用支付寶、微信等應用掃碼付款，將正式迎來額度限制。央行官網昨日發布了《中國人民銀行關于印發的通知》，配套印發相關技術規范，從額度、風險防范等多個角度進行了管理。

　　條碼支付新規明確支付機構提供條碼支付服務，必須持牌經營，此外還將對條碼支付額度進行分級管理，新規自2018年4月1日起實施。

　　按風險劃分四級，採取限額管理

　　新規的重點之一是強調業務資質要求。明確支付機構向客戶提供基于條碼的付款服務時，應取得網絡支付業務許可；支付機構為實體特約商戶和網絡特約商戶提供條碼支付收單服務的，應當分別取得銀行卡收單業務許可和網絡支付業務許可。

　　新規指出，銀行、支付機構應根據《條碼支付安全技術規范（試行）》（銀辦發〔2017〕242號）關于風險防范能力的分級，對個人客戶的條碼支付業務進行限額管理。

　　具體來看：風險防范能力達到A級，即採用包括數字證書或電子簽名在內的兩類（含）以上有效要素對交易進行驗證的，可與客戶通過協議自主約定單日累計限額。

　　風險防范能力達到B級，即採用不包括數字證書、電子簽名在內的兩類（含）以上有效要素對交易進行驗證的，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過5000元。

　　風險防范能力達到C級，即採用不足兩類要素對交易進行驗證的，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過1000元。

　　而風險防范能力達到D級，即使用靜態條碼的，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過500元。

　　靜態條碼目前被認為是風險最大的支付領域之一。除了限額管理外，新規還提出了一係列防范靜態條碼風險的措施：包括要求靜態條碼應由後臺伺服器加密生成、要求展示靜態條碼的介質應放置在商戶收銀員視線范圍內，商戶應定期對介質進行檢查、要求靜態條碼採用防護罩等物理防護手段避免被覆蓋或替換等。

　　此次《規范》將條碼支付分為付款掃碼和收款掃碼。“付款掃碼”是指付款人通過手機、Pad等移動終端識讀收款人展示的條碼完成支付的行為，是用戶主動掃碼付款，俗稱“主掃”；“收款掃碼”是指收款人通過識讀付款人移動終端展示的條碼完成收款的行為，是用戶被動掃碼支付，俗稱“被掃”。

　　中國社科院金融所支付清算研究中心特約研究員趙鷂認為，由于在此前的試點應用中，條碼支付風險乃至用戶資金損失多發生于“主掃”，特別是“主掃”靜態條碼，《規范》以限制靜態掃碼限額和約束銀行、支付機構開展付款掃碼服務的具體行為與風控措施並要求他們提供客戶權益受損解決機制等具體條款，積極引導付款人“主掃”經過安全加密和設置有效期（一般為一次性條碼）的動態條碼，將商戶的較大金額收款行為也引導到“被掃”上來。

　　趙鷂認為，《規范》是條碼支付的“駕駛證”。央行新規讓條碼支付從此告別“無證駕駛”與“危險駕駛”。

　　安全風險考量，二維碼支付曾被暫停

　　條碼支付的發展經歷了“一波三折”：2011年，央行同意部分非銀行支付機構（簡稱支付機構）在限定場景內試點開展條碼支付業務，並提出嚴格的風險管理要求。到了2014年，在未建立有效安全措施、統一的業務規則和消費者權益保護制度的背景下，部分支付機構採取持續補貼的方式廣泛推廣條碼支付業務，人民銀行對其採取了暫停線下條碼支付業務的監管措施。

　　在此後的一段時間裏，以支付寶、財付通為代表的二維碼支付機構通過改造掃碼流程（如從用戶掃商家改為商家掃用戶）等方式，並未放棄搶佔二維碼支付市場；而在互聯網巨頭的大額補貼之下，二維碼支付也逐漸為大眾所知曉。

　　央行有關負責人在答記者問中指出，隨著近年來支付標記化（Tokenization）等技術在移動支付中的廣泛應用，客觀上提高了條碼支付的安全標準。但是，囿于缺乏統一的業務規范和技術標準，在條碼生成機制和傳輸過程中仍存在風險隱患，也引發了支付安全的風險案件，市場機構在業務推廣過程中還存在不正當競爭等現象。

　　為規范條碼支付業務，保護消費者合法權益，促進移動支付業務健康可持續發展，人民銀行指導中國支付清算協會組織市場機構、專家學者就條碼支付相關問題開展充分研討並達成高度共識，研究制定了相應業務規范和技術規范。 新京報記者 宓迪

　　■ 釋疑

　　1 限額對消費者有影響嗎？

　　專家認為，各項單日累計交易額度能滿足大部分人使用條碼支付付款的需求。

　　央行表示，條碼支付與傳統銀行卡等支付工具相比在交易安全性上存在一定不足，人民銀行堅持條碼支付小額、便民的定位，對條碼支付風險防范能力進行分級。發行條碼的銀行、支付機構應根據風險防范能力等級，在確保風險可控和盡量滿足用戶需求的前提下科學合理設置相匹配的日累計交易限額。

　　“簡單地説，就是用戶的風險防范等級越高，每天可以交易的金額就越高，如規范中提到的A級，採用數字證書或電子簽名，再加上靜態密碼、指紋等要素，就可以不受額度限制。”拉卡拉支付股份有限公司資深合規總監唐淩指出，“如果商家放個靜態碼你就敢掃，支付額度自然就低。”

　　“盡管監管對靜態碼有不少要求，如商家定期檢查，用玻璃罩蓋上等措施，但在掃碼支付的風險案件中，靜態碼佔比仍很高，那每天就限額500元，即便是被騙，損失也可控。”唐淩表示，如用動態碼付款，風險自然少，限額就會提升。這也是監管政策的一個良好導向。

　　據記者小范圍調查，500元的靜態條碼限額能夠滿足多數人的日常支付需求。

　　“市場統計表明，條碼支付業務量的95%是單筆500元以下的小額交易，2017年上半年筆均百元左右。”中國社科院金融所支付清算研究中心特約研究員趙鷂指出。

　　中國支付清算協會執行副會長兼秘書長蔡洪波認為，總體來看各項單日累計交易額度能夠有效滿足絕大部分客戶使用條碼支付進行付款的需求，基本不影響消費者使用的便利性體驗，同時也能夠顯著提高條碼支付的安全水準。 新京報記者 宓迪

　　2 新規對機構有何影響？

　　騰訊和支付寶方面均表示，正在學習央行通知，會持續收集用戶和商戶的實際需求。

　　在第三方移動支付領域“寡頭局面”逐漸形成的過程中，市場份額的細微變動背後，機構之間也不惜通過“線下支付返現”、“折扣”等優惠措施吸引用戶和流量。

　　央行有關負責人直言，條碼支付在促進移動支付普及發展的同時，出現擾亂市場公平競爭秩序的現象。“部分市場機構在開展條碼支付業務時，在定價和市場推廣策略中採取傾銷、交叉補貼等不正當競爭手段，濫用本機構及關聯企業的市場優勢地位，排除、限制支付服務競爭，導致支付行業無序發展和不公平競爭，擾亂市場秩序。”

　　在蘇寧金融研究院互聯網金融研究中心主任薛洪言看來，新規注意到了“部分機構採取燒錢、補貼”等市場行為。“支付本就是微利業務，中小支付機構無力補貼市場，站在監管機構角度，部分機構採取燒錢、補貼等方式拓展市場會加速行業分化，不利于整個支付生態體係的穩定與健康發展。”

　　針對此次央行發布的條碼支付業務規范，27日晚間，騰訊方面表示，正在組織相關團隊學習消化這一通知，“我們也在收集用戶和商戶的實際需求，同時積極研發新技術以及探索新技術應用于條碼支付領域的可行性。”公開資料顯示，擁有央行第三方支付牌照的騰訊財付通目前旗下有微信支付、QQ錢包兩大産品，用戶數已超過8億，日均交易筆數已超過6億筆。

　　支付寶方面表示，高度認同央行為規范條碼支付所作出的努力，支付寶非常關注並正在組織團隊認真學習這一通知，會持續收集用戶和商戶的實際需求，積極研發新技術以及探索新技術應用于條碼支付領域的可行性。 新京報記者 陳鵬

　　■ 行業

　　二維碼支付正上演“三國殺”

　　2016年，中國支付清算協會向支付機構下發《條碼支付業務規范》（徵求意見稿），被行業內認為是官方首次公開認可條碼支付的標誌。此後的一段時間內，包括銀聯、商業大行們加快了二維碼支付産品的步伐，紛紛推出二維碼支付産品。

　　這段時間裏，銀聯推出銀聯版二維碼標準、涵蓋二維碼支付功能的“雲閃付”APP，而支付寶、財付通們亦並未放慢攻城略地的步伐，更是將行業內“三國殺”的戰火逐漸燒到海外，創始人紛紛親自上陣，為自家産品站臺。

　　專家指出，二維碼的背後，是各個巨頭對支付場景的爭奪，而支付是金融體係的基礎。根據中國支付清算協會此前的一份調研，用戶最常見的條碼支付場景為超市或便利店，之後為餐飲店、自動售賣機及電影院等。

　　央行公布的支付體係運作總體情況顯示，三季度移動支付業務97.22億筆，金額49.26萬億元，同比分別增長46.65%和39.42%。 新京報記者 宓迪

　　■ 小貼士

　　欺詐手段多 掃碼小心這些雷

　　梳理公開材料可以發現，此前有不少案例利用的就是當下掃碼的一些缺陷和漏洞。

　　1、靜態條碼被“調包”

　　2017年3月，江某誤掃了共用單車上被掉包的二維碼，將99元押金轉入不法分子賬戶，無法追回。目前，部分特約商戶（小微商戶）用靜態條碼作為收款碼，但靜態條碼容易被調換，如果掃描不法分子調換的條碼支付，資金將付給不法分子，導致商戶無法收到錢款。

　　2、利用收款碼偽造交通罰單等

　　2017年3月，南京的鄒先生在車上發現一張違停罰單，並附有二維碼“掃碼可繳費”。掃描二維碼後顯示“違章處理，轉賬200元，點擊確認”。核實發現是假罰單。

　　不法分子利用消費者圖省事的心理和有時存在粗心大意的情況，基于日常生活消費、公共事業繳費（水、電、燃氣費等）、交通違章發單繳費等應用場景，編造虛假的繳費資訊通知或提示，同時放置或印制偽造的條碼，誤導客戶掃描偽碼，實施欺詐。

　　3、嵌入木馬，掃碼被盜刷或竊取資訊

　　不法分子將木馬病毒程式嵌入到其生成的條碼當中，一旦誤掃了此類條碼，手機就可能中毒或被他人控制，導致賬戶資金被盜刷、個人敏感資訊泄露等風險問題發生。近期“清理僵屍粉”騙局也屬于這種類型。

　　4、誘騙消費者發送付款碼後盜刷

　　不法分子以金錢或物質獎勵、優惠等誘導消費者向其發送付款碼，之後迅速實施盜刷。2016年8月，參加了“集讚送禮品”活動的雲南楊小姐聯繫商家換取獎品，商家不斷要求楊小姐發送付款碼，最終成功盜取了其賬戶資金。

　　5、虛假網店發收款條碼實施欺詐

　　在網購過程中，存在不法商戶在消費者支付環節騙取其使用購物平臺監控外的掃碼方式進行付款。南京的沈小姐在網購選好衣物後，通過店家發來的二維碼進行手機付款，但之後被對方拉黑，損失約2000元。

　　6、利用小禮品等獎勵誘導掃碼注冊

　　不法分子採用贈送小禮品的方式，誘導消費者掃描二維碼並在注冊頁面填寫姓名、手機號、身份證號等相關資訊，隨後將個人身份資訊轉賣獲利。（宓迪）