二维码支付 银联眼中的“裸奔”

　　互联网金融的风生水起和快马加鞭，引起了监管机构的警觉。

　　腾讯、阿里竞相打造网络信用卡的消息才传出两天时间，3月13日，央行杭州中心支行及深圳中心支行支付结算处就收到了来自央行支付结算司的函件。

　　函件中提及，为防范支付风险，相关支付指令验证方式的安全性尚存质疑。虚拟信用卡突破了现有信用卡业务模式，在落实客户身份方面未尽义务，并督促两支行要求支付宝、财付通全面暂停线下条码（二维码）支付和虚拟信用卡相关业务，并要求支付宝、财付通将有关产品详细介绍、管理制度、操作流程等情况上报。

　　3月14日一早，银联、支付宝等多家机构召开紧急会议，商讨相应事宜。当日，中信银行A股股价下跌8.26%，下午实施停牌。腾讯股价亦大幅大跌。

　　来自央行支付结算司的一位人士告诉经济观察报，风险控制是此次出台相关条文的重要原因。

　　支付宝回应经济观察报称，支付宝已经向央行进行了汇报与沟通，并会根据央行要求递交相关材料。财付通方面则未予回应。

　　监管的想法

　　央行的一位人士告诉经济观察报，目前只是要求暂停，具体的监管态度需要视乎两家公司上报的情况，“但总体来说，二维码支付和虚拟信用卡的风险需要重新评估。评估之后，如果能够达到一定标准，或许可以有序开启。”

　　对于央行此举，上述央行支付结算司人士透露，原因有三个：一，以微信为例，其拓展商户是授权其他机构，而授权机构并未获得央行发放的资质和牌照；二，按照《银行卡收单管理办法》规定，收单信息需保证信息的完整性、真实性和一致性，持卡人在商户消费后在商业银行端无法查获什么时候商户信息，只能显示财付通或支付宝交易，“发卡银行给授权的时候也需要知道这些信息，但是这些信息现在都被财付通或支付宝屏蔽了，影响了发卡银行对风险的判断和监控。”三，扰乱定价市场。发改委66号文，央行263号文都已明确各种商户的定价标准，并规定央行及银联对收单机构的自律进行监管。

　　该人士称，“例如百货交易，合规的收单机构收取0.78%的费率，如果用微信支付，则费率为0.6%，那么两种模式下存在寻利空间，虽然单笔交易差额不大，但百货交易量很大，商户一定愿意选择后者，对竞争同行来讲，存在不公平。对消费者来说也不一定是好事，在网络信号不好的时候，可能客户本身更愿意选择刷卡消费，但商户哪怕牺牲部分客户体验，也会要求客户使用二维码支付。”

　　中金公司银行业团队分析认为，关于二维码支付，被暂停的不只是支付宝，所有第三方支付的介于线上和线下之间的支付方式(如腾讯的微POS等)都将受到影响；关于虚拟信用卡，定位监管上确实存在模糊地带，但二者来看，业务动了银联的奶酪，或是主要原因。

　　中国银联资深业务专家王建明分析认为，线下收单业务应严格遵守《收单业务管理办法》，但是通过线下条码的支付方式，将线下业务变为线上交易，规避了国家对线下交易的监管要求，违反了异地收单的管理要求，同时影响了国内10多年来艰难形成的安全规范的支付体系，给包括汇付、富友、拉卡拉等200多家其他收单机构造成冲击。“低费率的竞争迫使其他机构要么通过同样的手法不守规矩，要么坐以待毙，造成‘劣币驱逐良币’的市场格局，这样的情况也是近年来市场秩序混乱的主要原因，早应规范。”王建明称。

　　在银联业务管理部人士看来，按照支付行业发放的五个牌照经营范围来看，刷卡费率应以场景界定及技术手段为界定原则，O2O（Online　To　Offline，即将线下的商务机构与互联网结合，让后者成为线下交易的前台）模式下应最终以线下收单费率为准，支付宝、财付通的模式存在套取差价费率的嫌疑。

　　银联眼中的“裸奔”

　　中国银联风险分析师王宇将网络支付与线下POS的安全性作比较，“线下POS的各个产业环节都需要通过中国金融检测中心的技术认证，传统POS刷卡磁道信息被收单机构记取，信息真实性和正确性受到校验，PIN码输送全程不会明文出现，线下商户受理设备，每台机器出厂的批号都有备案，整套管理规则也很完善。全产业链都已经形成一套完整的安全体系。相比而言，二维码没有安全认证系统，在我们看来，现在的扫码支付可以看作‘裸奔’。”

　　王宇介绍，二维码支付过程中，从条码枪、扫码读头到驱动程序，全产业链存在监管缺失，“以条码枪为例，扫码读头现在的市场价格从20元到500元不等，当中的生产标准、安全标准如何界定，都没有明确标准。在前台往后台传输过程中，如果最底层的基础都是裸露的，表层的防范措施我们认为不可能是足够安全的。”

　　另一位银联人士认为，扫码支付技术本身存在问题：“首先其门槛很低，所以它一开始是做小额支付的。但从现在的发展来看，金额在迅速扩大。而且这种支付方式就使得现在很多央行制定的为了防范风险、移机（将商户POS擅自挪用）和套现的措施，可能都变成一纸空文。”该人士亦强调暂停概念并非叫停，但是O2O支付风险需要进一步的评估测算。

　　因二维码扫描产生，木马中毒事件频现，3月12日，360互联网安全中心发布2014年第一期中国移动支付安全报告(以下简称《报告》)，该报告统计，2013年手机病毒增长5倍多，74%的手机木马会给用户带来直接经济损失。同时，2013年全年，360互联网安全中心共截获支付及购物类恶意程序2962个。来自360公司的人士称，该数据亦包含二维码植入病毒。“在黑客的利益链条中，通过二维码植入木马是常见现象，盗取客户的有价值信息，比如姓名、账号和邮箱等等。”该人士称。

　　创新的边界

　　事实上，阿里巴巴试图推出网络虚拟信用卡的念头并非成形于近日。2012年，阿里巴巴就遍寻商业银行试图进行业务突破，其中不乏包括股份制商业银行在内的多家大行，但囿于信用卡管理亲访、亲核、亲签的“三亲”原则，未能突破。

　　就在近日，中信银行在虚拟信用卡层面的突然破冰让不少业界同行颇感意外或不平。

　　3月14日，中信银行公告介绍了其近日在互联网金融领域分别与腾讯和支付宝进行的相关业务合作安排的具体情况。其表示，3月11日，“微信信用卡”正处于最后测试阶段，以及宣布将于近日发布“中信淘宝异度支付信用卡”。

　　中信银行方面表示，此次与腾讯和支付宝的合作，都采取包括调低信用卡额度、引入保险公司进行风险稀释、征信系统审核申请人等方式降低资金风险，安全性并不存在“硬伤”。

　　来自银联的人士认为，虚拟信用卡主要问题在于违反了“三亲”原则，被认为对客户身份的识别和客户信息保密的问题不能带来保障，因此此次一并被列入叫停序列。

　　而前述央行人士认为，随着收单机构的用户在不断扩大，几年间市场发展了几十倍上百倍，用户现在从几百万到几千万甚至上亿，风险暴露的受众群体在不断扩大，一项风险不明确的创新，监管角度应当谨慎。

　　汇付天下总裁周晔告诉经济观察报，央行紧急发文暂停虚拟信用卡业务，对于整个行业来说应该是一副清醒剂。确实是时候冷静思考创新的边界了。“支付行业乃至互联网金融行业伴随着创新而生，做了很多创新，但是行业未来更好的发展可能是需要缓一缓脚步，思考一下创新的边界到底在哪里以及这个行业的规则到底应该怎么去定。怎样的规则能与创新产品和业务匹配？创新产品如何平衡安全、合规与便利，相信这是央行和所有从业者都需要冷静思考的问题。”“国外成熟的市场也有创新，并且创新步伐不逊于国内，但人家是有报备的在监管体系下的创新，不是无需的不合规的在监管漏洞中寻觅的创新。”上述央行人士评价。

　　但从央行的角度来讲，目前监管层面确实尚未出台更为详细的、准确的监管政策。

原标题：央行叫停二维码支付及虚拟信用卡 动了银联奶酪或是主因