扫码新规终结支付乱象

曾之明

2013年中国移动支付元年开始，二维码支付已经成为国人最习以为常的移动支付方式。在条码支付异常火爆的同时，市场的无序竞争、机构的违规操作、不法分子的攻击、诈骗等风险不断凸显。2017年12月27日央行发布了《中国人民银行关于印发<条码支付业务规范（试行）>的通知》，配套印发了《条码支付安全技术规范（试行）》和《条码支付受理终端技术规范（试行）》，自2018年4月1日起实施。条码支付订立新“交规”，条码支付从此告别“无证驾驶”与“危险驾驶”，加强条码支付信用管理，堵险防漏，恰逢其时。

扫码支付风险何在？

二维码作为一种可完全暴露的图形载体，包括动态二维码、静态二维码，通常显示在各种媒介上，包括印刷材料或者是网页界面。它比普通条形码具有更多的优势，如数据存储量大、纠错能力强、反应更敏捷等。简言之，动态的二维码就是：你去买东西时，收银人员用扫码枪扫你出示的二维码。过程是别人在动，所以就叫动态二维码。可以付款500元以上，然后根据安全等级划分，1000元，5000元，自定金额。而静态二维码就是：你在路边买烤红薯时，卖红薯大妈拿了张二维码给你扫，她没有动，只有你拿着手机扫码付款就是静态二维码。

自2014年始，各类市场主体唯恐落后于人，部分支付机构采取持续补贴、交叉补贴的方式推广条码支付业务，大搞“跑马圈地”，将支付业务的安全性，业务规则统一性和消费者权益保护合规性置于脑后，造成条码支付风险频发，损害了用户信息安全和资金安全。其中六大风险隐患日益突出：①静态条码被调换，商户无法收到货款；②利用收款码伪造生活费用，催缴通知、交通罚单等应用场景；③条码中嵌入木马病毒程序，客户扫描后资金被盗刷或个人敏感信息被窃取；④诱骗消费者发送付款码后，迅速实施盗刷；⑤虚假网店发来收款条码，骗取消费者扫码支付实施欺诈；⑥利用小礼品等奖励诱导消费者扫描二维码注册，变相搜集个人身份信息用于其它不法目的。

扫码新规剑指何方

二维码支付新规坚持小额、便民定位，其主旨导向也十分明确，即明确展业资质，强调业务管理；严格限额管理，提高风险防范；增强技术安全，促进创新发展；加强商户管理，规范外包服务；促进普惠金融，服务实体经济。首先，是明确收单资质，强调属地监管。规范明确了为实体特约商户和网络特约商户提供条码支付收单服务的，需分别具备银行卡收单业务许可和网络支付业务许可。从业务本质上看，条码支付更多的场景是面对面支付，无论是主扫或是被扫，从商户进件、身份识别、交易处理、风险管理等方面与线下银行卡收单业务大同小异。规范中强调了提供条码支付收单服务的机构，需执行银行卡收单的规定，进行属地管理。即提供线下条码收单服务的机构，需在当地设立分支机构且具备收单业务资质，确保商户和消费者的权益能够得到有效的保护。第二，严格限额管理，提高风险防范。近年来关于“扫码领红包，4000元瞬间被盗”、“扫个二维码，18万就没了”的报道层出不穷。规范提出支付机构要根据用户的风险防范等级来设置日累计交易限额。对条码支付风险防范能力进行分级，设置了不同的日累计交易限额。新规规定条码的风险防范能力由高到低分为A、B、C、D四级，越安全的动态码支付，交易限额就越高。规范中提到的A级，采用数字证书或电子签名，再加上静态密码、指纹等要素，就可以不受额度限制；而对静态码交易则每天就限额500元，即便是被骗，损失也可控，体现监管政策的良好导向。第三，增强技术安全，激发创新动能。条码支付相比于银行卡支付，没有物理卡片载体，缺少专业设备支持，在信息安全方面存在较大隐患。新规从条码的生成和受理方面，强调了相关系统、软件、终端必须符合标准要求，系统操作和维护必须由专人进行，条码信息与扫码结果不得包含客户和账户的敏感信息等要求。也对支付机构在提升条码的防护能力、交易安全强度、风险管理机制和客户端软件安全等方面提出了具体要求。新规旨在保障支付行业的持续健康发展，也为良币驱逐劣币提供了机会，支付机构遵循规范创新，就可带来更多利润和效能。第四，加强商户自律，规范外包服务。参照对银行卡收单机构的要求，规范强调支付机构拓展条码支付特约商户要“了解你的客户”，并接受中国支付清算协会的行业自律管理。在支付机构拓展商户、开展业务方面，提出了维护支付服务市场公平竞争的要求，包括不得滥用优势市场地位，开展倾销、补贴等不正当竞争，扰乱市场秩序。另外对支付机构和外包商的业务合作进行规范要求，即外包商一不能碰交易中的支付敏感信息，二不能碰资金，显示了央行坚决切断无证机构支付业务渠道，整肃支付服务市场秩序的决心。第五，护航普惠金融，服务实体经济。明确了小微商户凭身份证、租赁协议等证明文件即可办理商户入网。无论是线上还是线下，小微商户均可入网开展业务，优化了原有商户准入要求。鼓励普惠金融服务，很接地气。基于信用卡的条码支付收款实行按日按月累计限额，减少了个别商户利用小微商户身份进行信用卡大额套现甚至洗钱的可能性，避免信用管理漏洞，促进条码支付回归小额、便民定位，回归服务实体经济本源。

扫码新规影响几何？

二维码支付新规对于市场参与各方究竟有何影响呢？首先，对于小微商户，此次规定明确了小微商家只要凭借自己的身份证、营业执照等证明文件就可以入网，无论是线上线下都可以开展业务，小微商家只需向相关部门提供一下自己身份证件，鼓励持续、便捷、规范的数字普惠金融服务。第二，对于支付宝和微信支付，条码支付新规出台，则对支付机构在提升条码风险防护能力、交易安全系数、风险管理机制和客户端软件安全等方面都提出了具体要求，特别是对支付宝们采用URL扫码支付模式的技术安全提出更为明确的要求。第三，支付宝宝们的烧钱大战被新规叫停。新规规定“支付机构拓展商户、开展业务方面，应维护支付服务市场公平竞争秩序，包括不得滥用优势市场地位、开展倾销、补贴等不正当竞争，扰乱市场秩序”。对之前支付机构之间通过烧钱疯狂抢占市场的行为进行明确规范，第三方支付行业的烧钱恶性竞争格局将要结束。第四，对于第四方机构进行市场洗牌，先前在市场上除了支付宝、微信支付等少数支付巨头外，还有不少从事聚合支付等相关支付业务的服务提供商，这些在某某网吧、某某支付等就可提供聚合支付的商家，往往通过一个二维码就可覆盖支付宝、微信支付等多个机构，新规下这些机构会由于缺乏相关资质和牌照进入一个洗牌期，要么被大型持牌机构收编，要么就只能选择退出。最后，对于互联网金融机构，新规要求“支付机构不得基于条码技术，从事或变相从事证券、保险、信贷、理财、信托、货币兑换、现金存取等業务”，之前很多支付机构借助自身优势，以支付为人口开展证券、保险、理财等金融业务，导致通道业务资管乱象，引发金融泡沫风险。要求重申加强分业经营监管、建立防火墙隔离措施。随着市场监管的进一步从严，这种高风险的混业经营模式将会受到进一步规范，未来互金类金融机构混业经营无限制扩张的局面将彻底终结。条码支付新规的出台，彰显了监管部门进一步防控金融风险的决心。这对于小额日常消费交易的用户基本没啥影响。甚至是小微商户也可在补齐身份证明后照常经营。但是对于第三方移动支付平台来说，新规对其条码防护能力等方面提出更高要求。而那些依附于条码支付的互金平台、第四方机构将会受到行业整顿。扫码新“交规”，无异于一次互联网金融创新与风险的较量，也需要行业在便捷和创新中寻求最佳平衡点。

责任编辑：谢伟Email：25614233@qq.com