>> 返回新闻中心
央行将放开订单类二维码支付 正在研究是否纳入收单管理
近期,被央行暂停将近半年的二维码支付市场暗流涌动。
8月中旬,微信发布最新升级版本的功能中,扫二维码“面对面收钱”功能引起市场对其重启二维码支付业务的猜测;有消息称邮储银行在全国范围内正式推出二维码支付,部分分行已推出话费充值业务……尽管涉事各方均不愿过多回应,但第三方支付、银行等诸多动作试探监管底线的意味甚浓。
与此同时,监管层也在抓紧对二维码支付业务的调研。《中国经营报》记者获悉,自今年3月央行暂停二维码支付业务后,中国支付清算协会受央行委托,牵头组织银行、第三方支付机构、银联等机构完成了针对二维码支付的安全性分析报告初稿(下称报告初稿),并提出二维码支付存在的安全风险及防范建议。
其中,该报告初稿认为二维码支付属于移动支付的一种,二维码支付宜遵循移动支付的相关法律法规,尤其是交易限额要求;在遵循相关防范建议并进行适当额度控制的情况下,二维码支付的安全性是可控的。
随着第三方支付、银行抓紧布局二维码支付,以及相关各方对二维码支付安全风险分析不断深入,监管层的监管思路也在发生微妙变化。
记者从相关渠道了解到,央行内部已对二维码支付业务监管进行讨论,初步想法是根据风险高低程度,有顺序、分阶段地放开二维码支付业务,最先放开订单类应用场景的二维码支付在央行内部获得默许。
“目前对二维码支付的监管不应操之过急,报告初稿中对二维码支付风险防范建议的结论仍需要检测,央行对二维码支付的监管思路也需要再论证。”央行一位知情人士称。
订单类二维码料最先放行
今年3月,出于风险考虑,央行暂停二维码支付业务,同时被暂停的还有虚拟信用卡。
在暂停上述两项业务后央行有关负责人在答记者问中表示,央行将会同各方从多方面进行充分论证,以安全为底线,支持有关支付机构在进一步完善业务流程和规则、保护支付资金安全等基础上,按照试点先行的原则开办相关业务,以维护支付市场健康有序发展。
央行关于“按照试点先行的原则开办相关业务”的表态实际上已经为后续监管埋下伏笔。
随后支付清算协会受央行委托,组织相关成员单位对二维码支付展开研讨,听取了来自银联、银行及第三方支付机构的意见,最终形成针对二维码支付业务技术安全分析报告初稿。
通过前期安全论证和风险分析,央行的监管思路也逐渐明晰。本报记者获悉,央行初步考虑将根据风险高低程度,有顺序、分阶段地放开二维码支付业务。
上述知情人士称,央行的态度是最先放开订单类应用场景的二维码支付,对账户类应用场景的二维码支付持谨慎态度。“但目前已有个别支付机构推出了账户类二维码支付业务,且该业务可以进行实际操作,央行正在密切关注。”
当前,国内市场上各家机构对二维码使用的尝试和广度差异较大,所推出的二维码支付业务实际上也各不相同,亟须进一步厘清二维码支付的不同应用场景和不同模式。
报告初稿中对目前市场上的二维码支付模式进行了分类。按照扫码动作的发起者划分,二维码支付模式可以分为主读模式(用户主动扫描商户的二维码)和被读模式(用户展示二维码被商家扫描);按照交易的流转过程可以分为纯线上和线上线下相结合两种支付业务模式。
同时,根据二维码承载信息的不同,目前市场上的二维码支付业务可分为订单类、账户类和商品信息类三种应用场景。
其中,订单类二维码承载的信息是商户端生成的订单信息;账户类二维码是作为账户信息的载体;商品信息类二维码则保存商品相关的信息,属于二维码支付的导流环节。
一般而言,订单类二维码和商品信息类二维码对应主读模式,账户类既可以用于主读模式也可以用于被读模式。
举例来说,订单类二维码主读模式下,根据是否涉及实体商户而有不同,如果涉及实体商户,即消费者读取实体商户端展示的订单二维码完成交易的流程;如果不涉及实体商户时是网页版商城订单支付转手机支付,该业务模式属于纯线上的业务。支付宝、财付通、工商银行等机构已有订单类二维码相关产品。
账户类二维码分为主读模式和被读模式,前者允许消费者扫描商户账户二维码,完成消费者指定金额的线下交易,或者个人扫描其他个人账户二维码,完成付款人指定金额的线上转账交易或完成收款人指定金额的线上转账交易;后者则是商户扫描用户的二维码,完成交易扣款。支付宝、财付通、天翼电子商务、中国银行已有账户类二维码相关产品。
“订单类二维码和账户类二维码最大区别在于,订单类二维码并未储存用户银行账户信息,而是扫码该订单二维码后,让用户到支付后台查询该订单后再在手机上确认付款。而账户类应用场景中生成的二维码则会直接读取用户银行账户/卡信息甚至安全认证信息,风险比订单类账户要相对大一些。”上述知情人士表示。
建议进行交易限额控制
尽管二维码在零售业、物流业等领域早有广泛应用,但从全球范围内来看,各国对二维码支付在金融领域的应用较为谨慎。
一位第三方支付机构人士告诉记者,二维码目前已经成为移动互联网的重要入口之一,除了支付方面,在微博、微信等社交平台上都有广泛应用。二维码目前面临的主要风险是不法分子利用二维码暗藏木马链接,诱骗消费者扫码后在消费者手机上植入木马程序。
“暂停发展二维码支付并不能完全解决二维码风险的问题,因为扫码添加微信好友、关注微信公众号、购买商品等应用已经非常普遍,不法分子以这些名义一样能够达到目的。”上述第三方支付机构人士认为,“对于消费者来说,可以通过以下方式避免风险:不管是线上还是线下,不扫描陌生人或不可信的网站或店铺里的二维码;扫描二维码如果出现了以.apk结尾需要授权安装的文件,一定不要同意安装,以免手机中木马造成危害。”
目前报告初稿认为,二维码支付主要有两大类风险隐患:一是二维码技术使用不当引起的安全风险;二是二维码支付体系的安全风险。两大类风险隐患中又细分为11类风险。其中,首类风险包括二维码信息泄露风险、信息被篡改风险、木马病毒风险、信息复制风险、钓鱼风险等。
“二维码支付有两个关键环节,即二维码信息存储和二维码信息读取,这两个环节使用不当会隐藏风险。”某国有银行电子银行部人士表示。
该人士分析,如果二维码内明码存储用户身份信息、银行账户/卡信息、安全认证信息等敏感信息,不法分子有可能篡改相应交易数据或信息;即使二维码信息采用加密技术,恶意二维码扫描软件也能以钓鱼等方式诱骗用户进入虚假支付流程或填写安全认证信息,导致敏感信息泄露。
据悉,针对上述二维码支付存在的风险隐患,支付清算协会与业界沟通后提出诸多风险防范建议。比如对于二维码信息存储,建议二维码中不允许存储任何与用户和账户相关的敏感信息;二维码中保存的信息必须采取足够强度的加密手段,并采用相应的技术手段保证信息不可篡改。
报告初稿还认为,作为一种新型的移动支付方式,二维码支付安全性及风险级别应向移动支付看齐,应遵守与移动支付相一致的交易限额控制标准。此外,对于二维码用于线下支付,如在账户类被读支付场景下的二维码支付,报告初稿认为这种应用场景与传统的POS机刷银行卡收单高度类似。
“在目前市场已推出或者开发的二维码支付产品中,大部分产品的交易流转过程实际属于线上线下相结合,而二维码用于线下支付实际上已是一种线下刷‘账户’的消费行为,未来是否需遵守线下收单业务管理规定,以及与支付机构是否存在超范围经营等问题,还需要监管层进一步研究。”上述知情人士称。