風險分級 央行新規致力於打造電子條碼安全支付習慣
經濟日報-中國經濟網北京12月28日訊 (記者關婧)央行在昨日發佈了《條碼支付業務規範》(試行)(簡稱“《規範》”),根據風險防範能力的分級對個人客戶的條碼支付業務進行限額管理,新規自2018年4月1日起實施。
備受關注的條碼(二維碼)支付,終於有了明確的制度規範。
根據央行規定,對於使用動態條碼(如手機上實時生成的條碼)進行支付的,風險防範能力根據交易驗證方式不同分為A、B、C三級,同一客戶單日累計交易限額分別為自主約定、5000元、1000元。 而如果風險防範能力達到D級,即使用靜態條碼的,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過500元。
近年來,隨著智慧手機不斷普及,以二維碼為代表的條碼與智慧手機結合,發展成為一種新型的承載和轉換數據方式。這種方式被銀行業金融機構或非銀行支付機構利用後,探索出一種新的支付模式,可將業務從線上擴展到線下支付。由於門檻較低、成本低廉、支付便捷,條碼支付受到了商戶、消費者和銀行、支付機構的青睞。
不過這種支付方式的缺點也比較明顯。二維碼通過幾何圖形來記錄數據和儲存資訊,這樣的功能可能攜帶非法連結或代碼。如果二維碼支付終端缺乏識別與攔截功能,就可能產生安全漏洞和隱患。而二維碼本身的可視化特性,在網際網路環境下以圖形化方式傳輸,容易受到攻擊,容易傳播木馬、病毒,造成用戶資金損失和資訊洩露。
中國支付清算協會執行副會長兼秘書長蔡洪波指出,很多不法分子就是針對條碼防護能力弱、使用環境可控性差這些特點實施詐騙。如靜態條碼被調換、偽造條碼進行欺詐、條碼中嵌入木馬病毒程式等導致客戶個人資訊洩露和賬戶資金被盜用等。
因此,央行此次出臺的《規範》,圍繞“交易額度管理”等制度設計達到技術安全水準與使用便捷之間的平衡。交易額度的設定一方面可以防止條碼支付交易超過其匹配的安全防護能力,另一方面是給予消費者選擇權,同時也鼓勵銀行和支付機構採用更多的驗證要素來提升安全水準。
《規範》將條碼支付分為付款掃碼和收款掃碼。“付款掃碼”是指付款人通過手機、Pad等移動終端識讀收款人展示的條碼完成支付的行為,是用戶主動掃碼付款,俗稱“主掃”;“收款掃碼”是指收款人通過識讀付款人移動終端展示的條碼完成收款的行為,是用戶被動掃碼支付,俗稱“被掃”。
由於在此前的試點應用中,條碼支付風險乃至用戶資金損失多發生於“主掃”,特別是“主掃”靜態條碼,《規範》以限制靜態掃碼限額和約束銀行、支付機構開展付款掃碼服務的具體行為與風控措施並要求他們提供客戶權益受損解決機制等具體條款,積極引導付款人“主掃”經過安全加密和設置有效期(一般為一次性條碼)的動態條碼,將商戶的較大金額收款行為也引導到“被掃”上來。
那麼靜態碼支付限額500元,對人們日常的電子支付會不會有影響呢?中國人民大學重陽金融研究院高級研究員董希淼表示,日常影響是非常小的。“假如我們買一個烤紅薯5塊錢,500元夠買100個烤紅薯了,這並不會影響賣烤紅薯大爺的生意。只要他不是將烤紅薯都賣給你,那麼大爺也不受影響。因為這500元限額是針對用戶而言,對商戶並無限制,大爺一天賣1000個烤紅薯都是妥妥的。”
拉卡拉支付股份有限公司合規總監唐淩對中國經濟網記者表示,“在掃碼支付的風險案件中靜態碼佔比很高,那每天就限額500元,即便是被騙,投資者損失也可控。如用動態碼付款,風險自然少,支付額度就會提升。這也是監管政策的一個良好導向。”