條碼支付告別“無證駕駛”、“危險駕駛”
近年來,在幾大市場主體的持續努力和推動下,條碼支付在餐飲門店、超市、便利店等線下小額支付場景得到推廣應用,用戶的接受度和使用率迅速提升。較之于銀行卡支付,條碼支付具有進入門檻低、推廣應用成本小、便于融入各種線上線下場景等優勢,創新性地滿足了民眾小額便民支付需求,成為我國移動支付發展的重要體現形式。
凡事興一利,必生一弊,條碼支付的業務與商業優勢使得其業務與技術風險都有特殊性。一是條碼支付在開放(移動)互聯網環境下以圖形方式傳輸支付指令與信息的成本優勢使得其易于被不法分子使用簡單的技術手段,如截屏、偷拍、攻擊移動支付終端(如手機、Pad等)等盜取條碼支付承載的支付憑證信息,給用戶帶來資金損失。二是條碼支付可存儲簡單程序代碼易于商業營銷的場景優勢使得條碼亦容易攜帶惡意代碼、木馬和病毒,成為不法分子釣魚,竊取用戶敏感信息甚至盜取用戶(商戶)資金的“利器”。三是條碼支付相較于銀行卡支付,其使用交易指令單向驗證簡化支付流程從而提升用戶感受的體驗優勢使得其易于被黑客繞過銀行卡身份認證機制,實施“中間人”攻擊,造成用戶資金失竊。四是條碼支付配套的(靜態)條碼圖形、掃碼設備具有部署成本低、使用門檻低的競爭優勢使得條碼圖形,特別是靜態條碼真假難辨,其易被篡改、變造,用戶掃碼支付風險突出;掃碼設備安全強度過低,普通的手機攝像頭、簡易的收銀臺掃描槍都可識別條碼,易于被不法分子非法改裝盜用。
條碼支付過低的市場進入門檻也觸發了市場的無序競爭,“無證駕駛”、“危險駕駛”風險集中。自2014年始,各類市場主體唯恐落后于人,部分支付機構采取持續補貼、交叉補貼的方式推廣條碼支付業務,大搞“跑馬圈地”,將支付業務應有的安全措施的有效性,業務規則的統一性和消費者權益保護的合規性統統置于腦后,造成條碼支付風險頻發,損害了用戶信息安全和資金安全。為此,央行果斷采取了暫停業務的監管措施。其后,隨著支付標記化等技術成熟,在移動支付中得到穩健的應用,條碼支付的技術安全得到一定程度的提升,有關各方對條碼支付的業務與技術規范進行持續論證與驗證;在行業協會的協調下,各方就條碼支付的普遍問題與業務、技術標準達成共識,都期待央行適時推出條碼支付的“駕駛證”與“交規”。今天,央行審時度勢的發布了《關于印發<條碼支付業務規范(試行)>的通知》(以下簡稱《規范》),條碼支付從此告別“無證駕駛”與“危險駕駛”。
《規范》是條碼支付的“駕駛證”。第五次全國金融工作會議強調穿透式監管,要注重金融業務的實質,而不能囿于業務的表象。由于條碼支付只是改變了支付業務流程中的第一階段“交易”的表現形式,并沒有顛覆支付業務流程與實質,因此《規范》在已有的《銀行卡收單業務管理辦法》與《非銀行支付機構網絡支付業務管理辦法》的基礎上,本著“同一業務,同一規則”的監管原則,使用穿透式監管,確立條碼支付業務準入門檻:對于支付機構向用戶提供條碼技術的付款服務時,業務本質與網絡支付同一,應適用網絡支付業務許可;對于支付機構向實體特約商戶和網絡特約商戶提供條碼的收單服務時,業務實質與銀行卡收單同一,應適用銀行卡收單業務許可。
《規范》明確了條碼支付的“交規”。市場統計表明,條碼支付業務量的95%是單筆500元以下的小額交易,2017年上半年筆均百元左右。數據充分體現出條碼支付小額、便民的特征。因此《規范》將條碼支付仍舊定位于小額、便民支付,是銀行卡支付的重要補充,同時考慮到用戶的多樣化、個性化需求與條碼支付風險的特殊性,《規范》建立了動態條碼支付的風險等級與對應的交易限額:對于采用數字證書或電子簽名在內的兩種(含)以上有效要素進行驗證的,條碼支付交易限額由市場主體(銀行、支付機構)與客戶自行約定;對于采用不包括數字證書、電子簽名在內的兩類(含)以上有效要素進行驗證的,單個銀行賬戶和所有支付賬戶、快捷支付限額5000元/天;對于采用不足兩類有效要素驗證的,業務限額1000元/天。對于靜態碼,則不區分交易驗證方式,均為限額500元/天。
《規范》積極響應市場需要。為滿足小微商戶受理條碼支付的要求,同時為堵住不法分子濫用商事登記管理與稅收改革政策中關于小微商戶的優待政策,甚至其與小微商戶勾結套現大額信用卡資金的風險漏洞,《規范》要求銀行和支付機構在“了解你的客戶”原則的前提下,給予以同一身份證在同一家機構辦理的全部小微商戶基于信用卡的條碼支付收款限額1000元/天、10000元/月。
《規范》注重引導用戶的條碼支付習慣。《規范》將條碼支付分為付款掃碼和收款掃碼。“付款掃碼”是指付款人通過手機、Pad等移動終端識讀收款人展示的條碼完成支付的行為,是用戶主動掃碼付款,俗稱“主掃”;“收款掃碼”是指收款人通過識讀付款人移動終端展示的條碼完成收款的行為,是用戶被動掃碼支付,俗稱“被掃”。由于在此前的試點應用中,條碼支付風險乃至用戶資金損失多發生于“主掃”,特別是“主掃”靜態條碼,《規范》以限制靜態掃碼限額和約束銀行、支付機構開展付款掃碼服務的具體行為與風控措施并要求他們提供客戶權益受損解決機制等具體條款,積極引導付款人“主掃”經過安全加密和設置有效期(一般為一次性條碼)的動態條碼,將商戶的較大金額收款行為也引導到“被掃”上來。
《規范》強調、重申市場主體的特約商戶管理。由于條碼支付的特約商戶與銀行卡收單的沒有多大差異,甚至從商戶側看,條碼的技術風險容易造成商戶結算資金的損失,《規范》繼續使用銀行卡收單特約商戶管理與風險控制原則,從特約商戶資質審核、受理協議、商戶風險評級、商戶檢查、以及交易風險監測、客戶安全教育等方面均提出要求,強化市場主體風險管理責任。《規范》要求市場主體將條碼支付特約商戶入網信息上報中國支付清算協會特約商戶信息管理系統,實現風險信息共享,體現出監管科技理念。
《規范》強化支付清算市場紀律。針對市場主體,特別是支付機構在開展條碼支付中采用銀行直連,亂放支付系統接口,助長“二清”等嚴重擾亂支付服務市場秩序的突出問題,《規范》重申清算市場管理要求,明確要求銀行、支付機構應當通過人民銀行跨行清算系統或具有合法資質的清算機構處理條碼支付業務涉及的跨行資金轉移。同時,《規范》要求市場主體維護市場公平競爭秩序,明令支付機構(銀行)不得以任何形式詆毀其他市場主體的商譽,不得采用不正當競爭手段損害其他市場主體利益,不得濫用市場支配地位,排擠競爭對手,更不得干涉或變相干涉客戶和特約商戶的自主支付選擇。
《規范》鼓勵有效的市場創新。鑒于市場主體較多采用與外包服務機構系統對接開展條碼支付業務,《規范》強調市場主體不得將核心支付業務外包給服務機構,要確保外包服務機構無法獲取或接觸到用戶和商戶的敏感信息,更不得為外包服務機構從事或變相從事特約商戶資金結算提供便利。《規范》前瞻地首次將自定義符號、圖形、圖像等作為信息載體傳遞交易信息用于支付的潛在市場創新納入條碼支付統一管理,進一步體現出央行“鼓勵創新、防范風險、趨利避害、健康發展”的監管精神。
市場各方有理由相信,《規范》的發布、落實能夠嚴守金融安全底線。通過統一、規范條碼支付業務開展的支付創新能夠積極推動中國氣象的普惠金融發展,為人民群眾提供安全便利的金融服務,更有望將中國在移動支付、移動金融方面的領先優勢輻射海外市場,形成有中國支付清算行業話語權的國際標準與監管準則。(北京網絡法學研究會副秘書長、中國社科院金融所支付清算研究中心特約研究員 趙鷂)