网易科技讯12月28日消息,12月27日,央行印发《条码支付业务规范(试行)》(下称《规范》),同时配套印发安全技术和受理终端技术两个规范,上述规范自2018年4月1日起实施。通过划定业务范围和技术标准,对当前条码支付领域存在的诸多乱象进行整肃。
对此,拉卡拉支付股份有限公司资深合规总监唐凌表示条码支付规范发布的恰逢其时,并解读:“基于信用卡的条码支付收款金额实行按日按月累计限额,减少了个别商户利用小微商户身份进行大额套现的可能性;规范提出了支付机构要根据用户的风险防范等级来设置日累计交易限额,用户的风险防范等级越高,每天可以交易的金额就越高。”
以下为唐凌解读新规原文:
×
恰逢其时:我看条码支付规范
(拉卡拉支付股份有限公司 资深合规总监 唐凌)
曾有一个段子,小偷把楼下便利店的支付条码换成自己的,每天在家默默的收钱,直到月底店主结款才发现。网友纷纷留言,惊呼现如今做小偷都需要掌握高科技,更感叹条码支付早已深入到我们生活的方方面面。条码支付便捷的场景、低廉的成本,让各机构争前恐后、趋之若鹜。但在条码支付异常火爆的同时,市场的无序竞争、机构的违规操作、不法分子的攻击诈骗等问题时有发生。直至今天,条码支付的相关规范终于发布了,可谓是恰逢其时。
通读全文,敲黑板,划重点,几大看点如下:
一、明确展业资质,强调业务管理
规范明确了为实体特约商户和网络特约商户提供条码支付收单服务的,需分别具备银行卡收单业务许可和网络支付业务许可。从业务本质上看,条码支付更多的场景是面对面支付,无论是主扫或是被扫,从商户进件、身份识别、交易处理、风险管理等方面与线下银行卡收单业务大同小异。基于此,规范中强调了提供条码支付收单服务的机构,需执行银行卡收单的规定,进行属地管理。即提供线下条码收单服务的机构,需在当地设立分支机构且具备收单业务资质,确保商户和消费者的权益能够得到有效的保护。
二、促进普惠金融,服务实体经济
与281号文件相呼应,此次规范明确了小微商户凭身份证、租赁协议等证明文件即可办理商户入网。至此,无论是线上还是线下,小微商户均可入网开展业务,优化了原有的商户准入要求。这一规定充分体现了监管层尊重现实,很接地气,真心为央妈点赞。同时,基于信用卡的条码支付收款金额实行按日按月累计限额,减少了个别商户利用小微商户身份进行大额套现的可能性,促进条码支付业务回归小额、便民的定位,回归服务实体经济的本源。
三、严格限额管理,提高风险防范
近年来,新闻媒体关于“扫码领红包,4000元瞬间被盗”、“扫个二维码,18万就没了”的报道层出不穷。为此,规范提出了支付机构要根据用户的风险防范等级来设置日累计交易限额。简单的说,就是用户的风险防范等级越高,每天可以交易的金额就越高,如规范中提到的A级,采用数字证书或电子签名,再加上静态密码、指纹等要素,就可以不受额度限制;如果商家放个静态码你就敢扫,支付额度自然就低。尽管监管对静态码有不少要求,如商家定期检查,用玻璃罩盖上等措施,但在扫码支付的风险案件中,静态码占比仍很高,那每天就限额500元,即便是被骗,损失也可控。如用动态码付款,风险自然少,限额就会提升。这也是监管政策的一个良好导向。
四、增强安全管理,促进创新发展
今年315央视晚会曝光了不法分子通过手机木马,将消费者手机中的支付账号、密码、身份证信息、联系人信息、照片等隐私信息窃取,甚至直接截获短信验证码盗刷手机用户银行卡的极端案例。条码支付相比于银行卡支付,没有物理卡片的载体,也缺少专业设备的支持,在信息安全方面存在一定的隐患。为此,规范从条码的生成和受理方面,强调了相关的系统、软件、终端必须符合标准要求,系统的操作和维护必须由专人进行,条码信息与扫码结果不得包含客户和账户的敏感信息等要求。同时,也对支付机构在提升条码的防护能力、交易安全强度、风险管理机制和客户端软件安全等方面提出了具体要求。安全和便捷是一把双刃剑,越便捷风险就相对较大。此次规范的出台,应是对行业做了充分调研,措施切实可行,操作性强。一方面,保障了行业的持续健康发展,这是支付机构生存的土壤,也是创新的基础;另一方面,也为良币驱逐劣币提供了机会,遵循规范要求的创新,可以带来利润和效能,这是支付机构创新的动力。
五、加强商户管理,规范外包服务
参照对银行卡收单机构的要求,规范强调支付机构拓展条码支付特约商户要“了解你的客户”,同时要接受中国支付清算协会的行业自律管理。在支付机构拓展商户、开展业务方面,也提出了维护支付服务市场公平竞争秩序的要求,包括不得滥用优势市场地位,开展倾销、补贴等不正当竞争,扰乱市场秩序。另外,规范对支付机构和外包商的业务合作进行了明确要求,即外包商一不能碰交易中的支付敏感信息,二不能碰资金,这同央行前期发布的217号文保持了连续性,显示了央行坚决切断无证机构支付业务渠道,遏制支付服务市场乱象,整肃支付服务市场秩序的决心。