买个煎饼果子都扫码！央行出手整治“扫一扫”

本篇文章4092字，读完约10分钟

条形码(如二维码)支付已经被广泛使用，一个红爷爷不可能在一个月内花完它。外出消费依赖于扫描码，甚至薄饼水果摊的店主也接受“扫描”...

条形码支付不仅给人们的生活带来了便利，也积累了一些潜在的风险。偷刷、在木马病毒中植入二维码等问题时有发生，这让杨妈很伤心。因此，为了规范条码支付，12月27日，中央银行发布了《条码支付业务规范(试行)》(以下简称《规范》)。新规定将对消费者使用条形码支付实行交易限额管理，同时也对特殊商户接受条形码支付进行收款提出了相应的要求。

首先看看核心要点:

1.对于消费者来说，该准则鼓励消费者使用动态条形码进行支付，并根据不同的交易验证方法将风险防范能力分为三个级别:a、b、c、d。不同级别有不同的每日交易限额；特别是对于静态条码支付，同一客户的单个银行账户或所有支付账户和快递支付的累计交易金额不应超过500元。

2.对于商户，条码支付的特约商户将实行实名制管理。特约商户应提交营业执照等证明文件，以及法定代表人或负责人的有效身份证件等申请材料。条码支付商户将被纳入特约商户信息管理系统和黑名单管理机制，黑名单上的商户将无法开展条码收款业务。

3.对于银行和支付机构，强调业务资格要求。很明显，当支付机构向客户提供基于条形码的支付服务时，它应该获得在线支付服务的许可证；支付机构为实体特约商户和网络特约商户提供条码支付收单服务的，应当分别取得银行卡收单业务许可证和网络支付业务许可证。

同时，银行和支付机构应加强对条码支付收单业务的管理，严格遵守商户实名制、商户风险评级和交易风险监控的基本规定。为实体特约商户提供收购服务，应履行本地化经营和定期检查商户的责任；为网络商户提供收单服务，应加强网络支付接口的使用管理和交易监控，采取有效的检查措施和技术手段对其业务内容和交易进行检查。

4.已开展条码支付业务的银行和支付机构应全面梳理其条码支付业务(包括境内、跨境和境外业务)并形成报告，包括但不限于年度业务量、产品介绍、业务流程、技术方案、风险管理机制、境内外机构合作、资金结算方式、收费标准和利润分配机制、客户权益保护措施、外包服务机构信息和外包范围等。 并根据本通知进行自查。2018年1月31日前，全国性银行将向中国人民银行总行报送报告，其他银行和支付机构将向法人所在地中国人民银行分支机构报送报告。

5.该守则将于2018年4月1日正式实施。

条形码支付将受到分级限制，鼓励使用动态代码

在理解代码之前，我们应该首先理解两个概念。代码将条码支付分为支付扫描代码和收款扫描代码:

“支付扫描码”是指付款人通过手机、PADs等移动终端读取收款人显示的条码完成支付的行为，是用户的主动扫描码支付，俗称“主扫描”；

“收款码扫描”是指收款人通过读取付款人移动终端显示的条码来完成收款的行为，是用户对付款的被动码扫描，俗称“扫描”。

因为在以前的试点应用中，条码支付的风险甚至用户资金的损失大多发生在“主扫描”，尤其是“主扫描”静态条码，《规范》限制了静态扫描码的限额，限制了银行和支付机构开展支付扫描码服务。具体的行为和风险控制措施要求他们提供客户权利损害解决机制等具体条款，并引导付款人在安全加密和设置有效期(一般为一次性条形码)后对动态条形码进行“主扫描”，并将商户

一般来说，由于病毒或危险链接可能隐藏在外部商家的二维码中，让对方在扫描码进行支付时尽可能多地扫描我们也是一种消费者的自我保护。

为了保护消费者资金的安全，《标准》要求对支付者进行分级管理，分级的依据是交易验证方法与支付中使用的静态或动态条形码的区别。不同级别的具体分类标准和交易限额如下:

这里需要强调的是，首先，分级配额管理的目标是消费者和其他付款人，而不是商家和其他付款人。也就是说，将来用二维码消费一定要有额度管理，但是没有额度要求。

其次，最常用的条形码支付方式是静态条形码。例如，在薄饼水果摊上张贴了一张二维代码地图，供顾客扫描代码进行支付。但是如果有一天一个土皇帝来了，订购了100多个薄饼水果，但是这些薄饼水果的价格超过了一天500元的支付限额，怎么办？

这时，薄饼水果摊的老板可以选择拿出他的手机，点击收取和支付，将静态代码改为动态代码，然后收取钱！这也表明《守则》鼓励使用动态条形码，毕竟这样更安全。

此外，即使我们习惯使用静态代码支付，一天500元的限额也不会影响交易体验。据市场统计，95%的条码支付业务量是500元以下的单笔小额交易，2017年上半年平均交易金额约为100元。该数据充分体现了条形码支付金额小、方便快捷的特点。

加强对条码支付特约商户的管理

在通过分级配额管理为消费者和其他付款人提供安全保护的同时，该守则还从商家的角度加强了对特殊商家的法律合规性的管理。

《规范》要求，具备开展条码支付业务资格的银行和支付机构应遵循“了解客户”的原则，确保扩大后的特约商户合法设立和合法经营，执行实名制规定，严格审核特约商户的营业执照等证明文件，以及法定代表人或负责人的有效身份证等申请材料，确认申请材料的真实性、完整性和有效性，并保留申请材料的复印件或复印件。

更重要的是，并非所有商户都可以通过提交相关负责人的营业执照和有效身份证件，开通条码采集服务，成为特约商户。一些有不良信息记录的商户将无法成为特殊商户。

根据《规范》，中国支付清算协会和清算机构应将条码支付特约商户纳入特约商户信息管理系统和黑名单管理机制。银行和支付机构在拓展特约商户时，应进行查询和确认。如果商户及其法定代表人或负责人在特约商户信息管理系统中有不良信息记录，应认真为商户提供条码支付服务；列入黑名单的单位和个人，以及以列入黑名单的个人为法定代表人或责任人的单位，不得扩大为特约商户。如已扩展为特约商户，应在特约商户被列入黑名单之日起10日内退出。

据央行相关负责人介绍，加强条码支付特约商户管理的目的是为了排除风险商户，防止和遏制犯罪分子利用条码支付业务隐藏木马病毒，进行洗钱、诈骗等犯罪活动，更好地维护条码支付业务相关各方的合法权益。

在现实生活中，一些没有营业执照的小微企业也需要接受条形码支付，除了那些有营业执照的开条形码获取服务。为了满足小微企业的需求，《守则》规定小微企业在满足相关资质审查和认证的前提下，可以接受条形码支付。收单机构可以通过查看商户主要负责人的身份证件和辅助证明材料，为商户提供条码支付收单服务。辅助证明材料包括但不限于经营场所租赁协议或产权证明、集中经营场所管理部门出具的证明文件，以及能够真实、合法反映小微企业商品或服务交易活动的其他材料。

同时，为防范信用卡套现等交易风险，同一收单机构同一身份证办理的所有小微业务，基于信用卡条码的日累计支付金额不得超过1000元，月累计金额不得超过10000元，但基于借记卡的条码支付受理不受支付金额限制。

此外，还有一批既没有营业执照也没有大规模经营的特殊“商人”。他们甚至不是小微商人，而是小生意小贩，如水果摊和小卖部。这类商家在开条码支付时，往往会在货摊上挂一个二维码(静态码)的个人账户。为了提高资金的安全性和防范二维码的风险，业界给出了四个提示:

条码支付市场的三大混乱

条形码支付具有支付方便、申请门槛低的优点，可以对促进和优化我国非现金支付环境的建设起到积极的作用。

然而，随着近年来该市场的快速发展，积累的风险日益突出。央行相关负责人表示，当前条码支付业务发展存在三大问题:

首先，条形码支付不仅降低了商家的进入门槛，还加剧了收购市场的混乱。由于条码支付设备的成本低于传统的银行卡受理终端，支付和收款服务可以通过张贴静态条码来实现，可以满足小微企业的非现金支付受理需求。但是，一些市场机构利用条形码可以远程发送、不受专业受理终端限制的特点，加剧了收现、外包管理不到位等票据获取的混乱，存在各种安全隐患。

其次，条形码支付不仅促进了移动支付的普及和发展，也扰乱了市场的公平竞争秩序。一些市场机构在开展条码支付业务时，在定价和营销策略上采取倾销、交叉补贴等不正当竞争手段，滥用本机构和关联企业的市场支配地位，排斥和限制支付服务竞争，导致支付行业无序发展和不正当竞争，扰乱市场秩序。

第三，条形码支付通过开放的互联网和非专业设备进行交易处理，带来一定的技术风险:

(1)想象风险。条形码在开放的互联网环境中以图形方式显示。不法分子可以通过截图、偷拍的方式盗取支付凭证，并在支付凭证有效期内盗取资金；这很容易带来恶意代码的风险。条形码不仅可以存储支付元素，还可以携带非法链接或程序代码。犯罪分子可以将特洛伊病毒和网络钓鱼网站链接到条形码中，诱使客户扫描和窃取敏感的支付信息；

(2)信息的单向交互风险。与银行卡支付相比，条形码支付通过使用交易指令的单向验证简化了支付过程，从而提高了用户感受的体验优势，使得黑客很容易绕过银行卡身份认证机制，实施“中间人”攻击，导致用户资金被盗。

(3)代码扫描设备安全强度低的风险，对条形码支付的要求低。普通的手机摄像头、超市里的简易收银机扫描枪以及其他没有加密、防拆等安全功能的设备都可以识别条形码，而条形码很容易被犯罪分子非法修改和使用。

中国社会科学院金融研究所支付清算研究中心的特别研究员赵耀表示，该代码是条形码支付的“驾驶执照”。此前，低条码支付门槛引发了市场的无序竞争，“无证驾驶”和“危险驾驶”的风险集中。自2014年以来，各类市场主体都害怕落在别人后面，一些支付机构采取连续补贴和交叉补贴的方式“绕场赛跑”，安全措施的有效性、业务规则的统一性和消费者权益保护的合规性都被抛在后面，导致条码支付风险频发。为此，央行果断采取监管措施暂停业务。随后，随着支付标记等技术的成熟，它在移动支付中得到稳步应用，条形码支付的技术安全性也有了一定程度的提高。相关方不断论证和验证条码支付的业务和技术规范；然而，各方仍期待央行在适当时候推出“驾照”和“条形码支付合规性”。今天，中央银行根据情况发布了“代码”，条形码支付从此告别了“无证驾驶”和“危险驾驶”。