中国人民银行27日发布条码(条形码、二维码等)支付规范,坚持小额、便民定位,对条码支付风险防范能力进行分级,设置了不同的日累计交易限额。
新规指出,银行、支付机构应根据《条码支付安全技术规范(试行)》(银办发〔2017〕242号)关于风险防范能力的分级,对个人客户的条码支付业务进行限额管理。
风险防范能力达到A级:即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,可与客户通过协议自主约定单日累计限额。
风险防范能力达到B级:即采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元。
风险防范能力达到C级:即采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元。
风险防范能力达到D级:即使用静态条码的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。例如,消费者在使用微信钱包扫描静态条码支付时,单日使用零钱包支付的上限不超过500元,同时微信关联的所有银行卡还可以再独立获得500元的支付上限。
静态条码(如事先贴在墙上的二维码)目前被认为是风险最大的支付领域之一,易被篡改或变造,易携带木马或病毒。除了限额管理外,新规还提出了一系列防范静态条码风险的措施:包括要求静态条码应由后台服务器加密生成、要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查、要求静态条码采用防护罩等物理防护手段避免被覆盖或替换等。
条码支付规范自2018年4月1日起实施。中国人民大学重阳金融研究院高级研究员董希淼举例说,新要求实施后,消费者在街头商贩扫静态条码小额支付不受影响,也不影响商贩收款。如果在饭店里吃了顿600元大餐,扫静态条码付款就有点困难了,不过可以让收银员扫消费者手机上生成的动态条码,这样其实更安全。