扫码支付与刷卡支付以及银行与第三方支付之间没有硝烟的战争早已开始,但似乎要以扫码支付及第三方支付平台大获全胜落幕。2016年8月3日,支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿),意见稿中明确指出支付机构开展条码业务需要遵循的安全标准。这意味着二维码支付的市场地位将得到官方的认可。
参战各方
微信支付
依托微信拥有大量的用户群体,从红包开始,引导用户绑定银行卡,从最开始的游戏场景消费到购物,以及现在的餐饮、手机充值、城市服务,商店支付等场景。
支付宝
目前支付宝推出的“互联网+公共服务”,已有347个城市入住,提供医疗、教育、交通等便民服务,同时增加余额理财、芝麻信用等不同的产品线,不断完善、增加自己的服务产品。
以银联为首的各家银行
2015年12月,中国银联联合20余家商业银行推出“云闪付”,最初的“云闪付”仅支持安卓系统,持卡人需在手机银行上生成云闪付卡,在具有银联“闪付”标识的Pos机上完成支付。目前“云闪付”的产品系列覆盖非接IC卡、手机、可穿戴设备等多种介质形态。在监管认可、产品技术较为成熟,安全风险可控、且通过相关检测认证的情况下,银联拟把二维码充实到“云闪付”产品系列中,作为非接支付的补充,丰富“云闪付”产品体系。
战况综述:见招拆招
在扫码支付推出初期,央行认为扫码支付技术没有统一的标准和检测认证标准,更没有相应的消费者权益保护制度,如果全面推广可能会引发大面积客户资金损失和信息泄露风险。
事实上,有不少人认为,之所以限制第三方支付的崛起,是因为它们动摇了银联的垄断利益,即银联刷卡手续费这一收入主要来源。按照央行规定,每笔刷卡的手续费由发卡行、收单行、银联按“721”比例分成。然而,随着第三方支付迅速崛起,目前支付公司线上业务多数已不走银联通道,线下收单业务也可与银行直连,使得银联的通道作用被架空,盈利模式遭受冲击。中国银联自身披露的数据,亦可说明直连与通过银联后手续费率方面的差距:在银联卡线上支付业务中,非金机构向主要成员银行支付的实际手续费率平均仅为0.1%,大大低于银联网络内0.3%-0.55%的价格水平。
于是,2014年3月,央行叫停了二维码支付。但随后,监管默许市场探索,以支付宝、微信支付等第三方支付机构提供的二维码支付服务在近两年发力抢占线下支付市场。如今,消费者的手机支付习惯已渐养成,当银行重新开展二维码支付业务时,还有多少机遇?
第三方支付平台优势评估
首先,在银行暂时退出扫码支付之后,以微信、支付宝为首的第三方支付迅速占领市场,培养消费习惯。
尽管工商银行、招商银行、民生银行等多家银行手机客户端实际上都有扫码支付功能,但很少有消费者会打开该客户端进行支付,用户更倾向于使用微信和支付宝。在微信和支付宝已经成功转化为服务的代名词时,而银行支付在人们的意识里则还停留在网点的概念上。对当前移动支付观察分析结果看,商业银行的线上网络支付阵地已处于明显劣势,几近沦为第三方网络支付机构、尤其是支付宝的后台和资金管道。
其次,对于商户来讲,第三方机构提供的分成比例更加诱人。
传统线下收单的费率分成方式,即发卡银行收取70%,收单机构收取20%,银联得到10%,但微信和支付宝则对传统的游戏规则进行了颠覆并制定了自己的玩法。银联在餐饮的标准费率是12.5 ,微信支付的标准费率是6 。
再次,互联网行业巨头BAT都盯准扫码支付的大蛋糕,积极推动扫码支付的发展。
最初,二维码出现在微信里,是微信的一个内置功能,推向了数亿微信用户。很快,二维码变成了腾讯O2O战略中的重要一环。随着O2O在中国兴起,越来越多的科技巨头意识到二维码不仅功能强大,用户也很容易接受。于是,他们开始强化二维码概念,不断开发二维码的功能,并将其整合到自己的产品里。
战果评估
对当前移动支付现状客观评估之后不难看出,商业银行的线上网络支付阵地已处于明显劣势,几近沦为第三方网络支付机构、尤其是微信和支付宝的后台和资金管道,第三方平台取得阶段性胜利。
手机内下载一个支付宝APP即能解决大多数的线上支付需求。即使央行尽快放行二维码支付,银行未必能重新夺回这个阵地。在当前消费增长发展过程中,消费者对支付的速度和便捷性提出了更高的要求,银行并未能及时应对这种需求变化,以支付宝和微信支付为代表的第三方支付机构便迅速跟进并抢占市场。
二维码支付发展大事记
★
2013年7月
二维码支付被中信银行推出市场,给用户带来了快速、便捷的支付体验。
2014年3月13日
央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》,暂停支付宝、腾讯的虚拟信用卡产品,同时叫停的还有条码(二维码)支付等面对面支付服务,并要求支付宝、财付通将有关产品详细介绍、管理制度、操作流程等情况上报
2014年9月
支付宝、微信支付即再次布局二维码支付,并向全国加速铺开。随后多家银行的手机客户端都设有扫码支付功能,但使用该功能的用户极少。
2016年7月
工行正式推出二维码支付产品,成为国内首家具有二维码支付产品的商业银行。
2016年7月
银联拟把二维码这一种交互方式充实到“云闪付”产品系列中,作为非接支付的补充,丰富“云闪付”产品体系。
下附《条码支付业务规范》(征求意见稿)全文:
第一章总则
第一条为规范线下条码(二维码)支付(以下简称条码支付)业务经营行为,保护会员单位及消费者合法权益,促进条码支付业务健康发展,根据《电子支付指引(第一号)》、《非金融机构支付服务管理办法》、《非银行支付机构网络支付业务管理办法》等规定,制定本规范。
第二条本规范所称条码支付业务是指会员单位应用条码技术,向客户提供的、通过手机等移动终端实现收付款人之间货币资金转移的行为。
条码支付业务包括付款扫码和收款扫码。付款扫码是指付款人通过移动终端读取收款人展示的条码完成支付的行为。收款扫码是指收款人通过读取付款人移动终端展示的条码完成支付的行为。
第三条会员单位开展条码支付业务应遵循本规范。
会员单位开展条码支付业务应遵循依法合规、平等竞争、诚实守信、安全效率、合作共赢的基本原则。
第四条会员单位开展条码支付业务应取得相应的业务资质,并按照监管部门相关业务管理办法规范开展业务,加强风险防范,保障支付安全。
第五条会员单位开展条码支付业务应遵守客户实名制管理规定。
第六条会员单位开展条码支付业务应遵守反洗钱法律法规要求,履行反洗钱和反恐怖融资义务。
第七条会员单位应依法维护客户及相关主体的合法权益,采取有效措施切实保护消费者利益。
第八条会员单位应自觉遵守商业道德,不得以任何形式诋毁其他会员单位的商业信誉,不得利用任何不正当手段损害其他会员单位利益、干预或影响正常市场秩序。
第九条会员单位应遵守监管部门发布的相关技术标准与规范要求,包括但不限于《网上银行系统信息安全通用规范》(JR/T0068-2012)、《中国金融移动支付技术标准》(JR/T0088-00982012)系列标准、《非金融机构支付业务设施技术要求》(JR/T0122-2014)等,以及中国支付清算协会(以下简称“协会)发布的《条码支付技术安全指引》和《条码支付受理终端技术指引》相关要求,保障条码支付业务的交易安全和信息安全。
第二章条码生成和受理
第十条会员单位开展条码支付业务,应将客户用于生成条码的银行账户号码或支付账户账号、身份证件号码、手机号码进行关联管理。
第十一条会员单位开展条码支付业务,应符合监管部门的移动支付技术安全标准,可以组合选用下列三种要素,对客户条码支付交易进行验证:
(一)仅客户本人知悉的要素,如静态密码等;
(二)仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;
(三)客户本人生理特征要素,如指纹等。
会员单位应当确保采用的要素相互独立,部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。
第十二条会员单位采用数字证书、电子签名作为验证要素的,数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》(JR/T0118-2015)等有关规定,确保数字证书的唯一性、完整性及交易的不可抵赖性。
会员单位采用一次性密码作为验证要素的,应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险,并将一次性密码有效期严格限制在最短的必要时间内。
会员单位采用客户本人生理特征作为验证要素的,应当符合国家、金融行业标准和相关信息安全管理要求,防止被非法存储、复制或重放。
第十三条会员单位应根据交易验证方式的安全级别及《条码支付技术安全指引》关于风险防范能力的分级,对个人客户条码支付业务的交易进行限额管理:
(一)风险防范能力达到A级,采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,由会员单位与客户通过协议自主约定单日累计限额;
(二)风险防范能力达到B级,采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计金额应不超过5000元;
(三)风险防范能力达到C级,采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计金额应不超过1000元,且会员单位应当承诺无条件金额承担此类交易的风险损失赔付责任。
第十四条会员单位应通过设置条码使用效期、使用次数等方式,确保条码有效性和真实性,防止条码被重复使用、重复扣款。
第十五条会员单位开展条码支付业务所涉及的业务系统、客户端软件、受理终端/机具等,应当持续符合监管部门及行业标准要求,确保条码生成和识读过程的安全性、真实性和完整性。支付机构还应通过协会组织的技术安全检测认证。
第十六条条码信息不应包含任何与客户及其账户相关的敏感信息,仅限包含当次支付相关信息。
特约商户相关系统生成的条码中,仅限包含与当次支付有关的特约商户、商品(服务)或商品(服务)订单等信息。
移动终端展示的、由相关系统生成的条码中,不应直接包含本人账户信息;账户信息应加密处理。
会员单位应指定专人操作、维护特约商户用于生成条码的相关系统,保障特约商户条码生成的安全和可靠。
第十七条会员单位应为自身发行的条码提供受理服务。支付机构基于支付账户开展条码支付的,应按照自行发展用户、自行拓展商户的封闭模式在限定场景内开展业务。
支付机构基于银行卡开展条码支付业务的,应遵守《银行卡收单业务管理办法》(中国人民银行公告[2013]第9号)等相关规定。
第十八条会员单位应确保付款和收款扫码交易经客户确认或授权后发起,支付信息应真实、完整、有效。
移动终端完成条码扫描后,应正确、完整显示扫码内容,供客户确认。对于移动终端间的小额转账业务,付款方完成扫码后,移动终端应回显隐去姓氏的收款方姓名,供付款方确认。
特约商户受理终端完成条码扫描后,应仅显示扫码成功并提示下一步操作,不得向特约商户展示条码中客户相关敏感信息。
第十九条会员单位应根据付款和收款扫码的真实场景,按照监管规定和相关业务规则与管理制度要求,正确选用交易类型,准确标识交易信息并完整发送,确保交易信息的完整性、真实性和可追溯性。
交易信息至少应包括:直接提供商品或服务的特约商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。
第二十条支付交易报文中应通过特定域标识该交易为条码支付交易,以供商业银行或支付机构正确识别并进行授权处理。
第二十一条会员单位应采取技术措施,以保证交易信息传输的安全性、完整性和抗抵赖性。
第二十二条支付交易完成后,特约商户受理终端和移动终端应展示支付结果;支付失败的,特约商户受理终端和移动终端还应展示失败原因。
第二十三条会员单位应要求特约商户在支付交易成功后,按照特约商户与客户的约定及时提供相应商品或服务。
第二十四条会员单位应向特约商户和客户提供条码支付交易明细,便于其办理查询、退货、差错处理等业务。
第二十五条会员单位应根据交易发生时的原交易信息发起交易差错处理、退货交易,需划回资金的,相应款项应当划回原扣款账户。
第三章条码支付特约商户管理
第二十六条会员单位拓展条码支付特约商户,应遵循“了解你的客户”原则,确保所拓展的是依法设立、合法经营的特约商户。
第二十七条特约商户及其法定代表人或负责人在中国人民银行指定的风险信息管理系统中存在不良信息的,会员单位应谨慎或拒绝为该特约商户提供条码支付服务。
中国人民银行指定的风险信息管理系统包括但不限于中国人民银行或行业协会有关信息管理系统、银行卡清算机构建设运营的风险信息共享系统。
第二十八条会员单位拓展特约商户应落实实名制规定,严格审核特约商户申请材料的真实性、完整性、有效性,并留存特约商户有效证件影印件或复印件。对于申请材料虚假、缺失、要素不全或不合规的,不得审批通过。
第二十九条会员单位应制定特约商户审批制度和审批流程,明确审批权限,指定专人负责特约商户审批工作。特约商户审批岗位不得与特约商户拓展等相关岗位兼岗。
第三十条会员单位应与特约商户就银行账户的设置和变更、资金结算周期、结算手续费标准、差错和争议处理等条码支付服务相关事项进行约定,明确双方的权利、义务和违约责任。
第三十一条会员单位应要求特约商户提供真实的商品或服务;按规定使用受理终端(网络支付接口)、银行账户或支付账户,不得利用其从事或协助他人从事非法活动;妥善处理交易数据信息、保存交易凭证,保障交易信息安全;不得向客户收取或变相收取附加费用,或降低服务水平。
第三十二条会员单位应建立特约商户信息管理系统,记录特约商户名称和经营地址、特约商户身份资料信息、特约商户类别、结算手续费标准、银行结算账户信息、开通的交易类型和开通时间、受理终端(网络支付接口)类型和安装地址等信息,并及时进行更新。
第三十三条会员单位应通过建立特约商户及链接地址的黑、白名单等方式,控制支付风险。
第三十四条会员单位应建立特约商户检查制度,明确检查频率、检查内容、检查记录等管理要求,落实检查责任。对特约商户受理终端,不得开通条码支付转账业务功能;对移动终端,不得开通特约商户交易资金结算功能。
第三十五条会员单位应当对实体特约商户条码受理业务进行本地化经营和管理,通过在特约商户及其分支机构所在省(区、市)域内的受理机构提供受理服务,不得跨省(区、市)域开展条码受理业务。
第三十六条会员单位基于银行卡(账户)开展条码支付业务的,应按照相关监管制度要求审慎选择外包服务机构,严格规范与外包机构的业务合作,并强化外包业务的风险管理责任。
第三十七条会员单位应按照相关监管制度要求强化支付敏感信息内控管理和安全防护,强化交易密码保护机制;通过全面应用支付标记化技术等手段,从源头控制信息泄露和欺诈交易风险。
第三十八条会员单位应对特约商户进行条码支付业务培训,并保存培训记录。
第三十九条对特约商户申请材料、资质审核材料、受理协议、培训和检查记录、信息变更、终止合作等档案资料,会员单位应至少保存至服务终止后5年。
第四十条会员单位提供条码支付服务应向特约商户收取结算手续费,不得变相向客户转嫁手续费,不得采取不正当竞争手段损害他人合法权益。
第四十一条会员单位与特约商户终止条码支付相关服务协议的,应及时关闭支付服务或支付接口(功能),收回布放机具,进行账务清理,妥善处理后续事项。
第四十二条会员单位应尊重特约商户的自由选择权,不得干涉或变相干涉特约商户与其他机构的合作。
第四章风险管理
第四十三条会员单位应建立全面风险管理体系和内部控制机制,提升风险识别能力,采取有效措施防范风险,及时发现、处理可疑交易信息及风险事件。
第四十四条会员单位开展条码支付业务,应当评估业务相关的洗钱和恐怖融资风险,采取与风险水平相适应的风险管控措施。
第四十五条会员单位应建立特约商户风险评级制度,综合考虑特约商户的区域和行业特征、经营规模、财务和资信状况等因素,对特约商户进行风险评级。
第四十六条会员单位应结合特约商户风险评级及交易类型等因素,设置或与其约定单笔及日累计交易限额。
第四十七条对风险等级较高的特约商户,会员单位应通过强化交易监测、建立特约商户风险准备金、延迟清算等风险管理措施,防范交易风险。
第四十八条会员单位应建立特约商户检查、评估制度,根据特约商户的风险等级,制定不同的检查、评估频率和方式,并保留相关记录。
第四十九条会员单位应制定突发事件应急预案,建立灾难备份系统,确保条码支付业务的连续性和业务系统安全运行。
第五十条会员单位应能够有效识别本单位发行的客户端程序和特约商户受理终端,能够确保条码生成和识读过程的安全性。
第五十一条会员单位应确保相关客户身份或账户信息安全,防止泄露,并根据收付款不同业务场景设置条码有效性和使用次数。
第五十二条会员单位应建立条码支付交易风险监测体系,及时发现可疑交易,并采取阻断交易、联系客户核实交易等方式防范交易风险。
第五十三条会员单位发现特约商户发生疑似套现、洗钱、恐怖融资、欺诈、留存或泄漏账户信息等风险事件的,应对特约商户采取延迟资金结算、暂停交易、冻结账户等措施,并承担因未采取措施导致的风险损失责任;发现涉嫌违法犯罪活动的,应及时向公安机关报案。
第五十四条商业银行和支付机构在条码支付业务中发生关系或开展合作的,应当约定或在合作协议中明确交易验证、信息保护、差错处理、风险赔付等方面的权利、义务和违约责任,切实保障客户资金安全和信息安全。
第五十五条会员单位应持续完善客户服务体系,及时受理和解决条码支付业务中的客户咨询、查询和投诉等问题,自觉维护客户的合法权益。
第五十六条会员单位应充分披露条码支付业务产品类型、办理流程、操作规程、收费标准等信息,明确业务风险点及相关责任承担机制、风险损失赔付方式及操作方式。
第五十七条会员单位应开展对客户的条码支付安全教育,提升其风险防范意识和应对能力。
第五十八条会员单位应按照要求及时向协会报送条码支付业务统计数据及相关信息资料,数据和信息资料应真实、准确、完整。
第五十九条会员单位或其外包服务机构、条码支付特约商户发生涉嫌重大银行卡违法犯罪案件或重大风险事件的,会员单位应当于2个工作日内向协会报告。
第五章纪律与责任
第六十条会员单位开办条码支付业务,应当提前30天向协会报告,报告内容包括但不限于:
(一)开展条码支付业务的业务方案;
(二)产品详细介绍;
(三)业务管理办法;
(四)风险防范措施;
(五)机构合作情况;
(六)服务费标准及分配机制;
(七)客户权益保护措施;
(八)服务外包范围及外包管理办法。
支付机构还应提供条码支付业务的技术安全检测认证证明。
第六十一条会员单位终止条码支付业务,应当提前30天向协会报告,报告内容包括但不限于:公司法定代表人签署的书面申请,载明公司名称、条码支付业务开展情况、终止原因、客户合法权益保障方案、支付业务信息处理方案等。
第六十二条会员单位新增开展条码支付业务,扩大或变更条码支付业务场景、渠道、地域,或对条码支付业务管理制度做出重大调整的,应当按规定至少提前30天向协会报告。
第六十三条会员单位开展条码支付业务应参照本规范要求构建完善的风险管理体系,落实风险管理措施,积极防范支付业务风险。协会应根据本规范要求会员单位做好风险管理工作,并将条码支付业务纳入自律管理评价和现场检查工作。
第六十四条因会员单位风险管理制度不完善或未有效落实本规范而导致发生重大风险事件,对行业造成负面影响的,协会将依据《中国支付清算行业自律公约》等有关自律规范对其进行处理。
第六章附则
第六十五条本规范与国家法律、法规和监管部门规章不一致的,依照有关法律、法规和监管部门规章执行。
第六十六条会员单位采取自定义符号、图形、图像等作为信息载体传递交易信息用于支付服务的,参照本规范相关条款进行自律管理。
第六十七条本规范由中国支付清算协会负责修订和解释。
第六十八条本规范相关用语含义如下:
会员单位,指中国支付清算协会会员单位。
监管部门,包括中国人民银行及其分支机构。
移动终端,指消费者使用的、用于展示或读取条码,完成支付的手机等移动终端设备。
特约商户受理终端,指参与条码支付的特约商户端受理机具,具有条码展示或识读等功能,包括专用的条码支付受理设备,以及在原有POS等设备上进行扩展后能够处理条码展示或识读的设备等。
第六十九条本规范自发布之日起实施。
本文综合自经济观察报等媒体。
公众号ID:jizheshalong
互联网法律记者沙龙
长按识别左侧二维码,关注我们
合作请找王女士:
448198167@qq.com
网友评论
最新评论