二維碼支付“準(zhǔn)備時(shí)間”倒計(jì)時(shí)

肖颯

此次國(guó)家對(duì)于二維碼支付發(fā)文是對(duì)當(dāng)前社會(huì)手機(jī)支付的消費(fèi)結(jié)算方式新趨勢(shì)的及時(shí)反應(yīng)，通過各類措施在最大范圍內(nèi)確保該產(chǎn)業(yè)發(fā)展的規(guī)范性，從而保護(hù)消費(fèi)者合法權(quán)益，維護(hù)市場(chǎng)公平競(jìng)爭(zhēng)環(huán)境，促進(jìn)移動(dòng)支付業(yè)務(wù)健康可持續(xù)發(fā)展。

由央行于2017年12月發(fā)布、2018年4月1日生效的《條碼支付業(yè)務(wù)規(guī)范（試行）》（銀發(fā)﹝2017﹞296號(hào)文），值得業(yè)內(nèi)仔細(xì)研究。《條碼支付業(yè)務(wù)規(guī)范（試行）》對(duì)于我國(guó)境內(nèi)外如火如荼的二維碼支付方式，將產(chǎn)生巨大影響，主要體現(xiàn)在：業(yè)務(wù)邊界、安全驗(yàn)證、真實(shí)場(chǎng)景、限制信用卡沖動(dòng)消費(fèi)、不得外包核心技術(shù)等方面。

什么是“條碼支付業(yè)務(wù)”

根據(jù)296號(hào)文規(guī)定，條碼支付業(yè)務(wù)是指銀行業(yè)金融機(jī)構(gòu)、非銀行支付機(jī)構(gòu)應(yīng)用條碼技術(shù)，實(shí)現(xiàn)收付款人之間貨幣資金轉(zhuǎn)移的業(yè)務(wù)活動(dòng)。

條碼支付業(yè)務(wù)分付款掃碼和收款掃碼。前者是付款人通過移動(dòng)終端識(shí)讀收款人展示的條碼完成支付的行為；后者是收款人通過識(shí)讀付款人終端展示的條碼完成支付的行為。也就是我們買東西時(shí)候，問“您掃我？還是我掃您？”兩種方式都是條碼支付業(yè)務(wù)，一目了然，不多做解釋。

條碼支付的“三不得”

搞清楚法規(guī)規(guī)定的行為邊界對(duì)研究監(jiān)管文件至關(guān)重要。根據(jù)296號(hào)文第5、6、7條，條碼支付的行為邊界可以總結(jié)為條碼支付業(yè)務(wù)的“三不得”：

一是支付機(jī)構(gòu)不得基于條碼技術(shù)從事或變相從事證券、保險(xiǎn)、信貸、融資、理財(cái)、擔(dān)保、信托、貨幣兌換、現(xiàn)金存取等業(yè)務(wù)。也就是說，二維碼支付主要是服務(wù)消費(fèi)實(shí)物和服務(wù)的領(lǐng)域，“支付機(jī)構(gòu)”不得采取二維碼的方式進(jìn)行借貸、投資、投保、換匯、取現(xiàn)等，我們的理解是，銀行可以。

二是銀行、支付機(jī)構(gòu)開展條碼支付業(yè)務(wù)應(yīng)遵守客戶實(shí)名制管理規(guī)定；遵守反洗錢法律法規(guī)要求，履行反洗錢和反恐怖融資義務(wù)；依法維護(hù)客戶及相關(guān)主體的合法權(quán)益。這里請(qǐng)注意，實(shí)名制是重要要求，防止有人鉆空子，利用二維碼支付從事非法交易等。

三是銀行、支付機(jī)構(gòu)不得以任何方式詆毀其他市場(chǎng)主體的商業(yè)信譽(yù)，不得采取不正當(dāng)競(jìng)爭(zhēng)手段排擠競(jìng)爭(zhēng)對(duì)手、損害其他市場(chǎng)主體利益，破壞市場(chǎng)公平競(jìng)爭(zhēng)秩序。我們發(fā)現(xiàn)，各家支付機(jī)構(gòu)為爭(zhēng)奪客戶展開“激戰(zhàn)”，有采取返現(xiàn)、打折、送禮等做法，還有設(shè)置各類錢包讓消費(fèi)者提前消費(fèi)等，各種手段讓人應(yīng)接不暇，還有“獨(dú)家代理”等抽屜條款，約束消費(fèi)者的消費(fèi)方式，比如什剎海冰場(chǎng)，只能現(xiàn)金和某支付，拒絕其他網(wǎng)絡(luò)支付方式，現(xiàn)場(chǎng)很多帶孩子的家長(zhǎng)都“尷尬了”。

條碼支付安全“驗(yàn)證”

交易安全是二維碼支付的首要任務(wù)，沒有之一。銀行、支付機(jī)構(gòu)開展條碼支付業(yè)務(wù)必須做如下要素的組合驗(yàn)證：

（1）僅客戶本人知悉的要素，如靜態(tài)密碼。

（2）僅客戶本人持有并特有的，不可復(fù)制或者不可重復(fù)利用的要素，如數(shù)字證書、電子簽名、通過安全渠道生成和傳輸?shù)囊淮涡悦艽a等（請(qǐng)腦補(bǔ)手機(jī)驗(yàn)證碼）。

（3）客戶本人生物特征要素，如指紋、虹膜等。

因此，單靠“刷臉”本身不能直接完成支付的，必須如上3種之兩種或全部進(jìn)行驗(yàn)證，才達(dá)到最低標(biāo)準(zhǔn)。同時(shí)，由于手機(jī)被盜、電腦被黑等現(xiàn)實(shí)問題，采用一次性密碼作為驗(yàn)證要素的，應(yīng)當(dāng)切實(shí)防范一次性密碼獲取端與支付指令發(fā)起端為相同物理設(shè)備的風(fēng)險(xiǎn)，將一次性密碼有效期限定在最短必要時(shí)間內(nèi)。

真實(shí)場(chǎng)景很重要

條碼支付的真實(shí)場(chǎng)景是必要的，按照規(guī)定正確選用交易類型，準(zhǔn)確標(biāo)識(shí)交易信息并完整發(fā)送，確保交易信息的完整性、真實(shí)性、可追溯性。

交易信息至少應(yīng)當(dāng)包括：直接提供商品或服務(wù)的特約商戶名稱、類別和代碼，受理終端（網(wǎng)絡(luò)支付接口）類型和代碼，交易時(shí)間和地點(diǎn)（網(wǎng)絡(luò)特約商戶的網(wǎng)絡(luò)地址），交易金額、交易類型和渠道，交易發(fā)起方式等。網(wǎng)絡(luò)特約商戶的交易信息還應(yīng)當(dāng)包括訂單號(hào)和網(wǎng)絡(luò)交易平臺(tái)名稱。

從筆者的實(shí)際辦案經(jīng)驗(yàn)來看，如果能夠再現(xiàn)交易場(chǎng)景和過程，對(duì)于證明當(dāng)事人是否有罪、此罪與彼罪的證明難度下降，有利于還原事情的真實(shí)情況，而不是單純依靠點(diǎn)滴言辭證據(jù)，通過法律推理得出的“法律真實(shí)”。在早年網(wǎng)貸案件中確實(shí)遭遇過類似困難，希望新規(guī)落地后，對(duì)后續(xù)事件和案例產(chǎn)生積極影響。

限制沖動(dòng)消費(fèi)

在沒有個(gè)人破產(chǎn)法律制度的當(dāng)下，限制“剁手黨”的沖動(dòng)消費(fèi)十分有必要，對(duì)于儲(chǔ)蓄卡用戶，因?yàn)橛小坝嗉Z”不必過分限制，但是，對(duì)于信用卡的消費(fèi)必須做出限定。

以同一個(gè)身份證件在同一家收單機(jī)構(gòu)辦理的全部小微商戶基于信用卡的條碼支付收款金額日累計(jì)不超過1000元、月累計(jì)不超過1萬元。

銀行、支付機(jī)構(gòu)應(yīng)當(dāng)結(jié)合小微商戶風(fēng)險(xiǎn)等級(jí)動(dòng)態(tài)調(diào)整交易卡種、交易限額、結(jié)算周期等，強(qiáng)化對(duì)小微商戶的交易監(jiān)測(cè)。

由此可見，“月光族”依靠騰挪信用卡來過度消費(fèi)，也許可以通過限制最流行的二維碼支付，得以限定或給出導(dǎo)向。

科技金融不能外包核心技術(shù)

其實(shí)，管理層已經(jīng)發(fā)現(xiàn)很多持有金融牌照、支付牌照的機(jī)構(gòu)，只是在賣“渠道”，更像是一個(gè)包工頭，躺在牌照上過美日子。

根據(jù)296號(hào)文第30條的規(guī)定，銀行、支付機(jī)構(gòu)應(yīng)按照《中國(guó)人民銀行關(guān)于加強(qiáng)銀行卡收單業(yè)務(wù)外包管理的通知》（銀發(fā)﹝2015﹞199號(hào)）相關(guān)要求審慎選擇外包服務(wù)機(jī)構(gòu)，嚴(yán)格規(guī)范與外包服務(wù)機(jī)構(gòu)的業(yè)務(wù)合作，強(qiáng)化收單外包業(yè)務(wù)的風(fēng)險(xiǎn)管理責(zé)任。銀行、支付機(jī)構(gòu)作為條碼支付收單業(yè)務(wù)主體的管理責(zé)任和風(fēng)險(xiǎn)承擔(dān)責(zé)任不因外包關(guān)系而轉(zhuǎn)移。

銀行、支付機(jī)構(gòu)不得將特約商戶資質(zhì)審核、受理協(xié)議簽訂、資金結(jié)算、交易處理、風(fēng)險(xiǎn)監(jiān)測(cè)、受理終端主密鑰生成和管理、網(wǎng)絡(luò)支付接口管理、差錯(cuò)和爭(zhēng)議處理工作交由外包服務(wù)機(jī)構(gòu)辦理。銀行、支付機(jī)構(gòu)與外包服務(wù)機(jī)構(gòu)系統(tǒng)對(duì)接開展業(yè)務(wù)的，應(yīng)確保外包服務(wù)機(jī)構(gòu)無法獲取或者接觸支付敏感信息、不得從事或者變相從事特約商戶資金結(jié)算。

這將同時(shí)影響一些所謂的赴境外上市金融科技公司，他們號(hào)稱為銀行等機(jī)構(gòu)提供核心技術(shù)，受理終端主密鑰生成和管理等，現(xiàn)在看來，這個(gè)生意銀行不敢輕易給出來了，請(qǐng)大家注意。