二维码支付
二维码支付是一种基于账户体系搭起来的新一代无线支付方案。在该支付方案下,商家可把账号、商品价格等交易信息汇编成一个二维码,并印刷在各种报纸、杂志、广告、图书等载体上发布。用户通过手机客户端扫拍二维码,便可实现与商家支付宝账户的支付结算。最后,商家根据支付交易信息中的用户收货、联系资料,就可以进行商品配送,完成交易。
1、形成背景
二维码支付技术,其实手机报差不多,算不上新颖的技术。早在上世纪90年代,二维码支付技术就已经形成,其中,韩国与日本是使用二维码支付比较早的国家,日韩二维码支付技术已经普及了95%以上,而在国内在近年才兴起。
二维码支付手段在国内兴起并不是偶然,形成背景主要与我国IT技术的快速发展以及电子商务的快速推进有关。IT技术的日渐成熟,推动了智能手机、平板电脑等移动终端的诞生,这使得人们的移动生活变得更加丰富多彩。与此同时,国内电商也紧紧与“移动”相关,尤其是O2O的发展。有了大批的移动设备,也有了大量的移动消费,那么,支付成本就变得尤为关键。因此,二维码支付解决方案边应运而生。
2、技术特色
2010年年底,互联网上广泛流传二维码及相关技术,标志着国内二维码开始被广泛普及。任何一项事物的流行必定有其原因,二维码支付亦是如此。二维码支付主要有如下特色:
1、技术成熟
二维码支付在国外发达地区已经拥有成熟的技术手段,这对于国内二维码技术发展奠定了基础,相信其会迅速普及。
2、使用简单
使用者安装二维码识别软件后,在贴有二维码的地方简单刷一下就可以完成交易。
3、支付便捷
有了二维码支付手段,商家不必承受货到付款等高成本支付,而消费者也可以随时随地进行实时支付。
4、成本较低
由于技术的成熟,移动设备的普及,使得二维码支付成本变得很低。
3、应用前景
在韩国的地铁、公交、商场等公共地点,使用二维码支付已成为潮流,普及率更是高达96%。而在我国,二维码支付手段才刚刚起步。支付宝二维码支付是当前最早的解决方案,据透露,目前支付宝二维码支付每天交易数已经突破50万次,预计将在2013年开始广泛普及。随着支付宝的大力推广,国内电商,比如淘宝、1号店等,已经在各大城市的地铁广告窗增设二维码虚拟商店。相信在二维码支付手段成熟运营后,国内电商就不必再为货到付款这种高成本的支付而苦恼了,而消费者也只需要通过手机就能轻松完成支付!由此可见,二维码支付市场前景已经毋庸置疑。
4、安全问题
二维码支付是一个非常棒的解决方案,但是关于二维码还是有诸多弊端,其中,二维码使用的安全性就是一个很大的挑战。在2011年就被频繁爆出二维码火车购票时泄露个人身份信息的事件。二维码技术也是一项IT技术,而安全性是IT技术面临的大挑战,无独有偶,二维码支付是否会面临这样的尴尬就很难预料了。
5、风险防范
2014年03月14日央行下发紧急文件叫停支付宝、腾讯的虚拟信用卡产品,同时叫停的还有条码(二维码)支付等面对面支付服务。
线下条码(二维码)支付突破了传统终端的业务模式,其风险控制水平直接关系到客户的信息安全与资金安全。虚拟信用卡突破了现有信用卡业务模式,在落实客户身份识别义务、保障客户信息安全等方面尚待进一步研究。
央行在通知中要求,立即暂停线下条码(二维码)支付、虚拟信用卡有关业务,采取有效措施确保业务暂停期间的平稳过渡。
央行通知提到,为防范支付风险,相关支付指令验证方式的安全性尚存质疑。虚拟信用卡突破了现有信用卡业务模式,在落实客户身份方面未尽义务,并督促两支行要求支付宝财付通全面暂停线下条码(二维码)支付,虚拟信用卡相关业务,并要求支付宝、财付通将有关产品详细介绍、管理制度、操作流程等情况上报。
6、征求意见
2016年,二维码支付的市场地位重新获得监管层的认可。
2016年8月3日,有媒体消息称,根据央行要求,中国支付清算协会已下发了《条码支付业务规范》(征求意见稿)。此前已有央行文件确认二维码支付与传统线下银行卡支付业务补充。这是央行自2014年3月份叫停二维码支付后首次官方表态。同时,媒体消息称,支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿),意见稿中明确指出支付机构开展条码业务需要遵循的安全标准。这是央行在2014年叫停二维码支付以后首次官方承认二维码支付地位。
“二维码支付此前因技术问题而被叫停,央行此时放开二维码支付,表示二维码支付技术已经成熟。”*财经大学银行业研究中心主任郭田勇表示。
“一是手机操作系统的安全性得到提升。二是电子签名技术在移动端使用更加方便了。”中国金融认证中心助理总经理张行表示,现在放开二维码的时机已经逐步成熟,相关机构考虑到在保证安全的前提下,二维码支付具有方便、快捷、低成本的特点,考虑到社会大众对于便捷移动支付的需求,支付清算协会才下发了这版征求意见稿。
7、最新政策
央行有关负责人表示,部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争,扰乱市场秩序。
最受大众欢迎的支付方式——扫码支付今后终于告别野蛮生长,开始有章可循。2017年12月27日,央行发布《中国人民银行关于印发〈条码支付业务规范(试行)〉的通知》(银发〔2017〕296号),配套印发了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号发布),自2018年4月1日起实施。
现状
部分市场机构存在不正当竞争
央行有关负责人表示,近年来条码支付业务快速发展,在小额、便民支付领域显现出门槛低、使用便捷的优势,市场份额持续增长,成为移动支付发展的重要体现形式。同时,条码支付的技术实现方式和业务风险相对传统银行卡支付具有其特殊性,部分市场机构在业务开展中也存在扰乱公平竞争秩序、支付风险防范不到位等问题。
该负责人指出,条码支付在降低商户准入门槛的同时,加剧收单市场乱象。部分市场机构利用条码可远程发送、不受专业受理终端限制的特点,在商户拓展过程中未履行“了解你的客户”义务,通过“一证下机”等方式违规发展商户,加剧了*、二清、外包管理不到位等收单乱象,存在各类安全隐患,对市场可持续发展造成较大的危害。
同时,条码支付在促进移动支付普及发展的同时,出现扰乱市场公平竞争秩序的现象。部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争,扰乱市场秩序。
隐忧
条码支付存在安全风险
此外,条码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险。包括:可视化风险,条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金;易携带恶意代码的风险,条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息;信息单向交互风险,条码支付只能实现发起方或接收方的单向信息交互,不法分子可利用该弱点实施“中间人攻击”,绕过身份认证机制,造成用户资金损失;扫码设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。
规范
同一客户单日最多不超500元
此次发布的文件强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。
央行此次还要求加强商户管理和风险管理。具体来说,央行首先把条码分为两大类;静态和动态。街边小商户张贴的收款二维码就属于典型的静态条码。央行规定,使用静态条码进行支付的,风险防范能力最低,为D级,限额也最低。无论使用何种交易验证方式,使用静态条码支付,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。
动态条码的风险防范能力由高到低分为A、B、C三级,不同等级对应的交易验证方式条码和支付限额也各不相同。越安全的动态码支付,交易限额就越高。
采用包括数字证书或电子签名在内的两类(含)以上有效要素进行验证的动态码,风险防范能力为A级,可以由银行、支付机构与客户通过协议自主约定单日累计额度。
采用不包括数字证书、电子签名在内的两类(含)以上有效要素(注:如指纹、密码等)进行验证的,风险防范能力为B级,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额最高为5000元。
采用不足两类有效要素进行验证的动态码支付,风险防范能力为C级,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额最高为1000元。
央行有关负责人解释称,为引导银行、支付机构提高交易验证方式的安全性,加强客户资金安全保护,对于风险防范能力高、交易验证方式更为安全的,不设定额度上限,市场主体可与客户自行约定交易限额。基于防替换、防盗刷等安全因素角度考虑,要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施,以鼓励市场主体采用更为安全的动态条码提供支付服务。依据主要市场机构条码支付交易数据显示,上述额度已覆盖绝大部分使用条码支付付款客户及商户的需求。
要求
静态条码宜采用防伪纸张展示
大街小巷最常见的静态条码用起来很方便,但容易被篡改或变造,易携带病毒,真伪难辨,导致支付风险较高。
此次央行新规提出了一系列防范静态条码风险的措施:一是要求静态条码应由后台服务器加密生成,宜采用防伪纸张展示条码,防伪纸张应具备一定防伪特征。二是要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查。三是要求静态条码采用防护罩等物理防护手段避免被覆盖或替换,宜使用防伪标签对防护罩进行标记。四是要求在静态条码介质显著位置明显展示收款方信息,便于用户核对。五是通过风险防范能力分级管理,进一步规范使用静态条码,并鼓励使用风险防范能力较高的收款扫码方式。
释疑
小微商户信用卡条码支付有限额
央行有关负责人表示,考虑到条码支付业务涉及银行账户和支付账户,且可应用于网络特约商户和实体特约商户,为保持监管制度和标准的一致性,遵循银行卡收单业务管理的相关要求,从条码支付特约商户拓展、特约商户审批、特约商户信息留存及管理、黑名单管理、实体商户属地化管理、外包业务管理等方面明确了具体的管理要求。
同时,为了兼顾小微商户受理条码支付的需求,促进普惠金融发展,明确在符合相关资质审核和认定的前提下,小微商户可以受理条码支付;同时,为了防范*等交易风险,对以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元,但受理基于借记卡的条码支付不受收款额度的限制。