每经编辑 每经记者 张寿林 每经编辑 王可然
图片来源于网络,如有侵权,请联系删除
每经记者 张寿林 每经编辑 王可然
12月27日,央行发布《条码支付业务规范》(试行)(以下简称《规范》)。根据风险防范能力的分级,《规范》要求对个人客户的条码支付业务进行限额管理。风险防范能力达到D级,即使用静态条码的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。
这意味着商户打印出来二维码用来收款,这种日常所见的方式风险防范能力属于D级,对应的是,消费者扫码单日支付限额为500元。
对此,北京网络法学研究会副秘书长、中国社科院金融所支付清算研究中心特约研究员赵鹞告诉《每日经济新闻》记者,二维码如果设置为静态并重复使用,易于隐藏木马等风险信息,这种情况下账户资金就可能被盗。同时,静态码的使用场景主要是日常微小额收付,从统计数据上来看,500元以下的支付已经覆盖了条码支付的95%。
首次明确条码支付交易限额
上述《规范》,是监管层针对条码支付首次发布的业务规范。赵鹞指出,条码支付的业务与商业优势,使得其业务与技术风险都有特殊性。特别是,条码支付相较于银行卡支付,其使用交易指令单向验证简化支付流程从而提升用户感受的体验优势,使得其易于被黑客绕过银行卡身份认证机制,实施“中间人”攻击,造成用户资金失窃。
从条码的静态图和扫码设备来看,赵鹞介绍,条码支付配套的(静态)条码图形、扫码设备具有部署成本低、使用门槛低的竞争优势使得条码图形,特别是静态条码真假难辨,其易被篡改、变造,用户扫码支付风险突出。“从商户的角度来看,静态二维码粘在收银台上,谁要是悄悄替换掉,换一个新的二维码,客户确实支付了,但本该商户收的款却被不法分子转移走了。”赵鹞举例说。
《规范》在条码生成和受理方面,提出交易验证方式、交易限额管理、信息管理和安全防护,静态条码应用管理、综合应用支付标记化技术等措施。
根据风险防范能力的四类分级,《规范》对个人客户的条码支付业务进行限额管理,风险防范能力达到D级,即使用静态条码的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。
在其他三种级别中,风险防范能力达到A级,即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,可与客户通过协议自主约定单日累计限额;风险防范能力达到B级,即采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元;风险防范能力达到C级,即采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元。
条码支付告别“无证驾驶”
《规范》明确,在符合相关资质审核和认定的前提下,小微商户可以受理条码支付;同时,为了防范套现等交易风险,对以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元。央行有关负责人在答记者问时指出,受理基于借记卡的条码支付不受收款额度的限制。
赵鹞指出,监管部门积极响应市场需要,一方面满足了小微商户受理条码支付的要求,一方面堵住了不法分子滥用商事登记管理与税收改革政策中关于小微商户的优待政策,甚至其与小微商户勾结套现大额信用卡资金的风险漏洞。
针对部分支付机构与多家银行业金融机构或支付机构直连进行商户拓展,央行发布该项《规范》的通知(银发〔2017〕296号)重申,银行业金融机构、支付机构开展条码支付业务涉及跨行交易时,应当通过央行跨行清算系统或者具备合法资质的清算机构处理。自上述通知发布之日(2017年12月25日)起,银行、支付机构不得新增不同法人机构间直连处理条码支付业务;存量业务应按照人民银行有关规定加快迁移到合法清算机构处理。
纵观近年来条码支付市场的发展,赵鹞评价,条码支付创新性地满足了民众小额便民支付需求,成为我国移动支付发展的重要体现形式,但其过低的市场进入门槛也触发了市场的无序竞争,“无证驾驶”、“危险驾驶”风险集中。
自2014年始,各类市场主体唯恐落后于人,部分支付机构甚至采取持续补贴、交叉补贴的方式推广条码支付业务,大搞“跑马圈地”。赵鹞对此指出,央行审时度势地发布上述《规范》,意味着条码支付从此告别“无证驾驶”与“危险驾驶”。