新规解读:央行发布条码支付业务规范 兼顾风控和普惠

中国电子银行网

  中国电子银行网12月27日讯,今日,央行发布《中国人民银行关于印发<条码支付业务规范(试行)>的通知》(银发[2017]296号),配套印发了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》,对当前日渐放开的条码(二维码)支付的相关技术及业务进行规范。

  条码支付从兴起到乱象丛生,再到被暂停,一路走来也是坎坷颇多。但条码支付确实是一项创新的便民技术,需要监管部门合理引导和规范。在此背景下,央行出台了相关的规范条例,对条码支付的业务规范和技术规范提出相关要求。

  条码支付业务问题重重 亟需规范

  条码支付在降低社会交易成本,方便民众的同时也产生了一系列的市场乱象。

  部分商户利用条码可以远程发送、不受专业受理终端限制的特点,在商户拓展过程中未履行“了解你的客户”义务,通过“一证下机”等方式违规发展商户,加剧了套现、二清、外包管理不到位等收单乱象,对市场产生很大的危害。

  还有部分机构在条码支付业务的定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,扰乱市场秩序。

  条码支付技术风险不容小觑

  除了业务层面的市场风险外,条码支付借助开放互联网和非专业设备进行交易处理,也容易产生新的技术风险。

  包括:可视化风险,条码支付在开放互联网环境下以图形方式进行传输,不法分子可通过截屏、偷拍、攻击手机等手段盗取支付凭证,在支付凭证有效期内盗用资金;

  易携带恶意代码的风险,条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息;

  信息单向交互风险,条码支付只能实现发起方或接收方的单向信息交互,不法分子可利用该弱点实施“中间人攻击”,绕过身份认证机制,造成用户资金损失;

  扫描设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。

  条码支付业务规范有了硬性指标

  针对以上问题,通知明确了五个方面的业务规范措施。

  条码支付业务资质要求。明确支付机构向客户提供基于条码支付的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。

  重申清算管理要求。针对部分支付机构与多家银行或支付机构直连进行商户拓展,进一步强化了支付机构与银行多头直连的现象,明确要求银行、支付机构开展条码支付业务涉及跨行交易时,应当通过人民银行跨行清算系统或具备合法资质的清算机构处理。

  维护市场公平竞争秩序。通知要求,不得以任何形式诋毁其他市场主体的商业信誉,不得采用不正当竞争手段损害其他市场主体利益、排挤竞争对手,破坏市场公平竞争秩序。

  规范条码生成和受理。提出交易验证方式、交易限额管理、信息管理和安全防护,静态条码应用管理、综合应用支付标记化技术等措施,保障条码支付业务的安全性。

  加强商户管理和风险管理。从特约商户资质审核、受理协议签订、商户风险评级、商户检查,以及交易风险评测,客户安全交易等方面提出要求,强化业务风险管理。

  规范对条码支付技术风险提出要求

  加强条码安全防护。采取支付标记化(Tokenization)、有效期控制、条码防伪识别等手段,提升条码生成、存储、展示、识读、解析、使用等安全生命周期各环节的安全防护能力,有效保障条码的可靠性和有效性。

  提升条码支付交易安全强度。要求银行、支付机构运用交易验证强度与交易额度相匹配的技术措施提高条码支付交易的安全性,并根据不同交易验证方式的风险防范能力设置相应的日累计交易限额。

  强化条码支付交易风险检测与预警。要求建立条码支付风险监控模型和系统,对异常交易及时预警并附加采取调查核实、风险提示、延迟结算等措施,对高风险交易采取不同通信方式及时告知客户资金变化情况。

  加强客户端软件安全管理。从木马病毒防范、信息加密保护、运行环境可信等方面提升条码支付客户端软件的安全防护能力,要求客户端软件能够监测并向后台反馈手机支付环境安全状况,并作为限制、拒绝交易等风控策略的依据。

  开展条码支付业务的相关企业将进行自查和整改

  条码支付业务规范的落地实施,将通过构建企业自我管理,行业组织自律、主管部门监管、社会全面监督多位一体的管理体系,保障各项要求落实到位。

  已开展业务的银行业金融机构、支付机构将被要求全面梳理自身条码支付业务情况,根据规范要求进行自查和整改。开展条码支付业务创新的,需要履行提前报告义务。银行、支付机构从事条码支付业务,要接受中国支付清算协会行业自律管理,充分发挥违法违规举报奖励机制的作用。

  而技术规范的落地实施,将从产品质量管理、入网管理、专项检查、安全评估等方面多管齐下,提升条码支付技术风险防控能力。

  《通知》对静态条码提出五点风险防控要求

  因为静态条码易被篡改或变造,易携带木马或病毒,真伪难辨,导致支付风险较高。因此,《通知》提出了一系列防范静态条码风险的措施要求:

  一是要求静态条码应由后台服务器加密生成,宜采用防伪纸张展示条码,防伪纸张应具备定防伪特征;

  二是要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查;

  三是要求静态条码采用防护罩等物理防护手段避免被覆盖或替换,宜使用防标签对防护罩进行标记;

  四是要求在静态条码介质显著位置明显展示收款方信息,便于用户核对;

  五是设置支付限额,进一步防范静态条码支付风险,并鼓励引导使用风险防范能力较高的收款扫码方式。

  消费者扫码支付消费限额分四个等级

  《通知》要求银行、支付机构应根据风险防范能力等级,在确保风险可控和尽量满足用户需求的前提下科学合理设置相匹配的日累计交易限额。具体如下表所示:

新规解读:央行发布条码支付业务规范 兼顾风控和普惠

  除以上分级外,使用静态条码进行支付的,风险防范能力为D级,无论使用何种交易验证方式,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。

  数据显示,条码支付笔均500元以下条码支付交易占比达到95%以上;2017年上半年条码支付笔均百元左右,上述额度已覆盖绝大部分使用条码支付付款客户的需求。

  小微商户如何介入条码支付业务进行收款

  在防范市场风险和维护市场公平竞争环境,保护消费者合法利益的前提下,《通知》也对一些小微商户介入条码支付业务的需求进行了考虑。

  《通知》明确,在兼顾小微商户受理条码支付的需求,促进普惠金融发展,明确符合相关资质审核和认定的前提下,小微商户可以受理条码支付。

  另外,为了防范套现等交易风险,对以同一身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元,但受理借记卡的条码支付不受收款额度的限制。

  总结

  通知和规范就条码支付的业务和技术都做了相关的硬性要求,对鼓励创新和规范行业发展起到积极作用。

  另外,随着条码支付业务的规范,大量小微企业的资金归结数据线上化,交易数据线上化,为企业大数据建模,完成整体行业的数据征信与风控带来极大的创新机会。

责任编辑:王超