王瑞紅

央行近日發(fā)布《條碼支付業(yè)務規(guī)范（試行）》的通知，自2018年4月1日起實施?！锻ㄖ芬螅瑖栏褡裱瓨I(yè)務資質及清算管理要求。非銀行支付機構（以下簡稱支付機構）向客戶提供基于條碼技術的付款服務的，應當取得網絡支付業(yè)務許可；支付機構為實體特約商戶和網絡特約商戶提供條碼支付收單服務的，應當分別取得銀行卡收單業(yè)務許可和網絡支付業(yè)務許可。

央行為什么給條碼支付“立規(guī)矩”

為鼓勵并規(guī)范金融創(chuàng)新，促進條碼支付健康可持續(xù)發(fā)展，中國人民銀行近日印發(fā)了《條碼支付業(yè)務規(guī)范》，并配套印發(fā)了《條碼支付安全技術規(guī)范》《條碼支付受理終端技術規(guī)范》，自2018年4月1日起實施。所謂條碼支付，即人們常說的“掃碼支付”，此項支付形式近年來發(fā)展迅速。與此同時，市場的無序競爭、機構的違規(guī)操作、不法分子的攻擊詐騙等問題也時有發(fā)生，像“掃碼領紅包，4000元瞬間被盜”、“掃個二維碼，18萬就沒了”的報道，平時并不見少。因此，此次相關規(guī)范文件的發(fā)布，可謂恰逢其時。

具體來看，規(guī)范基于信用卡的條碼支付收款金額實行按日按月累計限額，減少了個別商戶利用小微商戶身份進行大額套現(xiàn)的可能性，促進條碼支付業(yè)務回歸小額、便民的定位，回歸服務實體經濟的本源。同時明確了小微商戶憑身份證、租賃協(xié)議等證明文件即可辦理商戶入網。至此，無論是線上還是線下，小微商戶均可入網開展業(yè)務，優(yōu)化了原有的商戶準入要求，體現(xiàn)了監(jiān)管層尊重現(xiàn)實的務實精神。

更為重要的是，參照對銀行卡收單機構的要求，規(guī)范對支付機構在提升條碼的防護能力、交易安全強度、風險管理機制和客戶端軟件安全等方面提出了具體可操作要求，顯示了央行整肅支付服務市場秩序的決心。業(yè)內皆知，銀行業(yè)金融機構、支付機構開展條碼支付業(yè)務涉及跨行交易時，應當通過人民銀行跨行清算系統(tǒng)或者具備合法資質的清算機構處理。銀行、支付機構不得新增不同法人機構間直連處理條碼支付業(yè)務；存量業(yè)務應按照人民銀行有關規(guī)定加快遷移到合法清算機構處理。

為此《通知》明確，規(guī)范條碼支付收單業(yè)務管理。銀行、支付機構應當加強條碼支付收單業(yè)務管理，嚴格遵守商戶實名制、商戶風險評級、交易風險監(jiān)測等基本規(guī)定。為實體特約商戶提供收單服務，應履行本地化經營、商戶定期巡檢責任；為網絡特約商戶提供收單服務，應強化對網絡支付接口的使用管理和交易監(jiān)測，采取有效的檢查措施和技術手段對其經營內容和交易情況進行檢查。銀行、支付機構與外包服務機構開展條碼支付業(yè)務合作的，應明確外包服務機構定位，加強管理，防范業(yè)務風險。

《通知》提出，發(fā)揮行業(yè)自律作用。銀行、支付機構從事條碼支付業(yè)務，應接受中國支付清算協(xié)會行業(yè)自律管理。《通知》還提出，支付機構不得基于條碼技術，從事或變相從事證券、保險、信貸、融資、理財、擔保、信托、貨幣兌換、現(xiàn)金存取等業(yè)務。銀行、支付機構發(fā)現(xiàn)特約商戶發(fā)生疑似套現(xiàn)、洗錢、恐怖融資、欺詐、留存或泄露賬戶信息等風險事件的，應對特約商戶采取延遲資金結算、暫停交易、凍結賬戶等措施，并承擔因未采取措施導致的風險損失責任；發(fā)現(xiàn)涉嫌違法犯罪活動的，應及時向公安機關報案。

《通知》還建立了動態(tài)條碼支付的風險等級與對應的交易限額。具體而言：對于采用數(shù)字證書或電子簽名在內的兩種（含）以上有效要素進行驗證的，條碼支付交易限額由市場主體（銀行、支付機構）與客戶自行約定；對于采用不包括數(shù)字證書、電子簽名在內的兩類（含）以上有效要素進行驗證的，單個銀行賬戶和所有支付賬戶、快捷支付限額5000元/天；對于采用不足兩類有效要素驗證的，業(yè)務限額1000元/天。對于靜態(tài)碼，則不區(qū)分交易驗證方式，均為限額500元/天。

規(guī)范掃碼支付恰逢其時

作為一種新興支付方式，條碼支付無疑給消費者帶來了諸多新奇體驗和支付便利，但盜取支付憑證、盜用資金、攜帶病毒、木馬竊取賬戶或支付敏感信息、信用卡套現(xiàn)等風險隱患也相伴而生。事實上，自本世紀初，國內外市場主體便開始嘗試將條碼技術應用于移動支付領域。在我國，中國銀聯(lián)最早著手研發(fā)條碼支付。不過，由于部分支付機構采取持續(xù)補貼、交叉補貼的方式推廣條碼支付業(yè)務，大搞“跑馬圈地”，導致條碼支付安全問題不斷暴露，2014年3月份，央行一度叫停線下二維碼支付服務。

但是，部分支付機構并未真正停止條碼支付業(yè)務的拓展。2014年9月份，支付寶、微信支付隨即再次布局二維碼支付。現(xiàn)在，幾乎每一部智能手機都可支持二者的二維碼支付，市場形成了雙寡頭壟斷的局面。去年8月份，支付清算協(xié)會向會員單位下發(fā)《條碼支付業(yè)務規(guī)范（征求意見稿）》。一位業(yè)內人士表示，這對于支付市場而言無異于宣告曾一度被緊急叫停的二維碼支付業(yè)務正式回歸。而本次業(yè)務規(guī)范的正式出臺，則在進一步明晰細化征求意見稿的基礎上，更清晰地釋放出條碼支付業(yè)務需回歸小額、便民本質的監(jiān)管信號。

《規(guī)范》規(guī)定，對于采用數(shù)字證書或電子簽名在內的兩種（含）以上有效要素進行驗證的，條碼支付交易限額由市場主體（銀行、支付機構）與客戶自行約定；對于采用不包括數(shù)字證書、電子簽名在內的兩類（含）以上有效要素進行驗證的，單個銀行賬戶和所有支付賬戶、快捷支付限額每天5000元；對于采用不足兩類有效要素驗證的，業(yè)務限額每天1000元。

市場統(tǒng)計數(shù)據顯示，95%的條碼支付業(yè)務為單筆500元以下的小額交易，2017年上半年筆均100元左右。中國社科院金融所支付清算研究中心特約研究員趙鷂表示，數(shù)據充分體現(xiàn)出條碼支付小額、便民的特征。對此，中國支付清算協(xié)會執(zhí)行副會長兼秘書長蔡洪波用“小而美”來形容條碼支付的定位。他進一步解釋稱，《規(guī)范》將條碼支付仍舊定位于小額、便民支付，是銀行卡支付的重要補充。同時，考慮到用戶的多樣化、個性化需求與條碼支付風險的特殊性，《規(guī)范》建立了動態(tài)條碼支付的風險等級與對應的交易限額。

基于防替換、防盜刷等因素考慮，《規(guī)范》要求銀行、支付機構對使用靜態(tài)條碼進行支付執(zhí)行更加嚴格的額度管理措施。同一客戶單個銀行賬戶或者所有支付賬戶、快捷支付單日累計交易金額應不超過500元。蔡洪波表示，總體來看，各項單日累計交易額度能夠有效滿足絕大部分客戶使用條碼支付進行付款的需求，基本上不會影響消費者使用的便利性體驗，同時也能夠顯著提高條碼支付的安全水平。

堅決整肅支付服務市場秩序

“以后使用條碼支付時，盡量不要拿手機掃描別人的靜態(tài)條碼，而是要讓別人掃描你的手機。那種事先張貼在墻上的二維碼是靜態(tài)的，安全性遠低于手機上實時生成的動態(tài)二維碼?！敝袊嗣翊髮W重陽金融研究院高級研究員董希淼建議。董希淼表示，快速發(fā)展中的條碼支付市場存在三方面的問題。從技術層面看，二維碼通過幾何圖形來記錄數(shù)據和儲存信息，可能攜帶非法鏈接或代碼。如果二維碼支付終端缺乏識別與攔截功能，就可能產生安全漏洞和隱患。

而二維碼本身的可視化特性，在互聯(lián)網環(huán)境下以圖形化方式傳輸，容易受到攻擊，容易傳播木馬、病毒，造成用戶資金損失和信息泄露。從市場層面看，部分支付機構在拓展業(yè)務時，通過不當?shù)慕徊嫜a貼、不計成本的低價傾銷等手段，甚至濫用本機構及關聯(lián)企業(yè)的市場優(yōu)勢地位，導致行業(yè)無序發(fā)展和不公平競爭。從合規(guī)層面看，部分市場機構片面追求業(yè)務發(fā)展速度，在業(yè)務拓展過程中未履行“了解你的客戶”義務，違規(guī)發(fā)展商戶，加劇了套現(xiàn)、二清以及外包管理不到位等收單亂象，帶來各類安全隱患。部分機構進行跨行交易時未通過央行跨行清算系統(tǒng)或清算機構，而是直連處理條碼支付業(yè)務，變相實現(xiàn)跨行清算的功能。

針對上述問題，《規(guī)范》第一是明確條碼支付業(yè)務資質和清算管理要求，即支付機構開展條碼支付，應取得網絡支付業(yè)務許可及銀行卡收單業(yè)務許可等，涉及跨行清算的應通過央行跨行清算系統(tǒng)或清算機構辦理；第二是針對條碼生成和受理提出一系列安全性要求，使條碼支付更加安全可靠，大幅度降低基于條碼的支付詐騙風險。

對于此前失手支付市場江山的銀行業(yè)來說，上述業(yè)內人士分析稱，盡管銀行前期喪失了對客戶、場景以及數(shù)據的掌控，但伴隨著支付機構備付金集中存管、網聯(lián)統(tǒng)一接入、銀聯(lián)“云閃付”發(fā)力，依托二三類賬戶深耕支付業(yè)務或許會成為擺在銀行業(yè)面前的機會。