內容簡介
中國人民銀行關於印發《條碼支付業務規範(試行)》的通知
銀髮〔2017〕296號
為規範條碼支付業務,保護消費者合法權益,維護市場公平競爭環境,促進移動支付業務健康可持續發展,現將《條碼支付業務規範(試行)》(附屬檔案)印發給你們,並將有關工作要求通知如下,請一併遵照執行。
一、嚴格遵循業務資質及清算管理要求
非銀行支付機構(以下簡稱支付機構)向客戶提供基於條碼技術的付款服務的,應當取得網路支付業務許可;支付機構為實體特約商戶和網路特約商戶提供條碼支付收單服務的,應當分別取得銀行卡收單業務許可和網路支付業務許可。
銀行業金融機構(以下簡稱銀行)、支付機構開展條碼支付業務涉及跨行交易時,應當通過人民銀行跨行清算系統或者具備合法資質的清算機構處理。自本通知發布之日起,銀行、支付機構不得新增不同法人機構間直連處理條碼支付業務;存量業務應按照人民銀行有關規定加快遷移到合法清算機構處理。
二、規範條碼支付收單業務管理
條碼支付收單業務,是指收單機構與特約商戶簽訂受理協定,在特約商戶按約定受理基於條碼技術的支付方式並與付款人達成交易後,為特約商戶提供交易資金結算服務的行為。銀行和支付機構在為特約商戶提供條碼支付收單服務時,應執行《銀行卡收單業務管理辦法》(中國人民銀行公告〔2013〕第9號公布)、《中國人民銀行關於加強銀行卡收單業務外包管理的通知》(銀髮〔2015〕199號)等規定。銀行、支付機構應當加強條碼支付收單業務管理,嚴格遵守商戶實名制、商戶風險評級、交易風險監測等基本規定。為實體特約商戶提供收單服務,應履行本地化經營、商戶定期巡檢責任;為網路特約商戶提供收單服務,應強化對網路支付接口的使用管理和交易監測,採取有效的檢查措施和技術手段對其經營內容和交易情況進行檢查。銀行、支付機構與外包服務機構開展條碼支付業務合作的,應明確外包服務機構定位,加強管理,防範業務風險。
三、發揮行業自律作用
銀行、支付機構從事條碼支付業務,應接受中國支付清算協會行業自律管理。中國支付清算協會應將條碼支付特約商戶納入協會特約商戶信息管理系統管理;對條碼支付外包服務機構,一併納入中國支付清算協會銀行卡收單外包服務機構評級體系管理。對被實名舉報涉嫌違法違規開展條碼支付業務的,中國支付清算協會應按照《支付結算違法違規行為舉報獎勵辦法》(中國人民銀行公告〔2016〕第7號公布)及其實施細則的相關要求進行處理。
四、加大監督檢查力度
已開展條碼支付業務的銀行、支付機構應當全面梳理自身條碼支付業務情況(含境內、跨境、境外業務)並形成報告,包括但不限於按年度統計的業務量、產品介紹、業務流程、技術方案、風險管理機制、境內外機構合作情況、資金清算模式、收費標準及利潤分配機制、客戶權益保護措施、外包服務機構信息及外包範圍、以及根據本通知進行自查的情況及整改方案等。2018年1月31日前,全國性銀行將報告報送人民銀行總行,其他銀行和支付機構將報告報送法人所在地人民銀行分支機構。
銀行、支付機構和清算機構開展條碼支付業務創新,拓展跨境、境外條碼支付業務的,應當至少提前30日向人民銀行總行或法人所在地人民銀行分支機構報告。
人民銀行分支機構依法對轄區內銀行、支付機構條碼支付業務進行監督管理,加大檢查力度,對違規行為應按照《非金融機構支付服務管理辦法》(中國人民銀行令〔2010〕第2號發布)、《銀行卡收單業務管理辦法》、《非銀行支付機構網路支付業務管理辦法》(中國人民銀行公告〔2015〕第43號公布)等相關規定予以處理;對情節嚴重的,依照《中華人民共和國中國人民銀行法》第四十六條規定予以處罰。
請人民銀行分支機構將本通知轉發至轄區內城市商業銀行、農村商業銀行、農村合作銀行、農村信用社、村鎮銀行、外資銀行。
附屬檔案:條碼支付業務規範(試行)
中國人民銀行
2017年12月25日
規範
條碼支付業務規範(試行)
第一章 總則
第二條 本規範所稱條碼支付業務是指銀行業金融機構(以下簡稱銀行)、非銀行支付機構(以下簡稱支付機構)套用條碼技術,實現收付款人之間貨幣資金轉移的業務活動。
條碼支付業務包括付款掃碼和收款掃碼。付款掃碼是指付款人通過移動終端識讀收款人展示的條碼完成支付的行為。收款掃碼是指收款人通過識讀付款人移動終端展示的條碼完成支付的行為。
第三條 銀行、支付機構開展條碼支付業務應遵循本規範。
第四條 支付機構開展條碼支付業務,應按規定取得相應的業務許可,並按相應管理辦法規範開展業務。
第五條 支付機構不得基於條碼技術,從事或變相從事證券、保險、信貸、融資、理財、擔保、信託、貨幣兌換、現金存取等業務。
第六條 銀行、支付機構開展條碼支付業務應遵守客戶實名制管理規定;遵守反洗錢法律法規要求,履行反洗錢和反恐怖融資義務;依法維護客戶及相關主體的合法權益。
第七條 銀行、支付機構應自覺遵守商業道德,不得以任何形式詆毀其他市場主體的商業信譽,不得採用不正當競爭手段排擠競爭對手、損害其他市場主體利益,破壞市場公平競爭秩序。
第八條 銀行、支付機構應遵守中國人民銀行發布的相關技術標準與規範要求,保證條碼支付業務的交易安全和信息安全。
第二章 條碼生成和受理
第九條 銀行、支付機構開展條碼支付業務,應將客戶用於生成條碼的銀行賬戶或支付賬戶、身份證件號碼、手機號碼進行關聯管理。
第十條 銀行、支付機構開展條碼支付業務,可以組合選用下列三種要素,對客戶條碼支付交易進行驗證:
(一)僅客戶本人知悉的要素,如靜態密碼等;
(二)僅客戶本人持有並特有的,不可複製或者不可重複利用的要素,如經過安全認證的數字證書、電子簽名,以及通過安全渠道生成和傳輸的一次性密碼等;
(三)客戶本人生物特徵要素,如指紋等。
銀行、支付機構應當確保採用的要素相互獨立,部分要素的損壞或者泄露不應導致其他要素損壞或者泄露。
第十一條 採用數字證書、電子簽名作為驗證要素的,數字證書及生成電子簽名的過程應符合相關規定,應確保數字證書的唯一性、完整性及交易的不可抵賴性。
採用一次性密碼作為驗證要素的,應當切實防範一次性密碼獲取端與支付指令發起端為相同物理設備而帶來的風險,並將一次性密碼有效期嚴格限制在最短的必要時間內。
採用客戶本人生物特徵作為驗證要素的,應當符合國家、金融行業標準和相關信息安全管理要求,防止被非法存儲、複製或重放。
第十二條 銀行、支付機構應根據《條碼支付安全技術規範(試行)》(銀辦發〔2017〕242號)關於風險防範能力的分級,對個人客戶的條碼支付業務進行限額管理:
(一)風險防範能力達到A級,即採用包括數字證書或電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,可與客戶通過協定自主約定單日累計限額;
(二)風險防範能力達到B級,即採用不包括數字證書、電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過5000元;
(三)風險防範能力達到C級,即採用不足兩類要素對交易進行驗證的,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過1000元;
(四)風險防範能力達到D級,即使用靜態條碼的,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過500元。
第十三條 支付機構向客戶開戶銀行傳送支付指令,扣劃客戶銀行賬戶資金的,同一客戶全部銀行賬戶合計日累計交易限額執行第十二條的規定。
第十四條 銀行、支付機構提供付款掃碼服務的,應具備差異化的風控措施和完善的客戶權益受損解決機制,在條碼生成、識讀、支付等核心業務流程中明確提示客戶支付風險,切實防範不法分子通過在條碼中植入木馬、病毒等方式造成客戶信息泄露和資金損失。
第十五條 銀行、支付機構提供收款掃碼服務的,應使用動態條碼,設定條碼有效期、使用次數等方式,防止條碼被重複使用導致重複扣款,確保條碼真實有效。
第十六條 銀行、支付機構開展條碼支付業務所涉及的業務系統、客戶端軟體、受理終端(網路支付接口)等,應當持續符合監管部門及行業標準要求,確保條碼生成和識讀過程的安全性、真實性和完整性。
第十七條 銀行、支付機構應按照中國人民銀行相關規定強化支付敏感信息內控管理和安全防護,強化交易密碼保護機制;通過支付標記化技術套用等手段,從源頭控制信息泄露和欺詐交易風險。
第十八條 銀行、支付機構應指定專人操作與維護條碼生成相關係統。條碼信息僅限包含當次支付相關信息,不應包含任何與客戶及其賬戶相關的支付敏感信息。
特約商戶展示的條碼,僅限包含與當次支付有關的特約商戶、商品(服務)或商品(服務)訂單等信息。
移動終端展示的條碼,不得包含未經加密處理的客戶本人賬戶信息。
第十九條 銀行、支付機構應確保條碼支付交易經客戶確認或授權後發起,支付指令應真實、完整、有效。
移動終端完成條碼掃描後,應正確、完整顯示掃碼內容,供客戶確認。
特約商戶受理終端完成條碼掃描後,應僅顯示掃碼結果並提示下一步操作,不得顯示付款人的支付敏感信息。
第二十條 銀行、支付機構應根據條碼支付的真實場景,按規定正確選用交易類型,準確標識交易信息並完整傳送,確保交易信息的完整性、真實性和可追溯性。
交易信息至少應包括:直接提供商品或服務的特約商戶名稱、類別和代碼,受理終端(網路支付接口)類型和代碼,交易時間和地點(網路特約商戶的網路地址),交易金額,交易類型和渠道,交易發起方式等。網路特約商戶的交易信息還應當包括訂單號和網路交易平台名稱。
銀行、支付機構應在支付交易報文中通過特定域標識該交易為條碼支付交易,以供報文接收方正確識別並進行授權處理。
第二十一條 支付交易完成後,特約商戶受理終端和移動終端應顯示支付結果;支付失敗的,特約商戶受理終端和移動終端還應顯示失敗原因。
第三章 特約商戶管理
第二十二條銀行、支付機構拓展條碼支付特約商戶,應遵循“了解你的客戶”原則,確保所拓展的是依法設立、合法經營的特約商戶。
第二十三條中國支付清算協會、清算機構應將條碼支付特約商戶納入特約商戶信息管理系統及黑名單管理機制。銀行、支付機構拓展特約商戶時,應進行查詢確認,如商戶及其法定代表人或負責人在特約商戶信息管理系統中存在不良信息記錄的,應謹慎為該商戶提供條碼支付服務;不得將已納入黑名單的單位和個人,以及由納入黑名單個人擔任法定代表人或者負責人的單位拓展為特約商戶,已經拓展為特約商戶的,應當自該特約商戶被列入黑名單之日起10日內予以清退。
第二十四條 銀行、支付機構拓展特約商戶應落實實名制規定,嚴格審核特約商戶的營業執照等證明檔案,以及法定代表人或負責人的有效身份證件等申請材料,確認申請材料的真實性、完整性、有效性,並留存申請材料的影印件或複印件。
對依據法律法規和相關監管規定免於辦理工商註冊登記的實體特約商戶(小微商戶),收單機構在遵循“了解你的客戶”原則的前提下,可以通過審核商戶主要負責人身份證明檔案和輔助證明材料為其提供條碼支付收單服務。輔助證明材料包括但不限於營業場所租賃協定或者產權證明、集中經營場所管理方出具的證明檔案等能夠反映小微商戶真實、合法從事商品或服務交易活動的材料。
以同一個身份證件在同一家收單機構辦理的全部小微商戶基於信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元。銀行、支付機構應當結合小微商戶風險等級動態調整交易卡種、交易限額、結算周期等,強化對小微商戶的交易監測。
第二十五條 銀行、支付機構應與特約商戶簽訂條碼支付受理協定,就銀行結算賬戶的設定和變更、資金結算周期、結算手續費標準、差錯和爭議處理等條碼支付服務相關事項進行約定,明確雙方的權利、義務和違約責任。
第二十六條銀行、支付機構在條碼支付受理協定中,應要求特約商戶基於真實的商品或服務交易背景受理條碼支付;按規定使用受理終端或網路支付接口、銀行結算賬戶,不得利用其從事或協助他人從事非法活動;妥善處理交易數據信息、保存交易憑證,保障交易信息安全;不得向客戶收取或變相收取附加費用,或降低服務水平。
第二十七條 銀行、支付機構應建立特約商戶信息管理系統,記錄特約商戶名稱和經營地址、特約商戶身份資料信息、特約商戶類別、結算手續費標準、銀行結算賬戶信息、開通的交易類型和開通時間、受理終端(網路交易接口)類型和安裝地址等信息,並及時進行更新。
銀行、支付機構應按規定向中國支付清算協會和清算機構特約商戶信息管理系統報送特約商戶基本信息。
第二十八條 銀行、支付機構應建立特約商戶檢查制度,明確檢查頻率、檢查內容、檢查記錄等管理要求,落實檢查責任。
第二十九條 銀行、支付機構應當對實體特約商戶條碼收單業務進行本地化經營和管理,通過在特約商戶及其分支機構所在省(區、市)轄內的收單機構或其分支機構提供收單服務,不得跨省(區、市)開展條碼收單業務。
第三十條銀行、支付機構應按照《中國人民銀行關於加強銀行卡收單業務外包管理的通知》(銀髮〔2015〕199號)相關要求審慎選擇外包服務機構,嚴格規範與外包服務機構的業務合作,強化收單外包業務的風險管理責任。銀行、支付機構作為條碼支付收單業務主體的管理責任和風險承擔責任不因外包關係而轉移。
銀行、支付機構不得將特約商戶資質審核、受理協定簽訂、資金結算、交易處理、風險監測、受理終端主密鑰生成和管理、網路支付接口管理、差錯和爭議處理工作交由外包服務機構辦理。銀行、支付機構與外包服務機構系統對接開展業務的,應確保外包服務機構無法獲取或者接觸支付敏感信息、不得從事或者變相從事特約商戶資金結算。
第三十一條 銀行、支付機構應尊重特約商戶的自主選擇權,不得干涉或變相干涉特約商戶與其他機構的合作。
第三十二條 銀行、支付機構開展條碼支付業務應參照銀行卡刷卡手續費定價標準科學合理定價,不得採用交叉補貼、低於成本價格傾銷等不正當手段排擠競爭對手,擾亂市場秩序。
第四章 風險管理
第三十三條 銀行、支付機構應建立全面風險管理體系和內部控制機制,提升風險識別能力,採取有效措施防範風險,及時發現、處理可疑交易信息及風險事件。
第三十四條 銀行、支付機構開展條碼支付業務,應當評估業務相關的洗錢和恐怖融資風險,採取與風險水平相適應的管控措施。
第三十五條 銀行、支付機構應建立特約商戶風險評級制度,綜合考慮特約商戶的區域和行業特徵、經營規模、財務和資信狀況等因素,對特約商戶進行風險評級。
第三十六條 銀行、支付機構應結合特約商戶風險等級及交易類型等因素,設定或與其約定單筆及日累計交易限額。
第三十七條 銀行、支付機構對風險等級較高的特約商戶,應通過強化交易監測、建立特約商戶風險準備金、延遲清算等風險管理措施,防範交易風險。
第三十八條 銀行、支付機構應建立特約商戶檢查、評估制度,根據特約商戶的風險等級,制定不同的檢查、評估頻率和方式,並保留相關記錄。
第三十九條 銀行、支付機構應制定突發事件應急預案,建立災難備份系統,確保條碼支付業務的連續性和業務系統安全運行。
第四十條 銀行、支付機構應能夠有效識別本機構發行的客戶端程式和特約商戶受理終端,能夠確保條碼生成和識讀過程的安全性。
第四十一條 銀行、支付機構應確保客戶身份或賬戶信息安全,防止泄露,並根據收付款不同業務場景設定條碼有效性和使用次數。
第四十二條 銀行、支付機構應建立條碼支付交易風險監測體系,及時發現可疑交易,並採取阻斷交易、聯繫客戶核實交易等方式防範交易風險。
第四十三條 銀行、支付機構發現特約商戶發生疑似套現、洗錢、恐怖融資、欺詐、留存或泄露賬戶信息等風險事件的,應對特約商戶採取延遲資金結算、暫停交易、凍結賬戶等措施,並承擔因未採取措施導致的風險損失責任;發現涉嫌違法犯罪活動的,應及時向公安機關報案。
第四十四條 銀行、支付機構應持續完善客戶服務體系,及時受理和解決條碼支付業務中的客戶諮詢、查詢和投訴等問題,自覺維護客戶的合法權益。
第四十五條 銀行、支付機構應充分披露條碼支付業務產品類型、辦理流程、操作規程、收費標準等信息,明確業務風險點及相關責任承擔機制、風險損失賠付方式及操作方式。
第四十六條 銀行、支付機構應開展對客戶的條碼支付安全教育,提升其風險防範意識和應對能力。
第四十七條 銀行、支付機構應向中國支付清算協會、清算機構風險信息管理系統報送其條碼支付特約商戶風險信息。
銀行、支付機構或其外包服務機構、條碼支付特約商戶發生涉嫌重大支付違法犯罪案件或重大風險事件的,應當於2個工作日內向中國人民銀行或其分支機構報告。
第五章 附則
第四十八條 採取自定義符號、圖形、圖像等作為信息載體傳遞交易信息用於支付服務的,參照本規範進行管理。
第四十九條 本規範相關用語含義如下:
移動終端,指客戶使用的、具有移動通訊功能,用於展示或識讀條碼,完成支付的終端設備。如手機、平板電腦等。
特約商戶受理終端,指具有條碼展示或識讀等功能,參與條碼支付完成銷售收款的特約商戶端專用設備。包括具有條碼展示功能的顯碼設備;識讀條碼並且向後台系統發起支付指令的專用設備,包括但不限於帶掃碼裝置的收銀系統、銷售點終端(POS)、自助終端等。
支付敏感信息,是指一旦遭到泄露或修改,會對標識的信息主體的信息安全和資金安全造成危害的信息。包括但不限於支付密碼、銀行卡密碼、驗證碼、卡片有效期、生物特徵以及未獲客戶授權的金融信息。
第五十條 本規範自2018年4月1日起實施。
內容解讀
為貫徹落實黨的十九大精神和第五次全國金融工作會議有關部署,鼓勵並規範金融創新,引導信息技術在金融領域正確套用,提升金融服務實體經濟能力,人民銀行日前發布《中國人民銀行關於印發<條碼支付業務規範(試行)>的通知》(銀髮〔2017〕296號),配套印發了《條碼支付安全技術規範(試行)》和《條碼支付受理終端技術規範(試行)》(銀辦發〔2017〕242號發布),自2018年4月1日起實施。
近年來條碼支付業務快速發展,在小額、便民支付領域顯現出門檻低、使用便捷的優勢,市場份額持續增長,成為移動支付發展的重要體現形式。同時,條碼支付的技術實現方式和業務風險相對傳統銀行卡支付具有其特殊性,部分市場機構在業務開展中也存在擾亂公平競爭秩序、支付風險防範不到位等問題。人民銀行秉承有效平衡鼓勵創新與防範風險原則,一直密切關注創新支付業務發展。為促進條碼支付健康可持續發展,人民銀行指導中國支付清算協會組織市場機構、專家學者就條碼支付相關問題開展充分研討並達成高度共識,研究制定了相應業務規範和技術規範。在業務規範方面,銀行業金融機構、非銀行支付機構開展條碼支付業務涉及跨行交易時,必須通過人民銀行清算系統或者合法清算機構處理,支付機構還應符合相應的業務資質要求。為消費者提供條碼支付付款服務的,應當立足於小額、便民市場定位,按照風險防範能力等級,對條碼支付額度進行分級管理,在風險防範和支付便捷中取得有效平衡。為特約商戶提供條碼支付收單服務的,應執行銀行卡收單業務管理相關要求,切實履行商戶管理、交易風險監測等收單主體責任,強化對收單外包機構管理。
在技術規範方面,銀行業金融機構、非銀行支付機構和清算機構要加強條碼支付技術風險防控,合理運用支付標記化、可信執行環境、條碼防偽識別等手段,提升條碼支付客戶端軟體安全防護能力,規範條碼支付交易報文管理,保障交易信息的真實性、完整性、一致性、可追溯性,構建以受理終端註冊、大數據分析為基礎的條碼支付創新風險管理機制。要加強標準落地實施,強化條碼支付產品質量和安全管理,提升條碼支付產品的技術標準符合性和安全性,切實保障金融消費者的財產安全和合法權益。
上述通知和規範旨在遵循“鼓勵創新、防範風險、趨利避害、健康發展”的總體要求,指導產業各方正確處理安全與發展的關係,在嚴守金融安全底線和業務規範的基礎上開展支付創新,提供安全、高效的條碼支付服務,積極推進普惠金融發展,維護公平競爭的市場環境,促進支付產業健康可持續發展,為人民民眾提供安全便利的金融服務。
規範解讀
出台背景
條碼支付具有支付便捷、套用門檻低的優勢,在推動普惠金融和最佳化我國非現金支付環境建設方面能夠發揮積極作用。對創新支付的監管,人民銀行一貫秉承“鼓勵創新,防範風險”並重的原則。自本世紀初,國內外各市場主體開始嘗試將條碼技術運用於移動支付領域,以提升支付便捷性和用戶體驗。為鼓勵市場機構業務創新,2011年,人民銀行同意部分非銀行支付機構(以下簡稱支付機構)在限定場景內試點開展條碼支付業務,審慎地將條碼定位於銀行卡支付的補充,並提出嚴格的風險管理要求。2014年,在未建立有效安全措施、統一的業務規則和消費者權益保護制度的背景下,部分支付機構採取持續補貼的方式廣泛推廣條碼支付業務,人民銀行對其採取了暫停線下條碼支付業務的監管措施。隨著近年來支付標記化(Tokenization)等技術在移動支付中的廣泛套用,客觀上提高了條碼支付的安全標準。但是,囿於缺乏統一的業務規範和技術標準,在條碼生成機制和傳輸過程中仍存在風險隱患,也引發了支付安全的風險案件,市場機構在業務推廣過程中還存在不正當競爭等現象。
為貫徹落實黨的十九大和第五次全國金融工作會議精神,鼓勵並規範金融創新,促進條碼支付健康可持續發展,人民銀行指導中國支付清算協會組織會員單位、專家學者進行研究論證,研究制定了條碼支付業務規範和技術規範,並通過書面徵求意見、召開專題會議等形式充分聽取各方意見建議並修改完善,實現了監管與市場的順暢溝通和有效互動,達成了高度共識。
存在問題
一是條碼支付在降低商戶準入門檻的同時,加劇收單市場亂象。由於條碼支付設備成本低於傳統的銀行卡受理終端,還可通過張貼靜態條碼實現收付款業務,能夠滿足小微商戶的非現金支付受理需求,與銀行卡收單互為補充,提升社會整體支付服務水平。但是,部分市場機構利用條碼可遠程傳送、不受專業受理終端限制的特點,在商戶拓展過程中未履行“了解你的客戶”義務,通過“一證下機”等方式違規發展商戶,加劇了套現、二清、外包管理不到位等收單亂象,存在各類安全隱患,對市場可持續發展造成較大的危害。
二是條碼支付在促進移動支付普及發展的同時,出現擾亂市場公平競爭秩序的現象。近年來,條碼支付在小額、便民支付領域市場份額持續增加,促進了移動支付的快發展和普惠金融的廣覆蓋。但是,部分市場機構在開展條碼支付業務時,在定價和市場推廣策略中採取傾銷、交叉補貼等不正當競爭手段,濫用本機構及關聯企業的市場優勢地位,排除、限制支付服務競爭,導致支付行業無序發展和不公平競爭,擾亂市場秩序。
三是條碼支付藉助開放網際網路和非專業設備進行交易處理,帶來一定的技術風險。包括:可視化風險,條碼在開放網際網路環境下以圖形化方式進行展示,不法分子可通過截屏、偷拍等手段盜取支付憑證,在支付憑證有效期內盜用資金;易攜帶惡意代碼的風險,條碼不僅可存儲支付要素,也可攜帶非法連結或程式代碼,不法分子可將木馬病毒、釣魚網站連結製成條碼,誘導客戶掃描,竊取支付敏感信息;信息單向互動風險,條碼支付只能實現發起方或接收方的單向信息互動,不法分子可利用該弱點實施“中間人攻擊”,繞過身份認證機制,造成用戶資金損失;掃碼設備安全強度低的風險,條碼支付對設備要求低,普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設備均可識別條碼,易被不法分子非法改裝使用。
主要措施
一是強調業務資質要求。明確支付機構向客戶提供基於條碼的付款服務時,應取得網路支付業務許可;支付機構為實體特約商戶和網路特約商戶提供條碼支付收單服務的,應當分別取得銀行卡收單業務許可和網路支付業務許可。
二是重申清算管理要求。針對部分支付機構與多家銀行業金融機構(以下簡稱銀行)或支付機構直連進行商戶拓展,進一步強化了支付機構與銀行多頭直連的現象,明確要求銀行、支付機構開展條碼支付業務涉及跨行交易時,應當通過人民銀行跨行清算系統或者具備合法資質的清算機構處理。
三是要求維護市場公平競爭秩序。市場機構不得以任何形式詆毀其他市場主體的商業信譽,不得採用不正當競爭手段損害其他市場主體利益、排擠競爭對手,破壞市場公平競爭秩序。
四是規範條碼生成和受理。提出交易驗證方式、交易限額管理、信息管理和安全防護,靜態條碼套用管理、綜合套用支付標記化技術等措施,保障條碼支付業務的安全性。
五是加強商戶管理和風險管理。從特約商戶資質審核、受理協定簽訂、商戶風險評級、商戶檢查,以及交易風險監測,客戶安全教育等方面提出要求,強化業務風險管理。
風險要求
一是加強條碼安全防護。採取支付標記化(Tokenization)、有效期控制、條碼防偽識別等手段,提升條碼生成、存儲、展示、識讀、解析、使用等環節的安全防護能力,有效保障條碼的可靠性和有效性。
二是提升條碼支付交易安全強度。針對不同條碼生成方式,提出加密生成、定期更新、終端唯一標識綁定等具有針對性的安全防護措施。要求銀行、支付機構和清算機構運用交易驗證強度與交易額度相匹配的技術措施提高條碼支付交易的安全性。
三是強化條碼支付交易風險監測與預警。合理套用大數據分析、用戶行為建模等手段建立條碼支付風險監控模型和系統,對異常交易及時預警並附加風控措施,對高風險交易及時告知客戶資金變化情況。
四是加強客戶端軟體安全管理。從木馬病毒防範、信息加密保護、運行環境可信等方面提升條碼支付客戶端軟體的安全防護能力,要求客戶端軟體能夠監測並向後台系統反饋手機支付環境安全狀況並作為風控策略的依據。
安全制約
支付服務屬於金融服務,與社會經濟運行和百姓日常生活密切相關,支付安全關乎人民民眾財產安全和合法權益,穩健經營關乎產業的健康可持續發展。便捷的使用方式、良好的用戶體驗是支付創新的生命力,但不能單純追求無底線的創新;穩定、可持續的投入和運營是支付業務長遠發展的保障,不能為了追求短期的市場份額,採取“燒錢”“補貼”等不當競爭手段。通知和規範旨在指導相關單位正確處理安全與發展的關係,在嚴守安全底線的基礎上開展支付創新,維護公平競爭的市場環境,促進行業健康可持續發展,為人民民眾提供安全便利的金融服務。通知和規範提出的業務規範要求和安全管理措施非但不會制約支付創新發展,反而能夠指引支付業務創新沿著安全規範的方向發展,確保創新業務的質量和效能,保障行業發展的穩健和長遠。
如何實施
業務規範的落地實施要通過構建企業自我管理、行業組織自律、主管部門監管、社會全面監督多位一體的管理體系,保障各項要求落實到位。已開展業務的銀行業金融機構、支付機構應當全面梳理自身條碼支付業務情況,根據規範要求進行自查和整改。開展條碼支付業務創新的,應當履行提前報告義務。銀行、支付機構從事條碼支付業務,應接受中國支付清算協會行業自律管理,並充分發揮違法違規舉報獎勵機制的作用,淨化市場發展環境。人民銀行分支機構依法對轄區內銀行、支付機構條碼支付業務進行監督管理,加大檢查力度,對違規行為,應依法嚴肅處理。
技術規範的落地實施需要從產品質量管理、入網管理、專項檢查、安全評估等方面多管齊下,切實提升條碼支付技術風險防控能力。銀行、支付機構要嚴格落實技術規範提出的各項要求,強化條碼支付產品安全管理,健全條碼支付風險防控機制,使用符合國家標準及金融行業標準的產品,確保相關業務系統、受理終端等的技術標準符合性。清算機構要強化受理終端入網管理,完善終端定期抽檢機制,加強終端抽樣檢測力度。人民銀行分支機構要定期對條碼支付相關業務系統、受理終端等組織開展專項抽查,強化條碼支付技術管理。
報文管理要求
一是採用數字簽名、加密傳輸等措施,加強支付指令真實性。二是在交易報文中準確記錄發起方、接收方、網路路由、唯一交易流水號等關鍵信息,保障交易可追溯性和一致性。三是完善商戶、渠道、訂單等交易信息,精準刻畫交易全貌,確保支付指令完整性。
風險防控措施
靜態條碼易被篡改或變造,易攜帶木馬或病毒,真偽難辨,導致支付風險較高。因此,提出了一系列防範靜態條碼風險的措施:一是要求靜態條碼應由後台伺服器加密生成,宜採用防偽紙張展示條碼,防偽紙張應具備一定防偽特徵。二是要求展示靜態條碼的介質應放置在商戶收銀員視線範圍內,商戶應定期對介質進行檢查。三是要求靜態條碼採用防護罩等物理防護手段避免被覆蓋或替換,宜使用防偽標籤對防護罩進行標記。四是要求在靜態條碼介質顯著位置明顯展示收款方信息,便於用戶核對。五是通過風險防範能力分級管理,進一步規範使用靜態條碼,並鼓勵使用風險防範能力較高的收款掃碼方式。
交易限額
條碼支付與傳統銀行卡等支付工具相比在交易安全性上存在一定不足,人民銀行堅持條碼支付小額、便民的定位,對條碼支付風險防範能力進行分級。發行條碼的銀行、支付機構應根據風險防範能力等級,在確保風險可控和儘量滿足用戶需求的前提下科學合理設定相匹配的日累計交易限額。
使用動態條碼進行支付的,風險防範能力分級見下表。
| | |
| |
| 採用包括數字證書或電子簽名在內的兩類(含)以上有效要素進行驗證 | | |
| 採用不包括數字證書、電子簽名在內的兩類(含)以上有效要素進行驗證 | | |
| | | |
使用靜態條碼進行支付的,風險防範能力為D級,無論使用何種交易驗證方式,同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額應不超過500元。
為引導銀行、支付機構提高交易驗證方式的安全性,加強客戶資金安全保護,對於風險防範能力高、交易驗證方式更為安全的,不設定額度上限,市場主體可與客戶自行約定交易限額。基於防替換、防盜刷等安全因素角度考慮,要求銀行、支付機構使用靜態條碼支付時要執行更加嚴格的限額管理措施,以鼓勵市場主體採用更為安全的動態條碼提供支付服務。依據主要市場機構條碼支付交易數據顯示,上述額度已覆蓋絕大部分使用條碼支付付款客戶及商戶的需求。
具體要求
加強對條碼支付特約商戶管理的目的在於排除風險商戶,防範和遏制不法分子利用條碼支付業務隱藏木馬病毒、進行洗錢、欺詐等犯罪活動,更好地維護條碼支付業務參與各方的合法權益。考慮到條碼支付業務涉及銀行賬戶和支付賬戶,且可套用於網路特約商戶和實體特約商戶,為保持監管制度和標準的一致性,我們遵循銀行卡收單業務管理的相關要求,從條碼支付特約商戶拓展、特約商戶審批、特約商戶信息留存及管理、黑名單管理、實體商戶屬地化管理、外包業務管理等方面明確了具體的管理要求。同時,為了兼顧小微商戶受理條碼支付的需求,促進普惠金融發展,明確在符合相關資質審核和認定的前提下,小微商戶可以受理條碼支付;同時,為了防範套現等交易風險,對以同一個身份證件在同一家收單機構辦理的全部小微商戶基於信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元,但受理基於借記卡的條碼支付不受收款額度的限制。