□本刊记者 张威/文袁满/编辑
经过两年快速发展的扫码支付或将进入一个新的发展阶段。
12月12日,中国银联发布“银联二维码支付标准”,这一企业标准包括两部分内容:《中国银联二维码支付安全规范》(下称“《安全规范》”)和《中国银联二维码支付应用规范》(下称“《应用规范》”)。
其中,《安全规范》从安全方面对二维码受理设备、手机客户端、后台系统等提出了具体安全要求,确保支付过程中账户信息及支付资金的安全性,对下一步银联及银行设计和开发二维码产品提供了安全相关的标准依据。
而《应用规范》定义了二维码支付的应用场景和基于数字签名的安全机制,提出了适用于金融支付的二维码应用数据元,对下一步银联及银行设计和开发二维码产品中的二维码编码方案提供了可参照的标准依据。
两个规范引发市场广为关注。一方面,卡组织银联在扫码业务快速发展之时,其刷卡手续利润受到了较大的冲击,有市场人士认为此举是银联进入二维码市场,进行反击的重要举措;另一方面,今年8月支付清算协会下发扫码支付征求意见稿之后,扫码支付被认为有了合法地位,而经过叫停、重启先后两年的快速发展,扫码业务也应该有一套行业或者监管标准。
据《财经》记者了解,支付清算协会在出台扫码支付相关征求意见稿之后,一直在研究相关行业标准,最快或于明年初出台。与此同时,相关的监管机构也在进行观察,如果有必要不排除将出台一套监管标准。
“银联出台的企业标准主要偏重于银行,协会将出台的标注则偏重于支付机构,而协会的扫码行业标准与银联的企业标准相比,其业务标准的核心或是扫码限额,会有一些相似性,但还是有所不同。”某接近支付清算协会人士向《财经》记者坦言。
某支付机构技术部人士向《财经》记者表示,二维码标准是一个趋势,每家机构对码的生成、方法和传输都不太一样,从技术来看,码的传输以及安全规范统一是比较好的。
银联进军扫码
银联二维码支付基于卡组织的四方模式,与实体银行卡支付的差异仅在于支付信息交互方式的变化,其后台账户仍基于实体银行卡账户。
银联相关人士在回答记者问时表示,正因为仍旧基于银行卡账户,不存在因资金沉淀在虚拟账户带来金融风险,消费者资金安全更有保障。此外,商业银行可以获取与传统银行卡支付一致的、透明的、完整的支付信息,有利于风险识别管控和客户关系管理。
原有的卡“四方模式”的四方包括:卡组织、发卡行、收单行、商户,银联作为清算卡组织,在业务清算中收取一定的费用,新的二维码支付标准也基于同样的原理。
在当前市场上,二维码支付已逐渐普及,银联的发卡、收单成员机构、银联卡的用户对于这一支付交互方式的推广与应用都有一定的需求,但跨行之间互联互通的市场需求并未得到很好的满足。其中,包括支付宝、微信以及最早试点扫码支付的工商银行,在扫码支付的运用上都具有一定的闭环特征。
中国银联表示,中国银联正式发布“银联二维码支付标准”,希望为成员机构推广相关产品与服务,以及为银联卡持卡人用卡提供更加丰富多样的选择,支撑银联二维码支付业务有序发展。
而随着中国移动支付市场的快速发展,此前,中国银联已经联合各大商业银行、手机厂商等产业相关方共同推出“云闪付”。目前云闪付已发布的系列产品主要应用了非接支付相关技术。
某业内人士告诉《财经》记者,银联作为国内唯一一家清算卡组织,除了在国家认可扫码支付后,推出企业标准推动扫码健康发展外,不得不说,此前的卡支付四方模式下,银联千分之几的手续费远远高于现有的扫码业务万分之几的手续费,除了利润受到冲击,广大用户从刷卡到扫码的生活习惯的改变,也在倒逼银联紧跟市场形势转变。
在业内人士看来,看似企业标准出台,实则是银联进军扫码支付的一个重要标志。银联也表示,“银联二维码支付标准”的发布是银联作为银行卡转接清算组织,为市场需求方提出“互联互通”技术解决方案的重要举措,也是银联联合成员机构推广与应用二维码支付的第一步。
据了解,银联还将陆续发布配套的业务规则和产品方案等。
不过,在经过两年的快速发展,扫码支付的客户黏度已经在支付宝和微信之间形成。根据公开报道显示,支付宝实名用户超过3亿,目前估值600亿美元。而微信活跃用户已达8.16亿,微信支付用户超过4亿。
据易观发布的数据显示,2016年Q2第三方移动支付市场中,支付宝和财付通(微信支付)分别以55.4%和32.1%占据市场份额的前两名。而银联仅占 0.91%,市场份额少之又少。
业内人士认为,在移动支付市场迅速崛起之时,银联已经被落在后边,这其中不乏有监管原因,此次进军扫码亦是重新发力,但是后期效果如何还有待进一步关注。
某业内人士表示,银联下发的标准虽然是企业标准,但是银联接近上千家的会员单位,若想通过银联这端开展非闭环的扫码业务就需要遵守银联上述两个规范,所以,对于扫码支付来说,这也将是一个标志性的开端。
行业标准将出
人民银行分管支付业务的副行长范一飞近期在《财经》杂志发表署名文章表示,要辩证、具体和动态地认识支付产业安全和效率的关系。安全是效率的前提,效率是安全的目标。安全是支付信心的保证,保护支付安全通常需要建立一系列的规则,以指导市场主体有效地识别、监测和管理各种风险,确保支付服务体系稳健高效运行。
尽管在某接近央行人士看来,扫码业务,一件关系到广大用户资金安全的事情,需要有个标准,无论是技术方面还是业务方面。出发点就是如何既保证方便,又保证安全。而经过几年野蛮生长的扫码支付业务确实需要一套行业指导标准。
“现在的问题是,一些支付机构已经习惯于裸奔,在二维码支付领域,通用标准都没有,所以大家对安全性的争议也很大。”上述接近央行人士说道。
易观发布的数据显示,2016年二季度,第三方支付互联网支付市场规模达46500亿元,环比增加6.5%;第三方移动支付市场交易规模达75037亿元,环比增长25.68%。
值得注意的是,随着移动支付快速发展,商业银行也注意到了扫码支付业务的未来前景。7月15日,中国工商银行在北京正式宣布,推出了覆盖线上线下和O2O支付全场景的二维码支付产品,成为国内首家具备二维码支付产品的商业银行。
“监管一方面鼓励创新,另一方面对其潜在的风险不可忽视。”业内人士向记者坦言,“不过,市场上的二维码支付参与者在条码支付的业务布局已经形成一定规模,商业银行进入这个领域面临的竞争力不言而喻。”
在银联出台二维码支付标准之前,二维码支付业务在中国已经经历了起步、被监管叫停、持续摸索、重启等多个发展阶段。
2014年3月,央行下发紧急文件叫停条码(二维码)支付等面对面支付服务。该文件指出,因线下条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全和资金安全。当时,将条码(二维码)应用于支付领域有关技术,终端的安全标准尚不明确。相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患。
今年8月,支付清算协会向会员单位下发《二维码支付业务规范》(征求意见稿),被市场解读为二维码支付地位重获承认。
据《财经》记者了解,2014年3月叫停二维码支付之后,支付清算协会就已经着手研究二维码支付行业标准,按照最初的计划,行业标准应该在银联企业标准之前发布,但是在制定过程中涉及限额等要求对业务量较大的成员单位或构成一定冲击,利益相关方还需要进一步协商。
支付清算协会二维码支付行业标准主要包括业务标准和技术标准以及受理终端标准,业务标准最核心的便是限额,对不同安全级别的二维码或有不同的单笔和日累计限额,技术标准和受理终端标准对安全要求很高,比如支付标记基础等。
“技术标准和银联有类似,但还是有所不同。按常理来说,银联之前的技术标准是建立在支付清算协会的技术标准基础之上的,因为行业标准更基础。”上述接近支付清算协会人士说道。
根据银联公布的资料来看,银联二维码支付包括以下技术方面:通过制定统一的技术安全机制,确保持卡人账户、资金等关键要素的安全性。采用支付标记化(Token)技术对账户敏感信息进行保护,确保账户信息在存储、处理和传输过程中的安全性,防止发生账户信息泄露的风险;相同场景下技术模式统一,可以互联互通。在相同的二维码支付场景采用统一的技术方案和模式,实现不同机构之间的业务互联互通,确保用户使用体验的一致性;兼容相关国际标准。预留技术扩展性,未来可通过扩展实现对二维码支付相关国际标准的兼容,确保今后境内和境外二维码支付业务的跨境互联互通。
上述支付机构技术部人士表示,从目前现状来看,码本身和账户绑定,账户不能互转,一家机构的扫码很难在其他的码生成机构使用,但是码本身从生成到消亡整个生命周期、码的规范以及安全机制应该有一个统一的流程,而不是各家都不一样。
市场主推付款码
目前市场扫码支付业务主要包括付款码和账号码。付款码是指用户拿出手机,商户直接用机具扫用户的手机二维码,也叫做反扫码;账号码则指用户扫商户码,账号码后台关联账号,扫码不会直接扣钱,走转账渠道。
一些大型支付机构的账号码和付款码基本同时推出,不过,目前,线下的餐饮商户扫用户(码)的多一些,因为一些大型支付机构还推了一些机具、扫码枪等,而有一些小的商户,也没有签约支付宝或者微信,便将支付宝、微信账户码贴出来。从线下支付的效率来讲,商户扫用户码更快。
据记者了解,移动支付市场占比排名第一的支付宝目前线下主要采用二维码支付模式,不过在业务中更主张用户使用付款码。根据蚂蚁金服安全产品技术部专家白开心介绍,支付宝的付款码本身是一串数字,不包含敏感信息,商户扫码也不会泄露用户的账户信息。付款码具有时效性,属于一次性生成,时效性是一分钟,被商户扫过之后就会失效。“自2014年之后,支付宝在扫码技术上做了大量工作,例如,付款码有防截屏方式,防止骗子诱导用户截屏分享。此外,用支付宝扫码,系统还会检测二维码是否含有木马、钓鱼,保护用户手机的安全。”
白开心表示,支付宝不建议用户扫商户码,“因为用户本身,习惯扫一扫,会有一些乱扫含有钓鱼或者恶意应用的情况,我们也做了木马识别,如果又有了最新的木马,但是没有在我们库里也有可能存在的。”
上述业内人士认为,从第三方支付平台来看,不论是标准还是码本身的安全性都已经不是太大问题,因为经过这几年大规模的业务铺开,市场已经接受长期考验,可能几家机构对码本身定位、包括一些标准有一些不同的看法。
根据投融界统计:截至今年8月份,我国的移动支付用户规模已经达到3.58亿,其中,大学生和23岁-29岁的职场新人构成了生力军。82%的受访者表示曾使用移动支付买过衣服;75%的受访者表示会使用移动支付订外卖或者在餐厅付款;77%的受访者表示用微信或支付宝处理生活账单;50%的人直接使用手机规划并支付行程。