>> 返回新闻中心
央行发布国内移动支付综合评估报告
近年来,全球范围内信息技术创新加快,新技术与金融的融合发展所带来的新产品、新服务不断涌现。党中央、国务院高度重视信息消费,国发[2013]32号文件部署了关于促进信息消费扩大内需的若干意见。与此同时,电子商务依托互联网平台和支付手段的创新而取得空前的发展,极大地改变着现代人的生活模式。继电子支付和网络银行之后,移动支付无疑是支付手段的又一次创新,这种主要以手机等移动通信设备的安全模块(SE:Security Element)为用户账户、身份认证等敏感数据的存储载体,利用线上移动通信网络或线下POS、ATM等受理终端,实现不同账户之间的资产转移或支付行为,使得支付行为彻底实现随时随地、随心所欲,给用户带来全新的消费支付体验。
一、发展现状与制约因素
移动支付业务作为一种安全、快捷的新兴支付方式,其良好的发展前景获得了产业各方的认可。目前,国际、国内基于移动支付的近场支付(NFC:Near Field Communication)创新取得了积极进展,美国、法国、日本、韩国、新加坡等国家陆续开展了移动支付的近场应用,美国的Google Wallet 应用,将安全芯片(SE)置于定制手机中,以非接触(NFC)方式实现快速支付;法国的移动通信运营商在SIM卡上发行用于现场小额支付的自有账户,满足手机用户的购物、乘车等需要。国内三大运营商各自建立了自己的移动支付可信服务平台(TSM: Trusted Service Manager) , 提供不同行业的支付应用(例如金融、公交等);中国银联与部分商业银行也建设了TSM,向合作的运营商提供金融支付应用。
但由于移动支付技术方案的多样性、安全载体和通信网络的开放性、业务流程的复杂性,不同TSM之间的互联互通存在障碍,亟需构建安全可信生态环境以促进移动支付产业健康有序发展。而且,诸多制约移动支付市场发展的因素客观存在,例如NFC手机品种相对单一、SE芯片的制作成本偏高、支持闪付的终端机数量有待进一步扩展、NFC应用数量较少等。激活移动支付市场,吸引更多的人使用移动支付(尤其是近场支付)业务,需要整个产业链(芯片商、卡商、手机厂商、TSM运营方、应用服务提供商等)的高效合作。
因此,构建国家级移动支付公共服务平台意义重大,承载着安全可信、资源整合优化、业务统一监管的职责,不仅服务于电子现金、借记应用、贷记应用等金融应用,还可服务于预付费卡、公交、优惠券等其他行业应用(见图1)。
图1 移动支付公共服务平台业务范围
为更好地促进移动支付向服务更加丰富、应用更加广泛、功能更加强大的移动金融普惠方向发展,中国人民银行正在加快建设国家级金融基础设施---移动支付安全可信公共服务平台,解决跨机构间应用共享、实体互信、系统互通等问题,金融信息中心负责该平台的运营。
移动支付公共服务平台的核心目标是实现移动支付“联网通用、安全可信”。以公共服务平台为核心的移动支付技术体系(如图2)可向参与者提供SE的可信管理、应用生命周期管理、跨平台应用共享等服务。公共服务平台“安全可信、联网通用”的目标主要基于以下方式实现:通过建设统一的CA及密钥管理系统,实现不同参与者、手机终端SE及公共服务平台之间的身份认证;通过建立全局路由表,实现不同TSM平台之间的应用共享。
图2 移动支付技术体系架构
三、移动支付公共服务平台的运营模式探索
移动支付业务的典型流程为:TSM发行方向手机用户发行SE,并进行合法性验证;公共服务平台通过应用注册和合法性数字签名后应用可上线;手机SE在公共服务平台注册激活;TSM运行方对其进行身份验证;手机SE的FCSD安全域进行合法性检查;应用提供方进行应用的个人化,向SE加载用户个人信息及银行卡信息;用户即可进行手机支付(见图3)。
图 3 移动支付的典型业务流程
在此业务流程中,公共服务平台处于整个交易的中心,公共服务平台的安全稳定有效运营举足轻重。金融信息中心对公共服务平台的运营进行了大量的研究和探索,注重运营环节的合规化管理,确保平台的安全性、可靠性与兼容性,运营模式主要分为五大模块:机构注册、支付应用生命周期管理、应用共享、SE可信管理模块和证书与密钥管理。
1.机构注册
公共服务平台的直接参与者为发行方TSM系统、应用提供方TSM系统、SE的检测及认证机构、应用的检测及认证机构。TSM发行方、应用提供方和检测机构等参与者通过注册接入移动支付公共服务平台,各参与者的申请流程类似,以下以TSM发行方为例,说明其注册流程(如图4所示):
图4 TSM发行方的注册流程图
2.支付应用生命周期管理
支付应用是内置于SE中并基于支付账户实现支付功能的软件实体,在移动支付网络中应具有一致性、完整性和生命周期完备性。为保证应用符合标准、安全通用,公共服务平台为支付应用分配唯一的PAID,作为在金融网络唯一身份标识,具有该标识的支付应用才可以上线发布,支付应用的生命周期管理见图5。
图5 支付应用的生命周期管理
3.应用共享
公共服务平台维护全局应用注册表,负责注册表的建立、发布和更新。该注册表登记了通过注册后的所有应用的基本信息和当前状态。同时,通过其维护的全局应用注册表来提供应用全网查询服务,保证用户在任何情况下都能够无差别的获取到可用的全网应用信息。此外,公共服务平台作为中心节点,维持着和全网各个TSM平台的链路连接和路由关系,实现应用全网下载。
4.SE可信管理模块
安全单元(SE)是移动支付可信服务管理系统功能的承载端,存储基础配置并提供管理功能,配合公共服务平台和TSM平台实现相关的安全可信服务。公共服务平台的SE可信管理模块具备以下管理功能:PAMID管理、SE检测备案、SE发放、SE金融功能开通、SE重置、SE锁定/解锁、SE挂起/解挂、SE终止、SE合法性及持有人身份验证和SE状态维护等。
5.数字证书和密钥管理
通过数字证书与密钥管理,实现移动支付应用安全身份认证,同时为移动支付相关平台提供证书服务并对外提供数字证书状态查询。
四、构建安全可信移动支付公共服务平台的建议
金融信息化是促进国民经济持续发展和应对入世挑战的现实需要,移动支付与网络银行在金融信息化与电子商务中占有重要地位,而构建安全可信的移动支付公共服务平台关乎整个移动支付产业发展全局,亟需加强行业引导和扶持。
一是营造安全可信的信息消费基础环境。做好信息消费的顶层设计,顺应市场发展的趋势和消费需求的需要,积极推进身份认证、网站认证和电子签名等基础性的网络互信服务;同时,从保护消费者权益角度出发,积极推动出台移动支付TSM平台相关的监管制度规范市场有序发展。
二是贯彻执行移动支付市场参与方技术标准。积极引导市场参与方在建设环节贯彻标准,实现与公共服务平台的互联互通,以保证用户在安全稳定的环境下使用移动支付业务。可通过发放运营许可,允许企业级TSM平台接入移动支付公共服务平台并向社会公众提供移动支付服务,从而实现对移动支付市场的统一规范管理。
三是促进产业发展联盟的形成。移动支付的产业链较长,需要参与各方的有效配合才能激活市场,例如可在业务管理部门的统一组织与指导下,考虑建立由TSM发行方、应用提供方、手机厂商、芯片厂商共同参与的产业发展联盟,制定产业发展规划,明确责任与分工,明确商务发展模式,找准定位,形成市场合力。
四是加大政策与资金的扶持力度,营造有利于移动支付可持续发展的生态环境。加快受理终端的改造进度,因为它是实现NFC应用大规模推广的前提;推出更多款型的NFC手机,让用户有更多的选择;对于应用提供商,需要推出多样化的支付应用(电子现金、借记、贷记、公交、电影卡、预付费卡、优惠券、积分卡等),以更好的吸引消费者。
综上,移动支付作为金融服务民生的一条新途径,契合国家加快信息消费的政策和居民消费升级的新阶段,具有良好的发展基础和巨大的发展潜力。金融信息中心将积极探索移动支付公共平台的运营模式,为社会公众和机构提供完备、丰富的服务,为广大手机用户提供一个安全、快捷的移动支付环境,推动移动支付产业规范有序发展,从而有效促进内需,催生新的经济增长点,促进消费升级、产业转型和民生改善。
