近日,人民银行发布了《中国人民银行关于印发条码支付业务规范(试行)的通知》(银发〔2017〕296号),配套印发《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号发布),自2018年4月1日起实施。
近日,人民银行发布了《中国人民银行关于印发条码支付业务规范(试行)的通知》(银发〔2017〕296号),配套印发《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号发布),自2018年4月1日起实施。
尤其是对于静态扫码,央行明确了条码支付小额、便民的定位,对条码支付根据技术安全等级的不同进行交易限额。无论银行还是支付机构,对于动态条码,如果采用包括数字证书或电子签名在内的两类(含)以上有效要素进行验证的话,单日交易限额可以与客户自主约定。而静态条码支付的无论何种交易验证方式,单日均不超过500元。
当然央行这么做也是有一定的道理的,北京网络法学研究会副秘书长赵繇表示,市场统计表明,条码支付业务量的95%是单笔500元以下的小额交易,2017年上半年笔均百元左右。静态扫码500元的限额要求,基本满足了用户日常生活中的便捷支付需求。因为二维码支付已经渗透到生活的方方面面,但二维码支付背后仍存在诸多乱象,用户资金被盗刷、手机扫码中毒等乱象时有发生。
支付场景中的“主扫”和“被扫”哪个安全系数更高?
从现阶段用户对于线下支付的习惯来说,商家和用户之间的支付行为都停留在“主扫”和“被扫”中间,因为“主扫”行为的实施,对于商家来说更为廉价,所以在大小商户粘贴二维码的同时也培养了用户在支付场景中的“主扫”习惯,而“被扫”呢?由于商家需要个相关的支付机构签约,购买一定的支付机器,所以在支付场景中,“被扫”是一直被用户和商家了冷落的支付习惯,有的用户到现在甚至都不知道“被扫”怎么用来支付。
不过不管是“主扫”还是“被扫”都是存在一定的风险的,央行明确指出,条码支付有一定技术风险。由于条码是图形显示,不法分子可以通过截屏、偷拍等手段盗取支付凭证盗用资金;此外,条码容易携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息。一些不法分子实施“中间人攻击”,绕过身份认证机制,造成用户资金损失。扫码设备安全强度低不具备加密、防拆机等功能,易被不法分子非法改装使用。
当然相比用户主动扫码(主扫)和出示付款码被扫付款(被扫)模式,被扫的安全性相对更高,综合安全和便捷因素,在对静态条码做出一些技术要求之外,央行通过对静态条码限额方式,引导用户更多使用被扫模式,但对于小微商户广泛使用的主扫模式也并未完全限制。
既然有问题为何央行现在才出手规范呢?
中国人民大学重阳金融研究院高级研究员董希淼表示:
从技术层面看,二维码通过几何图形来记录数据和储存信息,这样的功能也可能携带非法链接或代码。如果二维码支付终端缺乏识别与拦截功能,就可能产生安全漏洞和隐患。而二维码本身的可视化特性,在互联网环境下以图形化方式传输,容易受到攻击,容易传播木马、病毒,造成用户资金损失和信息泄露。
从市场层面看,由于看到条码支付在零售支付领域的巨大发展空间,部分支付机构在拓展业务时,通过不当的交叉补贴、不计成本的低价倾销等手段,甚至滥用本机构及关联企业的市场优势地位,排除和限制支付服务竞争,导致行业无序发展和不公平竞争,不但扰乱了市场秩序,也影响支付市场长远健康发展。
从合规层面看,部分市场机构片面追求业务发展速度,在业务拓展过程中未履行“了解你的客户”义务,违规发展商户,加剧了套现、二清以及外包管理不到位等收单乱象,带来各类安全隐患。部分机构的跨行交易时未通过央行跨行清算系统或清算机构,而是直连处理条码支付业务,变相实现跨行清算的功能。
因此,央行在这样的时候果断出手,在充分调研、研讨的基础上,出台关于条码支付完整的业务规范和技术规范。其本意是为条码支付建章立制,明确其小额、便民的定位,既鼓励创新又加强管理,从而更好地保护消费者合法权益,促进市场健康可持续发展。
央行的铁腕政策,谁的受益最大呢?
银联:对于央行的此举做法,人们首先会想到银联将会是这场新规中的最大受益者,而且信用卡行业研究人士也表示,多年从事独立的信用卡与支付产业研究的专家董峥告诉新浪科技,针对扫码支付的规范早应该出台了,央行的新规对用户无甚影响,但将约束第三方支付公司,而有利于银联扫码支付。
但真的如此吗?
首先从支付习惯上说,用户在微信、支付宝、银联三巨头中,首先选用的是微信、其次是支付宝至于银联扫码支付,份额少的更是可怕,就拿支付宝和微信来说,在用户数据上都是一个小数目,但在用户活跃度上,微信却高于支付宝,而近期支付宝为了盘活用户数据,花重金去打造的“红包支付”场景,无疑给微信带来了不小的影响,但这种用红包诱发的支付场景究竟能维系多久,现在还很难预料,毕竟微信有着天然的社交优势,用户在聊天交流的时候也加重了微信在用户心中存留的频次,在触发支付场景的时候自然首先想到的是微信,因为微信本是就是打开的,而支付宝还需专门打开用来支付,这不符合人们对于行为习惯的简化思维。
而至于银联支付,我想即使是央行限额了,用户对于银联的依赖依然很少,因为在支付场景中,银联可以匹配的支付对象很少,即使你可以进行银联支付,但商家未必支持,这样的话用户宁愿去银行取钱也不愿意通过银联去和商家做碰运气的行为,因为如果商家不支持,用户还的去银行取钱,反而不如直接去银行取钱和商家支付,更何况从用户对支付宝和微信的支付额度上看,500元的限额可以足够满足很多线下小场景的使用,真的需要大笔费用,用户也会采取直接刷卡和加好友转账的行为,所以央行的此次规定对银联是有利,但却远远没有达到颠覆支付格局的地步。
支付宝和微信:对于此次限额很多人认为对支付宝和微信的伤害最大,从限额政策上看,确实是给微信和支付宝加上了支付屏障,但从长远来看,却是给微信和支付宝的一次安全变革。
从目前的支付场景来看,小商家对于央行的限额可以说影响不大,因为从商家本身的商品价值来看,很难让用户触及到500元的限额;对于大商家来说,为了迎合消费场景,会主动和相关支付机构签约,以完整自己的支付场景。当然从用户体量上看,商家选择支付机构时,会更加的倾向于支付宝和微信,因为市场本身会追逐最大的客户群体和目标用户,当人们更习惯使用支付宝和微信支付的时候,商家自然会选择这二者进行签约。
而且从“主扫”和“被扫”的安全系数上看,“被扫”的安全系数更高,商家在搭建“被扫”支付手段的时候,也在无意间提高了用户在支付场景中的安全级别,在保障支付安全的同时也构建了安全的支付环境,这对支付宝和微信来说无疑是一次安全的支付推广。
用户:对于用户而言,显然500元的静态扫码限额消费会有一定的影响,因为用户在线下支付场景中的消费,单笔也许很难突破500元,但如果累积的话单日消费突破500元的还是常有的情况,这样的话消费者在线下场景消费的时候,就会优先选用支持“被扫”支付的商家,同时对于用户支付习惯的话也是一种改变。
但从长远来看,“被扫”的安全场景会大大提高对用户的财产安全保护,这对于用户来说无疑是一次重大的安全变革,况且新规是明年4月1日才开始实行,这段时间商家完全有时间去构建自己的“被扫”支付场景,一旦支付场景完善了,那500元的静态支付限额其实就是就是一次用户安全支付场景的“催化剂”。
而其值得注意的是,针对此次央行发布的条码支付业务规范,27日晚间,腾讯方面表示,正在组织相关团队学习消化这一通知,“我们也在收集用户和商户的实际需求,同时积极研发新技术以及探索新技术应用于条码支付领域的可行性。”公开资料显示,拥有央行第三方支付牌照的腾讯财付通目前旗下有微信支付、QQ钱包两大产品,用户数已超过8亿,日均交易笔数已超过6亿笔。
支付宝方面表示,高度认同央行为规范条码支付所作出的努力,支付宝非常关注并正在组织团队认真学习这一通知,会持续收集用户和商户的实际需求,积极研发新技术以及探索新技术应用于条码支付领域的可行性。
支付宝和微信的双双举手赞同其实也给我们透漏了一个支付红利讯息,二者在积极研究新技术以及探索新技术应用于条码支付领域的时候,势必会迎来新一轮的支付争夺大战,当然新技术是在被市场允许的情况下。一旦新技术成熟,无论是支付宝还是微信为了用户的支付很可能会掀起新一轮的“补贴支付大战”,而用户在二者的鹬蚌相争中,无疑是渔翁得利的最有权威代言人。