日前, 人民銀行發佈《中國人民銀行關於印發<條碼支付業務規範(試行)>的通知》(下簡稱《通知》), 配套印發了《條碼支付安全技術規範(試行)》和《條碼支付受理終端技術規範(試行)》, 自2018年4月1日起實施。
何為條碼支付?
條碼包括我們常用的二維碼, 作為一種可以完全暴露的圖形載體, 通常顯示在各種媒介上, 包括印刷材料或者是網頁介面。 它比普通條碼具有更多的優勢, 如數據存儲量大、糾錯能力強、反應更敏捷等。
所謂的條碼支付, 是指銀行或支付機構應用條碼技術, 實現收款人、付款人之間貨幣資金轉移的業務活動, 包括付款掃碼和收款掃碼兩種方式。
在我國, 近年來隨著智慧手機不斷普及, 以二維碼為代表的條碼與智慧手機結合, 發展成為一種新的承載和轉換資料方式。 這種方式被銀行業金融機構或非銀行支付機構使用後, 探索出一種新的支付模式,
出門打車, 掏出手機掃一掃車上的二維碼, 輕鬆支付車費;下館子吃飯, 手機上的二維碼被收銀員掃碼槍掃了後, 立馬埋單走人……掃碼支付手段, 已經飛入尋常百姓家。
條碼支付便民, 但問題不少
近年來條碼支付業務快速發展,
同時, 條碼支付的技術實現方式和業務風險相對傳統銀行卡支付具有其特殊性, 部分市場機構在業務開展中也存在擾亂公平競爭秩序、支付風險防範不到位等問題。
支付機構應取得相應資質
在業務規範方面, 銀行業金融機構、非銀行支付機構開展條碼支付業務涉及跨行交易時, 必須通過人民銀行清算系統或者合法清算機構處理, 支付機構還應符合相應的業務資質要求。
通知要求, 非銀行支付機構(以下簡稱支付機構)向客戶提供基於條碼技術的付款服務的, 應當取得網路支付業務許可;支付機構為實體特約商戶和網路特約商戶提供條碼支付收單服務的,
銀行業金融機構(以下簡稱銀行)、支付機構開展條碼支付業務涉及跨行交易時, 應當通過人民銀行跨行清算系統或者具備合法資質的清算機構處理。
自通知發佈之日起, 銀行、支付機構不得新增不同法人機構間直連處理條碼支付業務;存量業務應按照人民銀行有關規定加快遷移到合法清算機構處理。
對條碼支付額度進行分級管理
為消費者提供條碼支付付款服務的, 應當立足於小額、便民市場定位, 按照風險防範能力等級, 對條碼支付額度進行分級管理, 在風險防範和支付便捷中取得有效平衡。
為特約商戶提供條碼支付收單服務的, 應執行銀行卡收單業務管理相關要求, 切實履行商戶管理、交易風險監測等收單主體責任, 強化對收單外包機構管理。
加強條碼支付技術風險防控
在技術規範方面,銀行業金融機構、非銀行支付機構和清算機構要加強條碼支付技術風險防控,合理運用支付標記化、可信執行環境、條碼防偽識別等手段,提升條碼支付用戶端軟體安全防護能力,規範條碼支付交易報文管理,保障交易資訊的真實性、完整性、一致性、可追溯性,構建以受理終端註冊、大資料分析為基礎的條碼支付創新風險管理機制。
要加強標準落地實施,強化條碼支付產品品質和安全管理,提升條碼支付產品的技術標準符合性和安全性,切實保障金融消費者的財產安全和合法權益。
微信錢包掃描靜態條碼支付
單日支付上限不超過500元
新規的重點之一是強調業務資質要求。
明確支付機構向客戶提供基於條碼的付款服務時,應取得網路支付業務許可;支付機構為實體特約商戶和網路特約商戶提供條碼支付收單服務的,應當分別取得銀行卡收單業務許可和網路支付業務許可。
條碼付款令大家支付更加便捷。網路圖
新規指出,銀行、支付機構應根據《條碼支付安全技術規範(試行)》(銀辦發〔2017〕242號)關於風險防範能力的分級,對個人客戶的條碼支付業務進行限額管理。
具體而言,將二維碼的風險防範能力從高到低分為A、B、C、D四級,風險防範等級越高,單日支付限額就越高。
其中靜態條碼支付:
由於易被篡改和攜帶木馬或病毒,支付風險最高,風險防範等級最低,為D級,無論使用何種交易驗證方式,同一客戶單個銀行帳戶或所有支付帳戶、快捷支付單日累計交易金額不超過500元。
對於動態條碼支付:
如果採用數位憑證或電子簽名的兩種以上有效要素(如指紋等),風險防範能力A級,單日支付限額不受額度限制,可由銀行或支付機構自主約定;
如果採用不包括數位憑證、電子簽名在內的兩類(含)以上有效要素進行驗證,風險防範能力為B級,單日支付限額為5000元;
採用不足兩類有效要素進行驗證的,風險防範能力為C級,單日支付限額1000元。
靜態條碼目前被認為是風險最大的支付領域之一。除了限額管理外,新規還提出了一系列防範靜態條碼風險的措施:
一是要求靜態條碼應由後臺伺服器加密生成,宜採用防偽紙張展示條碼,防偽紙張應具備一定防偽特徵
二是要求展示靜態條碼的介質應放置在商戶收銀員視線範圍內,商戶應定期對介質進行檢查
三是要求靜態條碼採用防護罩等物理防護手段避免被覆蓋或替換,宜使用防偽標籤對防護罩進行標記
四是要求在靜態條碼介質顯著位置明顯展示收款方資訊,便於使用者核對
五是通過風險防範能力分級管理,進一步規範使用靜態條碼,並鼓勵使用風險防範能力較高的收款掃碼方式
央行有關負責人表示,鼓勵採用更為安全的動態條碼提供支付服務。依據主要市場機構條碼支付交易資料,上述額度已覆蓋絕大部分使用條碼支付付款客戶及商戶需求。
動態條碼相對靜態條碼更加安全。網路圖
專家:消費者街頭掃碼小額支付不受影響
條碼支付規範自2018年4月1日起實施。
中國人民大學重陽金融研究院高級研究員董希淼舉例說,新要求實施後,消費者在街頭掃商販的靜態條碼小額支付不受影響,也不影響商販收款。如果在飯店裡吃了頓600元大餐,掃靜態條碼付款就有點困難了,不過可以讓收銀員掃消費者手機上生成的動態條碼,這樣其實更安全。
小貼士:掃碼騙局要當心
此前有不少案例利用的就是當下掃碼的一些缺陷和漏洞。
1、靜態條碼被“調包”
共用單車上被掉包的二維碼。網路圖
2017年3月,江某誤掃了共用單車上被掉包的二維碼,將99元押金轉入不法分子帳戶,無法追回。目前,部分特約商戶(小微商戶)用靜態條碼作為收款碼,但靜態條碼容易被調換,如果掃描不法分子調換的條碼支付,資金將付給不法分子,導致商戶無法收到錢款。
2、利用收款碼偽造交通罰單等
之前各地曾出現過的偽造罰款單。網路圖
2017年3月,南京的鄒先生在車上發現一張違停罰單,並附有二維碼“掃碼可繳費”。掃描二維碼後顯示“違章處理,轉帳200元,點擊確認”。核實發現是假罰單。
3、嵌入木馬,掃碼被盜刷或竊取信息
近期“清理僵屍粉”騙局也利用了二維碼嵌入病毒木馬。網路圖
不法分子將木馬病毒程式嵌入到其生成的條碼當中,一旦誤掃了此類條碼,手機就可能中毒或被他人控制,導致帳戶資金被盜刷、個人敏感資訊洩露等風險問題發生。近期“清理僵屍粉”騙局也屬於這種類型。
4、誘騙消費者發送付款碼後盜刷
不法分子以金錢或物質獎勵、優惠等誘導消費者向其發送付款碼,之後迅速實施盜刷。2016年8月,參加了“集贊送禮品”活動的雲南楊小姐聯繫商家換取獎品,商家不斷要求楊小姐發送付款碼,最終成功盜取了其帳戶資金。
5、利用小禮品等獎勵誘導掃碼註冊
不法分子採用贈送小禮品的方式,誘導消費者掃描二維碼並在註冊頁面填寫姓名、手機號、身份證號等相關資訊,隨後將個人身份資訊轉賣獲利。
在技術規範方面,銀行業金融機構、非銀行支付機構和清算機構要加強條碼支付技術風險防控,合理運用支付標記化、可信執行環境、條碼防偽識別等手段,提升條碼支付用戶端軟體安全防護能力,規範條碼支付交易報文管理,保障交易資訊的真實性、完整性、一致性、可追溯性,構建以受理終端註冊、大資料分析為基礎的條碼支付創新風險管理機制。
要加強標準落地實施,強化條碼支付產品品質和安全管理,提升條碼支付產品的技術標準符合性和安全性,切實保障金融消費者的財產安全和合法權益。
微信錢包掃描靜態條碼支付
單日支付上限不超過500元
新規的重點之一是強調業務資質要求。
明確支付機構向客戶提供基於條碼的付款服務時,應取得網路支付業務許可;支付機構為實體特約商戶和網路特約商戶提供條碼支付收單服務的,應當分別取得銀行卡收單業務許可和網路支付業務許可。
條碼付款令大家支付更加便捷。網路圖
新規指出,銀行、支付機構應根據《條碼支付安全技術規範(試行)》(銀辦發〔2017〕242號)關於風險防範能力的分級,對個人客戶的條碼支付業務進行限額管理。
具體而言,將二維碼的風險防範能力從高到低分為A、B、C、D四級,風險防範等級越高,單日支付限額就越高。
其中靜態條碼支付:
由於易被篡改和攜帶木馬或病毒,支付風險最高,風險防範等級最低,為D級,無論使用何種交易驗證方式,同一客戶單個銀行帳戶或所有支付帳戶、快捷支付單日累計交易金額不超過500元。
對於動態條碼支付:
如果採用數位憑證或電子簽名的兩種以上有效要素(如指紋等),風險防範能力A級,單日支付限額不受額度限制,可由銀行或支付機構自主約定;
如果採用不包括數位憑證、電子簽名在內的兩類(含)以上有效要素進行驗證,風險防範能力為B級,單日支付限額為5000元;
採用不足兩類有效要素進行驗證的,風險防範能力為C級,單日支付限額1000元。
靜態條碼目前被認為是風險最大的支付領域之一。除了限額管理外,新規還提出了一系列防範靜態條碼風險的措施:
一是要求靜態條碼應由後臺伺服器加密生成,宜採用防偽紙張展示條碼,防偽紙張應具備一定防偽特徵
二是要求展示靜態條碼的介質應放置在商戶收銀員視線範圍內,商戶應定期對介質進行檢查
三是要求靜態條碼採用防護罩等物理防護手段避免被覆蓋或替換,宜使用防偽標籤對防護罩進行標記
四是要求在靜態條碼介質顯著位置明顯展示收款方資訊,便於使用者核對
五是通過風險防範能力分級管理,進一步規範使用靜態條碼,並鼓勵使用風險防範能力較高的收款掃碼方式
央行有關負責人表示,鼓勵採用更為安全的動態條碼提供支付服務。依據主要市場機構條碼支付交易資料,上述額度已覆蓋絕大部分使用條碼支付付款客戶及商戶需求。
動態條碼相對靜態條碼更加安全。網路圖
專家:消費者街頭掃碼小額支付不受影響
條碼支付規範自2018年4月1日起實施。
中國人民大學重陽金融研究院高級研究員董希淼舉例說,新要求實施後,消費者在街頭掃商販的靜態條碼小額支付不受影響,也不影響商販收款。如果在飯店裡吃了頓600元大餐,掃靜態條碼付款就有點困難了,不過可以讓收銀員掃消費者手機上生成的動態條碼,這樣其實更安全。
小貼士:掃碼騙局要當心
此前有不少案例利用的就是當下掃碼的一些缺陷和漏洞。
1、靜態條碼被“調包”
共用單車上被掉包的二維碼。網路圖
2017年3月,江某誤掃了共用單車上被掉包的二維碼,將99元押金轉入不法分子帳戶,無法追回。目前,部分特約商戶(小微商戶)用靜態條碼作為收款碼,但靜態條碼容易被調換,如果掃描不法分子調換的條碼支付,資金將付給不法分子,導致商戶無法收到錢款。
2、利用收款碼偽造交通罰單等
之前各地曾出現過的偽造罰款單。網路圖
2017年3月,南京的鄒先生在車上發現一張違停罰單,並附有二維碼“掃碼可繳費”。掃描二維碼後顯示“違章處理,轉帳200元,點擊確認”。核實發現是假罰單。
3、嵌入木馬,掃碼被盜刷或竊取信息
近期“清理僵屍粉”騙局也利用了二維碼嵌入病毒木馬。網路圖
不法分子將木馬病毒程式嵌入到其生成的條碼當中,一旦誤掃了此類條碼,手機就可能中毒或被他人控制,導致帳戶資金被盜刷、個人敏感資訊洩露等風險問題發生。近期“清理僵屍粉”騙局也屬於這種類型。
4、誘騙消費者發送付款碼後盜刷
不法分子以金錢或物質獎勵、優惠等誘導消費者向其發送付款碼,之後迅速實施盜刷。2016年8月,參加了“集贊送禮品”活動的雲南楊小姐聯繫商家換取獎品,商家不斷要求楊小姐發送付款碼,最終成功盜取了其帳戶資金。
5、利用小禮品等獎勵誘導掃碼註冊
不法分子採用贈送小禮品的方式,誘導消費者掃描二維碼並在註冊頁面填寫姓名、手機號、身份證號等相關資訊,隨後將個人身份資訊轉賣獲利。