一 : 专家解读《条码支付规范》:央行为何此时出手?
创业项目优选 好项目来A5招商 ,点击入驻!
作者:中国人民大学重阳金融研究院高级研究员董希淼
出门打车,掏出手机扫一扫车上的二维码,轻松支付车费;下馆子吃饭,手机上的二维码被收银小妹扫码枪扫了后,立马埋单走人……没错,这样的支付手段,已经飞入寻常百姓家。
如今,央行要将这种支付方式管起来了!刚刚,中国人民银行发布《关于印发<条码支付业务规范(试行>》的通知》配套印发安全技术规范和受理终端技术规范。备受关注的条码(二维码)支付,终于有了明确的制度规范。
什么是条码(二维码)支付?这要从二维码说起。二维码作为一种可以完全暴露的图形载体,通常显示在各种媒介上,包括印刷材料或者是网页界面。它比普通条形码具有更多的优势,如数据存储量大、纠错能力强、反应更敏捷等。目前,该技术在国内外已被广泛应用于多个领域。
在我国,近年来随着智能手机不断普及,以二维码为代表的条码与智能手机结合,发展成为一种新型的承载和转换数据方式。这种方式被银行业金融机构或非银行支付机构利用后,探索出一种新的支付模式,可将业务从线上扩展到线下支付。所谓的条码支付,是指银行或支付机构应用条码技术,实现收款人、付款人之间货币资金转移的业务活动,包括付款扫码和收款扫码两种方式。
由于门槛较低、成本低廉、支付便捷,条码支付受到了商户、消费者和银行、支付机构的青睐。本世纪初,国内外市场主体开始尝试将条码技术应用于移动支付领域,创新出相关支付产品和服务。在我国,中国银联最早着手研发条码支付;2013年7月,中信银行推出二维码支付业务,打造“异度支付”品牌,不少支付机构还借此大力布局线下支付市场。不过,出于维护支付安全和保护消费者权益等考虑,2014年3月,央行叫停线下二维码支付服务。
此后,中国银联和商业银行的二维码支付在市场中偃旗息鼓。但是,部分支付机构并未真正停止条码支付业务的拓展。2014年9月,支付宝、微信支付随即再次布局二维码支付。现在,几乎每一部智能手机都能支持两者的二维码,市场形成了双寡头垄断的局面。
2016年来,随着支付技术的不断成熟和监管政策的逐步放开,中国银联和银行又重返条码支付战场。2016年7月,中国工商银行正式推出二维码支付产品,成为国内首家具有二维码支付产品的商业银行。2017年5月,中国银联联合40余家商业银行共同推出云闪付二维码产品。而以支付宝、微信支付为代表的支付企业,更是各显神通,投入重金加快条码支付市场的争夺。
不过,快速发展中的条码支付市场仍然存在着不少问题:
从技术层面看,二维码通过几何图形来记录数据和储存信息,这样的功能也可能携带非法链接或代码。如果二维码支付终端缺乏识别与拦截功能,就可能产生安全漏洞和隐患。而二维码本身的可视化特性,在互联网环境下以图形化方式传输,容易受到攻击,容易传播木马、病毒,造成用户资金损失和信息泄露。
从市场层面看,由于看到条码支付在零售支付领域的巨大发展空间,部分支付机构在拓展业务时,通过不当的交叉补贴、不计成本的低价倾销等手段,甚至滥用本机构及关联企业的市场优势地位,排除和限制支付服务竞争,导致行业无序发展和不公平竞争,不但扰乱了市场秩序,也影响支付市场长远健康发展。
从合规层面看,部分市场机构片面追求业务发展速度,在业务拓展过程中未履行“了解你的客户”义务,违规发展商户,加剧了套现、二清以及外包管理不到位等收单乱象,带来各类安全隐患。部分机构的跨行交易时未通过央行跨行清算系统或清算机构,而是直连处理条码支付业务,变相实现跨行清算的功能。
因此,央行在这样的时候果断出手,在充分调研、研讨的基础上,出台关于条码支付完整的业务规范和技术规范。其本意是为条码支付建章立制,明确其小额、便民的定位,既鼓励创新又加强管理,从而更好地保护消费者合法权益,促进市场健康可持续发展。从内容上看,这套规范主要包括三个方面:一是明确条码支付业务资质和清算管理要求,支付机构开展条码支付,应取得网络支付业务许可及银行卡收单业务许可等,涉及跨行清算的应通过央行跨行清算系统或清算机构;二是规范支付收单业务管理,无论是银行还是支付机构应遵守商户实名制、风险评级、风险监测等规定,为实体商户提供收单服务的还应履行本地化经营等责任;三是强调发挥行业自律作用,银行、支付机构从事条码支付业务,应接受中国支付清算协会行业自律管理。
今年以来,无论是党的十九大还是全国金融工作会议,都对防范和化解金融风险做出明确部署。上周刚刚闭幕的中央经济工作会议提出,防范化解重大风险是今后三年三大攻坚战之一,而其中的重点是防控金融风险。因此,央行在此时对条码支付进行规范,是近年来央行加强支付清算市场乱象整治工作的延续,也在支付清算领域防控金融风险的具体举措。其实,央行此次提出的关于条码收单等相关要求,只是重申《银行卡收单业务管理办法》等已有制度,并非新的更高的要求。而技术方面的规范,符合条码支付技术发展趋势,有助于提升风险防控能力。而且,央行此次还非常接地气,将那些按规定无需办理工商注册登记手续的小微商户,纳入到条码支付受理范围。也就是说,你到农贸市场摆摊扫码卖菜,央行也是支持的。因此,只要银行和支付机构端正认识,认真整改,上述业务规范和技术要求落地实施并不存在大的困难。
那么,这些新的要求实施之后,会对用户体验带来影响吗?尤其是,此次规范区分四种情况,对用户使用条码支付付款时提出了限额管理要求。比如使用静态条码的,无论是银行账户还是支付账户,每天的限额都是500元。那么,这会影响我们去买烤红薯吗?其实并不会。一个烤红薯5块钱,500元够买100个烤红薯了。那么,这会影响卖烤红薯大爷的生意吗?只要大爷不是将烤红薯都卖给你,那么他也不受影响。因为这500元限额是针对用户而言,对商户并无限制,大爷一天卖1000个烤红薯都是妥妥的。当然,如果你在饭店里吃了一顿600元的大餐,你要扫码付款就有点困难了。不过不要紧,这个时候你让收银小妹来扫你手机上的二维码就可以。
透露一个安全秘技给大家,以后使用条码支付时,尽量不要拿手机扫别人的静态条码,而是要让别人扫你的手机。那种事先贴在墙上的二维码是静态的,安全性远低于手机上实时生成的动态二维码。
新年马上就要到了,大慈大悲的央妈在最后时刻给我们送上了这份新年礼物,惊喜不惊喜?意外不意外?
二 : 这是咋回事儿?支付宝为央妈新规点赞
近日,中国人民银行就《非银行支付机构网络支付业务管理办法(征求意见稿)》向社会公开征求意见,其中有关“网上支付单日金额不超过5000元”等内容引起社会广泛争议。网友几乎是一边倒的反对,认为该规定出炉将大大影响消费支付便捷性;而业内人士的意见也有很大分歧:有人认为将影响互联网企业、互联网金融的发展;也有人认为,该规定出炉有利于减少金融风险,且倒逼银行业改革。支付宝今天回应称,该管理办法出炉是第三方支付不断向前向好的积极过程。
目前在征求意见稿中,关注度最大或者说最受争议的,是未来使用第三方支付时有一个限额规定。意见稿第二十八条规定,支付机构采用不包括数字证书、电子签名在内的两类含以上要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元。
举个例子,你未来在网上购买一台6000元的冰箱,使用支付宝或者微信付款时,即使有足够余额,也只能从账户划走5000元,剩下的1000元必须跳转到网络银行的途径支付。未来,使用第三方支付进行转账也会受到金额限制。
此外,意见稿还加强了账户开户的身份验证程序。可用于消费、转账以及购买投资理财产品或服务的综合账户需要面对面核验身份,或者用至少5种方式来进行交叉验证身份,即用户必须提交身份证、工作证明、社保缴费单等多份证明,这无疑提高了开户门槛。
很多网友对此感到不满,认为这样会大大影响消费支付便捷性。来自北京的胡先生就是一例:“我看到这个信息的时候,直接感觉就是银联又要坑爹了。按理说我们现在在银行中间的手续费,国外都是没有的,比如取款费和跨境(转账)费用等,现在有一个更先进的网络支付方式出来,好比容易有竞争对手可以竞争这些费用了,但现在银行又出了规定把我们生活搞得这么复杂。我觉得这个政策是倾向银行的,并不是为了消费者的。”
中央财经大学金融法研究所所长黄震表示,规定第三方支付主要做小额支付,大额支付则通过银行进行,是为了让第三方支付平台回归其支付通道的本来属性,而非往“类银行”机构发展。
他认为:“对于金融创新的方向来说,第三方支付应该明确,在支付功能的基础之上,坚守本位,再去进行有关数据风险挖掘等创新,而不是变成银行类机构,或者说直接变成存款机构的功能去了。”
值得注意的是,央行还对第三方支付从事互联网金融理财业务做出了限制。意见稿规定,支付机构不得为金融机构,以及从事信贷、融资、理财、担保、货币兑换等金融业务的其他机构开立支付账户。这就意味着,包括支付宝、财付通等第三方支付,将无法从事互联网金融业务。属于货币基金的余额宝,也将不符合规定。
该限制是否会影响互联网金融等产业发展?长期从事P2P业务的峻禹商业保理公司副总经理高宇皓表示,短期内会对业界造成很大冲击,但从长远来看,央行对网络支付及互联网金融进行限制,是站在金融安全监管的层面对互联网大笔资金交易进行管理,有利于减少国家金融风险和保障用户的账户资金安全。此外,这样做还可倒逼银行改革,加强支付便利设计。
“首先,经历了这几年第三方支付公司和互联网公司在线上支付和经营方式的尝试,它摸清了一条路,这个时候银行想开始把线上的支付、清算和支付市场抢回来,背后可能有它的利润的。第二,还是要规范市场。因为经历了这么长时间的试点,现在出现了很多骗子P2P公司,市场也有很不透明的地方,所以央行要规范市场。第三,银行最开始由于新的支付方式和金融产品的创新,流失了大量资金,这个时候它希望从线上、线下流失掉的资金拿回来。”
仅从支付效率上来说,中国目前在处于全球领先地位。国外的支付还处于较为严格的监管之下,例如美国的跨州支付要三到五天,跨行支付也很不方便,尤其在国际反洗钱的高压下,很过国家更多将支付限制在商品交易领域,而对单纯的转账会进行较为严格的控制。
作为中国最知名的第三方支付平台的支付宝今天(3日)对意见稿进行了回应,称第三方支付经过了十几年的发展,风险可控,日趋成熟,对服务小微企业和大众消费者,对服务实体经济促进普惠金融,起到了积极的作用。
支付宝公司发言人强调,第三方支付是一个不断向前向好的积极过程,望行业监管应不断开放和进步。
中国电子信息产业互联网研究所副所长陆峰则建议,有关方面下一步应在征求意见稿基础上完善相关政策,尽量满足广大消费者的现实需求,以及减少对于互联网企业和互联网金融的影响。
“以前没有指导意见的时候,由第三方机构和银行机构双方议定(额度),一事一议。未来国家出台统一规定,每天用第三方支付平台转账的金额将受到限制。这一方面是为了保护用户账户的安全,为什么(支付验证方式)要分安全等级?例如某个人用户存在第三方支付的资金有一个亿,若不受限制可以一次转出,那就有很大风险,设置一个每天最大限额是很必要的。但是(意见稿中)5000元的水准太低了。你想想,网上买飞机票,若一家三口出行来回也得近万块钱,未来用第三方支付渠道就没法支付了。额度提升到5万块钱民众的接受度就会增加。”
三 : 央行支付新规乃惰政:存三大不合理
央妈延续了“不让你过好周末”的光荣传统,在周五发布了《非银行支付机构网络支付业务管理办法(征求意见稿)》(以下简称央行新规),引发了轩然大波。当然我们知道这个光荣传统是为了让股市过个好周末,所以今天的吐槽重点不在这儿。
首先不得不说央行的公关艺术有了质的进步。新规文本一出台,连专门跑央行的记者都大呼看不懂,忙着查了一晚上电子签名、电子证书在PC端和移动端的普及情况。有些媒体为了抢时效,提炼标题为“网购支付限额5000”;央行马上在第二天休息日加班以答记者问的方式放风说:我们可没说支付限额5000元哦,我们说的是余额支付限5000,更多的部分还可以从银行账户划转支付。这下连本来反感央行新规的人都看不下去了,说媒体太不专业啦见风就是雨啦等等;至于一些本来就亲央行的意见领袖(其名字还被列入了官方允许采访的少数名单),就更是“啥都不懂”地破口大骂了。
通过对这么一个次要问题的放风、争议、辟谣,央行成功污名化了冲在前头的质疑媒体,让新规中最主要的不合理之处逃避过第一轮的质疑。那些感慨“互联网企业利用舆论优势冲击监管”的银行界人士看清楚了,央妈在舆论操控上老到得很,更何况它还掌握了让媒体闭嘴的强权(仅仅周日一天即有多家媒体网站的投票、讨论专题被撤下),这个权力可是任何媒体和民营企业都不具备的。
那么央行新规最不合理的地方在哪里呢?淼叔在仔细读了新规五十七条之后正要下笔,突然想起冲在第一线质疑央行的那些媒体同行的悲惨下场,又特意在半夜拨通了一位银行朋友的电话。她告诉淼叔,金融监管首重“风险管理”,与创新、便捷比起来,安全始终具有最高的优先级。她最后问的一句话击中了关键:中国现在有多少家第三方支付机构?淼叔上网一查,270家!这里面有一些以发行预付费卡为业、多次被媒体质疑的,有银联、北京银联、宁波银联这样子孙共聚一堂的,还有北京市政交通一卡通这种拿着几亿沉淀资金不知在干啥、退个卡难于上青天的的国有企业。
还好没有骤然下笔质疑!不然不管你指责哪条管理过严过苛,央行及其亲近媒体都可以从这270家里找出一个确实发生的事故案例,无辜地亮出来告诉大众:这是真实的案例啊,第三方支付行业乱象渐显啊!再不监管要出大事啊!然后淼叔也要被“官方指定采访对象”大骂无知傻逼了。
所以,为了稳妥起见防被反咬,淼叔也开宗明义地说一句:这篇文章的出发点,就是基于蚂蚁金服、腾讯金融、百度金融、京东金融这几家互联网金融巨头的产品;他们推出的产品在过去十年来,不仅弥补了传统银行事难办、收费乱、服务差、门槛高的弊端,而且发明了余额宝、微信红包、京东白条等利国利民的互联网金融产品。它们均在美国、香港等公开透明的资本市场上市(或拥有在此上市的大股东),体量巨大,财务数字透明。央行将它们与一些不知名的第三方机构混在一起用同样的标准进行监管,本身即是不平之事。以下论述,均基于上述几个大型互联网公司的产品、服务,不为央行颁发牌照的其他200多家机构背书。
额外多说一句,这个央行新规只是一个征求意见稿,这意味着在8月28日前,作为普通用户的你,还有机会提出自己的不满和建议。虽然央行惜字如金地为意见反馈渠道仅仅提供了一个电子邮箱和一个实体收件地址,但有总比没有好,以下反对意见,为了方便大家使用,淼叔也按照小标题、原文、不合理之处、建议更改的格式分条排版反对意见,读者们可以挑选您赞同的一条或者几条,直接拷贝后发送到央行的邮件地址paymentcard@pbc.gov.cn,标题用“我反对《非银行支付机构网络支付业务管理办法(征求意见稿)》的如下内容”诸如此类的即可。
苛刻限制账户条件,不合理!
规定原文:
第九条 支付机构为客户开立支付账户的,应当对客户实行实名制管理,登记客户身份基本信息,核实客户有效身份证件,按规定留存有效身份证件复印件或者影印件,并通过三个(含)以上合法安全的外部渠道对客户身份基本信息进行多重交叉验证,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。外部验证渠道包括但不限于政府部门数据库、商业银行账户信息系统、商业化数据库等能够有效验证客户身份基本信息的数据库或系统。(央行在另文中指出,具体验证渠道包括但不限于公安、工商、教育、财税等管理部门及商业银行、征信机构等单位所运营的,能够有效验证客户身份基本信息的数据库或系统)。
第十六条 ……
(一)对于支付机构自主或委托合作机构以面对面方式完成身份核实的个人客户,以及支付机构仅以非面对面方式核实身份,但通过五个(含)以上合法安全的外部渠道对身份基本信息完成多重交叉验证的个人客户,支付机构可为其开立综合类支付账户,支付账户余额可以用于消费、转账以及购买投资理财产品或服务;
(二)对于支付机构仅以非面对面方式核实身份,且通过三个(含)以上、五个以下合法安全的外部渠道对身份基本信息完成多重交叉验证的个人客户,支付机构可为其开立消费类支付账户,支付账户余额仅可用于消费以及转账至客户本人同名银行账户;
开个第三方支付账户,就要求你出具至少三个“身份验证独立外部渠道”;独立是什么意思呢?就是说一个政府部门或商业机构仅能算一个渠道,所以身份证和护照不能算两个证件哦,因为都是由公安部门提供的。不过呢,据接近央行的记者表示,不同银行的银行卡倒是可以算独立渠道,也就是说一张工行卡加一张建行卡加一张身份证就可以开个第三方支付账户了。
但这种账户其实也没啥用,不能买理财产品、不能转账,只能买买东西,在互联网金融消费大行其道的今天,等于开历史倒车。假如想获得这些功能,你得有五个独立渠道来证明身份——最常见的可能就是一张身份证加工农中建四大国有银行的银行卡(你说你想通过工商、教育、税务部门的资料去验证?请问你知道到哪儿去开纳税证明和工商资料吗?开了后如何通过网络传输并且让开户机构认可呢?)。
所以搞笑的一幕出现了,央行要求第三方支付必须对现有用户补办认证手续,否则半年后要降级用户;支付宝3亿实名用户、微信支付2亿用户,这5亿用户都走一遍央行要求的认证的话,除了身份证渠道,需要有20亿张银行卡来作为“独立渠道”;考虑到一般人通常都是一到两张银行卡,光履行央行身份验证这一条,就会新增10到15亿银行卡的需求。央妈,到底是亲妈。
即使在银行开户,也不是个个都像央妈要求这么严苛的。香港某些大银行开户,要求提供的不过是身份证件加地址证明,其他的资料由银行购买或构建的内部数据库验证。而在大陆,与电商企业结合的支付账户通过历次购买记录早就能掌握用户住址,通过日常上线、手机号等记录也可以交叉比对出用户住址与身份。央行仍然削足适履地设置5个独立渠道的门槛,无疑是增大了全社会的成本。
更改建议:用身份证、手机号、一张银行卡验证后开通全功能支付账户比较合理。
低下额度限制,不合理!
第十五条 ……(三)除单笔金额不足200元的小额支付业务,以及公共事业费、税费缴纳等收款人固定并且定期发生的支付业务外,支付机构不得代替银行进行客户身份及交易验证。银行对客户资金安全的管理责任不因支付机构代替验证而转移。
第二十八条 ……支付机构采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易,单日累计限额由支付机构与客户通过协议自主约定;支付机构采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元(不包括支付账户向客户本人同名银行账户转账,下同);支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。
第十五条说的是,200元以上的非固定定期消费,除了支付密码之外,你还得通过银行的身份和交易验证,这些方式从手机短信到恶心的网银页面不一而足。例如,你要发个微信红包,得先像上文说的一样准备一个身份证四张银行卡开户;即使开户了,假如一个红包超过200元,你也得先跳到网银界面输入卡号、密码、验证码,或者输入手机验证码,才能发出这个红包(中间跳转来跳转去微信的红包界面还在么?央妈才不管你)。
有了这第十五条,你也应该知道,部分媒体对第二十八条“支付上限5000元”的解读其实也不是完全失实。如果你要买一部iPhone,从前是直接下单付款完事儿,央行新规后,这6000元里5000元余额仍然很顺畅,剩下那1000又要跳到恶心的银行网银(电脑上的话某些银行要求必须是IE浏览器哦,MAC党哭去吧),才能完成。这种被强行打断的支付体验,说是“上限5000”并不离谱。
更改建议:消费额度由第三方支付与用户自行制定,或第三方支付方根据用户信用、历史消费等数据自行制定。
限制金融创新尝试,不合理!
第十三条 支付机构不得为客户办理或者变相办理现金存取、信贷、融资、理财、担保、货币兑换业务。
第十七条 支付机构为客户办理银行账户向支付账户转账的,转出账户应仅限于支付账户客户本人同名银行借记账户;办理支付账户向银行借记账户转账的,转入账户应仅限于客户预先指定的一个本人同名银行借记账户。
支付机构不得对支付账户向客户本人同名银行借记账户转账业务设置限额。
如果这条生效,那蚂蚁花呗、京东白条这样的金融创新产品就死掉了,余额宝也离死不远了。像蚂蚁、京东、腾讯这样拥有大量客户数据的公司,根据客户信用适当进行借贷、分期等金融创新,合情合理,风险控制条件目前看也具备,央行实在不放心可以要求对这部分数据进行监管,一刀切掉不觉得太粗暴了吗?不仅造成了民众的不便,还对基于互联网数据的风控模型完善、借贷产品设计等创新工程设置了极大障碍,别说互联网+了,除都除得不亦乐乎。
更搞笑的是,当年余额宝风头正劲时,四大国有银行同时降低了支付宝的快捷支付额度,从两万到5000元;那时候不见央妈出来吭一声,现在却急急忙忙地要求“支付机构不得对支付账户向客户本人同名银行借记账户转账业务设置限额。”
谁的央妈?一目了然。
更改建议:第三方机构进行金融创新时,应该随时接受央行及其派出机构的检查,并应要求提供数据监测接口以供监管部门评估效果。
写到这里,篇幅已经太长,谁让央妈的五十八条槽点如此丰富呢。可以看出,央行规避风险的基本思路,一是限制,二是将一些数据监督、验证的工作,强制第三方支付提交给银行进行把关。但在互联网技术如此发达的今天,大型第三方支付的数据已经具有了不同于银行的特征,强行要求它们去适应银行的标准,既限制创新,又有裁判员与运动员同场竞技之嫌。央行拿出的这个监管新规,往客气里说,也是一种“惰政”。
61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1