条码支付告别“无证驾驶”“危险驾驶”
2017年12月27日 19:14 来源于 财新网
赵鹞 中国政法大学金融创新与互联网金融法治研究中心副秘书长、中国社科院金融研究所支付清算研究中心特约研究员
要求银行和支付机构在“了解你的客户”原则的前提下,给予以同一身份证在同一家机构办理的全部小微商户基于信用卡的条码支付收款限额1000元/天、10000元/月
(专栏作家 赵鹞)近年来,在几大市场主体的持续努力和推动下,条码支付在餐饮门店、超市、便利店等线下小额支付场景得到推广应用,用户的接受度和使用率迅速提升。较之于银行卡支付,条码支付具有进入门槛低、推广应用成本小、便于融入各种线上线下场景等优势,创新性地满足了民众小额便民支付需求,成为我国移动支付发展的重要体现形式。
凡事兴一利,必生一弊,条码支付的业务与商业优势使得其业务与技术风险都有特殊性。一是条码支付在开放(移动)互联网环境下以图形方式传输支付指令与信息的成本优势使得其易于被不法分子使用简单的技术手段,如截屏、偷拍、攻击移动支付终端(如手机、Pad等)等盗取条码支付承载的支付凭证信息,给用户带来资金损失。二是条码支付可存储简单程序代码易于商业营销的场景优势使得条码亦容易携带恶意代码、木马和病毒,成为不法分子钓鱼,窃取用户敏感信息甚至盗取用户(商户)资金的“利器”。三是条码支付相较于银行卡支付,其使用交易指令单向验证简化支付流程从而提升用户感受的体验优势使得其易于被黑客绕过银行卡身份认证机制,实施“中间人”攻击,造成用户资金失窃。四是条码支付配套的(静态)条码图形、扫码设备具有部署成本低、使用门槛低的竞争优势使得条码图形,特别是静态条码真假难辨,其易被篡改、变造,用户扫码支付风险突出;扫码设备安全强度过低,普通的手机摄像头、简易的收银台扫描枪都可识别条码,易于被不法分子非法改装盗用。
条码支付过低的市场进入门槛也触发了市场的无序竞争,“无证驾驶”、“危险驾驶”风险集中。自2014年始,各类市场主体唯恐落后于人,部分支付机构采取持续补贴、交叉补贴的方式推广条码支付业务,大搞“跑马圈地”,将支付业务应有的安全措施的有效性,业务规则的统一性和消费者权益保护的合规性统统置于脑后,造成条码支付风险频发,损害了用户信息安全和资金安全。为此,央行果断采取了暂停业务的监管措施。其后,随着支付标记化等技术成熟,在移动支付中得到稳健的应用,条码支付的技术安全得到一定程度的提升,有关各方对条码支付的业务与技术规范进行持续论证与验证;在行业协会的协调下,各方就条码支付的普遍问题与业务、技术标准达成共识,都期待央行适时推出条码支付的“驾驶证”与“交规”。
今天,央行审时度势的发布了《关于印发<条码支付业务规范(试行)>的通知》(以下简称《规范》),条码支付从此告别“无证驾驶”与“危险驾驶”。
《规范》是条码支付的“驾驶证”。第五次全国金融工作会议强调穿透式监管,要注重金融业务的实质,而不能囿于业务的表象。由于条码支付只是改变了支付业务流程中的第一阶段“交易”的表现形式,并没有颠覆支付业务流程与实质,因此《规范》在已有的《银行卡收单业务管理办法》与《非银行支付机构网络支付业务管理办法》的基础上,本着“同一业务,同一规则”的监管原则,使用穿透式监管,确立条码支付业务准入门槛:对于支付机构向用户提供条码技术的付款服务时,业务本质与网络支付同一,应适用网络支付业务许可;对于支付机构向实体特约商户和网络特约商户提供条码的收单服务时,业务实质与银行卡收单同一,应适用银行卡收单业务许可。
《规范》明确了条码支付的“交规”。市场统计表明,条码支付业务量的95%是单笔500元以下的小额交易,2017年上半年笔均百元左右。数据充分体现出条码支付小额、便民的特征。因此《规范》将条码支付仍旧定位于小额、便民支付,是银行卡支付的重要补充,同时考虑到用户的多样化、个性化需求与条码支付风险的特殊性,《规范》建立了动态条码支付的风险等级与对应的交易限额:对于采用数字证书或电子签名在内的两种(含)以上有效要素进行验证的,条码支付交易限额由市场主体(银行、支付机构)与客户自行约定;对于采用不包括数字证书、电子签名在内的两类(含)以上有效要素进行验证的,单个银行账户和所有支付账户、快捷支付限额5000元/天;对于采用不足两类有效要素验证的,业务限额1000元/天。对于静态码,则不区分交易验证方式,均为限额500元/天。
《规范》积极响应市场需要。为满足小微商户受理条码支付的要求,同时为堵住不法分子滥用商事登记管理与税收改革政策中关于小微商户的优待政策,甚至其与小微商户勾结套现大额信用卡资金的风险漏洞,《规范》要求银行和支付机构在“了解你的客户”原则的前提下,给予以同一身份证在同一家机构办理的全部小微商户基于信用卡的条码支付收款限额1000元/天、10000元/月。
《规范》注重引导用户的条码支付习惯。《规范》将条码支付分为付款扫码和收款扫码。“付款扫码”是指付款人通过手机、Pad等移动终端识读收款人展示的条码完成支付的行为,是用户主动扫码付款,俗称“主扫”;“收款扫码”是指收款人通过识读付款人移动终端展示的条码完成收款的行为,是用户被动扫码支付,俗称“被扫”。由于在此前的试点应用中,条码支付风险乃至用户资金损失多发生于“主扫”,特别是“主扫”静态条码,《规范》以限制静态扫码限额和约束银行、支付机构开展付款扫码服务的具体行为与风控措施并要求他们提供客户权益受损解决机制等具体条款,积极引导付款人“主扫”经过安全加密和设置有效期(一般为一次性条码)的动态条码,将商户的较大金额收款行为也引导到“被扫”上来。
《规范》强调、重申市场主体的特约商户管理。由于条码支付的特约商户与银行卡收单的没有多大差异,甚至从商户侧看,条码的技术风险容易造成商户结算资金的损失,《规范》继续使用银行卡收单特约商户管理与风险控制原则,从特约商户资质审核、受理协议、商户风险评级、商户检查、以及交易风险监测、客户安全教育等方面均提出要求,强化市场主体风险管理责任。《规范》要求市场主体将条码支付特约商户入网信息上报中国支付清算协会特约商户信息管理系统,实现风险信息共享,体现出监管科技理念。
《规范》强化支付清算市场纪律。针对市场主体,特别是支付机构在开展条码支付中采用银行直连,乱放支付系统接口,助长“二清”等严重扰乱支付服务市场秩序的突出问题,《规范》重申清算市场管理要求,明确要求银行、支付机构应当通过人民银行跨行清算系统或具有合法资质的清算机构处理条码支付业务涉及的跨行资金转移。同时,《规范》要求市场主体维护市场公平竞争秩序,明令支付机构(银行)不得以任何形式诋毁其他市场主体的商誉,不得采用不正当竞争手段损害其他市场主体利益,不得滥用市场支配地位,排挤竞争对手,更不得干涉或变相干涉客户和特约商户的自主支付选择。
《规范》鼓励有效的市场创新。鉴于市场主体较多采用与外包服务机构系统对接开展条码支付业务,《规范》强调市场主体不得将核心支付业务外包给服务机构,要确保外包服务机构无法获取或接触到用户和商户的敏感信息,更不得为外包服务机构从事或变相从事特约商户资金结算提供便利。《规范》前瞻地首次将自定义符号、图形、图像等作为信息载体传递交易信息用于支付的潜在市场创新纳入条码支付统一管理,进一步体现出央行“鼓励创新、防范风险、趋利避害、健康发展”的监管精神。
市场各方有理由相信,《规范》的发布、落实能够严守金融安全底线。通过统一、规范条码支付业务开展的支付创新能够积极推动中国气象的普惠金融发展,为人民群众提供安全便利的金融服务,更有望将中国在移动支付、移动金融方面的领先优势辐射海外市场,形成有中国支付清算行业话语权的国际标准与监管准则。
作者为北京网络法学研究会副秘书长、中国社科院金融所支付清算研究中心特约研究员
文章:恰逢其时:我看条码支付规范
来源:经济日报-中国经济网
作者:拉卡拉支付股份有限公司 资深合规总监 唐凌
曾有一个段子,小偷把楼下便利店的支付条码换成自己的,每天在家默默的收钱,直到月底店主结款才发现。网友纷纷留言,惊呼现如今做小偷都需要掌握高科技,更感叹条码支付早已深入到我们生活的方方面面。条码支付便捷的场景、低廉的成本,让各机构争前恐后、趋之若鹜。但在条码支付异常火爆的同时,市场的无序竞争、机构的违规操作、不法分子的攻击诈骗等问题时有发生。直至今天,条码支付的相关规范终于发布了,可谓是恰逢其时。
通读全文,敲黑板,划重点,几大看点如下:
一、明确展业资质,强调业务管理
规范明确了为实体特约商户和网络特约商户提供条码支付收单服务的,需分别具备银行卡收单业务许可和网络支付业务许可。从业务本质上看,条码支付更多的场景是面对面支付,无论是主扫或是被扫,从商户进件、身份识别、交易处理、风险管理等方面与线下银行卡收单业务大同小异。基于此,规范中强调了提供条码支付收单服务的机构,需执行银行卡收单的规定,进行属地管理。即提供线下条码收单服务的机构,需在当地设立分支机构且具备收单业务资质,确保商户和消费者的权益能够得到有效的保护。
二、促进普惠金融,服务实体经济
与281号文件相呼应,此次规范明确了小微商户凭身份证、租赁协议等证明文件即可办理商户入网。至此,无论是线上还是线下,小微商户均可入网开展业务,优化了原有的商户准入要求。这一规定充分体现了监管层尊重现实,很接地气,真心为央妈点赞。同时,基于信用卡的条码支付收款金额实行按日按月累计限额,减少了个别商户利用小微商户身份进行大额套现的可能性,促进条码支付业务回归小额、便民的定位,回归服务实体经济的本源。
三、严格限额管理,提高风险防范
近年来,新闻媒体关于“扫码领红包,4000元瞬间被盗”、“扫个二维码,18万就没了”的报道层出不穷。为此,规范提出了支付机构要根据用户的风险防范等级来设置日累计交易限额。简单的说,就是用户的风险防范等级越高,每天可以交易的金额就越高,如规范中提到的A级,采用数字证书或电子签名,再加上静态密码、指纹等要素,就可以不受额度限制;如果商家放个静态码你就敢扫,支付额度自然就低。尽管监管对静态码有不少要求,如商家定期检查,用玻璃罩盖上等措施,但在扫码支付的风险案件中,静态码占比仍很高,那每天就限额500元,即便是被骗,损失也可控。如用动态码付款,风险自然少,限额就会提升。这也是监管政策的一个良好导向。
四、增强安全管理,促进创新发展
今年315央视晚会曝光了不法分子通过手机木马,将消费者手机中的支付账号、密码、身份证信息、联系人信息、照片等隐私信息窃取,甚至直接截获短信验证码盗刷手机用户银行卡的极端案例。条码支付相比于银行卡支付,没有物理卡片的载体,也缺少专业设备的支持,在信息安全方面存在一定的隐患。为此,规范从条码的生成和受理方面,强调了相关的系统、软件、终端必须符合标准要求,系统的操作和维护必须由专人进行,条码信息与扫码结果不得包含客户和账户的敏感信息等要求。同时,也对支付机构在提升条码的防护能力、交易安全强度、风险管理机制和客户端软件安全等方面提出了具体要求。安全和便捷是一把双刃剑,越便捷风险就相对较大。此次规范的出台,应是对行业做了充分调研,措施切实可行,操作性强。一方面,保障了行业的持续健康发展,这是支付机构生存的土壤,也是创新的基础;另一方面,也为良币驱逐劣币提供了机会,遵循规范要求的创新,可以带来利润和效能,这是支付机构创新的动力。
五、加强商户管理,规范外包服务
参照对银行卡收单机构的要求,规范强调支付机构拓展条码支付特约商户要“了解你的客户”,同时要接受中国支付清算协会的行业自律管理。在支付机构拓展商户、开展业务方面,也提出了维护支付服务市场公平竞争秩序的要求,包括不得滥用优势市场地位,开展倾销、补贴等不正当竞争,扰乱市场秩序。另外,规范对支付机构和外包商的业务合作进行了明确要求,即外包商一不能碰交易中的支付敏感信息,二不能碰资金,这同央行前期发布的217号文保持了连续性,显示了央行坚决切断无证机构支付业务渠道,遏制支付服务市场乱象,整肃支付服务市场秩序的决心。
更多金融市场分析,欢迎点击“阅读原文”,加入我的圈子
