支付再迎“限額令”

聶歐

十九大和中央經濟工作會議反復強調防范金融風險后，人民銀行在跨年之際對支付市場風險再次祭出重招。

2017年12月27日，人民銀行公開發(fā)布《條碼支付業(yè)務規(guī)范（試行）》及配套文件，自2018年4月1日起實施。

一直以來，由于門檻較低、成本低廉、支付便捷，條碼支付受到了商戶、消費者和銀行、支付機構的青睞，諸多風險也隨之潛藏，有待監(jiān)管層在引導市場主體合規(guī)經營和合理創(chuàng)新、防范資金和信息泄露風險、加強消費者權益保護等方面給出明確規(guī)范。

中國支付清算協(xié)會執(zhí)行副會長兼秘書長蔡洪波表示，此次新規(guī)是我國首次對條碼支付的一次全面、系統(tǒng)的安全梳理和管理規(guī)范，在全球范圍也屬比較新的嘗試，反映了監(jiān)管部門在跟進、管理和推動創(chuàng)新支付方面的前瞻思考和最新實踐。

潛藏三類風險

條碼支付，是指銀行或支付機構應用條碼技術，實現(xiàn)收款人、付款人之間貨幣資金轉移的業(yè)務活動，包括付款掃碼和收款掃碼兩種方式。

實踐中，條碼支付以二維碼支付為代表，逐漸成為新型的承載和轉換數(shù)據(jù)方式，這種方式被銀行和非銀支付機構利用后，探索出一種新的從線上擴展到線下支付的新模式。

本世紀初以來，條碼支付在我國走過了一條比較曲折的創(chuàng)新之路。

中國人民大學重陽金融研究院高級研究員董希淼介紹，中國銀聯(lián)最早著手研發(fā)條碼支付;2013年7月，中信銀行推出二維碼支付業(yè)務，打造“異度支付”品牌，不少支付機構借此大力布局線下市場。不過，出于安全考慮，2014年3月，央行叫停線下二維碼支付服務。

此后，銀聯(lián)和商業(yè)銀行的二維碼支付偃旗息鼓，但部分支付機構卻并未真正停止。2014年9月，支付寶、微信支付再次進軍，致使當前幾乎每部智能手機都能支持兩者的二維碼，形成了雙寡頭壟斷的局面。

2016年來，隨著支付技術不斷成熟和監(jiān)管政策逐步放開，銀聯(lián)和銀行又重返戰(zhàn)場。當年7月，工商銀行推出二維碼支付產品，成為國內首家具有二維碼支付產品的商業(yè)銀行。2017年5月，銀聯(lián)聯(lián)合40余家商業(yè)銀行共同推出云閃付二維碼產品。而以支付寶、微信支付為代表的支付企業(yè)更是各顯神通，投入重金加速市場爭奪。

央行方面表示，條碼支付業(yè)務目前尚存三類風險：

一是在降低商戶準入門檻的同時，加劇收單市場亂象。條碼支付設備成本低于銀行卡受理終端，還可通過張貼靜態(tài)條碼來滿足小微商戶的非現(xiàn)金支付受理需求。但部分市場機構利用條碼可遠程發(fā)送、不受專業(yè)受理終端限制的特點，以“一證下機”等方式違規(guī)發(fā)展商戶，加劇了套現(xiàn)、二清、外包管理不到位等收單亂象。

二是出現(xiàn)了擾亂市場公平競爭秩序的現(xiàn)象。部分市場機構在定價和市場推廣中采取傾銷、交叉補貼等不正當競爭手段，濫用本機構及關聯(lián)企業(yè)的市場優(yōu)勢地位，排除、限制支付服務競爭，導致行業(yè)無序發(fā)展，擾亂市場秩序。

三是互聯(lián)網和非專業(yè)設備等帶來的技術風險。包括：可視化風險，條碼以圖形化方式展示，可通過截屏、偷拍等手段盜取支付憑證，在有效期內盜用資金;易攜帶惡意代碼的風險，條碼不僅可存儲支付要素，也可攜帶非法鏈接或程序代碼，木馬病毒、釣魚網站鏈接可被制成條碼并誘導客戶掃描，竊取支付敏感信息;信息單向交互風險，條碼支付只能實現(xiàn)發(fā)起方或接收方的單向信息交互，易被“中間人攻擊”，繞過身份認證機制造成用戶資金損失;掃碼設備安全強度低的風險，條碼支付對設備要求低，普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設備均可識別條碼，易被非法改裝使用。

無礙絕大部分消費者需求

蔡洪波介紹，新規(guī)針對現(xiàn)有風險給出了多方面措施：

首先，圍繞基于“條碼介質”的安全管理，保障條碼支付的安全可靠。

加強對終端設備、應用軟件和業(yè)務系統(tǒng)的管理，尤其是從木馬病毒防范、信息加密保護、運行環(huán)境可信等方面提升客戶端軟件的安全防護能力;明確條碼信息僅限包含當次支付相關信息，不包含任何與客戶及其賬戶相關的敏感信息;通過設置條碼使用有效期、使用次數(shù)等方式，確保條碼有效性和真實性;通過安全單元、支付標記化、條碼防偽識別等手段，提高條碼的安全防護能力。

其次，央行圍繞“交易額度管理”等制度，力求技術安全與使用便捷之間的平衡。根據(jù)新規(guī)確定的風險防護能力等級，分類實施交易額度管理，同時要求銀行、支付機構運用交易驗證強度與交易額度相匹配的技術措施，提高交易安全性。

一是加強客戶資金安全保護，對采用包括數(shù)字證書或電子簽名在內的兩類（含）以上有效要素對交易進行驗證的條碼支付業(yè)務，由銀行、支付機構與客戶通過協(xié)議自主約定單日累計額度。

二是對未采用上述兩類要素進行驗證的，根據(jù)驗證要素進行分類管理。采用指紋、密碼等兩種及以上其他有效要素的，同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額不超過5000元。對于采用不足兩類驗證要素的，相應額度不超過1000元。

“這兩類是當前的主流。一方面，交易額度的設定可防止交易超過其匹配的安全防護能力，朝大額化發(fā)展;另一方面，額度與風險防范能力相匹配，多要素交叉驗證以及分類額度設計，能給予消費者選擇權，也鼓勵從業(yè)機構采用更多的驗證要素?！辈毯椴ㄕf。

三是基于防替換、防盜刷等因素考慮，要求銀行、支付機構對使用靜態(tài)條碼執(zhí)行更嚴格的額度管理措施。同一客戶單個銀行賬戶或者所有支付賬戶、快捷支付單日累計交易金額應不超過500元。

蔡洪波認為，以上額度能夠滿足絕大部分客戶的需求，基本不影響消費者使用的便利性，但能顯著提高條碼支付的安全水平。

再次，圍繞“特約商戶”進行管理，防范和遏制違法犯罪。

特約商戶管理的目的，在于排除“壞商戶”，防止“不法支付”尤其是商戶主謀或參與的詐騙、洗錢、欺詐等犯罪。為此，新規(guī)從實名制、審批、信息留存及管理、黑白名單管理、實體商戶屬地化管理、外包業(yè)務管理等方面做了明確規(guī)定。

央行還針對小微商戶的資質審核和認定，以及交易限額、交易功能權限等提出明確要求——以同一身份證件在同一收單機構辦理的全部小微商戶基于信用卡的條碼支付收款金額日累計不超過1000元，月累計不超過1萬元，但受理基于借記卡的條碼支付不受收款額度的限制。

最后，新規(guī)圍繞“資金和信息”保護及消費者權益等，做了明確規(guī)定。

消費者對支付安全的重視程度不足，易引發(fā)“聚沙成塔”型風險事件。為此，一是確保客戶身份或賬戶信息安全，防止泄露;二是以技術措施保證交易信息傳輸?shù)陌踩?、完整性和抗抵賴?三是充分披露條碼支付業(yè)務產品類型、辦理流程、操作規(guī)程、收費標準等信息，明確風險點及責任承擔機制、風險損失賠付方式及操作方式;四是完善客戶服務體系，及時受理和解決客戶咨詢、查詢和投訴等;五是開展安全教育，提升風險防范意識和應對能力。

“協(xié)會將履行行業(yè)自律管理職責，將特約商戶納入信息管理系統(tǒng)，對外包服務機構納入銀行卡收單外包服務機構評級體系管理，對被實名舉報涉嫌違法違規(guī)的，則及時處理。”蔡洪波表示。

不會制約創(chuàng)新

“央行此時果斷出手，是在充分調研、研討的基礎上為條碼支付建章立制，明確其小額、便民的定位。”董希淼說。

圍繞這一定位，央行此前已有多次監(jiān)管舉措。比如2016年7月實施的《非銀行支付機構網絡支付管理辦法》，也進行了一系列限額管理。

有關本次新規(guī)如何順利落地，受訪人士給出了諸多建議。

拉卡拉支付股份有限公司資深合規(guī)總監(jiān)唐凌提出，支付機構未來要根據(jù)用戶的風險防范等級來設置日累計交易限額。這或是新規(guī)落地的重難點之一。

唐凌解釋，用戶的風險防范等級越高，每天可交易金額就越高。如新規(guī)中提到的A級，采用數(shù)字證書或電子簽名和靜態(tài)密碼、指紋等要素，就可以不受額度限制;如果商家只放了個靜態(tài)碼，支付額度自然就低?！氨M管監(jiān)管對靜態(tài)碼有不少要求，但在風險案件中靜態(tài)碼占比仍很高，那每天就限額500元，即便是被騙，損失也可控。”

另一難點，在于明確要求外包商一不能碰交易中的支付敏感信息，二不能碰資金，這同央行2017年11月發(fā)布的《關于進一步加強無證經營支付業(yè)務整治工作的通知》保持了連續(xù)性，彰顯出監(jiān)管層整治無證機構、遏制市場亂象的決心。

“其實，央行此次只是重申《銀行卡收單業(yè)務管理辦法》等已有制度，并非新的更高的要求?！倍ｍ嫡f。央行此次還非常接地氣，將那些按規(guī)定無需辦理工商注冊登記手續(xù)的小微商戶，納入到條碼支付受理范圍?！耙簿褪钦f，你到農貿市場擺攤掃碼賣菜，央行也是支持的?！?/p>

他指出，新規(guī)落地有三大重點：一是明確條碼支付業(yè)務資質和清算管理要求，即支付機構應取得網絡支付業(yè)務許可及銀行卡收單業(yè)務許可等，涉及跨行清算的應通過央行跨行清算系統(tǒng)或清算機構;二是規(guī)范支付收單業(yè)務管理，無論銀行或支付機構都應遵守商戶實名制、風險評級、風險監(jiān)測等規(guī)定，為實體商戶提供收單服務的還應履行本地化經營等責任;三是強調行業(yè)自律，從業(yè)機構應接受中國支付清算協(xié)會的自律管理?！爸灰鳈C構端正認識、認真整改，新規(guī)落地并不難?！?/p>

央行明確表示，新規(guī)不會制約創(chuàng)新發(fā)展，反而能指引創(chuàng)新沿著安全規(guī)范的方向發(fā)展，保障行業(yè)發(fā)展的穩(wěn)健和長遠。