据财经网消息,近日,央行主管的中国支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿),意见稿中明确指出支付机构开展条码业务需要遵循的安全标准。这是央行在2014年叫停二维码支付以后首次官方承认二维码支付地位。
此前,央行曾向支付清算协会、银联发函确认二维码支付地位。央行要求支付清算协会在前期相关工作基础上,按照要求,会同银行卡清算机构、主要商业银行和支付机构出台条码支付行业技术标准和业务规范,并在个人信息保护、资金安全、加密措施、敏感信息存储等方面提出明确要求。
在以上背景的基础上,支付清算协会向支付机构下发了《条码支付业务规范》(征求意见稿),征求意见稿包括总则、条码生成和受理、条码支付特约商户管理、风险管理、纪律与责任、附则六章,对条码(二维码)从生成到使用各个环节进行了规范。
征求意见稿主要内容
在总则中,征求意见稿将条码支付分为付款扫码和收款扫码。付款扫码是指付款人通过移动终端读取收款人展示的条码完成支付的行为,也就是我们用户日常的支付行为。收款扫码是指收款人通过读取付款人移动终端展示的条码完成支付的行为,目前在很多商超已经推广开来,相对来说更为便捷,用户不用输入密码。
对于提供二维码支付的支付机构,意见稿指出,其必须取得相应业务资质,这可能意味着二维码支付也将实施牌照管理。此外,支付机构必须落实实名制要求,必须遵守反洗钱规定,遵守相关技术标准与规范要求。
在第二章条码生成和受理部分,意见稿指出,支付机构应将客户用于生成条码的银行账户号码或支付账户账号、身份证件号码、手机号码进行关联管理。
在输入方式的安全验证方面,可以采用三种方式,1.仅客户本人知悉的要素(如静态密码等);2.仅客户本人持有并特有的,不可复制或者不可重复利用的要素(如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等); 3.客户本人生理特征要素(如指纹等)。也就是说,在支付验证时可以采用的形式包括静态密码、电子签名、指纹识别等。意见稿分别对三种方式应当有的安全措施提出了要求。
个人用户的交易限额依据自身的风险防范等级而定。A级用户使用了两种以上的验证方式,交易限额可以由用户与支付机构自行商定;B级用户使用了两种以上的验证方式,但未使用数字证书、电子签名,交易限额为每日5000元;C级用户采用不足两类要素对交易进行验证,交易限额每日不超过1000元。
本章还对条码的有效性、软硬件安全、用户信息安全管理等方面提出了具体要求。
在第三章条码支付特约商户管理中,意见稿指出,支付机构应充分了解所拓展的商户,保证其合法性、实名制,确保法定代表人在风险信息管理系统中不存在不良信息。接入商户要有一定的流程,要与商户就权利与义务达成约定,确保其不从事非法活动。
支付机构要建立起特约商户信息管理系统、黑白名单制度、特约商户检查制度,加强对商户支付行为的管理。支付机构不得干涉或变相干涉特约商户与其他机构的合作。
在第四章风险管理中,意见稿指出,支付机构应建立全面风险管理体系、内部控制机制、特约商户风险评级检查与评估制度、交易风险监测体系,评估业务相关的洗钱和恐怖融资风险,采取与风险水平相适应的风险管控措施。对风险等级较高的特约商户,会员单位应通过强化交易监测、建立特约商户风险准备金、延迟清算等风险管理措施,防范交易风险。
会员单位应制定突发事件应急预案,建立灾难备份系统,确保条码支付业务的连续性和业务系统安全运行。
在第五章纪律与责任中,意见稿指出,支付机构开办、新增、变更、终止条码支付业务,均需提前30天向协会汇报。
二维码支付全面铺开在即
总体来说,意见稿对于开展二维码支付的方式、商户管理、支付机构管理、风险管理进行了详细规定,总的关注点是确保二维码支付过程中的交易安全、用户信息安全、商户与支付机构的合规性,防止利用二维码进行洗钱等违法行为。
实际上,在2014年3月,央行支付结算司发文暂停支付宝、财付通的线下条码支付业务,担心的就是安全问题。当时称,条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全和资金安全。将条码(二维码)应用于支付领域有关技术,终端的安全标准尚不明确。相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患。
央行当时强调,是暂停而非叫停。如今央行下属协会发布条码支付业务规范征求意见稿,显然对于条码支付的风险防范体系有了规划,下一步将是条码支付的彻底合法合规化。
二维码支付有了官方定位,NFC很受伤
在7月初央行发给支付清算协会和银联的函件中明确了二维码支付的定位,央行称,线下条码支付具有进入门槛低、便捷等特点,适用于对传统POS收银成本敏感的小商户的日常小额交易,定位于传统线下银行卡支付的有益补充。
这也与当前二维码的使用比较吻合,大额的支付走银行卡支付的渠道,小额、高频的支付走第三方支付尤其是二维码支付的渠道。当下在北京的商场、超市、餐饮门店,二维码支付已经普及得相当广泛。随着政策上的肯定和安全问题的进一步解决,二维码的使用场景可能会进一步拓展,这对于NFC相关厂商来说肯定不是一个好消息。受制于硬件的限制,NFC支付市场拓展一直进展缓慢,苹果Apple Pay入华也未改变这一局面。下一步如果没有突破性创新,NFC可能进一步受市场冷落。
二维码的放开其实早有预兆。7月15日,工商银行推出二维码支付产品,成为国内首家拥有二维码支付产品的商业银行。工行作为金融国家队,推出二维码支付产品,透露出的政策意味很浓,被叫停两年多的二维码支付即将重新开闸。实际上,即使在2014年遭暂停后的两年内,业内对于二维码支付的探索也从未停止过。