千龙网北京12月28日讯 近年来条码支付业务快速发展,在给消费者带来便利的同时,也因为准入门槛太低、安全隐患滋生而受到监管关注。12月27日,央行发布《中国人民银行关于印发的通知》,并配套印发了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》,并规定线下静态的扫码支付方式每人每日最多不能超过500元。新规自明年4月起实施。
从业务和技术两大方面立"规矩"
中国人民银行有关负责人就发布条码支付规范答记者问时表示,随着近年来支付标记化(Tokenization)等技术在移动支付中的广泛应用,客观上提高了条码支付的安全标准。但是,囿于缺乏统一的业务规范和技术标准,在条码生成机制和传输过程中仍存在风险隐患,也引发了支付安全的风险案件,市场机构在业务推广过程中还存在不正当竞争等现象。本次央行发布条码支付业务规范和技术规范等文件,对业务资质要求、规范条码生成等提出了明确要求。
在业务规范方面,《规范》明确,银行业金融机构、非银行支付机构开展条码支付业务涉及跨行交易时,必须通过人民银行清算系统或者合法清算机构处理,支付机构还应符合相应的业务资质要求。为消费者提供条码支付付款服务的,应当立足于小额、便民市场定位,按照风险防范能力等级,对条码支付额度进行分级管理,在风险防范和支付便捷中取得有效平衡。为特约商户提供条码支付收单服务的,应执行银行卡收单业务管理相关要求,切实履行商户管理、交易风险监测等收单主体责任,强化对收单外包机构管理。
在技术规范方面,银行业金融机构、非银行支付机构和清算机构要加强条码支付技术风险防控,合理运用支付标记化、可信执行环境、条码防伪识别等手段,提升条码支付客户端软件安全防护能力,规范条码支付交易报文管理,保障交易信息的真实性、完整性、一致性、可追溯性,构建以受理终端注册、大数据分析为基础的条码支付创新风险管理机制。要加强标准落地实施,强化条码支付产品质量和安全管理,提升条码支付产品的技术标准符合性和安全性,切实保障金融消费者的财产安全和合法权益。
严格限额管理 静态条码单日不得超500元
央行把条码分为两大类;静态和动态。新规将扫码支付分为四个风险等级,其中动态扫码分为A、B、C三个等级,不同等级对应的交易验证方式条码和支付限额也各不相同。而静态条码的风险防范能力最低,为D级,限额也最低。新规规定无论使用何种交易验证方式,使用静态条码支付,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。
动态条码支付:对于采用数字证书或电子签名在内的两种(含)以上有效要素进行验证的,条码支付交易限额由市场主体(银行、支付机构)与客户自行约定;对于采用不包括数字证书、电子签名在内的两类(含)以上有效要素进行验证的,单个银行账户和所有支付账户、快捷支付限额5000元/天;对于采用不足两类有效要素验证的,业务限额1000元/天。
静态条码支付:对于静态码,则不区分交易验证方式,均为限额500元/天。
基于防替换、防盗刷等安全因素角度考虑,要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施,以鼓励市场主体采用更为安全的动态条码提供支付服务。
如何防范静态条码风险?
普遍使用的静态条码,具有易被篡改或变造、易携带木马或病毒、真伪难辨等特点,导致支付风险较高。
将加强对条码支付特约商户的管理
《规范》还指出,将加强对条码支付特约商户的管理。为了防范套现等交易风险,对以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元,但受理基于借记卡的条码支付不受收款额度的限制。
新规是否会制约支付创新发展?
针对条码支付的业务规范要求和安全管理措施是否会制约支付创新发展?央行有关负责人表示,便捷的使用方式、良好的用户体验是支付创新的生命力,但不能单纯追求无底线的创新;稳定、可持续的投入和运营是支付业务长远发展的保障,不能为了追求短期的市场份额,采取“烧钱”“补贴”等不当竞争手段。
通知和规范旨在指导相关单位正确处理安全与发展的关系,在严守安全底线的基础上开展支付创新,维护公平竞争的市场环境,促进行业健康可持续发展,为人民群众提供安全便利的金融服务。