扫码支付之乱，新规能治吗

用支付宝、微信等应用扫码付款，迎来额度限制，最低等级扫码的单日支付限额为500元。央行近日发布《中国人民银行关于印发〈条码支付业务规范（试行）〉的通知》，从额度、风险防范等多个角度对扫码支付进行了规范。

二维码支付存在哪些安全漏洞？限额能多大程度上保障支付安全？如何尽快转变制作、发布二维码的无序状态？

二维码在支付领域或有“原罪”

车宁（中国农业银行网络金融部员工）

扫码支付的二维码，本质是支持用户在智能终端快速录入数据的工具，其特点在于录入内容在外观上不能为肉眼识别，且是单向信息传送，这是二维码从工业应用母体中所继承而来的先天属性，但在支付领域或成为其不可承受的“原罪”：

从条码来说，伪造、变造二维码没有技术门槛，设备在对信息识别后直接进入处理过程，没有撤回机制。APP为提升客户体验，普遍使用短网址且在浏览中遮蔽地址栏，这就更增加了对病毒等風险发现的难度。

从信息传送来说，扫码支付的两种方式——客户主动扫码和被动扫码在身份识别上都是单方面一次上送二维码信息，为确保交易便捷，支付机构也不愿增加认证通道。在实践中，静态二维码堂而皇之地置于公开场合，在缺乏双向安全认证情况下无异于“裸奔”。

从用卡环境来说，扫码支付在流程上其实是对POS机刷卡的变相模拟，但POS机只具有支付的单一功能且部署了严格的安全认证和密钥体系，而手机系统被Root、越狱后会有病毒感染的可能性，底层数据被打通后还存在权限劫持的风险。

从账务处理来说，扫码支付存在单边账和洗钱套现风险，资金很可能跑出交易闭环，追索难度很大。另外，在扫码支付业务拓展期，支付机构普遍降低了商户准入门槛，留档要求越来越低，费率一降再降，滋生了相当数量的套现甚至诈骗事件，且不易侦测。

从交易流程来说，过去无论线上线下支付，都沿袭商户创建订单，客户确认支付，支付机构后端处理的模式；而扫码支付流程变为支付机构从后端走向前台，参与甚至主导订单的建立，对原来商户-客户二维法律关系进行了颠覆式重整，客观上加重了自身所承担的义务，也给交易带来了新的不稳定性。

上述这些问题，有待从技术和法律两个方向上去解决。

从三方面提升扫码支付的安全

赵之胤（手机支付从业者）

扫码支付的风险并非刚为人所知。早在2014年3月，人民银行就曾向支付宝下发紧急文件叫停线下支付业务，不过后来还是难挡手机支付发展的汹涌趋势，2016年8月，在对业务发展进行规范后，央行又以其下属的支付清算协会名义认可了支付宝线下支付的合法性。

从实践来看，对扫码支付的安全提升主要应从三方面努力：

技术方面，要使用国际芯片卡标准化组织推出的支付标记化技术，通过标记代替银行卡号进行交易验证。另一方面，从基础入手，要求二维码生成须遵守相关部门发布的技术标准并控制生成通道。

模式方面，逐渐用较为安全的客户被扫模式代替粗放低费的客户主扫模式，保证二维码信息生成、传输、解析的真实性和完整性，减少客户中毒、被下木马以及遭遇信息篡改的风险。

制度方面，要引入“你敢付，我敢赔”的保险机制，完善非正常交易损失补偿机制。还应保证对异常交易数据的监控，要求支付双方与移动设备、身份证甚至银行卡绑定，同时要求遵守反洗钱、反欺诈、信息安全和消费者保护等规定。

扫码支付将一个安全上不满足金融交易要求的技术广泛投入到了最高频的应用场景，重安全策略的应用在主打便捷的场景里天然被排斥，因此扫码支付背后蕴藏的“奥秘”是大部分安全策略等同虚置，真正起作用的实际上只有限额。但是当扫码支付从边缘走向主流，不可避免地会扩张业务边界，随着其业务样态越来越复杂，最终交易效率也会被拉到平均水平边缘。可以预见，扫码支付在未来一个时期还会光鲜亮丽，只是在其日渐模糊的面庞后面，我们依稀看见了当年NFC和POS“死在沙滩上”的影子。

看新规如何转变扫码支付的无序状态

肖飒（互联网金融法律专家）

从法律角度加强监管，转变扫码支付的无序状态，自然要认真研读2018年4月1日生效的《条码支付业务规范（试行）》的规定：

首先，条码支付要遵循“三不得”。支付机构不得采取二维码的方式进行借贷、投资、投保、换汇、取现等；银行、支付机构不得利用二维码支付从事非法交易等；银行、支付机构不得采取不正当竞争手段排挤竞争对手、损害其他市场主体利益，破坏市场公平竞争秩序。

第三个“不得”针对的是各家支付机构争夺客户的“战争”。有采取返现、打折、送礼等做法，还有设置各类钱包让消费者提前消费等，甚至还有“独家代理支付”等约束消费者的行为。

其次，交易安全是二维码支付的首要任务，没有之一。银行、支付机构开展二维码支付业务必须做三种要素的组合验证：静态密码、数字证书、生物特征等。因此，单靠刷脸本身不能直接完成支付，必须如上三种之两种或全部进行验证，才达到最低标准。同时，由于手机被盗、电脑被黑等现实问题，采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同设备的风险，将一次性密码有效期限定在最短必要时间内。

再次，规范扫码支付的“真实场景”很重要，按照规定正确选用交易类型，准确标识交易信息并完整发送，确保交易信息的完整性、真实性、可追溯性。从实际办案的角度，如果能够再现交易场景和过程，就有利于还原事情的真实情况。

另外，在没有个人破产法律制度的当下，限制“剁手党”的冲动消费十分有必要，对于储蓄卡用户，因为有余粮不必过分限制，但对于信用卡的消费必须作出限定。

最后，新规要求科技金融不能外包核心技术。一些金融科技公司号称为银行等机构提供核心技术，受理终端主密钥生成和管理等，现在看来，这个生意银行不敢轻易给“外人”做了。

将信息的“根服务器”建在中国

张也平（中国二维码产业联盟执行秘书长）

二维码是一个跨学科、跨领域、跨行业的信息化应用工具，与国家网络信息安全、经济运行安全、公共安全和百姓生活息息相关。目前我们大量运用的国外二维码技术，其开放式的市场应用模式导致了各种安全问题频发且难以有效监控。

目前我国广泛应用的是日本电装株式会社1994年研制的快速响应码，由于当时国内没有自主知识产权的二维码技术，快速响应码自2000年起被我国广泛应用于政务系统、智能制造、金融支付、电子商务、新闻传媒等领域。

国内的二维码市场几乎全部被快速响应码占据，但快速响应码专利既没有在国内申请，也没有放弃专利权。2015年快速响应码颁布了新的技术标准并开始收取专利费用，但国内市场仍在免费使用2000年的技术标准，随时可能产生严重的知识产权风险，甚至可能直接影响到经济社会运行安全。

为了达到市场垄断目的，快速响应码采取了所谓的全市场免费开放策略，导致我国二维码应用基本处于失控和无序状态。任何人都可以通过网络下载生成和解析二维码，并通过前台的手机进行实时解码，但没有后台对前台解析的内容进行识别和监控，出了问题往往无法锁定责任主体。

只有以自主知识产权二维码核心技术和相应的中国标准为基础的信息系统，才能将信息的“根服务器”建立在中国，从而在保障国家信息安全的同时避免国外标准带来的专利风险。

实际上，我国自主研发的汉信码、GM码、CM码的标准能力、技术水平等都不低于国外标准，完全具备替换QR码和PDF417码的技术标准能力和产业配套能力。然而，国产标准因缺乏政策扶持和驱动而迟迟不能有效使用，这极大制约了我国自主二维码产业的发展。