您的位置:首页 >银行 >
央行:非银支付机构提供条码付款服务应当取得网络支付业务许可
近日,人民银行发布了《中国人民银行关于印发的通知》(银发〔2017〕296号),配套印发《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号发布),自2018年4月1日起实施。日前,人民银行有关负责人就上述通知和规范有关问题回答了记者的提问。
问:通知和规范出台的背景是什么?
答:条码支付具有支付便捷、应用门槛低的优势,在推动普惠金融和优化我国非现金支付环境建设方面能够发挥积极作用。对创新支付的监管,人民银行一贯秉承“鼓励创新,防范风险”并重的原则。自本世纪初,国内外各市场主体开始尝试将条码技术运用于移动支付领域,以提升支付便捷性和用户体验。为鼓励市场机构业务创新,2011年,人民银行同意部分非银行支付机构(以下简称支付机构)在限定场景内试点开展条码支付业务,审慎地将条码定位于银行卡支付的补充,并提出严格的风险管理要求。2014年,在未建立有效安全措施、统一的业务规则和消费者权益保护制度的背景下,部分支付机构采取持续补贴的方式广泛推广条码支付业务,人民银行对其采取了暂停线下条码支付业务的监管措施。随着近年来支付标记化(Tokenization)等技术在移动支付中的广泛应用,客观上提高了条码支付的安全标准。但是,囿于缺乏统一的业务规范和技术标准,在条码生成机制和传输过程中仍存在风险隐患,也引发了支付安全的风险案件,市场机构在业务推广过程中还存在不正当竞争等现象。
为贯彻落实党的十九大和第五次全国金融工作会议精神,鼓励并规范金融创新,促进条码支付健康可持续发展,人民银行指导中国支付清算协会组织会员单位、专家学者进行研究论证,研究制定了条码支付业务规范和技术规范,并通过书面征求意见、召开专题会议等形式充分听取各方意见建议并修改完善,实现了监管与市场的顺畅沟通和有效互动,达成了高度共识。
问:条码支付业务发展中存在哪些主要问题?
答:一是条码支付在降低商户准入门槛的同时,加剧收单市场乱象。由于条码支付设备成本低于传统的银行卡受理终端,还可通过张贴静态条码实现收付款业务,能够满足小微商户的非现金支付受理需求,与银行卡收单互为补充,提升社会整体支付服务水平。但是,部分市场机构利用条码可远程发送、不受专业受理终端限制的特点,在商户拓展过程中未履行“了解你的客户”义务,通过“一证下机”等方式违规发展商户,加剧了套现、二清、外包管理不到位等收单乱象,存在各类安全隐患,对市场可持续发展造成较大的危害。
二是条码支付在促进移动支付普及发展的同时,出现扰乱市场公平竞争秩序的现象。近年来,条码支付在小额、便民支付领域市场份额持续增加,促进了移动支付的快发展和普惠金融的广覆盖。但是,部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争,扰乱市场秩序。
三是条码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险。包括:可视化风险,条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金;易携带恶意代码的风险,条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息;信息单向交互风险,条码支付只能实现发起方或接收方的单向信息交互,不法分子可利用该弱点实施“中间人攻击”,绕过身份认证机制,造成用户资金损失;扫码设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。
问:业务规范方面有哪些主要措施?
答:一是强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。
二是重申清算管理要求。针对部分支付机构与多家银行业金融机构(以下简称银行)或支付机构直连进行商户拓展,进一步强化了支付机构与银行多头直连的现象,明确要求银行、支付机构开展条码支付业务涉及跨行交易时,应当通过人民银行跨行清算系统或者具备合法资质的清算机构处理。
三是要求维护市场公平竞争秩序。市场机构不得以任何形式诋毁其他市场主体的商业信誉,不得采用不正当竞争手段损害其他市场主体利益、排挤竞争对手,破坏市场公平竞争秩序。
四是规范条码生成和受理。提出交易验证方式、交易限额管理、信息管理和安全防护,静态条码应用管理、综合应用支付标记化技术等措施,保障条码支付业务的安全性。
五是加强商户管理和风险管理。从特约商户资质审核、受理协议签订、商户风险评级、商户检查,以及交易风险监测,客户安全教育等方面提出要求,强化业务风险管理。
问:针对条码支付技术风险,提出了哪些针对性要求?
答:一是加强条码安全防护。采取支付标记化(Tokenization)、有效期控制、条码防伪识别等手段,提升条码生成、存储、展示、识读、解析、使用等环节的安全防护能力,有效保障条码的可靠性和有效性。
