,是用户被动扫码支付,俗称“被扫”。由于在此前的试点应用中,条码支付风险乃至用户资金损失多发生于“主扫”,特别是“主扫”静态条码,《规范》以限制静态扫码限额和约束银行、支付机构开展付款扫码服务的具体行为与风控措施并要求他们提供客户权益受损解决机制等具体条款,积极引导付款人“主扫”经过安全加密和设置有效期(一般为一次性条码)的动态条码,将商户的较大金额收款行为也引导到“被扫”上来。
《规范》强调、重申市场主体的特约商户管理。由于条码支付的特约商户与银行卡收单的没有多大差异,甚至从商户侧看,条码的技术风险容易造成商户结算资金的损失,《规范》继续使用银行卡收单特约商户管理与风险控制原则,从特约商户资质审核、受理协议、商户风险评级、商户检查、以及交易风险监测、客户安全教育等方面均提出要求,强化市场主体风险管理责任。《规范》要求市场主体将条码支付特约商户入网信息上报中国支付清算协会特约商户信息管理系统,实现风险信息共享,体现出监管科技理念。
《规范》强化支付清算市场纪律。针对市场主体,特别是支付机构在开展条码支付中采用银行直连,乱放支付系统接口,助长“二清”等严重扰乱支付服务市场秩序的突出问题,《规范》重申清算市场管理要求,明确要求银行、支付机构应当通过人民银行跨行清算系统或具有合法资质的清算机构处理条码支付业务涉及的跨行资金转移。同时,《规范》要求市场主体维护市场公平竞争秩序,明令支付机构(银行)不得以任何形式诋毁其他市场主体的商誉,不得采用不正当竞争手段损害其他市场主体利益,不得滥用市场支配地位,排挤竞争对手,更不得干涉或变相干涉客户和特约商户的自主支付选择。
《规范》鼓励有效的市场创新。鉴于市场主体较多采用与外包服务机构系统对接开展条码支付业务,《规范》强调市场主体不得将核心支付业务外包给服务机构,要确保外包服务机构无法获取或接触到用户和商户的敏感信息,更不得为外包服务机构从事或变相从事特约商户资金结算提供便利。《规范》前瞻地首次将自定义符号、图形、图像等作为信息载体传递交易信息用于支付的潜在市场创新纳入条码支付统一管理,进一步体现出央行“鼓励创新、防范风险、趋利避害、健康发展”的监管精神。
市场各方有理由相信,《规范》的发布、落实能够严守金融安全底线。通过统一、规范条码支付业务开展的支付创新能够积极推动中国气象的普惠金融发展,为人民群众提供安全便利的金融服务,更有望将中国在移动支付、移动金融方面的领先优势辐射海外市场,形成有中国支付清算行业话语权的国际标准与监管准则。
(北京网络法学研究会副秘书长、中国社科院金融所支付清算研究中心特约研究员 赵鹞)
进入【新浪财经股吧】讨论
责任编辑:陈楚潺