央行關於《條碼支付業務規範》答記者問!
中國人民銀行就發佈條碼支付規範答記者問
近日,
為貫徹落實黨的十九大和第五次全國金融工作會議精神,鼓勵並規範金融創新,促進條碼支付健康可持續發展,
問:條碼支付業務發展中存在哪些主要問題?
答:一是條碼支付在降低商戶准入門檻的同時,
二是條碼支付在促進移動支付普及發展的同時,出現擾亂市場公平競爭秩序的現象。近年來,條碼支付在小額、便民支付領域市場份額持續增加,促進了移動支付的快發展和普惠金融的廣覆蓋。但是,部分市場機構在開展條碼支付業務時,在定價和市場推廣策略中採取傾銷、交叉補貼等不正當競爭手段,
三是條碼支付借助開放互聯網和非專業設備進行交易處理,帶來一定的技術風險。包括:視覺化風險,條碼在開放互聯網環境下以圖形化方式進行展示,不法分子可通過截屏、偷拍等手段盜取支付憑證,在支付憑證有效期內盜用資金;易攜帶惡意程式碼的風險,條碼不僅可存儲支付要素,也可攜帶非法連結或程式碼,不法分子可將木馬病毒、釣魚網站連結製成條碼,誘導客戶掃描,竊取支付敏感資訊;資訊單向交互風險,條碼支付只能實現發起方或接收方的單向資訊交互,不法分子可利用該弱點實施“中間人攻擊”,繞過身份認證機制,造成用戶資金損失;掃碼設備安全強度低的風險,條碼支付對設備要求低,普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設備均可識別條碼,易被不法分子非法改裝使用。
問:業務規範方面有哪些主要措施?
答:一是強調業務資質要求。明確支付機構向客戶提供基於條碼的付款服務時,應取得網路支付業務許可;支付機構為實體特約商戶和網路特約商戶提供條碼支付收單服務的,應當分別取得銀行卡收單業務許可和網路支付業務許可。
二是重申清算管理要求。針對部分支付機構與多家銀行業金融機構(以下簡稱銀行)或支付機構直連進行商戶拓展,進一步強化了支付機構與銀行多頭直連的現象,明確要求銀行、支付機構開展條碼支付業務涉及跨行交易時,應當通過人民銀行跨行清算系統或者具備合法資質的清算機構處理。
三是要求維護市場公平競爭秩序。市場機構不得以任何形式詆毀其他市場主體的商業信譽,不得採用不正當競爭手段損害其他市場主體利益、排擠競爭對手,破壞市場公平競爭秩序。
四是規範條碼生成和受理。提出交易驗證方式、交易限額管理、資訊管理和安全防護,靜態條碼應用管理、綜合應用支付標記化技術等措施,保障條碼支付業務的安全性。
五是加強商戶管理和風險管理。從特約商戶資質審核、受理協議簽訂、商戶風險評級、商戶檢查,以及交易風險監測,客戶安全教育等方面提出要求,強化業務風險管理。
問:針對條碼支付技術風險,提出了哪些針對性要求?
答:一是加強條碼安全防護。採取支付標記化(Tokenization)、有效期控制、條碼防偽識別等手段,提升條碼生成、存儲、展示、識讀、解析、使用等環節的安全防護能力,有效保障條碼的可靠性和有效性。
二是提升條碼支付交易安全強度。針對不同條碼生成方式,提出加密生成、定期更新、終端唯一標識綁定等具有針對性的安全防護措施。要求銀行、支付機構和清算機構運用交易驗證強度與交易額度相匹配的技術措施提高條碼支付交易的安全性。
三是強化條碼支付交易風險監測與預警。合理應用大資料分析、使用者行為建模等手段建立條碼支付風險監控模型和系統,對異常交易及時預警並附加風控措施,對高風險交易及時告知客戶資金變化情況。
四是加強用戶端軟體安全管理。從木馬病毒防範、資訊加密保護、運行環境可信等方面提升條碼支付用戶端軟體的安全防護能力,要求用戶端軟體能夠監測並向後臺系統回饋手機支付環境安全狀況並作為風控策略的依據。
問:針對條碼支付的業務規範要求和安全管理措施是否會制約支付創新發展?
答:支付服務屬於金融服務,與社會經濟運行和百姓日常生活密切相關,支付安全關乎人民群眾財產安全和合法權益,穩健經營關乎產業的健康可持續發展。便捷的使用方式、良好的使用者體驗是支付創新的生命力,但不能單純追求無底線的創新;穩定、可持續的投入和運營是支付業務長遠發展的保障,不能為了追求短期的市場份額,採取“燒錢”“補貼”等不當競爭手段。通知和規範旨在指導相關單位正確處理安全與發展的關係,在嚴守安全底線的基礎上開展支付創新,維護公平競爭的市場環境,促進行業健康可持續發展,為人民群眾提供安全便利的金融服務。通知和規範提出的業務規範要求和安全管理措施非但不會制約支付創新發展,反而能夠指引支付業務創新沿著安全規範的方向發展,確保創新業務的品質和效能,保障行業發展的穩健和長遠。
問:業務規範和技術要求如何落地實施?
答:業務規範的落地實施要通過構建企業自我管理、行業組織自律、主管部門監管、社會全面監督多位一體的管理體系,保障各項要求落實到位。已開展業務的銀行業金融機構、支付機構應當全面梳理自身條碼支付業務情況,根據規範要求進行自查和整改。開展條碼支付業務創新的,應當履行提前報告義務。銀行、支付機構從事條碼支付業務,應接受中國支付清算協會行業自律管理,並充分發揮違法違規舉報獎勵機制的作用,淨化市場發展環境。人民銀行分支機搆依法對轄區內銀行、支付機構條碼支付業務進行監督管理,加大檢查力度,對違規行為,應依法嚴肅處理。
技術規範的落地實施需要從產品品質管制、入網管理、專項檢查、安全評估等方面多管齊下,切實提升條碼支付技術風險防控能力。銀行、支付機構要嚴格落實技術規範提出的各項要求,強化條碼支付產品安全管理,健全條碼支付風險防控機制,使用符合國家標準及金融行業標準的產品,確保相關業務系統、受理終端等的技術標準符合性。清算機構要強化受理終端入網管理,完善終端定期抽檢機制,加強終端抽樣檢測力度。人民銀行分支機搆要定期對條碼支付相關業務系統、受理終端等組織開展專項抽查,強化條碼支付技術管理。
問:對條碼支付交易報文管理提出了哪些針對性的要求?
答:一是採用數位簽章、加密傳輸等措施,加強支付指令真實性。二是在交易報文中準確記錄發起方、接收方、網路路由、唯一交易流水號等關鍵資訊,保障交易可追溯性和一致性。三是完善商戶、管道、訂單等交易資訊,精准刻畫交易全貌,確保支付指令完整性。
問:對於普遍使用的靜態條碼,提出了哪些針對性的風險防控措施?
答:靜態條碼易被篡改或變造,易攜帶木馬或病毒,真偽難辨,導致支付風險較高。因此,提出了一系列防範靜態條碼風險的措施:一是要求靜態條碼應由後臺伺服器加密生成,宜採用防偽紙張展示條碼,防偽紙張應具備一定防偽特徵。二是要求展示靜態條碼的介質應放置在商戶收銀員視線範圍內,商戶應定期對介質進行檢查。三是要求靜態條碼採用防護罩等物理防護手段避免被覆蓋或替換,宜使用防偽標籤對防護罩進行標記。四是要求在靜態條碼介質顯著位置明顯展示收款方資訊,便於使用者核對。五是通過風險防範能力分級管理,進一步規範使用靜態條碼,並鼓勵使用風險防範能力較高的收款掃碼方式。
問:對消費者使用條碼支付付款的交易限額管理是如何統籌考慮的?
答:條碼支付與傳統銀行卡等支付工具相比在交易安全性上存在一定不足,人民銀行堅持條碼支付小額、便民的定位,對條碼支付風險防範能力進行分級。發行條碼的銀行、支付機構應根據風險防範能力等級,在確保風險可控和儘量滿足用戶需求的前提下科學合理設置相匹配的日累計交易限額。
使用動態條碼進行支付的,風險防範能力分級見下表。
風險防範能力
交易驗證方式
交易限額(同一客戶單日累計)
銀行(單個銀行帳戶)
支付機構(所有支付帳戶或快捷支付)
A級
採用包括數位憑證或電子簽名在內的兩類(含)以上有效要素進行驗證
自主約定
自主約定
B級
採用不包括數位憑證、電子簽名在內的兩類(含)以上有效要素進行驗證
5000元
所有支付帳戶5000元
所有快捷支付5000元
C級
採用不足兩類有效要素進行驗證
1000元
所有支付帳戶1000元
所有快捷支付1000元
使用靜態條碼進行支付的,風險防範能力為D級,無論使用何種交易驗證方式,同一客戶單個銀行帳戶或所有支付帳戶、快捷支付單日累計交易金額應不超過500元。
為引導銀行、支付機構提高交易驗證方式的安全性,加強客戶資金安全保護,對於風險防範能力高、交易驗證方式更為安全的,不設定額度上限,市場主體可與客戶自行約定交易限額。基於防替換、防盜刷等安全因素角度考慮,要求銀行、支付機構使用靜態條碼支付時要執行更加嚴格的限額管理措施,以鼓勵市場主體採用更為安全的動態條碼提供支付服務。依據主要市場機構條碼支付交易資料顯示,上述額度已覆蓋絕大部分使用條碼支付付款客戶及商戶的需求。
問:對特約商戶受理條碼支付進行收款都有哪些具體要求?
答:加強對條碼支付特約商戶管理的目的在於排除風險商戶,防範和遏制不法分子利用條碼支付業務隱藏木馬病毒、進行洗錢、欺詐等犯罪活動,更好地維護條碼支付業務參與各方的合法權益。考慮到條碼支付業務涉及銀行帳戶和支付帳戶,且可應用于網路特約商戶和實體特約商戶,為保持監管制度和標準的一致性,我們遵循銀行卡收單業務管理的相關要求,從條碼支付特約商戶拓展、特約商戶審批、特約商戶資訊留存及管理、黑名單管理、實體商戶屬地化管理、外包業務管理等方面明確了具體的管理要求。同時,為了兼顧小微商戶受理條碼支付的需求,促進普惠金融發展,明確在符合相關資質審核和認定的前提下,小微商戶可以受理條碼支付;同時,為了防範套現等交易風險,對以同一個身份證件在同一家收單機構辦理的全部小微商戶基於信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元,但受理基於借記卡的條碼支付不受收款額度的限制。
瞭解更多金融行業相關資訊,請關注徽信公號支付百科(ID:Paypedia)
在支付憑證有效期內盜用資金;易攜帶惡意程式碼的風險,條碼不僅可存儲支付要素,也可攜帶非法連結或程式碼,不法分子可將木馬病毒、釣魚網站連結製成條碼,誘導客戶掃描,竊取支付敏感資訊;資訊單向交互風險,條碼支付只能實現發起方或接收方的單向資訊交互,不法分子可利用該弱點實施“中間人攻擊”,繞過身份認證機制,造成用戶資金損失;掃碼設備安全強度低的風險,條碼支付對設備要求低,普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設備均可識別條碼,易被不法分子非法改裝使用。問:業務規範方面有哪些主要措施?
答:一是強調業務資質要求。明確支付機構向客戶提供基於條碼的付款服務時,應取得網路支付業務許可;支付機構為實體特約商戶和網路特約商戶提供條碼支付收單服務的,應當分別取得銀行卡收單業務許可和網路支付業務許可。
二是重申清算管理要求。針對部分支付機構與多家銀行業金融機構(以下簡稱銀行)或支付機構直連進行商戶拓展,進一步強化了支付機構與銀行多頭直連的現象,明確要求銀行、支付機構開展條碼支付業務涉及跨行交易時,應當通過人民銀行跨行清算系統或者具備合法資質的清算機構處理。
三是要求維護市場公平競爭秩序。市場機構不得以任何形式詆毀其他市場主體的商業信譽,不得採用不正當競爭手段損害其他市場主體利益、排擠競爭對手,破壞市場公平競爭秩序。
四是規範條碼生成和受理。提出交易驗證方式、交易限額管理、資訊管理和安全防護,靜態條碼應用管理、綜合應用支付標記化技術等措施,保障條碼支付業務的安全性。
五是加強商戶管理和風險管理。從特約商戶資質審核、受理協議簽訂、商戶風險評級、商戶檢查,以及交易風險監測,客戶安全教育等方面提出要求,強化業務風險管理。
問:針對條碼支付技術風險,提出了哪些針對性要求?
答:一是加強條碼安全防護。採取支付標記化(Tokenization)、有效期控制、條碼防偽識別等手段,提升條碼生成、存儲、展示、識讀、解析、使用等環節的安全防護能力,有效保障條碼的可靠性和有效性。
二是提升條碼支付交易安全強度。針對不同條碼生成方式,提出加密生成、定期更新、終端唯一標識綁定等具有針對性的安全防護措施。要求銀行、支付機構和清算機構運用交易驗證強度與交易額度相匹配的技術措施提高條碼支付交易的安全性。
三是強化條碼支付交易風險監測與預警。合理應用大資料分析、使用者行為建模等手段建立條碼支付風險監控模型和系統,對異常交易及時預警並附加風控措施,對高風險交易及時告知客戶資金變化情況。
四是加強用戶端軟體安全管理。從木馬病毒防範、資訊加密保護、運行環境可信等方面提升條碼支付用戶端軟體的安全防護能力,要求用戶端軟體能夠監測並向後臺系統回饋手機支付環境安全狀況並作為風控策略的依據。
問:針對條碼支付的業務規範要求和安全管理措施是否會制約支付創新發展?
答:支付服務屬於金融服務,與社會經濟運行和百姓日常生活密切相關,支付安全關乎人民群眾財產安全和合法權益,穩健經營關乎產業的健康可持續發展。便捷的使用方式、良好的使用者體驗是支付創新的生命力,但不能單純追求無底線的創新;穩定、可持續的投入和運營是支付業務長遠發展的保障,不能為了追求短期的市場份額,採取“燒錢”“補貼”等不當競爭手段。通知和規範旨在指導相關單位正確處理安全與發展的關係,在嚴守安全底線的基礎上開展支付創新,維護公平競爭的市場環境,促進行業健康可持續發展,為人民群眾提供安全便利的金融服務。通知和規範提出的業務規範要求和安全管理措施非但不會制約支付創新發展,反而能夠指引支付業務創新沿著安全規範的方向發展,確保創新業務的品質和效能,保障行業發展的穩健和長遠。
問:業務規範和技術要求如何落地實施?
答:業務規範的落地實施要通過構建企業自我管理、行業組織自律、主管部門監管、社會全面監督多位一體的管理體系,保障各項要求落實到位。已開展業務的銀行業金融機構、支付機構應當全面梳理自身條碼支付業務情況,根據規範要求進行自查和整改。開展條碼支付業務創新的,應當履行提前報告義務。銀行、支付機構從事條碼支付業務,應接受中國支付清算協會行業自律管理,並充分發揮違法違規舉報獎勵機制的作用,淨化市場發展環境。人民銀行分支機搆依法對轄區內銀行、支付機構條碼支付業務進行監督管理,加大檢查力度,對違規行為,應依法嚴肅處理。
技術規範的落地實施需要從產品品質管制、入網管理、專項檢查、安全評估等方面多管齊下,切實提升條碼支付技術風險防控能力。銀行、支付機構要嚴格落實技術規範提出的各項要求,強化條碼支付產品安全管理,健全條碼支付風險防控機制,使用符合國家標準及金融行業標準的產品,確保相關業務系統、受理終端等的技術標準符合性。清算機構要強化受理終端入網管理,完善終端定期抽檢機制,加強終端抽樣檢測力度。人民銀行分支機搆要定期對條碼支付相關業務系統、受理終端等組織開展專項抽查,強化條碼支付技術管理。
問:對條碼支付交易報文管理提出了哪些針對性的要求?
答:一是採用數位簽章、加密傳輸等措施,加強支付指令真實性。二是在交易報文中準確記錄發起方、接收方、網路路由、唯一交易流水號等關鍵資訊,保障交易可追溯性和一致性。三是完善商戶、管道、訂單等交易資訊,精准刻畫交易全貌,確保支付指令完整性。
問:對於普遍使用的靜態條碼,提出了哪些針對性的風險防控措施?
答:靜態條碼易被篡改或變造,易攜帶木馬或病毒,真偽難辨,導致支付風險較高。因此,提出了一系列防範靜態條碼風險的措施:一是要求靜態條碼應由後臺伺服器加密生成,宜採用防偽紙張展示條碼,防偽紙張應具備一定防偽特徵。二是要求展示靜態條碼的介質應放置在商戶收銀員視線範圍內,商戶應定期對介質進行檢查。三是要求靜態條碼採用防護罩等物理防護手段避免被覆蓋或替換,宜使用防偽標籤對防護罩進行標記。四是要求在靜態條碼介質顯著位置明顯展示收款方資訊,便於使用者核對。五是通過風險防範能力分級管理,進一步規範使用靜態條碼,並鼓勵使用風險防範能力較高的收款掃碼方式。
問:對消費者使用條碼支付付款的交易限額管理是如何統籌考慮的?
答:條碼支付與傳統銀行卡等支付工具相比在交易安全性上存在一定不足,人民銀行堅持條碼支付小額、便民的定位,對條碼支付風險防範能力進行分級。發行條碼的銀行、支付機構應根據風險防範能力等級,在確保風險可控和儘量滿足用戶需求的前提下科學合理設置相匹配的日累計交易限額。
使用動態條碼進行支付的,風險防範能力分級見下表。
風險防範能力
交易驗證方式
交易限額(同一客戶單日累計)
銀行(單個銀行帳戶)
支付機構(所有支付帳戶或快捷支付)
A級
採用包括數位憑證或電子簽名在內的兩類(含)以上有效要素進行驗證
自主約定
自主約定
B級
採用不包括數位憑證、電子簽名在內的兩類(含)以上有效要素進行驗證
5000元
所有支付帳戶5000元
所有快捷支付5000元
C級
採用不足兩類有效要素進行驗證
1000元
所有支付帳戶1000元
所有快捷支付1000元
使用靜態條碼進行支付的,風險防範能力為D級,無論使用何種交易驗證方式,同一客戶單個銀行帳戶或所有支付帳戶、快捷支付單日累計交易金額應不超過500元。
為引導銀行、支付機構提高交易驗證方式的安全性,加強客戶資金安全保護,對於風險防範能力高、交易驗證方式更為安全的,不設定額度上限,市場主體可與客戶自行約定交易限額。基於防替換、防盜刷等安全因素角度考慮,要求銀行、支付機構使用靜態條碼支付時要執行更加嚴格的限額管理措施,以鼓勵市場主體採用更為安全的動態條碼提供支付服務。依據主要市場機構條碼支付交易資料顯示,上述額度已覆蓋絕大部分使用條碼支付付款客戶及商戶的需求。
問:對特約商戶受理條碼支付進行收款都有哪些具體要求?
答:加強對條碼支付特約商戶管理的目的在於排除風險商戶,防範和遏制不法分子利用條碼支付業務隱藏木馬病毒、進行洗錢、欺詐等犯罪活動,更好地維護條碼支付業務參與各方的合法權益。考慮到條碼支付業務涉及銀行帳戶和支付帳戶,且可應用于網路特約商戶和實體特約商戶,為保持監管制度和標準的一致性,我們遵循銀行卡收單業務管理的相關要求,從條碼支付特約商戶拓展、特約商戶審批、特約商戶資訊留存及管理、黑名單管理、實體商戶屬地化管理、外包業務管理等方面明確了具體的管理要求。同時,為了兼顧小微商戶受理條碼支付的需求,促進普惠金融發展,明確在符合相關資質審核和認定的前提下,小微商戶可以受理條碼支付;同時,為了防範套現等交易風險,對以同一個身份證件在同一家收單機構辦理的全部小微商戶基於信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元,但受理基於借記卡的條碼支付不受收款額度的限制。
瞭解更多金融行業相關資訊,請關注徽信公號支付百科(ID:Paypedia)