編者按：3月13日，央行下發緊急文件叫停了剛剛興起的二維碼支付等支付服務。這種黑白相間、縱橫交錯、形似迷宮的方形二維碼的，輕輕一“掃”究竟會給大眾帶來多少風險？普通人又該如何避免損失？中國金融認證中心（CFCA）的專家左小軍從技術角度進行了解答。

　　二維碼由于其使用方便、成本低等特點，已經廣泛應用于社會經濟各領域，包括制造業、物流業、零售業等。隨著阿里、騰訊、百度等互聯網巨頭對二維碼的大力推廣和應用，人們對這種黑白相間、縱橫交錯、形似迷宮的方形二維碼的感知也越來越深。它可以是一張電影票、門票的支付憑證，也可以是任何商家或個體用于線下交易收款的載體和憑據。有了它，可以不用刷卡，直接在便利店、公共服務、連鎖商場等通過掃二維碼完成交易。正如人們期望的那樣，二維碼已經實實在在地成為了線上與線下的關鍵入口，也給各相關方帶來了實實在在的商業價值：它簡化了原本交易過程中輸入賬號等繁瑣過程，提高了用戶使用感受；它能將后端蘊藏的豐富資源帶到前端，幫助電子商務平臺打造從產品推廣到支付的一體化閉環服務體系。

　　但人們在享受二維碼便利的同時，二維碼相關安全問題一直沒有引起足夠的重視，3月13日央行下發的緊急文件《中國人民銀行支付結算司關于暫停支付寶公司線下條碼（二維碼）支付等業務意見的函》給市場敲響了警鐘。正如該文中所稱“條碼（二維碼）應用于支付領域有關技術、終端的安全標準不明確，相關支付撮合驗證方式的安全性尚存質疑，存在一定的支付風險隱患?！睆募夹g角度來看，二維碼應用于支付領域的風險隱患主要有以下三點：

　　第一，二維碼生成機制和傳輸過程存在風險隱患。由于技術門檻低，二維碼目前處在“人人皆可制作、印刷和發布”的狀態。不法分子可將帶有病毒程序、不良信息的網站或者釣魚網站的網址發布成二維碼形式，然后通過各種手段誘導用戶掃碼。對于普通用戶來說，無法鑒別二維碼的信息內容和發布者的身份信息，用手機掃二維碼成了高風險動作。

　　第二，支付終端的安全性較難保障。與傳統POS機具等專用?？氐闹Ц督K端相比，二維碼形式的手機支付終端環境復雜，被攻擊的渠道增多，安全性較難保障，可能會導致用戶身份信息、交易信息泄露、資金損失。

　　第三，二維碼支付指令驗證手段較為單一，安全性屏障不夠。二維碼移動支付的特點是所有的支付指令驗證手段都通過手機來完成，要么是在手機中輸入支付密碼，要么是通過短信驗證碼的方式完成支付指令驗證，甚至可通過手機重置支付密碼。因此支付交易過程中的安全因子單一，驗證通道單一，一旦用戶手機丟失或被遙控，可能會直接造成用戶資金損失。

　　在以上三個關鍵技術問題未解決前，“條碼（二維碼）支付等面對面支付服務”可能還會處于暫停狀態。要解決這些問題，需要調整二維碼支付相關的生態環境，規范二維碼制作、傳輸、發布、驗證的過程，引入第三方認證機構對二維碼信息的發布者進行身份認證，建立信任域，對發布的二維碼信息內容進行審核，增加二維碼信息防篡改機制；增強手機端掃碼軟件的安全性，掃碼獲取信息后須驗證二維碼信息發布者的身份真實性和二維碼信息的完整性，只有驗證通過的網址信息才能訪問，以保證二維碼信息真實、可靠、安全。對于手機支付終端的環境安全問題，需加強手機端安全環境檢測，培養用戶使用手機的良好使用習慣（從正規渠道下載APP，其次對別人發來的APP、鏈接和二維碼不要隨便掃描、點擊和安裝）。從支付業務風險控制角度，需對手機上的支付業務進行限額管理。當然，支付安全是一個系統工程，需要主管部門、支付機構和用戶多方一齊努力，針對二維碼的特點，合理搭配各種安全手段和機制，才能在享受二維碼便利性的同時最大限度實現支付安全，也為互聯網金融創新發展提供堅實的基礎。

責任編輯：王超