央行解读条码支付新规：明确支付机构应取得业务许可

，支付安全关乎人民群众财产安全和合法权益，稳健经营关乎产业的健康可持续发展。便捷的使用方式、良好的用户体验是支付创新的生命力，但不能单纯追求无底线的创新；稳定、可持续的投入和运营是支付业务长远发展的保障，不能为了追求短期的市场份额，采取“烧钱”“补贴”等不当竞争手段。通知和规范旨在指导相关单位正确处理安全与发展的关系，在严守安全底线的基础上开展支付创新，维护公平竞争的市场环境，促进行业健康可持续发展，为人民群众提供安全便利的金融服务。通知和规范提出的业务规范要求和安全管理措施非但不会制约支付创新发展，反而能够指引支付业务创新沿着安全规范的方向发展，确保创新业务的质量和效能，保障行业发展的稳健和长远。问：业务规范和技术要求如何落地实施？答：业务规范的落地实施要通过构建企业自我管理、行业组织自律、主管部门监管、社会全面监督多位一体的管理体系，保障各项要求落实到位。已开展业务的银行业金融机构、支付机构应当全面梳理自身条码支付业务情况，根据规范要求进行自查和整改。开展条码支付业务创新的，应当履行提前报告义务。银行、支付机构从事条码支付业务，应接受中国支付清算协会行业自律管理，并充分发挥违法违规举报奖励机制的作用，净化市场发展环境。人民银行分支机构依法对辖区内银行、支付机构条码支付业务进行监督管理，加大检查力度，对违规行为，应依法严肃处理。技术规范的落地实施需要从产品质量管理、入网管理、专项检查、安全评估等方面多管齐下，切实提升条码支付技术风险防控能力。银行、支付机构要严格落实技术规范提出的各项要求，强化条码支付产品安全管理，健全条码支付风险防控机制，使用符合国家标准及金融行业标准的产品，确保相关业务系统、受理终端等的技术标准符合性。清算机构要强化受理终端入网管理，完善终端定期抽检机制，加强终端抽样检测力度。人民银行分支机构要定期对条码支付相关业务系统、受理终端等组织开展专项抽查，强化条码支付技术管理。问：对条码支付交易报文管理提出了哪些针对性的要求？答：一是采用数字签名、加密传输等措施，加强支付指令真实性。二是在交易报文中准确记录发起方、接收方、网络路由、唯一交易流水号等关键信息，保障交易可追溯性和一致性。三是完善商户、渠道、订单等交易信息，精准刻画交易全貌，确保支付指令完整性。问：对于普遍使用的静态条码，提出了哪些针对性的风险防控措施？答：静态条码易被篡改或变造，易携带木马或病毒，真伪难辨，导致支付风险较高。因此，提出了一系列防范静态条码风险的措施：一是要求静态条码应由后台服务器加密生成，宜采用防伪纸张展示条码，防伪纸张应具备一定防伪特征。二是要求展示静态条码的介质应放置在商户收银员视线范围内，商户应定期对介质进行检查。三是要求静态条码采用防护罩等物理防护手段避免被覆盖或替换，宜使用防伪标签对防护罩进行标记。四是要求在静态条码介质显著位置明显展示收款方信息，便于用户核对。五是通过风险防范能力分级管理，进一步规范使用静态条码，并鼓励使用风险防范能力较高的收款扫码方式。问：对消费者使用条码支付付款的交易限额管理是如何统筹考虑的？答：条码支付与传统银行卡等支付工具相比在交易安全性上存在一定不足，人民银行坚持条码支付小额、便民的定位，对条码支付风险防范能力进行分级。发行条码的银行、支付机构应根据风险防范能力等级，在确保风险可控和尽量满足用户需求的前提下科学合理设置相匹配的日累计交易限额。使用动态条码进行支付的，风险防范能力分级见下表。风险防范能力交易验证方式交易限额（同一客户单日累计）银行（单个银行账户）支付机构（所有支付账户或快捷支付）A级采用包括数字证书或电子签名在内的两类（含）以上有效要素进行验证自主约定自主约定B级采用不包括数字证书、电子签名在内的两类（含）以上有效要素进行验证5000元所有支付账户5000元所有快捷支付5000元C级采用不足两类有效要素进行验证1000元所有支付账户1000元所有快捷支付1000元使用静态条码进行支付的，风险防范能力为D级，无论使用何种交易验证方式，同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额应不超过500元。为引导银行、支付机构提高交易验证方式的安全性，加强客户资金安全保护，对于风险防范能力高、交易验证方式更为安全的，不设定额度上限，市场主体可与客户自行约定交易限额。基于防替换、防盗刷等安全因素角度考虑，要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施，以鼓励市场主体采用更为安全的动态条码提供支付服务。依据主要市场机构条码支付交易数据显示，上述额度已覆盖绝大部分使用条码支付付款客户及商户的需求。问：对特约商户受理条码支付进行收款都有哪些具体要求？答：加强对条码支付特约商户管理的目的在于排除风险商户，防范和遏制不法分子利用条码支付业务隐藏木马病毒、进行洗钱、欺诈等犯罪活动，更好地维护条码支付业务参与各方的合法权益。考虑到条码支付业务涉及银行账户和支付账户，且可应用于网络特约商户和实体特约商户，为保持监管制度和标准的一致性，我们遵循银行卡收单业务管理的相关要求，从条码支付特约商户拓展、特约商户审批、特约商户信息留存及管理、黑名单管理、实体商户属地化管理、外包业务管理等方面明确了具体的管理要求。同时，为了兼顾小微商户受理条码支付的需求，促进普惠金融发展，明确在符合相关资质审核和认定的前提下，小微商户可以受理条码支付；同时，为了防范套现等交易风险，对以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元，但受理基于借记卡的条码支付不受收款额度的限制。