导读:二维码支付已经渗透到生活的方方面面,但二维码支付背后仍存在诸多乱象,用户资金被盗刷、手机扫码中毒等乱象时有发生。
如何解决这个问题?
12月27日,央行印发《条码支付业务规范(试行)》(下称《规范》),同时配套印发安全技术和受理终端技术两个规范,上述规范自2018年4月1日起实施。通过划定业务范围和技术标准,对当前条码支付领域存在的诸多乱象进行整肃。这也是央行在2014年暂停线下条码支付业务后,正式认可条码支付,尽管这一方式从未离开。
“所有金融业务都要纳入监管。”这是当前及今后金融工作的首要条件。《规范》明确,非银行支付机构提供条码付款服务、条码支付收单等业务应分别取得网络支付业务许可、银行卡收单业务许可等。涉及跨行交易时,应通过央行跨行清算系统或合法清算机构处理。即日起,银行和支付机构不得新增不同法人机构直连处理条码支付业务。今年9月底,处理支付机构发起的涉及银行账户的网络支付交易的清算机构网联全部功能已经上线。
《规范》将对日常支付带来怎样的影响?是否会影响市场格局?
静态扫码单日限额500元,
鼓励使用动态码
2014年,因为当时未建立有效安全措施、统一的业务规则和消费者权益保护制度,央行要求暂停线下条码支付。但这一方式在部分支付机构的补贴推广和舆论压力下,并未真正远离。
条码支付具有支付便捷、应用门槛低的优势,加上更安全支付技术的应用,条码支付的安全标准得到提升,在商超、菜场、餐馆、流动摊点等得到广泛使用。但由于缺乏统一的业务规范和技术标准,在条码生成机制和传输过程中仍存在风险隐患。
央行明确指出,条码支付有一定技术风险。由于条码是图形显示,不法分子可以通过截屏、偷拍等手段盗取支付凭证盗用资金;此外,条码容易携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息。此外,由于条码支付只能实现发起方或接收方的单向信息交互,一些不法分子实施“中间人攻击”,绕过身份认证机制,造成用户资金损失。扫码设备安全强度低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。
对于用户主动扫码(主扫)和出示付款码被扫付款(被扫)模式,由于被扫的安全性相对更高,综合安全和便捷因素,在对静态条码做出一些技术要求之外,央行通过对静态条码限额方式引导用户更多使用被扫模式,但对于小微商户广泛使用的主扫模式也并未完全限制。
央行明确条码支付小额、便民的定位,对条码支付根据技术安全等级的不同进行交易限额。无论银行还是支付机构,对于动态条码,如果采用包括数字证书或电子签名在内的两类(含)以上有效要素进行验证的话,单日交易限额可以与客户自主约定。如果采用不足两类有效要素进行验证单日限额1000元。而是用静态条码支付的无论何种交易验证方式,单日均不超过500元。
北京网络法学研究会副秘书长赵繇对21世纪经济报道记者表示,市场统计表明,条码支付业务量的95%是单笔500元以下的小额交易,2017年上半年笔均百元左右。这样的限额要求基本满足了用户日常生活中的便捷支付需求。同时,由于当前小微商户的工商注册申请门槛低,部分不法分子滥用商事登记管理与税收改革政策中关于小微商户的优待政策,甚至与小微商户勾结套现大额信用卡资金。为此,《规范》要求同一身份证在同一家机构办理的全部小微商户基于信用卡的条码支付收款限额1000元/天、10000元/月。
不得滥用市场地位不正当竞争
央行还指出当前条码支付业务主要存在的乱象。
一是是商户准入门槛降低,加剧收单市场乱象。部分市场机构利用条码可远程发送、不受专业受理终端限制的特点,在商户拓展过程中未履行“了解你的客户”义务,通过“一证下机”等方式违规发展商户,加剧了套现、二清、外包管理不到位等收单乱象。
二是部分机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争。央行指出,稳定、可持续的投入和运营是支付业务长远发展的保障,不能为了追求短期的市场份额,采取“烧钱”“补贴”等不当竞争手段。
21世纪经济报道记者了解到,当前聚合支付方式较多,一些提供聚合支付的机构变相从事“二清”,但缺少风险防范。就在近期,两家“二清”携款跑路。此外,一些支付机构特约商户与赌博、色情网站勾结,为其提供支付结算业务。
针对这些乱象,央行明确银行、支付机构要对特约商户严格管理,确保所拓展的是依法设立、合法经营的特约商户。
银行、支付机构与特约商户合作不得将核心业务外包,例如特约商户资质审核、受理协议签订、资金结算、交易处理、风险监测、受理终端主密钥生成和管理、网络支付接口管理、差错和争议处理工作等。银行、支付机构与外包服务机构系统对接开展业务的,应确保外包服务机构无法获取或者接触支付敏感信息、不得从事或者变相从事特约商户资金结算。
央行要求,银行及支付机构不得以任何形式诋毁其他市场主体的商业信誉,不得采用不正当竞争手段排挤竞争对手、损害其他市场主体利益,破坏市场公平竞争秩序。并呼吁发挥行业自律作用。
21世纪经济报道记者还注意到,《规范》指出,支付机构不得基于条码技术,从事或变相从事证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。这也说明了为何此前西部某银行推出扫码取现业务一天即被叫停。
赵繇对21世纪经济报道记者表示,早在2015年印发的《非银行支付机构网络支付业务管理办法》就明确,支付机构不得经营或者变相经营证券、保险、 信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。这是对上述要求的延续,支付机构需要专营,这也是为了防止金融风险的外溢,对跨市场、跨业态、跨国界的风险进行防范。
