2016-08-04 08:56 来源： 中国商网综合

核心提示： 二维码支付的市场地位正在获得监管层的认可。昨天，有消息称，根据央行要求，中国支付清算协会已于近期下发了《条码支付业务规范》(征求意见稿)。

二维码支付的市场地位正在获得监管层的认可。昨天，有消息称，根据央行要求，中国支付清算协会已于近期下发了《条码支付业务规范》(征求意见稿)。此前已有央行文件确认二维码支付与传统线下银行卡支付业务补充。这是央行自2014年3月份叫停二维码支付后首次官方表态。

近日，支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿)，意见稿中明确指出支付机构开展条码业务需要遵循的安全标准。这是央行在2014年叫停二维码支付以后首次官方承认二维码支付地位。

两年前央行叫停的顾虑

其实，早在两年前央行曾禁用“二维码”支付，但是近两年“二维码支付”却没停止其前进的脚步，据易观智库数据显示，2015年，中国第三方移动支付市场继续保持较高的增长速度，全年市场交易规模达到16.36万亿元人民币，同比涨104.2%。

自2014年3月央行发布了《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》其中对禁用“二维码”有着明确的描述：“相关支付撮合验证方式的安全性尚存质疑，存在一定的支付风险隐患。”

中国金融认证中心（CFCA）专家左小军在从技术角度对二维码支付的风险进行了解答：第一二维码生成机制和传输过程存在风险隐患。不法分子可将带有病毒程序、不良信息的网站或者钓鱼网站的网址发布成二维码形式，然后通过各种手段诱导用户扫码。第二支付终端的安全性较难保障。第三二维码支付指令验证手段较为单一，安全性屏障不够。要么是在手机中输入支付密码，要么是通过短信验证码的方式完成支付指令验证，甚至可通过手机重置支付密码。一旦用户手机丢失或被遥控，可能会直接造成用户资金损失。

目前操作二维码支付的公司主要是支付宝、微信等互联网巨头，其技术能力和风险体系都有行业里的最强的。据一位央行工作人士介绍，之所以禁用“二维码”支付，央行真正担心的是二维码支付冲击现有的线下支付清算体系，而非风险问题。因为央行不希望看到网络支付机构和传统金融机构展开正面竞争，因此在政策上拼命给支付机构设定限额、划定范围，希望能画地为牢。

条码支付交易实行限额管理

文件要求，会员单位应根据交易验证方式的安全级别及《条码支付技术安全指引》关于风险防范能力的分级，对个人客户条码支付业务的交易进行限额管理：

风险防范能力达到A级，采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的，由会员单位与客户通过协议自主约定单日累计限额；风险防范能力达到B级，采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计金额应不超过5000元；风险防范能力达到C级，采用不足两类要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计金额应不超过1000元，且会员单位应当承诺无条件金额承担此类交易的风险损失赔付责任。

对账户信息要进行加密处理

目前扫码支付分两种，一种是用户的客户端上出现条码，商户来扫码；另一种则是商户向用户出示二维码，用户来扫码。在实际生活中，用户并不知晓这些黑白的二维码到底包含了哪些信息，大家比较担心二维码会泄露自己的账户信息。

据观察，征求意见稿规定，对保护用户敏感信息进行了多方面规定。支付机构应通过设置条码使用效期、使用次数等方式，确保条码有效性和真实性，防止条码被重复使用、重复扣款。条码信息不应包含任何与客户及其账户相关的敏感信息，仅限包含当次支付相关信息。

特约商户相关系统生成的条码中，仅限包含与当次支付有关的特约商户、商品(服务)或商品(服务)订单等信息。移动终端展示的、由相关系统生成的条码中，不应直接包含本人账户信息；账户信息应加密处理。

移动终端完成条码扫描后，应正确、完整显示扫码内容，供客户确认。对于移动终端间的小额转账业务，付款方完成扫码后，移动终端应回显隐去姓氏的收款方姓名，供付款方确认。特约商户受理终端完成条码扫描后，应仅显示扫码成功并提示下一步操作，不得向特约商户展示条码中客户相关敏感信息。