买个煎饼果子都扫码 央行出手整治“扫一扫”
条码(如二维码)支付已广泛普及,一张红色毛爷爷一个月也花不出去,出门消费全靠扫码,连煎饼果子摊的摊主都接受“扫一扫”……
条码支付在给人们的生活带来便捷的同时,也积累了一些风险隐患,盗刷、二维码植入木马病毒等问题时有发生,央妈对此也操碎了心。因此,为规范条码支付,12月27日,央行发布《条码支付业务规范(试行)》(下称“《规范》”),新规对消费者使用条码支付付款将实行交易限额管理,对特约商户受理条码支付进行收款也提出相应要求。
核心要点抢先看:
1、对消费者来说,《规范》鼓励消费者使用动态条码进行支付,并根据交易验证方式不同将风险防范能力分为A B C D三级,不同等级每日交易限额不同;特别是我们常用的静态条码支付,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。
2、对商户来说,条码支付特约商户将实行实名制管理。特约商户要提交营业执照等证明文件,以及法定代表人或负责人的有效身份证件等申请材料。条码支付特约商户将被纳入特约商户信息管理系统及黑名单管理机制,在黑名单上的商户将无法开通条码收款业务。
3、对银行和支付机构来说,强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。
同时,银行、支付机构应当加强条码支付收单业务管理,严格遵守商户实名制、商户风险评级、交易风险监测等基本规定。为实体特约商户提供收单服务,应履行本地化经营、商户定期巡检责任;为网络特约商户提供收单服务,应强化对网络支付接口的使用管理和交易监测,采取有效的检查措施和技术手段对其经营内容和交易情况进行检查。
4、已开展条码支付业务的银行、支付机构应当全面梳理自身条码支付业务情况(含境内、跨境、境外业务)并形成报告,包括但不限于按年度统计的业务量、产品介绍、业务流程、技术方案、风险管理机制、境内外机构合作情况、资金清算模式、收费标准及利润分配机制、客户权益保护措施、外包服务机构信息及外包范围、以及根据本通知进行自查的情况及整改方案等。2018年1月31日前,全国性银行将报告报送人民银行总行,其他银行和支付机构将报告报送法人所在地人民银行分支机构。
5、《规范》将在2018年4月1日起正式实施。
条码付款将实行分级限额,鼓励使用动态码
在了解《规范》之前,先来搞清两个概念。《规范》将条码支付分为付款扫码和收款扫码:
“付款扫码”是指付款人通过手机、Pad等移动终端识读收款人展示的条码完成支付的行为,是用户主动扫码付款,俗称“主扫”;
“收款扫码”是指收款人通过识读付款人移动终端展示的条码完成收款的行为,是用户被动扫码支付,俗称“被扫”。
由于在此前的试点应用中,条码支付风险乃至用户资金损失多发生于“主扫”,特别是“主扫”静态条码,《规范》以限制静态扫码限额和约束银行、支付机构开展付款扫码服务的具体行为与风控措施并要求他们提供客户权益受损解决机制等具体条款,引导付款人“主扫”经过安全加密和设置有效期(一般为一次性条码)的动态条码,将商户的较大金额收款行为也引导到“被扫”上来。
通俗讲,由于外面商户的二维码可能隐藏着病毒或危险链接,所以作为消费者,在进行扫码付款时,尽量让对方扫我们(也就是“被扫”),这也不失为一种自我保护。
为保护消费者的资金安全,《规范》要求对付款人实行分级限额管理,分级的依据就是支付时使用的交易验证方式和静态或动态条码的不同。具体不同等级的划分标准和交易限额如下:
这里需要强调的是,首先,分级限额管理是针对消费者等付款方,而不是针对商户等收款方,也就是说,以后用二维码花钱是要有限额管理的,但收款是没有限额要求。
其次,我们平日里用的最多的条码支付是静态条码,比如煎饼果子摊上张贴一张二维码图供顾客来扫码支付。但如果某天来了个土豪一口气订了一百多个煎饼果子,但这些煎饼果子的价钱超出了一天500元的支付限额怎么办?
这时,煎饼果子摊主可以选择掏出自己的手机,点击收付款,静态码变动态码,就可以收款啦!这也说明,《规范》是鼓励使用动态条码,毕竟这个安全性更高。
此外,即便我们习惯了使用静态码支付,但一天500元的限额也不影响交易体验。市场统计表明,条码支付业务量的95%是单笔500元以下的小额交易,2017年上半年笔均百元左右。数据充分体现出条码支付小额、便民的特征。
强化条码支付特约商户管理
在对消费者等付款方通过分级限额管理予以安全保护的同时,《规范》也从商户的角度,强化对特约商户合法合规性的管理。
《规范》要求,具备开展条码支付业务资质的银行、支付机构拓展条码支付特约商户,应遵循“了解你的客户”原则,确保所拓展的是依法设立、合法经营的特约商户,落实实名制规定,严格审核特约商户的营业执照等证明文件,以及法定代表人或负责人的有效身份证件等申请材料,确认申请材料的真实性、完整性、有效性,并留存申请材料的影印件或复印件。
更为重要的是,并不是所有商户只要提交营业执照,以及相关负责人的有效身份证件就可开通条码收单服务,成为特约商户。一些有不良信息记录的商户将无法成为特约商户。
《规范》称,中国支付清算协会、清算机构应将条码支付特约商户纳入特约商户信息管理系统及黑名单管理机制。银行、支付机构拓展特约商户时,应进行查询确认,如商户及其法定代表人或负责人在特约商户信息管理系统中存在不良信息记录的,应谨慎为该商户提供条码支付服务;不得将已纳入黑名单的单位和个人,以及由纳入黑名单个人担任法定代表人或者负责人的单位拓展为特约商户,已经拓展为特约商户的,应当自该特约商户被列入黑名单之日起10日内予以清退。
央行相关负责人称,加强对条码支付特约商户管理的目的在于排除风险商户,防范和遏制不法分子利用条码支付业务隐藏木马病毒、进行洗钱、欺诈等犯罪活动,更好地维护条码支付业务参与各方的合法权益。
现实生活中,除了有营业执照的商户开通条码收单服务时,一些无营业执照的小微商户也有受理条码支付的需求。为了兼顾小微商户的需求,《规范》明确在符合相关资质审核和认定的前提下,小微商户可以受理条码支付。收单机构可以通过审核商户主要负责人身份证明文件和辅助证明材料为其提供条码支付收单服务。辅助证明材料包括但不限于营业场所租赁协议或者产权证明、集中经营场所管理方出具的证明文件等能够反映小微商户真实、合法从事商品或服务交易活动的材料。
同时,为了防范信用卡套现等交易风险,对以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元,但受理基于借记卡的条码支付不受收款额度的限制。
此外,还有一群特殊的“商户”,他们既没营业执照,经营规模也不大,甚至都算不上小微商户,就是小商小贩,如水果摊、小卖部。这类商户开通条码支付,往往只是在商摊上挂一张个人账户的收款二维码(静态码)。为了提高资金安全、防范二维码风险,业内人士给出了四项小贴士:
条码支付市场三乱象
条码支付具有支付便捷、应用门槛低的优势,在推动和优化我国非现金支付环境建设方面能够发挥积极作用。
然而这一市场近几年来迅速发展的同时,积累的风险隐患也愈发突出。央行相关负责人表示,当前条码支付业务发展中主要存在三方面问题:
一是条码支付在降低商户准入门槛的同时,加剧收单市场乱象。由于条码支付设备成本低于传统的银行卡受理终端,还可通过张贴静态条码实现收付款业务,能够满足小微商户的非现金支付受理需求。但是,部分市场机构利用条码可远程发送、不受专业受理终端限制的特点,加剧了套现、外包管理不到位等收单乱象,存在各类安全隐患。
二是条码支付在促进移动支付普及发展的同时,出现扰乱市场公平竞争秩序的现象。部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争,扰乱市场秩序。
三是条码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险:
(1)、可视化风险,条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金;易携带恶意代码的风险,条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息;
(2)、信息单向交互风险,条码支付相较于银行卡支付,其使用交易指令单向验证简化支付流程从而提升用户感受的体验优势使得其易于被黑客绕过银行卡身份认证机制,实施“中间人”攻击,造成用户资金失窃。
(3)、扫码设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。
社科院金融所支付清算研究中心特约研究员赵鹞称,《规范》是条码支付的“驾驶证”。此前条码支付过低的市场进入门槛也触发了市场的无序竞争,“无证驾驶”、“危险驾驶”风险集中。自2014年始,各类市场主体唯恐落后于人,部分支付机构采取持续补贴、交叉补贴的方式大搞“跑马圈地”,将支付业务应有的安全措施的有效性,业务规则的统一性和消费者权益保护的合规性统统置于脑后,造成条码支付风险频发。为此,央行果断采取了暂停业务的监管措施。其后,随着支付标记化等技术成熟,在移动支付中得到稳健的应用,条码支付的技术安全得到一定程度的提升,有关各方对条码支付的业务与技术规范进行持续论证与验证;但各方仍都期待央行适时推出条码支付的“驾驶证”与“交规”。今天,央行审时度势的发布了《规范》,条码支付从此告别“无证驾驶”与“危险驾驶”。