央行首次官方承認二維碼支付地位:下發徵求意見稿
據新浪財經8月3日報道,支付清算協會向支付機構下發《條碼支付業務規範》(徵求意見稿),意見稿中明確指出支付機構開展條碼業務需要遵循的安全標準。這是央行在2014年叫停二維碼支付以後首次官方承認二維碼支付地位。
此前,央行曾向支付清算協會、銀聯發函確認二維碼支付地位。央行要求支付清算協會在前期相關工作基礎上,按照要求,會同銀行卡清算機構、主要商業銀行和支付機構出台條碼支付行業技術標準和業務規範,並在個人信息保護、資金安全、加密措施、敏感信息存儲等方面提出明確要求。
函件稱,線下條碼支付具有進入門檻低、便捷等特點,適用於對傳統POS收銀成本敏感的小商户的日常小額交易,定位於傳統線下銀行卡支付的有益補充。
7月15日,中國工商銀行在北京正式推出二維碼支付產品,成為國內首家擁有二維碼支付產品的商業銀行。這意味着被叫停兩年多的二維碼支付重新開閘。
7月初,有媒體報道稱央行已發文確認二維碼支付市場地位,定位與傳統線下銀行卡支付業務補充;同時,中國支付清算協會也召集專題會議推動二維碼技術標準和安全標準。
2014年3月13日,央行下發緊急文件叫停二維碼支付等面對面支付服務,理由是線下二維碼支付存在一定的支付風險隱患。
實際上,在二維碼支付被叫停的當年年底,經過技術上的改進,就已經有銀行和第三方支付機構開始佈局二維碼支付。
《條碼支付業務規範》(徵求意見稿)全文:
第一章總則
第一條為規範線下條碼(二維碼)支付(以下簡稱條碼支付)業務經營行為,保護會員單位及消費者合法權益,促進條碼支付業務健康發展,根據《電子支付指引(第一號)》、《非金融機構支付服務管理辦法》、《非銀行支付機構網絡支付業務管理辦法》等規定,制定本規範。
第二條本規範所稱條碼支付業務是指會員單位應用條碼技術,向客户提供的、通過手機等移動終端實現收付款人之間貨幣資金轉移的行為。
條碼支付業務包括付款掃碼和收款掃碼。付款掃碼是指付款人通過移動終端讀取收款人展示的條碼完成支付的行為。收款掃碼是指收款人通過讀取付款人移動終端展示的條碼完成支付的行為。
第三條會員單位開展條碼支付業務應遵循本規範。
會員單位開展條碼支付業務應遵循依法合規、平等競爭、誠實守信、安全效率、合作共贏的基本原則。
第四條會員單位開展條碼支付業務應取得相應的業務資質,並按照監管部門相關業務管理辦法規範開展業務,加強風險防範,保障支付安全。
第五條會員單位開展條碼支付業務應遵守客户實名制管理規定。
第六條會員單位開展條碼支付業務應遵守反洗錢法律法規要求,履行反洗錢和反恐怖融資義務。
第七條會員單位應依法維護客户及相關主體的合法權益,採取有效措施切實保護消費者利益。
第八條會員單位應自覺遵守商業道德,不得以任何形式詆譭其他會員單位的商業信譽,不得利用任何不正當手段損害其他會員單位利益、干預或影響正常市場秩序。
第九條會員單位應遵守監管部門發佈的相關技術標準與規範要求,包括但不限於《網上銀行系統信息安全通用規範》( JR/T 0068-2012)、《中國金融移動支付技術標準》(JR/T 0088-0098 2012)系列標準、《非金融機構支付業務設施技術要求》( JR/T 0122-2014)等,以及中國支付清算協會(以下簡稱“協會’’)發佈的《條碼支付技術安全指引》和《條碼支付受理終端技術指引》相關要求,保障條碼支付業務的交易安全和信息安全。
第二章條碼生成和受理
第十條會員單位開展條碼支付業務,應將客户用於生成條碼的銀行賬户號碼或支付賬户賬號、身份證件號碼、手機號碼進行關聯管理。
第十一條會員單位開展條碼支付業務,應符合監管部門的移動支付技術安全標準,可以組合選用下列三種要素,對客户條碼支付交易進行驗證:
(一)僅客户本人知悉的要素,如靜態密碼等;
(二)僅客户本人持有並特有的,不可複製或者不可重複利用的要素,如經過安全認證的數字證書、電子簽名,以及通過安全渠道生成和傳輸的一次性密碼等;
(三)客户本人生理特徵要素,如指紋等。
會員單位應當確保採用的要素相互獨立,部分要素的損壞或者泄露不應導致其他要素損壞或者泄露。
第十二條會員單位採用數字證書、電子簽名作為驗證要素的,數字證書及生成電子簽名的過程應符合《中華人民共和國電子簽名法》、《金融電子認證規範》( JR/T 0118-2015)等有關規定,確保數字證書的唯一性、完整性及交易的不可抵賴性。
會員單位採用一次性密碼作為驗證要素的,應當切實防範一次性密碼獲取端與支付指令發起端為相同物理設備而帶來的風險,並將一次性密碼有效期嚴格限制在最短的必要時間內。
會員單位採用客户本人生理特徵作為驗證要素的,應當符合國家、金融行業標準和相關信息安全管理要求,防止被非法存儲、複製或重放。
第十三條會員單位應根據交易驗證方式的安全級別及《條碼支付技術安全指引》關於風險防範能力的分級,對個人客户條碼支付業務的交易進行限額管理:
(一)風險防範能力達到A級,採用包括數字證書或電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,由會員單位與客户通過協議自主約定單日累計限額;
(二)風險防範能力達到B級,採用不包括數字證書、電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,同一客户單個銀行賬户或所有支付賬户單日累計金額應不超過5 0 0 0元;
(三)風險防範能力達到C級,採用不足兩類要素對交易進行驗證的,同一客户單個銀行賬户或所有支付賬户單日累計金額應不超過1 000元,且會員單位應當承諾無條件金額承擔此類交易的風險損失賠付責任。
第十四條會員單位應通過設置條碼使用效期、使用次數等方式,確保條碼有效性和真實性,防止條碼被重複使用、重複扣款。
第十五條會員單位開展條碼支付業務所涉及的業務系統、客户端軟件、受理終端/機具等,應當持續符合監管部門及行業標準要求,確保條碼生成和識讀過程的安全性、真實性和完整性。支付機構還應通過協會組織的技術安全檢測認證。
第十六條條碼信息不應包含任何與客户及其賬户相關的敏感信息,僅限包含當次支付相關信息。
特約商户相關係統生成的條碼中,僅限包含與當次支付有關的特約商户、商品(服務)或商品(服務)訂單等信息。
移動終端展示的、由相關係統生成的條碼中,不應直接包含本人賬户信息;賬户信息應加密處理。
會員單位應指定專人操作、維護特約商户用於生成條碼的相關係統,保障特約商户條碼生成的安全和可靠。
第十七條會員單位應為自身發行的條碼提供受理服務。支付機構基於支付賬户開展條碼支付的,應按照自行發展用户、自行拓展商户的封閉模式在限定場景內開展業務。
支付機構基於銀行卡開展條碼支付業務的,應遵守《銀行卡收單業務管理辦法》(中國人民銀行公告[2013]第9號)等相關規定。
第十八條會員單位應確保付款和收款掃碼交易經客户確認或授權後發起,支付信息應真實、完整、有效。
移動終端完成條碼掃描後,應正確、完整顯示掃碼內容,供客户確認。對於移動終端間的小額轉賬業務,付款方完成掃碼後,移動終端應回顯隱去姓氏的收款方姓名,供付款方確認。
特約商户受理終端完成條碼掃描後,應僅顯示掃碼成功並提示下一步操作,不得向特約商户展示條碼中客户相關敏感信息。
第十九條會員單位應根據付款和收款掃碼的真實場景,按照監管規定和相關業務規則與管理制度要求,正確選用交易類型,準確標識交易信息並完整發送,確保交易信息的完整性、真實性和可追溯性。
交易信息至少應包括:直接提供商品或服務的特約商户名稱、類別和代碼,受理終端(網絡支付接口)類型和代碼,交易時間和地點(網絡特約商户的網絡地址),交易金額,交易類型和渠道。網絡特約商户的交易信息還應當包括商品訂單號和網絡交易平台名稱。
第二十條支付交易報文中應通過特定域標識該交易為條碼支付交易,以供商業銀行或支付機構正確識別並進行授權處理。
第二十一條會員單位應採取技術措施,以保證交易信息傳輸的安全性、完整性和抗抵賴性。
第二十二條支付交易完成後,特約商户受理終端和移動終端應展示支付結果;支付失敗的,特約商户受理終端和移動終端還應展示失敗原因。
第二十三條會員單位應要求特約商户在支付交易成功後,按照特約商户與客户的約定及時提供相應商品或服務。
第二十四條會員單位應向特約商户和客户提供條碼支付交易明細,便於其辦理查詢、退貨、差錯處理等業務。
第二十五條會員單位應根據交易發生時的原交易信息發起交易差錯處理、退貨交易,需劃回資金的,相應款項應當劃回原扣款賬户。
第三章條碼支付特約商户管理
第二十六條會員單位拓展條碼支付特約商户,應遵循“瞭解你的客户”原則,確保所拓展的是依法設立、合法經營的特約商户。
第二十七條特約商户及其法定代表人或負責人在中國人民銀行指定的風險信息管理系統中存在不良信息的,會員單位應謹慎或拒絕為該特約商户提供條碼支付服務。
中國人民銀行指定的風險信息管理系統包括但不限於中國人民銀行或行業協會有關信息管理系統、銀行卡清算機構建設運營的風險信息共享系統。
第二十八條會員單位拓展特約商户應落實實名制規定,嚴格審核特約商户申請材料的真實性、完整性、有效性,並留存特約商户有效證件影印件或複印件。對於申請材料虛假、缺失、要素不全或不合規的,不得審批通過。
第二十九條會員單位應制定特約商户審批制度和審批流程,明確審批權限,指定專人負責特約商户審批工作。特約商户審批崗位不得與特約商户拓展等相關崗位兼崗。
第三十條會員單位應與特約商户就銀行賬户的設置和變更、資金結算週期、結算手續費標準、差錯和爭議處理等條碼支付服務相關事項進行約定,明確雙方的權利、義務和違約責任。
第三十一條會員單位應要求特約商户提供真實的商品或服務;按規定使用受理終端(網絡支付接口)、銀行賬户或支付賬户,不得利用其從事或協助他人從事非法活動;妥善處理交易數據信息、保存交易憑證,保障交易信息安全;不得向客户收取或變相收取附加費用,或降低服務水平。
第三十二條會員單位應建立特約商户信息管理系統,記錄特約商户名稱和經營地址、特約商户身份資料信息、特約商户類別、結算手續費標準、銀行結算賬户信息、開通的交易類型和開通時間、受理終端(網絡支付接口)類型和安裝地址等信息,並及時進行更新。
第三十三條會員單位應通過建立特約商户及鏈接地址的黑、白名單等方式,控制支付風險。
第三十四條會員單位應建立特約商户檢查制度,明確檢查頻率、檢查內容、檢查記錄等管理要求,落實檢查責任。對特約商户受理終端,不得開通條碼支付轉賬業務功能;對移動終端,不得開通特約商户交易資金結算功能。
第三十五條會員單位應當對實體特約商户條碼受理業務進行本地化經營和管理,通過在特約商户及其分支機構所在省(區、市)域內的受理機構提供受理服務,不得跨省(區、市)域開展條碼受理業務。
第三十六條會員單位基於銀行卡(賬户)開展條碼支付業務的,應按照相關監管制度要求審慎選擇外包服務機構,嚴格規範與外包機構的業務合作,並強化外包業務的風險管理責任。
第三十七條會員單位應按照相關監管制度要求強化支付敏感信息內控管理和安全防護,強化交易密碼保護機制;通過全面應用支付標記化技術等手段,從源頭控制信息泄露和欺詐交易風險。
第三十八條會員單位應對特約商户進行條碼支付業務培訓,並保存培訓記錄。
第三十九條對特約商户申請材料、資質審核材料、受理協議、培訓和檢查記錄、信息變更、終止合作等檔案資料,會員單位應至少保存至服務終止後5年。
第四十條會員單位提供條碼支付服務應向特約商户收取結算手續費,不得變相向客户轉嫁手續費,不得采取不正當競爭手段損害他人合法權益。
第四十一條會員單位與特約商户終止條碼支付相關服務協議的,應及時關閉支付服務或支付接口(功能),收回布放機具,進行賬務清理,妥善處理後續事項。
第四十二條會員單位應尊重特約商户的自由選擇權,不得干涉或變相干涉特約商户與其他機構的合作。
第四章風險管理
第四十三條會員單位應建立全面風險管理體系和內部控制機制,提升風險識別能力,採取有效措施防範風險,及時發現、處理可疑交易信息及風險事件。
第四十四條會員單位開展條碼支付業務,應當評估業務相關的洗錢和恐怖融資風險,採取與風險水平相適應的風險管控措施。
第四十五條會員單位應建立特約商户風險評級制度,綜合考慮特約商户的區域和行業特徵、經營規模、財務和資信狀況等因素,對特約商户進行風險評級。
第四十六條會員單位應結合特約商户風險評級及交易類型等因素,設置或與其約定單筆及日累計交易限額。
第四十七條對風險等級較高的特約商户,會員單位應通過強化交易監測、建立特約商户風險準備金、延遲清算等風險管理措施,防範交易風險。
第四十八條會員單位應建立特約商户檢查、評估制度,根據特約商户的風險等級,制定不同的檢查、評估頻率和方式,並保留相關記錄。
第四十九條會員單位應制定突發事件應急預案,建立災難備份系統,確保條碼支付業務的連續性和業務系統安全運行。
第五十條會員單位應能夠有效識別本單位發行的客户端程序和特約商户受理終端,能夠確保條碼生成和識讀過程的安全性。
第五十一條會員單位應確保相關客户身份或賬户信息安全,防止泄露,並根據收付款不同業務場景設置條碼有效性和使用次數。
第五十二條會員單位應建立條碼支付交易風險監測體系,及時發現可疑交易,並採取阻斷交易、聯繫客户核實交易等方式防範交易風險。
第五十三條會員單位發現特約商户發生疑似套現、洗錢、恐怖融資、欺詐、留存或泄漏賬户信息等風險事件的,應對特約商户採取延遲資金結算、暫停交易、凍結賬户等措施,並承擔因未採取措施導致的風險損失責任;發現涉嫌違法犯罪活動的,應及時向公安機關報案。
第五十四條商業銀行和支付機構在條碼支付業務中發生關係或開展合作的,應當約定或在合作協議中明確交易驗證、信息保護、差錯處理、風險賠付等方面的權利、義務和違約責任,切實保障客户資金安全和信息安全。
第五十五條會員單位應持續完善客户服務體系,及時受理和解決條碼支付業務中的客户諮詢、查詢和投訴等問題,自覺維護客户的合法權益。
第五十六條會員單位應充分披露條碼支付業務產品類型、辦理流程、操作規程、收費標準等信息,明確業務風險點及相關責任承擔機制、風險損失賠付方式及操作方式。
第五十七條會員單位應開展對客户的條碼支付安全教育,提升其風險防範意識和應對能力。
第五十八條會員單位應按照要求及時向協會報送條碼支付業務統計數據及相關信息資料,數據和信息資料應真實、準確、完整。
第五十九條會員單位或其外包服務機構、條碼支付特約商户發生涉嫌重大銀行卡違法犯罪案件或重大風險事件的,會員單位應當於2個工作日內向協會報告。
第五章紀律與責任
第六十條會員單位開辦條碼支付業務,應當提前30天向協會報告,報告內容包括但不限於:
(一)開展條碼支付業務的業務方案;
(二)產品詳細介紹;
(三)業務管理辦法;
(四)風險防範措施;
(五)機構合作情況;
(六)服務費標準及分配機制;
(七)客户權益保護措施;
(八)服務外包範圍及外包管理辦法。
支付機構還應提供條碼支付業務的技術安全檢測認證證明。
第六十一條會員單位終止條碼支付業務,應當提前30天向協會報告,報告內容包括但不限於:公司法定代表人簽署的書面申請,載明公司名稱、條碼支付業務開展情況、終止原因、客户合法權益保障方案、支付業務信息處理方案等。
第六十二條會員單位新增開展條碼支付業務,擴大或變更條碼支付業務場景、渠道、地域,或對條碼支付業務管理制度做出重大調整的,應當按規定至少提前30天向協會報告。
第六十三條會員單位開展條碼支付業務應參照本規範要求構建完善的風險管理體系,落實風險管理措施,積極防範支付業務風險。協會應根據本規範要求會員單位做好風險管理工作,並將條碼支付業務納入自律管理評價和現場檢查工作。
第六十四條因會員單位風險管理制度不完善或未有效落實本規範而導致發生重大風險事件,對行業造成負面影響的,協會將依據《中國支付清算行業自律公約》等有關自律規範對其進行處理。
第六章附則
第六十五條本規範與國家法律、法規和監管部門規章不一致的,依照有關法律、法規和監管部門規章執行。
第六十六條會員單位採取自定義符號、圖形、圖像等作為信息載體傳遞交易信息用於支付服務的,參照本規範相關條款進行自律管理。
第六十七條本規範由中國支付清算協會負責修訂和解釋。
第六十八條本規範相關用語含義如下:
會員單位,指中國支付清算協會會員單位。
監管部門,包括中國人民銀行及其分支機構。
移動終端,指消費者使用的、用於展示或讀取條碼,完成支付的手機等移動終端設備。
特約商户受理終端,指參與條碼支付的特約商户端受理機具,具有條碼展示或識讀等功能,包括專用的條碼支付受理設備,以及在原有POS等設備上進行擴展後能夠處理條碼展示或識讀的設備等。
第六十九條本規範自發布之日起實施。