二维码支付的市场地位正在获得监管层的认可。昨天,有消息称,根据央行要求,中国支付清算协会已于近期下发了《条码支付业务规范》(征求意见稿)。此前已有央行文件确认二维码支付与传统线下银行卡支付业务补充。这是央行自2014年3月份叫停二维码支付后首次**表态。
近日,支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿),意见稿中明确指出支付机构开展条码业务需要遵循的安全标准。这是央行在2014年叫停二维码支付以后首次**承认二维码支付地位。
两年前央行曾叫停
2014年3月,央行发函叫停支付宝和腾讯的虚拟信用卡产品,同时叫停条码(二维码)支付等面对面支付服务。当时,央行在公函中称,线下条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全和资金安全。目前,将条码(二维码)应用于支付领域有关技术,终端的安全标准尚不明确。相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患。
虽然央行已经表态,但二维码支付并未真正销声匿迹。2014年年底,经过技术上的改进,部分银行和第三方支付机构着手研究二维码支付。近年来,随着支付宝和微信付款的普及,二维码支付已经被大家广泛接受,甚至连街边的水果摊也可以用二维码支付买单。
央行要求规范二维码支付行业标准
市场日渐成熟,监管也不能缺位。据了解,7月26日,央行结算司曾下发文件给中国支付清算协会、中国银联,对条码支付监管原则及要求发布了告知函。
函件称,线下条码支付具有进入门槛低、便捷等特点,适用于对传统POS收银成本敏感的小商户的日常小额交易,定位于传统线下银行卡支付的有益补充。因此,为保障消费者个人信息和资金安全,依据其业务实质,无论是商业银行还是支付机构、使用银行账户还是支付账户,均应按照交易验证安全等级的不同,统一通过交易额度进行风险控制和安全管理。
央行要求支付清算协会在前期相关工作基础上,按照要求,会同银行卡清算机构、主要商业银行和支付机构出台条码支付行业技术标准和业务规范,并在个人信息保护、资金安全、加密措施、敏感信息存储等方面提出明确要求。
开展条码支付业务要有业务资质
昨天,多家媒体曝光了支付清算协会的征求意见稿。征求意见稿规定,支付清算协会会员单位开展条码支付业务应取得相应的业务资质,并按照监管部门相关业务管理办法规范开展业务,加强风险防范,保障支付安全。
会员单位开展条码支付业务应遵守客户实名制管理规定和反洗钱法律法规要求,履行反洗钱和反恐怖融资义务。会员单位应依法维护客户及相关主体的合法权益,采取有效措施切实保护消费者利益。
条码支付交易实行限额管理
文件要求,会员单位应根据交易验证方式的安全级别及《条码支付技术安全指引》关于风险防范能力的分级,对个人客户条码支付业务的交易进行限额管理:
风险防范能力达到A级,采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,由会员单位与客户通过协议自主约定单日累计限额;风险防范能力达到B级,采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计金额应不超过5000元;风险防范能力达到C级,采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计金额应不超过1000元,且会员单位应当承诺无条件金额承担此类交易的风险损失赔付责任。
账户信息要加密处理
目前扫码支付分两种,一种是用户的客户端上出现条码,商户来扫码;另一种则是商户向用户出示二维码,用户来扫码。在实际生活中,用户并不知晓这些黑白的二维码到底包含了哪些信息,大家比较担心二维码会泄露自己的账户信息。
北京青年报记者注意到,征求意见稿规定,对保护用户敏感信息进行了多方面规定。支付机构应通过设置条码使用效期、使用次数等方式,确保条码有效性和真实性,防止条码被重复使用、重复扣款。条码信息不应包含任何与客户及其账户相关的敏感信息,**包含当次支付相关信息。
特约商户相关系统生成的条码中,**包含与当次支付有关的特约商户、商品(服务)或商品(服务)订单等信息。移动终端展示的、由相关系统生成的条码中,不应直接包含本人账户信息;账户信息应加密处理。
移动终端完成条码扫描后,应正确、完整显示扫码内容,供客户确认。对于移动终端间的小额转账业务,付款方完成扫码后,移动终端应回显隐去姓氏的收款方姓名,供付款方确认。特约商户受理终端完成条码扫描后,应仅显示扫码成功并提示下一步操作,不得向特约商户展示条码中客户相关敏感信息。