每經編輯 每經記者 張壽林 每經編輯 王可然    

每經記者 張壽林 每經編輯 王可然

12月27日，央行發布《條碼支付業務規范》（試行）（以下簡稱《規范》）。根據風險防范能力的分級，《規范》要求對個人客戶的條碼支付業務進行限額管理。風險防范能力達到D級，即使用靜態條碼的，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過500元。

這意味著商戶打印出來二維碼用來收款，這種日常所見的方式風險防范能力屬于D級，對應的是，消費者掃碼單日支付限額為500元。

對此，北京網絡法學研究會副秘書長、中國社科院金融所支付清算研究中心特約研究員趙鷂告訴《每日經濟新聞》記者，二維碼如果設置為靜態并重復使用，易于隱藏木馬等風險信息，這種情況下賬戶資金就可能被盜。同時，靜態碼的使用場景主要是日常微小額收付，從統計數據上來看，500元以下的支付已經覆蓋了條碼支付的95%。

首次明確條碼支付交易限額

上述《規范》，是監管層針對條碼支付首次發布的業務規范。趙鷂指出，條碼支付的業務與商業優勢，使得其業務與技術風險都有特殊性。特別是，條碼支付相較于銀行卡支付，其使用交易指令單向驗證簡化支付流程從而提升用戶感受的體驗優勢，使得其易于被黑客繞過銀行卡身份認證機制，實施“中間人”攻擊，造成用戶資金失竊。

從條碼的靜態圖和掃碼設備來看，趙鷂介紹，條碼支付配套的（靜態）條碼圖形、掃碼設備具有部署成本低、使用門檻低的競爭優勢使得條碼圖形，特別是靜態條碼真假難辨，其易被篡改、變造，用戶掃碼支付風險突出。“從商戶的角度來看，靜態二維碼粘在收銀臺上，誰要是悄悄替換掉，換一個新的二維碼，客戶確實支付了，但本該商戶收的款卻被不法分子轉移走了。”趙鷂舉例說。

《規范》在條碼生成和受理方面，提出交易驗證方式、交易限額管理、信息管理和安全防護，靜態條碼應用管理、綜合應用支付標記化技術等措施。

根據風險防范能力的四類分級，《規范》對個人客戶的條碼支付業務進行限額管理，風險防范能力達到D級，即使用靜態條碼的，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過500元。

在其他三種級別中，風險防范能力達到A級，即采用包括數字證書或電子簽名在內的兩類（含）以上有效要素對交易進行驗證的，可與客戶通過協議自主約定單日累計限額；風險防范能力達到B級，即采用不包括數字證書、電子簽名在內的兩類（含）以上有效要素對交易進行驗證的，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過5000元；風險防范能力達到C級，即采用不足兩類要素對交易進行驗證的，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過1000元。

條碼支付告別“無證駕駛”

《規范》明確，在符合相關資質審核和認定的前提下，小微商戶可以受理條碼支付；同時，為了防范套現等交易風險，對以同一個身份證件在同一家收單機構辦理的全部小微商戶基于信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元。央行有關負責人在答記者問時指出，受理基于借記卡的條碼支付不受收款額度的限制。

趙鷂指出，監管部門積極響應市場需要，一方面滿足了小微商戶受理條碼支付的要求，一方面堵住了不法分子濫用商事登記管理與稅收改革政策中關于小微商戶的優待政策，甚至其與小微商戶勾結套現大額信用卡資金的風險漏洞。

針對部分支付機構與多家銀行業金融機構或支付機構直連進行商戶拓展，央行發布該項《規范》的通知（銀發〔2017〕296號）重申，銀行業金融機構、支付機構開展條碼支付業務涉及跨行交易時，應當通過央行跨行清算系統或者具備合法資質的清算機構處理。自上述通知發布之日（2017年12月25日）起，銀行、支付機構不得新增不同法人機構間直連處理條碼支付業務；存量業務應按照人民銀行有關規定加快遷移到合法清算機構處理。

縱觀近年來條碼支付市場的發展，趙鷂評價，條碼支付創新性地滿足了民眾小額便民支付需求，成為我國移動支付發展的重要體現形式，但其過低的市場進入門檻也觸發了市場的無序競爭，“無證駕駛”、“危險駕駛”風險集中。

自2014年始，各類市場主體唯恐落后于人，部分支付機構甚至采取持續補貼、交叉補貼的方式推廣條碼支付業務，大搞“跑馬圈地”。趙鷂對此指出，央行審時度勢地發布上述《規范》，意味著條碼支付從此告別“無證駕駛”與“危險駕駛”。