中國電子銀行網12月27日訊，今日，央行發布《中國人民銀行關于印發<條碼支付業務規范（試行）>的通知》（銀發[2017]296號），配套印發了《條碼支付安全技術規范（試行）》和《條碼支付受理終端技術規范（試行）》，對當前日漸放開的條碼（二維碼）支付的相關技術及業務進行規范。

　　條碼支付從興起到亂象叢生，再到被暫停，一路走來也是坎坷頗多。但條碼支付確實是一項創新的便民技術，需要監管部門合理引導和規范。在此背景下，央行出臺了相關的規范條例，對條碼支付的業務規范和技術規范提出相關要求。

　　條碼支付業務問題重重 亟需規范

　　條碼支付在降低社會交易成本，方便民眾的同時也產生了一系列的市場亂象。

　　部分商戶利用條碼可以遠程發送、不受專業受理終端限制的特點，在商戶拓展過程中未履行“了解你的客戶”義務，通過“一證下機”等方式違規發展商戶，加劇了套現、二清、外包管理不到位等收單亂象，對市場產生很大的危害。

　　還有部分機構在條碼支付業務的定價和市場推廣策略中采取傾銷、交叉補貼等不正當競爭手段，擾亂市場秩序。

　　條碼支付技術風險不容小覷

　　除了業務層面的市場風險外，條碼支付借助開放互聯網和非專業設備進行交易處理，也容易產生新的技術風險。

　　包括：可視化風險，條碼支付在開放互聯網環境下以圖形方式進行傳輸，不法分子可通過截屏、偷拍、攻擊手機等手段盜取支付憑證，在支付憑證有效期內盜用資金；

　　易攜帶惡意代碼的風險，條碼不僅可存儲支付要素，也可攜帶非法鏈接或程序代碼，不法分子可將木馬病毒、釣魚網站鏈接制成條碼，誘導客戶掃描，竊取支付敏感信息；

　　信息單向交互風險，條碼支付只能實現發起方或接收方的單向信息交互，不法分子可利用該弱點實施“中間人攻擊”，繞過身份認證機制，造成用戶資金損失；

　　掃描設備安全強度低的風險，條碼支付對設備要求低，普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設備均可識別條碼，易被不法分子非法改裝使用。

　　條碼支付業務規范有了硬性指標

　　針對以上問題，通知明確了五個方面的業務規范措施。

　　條碼支付業務資質要求。明確支付機構向客戶提供基于條碼支付的付款服務時，應取得網絡支付業務許可；支付機構為實體特約商戶和網絡特約商戶提供條碼支付收單服務的，應當分別取得銀行卡收單業務許可和網絡支付業務許可。

　　重申清算管理要求。針對部分支付機構與多家銀行或支付機構直連進行商戶拓展，進一步強化了支付機構與銀行多頭直連的現象，明確要求銀行、支付機構開展條碼支付業務涉及跨行交易時，應當通過人民銀行跨行清算系統或具備合法資質的清算機構處理。

　　維護市場公平競爭秩序。通知要求，不得以任何形式詆毀其他市場主體的商業信譽，不得采用不正當競爭手段損害其他市場主體利益、排擠競爭對手，破壞市場公平競爭秩序。

　　規范條碼生成和受理。提出交易驗證方式、交易限額管理、信息管理和安全防護，靜態條碼應用管理、綜合應用支付標記化技術等措施，保障條碼支付業務的安全性。

　　加強商戶管理和風險管理。從特約商戶資質審核、受理協議簽訂、商戶風險評級、商戶檢查，以及交易風險評測，客戶安全交易等方面提出要求，強化業務風險管理。

　　規范對條碼支付技術風險提出要求

　　加強條碼安全防護。采取支付標記化（Tokenization）、有效期控制、條碼防偽識別等手段，提升條碼生成、存儲、展示、識讀、解析、使用等安全生命周期各環節的安全防護能力，有效保障條碼的可靠性和有效性。

　　提升條碼支付交易安全強度。要求銀行、支付機構運用交易驗證強度與交易額度相匹配的技術措施提高條碼支付交易的安全性，并根據不同交易驗證方式的風險防范能力設置相應的日累計交易限額。

　　強化條碼支付交易風險檢測與預警。要求建立條碼支付風險監控模型和系統，對異常交易及時預警并附加采取調查核實、風險提示、延遲結算等措施，對高風險交易采取不同通信方式及時告知客戶資金變化情況。

　　加強客戶端軟件安全管理。從木馬病毒防范、信息加密保護、運行環境可信等方面提升條碼支付客戶端軟件的安全防護能力，要求客戶端軟件能夠監測并向后臺反饋手機支付環境安全狀況，并作為限制、拒絕交易等風控策略的依據。

　　開展條碼支付業務的相關企業將進行自查和整改

　　條碼支付業務規范的落地實施，將通過構建企業自我管理，行業組織自律、主管部門監管、社會全面監督多位一體的管理體系，保障各項要求落實到位。

　　已開展業務的銀行業金融機構、支付機構將被要求全面梳理自身條碼支付業務情況，根據規范要求進行自查和整改。開展條碼支付業務創新的，需要履行提前報告義務。銀行、支付機構從事條碼支付業務，要接受中國支付清算協會行業自律管理，充分發揮違法違規舉報獎勵機制的作用。

　　而技術規范的落地實施，將從產品質量管理、入網管理、專項檢查、安全評估等方面多管齊下，提升條碼支付技術風險防控能力。

　　《通知》對靜態條碼提出五點風險防控要求

　　因為靜態條碼易被篡改或變造，易攜帶木馬或病毒，真偽難辨，導致支付風險較高。因此，《通知》提出了一系列防范靜態條碼風險的措施要求：

　　一是要求靜態條碼應由后臺服務器加密生成，宜采用防偽紙張展示條碼，防偽紙張應具備定防偽特征；

　　二是要求展示靜態條碼的介質應放置在商戶收銀員視線范圍內，商戶應定期對介質進行檢查；

　　三是要求靜態條碼采用防護罩等物理防護手段避免被覆蓋或替換，宜使用防標簽對防護罩進行標記；

　　四是要求在靜態條碼介質顯著位置明顯展示收款方信息，便于用戶核對；

　　五是設置支付限額，進一步防范靜態條碼支付風險，并鼓勵引導使用風險防范能力較高的收款掃碼方式。

　　消費者掃碼支付消費限額分四個等級

　　《通知》要求銀行、支付機構應根據風險防范能力等級，在確保風險可控和盡量滿足用戶需求的前提下科學合理設置相匹配的日累計交易限額。具體如下表所示：

　　除以上分級外，使用靜態條碼進行支付的，風險防范能力為D級，無論使用何種交易驗證方式，同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額應不超過500元。

　　數據顯示，條碼支付筆均500元以下條碼支付交易占比達到95%以上；2017年上半年條碼支付筆均百元左右，上述額度已覆蓋絕大部分使用條碼支付付款客戶的需求。

　　小微商戶如何介入條碼支付業務進行收款

　　在防范市場風險和維護市場公平競爭環境，保護消費者合法利益的前提下，《通知》也對一些小微商戶介入條碼支付業務的需求進行了考慮。

　　《通知》明確，在兼顧小微商戶受理條碼支付的需求，促進普惠金融發展，明確符合相關資質審核和認定的前提下，小微商戶可以受理條碼支付。

　　另外，為了防范套現等交易風險，對以同一身份證件在同一家收單機構辦理的全部小微商戶基于信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元，但受理借記卡的條碼支付不受收款額度的限制。

　　總結

　　通知和規范就條碼支付的業務和技術都做了相關的硬性要求，對鼓勵創新和規范行業發展起到積極作用。

　　另外，隨著條碼支付業務的規范，大量小微企業的資金歸結數據線上化，交易數據線上化，為企業大數據建模，完成整體行業的數據征信與風控帶來極大的創新機會。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：王超