12月28日《经济参考报》刊发题为《央行出手 条码支付告别“无证驾驶”》的报道。文章称,快速发展的条码支付业务将告别“无证驾驶”,迎来监管规范。人民银行27日正式发布《中国人民银行关于印发<条码支付业务规范(试行)>的通知》,并配套印发安全技术规范和受理终端技术规范(以下简称《规范》),自2018年4月1日起实施。
《规范》明确,银行业金融机构、非银行支付机构开展条码支付业务涉及跨行交易时,必须通过人民银行清算系统或者合法清算机构处理,支付机构还应符合相应的业务资质要求。为消费者提供条码支付付款服务的,应当立足于小额、便民市场定位,按照风险防范能力等级,对条码支付额度进行分级管理,在风险防范和支付便捷中取得有效平衡。
值得关注的是,《规范》提出“对消费者使用条码支付付款进行交易限额管理”,建立了动态条码支付的风险等级与对应的交易限额:
对于采用数字证书或电子签名在内的两种(含)以上有效要素进行验证的,条码支付交易限额由市场主体(银行、支付机构)与客户自行约定;
对于采用不包括数字证书、电子签名在内的两类(含)以上有效要素进行验证的,单个银行账户和所有支付账户、快捷支付限额5000元/天;
对于采用不足两类有效要素验证的,业务限额1000元/天。对于静态码,则不区分交易验证方式,均为限额500元/天。
有人担心对静态码日均500元的扫码限额规定会影响用户体验。中国社科院金融所支付清算研究中心特约研究员赵鹞表示,在此前的试点应用中,条码支付风险乃至用户资金损失多发生于“主扫”,特别是“主扫”静态条码。中国人民大学重阳金融研究院高级研究员董希淼对《经济参考报》记者表示,这一规定对用户的支付并不会产生很大影响,反而能够提高支付的安全性。商户事先贴在墙上的二维码是静态的,其安全性远低于手机上实时生成的动态二维码。
董希淼表示,央行此次提出的关于条码收单等相关要求,只是重申《银行卡收单业务管理办法》等已有制度,并非新的更高的要求。而技术方面的规范,符合条码支付技术发展趋势,有助于提升风险防控能力。
延伸阅读
中国人民银行就发布条码支付规范答记者问 摘要
中国人民银行官网截图
问:对于普遍使用的静态条码,提出了哪些针对性的风险防控措施?
答:静态条码易被篡改或变造,易携带木马或病毒,真伪难辨,导致支付风险较高。因此,提出了一系列防范静态条码风险的措施:一是要求静态条码应由后台服务器加密生成,宜采用防伪纸张展示条码,防伪纸张应具备一定防伪特征。二是要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查。三是要求静态条码采用防护罩等物理防护手段避免被覆盖或替换,宜使用防伪标签对防护罩进行标记。四是要求在静态条码介质显著位置明显展示收款方信息,便于用户核对。五是通过风险防范能力分级管理,进一步规范使用静态条码,并鼓励使用风险防范能力较高的收款扫码方式。
问:对消费者使用条码支付付款的交易限额管理是如何统筹考虑的?
答:条码支付与传统银行卡等支付工具相比在交易安全性上存在一定不足,人民银行坚持条码支付小额、便民的定位,对条码支付风险防范能力进行分级。发行条码的银行、支付机构应根据风险防范能力等级,在确保风险可控和尽量满足用户需求的前提下科学合理设置相匹配的日累计交易限额。
使用动态条码进行支付的,风险防范能力分级见下表。
风险防范能力 | 交易验证方式 | 交易限额(同一客户单日累计) | |
银行(单个银行账户) | 支付机构(所有支付账户或快捷支付) | ||
A级 | 采用包括数字证书或电子签名在内的两类(含)以上有效要素进行验证 | 自主约定 | 自主约定 |
B级 | 采用不包括数字证书、电子签名在内的两类(含)以上有效要素进行验证 | 5000元 | 所有支付账户5000元 所有快捷支付5000元 |
C级 | 采用不足两类有效要素进行验证 | 1000元 | 所有支付账户1000元 所有快捷支付1000元 |
使用静态条码进行支付的,风险防范能力为D级,无论使用何种交易验证方式,同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。
为引导银行、支付机构提高交易验证方式的安全性,加强客户资金安全保护,对于风险防范能力高、交易验证方式更为安全的,不设定额度上限,市场主体可与客户自行约定交易限额。基于防替换、防盗刷等安全因素角度考虑,要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施,以鼓励市场主体采用更为安全的动态条码提供支付服务。依据主要市场机构条码支付交易数据显示,上述额度已覆盖绝大部分使用条码支付付款客户及商户的需求。
请输入验证码