條碼支付互聯互通技術規範

在發碼機構的要求上，《規範》明確是支付信息通過Token（d）生成Token（t），並將其展示成付款碼的銀行業金融機構、非銀行支付機構。

在編碼規則上，《規範》均對收款碼和付款碼有支付標記化要求，收款碼則需要區分靜態和動態碼。

　付款碼的生成應符合條碼支付國家及行業相關標準規範的安全要求。付款碼編碼應滿足以下要求：

　（a）編碼總長度在13位至34位。

　（b）使用符合JR/T 0149（《中國金融移動支付 支付標記化技術規範》）要求的支付標記化技術生成付款碼。

　（c）付款碼應包含可識別賬戶管理機構的信息。

收款碼方面，應採用“協定標識://域名/自定義數據”的編碼結構：

協定標識用於金融行業條碼支付的互聯互通，應採用安全協定，如https或其他安全級別不低於https的專用協定。協定標識不區分大小寫。

域名具備唯一性，應採用多級域名，宜採用三級域名。其中：

　（a）二級域名為轉接清算機構或收單機構標識。

　（b）三級域名為自定義域名。

　自定義數據根據具體情況而定，區分大小寫，可採用加密或支付標記化等技術進行保護。若二級域名為轉接清算機構標識，自定義數據應包含可識別收單機構的信息。

自定義數據應明確標識靜態收款碼和動態收款碼。靜態收款碼的自定義數據應包含商戶標識，動態收款碼的自定義數據應包含訂單標識。收款碼整體長度控制在500位元組以內。宜設定風險防控、合規管理相關自定義域段，防範條碼商戶經營地址（註冊地址）、交易限額等支付交易信息被偽造篡改。

　在主要的數據收集方面，無論是收款掃碼還是付款掃碼都需要收集位置信息，具體數據元細目為經度信息與緯度信息。

　這一要求與《中國人民銀行關於加強支付受理終端及相關業務管理的通知》（銀髮〔2021〕259號）中，對條碼支付需要明確其交易位置信息的要求相呼應。而且是在收付款雙重維度，了解位置信息。

在安全要求方面，《規範》要求，不得留存非本機構的支付敏感信息，確有必要留存的，應取得客戶本人及賬戶管理機構的授權後再進行不可逆變換或加密，並定期開展支付敏感信息安全的內部審計。