大市中国

大市中国 > 财经 >

二维码支付结束六年试点 进入统一规范发展阶段

2017-12-28 14:57:00

 

来源:财新网

【财新网】(记者 张宇哲)酝酿近两年,央行终于发布了有关二维码支付的业务规范。

12月27日傍晚,中国人民银行发布《关于印发<条码支付业务规范(试行)>的通知》,(下称296号文),以及配套技术安全规范文件(《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》),自2018年4月1日起实施。这意味着二维码支付这种小额支付的主流方式,终于结束了六年试点,进入统一规范发展阶段。

此前,2011年人民银行同意部分第三方支付机构在限定场景内开展试点。2014年,在未建立有效安全措施、统一的业务规则和消费者权益保护制度的背景下,部分支付机构采取持续补贴的方式广泛推广条码支付业务,被人民银行暂叫停。

不过以支付宝和财付通为首的第三方支付机构,并未放慢推进二维码支付的速度,借助二维码的便捷和低门槛,在全国各地积极布局,二维码支付场景早已延伸至路边的早餐店、水果摊。但由于相关技术标准一直未出台,二维码易复制和被黑客攻击,在条码生成机制和传输过程中仍存在风险隐患,也引发了支付风险案件,监管对于二维码支付的安全性担忧一直存在。

央行有关人士在答记者问中表示,二维码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险,包括可视化风险、易携带恶意代码的风险、信息单向交互风险以及扫码设备安全强度低的风险。

此次296号文以及相关配套安全技术规范,正是针对这些风险隐患,填补制度空白。除了重申第三方支付机构必须持牌经营、切断与银行多头直连、遵守跨行清算系规定、不得采用不正当竞争手段等,296号文将二维码支付分为静态条码和动态条码,并采取了交易限额管理,要求发行二维码的银行、支付机构应根据风险防范能力等级,在确保风险可控和尽量满足用户需求的前提下,科学合理设置相匹配的日累计交易限额。

具体而言,将二维码的风险防范能力从高到低分为A、B、C、D四级,风险防范等级越高,单日支付限额就越高。其中,静态条码由于易被篡改和携带木马或病毒,支付风险最高,风险防范等级最低,为D级,无论使用何种交易验证方式,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额不超过500元。

在央行看来,这一限额可以满足绝大多数的二维码支付需求。有关数据显示,从2015年到2016年,主流支付机构的二维码支付95%以上都在500元以下; 2017年上半年,主流的支付机构条码支付平均金额是108元。

对于动态条码支付,如果采用数字证书或电子签名的两种以上有效要素(如指纹等),风险防范能力A级,单日支付限额不受额度限制,可由银行或支付机构自主约定;如果采用不包括数字证书、电子签名在内的两类(含)以上有效要素进行验证,风险防范能力为B级,单日支付限额为5000元;采用不足两类有效要素进行验证的,风险防范能力为C级,单日支付限额1000元。

目前日常生活中使用最为普遍、风险也最高的是静态条码,很多水果店、餐馆、药店等贴在收银台前让客户“扫一扫”付款的二维码,都是静态条码。

对此,296号文还提出了更具针对性的风险防控措施:一是要求静态条码应由后台服务器加密生成,宜采用防伪纸张展示条码,防伪纸张应具备一定防伪特征;

二是要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查;

三是要求静态条码采用防护罩等物理防护手段,避免被覆盖或替换,宜使用防伪标签对防护罩进行标记;

四是要求在静态条码介质显著位置明显展示收款方信息,便于用户核对;

五是通过风险防范能力分级管理,进一步规范使用静态条码,并鼓励使用风险防范能力较高的收款扫码方式。

同时,为促进普惠金融发展,明确在符合相关资质审核和认定的前提下,小微商户可以受理二维码支付;但为了防范套现等交易风险,对以同一个身份证件在同一家收单机构办理的全部小微商户,基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元,但受理基于借记卡的条码支付不受收款额度的限制。

296号文及相关技术规范发布后,腾讯财付通第一时间表示高度认同,并称“也在收集用户和商户的实际需求,同时积极研发新技术以及探索新技术应用于条码支付领域的可行性。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。