央行规范条码支付：实行限额管理 不得烧钱补贴抢市场

过程中还存在不正当竞争等现象。为贯彻落实党的十九大和第五次全国金融工作会议精神，鼓励并规范金融创新，促进条码支付健康可持续发展，人民银行指导中国支付清算协会组织会员单位、专家学者进行研究论证，研究制定了条码支付业务规范和技术规范，并通过书面征求意见、召开专题会议等形式充分听取各方意见建议并修改完善，实现了监管与市场的顺畅沟通和有效互动，达成了高度共识。问：条码支付业务发展中存在哪些主要问题？答：一是条码支付在降低商户准入门槛的同时，加剧收单市场乱象。由于条码支付设备成本低于传统的银行卡受理终端，还可通过张贴静态条码实现收付款业务，能够满足小微商户的非现金支付受理需求，与银行卡收单互为补充，提升社会整体支付服务水平。但是，部分市场机构利用条码可远程发送、不受专业受理终端限制的特点，在商户拓展过程中未履行“了解你的客户”义务，通过“一证下机”等方式违规发展商户，加剧了套现、二清、外包管理不到位等收单乱象，存在各类安全隐患，对市场可持续发展造成较大的危害。二是条码支付在促进移动支付普及发展的同时，出现扰乱市场公平竞争秩序的现象。近年来，条码支付在小额、便民支付领域市场份额持续增加，促进了移动支付的快发展和普惠金融的广覆盖。但是，部分市场机构在开展条码支付业务时，在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段，滥用本机构及关联企业的市场优势地位，排除、限制支付服务竞争，导致支付行业无序发展和不公平竞争，扰乱市场秩序。三是条码支付借助开放互联网和非专业设备进行交易处理，带来一定的技术风险。包括：可视化风险，条码在开放互联网环境下以图形化方式进行展示，不法分子可通过截屏、偷拍等手段盗取支付凭证，在支付凭证有效期内盗用资金;易携带恶意代码的风险，条码不仅可存储支付要素，也可携带非法链接或程序代码，不法分子可将木马病毒、钓鱼网站链接制成条码，诱导客户扫描，窃取支付敏感信息;信息单向交互风险，条码支付只能实现发起方或接收方的单向信息交互，不法分子可利用该弱点实施“中间人攻击”，绕过身份认证机制，造成用户资金损失;扫码设备安全强度低的风险，条码支付对设备要求低，普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码，易被不法分子非法改装使用。问：业务规范方面有哪些主要措施？答：一是强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时，应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的，应当分别取得银行卡收单业务许可和网络支付业务许可。二是重申清算管理要求。针对部分支付机构与多家银行业金融机构(以下简称银行)或支付机构直连进行商户拓展，进一步强化了支付机构与银行多头直连的现象，明确要求银行、支付机构开展条码支付业务涉及跨行交易时，应当通过人民银行跨行清算系统或者具备合法资质的清算机构处理。三是要求维护市场公平竞争秩序。市场机构不得以任何形式诋毁其他市场主体的商业信誉，不得采用不正当竞争手段损害其他市场主体利益、排挤竞争对手，破坏市场公平竞争秩序。四是规范条码生成和受理。提出交易验证方式、交易限额管理、信息管理和安全防护，静态条码应用管理、综合应用支付标记化技术等措施，保障条码支付业务的安全性。五是加强商户管理和风险管理。从特约商户资质审核、受理协议签订、商户风险评级、商户检查，以及交易风险监测，客户安全教育等方面提出要求，强化业务风险管理。问：针对条码支付技术风险，提出了哪些针对性要求？答：一是加强条码安全防护。采取支付标记化(Tokenization)、有效期控制、条码防伪识别等手段，提升条码生成、存储、展示、识读、解析、使用等环节的安全防护能力，有效保障条码的可靠性和有效性。二是提升条码支付交易安全强度。针对不同条码生成方式，提出加密生成、定期更新、终端唯一标识绑定等具有针对性的安全防护措施。要求银行、支付机构和清算机构运用交易验证强度与交易额度相匹配的技术措施提高条码支付交易的安全性。三是强化条码支付交易风险监测与预警。合理应用大数据分析、用户行为建模等手段建立条码支付风险监控模型和系统，对异常交易及时预警并附加风控措施，对高风险交易及时告知客户资金变化情况。四是加强客户端软件安全管理。从木马病毒防范、信息加密保护、运行环境可信等方面提升条码支付客户端软件的安全防护能力，要求客户端软件能够监测并向后台系统反馈手机支付环境安全状况并作为风控策略的依据。问：针对条码支付的业务规范要求和安全管理措施是否会制约支付创新发展？答：支付服务属于金融服务，与社会经济运行和百姓日常生活密切相关，支付安全关乎人民群众财产安全和合法权益，稳健经营关乎产业的健康可持续发展。便捷的使用方式、良好的用户体验是支付创新的生命力，但不能单纯追求无底线的创新;稳定、可持续的投入和运营是支付业务长远发展的保障，不能为了追求短期的市场份额，采取“烧钱”“补贴”等不当竞争手段。通知和规范旨在指导相关单位正确处理安全与发展的关系，在严守安全底线的基础上开展支付创新，维护公平竞争的市场环境，促进行业健康可持续发展，为人民群众提供安全便利的金融服务。通知和规范提出的业务规范要求和安全管理措施非但不会制约支付创新发展，反而能够指引支付业务创新沿着安全规范的方向发展，确保创新业务的质量和效能，保障行业发展的稳健和长远。问：业务规范和技术要求如何落地实施？答：业务规范的落地实施要通过构建企业自我管理、行业组织自律、主管部门监管、社会全面监督多位一体的管理体系，保障各项要求落实到位。已开展业务的银行业金融机构、支付机构应当全面梳理自身条码支付业务情况，根据规范要求进行自查和整改。开展条码支付业务创新的，应当履行提前报告义务。银行、支付机构从事条码支付业务，应接受中国支付清算协会行业自律管理，并充分发挥违法违规举报奖励机制的作用，净化市场发展环境。人民银行分支机构依法对辖区内银行、支付机构条码支付业务进行监督管理，加大检查力度，对违规行为，应依法严肃处理。技术规范的落地实施需要从产品质量管理、入网管理、专项检查、安