二维码支付禁令有望松动 订单类支付或先放行
今年3月,央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》,对支付宝、腾讯的虚拟信用卡产品和条码(二维码)支付等面对面支付服务暂停。
但时过半年,二维码支付并未销声匿迹。
先是5月份“银联商务内蒙古分公司推广二维码POS机收单业务”的消息不胫而走,接着,近期腾讯微信新增的“面对面收钱”功能,又被猜测为重启微信二维码支付的预兆。
其间,和支付宝合作的线下商家仍在继续扫码行为;中国银联已经悄悄完成二维码支付系统的技术开发;中信、民生等多家银行也在手机银行App里嵌入了二维码功能……
与3月份紧急叫停的明确态度相比,这一次,面对二维码支付市场的“躁动”,央行沉默,并未“发声”。而这个姿态,更让市场中“二维码支付即将重启”的舆论甚嚣尘上。
在中国政法大学金融法研究中心主任刘少军看来,第三方支付机构、银行等的诸多二维码支付尝试动作,可能是基于央行的试点授权。
9月5日,记者向阿里巴巴、腾讯发送采访函,截至记者发稿时,未收到回复。
法治周末记者注意到,在暂停二维码支付后,央行有关负责人曾表示,央行将会同各方从多方面进行充分论证,以安全为底线,支持有关支付机构在进一步完善业务流程和规则、保护支付资金安全等基础上,按照试点先行的原则开办相关业务,以维护支付市场的健康有序发展。
效率与安全的权衡
“二维码支付作为支付结算的一种方式,支付结算的第一追求是最方便、最快捷,但目前存在的问题是二维码支付能否保证安全,绝对安全是支付结算追求的第二个目标。”刘少军谈道。
央行3月份文件称,线下条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全和资金安全。目前,将条码(二维码)应用于支付领域有关技术,终端的安全标准尚不明确。相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患。
“支付宝和微信的二维码支付模式,是通过扫描二维码的方式把原有的线下支付转换为线上支付,实现了O2O闭环,走的是第三方互联网支付的通道,这突破了原有的支付模式;而银联的二维码支付本质还是线下支付,只是用‘扫码’取代了‘刷卡’流程,是一种自然的技术升级。”互联网行业资深观察家刘兴亮认为,二维码支付的安全问题包括模式安全和技术安全两个层面。
中国支付清算协会是经国务院同意、民政部批准成立的非营利性社会团体法人,其主管单位为中国人民银行。
一位不愿具名的中国支付清算协会从业人士告诉记者,在针对二维码支付的安全性分析、调研的过程中发现,二维码目前面临的主要风险是不法分子利用二维码暗藏木马链接,诱骗消费者扫码后在消费者手机上植入木马程序。
“消费者扫码的过程,是实现二维码从商户到个人转移的过程,这个过程中信息的真实性和完整性是否被延续是重点。如果手机木马在信息转移的同时给消费者手机发送二维码,将会阻断商户信息的真实性和完整性,轻则可以让手机中招诱发系统重启,重则可以让支付过程中断甚至发生错付情况。”该支付清算协会人士指出。
或率先放开订单类支付
尽管当前二维码的技术安全标准缺失,在支付流程中如何保证二维码的唯一性、安全性等问题都有待完善,但中央财经大学教授郭田勇认为,“二维码支付禁令以后肯定会解除”。
易观智库统计报告指出,第二季度中国第三方支付市场移动支付(不包含短信支付)交易额规模达到16353亿元,未来二维码支付的启动与否,将直接决定中国移动支付市场的创新模式、市场推广和市场交易规模的增长。
上述支付清算协会人士透露,央行初步考虑将根据风险高低程度,有顺序、分阶段地放开二维码支付业务,最先放开的可能是订单类应用场景的二维码支付。
根据二维码承载信息的不同,目前市场上的二维码支付业务可分为订单类(承载的信息是商户端生成的订单信息)、账户类(账户信息的载体)和商品信息类(保存商品相关的信息)三种应用场景。
一般而言,订单类二维码和商品信息类二维码对应主读模式(用户主动扫描商户的二维码),账户类既可以用于主读模式也可以用于被读模式(用户展示二维码被商家扫描)。
记者了解到,账户类二维码主读模式允许消费者扫描商户账户二维码,完成消费者指定金额的线下交易,或者个人扫描其他个人账户二维码,完成付款人指定金额的线上转账交易或完成收款人指定金额的线上转账交易;被读模式则是商户扫描用户的二维码,完成交易扣款。
“订单类二维码和账户类二维码最大区别在于,订单类二维码并未储存用户银行账户信息,而是扫码该订单二维码后,让用户到支付后台查询该订单后再在手机上确认付款。而账户类应用场景中生成的二维码则会直接读取用户银行账户、银行卡信息甚至安全认证信息,风险比订单类账户要相对大一些。”郭田勇谈道。
限额控制是通常做法
郭田勇认为,哪种支付方式更便捷、效率更高,同时能做到整体风险可控,哪种支付方式就更具有生命力。因此无论央行放开哪类二维码支付,风险控制都是绕不开的议题。
刘少军表示,规范二维码支付必须解决两个问题:一个是透支问题,支付是像借记卡一样的支付还是像贷记卡一样的支付?如果支付只能绑定信用卡,风险会降低;另一个是支付限额问题,限额不应太高,否则风险过高使得责任也难以承担。
“目前我国没有移动支付立法,主要是靠央行内部控制规则规范移动支付市场,而且更多的方式是限额。在一定范围内做一些比较小数额的尝试是可以的,但尝试必须有央行的授权,且监管部门必须严格监管。”刘少军谈到。
上述支付清算协会人士也认为,作为一种新型的移动支付方式,二维码支付安全性及风险级别应向移动支付看齐,应遵守与移动支付相一致的交易限额控制标准。
记者注意到,在微信支付所绑定的银行卡单笔限额和每日限额为实物类商品10000元、虚拟类商品为1000元。
除了用限额控制支付风险外,支付风险发生后的一般责任承担是怎样的呢?
刘少军认为,按照金融法的基本原则,只要不是因为用户过错(如操作过失、自行泄露个人信息等)导致支付财产风险的,支付机构就应当承担相应责任。如果因支付机构系统、技术问题导致危害发生的,支付机构应承担全部责任。
“其中,证明责任一般是按照比例原则分配的,具体比例由具体案件而定。”刘少军补充道。