近日，人民銀行發布了《中國人民銀行關于印發的通知》(銀發〔2017〕296號)，配套印發《條碼支付安全技術規范(試行)》和《條碼支付受理終端技術規范(試行)》(銀辦發〔2017〕242號發布)，自2018年4月1日起實施。日前，人民銀行有關負責人就上述通知和規范有關問題回答了記者的提問。

問：通知和規范出臺的背景是什么？

答：條碼支付具有支付便捷、應用門檻低的優勢，在推動普惠金融和優化我國非現金支付環境建設方面能夠發揮積極作用。對創新支付的監管，人民銀行一貫秉承“鼓勵創新，防范風險”并重的原則。自本世紀初，國內外各市場主體開始嘗試將條碼技術運用于移動支付領域，以提升支付便捷性和用戶體驗。為鼓勵市場機構業務創新，2011年，人民銀行同意部分非銀行支付機構(以下簡稱支付機構)在限定場景內試點開展條碼支付業務，審慎地將條碼定位于銀行卡支付的補充，并提出嚴格的風險管理要求。2014年，在未建立有效安全措施、統一的業務規則和消費者權益保護制度的背景下，部分支付機構采取持續補貼的方式廣泛推廣條碼支付業務，人民銀行對其采取了暫停線下條碼支付業務的監管措施。隨著近年來支付標記化(Tokenization)等技術在移動支付中的廣泛應用，客觀上提高了條碼支付的安全標準。但是，囿于缺乏統一的業務規范和技術標準，在條碼生成機制和傳輸過程中仍存在風險隱患，也引發了支付安全的風險案件，市場機構在業務推廣過程中還存在不正當競爭等現象。

為貫徹落實黨的十九大和第五次全國金融工作會議精神，鼓勵并規范金融創新，促進條碼支付健康可持續發展，人民銀行指導中國支付清算協會組織會員單位、專家學者進行研究論證，研究制定了條碼支付業務規范和技術規范，并通過書面征求意見、召開專題會議等形式充分聽取各方意見建議并修改完善，實現了監管與市場的順暢溝通和有效互動，達成了高度共識。

問：條碼支付業務發展中存在哪些主要問題？

答：一是條碼支付在降低商戶準入門檻的同時，加劇收單市場亂象。由于條碼支付設備成本低于傳統的銀行卡受理終端，還可通過張貼靜態條碼實現收付款業務，能夠滿足小微商戶的非現金支付受理需求，與銀行卡收單互為補充，提升社會整體支付服務水平。但是，部分市場機構利用條碼可遠程發送、不受專業受理終端限制的特點，在商戶拓展過程中未履行“了解你的客戶”義務，通過“一證下機”等方式違規發展商戶，加劇了套現、二清、外包管理不到位等收單亂象，存在各類安全隱患，對市場可持續發展造成較大的危害。

二是條碼支付在促進移動支付普及發展的同時，出現擾亂市場公平競爭秩序的現象。近年來，條碼支付在小額、便民支付領域市場份額持續增加，促進了移動支付的快發展和普惠金融的廣覆蓋。但是，部分市場機構在開展條碼支付業務時，在定價和市場推廣策略中采取傾銷、交叉補貼等不正當競爭手段，濫用本機構及關聯企業的市場優勢地位，排除、限制支付服務競爭，導致支付行業無序發展和不公平競爭，擾亂市場秩序。

三是條碼支付借助開放互聯網和非專業設備進行交易處理，帶來一定的技術風險。包括：可視化風險，條碼在開放互聯網環境下以圖形化方式進行展示，不法分子可通過截屏、偷拍等手段盜取支付憑證，在支付憑證有效期內盜用資金;易攜帶惡意代碼的風險，條碼不僅可存儲支付要素，也可攜帶非法鏈接或程序代碼，不法分子可將木馬病毒、釣魚網站鏈接制成條碼，誘導客戶掃描，竊取支付敏感信息;信息單向交互風險，條碼支付只能實現發起方或接收方的單向信息交互，不法分子可利用該弱點實施“中間人攻擊”，繞過身份認證機制，造成用戶資金損失;掃碼設備安全強度低的風險，條碼支付對設備要求低，普通的手機攝像頭、超市簡易的收銀機掃描槍等不具備加密、防拆機等安全功能的設備均可識別條碼，易被不法分子非法改裝使用。

問：業務規范方面有哪些主要措施？

答：一是強調業務資質要求。明確支付機構向客戶提供基于條碼的付款服務時，應取得網絡支付業務許可;支付機構為實體特約商戶和網絡特約商戶提供條碼支付收單服務的，應當分別取得銀行卡收單業務許可和網絡支付業務許可。

二是重申清算管理要求。針對部分支付機構與多家銀行業金融機構(以下簡稱銀行)或支付機構直連進行商戶拓展，進一步強化了支付機構與銀行多頭直連的現象，明確要求銀行、支付機構開展條碼支付業務涉及跨行交易時，應當通過人民銀行跨行清算系統或者具備合法資質的清算機構處理。

三是要求維護市場公平競爭秩序。市場機構不得以任何形式詆毀其他市場主體的商業信譽，不得采用不正當競爭手段損害其他市場主體利益、排擠競爭對手，破壞市場公平競爭秩序。

四是規范條碼生成和受理。提出交易驗證方式、交易限額管理、信息管理和安全防護，靜態條碼應用管理、綜合應用支付標記化技術等措施，保障條碼支付業務的安全性。

五是加強商戶管理和風險管理。從特約商戶資質審核、受理協議簽訂、商戶風險評級、商戶檢查，以及交易風險監測，客戶安全教育等方面提出要求，強化業務風險管理。

問：針對條碼支付技術風險，提出了哪些針對性要求？

答：一是加強條碼安全防護。采取支付標記化(Tokenization)、有效期控制、條碼防偽識別等手段，提升條碼生成、存儲、展示、識讀、解析、使用等環節的安全防護能力，有效保障條碼的可靠性和有效性。