條碼支付告別“無證駕駛”、“危險(xiǎn)駕駛”
近年來,在幾大市場(chǎng)主體的持續(xù)努力和推動(dòng)下,條碼支付在餐飲門店、超市、便利店等線下小額支付場(chǎng)景得到推廣應(yīng)用,用戶的接受度和使用率迅速提升。較之于銀行卡支付,條碼支付具有進(jìn)入門檻低、推廣應(yīng)用成本小、便于融入各種線上線下場(chǎng)景等優(yōu)勢(shì),創(chuàng)新性地滿足了民眾小額便民支付需求,成為我國移動(dòng)支付發(fā)展的重要體現(xiàn)形式。
凡事興一利,必生一弊,條碼支付的業(yè)務(wù)與商業(yè)優(yōu)勢(shì)使得其業(yè)務(wù)與技術(shù)風(fēng)險(xiǎn)都有特殊性。一是條碼支付在開放(移動(dòng))互聯(lián)網(wǎng)環(huán)境下以圖形方式傳輸支付指令與信息的成本優(yōu)勢(shì)使得其易于被不法分子使用簡(jiǎn)單的技術(shù)手段,如截屏、偷拍、攻擊移動(dòng)支付終端(如手機(jī)、Pad等)等盜取條碼支付承載的支付憑證信息,給用戶帶來資金損失。二是條碼支付可存儲(chǔ)簡(jiǎn)單程序代碼易于商業(yè)營銷的場(chǎng)景優(yōu)勢(shì)使得條碼亦容易攜帶惡意代碼、木馬和病毒,成為不法分子釣魚,竊取用戶敏感信息甚至盜取用戶(商戶)資金的“利器”。三是條碼支付相較于銀行卡支付,其使用交易指令單向驗(yàn)證簡(jiǎn)化支付流程從而提升用戶感受的體驗(yàn)優(yōu)勢(shì)使得其易于被黑客繞過銀行卡身份認(rèn)證機(jī)制,實(shí)施“中間人”攻擊,造成用戶資金失竊。四是條碼支付配套的(靜態(tài))條碼圖形、掃碼設(shè)備具有部署成本低、使用門檻低的競(jìng)爭(zhēng)優(yōu)勢(shì)使得條碼圖形,特別是靜態(tài)條碼真假難辨,其易被篡改、變?cè)欤脩魭叽a支付風(fēng)險(xiǎn)突出;掃碼設(shè)備安全強(qiáng)度過低,普通的手機(jī)攝像頭、簡(jiǎn)易的收銀臺(tái)掃描槍都可識(shí)別條碼,易于被不法分子非法改裝盜用。
條碼支付過低的市場(chǎng)進(jìn)入門檻也觸發(fā)了市場(chǎng)的無序競(jìng)爭(zhēng),“無證駕駛”、“危險(xiǎn)駕駛”風(fēng)險(xiǎn)集中。自2014年始,各類市場(chǎng)主體唯恐落后于人,部分支付機(jī)構(gòu)采取持續(xù)補(bǔ)貼、交叉補(bǔ)貼的方式推廣條碼支付業(yè)務(wù),大搞“跑馬圈地”,將支付業(yè)務(wù)應(yīng)有的安全措施的有效性,業(yè)務(wù)規(guī)則的統(tǒng)一性和消費(fèi)者權(quán)益保護(hù)的合規(guī)性統(tǒng)統(tǒng)置于腦后,造成條碼支付風(fēng)險(xiǎn)頻發(fā),損害了用戶信息安全和資金安全。為此,央行果斷采取了暫停業(yè)務(wù)的監(jiān)管措施。其后,隨著支付標(biāo)記化等技術(shù)成熟,在移動(dòng)支付中得到穩(wěn)健的應(yīng)用,條碼支付的技術(shù)安全得到一定程度的提升,有關(guān)各方對(duì)條碼支付的業(yè)務(wù)與技術(shù)規(guī)范進(jìn)行持續(xù)論證與驗(yàn)證;在行業(yè)協(xié)會(huì)的協(xié)調(diào)下,各方就條碼支付的普遍問題與業(yè)務(wù)、技術(shù)標(biāo)準(zhǔn)達(dá)成共識(shí),都期待央行適時(shí)推出條碼支付的“駕駛證”與“交規(guī)”。今天,央行審時(shí)度勢(shì)的發(fā)布了《關(guān)于印發(fā)<條碼支付業(yè)務(wù)規(guī)范(試行)>的通知》(以下簡(jiǎn)稱《規(guī)范》),條碼支付從此告別“無證駕駛”與“危險(xiǎn)駕駛”。
《規(guī)范》是條碼支付的“駕駛證”。第五次全國金融工作會(huì)議強(qiáng)調(diào)穿透式監(jiān)管,要注重金融業(yè)務(wù)的實(shí)質(zhì),而不能囿于業(yè)務(wù)的表象。由于條碼支付只是改變了支付業(yè)務(wù)流程中的第一階段“交易”的表現(xiàn)形式,并沒有顛覆支付業(yè)務(wù)流程與實(shí)質(zhì),因此《規(guī)范》在已有的《銀行卡收單業(yè)務(wù)管理辦法》與《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》的基礎(chǔ)上,本著“同一業(yè)務(wù),同一規(guī)則”的監(jiān)管原則,使用穿透式監(jiān)管,確立條碼支付業(yè)務(wù)準(zhǔn)入門檻:對(duì)于支付機(jī)構(gòu)向用戶提供條碼技術(shù)的付款服務(wù)時(shí),業(yè)務(wù)本質(zhì)與網(wǎng)絡(luò)支付同一,應(yīng)適用網(wǎng)絡(luò)支付業(yè)務(wù)許可;對(duì)于支付機(jī)構(gòu)向?qū)嶓w特約商戶和網(wǎng)絡(luò)特約商戶提供條碼的收單服務(wù)時(shí),業(yè)務(wù)實(shí)質(zhì)與銀行卡收單同一,應(yīng)適用銀行卡收單業(yè)務(wù)許可。
《規(guī)范》明確了條碼支付的“交規(guī)”。市場(chǎng)統(tǒng)計(jì)表明,條碼支付業(yè)務(wù)量的95%是單筆500元以下的小額交易,2017年上半年筆均百元左右。數(shù)據(jù)充分體現(xiàn)出條碼支付小額、便民的特征。因此《規(guī)范》將條碼支付仍舊定位于小額、便民支付,是銀行卡支付的重要補(bǔ)充,同時(shí)考慮到用戶的多樣化、個(gè)性化需求與條碼支付風(fēng)險(xiǎn)的特殊性,《規(guī)范》建立了動(dòng)態(tài)條碼支付的風(fēng)險(xiǎn)等級(jí)與對(duì)應(yīng)的交易限額:對(duì)于采用數(shù)字證書或電子簽名在內(nèi)的兩種(含)以上有效要素進(jìn)行驗(yàn)證的,條碼支付交易限額由市場(chǎng)主體(銀行、支付機(jī)構(gòu))與客戶自行約定;對(duì)于采用不包括數(shù)字證書、電子簽名在內(nèi)的兩類(含)以上有效要素進(jìn)行驗(yàn)證的,單個(gè)銀行賬戶和所有支付賬戶、快捷支付限額5000元/天;對(duì)于采用不足兩類有效要素驗(yàn)證的,業(yè)務(wù)限額1000元/天。對(duì)于靜態(tài)碼,則不區(qū)分交易驗(yàn)證方式,均為限額500元/天。
《規(guī)范》積極響應(yīng)市場(chǎng)需要。為滿足小微商戶受理?xiàng)l碼支付的要求,同時(shí)為堵住不法分子濫用商事登記管理與稅收改革政策中關(guān)于小微商戶的優(yōu)待政策,甚至其與小微商戶勾結(jié)套現(xiàn)大額信用卡資金的風(fēng)險(xiǎn)漏洞,《規(guī)范》要求銀行和支付機(jī)構(gòu)在“了解你的客戶”原則的前提下,給予以同一身份證在同一家機(jī)構(gòu)辦理的全部小微商戶基于信用卡的條碼支付收款限額1000元/天、10000元/月。
《規(guī)范》注重引導(dǎo)用戶的條碼支付習(xí)慣。《規(guī)范》將條碼支付分為付款掃碼和收款掃碼。“付款掃碼”是指付款人通過手機(jī)、Pad等移動(dòng)終端識(shí)讀收款人展示的條碼完成支付的行為,是用戶主動(dòng)掃碼付款,俗稱“主掃”;“收款掃碼”是指收款人通過識(shí)讀付款人移動(dòng)終端展示的條碼完成收款的行為,是用戶被動(dòng)掃碼支付,俗稱“被掃”。由于在此前的試點(diǎn)應(yīng)用中,條碼支付風(fēng)險(xiǎn)乃至用戶資金損失多發(fā)生于“主掃”,特別是“主掃”靜態(tài)條碼,《規(guī)范》以限制靜態(tài)掃碼限額和約束銀行、支付機(jī)構(gòu)開展付款掃碼服務(wù)的具體行為與風(fēng)控措施并要求他們提供客戶權(quán)益受損解決機(jī)制等具體條款,積極引導(dǎo)付款人“主掃”經(jīng)過安全加密和設(shè)置有效期(一般為一次性條碼)的動(dòng)態(tài)條碼,將商戶的較大金額收款行為也引導(dǎo)到“被掃”上來。
《規(guī)范》強(qiáng)調(diào)、重申市場(chǎng)主體的特約商戶管理。由于條碼支付的特約商戶與銀行卡收單的沒有多大差異,甚至從商戶側(cè)看,條碼的技術(shù)風(fēng)險(xiǎn)容易造成商戶結(jié)算資金的損失,《規(guī)范》繼續(xù)使用銀行卡收單特約商戶管理與風(fēng)險(xiǎn)控制原則,從特約商戶資質(zhì)審核、受理協(xié)議、商戶風(fēng)險(xiǎn)評(píng)級(jí)、商戶檢查、以及交易風(fēng)險(xiǎn)監(jiān)測(cè)、客戶安全教育等方面均提出要求,強(qiáng)化市場(chǎng)主體風(fēng)險(xiǎn)管理責(zé)任。《規(guī)范》要求市場(chǎng)主體將條碼支付特約商戶入網(wǎng)信息上報(bào)中國支付清算協(xié)會(huì)特約商戶信息管理系統(tǒng),實(shí)現(xiàn)風(fēng)險(xiǎn)信息共享,體現(xiàn)出監(jiān)管科技理念。
《規(guī)范》強(qiáng)化支付清算市場(chǎng)紀(jì)律。針對(duì)市場(chǎng)主體,特別是支付機(jī)構(gòu)在開展條碼支付中采用銀行直連,亂放支付系統(tǒng)接口,助長(zhǎng)“二清”等嚴(yán)重?cái)_亂支付服務(wù)市場(chǎng)秩序的突出問題,《規(guī)范》重申清算市場(chǎng)管理要求,明確要求銀行、支付機(jī)構(gòu)應(yīng)當(dāng)通過人民銀行跨行清算系統(tǒng)或具有合法資質(zhì)的清算機(jī)構(gòu)處理?xiàng)l碼支付業(yè)務(wù)涉及的跨行資金轉(zhuǎn)移。同時(shí),《規(guī)范》要求市場(chǎng)主體維護(hù)市場(chǎng)公平競(jìng)爭(zhēng)秩序,明令支付機(jī)構(gòu)(銀行)不得以任何形式詆毀其他市場(chǎng)主體的商譽(yù),不得采用不正當(dāng)競(jìng)爭(zhēng)手段損害其他市場(chǎng)主體利益,不得濫用市場(chǎng)支配地位,排擠競(jìng)爭(zhēng)對(duì)手,更不得干涉或變相干涉客戶和特約商戶的自主支付選擇。
《規(guī)范》鼓勵(lì)有效的市場(chǎng)創(chuàng)新。鑒于市場(chǎng)主體較多采用與外包服務(wù)機(jī)構(gòu)系統(tǒng)對(duì)接開展條碼支付業(yè)務(wù),《規(guī)范》強(qiáng)調(diào)市場(chǎng)主體不得將核心支付業(yè)務(wù)外包給服務(wù)機(jī)構(gòu),要確保外包服務(wù)機(jī)構(gòu)無法獲取或接觸到用戶和商戶的敏感信息,更不得為外包服務(wù)機(jī)構(gòu)從事或變相從事特約商戶資金結(jié)算提供便利。《規(guī)范》前瞻地首次將自定義符號(hào)、圖形、圖像等作為信息載體傳遞交易信息用于支付的潛在市場(chǎng)創(chuàng)新納入條碼支付統(tǒng)一管理,進(jìn)一步體現(xiàn)出央行“鼓勵(lì)創(chuàng)新、防范風(fēng)險(xiǎn)、趨利避害、健康發(fā)展”的監(jiān)管精神。
市場(chǎng)各方有理由相信,《規(guī)范》的發(fā)布、落實(shí)能夠嚴(yán)守金融安全底線。通過統(tǒng)一、規(guī)范條碼支付業(yè)務(wù)開展的支付創(chuàng)新能夠積極推動(dòng)中國氣象的普惠金融發(fā)展,為人民群眾提供安全便利的金融服務(wù),更有望將中國在移動(dòng)支付、移動(dòng)金融方面的領(lǐng)先優(yōu)勢(shì)輻射海外市場(chǎng),形成有中國支付清算行業(yè)話語權(quán)的國際標(biāo)準(zhǔn)與監(jiān)管準(zhǔn)則。(北京網(wǎng)絡(luò)法學(xué)研究會(huì)副秘書長(zhǎng)、中國社科院金融所支付清算研究中心特約研究員 趙鷂)