最低單日500元！一圖看懂央行《條碼支付業(yè)務(wù)規(guī)范》

　　12月28日消息 中國人民銀行（央行）日前對(duì)外發(fā)布了《中國人民銀行關(guān)于印發(fā)《條碼支付業(yè)務(wù)規(guī)范（試行）》的通知》，并配套印發(fā)了《條碼支付安全技術(shù)規(guī)范（試行）》和《條碼支付受理終端技術(shù)規(guī)范（試行）》。值得一提的是，為了讓大家快速了解新規(guī)中的內(nèi)容，央行還特意制作了一張長圖！小伙伴們還不趕緊來看看。

　　下附央行就發(fā)布條碼支付規(guī)范答記者問：

　　問：通知和規(guī)范出臺(tái)的背景是什么？

　　答：條碼支付具有支付便捷、應(yīng)用門檻低的優(yōu)勢(shì)，在推動(dòng)普惠金融和優(yōu)化我國非現(xiàn)金支付環(huán)境建設(shè)方面能夠發(fā)揮積極作用。對(duì)創(chuàng)新支付的監(jiān)管，人民銀行一貫秉承“鼓勵(lì)創(chuàng)新，防范風(fēng)險(xiǎn)”并重的原則。自本世紀(jì)初，國內(nèi)外各市場主體開始嘗試將條碼技術(shù)運(yùn)用于移動(dòng)支付領(lǐng)域，以提升支付便捷性和用戶體驗(yàn)。為鼓勵(lì)市場機(jī)構(gòu)業(yè)務(wù)創(chuàng)新，2011年，人民銀行同意部分非銀行支付機(jī)構(gòu)（以下簡稱支付機(jī)構(gòu)）在限定場景內(nèi)試點(diǎn)開展條碼支付業(yè)務(wù)，審慎地將條碼定位于銀行卡支付的補(bǔ)充，并提出嚴(yán)格的風(fēng)險(xiǎn)管理要求。2014年，在未建立有效安全措施、統(tǒng)一的業(yè)務(wù)規(guī)則和消費(fèi)者權(quán)益保護(hù)制度的背景下，部分支付機(jī)構(gòu)采取持續(xù)補(bǔ)貼的方式廣泛推廣條碼支付業(yè)務(wù)，人民銀行對(duì)其采取了暫停線下條碼支付業(yè)務(wù)的監(jiān)管措施。隨著近年來支付標(biāo)記化（Tokenization）等技術(shù)在移動(dòng)支付中的廣泛應(yīng)用，客觀上提高了條碼支付的安全標(biāo)準(zhǔn)。但是，囿于缺乏統(tǒng)一的業(yè)務(wù)規(guī)范和技術(shù)標(biāo)準(zhǔn)，在條碼生成機(jī)制和傳輸過程中仍存在風(fēng)險(xiǎn)隱患，也引發(fā)了支付安全的風(fēng)險(xiǎn)案件，市場機(jī)構(gòu)在業(yè)務(wù)推廣過程中還存在不正當(dāng)競爭等現(xiàn)象。

　　為貫徹落實(shí)黨的十九大和第五次全國金融工作會(huì)議精神，鼓勵(lì)并規(guī)范金融創(chuàng)新，促進(jìn)條碼支付健康可持續(xù)發(fā)展，人民銀行指導(dǎo)中國支付清算協(xié)會(huì)組織會(huì)員單位、專家學(xué)者進(jìn)行研究論證，研究制定了條碼支付業(yè)務(wù)規(guī)范和技術(shù)規(guī)范，并通過書面征求意見、召開專題會(huì)議等形式充分聽取各方意見建議并修改完善，實(shí)現(xiàn)了監(jiān)管與市場的順暢溝通和有效互動(dòng)，達(dá)成了高度共識(shí)。

　　問：條碼支付業(yè)務(wù)發(fā)展中存在哪些主要問題？

　　答：一是條碼支付在降低商戶準(zhǔn)入門檻的同時(shí)，加劇收單市場亂象。由于條碼支付設(shè)備成本低于傳統(tǒng)的銀行卡受理終端，還可通過張貼靜態(tài)條碼實(shí)現(xiàn)收付款業(yè)務(wù)，能夠滿足小微商戶的非現(xiàn)金支付受理需求，與銀行卡收單互為補(bǔ)充，提升社會(huì)整體支付服務(wù)水平。但是，部分市場機(jī)構(gòu)利用條碼可遠(yuǎn)程發(fā)送、不受專業(yè)受理終端限制的特點(diǎn)，在商戶拓展過程中未履行“了解你的客戶”義務(wù)，通過“一證下機(jī)”等方式違規(guī)發(fā)展商戶，加劇了套現(xiàn)、二清、外包管理不到位等收單亂象，存在各類安全隱患，對(duì)市場可持續(xù)發(fā)展造成較大的危害。

　　二是條碼支付在促進(jìn)移動(dòng)支付普及發(fā)展的同時(shí)，出現(xiàn)擾亂市場公平競爭秩序的現(xiàn)象。近年來，條碼支付在小額、便民支付領(lǐng)域市場份額持續(xù)增加，促進(jìn)了移動(dòng)支付的快發(fā)展和普惠金融的廣覆蓋。但是，部分市場機(jī)構(gòu)在開展條碼支付業(yè)務(wù)時(shí)，在定價(jià)和市場推廣策略中采取傾銷、交叉補(bǔ)貼等不正當(dāng)競爭手段，濫用本機(jī)構(gòu)及關(guān)聯(lián)企業(yè)的市場優(yōu)勢(shì)地位，排除、限制支付服務(wù)競爭，導(dǎo)致支付行業(yè)無序發(fā)展和不公平競爭，擾亂市場秩序。

　　三是條碼支付借助開放互聯(lián)網(wǎng)和非專業(yè)設(shè)備進(jìn)行交易處理，帶來一定的技術(shù)風(fēng)險(xiǎn)。包括：可視化風(fēng)險(xiǎn)，條碼在開放互聯(lián)網(wǎng)環(huán)境下以圖形化方式進(jìn)行展示，不法分子可通過截屏、偷拍等手段盜取支付憑證，在支付憑證有效期內(nèi)盜用資金；易攜帶惡意代碼的風(fēng)險(xiǎn)，條碼不僅可存儲(chǔ)支付要素，也可攜帶非法鏈接或程序代碼，不法分子可將木馬病毒、釣魚網(wǎng)站鏈接制成條碼，誘導(dǎo)客戶掃描，竊取支付敏感信息；信息單向交互風(fēng)險(xiǎn)，條碼支付只能實(shí)現(xiàn)發(fā)起方或接收方的單向信息交互，不法分子可利用該弱點(diǎn)實(shí)施“中間人攻擊”，繞過身份認(rèn)證機(jī)制，造成用戶資金損失；掃碼設(shè)備安全強(qiáng)度低的風(fēng)險(xiǎn)，條碼支付對(duì)設(shè)備要求低，普通的手機(jī)攝像頭、超市簡易的收銀機(jī)掃描槍等不具備加密、防拆機(jī)等安全功能的設(shè)備均可識(shí)別條碼，易被不法分子非法改裝使用。

　　問：業(yè)務(wù)規(guī)范方面有哪些主要措施？

　　答：一是強(qiáng)調(diào)業(yè)務(wù)資質(zhì)要求。明確支付機(jī)構(gòu)向客戶提供基于條碼的付款服務(wù)時(shí)，應(yīng)取得網(wǎng)絡(luò)支付業(yè)務(wù)許可；支付機(jī)構(gòu)為實(shí)體特約商戶和網(wǎng)絡(luò)特約商戶提供條碼支付收單服務(wù)的，應(yīng)當(dāng)分別取得銀行卡收單業(yè)務(wù)許可和網(wǎng)絡(luò)支付業(yè)務(wù)許可。

　　二是重申清算管理要求。針對(duì)部分支付機(jī)構(gòu)與多家銀行業(yè)金融機(jī)構(gòu)（以下簡稱銀行）或支付機(jī)構(gòu)直連進(jìn)行商戶拓展，進(jìn)一步強(qiáng)化了支付機(jī)構(gòu)與銀行多頭直連的現(xiàn)象，明確要求銀行、支付機(jī)構(gòu)開展條碼支付業(yè)務(wù)涉及跨行交易時(shí)，應(yīng)當(dāng)通過人民銀行跨行清算系統(tǒng)或者具備合法資質(zhì)的清算機(jī)構(gòu)處理。

　　三是要求維護(hù)市場公平競爭秩序。市場機(jī)構(gòu)不得以任何形式詆毀其他市場主體的商業(yè)信譽(yù)，不得采用不正當(dāng)競爭手段損害其他市場主體利益、排擠競爭對(duì)手，破壞市場公平競爭秩序。

　　四是規(guī)范條碼生成和受理。提出交易驗(yàn)證方式、交易限額管理、信息管理和安全防護(hù)，靜態(tài)條碼應(yīng)用管理、綜合應(yīng)用支付標(biāo)記化技術(shù)等措施，保障條碼支付業(yè)務(wù)的安全性。

　　五是加強(qiáng)商戶管理和風(fēng)險(xiǎn)管理。從特約商戶資質(zhì)審核、受理協(xié)議簽訂、商戶風(fēng)險(xiǎn)評(píng)級(jí)、商戶檢查，以及交易風(fēng)險(xiǎn)監(jiān)測(cè)，客戶安全教育等方面提出要求，強(qiáng)化業(yè)務(wù)風(fēng)險(xiǎn)管理。

　　問：針對(duì)條碼支付技術(shù)風(fēng)險(xiǎn)，提出了哪些針對(duì)性要求？

　　答：一是加強(qiáng)條碼安全防護(hù)。采取支付標(biāo)記化（Tokenization）、有效期控制、條碼防偽識(shí)別等手段，提升條碼生成、存儲(chǔ)、展示、識(shí)讀、解析、使用等環(huán)節(jié)的安全防護(hù)能力，有效保障條碼的可靠性和有效性。

　　二是提升條碼支付交易安全強(qiáng)度。針對(duì)不同條碼生成方式，提出加密生成、定期更新、終端唯一標(biāo)識(shí)綁定等具有針對(duì)性的安全防護(hù)措施。要求銀行、支付機(jī)構(gòu)和清算機(jī)構(gòu)運(yùn)用交易驗(yàn)證強(qiáng)度與交易額度相匹配的技術(shù)措施提高條碼支付交易的安全性。

　　三是強(qiáng)化條碼支付交易風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)警。合理應(yīng)用大數(shù)據(jù)分析、用戶行為建模等手段建立條碼支付風(fēng)險(xiǎn)監(jiān)控模型和系統(tǒng)，對(duì)異常交易及時(shí)預(yù)警并附加風(fēng)控措施，對(duì)高風(fēng)險(xiǎn)交易及時(shí)告知客戶資金變化情況。

　　四是加強(qiáng)客戶端軟件安全管理。從木馬病毒防范、信息加密保護(hù)、運(yùn)行環(huán)境可信等方面提升條碼支付客戶端軟件的安全防護(hù)能力，要求客戶端軟件能夠監(jiān)測(cè)并向后臺(tái)系統(tǒng)反饋手機(jī)支付環(huán)境安全狀況并作為風(fēng)控策略的依據(jù)。

　　問：針對(duì)條碼支付的業(yè)務(wù)規(guī)范要求和安全管理措施是否會(huì)制約支付創(chuàng)新發(fā)展？

　　答：支付服務(wù)屬于金融服務(wù)，與社會(huì)經(jīng)濟(jì)運(yùn)行和百姓日常生活密切相關(guān)，支付安全關(guān)乎人民群眾財(cái)產(chǎn)安全和合法權(quán)益，穩(wěn)健經(jīng)營關(guān)乎產(chǎn)業(yè)的健康可持續(xù)發(fā)展。便捷的使用方式、良好的用戶體驗(yàn)是支付創(chuàng)新的生命力，但不能單純追求無底線的創(chuàng)新；穩(wěn)定、可持續(xù)的投入和運(yùn)營是支付業(yè)務(wù)長遠(yuǎn)發(fā)展的保障，不能為了追求短期的市場份額，采取“燒錢”“補(bǔ)貼”等不當(dāng)競爭手段。通知和規(guī)范旨在指導(dǎo)相關(guān)單位正確處理安全與發(fā)展的關(guān)系，在嚴(yán)守安全底線的基礎(chǔ)上開展支付創(chuàng)新，維護(hù)公平競爭的市場環(huán)境，促進(jìn)行業(yè)健康可持續(xù)發(fā)展，為人民群眾提供安全便利的金融服務(wù)。通知和規(guī)范提出的業(yè)務(wù)規(guī)范要求和安全管理措施非但不會(huì)制約支付創(chuàng)新發(fā)展，反而能夠指引支付業(yè)務(wù)創(chuàng)新沿著安全規(guī)范的方向發(fā)展，確保創(chuàng)新業(yè)務(wù)的質(zhì)量和效能，保障行業(yè)發(fā)展的穩(wěn)健和長遠(yuǎn)。

　　問：業(yè)務(wù)規(guī)范和技術(shù)要求如何落地實(shí)施？

　　答：業(yè)務(wù)規(guī)范的落地實(shí)施要通過構(gòu)建企業(yè)自我管理、行業(yè)組織自律、主管部門監(jiān)管、社會(huì)全面監(jiān)督多位一體的管理體系，保障各項(xiàng)要求落實(shí)到位。已開展業(yè)務(wù)的銀行業(yè)金融機(jī)構(gòu)、支付機(jī)構(gòu)應(yīng)當(dāng)全面梳理自身?xiàng)l碼支付業(yè)務(wù)情況，根據(jù)規(guī)范要求進(jìn)行自查和整改。開展條碼支付業(yè)務(wù)創(chuàng)新的，應(yīng)當(dāng)履行提前報(bào)告義務(wù)。銀行、支付機(jī)構(gòu)從事條碼支付業(yè)務(wù)，應(yīng)接受中國支付清算協(xié)會(huì)行業(yè)自律管理，并充分發(fā)揮違法違規(guī)舉報(bào)獎(jiǎng)勵(lì)機(jī)制的作用，凈化市場發(fā)展環(huán)境。人民銀行分支機(jī)構(gòu)依法對(duì)轄區(qū)內(nèi)銀行、支付機(jī)構(gòu)條碼支付業(yè)務(wù)進(jìn)行監(jiān)督管理，加大檢查力度，對(duì)違規(guī)行為，應(yīng)依法嚴(yán)肅處理。

　　技術(shù)規(guī)范的落地實(shí)施需要從產(chǎn)品質(zhì)量管理、入網(wǎng)管理、專項(xiàng)檢查、安全評(píng)估等方面多管齊下，切實(shí)提升條碼支付技術(shù)風(fēng)險(xiǎn)防控能力。銀行、支付機(jī)構(gòu)要嚴(yán)格落實(shí)技術(shù)規(guī)范提出的各項(xiàng)要求，強(qiáng)化條碼支付產(chǎn)品安全管理，健全條碼支付風(fēng)險(xiǎn)防控機(jī)制，使用符合國家標(biāo)準(zhǔn)及金融行業(yè)標(biāo)準(zhǔn)的產(chǎn)品，確保相關(guān)業(yè)務(wù)系統(tǒng)、受理終端等的技術(shù)標(biāo)準(zhǔn)符合性。清算機(jī)構(gòu)要強(qiáng)化受理終端入網(wǎng)管理，完善終端定期抽檢機(jī)制，加強(qiáng)終端抽樣檢測(cè)力度。人民銀行分支機(jī)構(gòu)要定期對(duì)條碼支付相關(guān)業(yè)務(wù)系統(tǒng)、受理終端等組織開展專項(xiàng)抽查，強(qiáng)化條碼支付技術(shù)管理。

　　問：對(duì)條碼支付交易報(bào)文管理提出了哪些針對(duì)性的要求？

　　答：一是采用數(shù)字簽名、加密傳輸?shù)却胧�，加�?qiáng)支付指令真實(shí)性。二是在交易報(bào)文中準(zhǔn)確記錄發(fā)起方、接收方、網(wǎng)絡(luò)路由、唯一交易流水號(hào)等關(guān)鍵信息，保障交易可追溯性和一致性。三是完善商戶、渠道、訂單等交易信息，精準(zhǔn)刻畫交易全貌，確保支付指令完整性。

　　問：對(duì)于普遍使用的靜態(tài)條碼，提出了哪些針對(duì)性的風(fēng)險(xiǎn)防控措施？

　　答：靜態(tài)條碼易被篡改或變?cè)�，易攜帶木馬或病毒，真?zhèn)坞y辨，導(dǎo)致支付風(fēng)險(xiǎn)較高。因此，提出了一系列防范靜態(tài)條碼風(fēng)險(xiǎn)的措施：一是要求靜態(tài)條碼應(yīng)由后臺(tái)服務(wù)器加密生成，宜采用防偽紙張展示條碼，防偽紙張應(yīng)具備一定防偽特征。二是要求展示靜態(tài)條碼的介質(zhì)應(yīng)放置在商戶收銀員視線范圍內(nèi)，商戶應(yīng)定期對(duì)介質(zhì)進(jìn)行檢查。三是要求靜態(tài)條碼采用防護(hù)罩等物理防護(hù)手段避免被覆蓋或替換，宜使用防偽標(biāo)簽對(duì)防護(hù)罩進(jìn)行標(biāo)記。四是要求在靜態(tài)條碼介質(zhì)顯著位置明顯展示收款方信息，便于用戶核對(duì)。五是通過風(fēng)險(xiǎn)防范能力分級(jí)管理，進(jìn)一步規(guī)范使用靜態(tài)條碼，并鼓勵(lì)使用風(fēng)險(xiǎn)防范能力較高的收款掃碼方式。

　　問：對(duì)消費(fèi)者使用條碼支付付款的交易限額管理是如何統(tǒng)籌考慮的？

　　答：條碼支付與傳統(tǒng)銀行卡等支付工具相比在交易安全性上存在一定不足，人民銀行堅(jiān)持條碼支付小額、便民的定位，對(duì)條碼支付風(fēng)險(xiǎn)防范能力進(jìn)行分級(jí)。發(fā)行條碼的銀行、支付機(jī)構(gòu)應(yīng)根據(jù)風(fēng)險(xiǎn)防范能力等級(jí)，在確保風(fēng)險(xiǎn)可控和盡量滿足用戶需求的前提下科學(xué)合理設(shè)置相匹配的日累計(jì)交易限額。

　　使用動(dòng)態(tài)條碼進(jìn)行支付的，風(fēng)險(xiǎn)防范能力分級(jí)見下表。

　　使用靜態(tài)條碼進(jìn)行支付的，風(fēng)險(xiǎn)防范能力為D級(jí)，無論使用何種交易驗(yàn)證方式，同一客戶單個(gè)銀行賬戶或所有支付賬戶、快捷支付單日累計(jì)交易金額應(yīng)不超過500元。

　　為引導(dǎo)銀行、支付機(jī)構(gòu)提高交易驗(yàn)證方式的安全性，加強(qiáng)客戶資金安全保護(hù)，對(duì)于風(fēng)險(xiǎn)防范能力高、交易驗(yàn)證方式更為安全的，不設(shè)定額度上限，市場主體可與客戶自行約定交易限額。基于防替換、防盜刷等安全因素角度考慮，要求銀行、支付機(jī)構(gòu)使用靜態(tài)條碼支付時(shí)要執(zhí)行更加嚴(yán)格的限額管理措施，以鼓勵(lì)市場主體采用更為安全的動(dòng)態(tài)條碼提供支付服務(wù)。依據(jù)主要市場機(jī)構(gòu)條碼支付交易數(shù)據(jù)顯示，上述額度已覆蓋絕大部分使用條碼支付付款客戶及商戶的需求。

　　問：對(duì)特約商戶受理?xiàng)l碼支付進(jìn)行收款都有哪些具體要求？

　　答：加強(qiáng)對(duì)條碼支付特約商戶管理的目的在于排除風(fēng)險(xiǎn)商戶，防范和遏制不法分子利用條碼支付業(yè)務(wù)隱藏木馬病毒、進(jìn)行洗錢、欺詐等犯罪活動(dòng)，更好地維護(hù)條碼支付業(yè)務(wù)參與各方的合法權(quán)益�？紤]到條碼支付業(yè)務(wù)涉及銀行賬戶和支付賬戶，且可應(yīng)用于網(wǎng)絡(luò)特約商戶和實(shí)體特約商戶，為保持監(jiān)管制度和標(biāo)準(zhǔn)的一致性，我們遵循銀行卡收單業(yè)務(wù)管理的相關(guān)要求，從條碼支付特約商戶拓展、特約商戶審批、特約商戶信息留存及管理、黑名單管理、實(shí)體商戶屬地化管理、外包業(yè)務(wù)管理等方面明確了具體的管理要求。同時(shí)，為了兼顧小微商戶受理?xiàng)l碼支付的需求，促進(jìn)普惠金融發(fā)展，明確在符合相關(guān)資質(zhì)審核和認(rèn)定的前提下，小微商戶可以受理?xiàng)l碼支付；同時(shí)，為了防范套現(xiàn)等交易風(fēng)險(xiǎn)，對(duì)以同一個(gè)身份證件在同一家收單機(jī)構(gòu)辦理的全部小微商戶基于信用卡的條碼支付收款金額日累計(jì)不超過1000元、月累計(jì)不超過1萬元，但受理基于借記卡的條碼支付不受收款額度的限制。