央行在昨日发布了《条码支付业务规范》(试行)(简称“《规范》”),根据风险防范能力的分级对个人客户的条码支付业务进行限额管理,新规自2018年4月1日起实施。
备受关注的条码(二维码)支付,终于有了明确的制度规范。
根据央行规定,对于使用动态条码(如手机上实时生成的条码)进行支付的,风险防范能力根据交易验证方式不同分为A、B、C三级,同一客户单日累计交易限额分别为自主约定、5000元、1000元。 而如果风险防范能力达到D级,即使用静态条码的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。
近年来,随着智能手机不断普及,以二维码为代表的条码与智能手机结合,发展成为一种新型的承载和转换数据方式。这种方式被银行业金融机构或非银行支付机构利用后,探索出一种新的支付模式,可将业务从线上扩展到线下支付。由于门槛较低、成本低廉、支付便捷,条码支付受到了商户、消费者和银行、支付机构的青睐。
不过这种支付方式的缺点也比较明显。二维码通过几何图形来记录数据和储存信息,这样的功能可能携带非法链接或代码。如果二维码支付终端缺乏识别与拦截功能,就可能产生安全漏洞和隐患。而二维码本身的可视化特性,在互联网环境下以图形化方式传输,容易受到攻击,容易传播木马、病毒,造成用户资金损失和信息泄露。
中国支付清算协会执行副会长兼秘书长蔡洪波指出,很多不法分子就是针对条码防护能力弱、使用环境可控性差这些特点实施诈骗。如静态条码被调换、伪造条码进行欺诈、条码中嵌入木马病毒程序等导致客户个人信息泄露和账户资金被盗用等。
因此,央行此次出台的《规范》,围绕“交易额度管理”等制度设计达到技术安全水平与使用便捷之间的平衡。交易额度的设定一方面可以防止条码支付交易超过其匹配的安全防护能力,另一方面是给予消费者选择权,同时也鼓励银行和支付机构采用更多的验证要素来提升安全水平。
《规范》将条码支付分为付款扫码和收款扫码。“付款扫码”是指付款人通过手机、Pad等移动终端识读收款人展示的条码完成支付的行为,是用户主动扫码付款,俗称“主扫”;“收款扫码”是指收款人通过识读付款人移动终端展示的条码完成收款的行为,是用户被动扫码支付,俗称“被扫”。
由于在此前的试点应用中,条码支付风险乃至用户资金损失多发生于“主扫”,特别是“主扫”静态条码,《规范》以限制静态扫码限额和约束银行、支付机构开展付款扫码服务的具体行为与风控措施并要求他们提供客户权益受损解决机制等具体条款,积极引导付款人“主扫”经过安全加密和设置有效期(一般为一次性条码)的动态条码,将商户的较大金额收款行为也引导到“被扫”上来。
那么静态码支付限额500元,对人们日常的电子支付会不会有影响呢?中国人民大学重阳金融研究院高级研究员董希淼表示,日常影响是非常小的。“假如我们买一个烤红薯5块钱,500元够买100个烤红薯了,这并不会影响卖烤红薯大爷的生意。只要他不是将烤红薯都卖给你,那么大爷也不受影响。因为这500元限额是针对用户而言,对商户并无限制,大爷一天卖1000个烤红薯都是妥妥的。”
拉卡拉支付股份有限公司合规总监唐凌对中国经济网记者表示,“在扫码支付的风险案件中静态码占比很高,那每天就限额500元,即便是被骗,投资者损失也可控。如用动态码付款,风险自然少,支付额度就会提升。这也是监管政策的一个良好导向。”(记者关婧)