二维码支付安全秘技

　　中国人民银行发布《关于印发条码支付业务规范(试行)的通知》，配套印发安全技术规范和受理终端技术规范。备受关注的条码(二维码)支付，终于有了明确的制度规范。

　　什么是条码(二维码)支付？这要从二维码说起。二维码作为一种可以完全暴露的图形载体，通常显示在各种媒介上，包括印刷材料或者是网页界面。它比普通条形码具有更多的优势，如数据存储量大、纠错能力强、反应更敏捷等。目前，该技术在国内外已被广泛应用于多个领域。

　　在我国，近年来随着智能手机不断普及，以二维码为代表的条码与智能手机结合，发展成为一种新型的承载和转换数据方式。这种方式被银行业金融机构或非银行支付机构利用后，探索出一种新的支付模式，可将业务从线上扩展到线下支付。所谓的条码支付，是指银行或支付机构应用条码技术，实现收款人、付款人之间货币资金转移的业务活动，包括付款扫码和收款扫码两种方式。

　　由于门槛较低、成本低廉、支付便捷，条码支付受到了商户、消费者和银行、支付机构的青睐。本世纪初，国内外市场主体开始尝试将条码技术应用于移动支付领域，创新出相关支付产品和服务。在我国，中国银联最早着手研发条码支付；2013年7月，中信银行推出二维码支付业务，打造“异度支付”品牌，不少支付机构还借此大力布局线下支付市场。不过，出于维护支付安全和保护消费者权益等考虑，2014年3月，央行叫停线下二维码支付服务。

　　此后，中国银联和商业银行的二维码支付在市场中偃旗息鼓。但是，部分支付机构并未真正停止条码支付业务的拓展。2014年9月，支付宝、微信支付随即再次布局二维码支付。现在，几乎每一部智能手机都能支持两者的二维码，市场形成了双寡头垄断的局面。

　　2016年来，随着支付技术的不断成熟和监管政策的逐步放开，中国银联和银行又重返条码支付战场。2016年7月，中国工商银行正式推出二维码支付产品，成为国内首家具有二维码支付产品的商业银行。2017年5月，中国银联联合40余家商业银行共同推出云闪付二维码产品。而以支付宝、微信支付为代表的支付机构，更是各显神通，投入重金加快条码支付市场的争夺。

　　不过，快速发展中的条码支付市场仍然存在着不少问题：

　　从技术层面看，二维码通过几何图形来记录数据和储存信息，这样的功能也可能携带非法链接或代码。如果二维码支付终端缺乏识别与拦截功能，就可能产生安全漏洞和隐患。而二维码本身的可视化特性，在互联网环境下以图形化方式传输，容易受到攻击，容易传播木马、病毒，造成用户资金损失和信息泄露。

　　从市场层面看，由于看到条码支付在零售支付领域的巨大发展空间，部分支付机构在拓展业务时，通过不当的交叉补贴、不计成本的低价倾销等手段，甚至滥用本机构及关联企业的市场优势地位，排除和限制支付服务竞争，导致行业无序发展和不公平竞争，不但扰乱了市场秩序，也影响支付市场长远健康发展。

　　从合规层面看，部分市场机构片面追求业务发展速度，在业务拓展过程中未履行“了解你的客户”义务，违规发展商户，加剧了套现、二清以及外包管理不到位等收单乱象，带来各类安全隐患。部分机构的跨行交易未通过央行跨行清算系统或清算机构，而是直连处理条码支付业务，变相实现跨行清算的功能。

　　因此，央行在这样的时候果断出手，在充分调研、研讨的基础上，出台关于条码支付完整的业务规范和技术规范。其本意是为条码支付建章立制，明确其小额、便民的定位，既鼓励创新又加强管理，从而更好地保护消费者合法权益，促进市场健康可持续发展。从内容上看，这套规范主要包括三个方面：一是明确条码支付业务资质和清算管理要求，支付机构开展条码支付，应取得网络支付业务许可及银行卡收单业务许可等，涉及跨行清算的应通过央行跨行清算系统或清算机构；二是规范支付收单业务管理，无论是银行还是支付机构应遵守商户实名制、风险评级、风险监测等规定，为实体商户提供收单服务的还应履行本地化经营等责任；三是强调发挥行业自律作用，银行、支付机构从事条码支付业务，应接受中国支付清算协会行业自律管理。

　　今年以来，无论是党的十九大还是全国金融工作会议，都对防范和化解金融风险做出明确部署。上周刚刚闭幕的中央经济工作会议提出，防范化解重大风险是今后三年三大攻坚战之一，而其中的重点是防控金融风险。因此，央行在此时对条码支付进行规范，是近年来加强支付清算市场乱象整治工作的延续，也是支付清算领域防控金融风险的具体举措。其实，央行此次提出的关于条码收单等相关要求，只是重申《银行卡收单业务管理办法》等已有制度，并非新的更高的要求。而技术方面的规范，符合条码支付技术发展趋势，有助于提升风险防控能力。而且，央行此次还非常接地气，将那些按规定无需办理工商注册登记手续的小微商户，纳入到条码支付受理范围。也就是说，你到农贸市场摆摊扫码卖菜，央行也是支持的。因此，只要银行和支付机构端正认识，认真整改，上述业务规范和技术要求落地实施并不存在大的困难。

　　那么，这些新的要求实施之后，会对用户体验带来影响吗？尤其是，此次规范区分四种情况，对用户使用条码支付付款时提出了限额管理要求。比如使用静态条码的，无论是银行账户还是支付账户，每天的限额都是500元。那么，这会影响我们去买烤红薯吗？其实并不会。一个烤红薯5块钱，500元够买100个烤红薯了。那么，这会影响卖烤红薯大爷的生意吗？只要大爷不是将烤红薯都卖给你，那么他也不受影响。因为这500元限额是针对用户而言，对商户并无限制，大爷一天卖1000个烤红薯都是妥妥的。当然，如果你在饭店里吃了一顿600元的大餐，你要扫码付款就有点困难了。不过不要紧，这个时候你让收银小妹来扫你手机上的二维码就可以。

　　透露一个安全秘技给大家，以后使用条码支付时，尽量不要拿手机扫别人的静态条码，而是要让别人扫你的手机。那种事先贴在墙上的二维码是静态的，安全性远低于手机上实时生成的动态二维码。