按风险划分四级 采取限额管理

新规的重点之一是强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时，应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的，应当分别取得银行卡收单业务许可和网络支付业务许可。

新规指出，银行、支付机构应根据《条码支付安全技术规范(试行)》(银办发〔2017〕242号)关于风险防范能力的分级，对个人客户的条码支付业务进行限额管理。

具体来看：风险防范能力达到A级，即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的，可与客户通过协议自主约定单日累计限额。

风险防范能力达到B级，即采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元。

风险防范能力达到C级，即采用不足两类要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元。

而风险防范能力达到D级，即使用静态条码的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。

静态条码目前被认为是风险最大的支付领域之一。除了限额管理外，新规还提出了一系列防范静态条码风险的措施：包括要求静态条码应由后台服务器加密生成、要求展示静态条码的介质应放置在商户收银员视线范围内，商户应定期对介质进行检查、要求静态条码采用防护罩等物理防护手段避免被覆盖或替换等。

此次《规范》将条码支付分为付款扫码和收款扫码。“付款扫码”是指付款人通过手机、Pad等移动终端识读收款人展示的条码完成支付的行为，是用户主动扫码付款，俗称“主扫”;“收款扫码”是指收款人通过识读付款人移动终端展示的条码完成收款的行为，是用户被动扫码支付，俗称“被扫”。

中国社科院金融所支付清算研究中心特约研究员赵鹞认为，由于在此前的试点应用中，条码支付风险乃至用户资金损失多发生于“主扫”，特别是“主扫”静态条码，《规范》以限制静态扫码限额和约束银行、支付机构开展付款扫码服务的具体行为与风控措施并要求他们提供客户权益受损解决机制等具体条款，积极引导付款人“主扫”经过安全加密和设置有效期(一般为一次性条码)的动态条码，将商户的较大金额收款行为也引导到“被扫”上来。赵鹞认为，《规范》是条码支付的“驾驶证”。央行新规让条码支付从此告别“无证驾驶”与“危险驾驶”。

安全风险考量，二维码支付曾被暂停

条码支付的发展经历了“一波三折”：2011年，央行同意部分非银行支付机构(简称支付机构)在限定场景内试点开展条码支付业务，并提出严格的风险管理要求。到了2014年，在未建立有效安全措施、统一的业务规则和消费者权益保护制度的背景下，部分支付机构采取持续补贴的方式广泛推广条码支付业务，人民银行对其采取了暂停线下条码支付业务的监管措施。

在此后的一段时间里，以支付宝、财付通为代表的二维码支付机构通过改造扫码流程(如从用户扫商家改为商家扫用户)等方式，并未放弃抢占二维码支付市场;而在互联网巨头的大额补贴之下，二维码支付也逐渐为大众所知晓。

央行有关负责人在答记者问中指出，随着近年来支付标记化(Tokenization)等技术在移动支付中的广泛应用，客观上提高了条码支付的安全标准。但是，囿于缺乏统一的业务规范和技术标准，在条码生成机制和传输过程中仍存在风险隐患，也引发了支付安全的风险案件，市场机构在业务推广过程中还存在不正当竞争等现象。

为规范条码支付业务，保护消费者合法权益，促进移动支付业务健康可持续发展，人民银行指导中国支付清算协会组织市场机构、专家学者就条码支付相关问题开展充分研讨并达成高度共识，研究制定了相应业务规范和技术规范。

■ 释疑
限额对消费者有影响吗?

专家认为，各项单日累计交易额度能满足大部分人使用条码支付付款的需求。

央行表示，条码支付与传统银行卡等支付工具相比在交易安全性上存在一定不足，人民银行坚持条码支付小额、便民的定位，对条码支付风险防范能力进行分级。发行条码的银行、支付机构应根据风险防范能力等级，在确保风险可控和尽量满足用户需求的前提下科学合理设置相匹配的日累计交易限额。

“简单地说，就是用户的风险防范等级越高，每天可以交易的金额就越高，如规范中提到的A级，采用数字证书或电子签名，再加上静态密码、指纹等要素，就可以不受额度限制。”拉卡拉支付股份有限公司资深合规总监唐凌指出，“如果商家放个静态码你就敢扫，支付额度自然就低。”

“尽管监管对静态码有不少要求，如商家定期检查，用玻璃罩盖上等措施，但在扫码支付的风险案件中，静态码占比仍很高，那每天就限额500元，即便是被骗，损失也可控。”唐凌表示，如用动态码付款，风险自然少，限额就会提升。这也是监管政策的一个良好导向。

据记者小范围调查，500元的静态条码限额能够满足多数人的日常支付需求。

“市场统计表明，条码支付业务量的95%是单笔500元以下的小额交易，2017年上半年笔均百元左右。”中国社科院金融所支付清算研究中心特约研究员赵鹞指出。

中国支付清算协会执行副会长兼秘书长蔡洪波认为，总体来看各项单日累计交易额度能够有效满足绝大部分客户使用条码支付进行付款的需求，基本不影响消费者使用的便利性体验，同时也能够显着提高条码支付的安全水平。

■ 小贴士

欺诈手段多扫码小心这些雷

梳理公开材料可以发现，此前有不少案例利用的就是当下扫码的一些缺陷和漏洞。

1、静态条码被“调包”

2017年3月，江某误扫了共享单车上被掉包的二维码，将99元押金转入不法分子账户，无法追回。目前，部分特约商户(小微商户)用静态条码作为收款码，但静态条码容易被调换，如果扫描不法分子调换的条码支付，资金将付给不法分子，导致商户无法收到钱款。

2、利用收款码伪造交通罚单等

2017年3月，南京的邹先生在车上发现一张违停罚单，并附有二维码“扫码可缴费”。扫描二维码后显示“违章处理，转账200元，点击确认”。核实发现是假罚单。

不法分子利用消费者图省事的心理和有时存在粗心大意的情况，基于日常生活消费、公共事业缴费(水、电、燃气费等)、交通违章发单缴费等应用场景，编造虚假的缴费信息通知或提示，同时放置或印制伪造的条码，误导客户扫描伪码，实施欺诈。

3、嵌入木马，扫码被盗刷或窃取信息

不法分子将木马病毒进程嵌入到其生成的条码当中，一旦误扫了此类条码，手机就可能中毒或被他人控制，导致账户资金被盗刷、个人敏感信息泄露等风险问题发生。近期“清理僵尸粉”骗局也属于这种类型。

4、诱骗消费者发送付款码后盗刷

不法分子以金钱或物质奖励、优惠等诱导消费者向其发送付款码，之后迅速实施盗刷。2016年8月，参加了“集赞送礼品”活动的云南杨小姐联系商家换取奖品，商家不断要求杨小姐发送付款码，最终成功盗取了其账户资金。

5、虚假网店发收款条码实施欺诈

在网购过程中，存在不法商户在消费者支付环节骗取其使用购物平台监控外的扫码方式进行付款。南京的沈小姐在网购选好衣物后，通过店家发来的二维码进行手机付款，但之后被对方拉黑，损失约2000元。

6、利用小礼品等奖励诱导扫码注册

不法分子采用赠送小礼品的方式，诱导消费者扫描二维码并在注册页面填写姓名、手机号、身份证号等相关信息，随后将个人身份信息转卖获利。