昨天,有支付机构人士向记者确认,由央行主管的中国支付清算协会近日向支付机构下发《条码支付业务规范(征求意见稿)》,将二维码支付定位为传统线下银行卡支付的有益补充,并规定了交易验证安全等级和限额。这是央行2014年3月叫停二维码支付后首次官方承认二维码支付地位。根据意见稿,目前扫码支付中最普遍、仅凭静态密码验证的支付方式,单日限额为1000元。
时隔两年重获认可
两年前,扫码支付这一新兴事物方兴未艾之际,央行突然暂停支付宝、腾讯和中信银行的虚拟信用卡产品,同时被暂停的还有条码(二维码)支付等面对面支付服务。央行表示,当前二维码的技术安全标准缺失,在支付流程中如何保证二维码的唯一性和交易的不可抵赖性都不完善,二维码支付的安全性存在很大隐患。不过央行也表示,会尽快完善条码支付的技术规则和安全防控标准,当标准形成后,将逐步推广扫码支付。
两年来,虽然监管并没有认可二维码支付,但这种方便快捷且成本低廉的支付方式赢得了消费者和商户的一致欢迎。为抢夺移动支付市场,除微信和支付宝外,许多金融机构都在暗暗布局二维码支付,包括邮储银行、中国银行、民生银行、平安等多家银行均已支持二维码转账。中国银联投入大量资源进行二维码产品的设计以及进行相关安全标准的探索。中国支付清算协会也成立了移动支付工作委员会负责统筹相关事宜。去年年底央行下发《非银行支付机构网络支付业务管理办法》,对二维码支付的交易验证方式做出规定。经过两年多的发展,二维码支付的安全环境不断改善。
验证方式不同 限额不同
征求意见稿重点对扫码支付安全型问题做出详细规定,确保消费者的支付安全。在交易验证方面,意见稿重申了《非银行支付机构网络支付业务管理办法》的规定,明确表示,支付机构可以组合选用下列三种要素,对客户条码支付交易进行验证:一是仅客户本人知悉的要素,如静态密码等;二是仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名以及通过安全渠道生成和传输的一次性密码等;三是客户本人生理特征要素,如指纹等。
交易限额方面,有数字证书或电子签名在内的两类(含)以上要素对交易进行验证的,由支付机构与消费者协议自主约定单日累计限额;采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计金额应不超过5000元;采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计金额应不超过1000元,且支付机构应当承诺无条件金额承担此类交易的风险损失赔付责任。事实上,在当前二维码支付的大多数场景中,如吃饭结账、网络约车、超市购物,消费者只需输入静态密码即可支付,不需要数字证书、短信验证码或录入指纹。根据意见稿,这种支付方式的风险防范等级只达到C级,单日消费限额只有1000元。
支付宝 微信暂不置评
据比达咨询发布的《2015年度中国第三方移动支付市场研究报告》,在2015年第三方移动支付交易规模市场份额中,支付宝以72.9%的份额居首,财付通(微信+手Q)以17.4%位居第二,远超其他支付品牌。当记者昨晚询问微信支付和支付宝对征求意见稿的态度时,两家机构均十分谨慎地表示暂时不予置评。
就在7月中旬,工行也上线了二维码支付产品。工行相关负责人认为,根据国外二维码市场发展来看,二维码对于布局O2O具有重要意义,从支付的流畅性及推广角度而言,要远胜于此前市场正在推行的NFC支付,技术上也比目前部分机构正在尝试的声波支付、蓝牙支付、光子支付、指纹支付、虹膜支付等技术更加成熟。记者 张品秋