金评媒(http://www.jpm.cn)编者按:2017年12月27日,人民银行发布了《中国人民银行关于印发的通知》(银发〔2017〕296号), 业务规范自2018年4月1日起实施,自此包括二维码的条码支付的合法地位终于被明确。
金评媒(http://www.jpm.cn)编者按:2017年12月27日,人民银行发布了《中国人民银行关于印发<条码支付业务规范(试行)>的通知》(银发〔2017〕296号), 业务规范自2018年4月1日起实施,自此包括二维码的条码支付的合法地位终于被明确。
回顾官方的认可历程,条码支付也是经历了不小的波折。
2014年3月,央行发函叫停支付宝和腾讯的虚拟信用卡产品,同时条码、二维码等面对面支付服务也被牵连叫停。按照央行当时的说法,二维码支付的安全性尚存质疑,存在一定支付风险隐患;虚拟信用卡在客户身份识别、信息安全方面尚待进一步研究。 2016年7月初,有媒体报道称央行已发文确认二维码支付市场地位,定位与传统线下银行卡支付业务补充。但始终没有官方文件确认。 2016年8月3日央行牵头中国支付清算协会下发了《条码支付业务规范 (征求意见稿)》,这份文件旨在规范线下二维码支付业务经营行为,这意味着在裸奔了两年后,央行终于承认了二维码支付的地位。
征求意见稿也是蛰伏一年后终于定稿颁布了。此次正式发出的业务规范原则上与之前的征求意见稿一脉相承,体现了通过划分支付限额等级、强制验证及资质、规范用户信息使用以及外包服务限制等确保条码支付的安全性要求。与征求意见稿相比,业务规范的几项主要变动如下:
1、证券化业务禁止
明确禁止支付机构利用条码从事或变相从事证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。
2、限额管理的调整
对于大家普遍关系的个人客户限额管理的规定,条码支付的个人客户限额管理从征求意见稿的三级划分变更为四级划分,增加了仅使用静态条码的D级风险防范,D级属于安全最低等级,要求同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。
同时删除了针对低级风险的情况下要求支付机构承诺无条件金额承担此类交易的风险损失赔付责任的规定。
3、客户支付风险提示要求
增加在条码生成、识读、支付等核心业务流程中必须明确提示客户支付风险。
4、用户信息保护
增加要求银行、支付机构应按照中国人民银行相关规定强化支付敏感信息内控管理和安全防护,强化交易密码保护机制;通过支付标记化技术应用等手段,从源头控制信息泄露和欺诈交易风险。
同时,删除征求意见稿中曾经规定的: “对于移动终端间的小额转账业务,付款方完成扫码后,移动终端应回显隐去姓氏的收款方姓名,供付款方确认”。统一适用所有扫描结果都不得显示付款人的支付敏感信息。
5、增加了针对小微商户的特殊规定
小微商户定义:依据法律法规和相关监管规定免于办理工商注册登记的实体特约商户。
小微商户审核的资料清单: 包括审核商户主要负责人身份证明文件和辅助证明材料。辅助证明材料包括但不限于营业场所租赁协议或者产权证明、集中经营场所管理方出具的证明文件等能够反映小微商户真实、合法从事商品或服务交易活动的材料。
业务额度: 以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元。
6、增加服务外包限制
禁止外包的业务种类:特约商户资质审核、受理协议签订、资金结算、交易处理、风险监测、受理终端主密钥生成和管理、网络支付接口管理、差错和争议处理工作。
要求银行、支付机构与外包服务机构系统应确保外包服务机构无法获取或者接触支付敏感信息、不得从事或者变相从事特约商户资金结算。
7、增加支付敏感信息定义
支付敏感信息,是指一旦遭到泄露或修改,会对标识的信息主体的信息安全和资金安全造成危害的信息。包括但不限于支付密码、银行卡密码、验证码、卡片有效期、生物特征以及未获客户授权的金融信息。