二維碼支付“準備時間”倒計時

肖颯

此次國家對于二維碼支付發文是對當前社會手機支付的消費結算方式新趨勢的及時反應，通過各類措施在最大范圍內確保該產業發展的規范性，從而保護消費者合法權益，維護市場公平競爭環境，促進移動支付業務健康可持續發展。

由央行于2017年12月發布、2018年4月1日生效的《條碼支付業務規范（試行）》（銀發﹝2017﹞296號文），值得業內仔細研究。《條碼支付業務規范（試行）》對于我國境內外如火如荼的二維碼支付方式，將產生巨大影響，主要體現在：業務邊界、安全驗證、真實場景、限制信用卡沖動消費、不得外包核心技術等方面。

什么是“條碼支付業務”

根據296號文規定，條碼支付業務是指銀行業金融機構、非銀行支付機構應用條碼技術，實現收付款人之間貨幣資金轉移的業務活動。

條碼支付業務分付款掃碼和收款掃碼。前者是付款人通過移動終端識讀收款人展示的條碼完成支付的行為；后者是收款人通過識讀付款人終端展示的條碼完成支付的行為。也就是我們買東西時候，問“您掃我？還是我掃您？”兩種方式都是條碼支付業務，一目了然，不多做解釋。

條碼支付的“三不得”

搞清楚法規規定的行為邊界對研究監管文件至關重要。根據296號文第5、6、7條，條碼支付的行為邊界可以總結為條碼支付業務的“三不得”：

一是支付機構不得基于條碼技術從事或變相從事證券、保險、信貸、融資、理財、擔保、信托、貨幣兌換、現金存取等業務。也就是說，二維碼支付主要是服務消費實物和服務的領域，“支付機構”不得采取二維碼的方式進行借貸、投資、投保、換匯、取現等，我們的理解是，銀行可以。

二是銀行、支付機構開展條碼支付業務應遵守客戶實名制管理規定；遵守反洗錢法律法規要求，履行反洗錢和反恐怖融資義務；依法維護客戶及相關主體的合法權益。這里請注意，實名制是重要要求，防止有人鉆空子，利用二維碼支付從事非法交易等。

三是銀行、支付機構不得以任何方式詆毀其他市場主體的商業信譽，不得采取不正當競爭手段排擠競爭對手、損害其他市場主體利益，破壞市場公平競爭秩序。我們發現，各家支付機構為爭奪客戶展開“激戰”，有采取返現、打折、送禮等做法，還有設置各類錢包讓消費者提前消費等，各種手段讓人應接不暇，還有“獨家代理”等抽屜條款，約束消費者的消費方式，比如什剎海冰場，只能現金和某支付，拒絕其他網絡支付方式，現場很多帶孩子的家長都“尷尬了”。

條碼支付安全“驗證”

交易安全是二維碼支付的首要任務，沒有之一。銀行、支付機構開展條碼支付業務必須做如下要素的組合驗證：

（1）僅客戶本人知悉的要素，如靜態密碼。

（2）僅客戶本人持有并特有的，不可復制或者不可重復利用的要素，如數字證書、電子簽名、通過安全渠道生成和傳輸的一次性密碼等（請腦補手機驗證碼）。

（3）客戶本人生物特征要素，如指紋、虹膜等。

因此，單靠“刷臉”本身不能直接完成支付的，必須如上3種之兩種或全部進行驗證，才達到最低標準。同時，由于手機被盜、電腦被黑等現實問題，采用一次性密碼作為驗證要素的，應當切實防范一次性密碼獲取端與支付指令發起端為相同物理設備的風險，將一次性密碼有效期限定在最短必要時間內。

真實場景很重要

條碼支付的真實場景是必要的，按照規定正確選用交易類型，準確標識交易信息并完整發送，確保交易信息的完整性、真實性、可追溯性。

交易信息至少應當包括：直接提供商品或服務的特約商戶名稱、類別和代碼，受理終端（網絡支付接口）類型和代碼，交易時間和地點（網絡特約商戶的網絡地址），交易金額、交易類型和渠道，交易發起方式等。網絡特約商戶的交易信息還應當包括訂單號和網絡交易平臺名稱。

從筆者的實際辦案經驗來看，如果能夠再現交易場景和過程，對于證明當事人是否有罪、此罪與彼罪的證明難度下降，有利于還原事情的真實情況，而不是單純依靠點滴言辭證據，通過法律推理得出的“法律真實”。在早年網貸案件中確實遭遇過類似困難，希望新規落地后，對后續事件和案例產生積極影響。

限制沖動消費

在沒有個人破產法律制度的當下，限制“剁手黨”的沖動消費十分有必要，對于儲蓄卡用戶，因為有“余糧”不必過分限制，但是，對于信用卡的消費必須做出限定。

以同一個身份證件在同一家收單機構辦理的全部小微商戶基于信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元。

銀行、支付機構應當結合小微商戶風險等級動態調整交易卡種、交易限額、結算周期等，強化對小微商戶的交易監測。

由此可見，“月光族”依靠騰挪信用卡來過度消費，也許可以通過限制最流行的二維碼支付，得以限定或給出導向。

科技金融不能外包核心技術

其實，管理層已經發現很多持有金融牌照、支付牌照的機構，只是在賣“渠道”，更像是一個包工頭，躺在牌照上過美日子。

根據296號文第30條的規定，銀行、支付機構應按照《中國人民銀行關于加強銀行卡收單業務外包管理的通知》（銀發﹝2015﹞199號）相關要求審慎選擇外包服務機構，嚴格規范與外包服務機構的業務合作，強化收單外包業務的風險管理責任。銀行、支付機構作為條碼支付收單業務主體的管理責任和風險承擔責任不因外包關系而轉移。

銀行、支付機構不得將特約商戶資質審核、受理協議簽訂、資金結算、交易處理、風險監測、受理終端主密鑰生成和管理、網絡支付接口管理、差錯和爭議處理工作交由外包服務機構辦理。銀行、支付機構與外包服務機構系統對接開展業務的，應確保外包服務機構無法獲取或者接觸支付敏感信息、不得從事或者變相從事特約商戶資金結算。

這將同時影響一些所謂的赴境外上市金融科技公司，他們號稱為銀行等機構提供核心技術，受理終端主密鑰生成和管理等，現在看來，這個生意銀行不敢輕易給出來了，請大家注意。