二維碼支付：從叫停到標準化

張威++袁滿

支付清算協(xié)會正在研究相關行業(yè)標準，最快或于明年初出臺。與此同時，相關的監(jiān)管機構也在進行觀察，如果有必要不排除將出臺一套監(jiān)管標準

經過兩年快速發(fā)展的掃碼支付或將進入一個新的發(fā)展階段。

12月12日，中國銀聯(lián)發(fā)布“銀聯(lián)二維碼支付標準”，這一企業(yè)標準包括兩部分內容：《中國銀聯(lián)二維碼支付安全規(guī)范》（下稱“《安全規(guī)范》”）和《中國銀聯(lián)二維碼支付應用規(guī)范》（下稱“《應用規(guī)范》”）。

其中，《安全規(guī)范》從安全方面對二維碼受理設備、手機客戶端、后臺系統(tǒng)等提出了具體安全要求，確保支付過程中賬戶信息及支付資金的安全性，對下一步銀聯(lián)及銀行設計和開發(fā)二維碼產品提供了安全相關的標準依據。

而《應用規(guī)范》定義了二維碼支付的應用場景和基于數字簽名的安全機制，提出了適用于金融支付的二維碼應用數據元，對下一步銀聯(lián)及銀行設計和開發(fā)二維碼產品中的二維碼編碼方案提供了可參照的標準依據。

兩個規(guī)范引發(fā)市場廣為關注。一方面，卡組織銀聯(lián)在掃碼業(yè)務快速發(fā)展之時，其刷卡手續(xù)利潤受到了較大的沖擊，有市場人士認為此舉是銀聯(lián)進入二維碼市場，進行反擊的重要舉措;另一方面，今年8月支付清算協(xié)會下發(fā)掃碼支付征求意見稿之后，掃碼支付被認為有了合法地位，而經過叫停、重啟先后兩年的快速發(fā)展，掃碼業(yè)務也應該有一套行業(yè)或者監(jiān)管標準。

據《財經》記者了解，支付清算協(xié)會在出臺掃碼支付相關征求意見稿之后，一直在研究相關行業(yè)標準，最快或于明年初出臺。與此同時，相關的監(jiān)管機構也在進行觀察，如果有必要不排除將出臺一套監(jiān)管標準。

“銀聯(lián)出臺的企業(yè)標準主要偏重于銀行，協(xié)會將出臺的標注則偏重于支付機構，而協(xié)會的掃碼行業(yè)標準與銀聯(lián)的企業(yè)標準相比，其業(yè)務標準的核心或是掃碼限額，會有一些相似性，但還是有所不同。”某接近支付清算協(xié)會人士向《財經》記者坦言。

某支付機構技術部人士向《財經》記者表示，二維碼標準是一個趨勢，每家機構對碼的生成、方法和傳輸都不太一樣，從技術來看，碼的傳輸以及安全規(guī)范統(tǒng)一是比較好的。

銀聯(lián)進軍掃碼

銀聯(lián)二維碼支付基于卡組織的四方模式，與實體銀行卡支付的差異僅在于支付信息交互方式的變化，其后臺賬戶仍基于實體銀行卡賬戶。

銀聯(lián)相關人士在回答記者問時表示，正因為仍舊基于銀行卡賬戶，不存在因資金沉淀在虛擬賬戶帶來金融風險，消費者資金安全更有保障。此外，商業(yè)銀行可以獲取與傳統(tǒng)銀行卡支付一致的、透明的、完整的支付信息，有利于風險識別管控和客戶關系管理。

原有的卡“四方模式”的四方包括：卡組織、發(fā)卡行、收單行、商戶，銀聯(lián)作為清算卡組織，在業(yè)務清算中收取一定的費用，新的二維碼支付標準也基于同樣的原理。

在當前市場上，二維碼支付已逐漸普及，銀聯(lián)的發(fā)卡、收單成員機構、銀聯(lián)卡的用戶對于這一支付交互方式的推廣與應用都有一定的需求，但跨行之間互聯(lián)互通的市場需求并未得到很好的滿足。其中，包括支付寶、微信以及最早試點掃碼支付的工商銀行，在掃碼支付的運用上都具有一定的閉環(huán)特征。

中國銀聯(lián)表示，中國銀聯(lián)正式發(fā)布“銀聯(lián)二維碼支付標準”，希望為成員機構推廣相關產品與服務，以及為銀聯(lián)卡持卡人用卡提供更加豐富多樣的選擇，支撐銀聯(lián)二維碼支付業(yè)務有序發(fā)展。

而隨著中國移動支付市場的快速發(fā)展，此前，中國銀聯(lián)已經聯(lián)合各大商業(yè)銀行、手機廠商等產業(yè)相關方共同推出“云閃付”。目前云閃付已發(fā)布的系列產品主要應用了非接支付相關技術。

某業(yè)內人士告訴《財經》記者，銀聯(lián)作為國內唯一一家清算卡組織，除了在國家認可掃碼支付后，推出企業(yè)標準推動掃碼健康發(fā)展外，不得不說，此前的卡支付四方模式下，銀聯(lián)千分之幾的手續(xù)費遠遠高于現有的掃碼業(yè)務萬分之幾的手續(xù)費，除了利潤受到沖擊，廣大用戶從刷卡到掃碼的生活習慣的改變，也在倒逼銀聯(lián)緊跟市場形勢轉變。

在業(yè)內人士看來，看似企業(yè)標準出臺，實則是銀聯(lián)進軍掃碼支付的一個重要標志。銀聯(lián)也表示，“銀聯(lián)二維碼支付標準”的發(fā)布是銀聯(lián)作為銀行卡轉接清算組織，為市場需求方提出“互聯(lián)互通”技術解決方案的重要舉措，也是銀聯(lián)聯(lián)合成員機構推廣與應用二維碼支付的第一步。

據了解，銀聯(lián)還將陸續(xù)發(fā)布配套的業(yè)務規(guī)則和產品方案等。

不過，在經過兩年的快速發(fā)展，掃碼支付的客戶黏度已經在支付寶和微信之間形成。根據公開報道顯示，支付寶實名用戶超過3億，目前估值600億美元。而微信活躍用戶已達8.16億，微信支付用戶超過4億。

據易觀發(fā)布的數據顯示，2016年Q2第三方移動支付市場中，支付寶和財付通（微信支付）分別以55.4%和32.1%占據市場份額的前兩名。而銀聯(lián)僅占 0.91%，市場份額少之又少。

業(yè)內人士認為，在移動支付市場迅速崛起之時，銀聯(lián)已經被落在后邊，這其中不乏有監(jiān)管原因，此次進軍掃碼亦是重新發(fā)力，但是后期效果如何還有待進一步關注。

某業(yè)內人士表示，銀聯(lián)下發(fā)的標準雖然是企業(yè)標準，但是銀聯(lián)接近上千家的會員單位，若想通過銀聯(lián)這端開展非閉環(huán)的掃碼業(yè)務就需要遵守銀聯(lián)上述兩個規(guī)范，所以，對于掃碼支付來說，這也將是一個標志性的開端。

行業(yè)標準將出

人民銀行分管支付業(yè)務的副行長范一飛近期在《財經》雜志發(fā)表署名文章表示，要辯證、具體和動態(tài)地認識支付產業(yè)安全和效率的關系。安全是效率的前提，效率是安全的目標。安全是支付信心的保證，保護支付安全通常需要建立一系列的規(guī)則，以指導市場主體有效地識別、監(jiān)測和管理各種風險，確保支付服務體系穩(wěn)健高效運行。

盡管在某接近央行人士看來，掃碼業(yè)務，一件關系到廣大用戶資金安全的事情，需要有個標準，無論是技術方面還是業(yè)務方面。出發(fā)點就是如何既保證方便，又保證安全。而經過幾年野蠻生長的掃碼支付業(yè)務確實需要一套行業(yè)指導標準。

“現在的問題是，一些支付機構已經習慣于裸奔，在二維碼支付領域，通用標準都沒有，所以大家對安全性的爭議也很大?！鄙鲜鼋咏胄腥耸空f道。

易觀發(fā)布的數據顯示，2016年二季度，第三方支付互聯(lián)網支付市場規(guī)模達46500億元，環(huán)比增加6.5%;第三方移動支付市場交易規(guī)模達75037億元，環(huán)比增長25.68%。

2016年二季度，第三方支付互聯(lián)網支付市場規(guī)模達46500億元，環(huán)比增加6.5%：第三方移動支付市場交易規(guī)模達75037億元，環(huán)比增長25.68%

值得注意的是，隨著移動支付快速發(fā)展，商業(yè)銀行也注意到了掃碼支付業(yè)務的未來前景。7月15日，中國工商銀行在北京正式宣布，推出了覆蓋線上線下和O2O支付全場景的二維碼支付產品，成為國內首家具備二維碼支付產品的商業(yè)銀行。

“監(jiān)管一方面鼓勵創(chuàng)新，另一方面對其潛在的風險不可忽視?！睒I(yè)內人士向記者坦言，“不過，市場上的二維碼支付參與者在條碼支付的業(yè)務布局已經形成一定規(guī)模，商業(yè)銀行進入這個領域面臨的競爭力不言而喻?！?/p>

在銀聯(lián)出臺二維碼支付標準之前，二維碼支付業(yè)務在中國已經經歷了起步、被監(jiān)管叫停、持續(xù)摸索、重啟等多個發(fā)展階段。

2014年3月，央行下發(fā)緊急文件叫停條碼（二維碼）支付等面對面支付服務。該文件指出，因線下條碼（二維碼）支付突破了傳統(tǒng)受理終端的業(yè)務模式，其風險控制水平直接關系到客戶的信息安全和資金安全。當時，將條碼（二維碼）應用于支付領域有關技術，終端的安全標準尚不明確。相關支付撮合驗證方式的安全性尚存質疑，存在一定的支付風險隱患。

今年8月，支付清算協(xié)會向會員單位下發(fā)《二維碼支付業(yè)務規(guī)范》（征求意見稿），被市場解讀為二維碼支付地位重獲承認。

據《財經》記者了解，2014年3月叫停二維碼支付之后，支付清算協(xié)會就已經著手研究二維碼支付行業(yè)標準，按照最初的計劃，行業(yè)標準應該在銀聯(lián)企業(yè)標準之前發(fā)布，但是在制定過程中涉及限額等要求對業(yè)務量較大的成員單位或構成一定沖擊，利益相關方還需要進一步協(xié)商。

支付清算協(xié)會二維碼支付行業(yè)標準主要包括業(yè)務標準和技術標準以及受理終端標準，業(yè)務標準最核心的便是限額，對不同安全級別的二維碼或有不同的單筆和日累計限額，技術標準和受理終端標準對安全要求很高，比如支付標記基礎等。

“技術標準和銀聯(lián)有類似，但還是有所不同。按常理來說，銀聯(lián)之前的技術標準是建立在支付清算協(xié)會的技術標準基礎之上的，因為行業(yè)標準更基礎。”上述接近支付清算協(xié)會人士說道。

根據銀聯(lián)公布的資料來看，銀聯(lián)二維碼支付包括以下技術方面：通過制定統(tǒng)一的技術安全機制，確保持卡人賬戶、資金等關鍵要素的安全性。采用支付標記化（Token）技術對賬戶敏感信息進行保護，確保賬戶信息在存儲、處理和傳輸過程中的安全性，防止發(fā)生賬戶信息泄露的風險;相同場景下技術模式統(tǒng)一，可以互聯(lián)互通。在相同的二維碼支付場景采用統(tǒng)一的技術方案和模式，實現不同機構之間的業(yè)務互聯(lián)互通，確保用戶使用體驗的一致性;兼容相關國際標準。預留技術擴展性，未來可通過擴展實現對二維碼支付相關國際標準的兼容，確保今后境內和境外二維碼支付業(yè)務的跨境互聯(lián)互通。

上述支付機構技術部人士表示，從目前現狀來看，碼本身和賬戶綁定，賬戶不能互轉，一家機構的掃碼很難在其他的碼生成機構使用，但是碼本身從生成到消亡整個生命周期、碼的規(guī)范以及安全機制應該有一個統(tǒng)一的流程，而不是各家都不一樣。

市場主推付款碼

目前市場掃碼支付業(yè)務主要包括付款碼和賬號碼。付款碼是指用戶拿出手機，商戶直接用機具掃用戶的手機二維碼，也叫做反掃碼;賬號碼則指用戶掃商戶碼，賬號碼后臺關聯(lián)賬號，掃碼不會直接扣錢，走轉賬渠道。

一些大型支付機構的賬號碼和付款碼基本同時推出，不過，目前，線下的餐飲商戶掃用戶（碼）的多一些，因為一些大型支付機構還推了一些機具、掃碼槍等，而有一些小的商戶，也沒有簽約支付寶或者微信，便將支付寶、微信賬戶碼貼出來。從線下支付的效率來講，商戶掃用戶碼更快。

據記者了解，移動支付市場占比排名第一的支付寶目前線下主要采用二維碼支付模式，不過在業(yè)務中更主張用戶使用付款碼。根據螞蟻金服安全產品技術部專家白開心介紹，支付寶的付款碼本身是一串數字，不包含敏感信息，商戶掃碼也不會泄露用戶的賬戶信息。付款碼具有時效性，屬于一次性生成，時效性是一分鐘，被商戶掃過之后就會失效。“自2014年之后，支付寶在掃碼技術上做了大量工作，例如，付款碼有防截屏方式，防止騙子誘導用戶截屏分享。此外，用支付寶掃碼，系統(tǒng)還會檢測二維碼是否含有木馬、釣魚，保護用戶手機的安全。”

白開心表示，支付寶不建議用戶掃商戶碼，“因為用戶本身，習慣掃一掃，會有一些亂掃含有釣魚或者惡意應用的情況，我們也做了木馬識別，如果又有了最新的木馬，但是沒有在我們庫里也有可能存在的。”

上述業(yè)內人士認為，從第三方支付平臺來看，不論是標準還是碼本身的安全性都已經不是太大問題，因為經過這幾年大規(guī)模的業(yè)務鋪開，市場已經接受長期考驗，可能幾家機構對碼本身定位、包括一些標準有一些不同的看法。

根據投融界統(tǒng)計：截至今年8月份，我國的移動支付用戶規(guī)模已經達到3.58億，其中，大學生和23歲-29歲的職場新人構成了生力軍。82%的受訪者表示曾使用移動支付買過衣服;75%的受訪者表示會使用移動支付訂外賣或者在餐廳付款;77%的受訪者表示用微信或支付寶處理生活賬單;50%的人直接使用手機規(guī)劃并支付行程。