（原標題：央行：支付機構提供條碼付款服務應取得網絡支付業(yè)務許可）

中國人民銀行

為貫徹落實黨的十九大精神和第五次全國金融工作會議有關部署，鼓勵并規(guī)范金融創(chuàng)新，引導信息技術在金融領域正確應用，提升金融服務實體經濟能力，人民銀行日前發(fā)布《中國人民銀行關于印發(fā)<條碼支付業(yè)務規(guī)范（試行）>的通知》（銀發(fā)〔2017〕296號），配套印發(fā)了《條碼支付安全技術規(guī)范（試行）》和《條碼支付受理終端技術規(guī)范（試行）》（銀辦發(fā)〔2017〕242號發(fā)布），自2018年4月1日起實施。

近年來條碼支付業(yè)務快速發(fā)展，在小額、便民支付領域顯現出門檻低、使用便捷的優(yōu)勢，市場份額持續(xù)增長，成為移動支付發(fā)展的重要體現形式。同時，條碼支付的技術實現方式和業(yè)務風險相對傳統銀行卡支付具有其特殊性，部分市場機構在業(yè)務開展中也存在擾亂公平競爭秩序、支付風險防范不到位等問題。人民銀行秉承有效平衡鼓勵創(chuàng)新與防范風險原則，一直密切關注創(chuàng)新支付業(yè)務發(fā)展。為促進條碼支付健康可持續(xù)發(fā)展，人民銀行指導中國支付清算協會組織市場機構、專家學者就條碼支付相關問題開展充分研討并達成高度共識，研究制定了相應業(yè)務規(guī)范和技術規(guī)范。在業(yè)務規(guī)范方面，銀行業(yè)金融機構、非銀行支付機構開展條碼支付業(yè)務涉及跨行交易時，必須通過人民銀行清算系統或者合法清算機構處理，支付機構還應符合相應的業(yè)務資質要求。為消費者提供條碼支付付款服務的，應當立足于小額、便民市場定位，按照風險防范能力等級，對條碼支付額度進行分級管理，在風險防范和支付便捷中取得有效平衡。為特約商戶提供條碼支付收單服務的，應執(zhí)行銀行卡收單業(yè)務管理相關要求，切實履行商戶管理、交易風險監(jiān)測等收單主體責任，強化對收單外包機構管理。

在技術規(guī)范方面，銀行業(yè)金融機構、非銀行支付機構和清算機構要加強條碼支付技術風險防控，合理運用支付標記化、可信執(zhí)行環(huán)境、條碼防偽識別等手段，提升條碼支付客戶端軟件安全防護能力，規(guī)范條碼支付交易報文管理，保障交易信息的真實性、完整性、一致性、可追溯性，構建以受理終端注冊、大數據分析為基礎的條碼支付創(chuàng)新風險管理機制。要加強標準落地實施，強化條碼支付產品質量和安全管理，提升條碼支付產品的技術標準符合性和安全性，切實保障金融消費者的財產安全和合法權益。

上述通知和規(guī)范旨在遵循“鼓勵創(chuàng)新、防范風險、趨利避害、健康發(fā)展”的總體要求，指導產業(yè)各方正確處理安全與發(fā)展的關系，在嚴守金融安全底線和業(yè)務規(guī)范的基礎上開展支付創(chuàng)新，提供安全、高效的條碼支付服務，積極推進普惠金融發(fā)展，維護公平競爭的市場環(huán)境，促進支付產業(yè)健康可持續(xù)發(fā)展，為人民群眾提供安全便利的金融服務。

中國人民銀行就發(fā)布條碼支付規(guī)范答記者問

近日，人民銀行發(fā)布了《中國人民銀行關于印發(fā)<條碼支付業(yè)務規(guī)范（試行）>的通知》（銀發(fā)〔2017〕296號），配套印發(fā)《條碼支付安全技術規(guī)范（試行）》和《條碼支付受理終端技術規(guī)范（試行）》（銀辦發(fā)〔2017〕242號發(fā)布），自2018年4月1日起實施。日前，人民銀行有關負責人就上述通知和規(guī)范有關問題回答了記者的提問。

問：通知和規(guī)范出臺的背景是什么？

答：條碼支付具有支付便捷、應用門檻低的優(yōu)勢，在推動普惠金融和優(yōu)化我國非現金支付環(huán)境建設方面能夠發(fā)揮積極作用。對創(chuàng)新支付的監(jiān)管，人民銀行一貫秉承“鼓勵創(chuàng)新，防范風險”并重的原則。自本世紀初，國內外各市場主體開始嘗試將條碼技術運用于移動支付領域，以提升支付便捷性和用戶體驗。為鼓勵市場機構業(yè)務創(chuàng)新，2011年，人民銀行同意部分非銀行支付機構（以下簡稱支付機構）在限定場景內試點開展條碼支付業(yè)務，審慎地將條碼定位于銀行卡支付的補充，并提出嚴格的風險管理要求。2014年，在未建立有效安全措施、統一的業(yè)務規(guī)則和消費者權益保護制度的背景下，部分支付機構采取持續(xù)補貼的方式廣泛推廣條碼支付業(yè)務，人民銀行對其采取了暫停線下條碼支付業(yè)務的監(jiān)管措施。隨著近年來支付標記化（Tokenization）等技術在移動支付中的廣泛應用，客觀上提高了條碼支付的安全標準。但是，囿于缺乏統一的業(yè)務規(guī)范和技術標準，在條碼生成機制和傳輸過程中仍存在風險隱患，也引發(fā)了支付安全的風險案件，市場機構在業(yè)務推廣過程中還存在不正當競爭等現象。

為貫徹落實黨的十九大和第五次全國金融工作會議精神，鼓勵并規(guī)范金融創(chuàng)新，促進條碼支付健康可持續(xù)發(fā)展，人民銀行指導中國支付清算協會組織會員單位、專家學者進行研究論證，研究制定了條碼支付業(yè)務規(guī)范和技術規(guī)范，并通過書面征求意見、召開專題會議等形式充分聽取各方意見建議并修改完善，實現了監(jiān)管與市場的順暢溝通和有效互動，達成了高度共識。

問：條碼支付業(yè)務發(fā)展中存在哪些主要問題？

答：一是條碼支付在降低商戶準入門檻的同時，加劇收單市場亂象。由于條碼支付設備成本低于傳統的銀行卡受理終端，還可通過張貼靜態(tài)條碼實現收付款業(yè)務，能夠滿足小微商戶的非現金支付受理需求，與銀行卡收單互為補充，提升社會整體支付服務水平。但是，部分市場機構利用條碼可遠程發(fā)送、不受專業(yè)受理終端限制的特點，在商戶拓展過程中未履行“了解你的客戶”義務，通過“一證下機”等方式違規(guī)發(fā)展商戶，加劇了套現、二清、外包管理不到位等收單亂象，存在各類安全隱患，對市場可持續(xù)發(fā)展造成較大的危害。

二是條碼支付在促進移動支付普及發(fā)展的同時，出現擾亂市場公平競爭秩序的現象。近年來，條碼支付在小額、便民支付領域市場份額持續(xù)增加，促進了移動支付的快發(fā)展和普惠金融的廣覆蓋。但是，部分市場機構在開展條碼支付業(yè)務時，在定價和市場推廣策略中采取傾銷、交叉補貼等不正當競爭手段，濫用本機構及關聯企業(yè)的市場優(yōu)勢地位，排除、限制支付服務競爭，導致支付行業(yè)無序發(fā)展和不公平競爭，擾亂市場秩序。

三是條碼支付借助開放互聯網和非專業(yè)設備進行交易處理，帶來一定的技術風險。包括：可視化風險，條碼在開放互聯網環(huán)境下以圖形化方式進行展示，不法分子可通過截屏、偷拍等手段盜取支付憑證，在支付憑證有效期內盜用資金；易攜帶惡意代碼的風險，條碼不僅可存儲支付要素，也可攜帶非法鏈接或程序代碼，不法分子可將木馬病毒、釣魚網站鏈接制成條碼，誘導客戶掃描，竊取支付敏感信息；信息單向交互風險，條碼支付只能實現發(fā)起方或接收方的單向信息交互，不法分子可利用該弱點實施“中間人攻擊”，繞過身份認證機制，造成用戶資金損失；掃碼設備安全強度低的風險，條碼支付對設備要求低，普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設備均可識別條碼，易被不法分子非法改裝使用。

問：業(yè)務規(guī)范方面有哪些主要措施？

答：一是強調業(yè)務資質要求。明確支付機構向客戶提供基于條碼的付款服務時，應取得網絡支付業(yè)務許可；支付機構為實體特約商戶和網絡特約商戶提供條碼支付收單服務的，應當分別取得銀行卡收單業(yè)務許可和網絡支付業(yè)務許可。

二是重申清算管理要求。針對部分支付機構與多家銀行業(yè)金融機構（以下簡稱銀行）或支付機構直連進行商戶拓展，進一步強化了支付機構與銀行多頭直連的現象，明確要求銀行、支付機構開展條碼支付業(yè)務涉及跨行交易時，應當通過人民銀行跨行清算系統或者具備合法資質的清算機構處理。

三是要求維護市場公平競爭秩序。市場機構不得以任何形式詆毀其他市場主體的商業(yè)信譽，不得采用不正當競爭手段損害其他市場主體利益、排擠競爭對手，破壞市場公平競爭秩序。

四是規(guī)范條碼生成和受理。提出交易驗證方式、交易限額管理、信息管理和安全防護，靜態(tài)條碼應用管理、綜合應用支付標記化技術等措施，保障條碼支付業(yè)務的安全性。

五是加強商戶管理和風險管理。從特約商戶資質審核、受理協議簽訂、商戶風險評級、商戶檢查，以及交易風險監(jiān)測，客戶安全教育等方面提出要求，強化業(yè)務風險管理。

問：針對條碼支付技術風險，提出了哪些針對性要求？

答：一是加強條碼安全防護。采取支付標記化（Tokenization）、有效期控制、條碼防偽識別等手段，提升條碼生成、存儲、展示、識讀、解析、使用等環(huán)節(jié)的安全防護能力，有效保障條碼的可靠性和有效性。

二是提升條碼支付交易安全強度。針對不同條碼生成方式，提出加密生成、定期更新、終端唯一標識綁定等具有針對性的安全防護措施。要求銀行、支付機構和清算機構運用交易驗證強度與交易額度相匹配的技術措施提高條碼支付交易的安全性。

三是強化條碼支付交易風險監(jiān)測與預警。合理應用大數據分析、用戶行為建模等手段建立條碼支付風險監(jiān)控模型和系統，對異常交易及時預警并附加風控措施，對高風險交易及時告知客戶資金變化情況。

四是加強客戶端軟件安全管理。從木馬病毒防范、信息加密保護、運行環(huán)境可信等方面提升條碼支付客戶端軟件的安全防護能力，要求客戶端軟件能夠監(jiān)測并向后臺系統反饋手機支付環(huán)境安全狀況并作為風控策略的依據。

問：針對條碼支付的業(yè)務規(guī)范要求和安全管理措施是否會制約支付創(chuàng)新發(fā)展？

答：支付服務屬于金融服務，與社會經濟運行和百姓日常生活密切相關，支付安全關乎人民群眾財產安全和合法權益，穩(wěn)健經營關乎產業(yè)的健康可持續(xù)發(fā)展。便捷的使用方式、良好的用戶體驗是支付創(chuàng)新的生命力，但不能單純追求無底線的創(chuàng)新；穩(wěn)定、可持續(xù)的投入和運營是支付業(yè)務長遠發(fā)展的保障，不能為了追求短期的市場份額，采取“燒錢”“補貼”等不當競爭手段。通知和規(guī)范旨在指導相關單位正確處理安全與發(fā)展的關系，在嚴守安全底線的基礎上開展支付創(chuàng)新，維護公平競爭的市場環(huán)境，促進行業(yè)健康可持續(xù)發(fā)展，為人民群眾提供安全便利的金融服務。通知和規(guī)范提出的業(yè)務規(guī)范要求和安全管理措施非但不會制約支付創(chuàng)新發(fā)展，反而能夠指引支付業(yè)務創(chuàng)新沿著安全規(guī)范的方向發(fā)展，確保創(chuàng)新業(yè)務的質量和效能，保障行業(yè)發(fā)展的穩(wěn)健和長遠。

問：業(yè)務規(guī)范和技術要求如何落地實施？

答：業(yè)務規(guī)范的落地實施要通過構建企業(yè)自我管理、行業(yè)組織自律、主管部門監(jiān)管、社會全面監(jiān)督多位一體的管理體系，保障各項要求落實到位。已開展業(yè)務的銀行業(yè)金融機構、支付機構應當全面梳理自身條碼支付業(yè)務情況，根據規(guī)范要求進行自查和整改。開展條碼支付業(yè)務創(chuàng)新的，應當履行提前報告義務。銀行、支付機構從事條碼支付業(yè)務，應接受中國支付清算協會行業(yè)自律管理，并充分發(fā)揮違法違規(guī)舉報獎勵機制的作用，凈化市場發(fā)展環(huán)境。人民銀行分支機構依法對轄區(qū)內銀行、支付機構條碼支付業(yè)務進行監(jiān)督管理，加大檢查力度，對違規(guī)行為，應依法嚴肅處理。

技術規(guī)范的落地實施需要從產品質量管理、入網管理、專項檢查、安全評估等方面多管齊下，切實提升條碼支付技術風險防控能力。銀行、支付機構要嚴格落實技術規(guī)范提出的各項要求，強化條碼支付產品安全管理，健全條碼支付風險防控機制，使用符合國家標準及金融行業(yè)標準的產品，確保相關業(yè)務系統、受理終端等的技術標準符合性。清算機構要強化受理終端入網管理，完善終端定期抽檢機制，加強終端抽樣檢測力度。人民銀行分支機構要定期對條碼支付相關業(yè)務系統、受理終端等組織開展專項抽查，強化條碼支付技術管理。

問：對條碼支付交易報文管理提出了哪些針對性的要求？

答：一是采用數字簽名、加密傳輸等措施，加強支付指令真實性。二是在交易報文中準確記錄發(fā)起方、接收方、網絡路由、唯一交易流水號等關鍵信息，保障交易可追溯性和一致性。三是完善商戶、渠道、訂單等交易信息，精準刻畫交易全貌，確保支付指令完整性。

問：對于普遍使用的靜態(tài)條碼，提出了哪些針對性的風險防控措施？

答：靜態(tài)條碼易被篡改或變造，易攜帶木馬或病毒，真?zhèn)坞y辨，導致支付風險較高。因此，提出了一系列防范靜態(tài)條碼風險的措施：一是要求靜態(tài)條碼應由后臺服務器加密生成，宜采用防偽紙張展示條碼，防偽紙張應具備一定防偽特征。二是要求展示靜態(tài)條碼的介質應放置在商戶收銀員視線范圍內，商戶應定期對介質進行檢查。三是要求靜態(tài)條碼采用防護罩等物理防護手段避免被覆蓋或替換，宜使用防偽標簽對防護罩進行標記。四是要求在靜態(tài)條碼介質顯著位置明顯展示收款方信息，便于用戶核對。五是通過風險防范能力分級管理，進一步規(guī)范使用靜態(tài)條碼，并鼓勵使用風險防范能力較高的收款掃碼方式。

問：對消費者使用條碼支付付款的交易限額管理是如何統籌考慮的？

答:條碼支付與傳統銀行卡等支付工具相比在交易安全性上存在一定不足，人民銀行堅持條碼支付小額、便民的定位，對條碼支付風險防范能力進行分級。發(fā)行條碼的銀行、支付機構應根據風險防范能力等級，在確保風險可控和盡量滿足用戶需求的前提下科學合理設置相匹配的日累計交易限額。

使用動態(tài)條碼進行支付的，風險防范能力分級見下表。

使用靜態(tài)條碼進行支付的，風險防范能力為D級，無論使用何種交易驗證方式，同一客戶單個銀行賬戶或所有支付賬戶、快捷支付單日累計交易金額應不超過500元。

為引導銀行、支付機構提高交易驗證方式的安全性，加強客戶資金安全保護，對于風險防范能力高、交易驗證方式更為安全的，不設定額度上限，市場主體可與客戶自行約定交易限額。基于防替換、防盜刷等安全因素角度考慮，要求銀行、支付機構使用靜態(tài)條碼支付時要執(zhí)行更加嚴格的限額管理措施，以鼓勵市場主體采用更為安全的動態(tài)條碼提供支付服務。依據主要市場機構條碼支付交易數據顯示，上述額度已覆蓋絕大部分使用條碼支付付款客戶及商戶的需求。

問：對特約商戶受理條碼支付進行收款都有哪些具體要求？

答：加強對條碼支付特約商戶管理的目的在于排除風險商戶，防范和遏制不法分子利用條碼支付業(yè)務隱藏木馬病毒、進行洗錢、欺詐等犯罪活動，更好地維護條碼支付業(yè)務參與各方的合法權益。考慮到條碼支付業(yè)務涉及銀行賬戶和支付賬戶，且可應用于網絡特約商戶和實體特約商戶，為保持監(jiān)管制度和標準的一致性，我們遵循銀行卡收單業(yè)務管理的相關要求，從條碼支付特約商戶拓展、特約商戶審批、特約商戶信息留存及管理、黑名單管理、實體商戶屬地化管理、外包業(yè)務管理等方面明確了具體的管理要求。同時，為了兼顧小微商戶受理條碼支付的需求，促進普惠金融發(fā)展，明確在符合相關資質審核和認定的前提下，小微商戶可以受理條碼支付；同時，為了防范套現等交易風險，對以同一個身份證件在同一家收單機構辦理的全部小微商戶基于信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元，但受理基于借記卡的條碼支付不受收款額度的限制。