用制度和規範,推動條碼支付新發展
(中國支付清算協會執行副會長兼秘書長 蔡洪波)
條碼支付是當前應用十分普遍,非常貼合零售小額便民支付需求的支付方式,獲得了廣大消費者的歡迎和認可。為了進一步規範和推動條碼支付業務的發展,人民銀行近日發佈了《條碼支付業務規範(試行)》(以下簡稱《業務規範》)、《條碼支付安全技術規範(試行)》(以下簡稱《技術規範》)以及《條碼支付受理終端技術規範(試行)》,為條碼支付業務開展提供統一的規範和標準。這是我國首次對條碼支付的一次全面、系統的安全梳理和管理規範,應該説,在全球範圍也屬比較新的嘗試,反映了監管部門在如何跟進、管理和推動創新支付方面的前瞻思考和最新實踐成果。總的來看,條碼支付規範出臺有利於引導市場主體合規經營,合理創新,有序競爭,防範資金和資訊洩露風險,加強消費者權益保護,從而推動支付普惠包容發展,更好地服務新消費和實體經濟。
作為新興的、廣受歡迎的支付業務,條碼支付還在不斷的創新發展中。我們對它的認識、觀察和研究在不斷深入中。條碼支付規範的發佈是十九大以後,在以人民為中心和加強監管的精神引領下,監管部門指導並與行業協會及市場主體充分磨合的成果,既反映了監管的規範要求和創新理念,也體現了市場機構的訴求和消費者的利益。條碼支付規範綜合性強,設計嚴謹,注重規範,同時又兼顧便捷和實際需求,具有以下鮮明的特點:
一、圍繞基於“條碼介質”的安全管理,保障條碼支付的安全可靠
在條碼支付業務推出初期,由於國內條碼支付技術、業務模式及安全管理等方面處於探索階段,尚無統一的業務和技術規範。與傳統的銀行卡不同,條碼支付的條碼具有可視化,容易被複製、截屏、傳輸,可以被列印,安全防護能力不強。很多不法分子就是針對條碼防護能力弱、使用環境可控性差這些特點實施詐騙。如靜態條碼被調換、偽造條碼進行欺詐、條碼中嵌入木馬病毒程式等導致客戶個人資訊洩露和賬戶資金被盜用等。
因此,人民銀行針對條碼生成和受理提出一系列安全性要求。一是加強對終端設備、應用軟體和業務系統的管理。特別是從木馬病毒防範、資訊加密保護、運作環境可信等方面提升條碼支付客戶端軟體的安全防護能力。二是明確條碼資訊僅限包含當次支付相關資訊,不應包含任何與客戶及其賬戶相關的支付敏感資訊。三是通過設置條碼使用效期、使用次數等方式,確保條碼有效性和真實性。四是通過安全單元、支付標記化、條碼防偽識別等手段,提高條碼的安全防護能力。
條碼安全,條碼支付才能安全。正是通過對條碼強化安全防護,使條碼支付更加安全可靠,大幅度降低基於條碼的支付詐騙風險,增強消費者對條碼支付的信心。
二、圍繞“交易額度管理”等制度設計達到技術安全水準與使用便捷之間的平衡
基於鼓勵創新、防範風險的原則,綜合考慮技術安全和方便使用兩方面因素,根據《技術規範》確定的風險防護能力的等級,分類實施交易額度管理,同時要求銀行、支付機構運用交易驗證強度與交易額度相匹配的技術措施提高條碼支付交易的安全性。
一是為引導銀行、支付機構提高交易驗證方式的安全性,加強客戶資金安全保護,對於採用包括數字證書或電子簽名在內的兩類(含)以上有效要素對交易進行驗證的條碼支付業務,由銀行、支付機構與客戶通過協議自主約定單日累計額度。
二是對未採用數字證書、電子簽名等要素進行交易驗證的條碼支付,根據驗證要素的情況進行分類管理。採用指紋、密碼等兩種及以上其他有效要素進行交易驗證的條碼支付,同一客戶單個銀行賬戶或者所有支付賬戶、快捷支付單日累計交易金額應不超過5000元。對於採用不足兩類驗證要素的,相應的額度不超過1000元。這兩類條碼支付是當前市場的主流業務類型。一方面,交易額度的設定,可以防止條碼支付交易超過其匹配的安全防護能力,朝大額化發展;另一方面,其額度與風險防範能力相匹配,通過多要素交叉驗證能夠有效提高安全水準,因此通過交易額度的分類設計給予消費者選擇權,同時也鼓勵銀行和支付機構採用更多的驗證要素來提升安全水準。
三是基於防替換、防盜刷等因素考慮,要求銀行、支付機構對使用靜態條碼進行支付執行更加嚴格的額度管理措施。同一客戶單個銀行賬戶或者所有支付賬戶、快捷支付單日累計交易金額應不超過500元。
總體看,各項單日累計交易額度能夠有效滿足絕大部分客戶使用條碼支付進行付款的需求,基本不影響消費者使用的便利性體驗,同時也能夠顯著提高條碼支付的安全水準。
三、圍繞“特約商戶”的有效管理,防範和遏制違法犯罪活動
特約商戶管理是條碼支付安全管理的基礎和重要環節。加強對條碼支付特約商戶的管理,其目的在於排除“壞商戶”,防止“不法支付”,特別是由商戶作為主謀或者幫兇參與的詐騙、洗錢、欺詐等犯罪活動,更好地維護條碼支付業務參與各方的合法權益。
考慮到條碼支付業務涉及銀行賬戶和支付賬戶,且應用於實體特約商戶,為保持監管制度和標準的一致性,參照《銀行卡收單業務管理辦法》、《中國人民銀行關於加強銀行卡收單業務外包管理的通知》等規定,從特約商戶實名制、特約商戶審批、特約商戶資訊留存及管理、黑白名單管理、實體商戶屬地化管理、外包業務管理等方面明確了具體的要求。
同時,強調了對於小微商戶的服務和管理。基於市場發展現狀和市場主體經營實際,針對小微商戶的資質審核和認定,以及交易限額、交易功能許可權等風險管理措施提出明確要求。以同一個身份證件在同一家收單機構辦理的全部小微商戶基於信用卡的條碼支付收款金額日累計不超過1000元,月累計不超過1萬元,但受理基於借記卡的條碼支付不受收款額度的限制。
四、圍繞“資金和資訊”安全保護,維護廣大客戶的合法權益
由於條碼支付的環境更開放,而且由於條碼支付小額高頻,消費者對支付安全的重視程度不足,容易引發“聚沙成塔”型的風險事件和消費者權益被侵害而不了了之等問題。為切實保障客戶知情權及資金和資訊安全,人民銀行從賬戶及交易資訊安全、業務及風險資訊披露、爭議和投訴處理、客戶安全教育等方面對市場主體提出了相關要求。一是確保相關客戶身份或賬戶資訊安全,防止洩露;二是採取技術措施,以保證交易資訊傳輸的安全性、完整性和抗抵賴性;三是充分披露條碼支付業務産品類型、辦理流程、操作規程、收費標準等資訊,明確業務風險點及相關責任承擔機制、風險損失賠付方式及操作方式;四是持續完善客戶服務體系,及時受理和解決客戶諮詢、查詢和投訴等問題;五是開展對客戶的支付安全教育,提升其風險防範意識和應對能力。
五、充分發揮行業自律作用,促進市場主體規範經營、合理創新
自2014年以來,人民銀行指導中國支付清算協會組織會員單位研究制定業務和技術規範。協會通過書面徵求意見、召開專題會議等形式,多次聽取會員單位的意見建議;結合監管要求和市場創新發展情況,組織會員單位對關鍵條款進行研究討論和修改完善,並積極與監管部門彙報和溝通,為監管部門決策提供資訊參考。
在條碼支付規範的落實實施方面,協會將根據相關要求,履行條碼支付業務的自律管理職責,將條碼支付特約商戶納入特約商戶資訊管理系統管理,對條碼支付外包服務機構納入銀行卡收單外包服務機構評級體系管理,對被實名舉報涉嫌違法違規開展條碼支付業務的,按照《支付結算違法違規行為舉報獎勵辦法》及其實施細則的要求進行處理。
同時,條碼支付業務規範強調了業務資質要求,重申了清算管理要求,同時對於規範市場競爭也提出要求,市場機構不得以任何形式詆毀其他市場主體的商業信譽,不得採用不正當競爭手段侵害其他市場主體利益、排擠競爭對手,破壞市場公平競爭秩序。
條碼支付規範發佈後,協會將嚴格按照業務和技術規範的相關要求,積極發揮行業自律作用,引導會員單位認真貫徹落實監管要求,做好政策的宣傳和解讀,及時跟蹤反饋落實中的難點問題,積極研究條碼支付業務出現的新情況、新問題,加快業務和技術規範的協同落實,推動條碼支付市場更加規範、業務更加便捷、服務更加普惠,創新更有活力,成為新興支付業務中的“小而美”和“水電煤”式的業務形態,更好地服務於新時期我國經濟社會發展。