如今,二维码支付在餐饮门店、超市、便利店等线下小额支付场景得到广泛应用。但在条码生成机制和传输过程中仍存在风险隐患,也引发了支付安全的风险案件,市场机构在业务推广过程中还存在不正当竞争等现象(详见本版5月11日报道《扫一扫,钱包咋就被人“撬”》)。相关部门和支付机构该采取哪些措施保障用户支付安全?二维码支付的用户体验如何进一步提升?
主管部门:
制定技术标准,规范业务开展
《2017中国第三方移动支付行业研究报告》指出,线下扫码支付行业进入加速发展期。一方面,线下扫码支付简单快捷,为用户带来了便捷的消费体验;另一方面,接入线下扫码支付的商家也享受到了数字化营销与经营所带来的收益增加。
在推动行业规范发展方面,中国人民银行将二维码支付定位于小额、便捷和银行卡支付的有效补充,并采取了一系列措施规范二维码支付业务的开展。其中包括确立了依据业务实质,无论是商业银行还是支付机构、使用银行账户还是支付账户开展二维码支付,均应根据交易验证安全等级、通过交易额度进行风险控制和安全管理的监管思路。
近年来,随着支付标记化等技术在移动支付中的广泛应用,客观上提高了二维码支付的安全标准。中国人民银行指导相关市场主体积极提升技术水平,制定相关技术标准,规范二维码支付业务开展。
央行此前发布的条码支付业务规范已于2018年4月1日起实施,针对条码支付技术风险,此次规范提出了一系列针对性要求。比如,加强条码安全防护,采取支付标记化、有效期控制、条码防伪识别等手段,提升条码生成、存储、展示、识读、解析、使用等环节的安全防护能力,有效保障条码的可靠性和有效性。
由于静态条码易被篡改或变造,易携带木马或病毒,央行规定,使用静态条码进行支付的,无论使用何种交易验证方式,同一客户银行或支付机构单日累计交易金额应不超过500元。支付新规还要求,做支付的机构必须要有牌照:“支付机构开展条码支付业务,应按规定取得相应的业务许可,并按相应管理办法规范开展业务。”
中国社科院中国社会科学评价中心主任荆林波认为,二维码支付若想健康发展还面临一些问题。比如,常见的二维码QR码在2000年成为国家标准,前几年国家出台了二维码的有关政策,但目前还未对二维码发布一个全面标准。“除了制定二维码支付业务规范,国家应加强二维码支付的顶层设计,制定全面的行业标准,并在全国范围内广泛推广和使用我们的国家标准。”荆林波说。
支付机构:
加强安全保障,提升支付体验
作为首家推出二维码支付产品的商业银行,工商银行相关负责人介绍,工银二维码支付具备当前市场主流扫码产品的全部功能,而且采用国际领先的令牌技术对卡号进行变异处理,隐藏真实卡号信息,确保账户资金安全。同时,通过7×24小时不间断的实时风险监控、交易限额控制、大额交易验证、二维码60秒强制更新等一系列安全控制措施,为客户资金和信息安全提供了银行级的保护,切实提升了用户支付体验。目前,工银二维码支付已经实现全面聚合受理功能,具备安全性、兼容性及便捷性,为560万工商银行e支付商户引流了超过10亿的潜在个人用户,成为国内最大的聚合支付平台。
中国银联联合40多家商业银行推出银联云闪付二维码产品。业内人士认为,这是国有大型商业银行在二维码支付上的积极探索和创新,是一种有益尝试,旨在为用户提供高效、便捷、安全的移动支付交易方式。
作为第三方支付平台,支付宝在“扫一扫”支付上也采取了多项技术手段降低交易风险。支付宝安全专家尚山虎说,为防范信息安全风险,避免因二维码的传播而被解析出用户账户或交易订单信息,支付宝首先将需要通过二维码传递的信息用加密算法加密成字符串,再将字符串编译后形成二维码。因此即使二维码被他人获取并进行扫描,其仅能解析出经加密的字符串,而无法进一步解析出用户的任何相关信息。通过商户收银台形成的条码以及通过支付宝APP形成的条码都具有时效性,过期后将会形成新的条码,而之前已生成的条码将会失效,从而防范因条码被复制传播而导致的信息及资金风险。
支付宝还推出“你敢收,我敢赔”保障计划:如果商家的收钱码被恶意替换、调包,其损失的资金也将能通过保险公司获得赔付。
用户公众:
提高防范意识,不要见码就扫
想要让“扫一扫”更安全,离不开监管部门和市场机构的努力,还需要用户自身提高防范意识,加强自我保护。
业内专家提醒,用户要有防范意识,提高警惕,不要轻易相信市面上免费扫码赠东西等品牌宣传活动。“扫一扫”行为的背后可能隐藏着巨大的安全隐患,比如个人信息的泄露,也有可能存在某些不法行为,尤其不要轻易提供个人的姓名、身份证、银行卡、电话、通信住址等信息。即使是可信的二维码应用,也有可能受到某些黑客不法分子恶意的利用变成恶意的二维码,应时刻保持警惕。
尚山虎建议,随着二维码的普及,用户应掌握一些二维码的相关知识、常见案例,提高安全防范意识。同时,要养成良好的手机使用习惯,包括到官网下载工具软件,不要见码就扫,在手机中安装防病毒软件等。