央行出手规范条码支付业务 静态扫码单日限额500元

[zcxvp]

北京网络法学研究会副秘书长赵繇表示，市场统计表明，条码支付业务量的95%是单笔500元以下的小额交易，2017年上半年笔均百元左右。静态扫码500元的限额要求，基本满足了用户日常生活中的便捷支付需求。

二维码支付已经渗透到生活的方方面面，但二维码支付背后仍存在诸多乱象，用户资金被盗刷、手机扫码中毒等乱象时有发生。

12月27日，央行印发《条码支付业务规范（试行）》（下称《规范》），同时配套印发安全技术和受理终端技术两个规范，上述规范自2018年4月1日起实施。通过划定业务范围和技术标准，对当前条码支付领域存在的诸多乱象进行整肃。

《规范》明确，提供条码收付款业务或清算等应具备相应业务资质。

静态扫码单日限额500元

2014年，因为当时未建立有效安全措施、统一的业务规则和消费者权益保护制度，央行要求暂停线下条码支付。但这一方式不仅未曾远离，反而在支付机构的推广下越加普及。

条码支付具有支付便捷、应用门槛低的优势，加上更安全支付技术的应用，条码支付的安全标准得到提升，在商超、菜场、餐馆、流动摊点等得到广泛使用。但由于缺乏统一的业务规范和技术标准，在条码生成机制和传输过程中存在风险隐患。

央行明确指出，条码支付有一定技术风险。由于条码是图形显示，不法分子可以通过截屏、偷拍等手段盗取支付凭证盗用资金；此外，条码容易携带非法链接或程序代码，不法分子可将木马病毒、钓鱼网站链接制成条码，诱导客户扫描，窃取支付敏感信息。一些不法分子实施“中间人攻击”，绕过身份认证机制，造成用户资金损失。扫码设备安全强度低不具备加密、防拆机等功能，易被不法分子非法改装使用。

相比用户主动扫码（主扫）和出示付款码被扫付款（被扫）模式，被扫的安全性相对更高，综合安全和便捷因素，在对静态条码做出一些技术要求之外，央行通过对静态条码限额方式，引导用户更多使用被扫模式，但对于小微商户广泛使用的主扫模式也并未完全限制。

央行明确了条码支付小额、便民的定位，对条码支付根据技术安全等级的不同进行交易限额。无论银行还是支付机构，对于动态条码，如果采用包括数字证书或电子签名在内的两类（含）以上有效要素进行验证的话，单日交易限额可以与客户自主约定。而静态条码支付的无论何种交易验证方式，单日均不超过500元。

北京网络法学研究会副秘书长赵繇对21世纪经济报道记者表示， 市场统计表明，条码支付业务量的95%是单笔500元以下的小额交易，2017年上半年笔均百元左右。这样的限额要求基本满足了用户日常生活中的便捷支付需求。同时，由于当前小微商户的工商注册申请门槛低，部分不法分子滥用商事登记管理与税收改革政策中关于小微商户的优待政策，甚至与小微商户勾结套现大额信用卡资金。为此，《规范》要求同一身份证在同一家机构办理的全部小微商户基于信用卡的条码支付收款限额1000元/天、10000元/月。

不得滥用市场地位不正当竞争

央行还指出当前条码支付业务主要存在的乱象。

一是商户准入门槛降低，部分市场机构利用条码可远程发送、不受专业受理终端限制的特点，在商户拓展过程中未履行“了解你的客户”义务，通过“一证下机”等方式违规发展商户，加剧了套现、二清、外包管理不到位等收单乱象。

二是部分机构在开展条码支付业务时，在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段，滥用本机构及关联企业的市场优势地位，排除、限制支付服务竞争，导致支付行业无序发展和不公平竞争。

央行指出，稳定、可持续的投入和运营是支付业务长远发展的保障，不能为了追求短期的市场份额，采取“烧钱”“补贴”等不当竞争手段。

21世纪经济报道记者了解到，当前聚合支付方式较多，一些提供聚合支付的机构变相从事“二清”，但缺少风险防范。此外，一些支付机构特约商户与赌博、色情网站勾结，为其提供支付结算业务。

针对这些乱象，央行明确银行、支付机构要对特约商户严格管理，确保所拓展的是依法设立、合法经营的特约商户。

银行、支付机构与特约商户合作不得将商户资质审核、受理协议签订、资金结算等核心业务外包。银行、支付机构与外包服务机构系统对接开展业务的，应确保外包服务机构无法获取或者接触支付敏感信息、不得从事或者变相从事特约商户资金结算。

21世纪经济报道记者还注意到，《规范》指出，支付机构不得基于条码技术，从事或变相从事证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。此前，西部某银行推出扫码取现业务，一天即被叫停。

赵繇对21世纪经济报道记者表示，这是对2015年《非银行支付机构网络支付业务管理办法》要求的延续，支付机构需要专营，这也是为了防止金融风险的外溢，对跨市场、跨业态、跨国界的风险进行防范。