聂欧

十九大和中央经济工作会议反复强调防范金融风险后，人民银行在跨年之际对支付市场风险再次祭出重招。

2017年12月27日，人民银行公开发布《条码支付业务规范（试行）》及配套文件，自2018年4月1日起实施。

一直以来，由于门槛较低、成本低廉、支付便捷，条码支付受到了商户、消费者和银行、支付机构的青睐，诸多风险也隨之潜藏，有待监管层在引导市场主体合规经营和合理创新、防范资金和信息泄露风险、加强消费者权益保护等方面给出明确规范。

中国支付清算协会执行副会长兼秘书长蔡洪波表示，此次新规是我国首次对条码支付的一次全面、系统的安全梳理和管理规范，在全球范围也属比较新的尝试，反映了监管部门在跟进、管理和推动创新支付方面的前瞻思考和最新实践。

潜藏三类风险

条码支付，是指银行或支付机构应用条码技术，实现收款人、付款人之间货币资金转移的业务活动，包括付款扫码和收款扫码两种方式。

实践中，条码支付以二维码支付为代表，逐渐成为新型的承载和转换数据方式，这种方式被银行和非银支付机构利用后，探索出一种新的从线上扩展到线下支付的新模式。

本世纪初以来，条码支付在我国走过了一条比较曲折的创新之路。

中国人民大学重阳金融研究院高级研究员董希淼介绍，中国银联最早着手研发条码支付;2013年7月，中信银行推出二维码支付业务，打造“异度支付”品牌，不少支付机构借此大力布局线下市场。不过，出于安全考虑，2014年3月，央行叫停线下二维码支付服务。

此后，银联和商业银行的二维码支付偃旗息鼓，但部分支付机构却并未真正停止。2014年9月，支付宝、微信支付再次进军，致使当前几乎每部智能手机都能支持两者的二维码，形成了双寡头垄断的局面。

2016年来，随着支付技术不断成熟和监管政策逐步放开，银联和银行又重返战场。当年7月，工商银行推出二维码支付产品，成为国内首家具有二维码支付产品的商业银行。2017年5月，银联联合40余家商业银行共同推出云闪付二维码产品。而以支付宝、微信支付为代表的支付企业更是各显神通，投入重金加速市场争夺。

央行方面表示，条码支付业务目前尚存三类风险：

一是在降低商户准入门槛的同时，加剧收单市场乱象。条码支付设备成本低于银行卡受理终端，还可通过张贴静态条码来满足小微商户的非现金支付受理需求。但部分市场机构利用条码可远程发送、不受专业受理终端限制的特点，以“一证下机”等方式违规发展商户，加剧了套现、二清、外包管理不到位等收单乱象。

二是出现了扰乱市场公平竞争秩序的现象。部分市场机构在定价和市场推广中采取倾销、交叉补贴等不正当竞争手段，滥用本机构及关联企业的市场优势地位，排除、限制支付服务竞争，导致行业无序发展，扰乱市场秩序。

三是互联网和非专业设备等带来的技术风险。包括：可视化风险，条码以图形化方式展示，可通过截屏、偷拍等手段盗取支付凭证，在有效期内盗用资金;易携带恶意代码的风险，条码不仅可存储支付要素，也可携带非法链接或程序代码，木马病毒、钓鱼网站链接可被制成条码并诱导客户扫描，窃取支付敏感信息;信息单向交互风险，条码支付只能实现发起方或接收方的单向信息交互，易被“中间人攻击”，绕过身份认证机制造成用户资金损失;扫码设备安全强度低的风险，条码支付对设备要求低，普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码，易被非法改装使用。

无碍绝大部分消费者需求

蔡洪波介绍，新规针对现有风险给出了多方面措施：

首先，围绕基于“条码介质”的安全管理，保障条码支付的安全可靠。

加强对终端设备、应用软件和业务系统的管理，尤其是从木马病毒防范、信息加密保护、运行环境可信等方面提升客户端软件的安全防护能力;明确条码信息仅限包含当次支付相关信息，不包含任何与客户及其账户相关的敏感信息;通过设置条码使用有效期、使用次数等方式，确保条码有效性和真实性;通过安全单元、支付标记化、条码防伪识别等手段，提高条码的安全防护能力。

其次，央行围绕“交易额度管理”等制度，力求技术安全与使用便捷之间的平衡。根据新规确定的风险防护能力等级，分类实施交易额度管理，同时要求银行、支付机构运用交易验证强度与交易额度相匹配的技术措施，提高交易安全性。

一是加强客户资金安全保护，对采用包括数字证书或电子签名在内的两类（含）以上有效要素对交易进行验证的条码支付业务，由银行、支付机构与客户通过协议自主约定单日累计额度。

二是对未采用上述两类要素进行验证的，根据验证要素进行分类管理。采用指纹、密码等两种及以上其他有效要素的，同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额不超过5000元。对于采用不足两类验证要素的，相应额度不超过1000元。

“这两类是当前的主流。一方面，交易额度的设定可防止交易超过其匹配的安全防护能力，朝大额化发展;另一方面，额度与风险防范能力相匹配，多要素交叉验证以及分类额度设计，能给予消费者选择权，也鼓励从业机构采用更多的验证要素。”蔡洪波说。

三是基于防替换、防盗刷等因素考虑，要求银行、支付机构对使用静态条码执行更严格的额度管理措施。同一客户单个银行账户或者所有支付账户、快捷支付单日累计交易金额应不超过500元。

蔡洪波认为，以上额度能够满足绝大部分客户的需求，基本不影响消费者使用的便利性，但能显著提高条码支付的安全水平。

再次，围绕“特约商户”进行管理，防范和遏制违法犯罪。

特约商户管理的目的，在于排除“坏商户”，防止“不法支付”尤其是商户主谋或参与的诈骗、洗钱、欺诈等犯罪。为此，新规从实名制、审批、信息留存及管理、黑白名单管理、实体商户属地化管理、外包业务管理等方面做了明确规定。

央行还针对小微商户的资质审核和认定，以及交易限额、交易功能权限等提出明确要求——以同一身份证件在同一收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元，月累计不超过1万元，但受理基于借记卡的条码支付不受收款额度的限制。

最后，新规围绕“资金和信息”保护及消费者权益等，做了明确规定。

消费者对支付安全的重视程度不足，易引发“聚沙成塔”型风险事件。为此，一是确保客户身份或账户信息安全，防止泄露;二是以技术措施保证交易信息传输的安全性、完整性和抗抵赖性;三是充分披露条码支付业务产品类型、办理流程、操作规程、收费標准等信息，明确风险点及责任承担机制、风险损失赔付方式及操作方式;四是完善客户服务体系，及时受理和解决客户咨询、查询和投诉等;五是开展安全教育，提升风险防范意识和应对能力。

“协会将履行行业自律管理职责，将特约商户纳入信息管理系统，对外包服务机构纳入银行卡收单外包服务机构评级体系管理，对被实名举报涉嫌违法违规的，则及时处理。”蔡洪波表示。

不会制约创新

“央行此时果断出手，是在充分调研、研讨的基础上为条码支付建章立制，明确其小额、便民的定位。”董希淼说。

围绕这一定位，央行此前已有多次监管举措。比如2016年7月实施的《非银行支付机构网络支付管理办法》，也进行了一系列限额管理。

有关本次新规如何顺利落地，受访人士给出了诸多建议。

拉卡拉支付股份有限公司资深合规总监唐凌提出，支付机构未来要根据用户的风险防范等级来设置日累计交易限额。这或是新规落地的重难点之一。

唐凌解释，用户的风险防范等级越高，每天可交易金额就越高。如新规中提到的A级，采用数字证书或电子签名和静态密码、指纹等要素，就可以不受额度限制;如果商家只放了个静态码，支付额度自然就低。“尽管监管对静态码有不少要求，但在风险案件中静态码占比仍很高，那每天就限额500元，即便是被骗，损失也可控。”

另一难点，在于明确要求外包商一不能碰交易中的支付敏感信息，二不能碰资金，这同央行2017年11月发布的《关于进一步加强无证经营支付业务整治工作的通知》保持了连续性，彰显出监管层整治无证机构、遏制市场乱象的决心。

“其实，央行此次只是重申《银行卡收单业务管理办法》等已有制度，并非新的更高的要求。”董希淼说。央行此次还非常接地气，将那些按规定无需办理工商注册登记手续的小微商户，纳入到条码支付受理范围。“也就是说，你到农贸市场摆摊扫码卖菜，央行也是支持的。”

他指出，新规落地有三大重点：一是明确条码支付业务资质和清算管理要求，即支付机构应取得网络支付业务许可及银行卡收单业务许可等，涉及跨行清算的应通过央行跨行清算系统或清算机构;二是规范支付收单业务管理，无论银行或支付机构都应遵守商户实名制、风险评级、风险监测等规定，为实体商户提供收单服务的还应履行本地化经营等责任;三是强调行业自律，从业机构应接受中国支付清算协会的自律管理。“只要各机构端正认识、认真整改，新规落地并不难。”

央行明确表示，新规不会制约创新发展，反而能指引创新沿着安全规范的方向发展，保障行业发展的稳健和长远。