首页 旅游用制度和业务,推动条码支付新发展

用制度和业务,推动条码支付新发展

  为贯彻落实党的十九大精神和第五次全国金融工作会议有关部署,鼓励并规范金融创新,引导信息技术在金融领域正确应用,提升金融服务实体经济能力,人民银行日前发布《中国人民银行关于印发条码支付业务规范(试行)的通知》(银发〔2017〕2913日),配套印发了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》(银办发〔2017〕2413日发布),自2018年01月13日起实施,为了进一步规范和推动条码支付业务的发展,人民银行近日发布了《条码支付业务规范(试行)》(以下简称《业务规范》)、《条码支付安全技术规范(试行)》(以下简称《技术规范》)以及《条码支付受理终端技术规范(试行)》,为条码支付业务开展提供统一的规范和标准,第二条本规范所称条码支付业务是指银行业金融机构(以下简称银行)、非银行支付机构(以下简称支付机构)应用条码技术,实现收付款人之间货币资金转移的业务活动,总的来看,条码支付规范出台有利于引导市场主体合规经营,合理创新,有序竞争,防范资金和信息泄露风险,加强消费者权益保护,从而推动支付普惠包容发展,更好地服务新消费和实体经济,付款扫码是指付款人通过移动终端识读收款人展示的条码完成支付的行为。

  我们对它的认识、观察和研究在不断深入中,第三条银行、支付机构开展条码支付业务应遵循本规范,条码支付规范综合性强,设计严谨,注重规范,同时又兼顾便捷和实际需求,具有以下鲜明的特点:一、围绕基于“条码介质”的安全管理,保障条码支付的安全可靠在条码支付业务推出初期,由于国内条码支付技术、业务模式及安全管理等方面处于探索阶段,尚无统一的业务和技术规范,第五条支付机构不得基于条码技术,从事或变相从事证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。

  很多不法分子就是针对条码防护能力弱、使用环境可控性差这些特点实施诈骗,第七条银行、支付机构应自觉遵守商业道德,不得以任何形式诋毁其他市场主体的商业信誉,不得采用不正当竞争手段排挤竞争对手、损害其他市场主体利益,破坏市场公平竞争秩序,因此,人民银行针对条码生成和受理提出一系列安全性要求,第二章条码生成和受理第九条银行、支付机构开展条码支付业务,应将客户用于生成条码的银行账户或支付账户、身份证件号码、手机号码进行关联管理。

  特别是从木马病毒防范、信息加密保护、运行环境可信等方面提升条码支付客户端软件的安全防护能力,银行、支付机构应当确保采用的要素相互独立,部分要素的损坏或者泄露不应导致其他要素损坏或者泄露,三是通过设置条码使用效期、使用次数等方式,确保条码有效性和真实性,采用一次性密码作为验证要素的,应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险,并将一次性密码有效期严格限制在最短的必要时间内。

  条码安全,条码支付才能安全,第十二条银行、支付机构应根据《条码支付安全技术规范(试行)》(银办发〔2017〕2413日)关于风险防范能力的分级,对个人客户的条码支付业务进行限额管理:(一)风险防范能力达到A级,即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,可与客户通过协议自主约定单日累计限额;(二)风险防范能力达到B级,即采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元;(三)风险防范能力达到C级,即采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元;(四)风险防范能力达到D级,即使用静态条码的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元,二、围绕“交易额度管理”等制度设计达到技术安全水平与使用便捷之间的平衡基于鼓励创新、防范风险的原则,综合考虑技术安全和方便使用两方面因素,根据《技术规范》确定的风险防护能力的等级,分类实施交易额度管理,同时要求银行、支付机构运用交易验证强度与交易额度相匹配的技术措施提高条码支付交易的安全性,第十四条银行、支付机构提供付款扫码服务的,应具备差异化的风控措施和完善的客户权益受损解决机制,在条码生成、识读、支付等核心业务流程中明确提示客户支付风险,切实防范不法分子通过在条码中植入木马、病毒等方式造成客户信息泄露和资金损失。

  二是对未采用数字证书、电子签名等要素进行交易验证的条码支付,根据验证要素的情况进行分类管理,第十六条银行、支付机构开展条码支付业务所涉及的业务系统、客户端软件、受理终端(网络支付接口)等,应当持续符合监管部门及行业标准要求,确保条码生成和识读过程的安全性、真实性和完整性,对于采用不足两类验证要素的,相应的额度不超过1000元,第十八条银行、支付机构应指定专人操作与维护条码生成相关系统。

  一方面,交易额度的设定,可以防止条码支付交易超过其匹配的安全防护能力,朝大额化发展;另一方面,其额度与风险防范能力相匹配,通过多要素交叉验证能够有效提高安全水平,因此通过交易额度的分类设计给予消费者选择权,同时也鼓励银行和支付机构采用更多的验证要素来提升安全水平,特约商户展示的条码,仅限包含与当次支付有关的特约商户、商品(服务)或商品(服务)订单等信息,同一客户单个银行账户或者所有支付账户、快捷支付单日累计交易金额应不超过500元,第十九条银行、支付机构应确保条码支付交易经客户确认或授权后发起,支付指令应真实、完整、有效。

  三、围绕“特约商户”的有效管理,防范和遏制违法犯罪活动特约商户管理是条码支付安全管理的基础和重要环节,特约商户受理终端完成条码扫描后,应仅显示扫码结果并提示下一步操作,不得显示付款人的支付敏感信息,考虑到条码支付业务涉及银行账户和支付账户,且应用于实体特约商户,为保持监管制度和标准的一致性,参照《银行卡收单业务管理办法》、《中国人民银行关于加强银行卡收单业务外包管理的通知》等规定,从特约商户实名制、特约商户审批、特约商户信息留存及管理、黑白名单管理、实体商户属地化管理、外包业务管理等方面明确了具体的要求,交易信息至少应包括:直接提供商品或服务的特约商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道,交易发起方式等。

  基于市场发展现状和市场主体经营实际,针对小微商户的资质审核和认定,以及交易限额、交易功能权限等风险管理措施提出明确要求,银行、支付机构应在支付交易报文中通过特定域标识该交易为条码支付交易,以供报文接收方正确识别并进行授权处理,四、围绕“资金和信息”安全保护,维护广大客户的合法权益由于条码支付的环境更开放,而且由于条码支付小额高频,消费者对支付安全的重视程度不足,容易引发“聚沙成塔”型的风险事件和消费者权益被侵害而不了了之等问题,第三章特约商户管理第二十二条银行、支付机构拓展条码支付特约商户,应遵循“了解你的客户”原则,确保所拓展的是依法设立、合法经营的特约商户。

  一是确保相关客户身份或账户信息安全,防止泄露;二是采取技术措施,以保证交易信息传输的安全性、完整性和抗抵赖性;三是充分披露条码支付业务产品类型、办理流程、操作规程、收费标准等信息,明确业务风险点及相关责任承担机制、风险损失赔付方式及操作方式;四是持续完善客户服务体系,及时受理和解决客户咨询、查询和投诉等问题;五是开展对客户的支付安全教育,提升其风险防范意识和应对能力,银行、支付机构拓展特约商户时,应进行查询确认,如商户及其法定代表人或负责人在特约商户信息管理系统中存在不良信息记录的,应谨慎为该商户提供条码支付服务;不得将已纳入黑名单的单位和个人,以及由纳入黑名单个人担任法定代表人或者负责人的单位拓展为特约商户,已经拓展为特约商户的,应当自该特约商户被列入黑名单之日起13日内予以清退,协会通过书面征求意见、召开专题会议等形式,多次听取会员单位的意见建议;结合监管要求和市场创新发展情况,组织会员单位对关键条款进行研究讨论和修改完善,并积极与监管部门汇报和沟通,为监管部门决策提供信息参考,对依据法律法规和相关监管规定免于办理工商注册登记的实体特约商户(小微商户),收单机构在遵循“了解你的客户”原则的前提下,可以通过审核商户主要负责人身份证明文件和辅助证明材料为其提供条码支付收单服务。

  同时,条码支付业务规范强调了业务资质要求,重申了清算管理要求,同时对于规范市场竞争也提出要求,市场机构不得以任何形式诋毁其他市场主体的商业信誉,不得采用不正当竞争手段侵害其他市场主体利益、排挤竞争对手,破坏市场公平竞争秩序,以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元。

标签:支付 条码 机构