来源于 《财新周刊》 2016年第28期 出版日期 2016年07月18日
堵不如疏，被暂停两年后，央行将在统一的安全技术标准下放行二维码支付，通过令牌技术和限额支付控制风险，但其安全性仍不及芯片技术

财新记者 张宇哲 王玲
　　暂停两年多后，央行将重新放开线下二维码支付。
　　财新记者从多个渠道获悉，因为二维码支付进入门槛低、使用便捷等特点，颇受对传统POS收银成本敏感的小商户欢迎，央行已授权中国支付清算协会牵头制定行业技术标准和业务规则，并在个人信息保护、资金安全、加密措施、敏感信息存储等方面提出明确要求；中国银联也将在前述标准基础上制定自己的二维码支付标准与业务规范。
　　这意味着，中国银联也将可以通过二维码支付实现银联卡的跨行清算，抢夺已被第三方支付机构蚕食大半的移动支付市场。
　　此前，二维码支付主要是通过第三方支付机构的移动端账户完成，主要参与者是财付通的微信支付和支付宝两家行业巨头。
　　2014年3月，因二维码支付的安全标准尚不明确、存在风险隐患，央行暂停二维码支付业务。但此后，面对快速增长且格局未定的移动支付市场，微信支付和支付宝并未放慢推进二维码支付的步伐，在全国各地积极布局。目前，二维码支付已成为两大巨头打通线上线下、实现“O2O”的强势工具，圈地战从高端百货商场延伸至路边水果摊。
　　但二维码安全性低，易被黑客攻击和复制，监管当局对于二维码支付安全性的担忧一直存在，相关标准也尚未出台。
　　近两年，中国的二维码支付标准已在业内讨论几轮，一直未最后拍板。而去年底发布的《非银行支付机构网络支付业务管理办法》（下称《管理办法》），并未将二维码纳入规范范畴，被业界认为给二维码支付等创新支付方式留出很大探索空间。
　　此次官方终于考虑放行二维码支付，其前提是二维码支付仍定位于小额、便捷的支付方式。一位接近央行人士透露，“此前《关于促进互联网金融健康发展的指导意见》（下称《指导意见》）已经定调，整个网络支付行业都定位于小额便民，二维码支付只是新型网络支付方式之一，不会超出这个范畴；之前暂停二维码支付是因为缺乏业务规则和标准，对风险边界没有限定，对消费者不负责任。”
　　财新记者从多个渠道了解到，此次二维码支付的技术标准主要是通过两种方式实现风险控制：一是使用支付标记化技术（Tokenization），二是限额支付。
　　“最终方案仍然是一个折衷标准，是监管当局对多层次支付体系综合平衡的结果，也是监管和市场各方博弈的结果。”北京大学金融信息化研究中心主任陈钟如此评价。
二维码支付嵌入“令牌技术”
　　“有关二维码支付的技术标准此前已经有了一个基本方案，此次将在《管理办法》的基础上，再做一些修订。”一位接近支付清算行业协会的人士向财新记者透露，“监管层面的考虑是堵不如疏，要在同一个技术标准上公平竞争。”
　　《管理办法》已于7月1日正式实施。《管理办法》根据客户身份核实方式对个人账户进行分类管理，根据实名认证开户的落实情况，将账户分为Ⅰ、Ⅱ、Ⅲ三类，每类账户的交易限额和功能不同。
　　“无论是商业银行还是支付机构，使用银行账户还是支付账户，均应按照交易验证安全等级的不同，统一通过交易额度进行风险控制和安全管理。”一位业内人士透露。
　　去年7月十部委联合推出的《指导意见》，已对网络支付给出了清晰定位，即小额便民、快捷、服务电子商务，兼顾支付安全与效率、可操作性。此次二维码技术标准和业务规则，也将遵循前述行业基本规则。考虑到风险因素，二维码支付也将采取限额支付，并对安全技术保障提出了升级的硬要求，包括增加加密措施、引入Tokenization等。
　　其中，最为业内关注的是引入Tokenization。官方文件中首次出现这一技术标准，是在6月底央行下发的《关于进一步加强银行卡风险管理的通知》（即“170号文”）中。这一最新技术标准也被沿用于二维码支付的技术标准中。
　　Tokenization也被称为“令牌技术”，是国际先进支付技术之一，也是移动支付主要发展方向。2014年，国际支付技术标准组织（EMVCo）发布了Tokenization的技术规范。近年，在国际支付市场，“令牌技术”的开发和普及由Visa、万事达、美国运通等国际卡组织逐步推动，实现了移动支付安全性与便利性的最佳结合。
　　中国业内和消费者对于“令牌技术”的广泛了解，始于Apple Pay今年2月的高调入华。去年12月，中国银联推出的新一代移动支付产品“云闪付”也采用了“令牌技术”。
　　和二维码支付相比，“令牌技术”更安全和便捷，个人信息保护是其最大的优势。“170号文”的推出，即旨在加强消费者个人信息保护，通过引入“令牌技术”，从源头控制信息泄露和欺诈交易风险。
　　“令牌技术”是通过一个电子令牌把银行卡账号转化为一个虚拟账号，手机存储的是“虚拟账号”信息，支付时不显示真实卡号，银行卡主账户信息不会泄露，有效保护持卡人隐私及支付敏感信息。如果手机丢失，黑客拿到这个电子令牌也没有用，金融机构只需给客户重新分配一个电子令牌，不必重新发卡，大大降低了成本，也使得移动支付更安全和便捷。
业界反应平静
　　与此前监管力推金融IC卡迁移一样，中国推动“令牌技术”的力度在全球也堪称是最大的。
　　“170号文”给出的时间表是，自2016年12月1日起，各商业银行和支付机构“全面应用支付标记化技术”，对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理，并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性，从源头控制信息泄露和欺诈交易风险。
　　2014年3月央行暂停二维码支付，但并未影响二维码支付的扩张。几天前，财新记者经过北京一家水果店，简单装修的白墙上，支付宝和微信的二维码支付标志均赫然在目，且扫码有优惠。店主称，上月开通二维码支付后，使用的消费者很多。
　　一位与支付宝和微信均有合作的二维码服务（包括软件和硬件）提供商告诉财新记者，实际上，央行暂停二维码支付后，他的业务并没有受到影响。“现在支付搞得沸沸扬扬，到底是主读还是被读，都没标准。”上述人士告诉财新记者，当初被暂停的是主读模式，即客户扫商户，现在市场上两种模式都有。
　　不过，扫码导致消费者财产损失的风险事件也不时爆出。一名熟悉金融行业安全认证的人士如此描述二维码支付的风险：首先，二维码本身包含的信息可能是木马病毒，用户扫码之后运行木马造成资金损失；其次，交易信息本身未包含病毒，但由于加密的强度不够，在二维码将信息传到手机的过程中，可能遭到黑客破译、窜改；最后，二维码支付的数字证书、电子签名还不完善，交易发生后的可追溯性不强，一旦资金损失，不容易找到对应的真实交易者。
　　2015年的《中国支付清算行业运行报告》显示，安全性是移动支付用户最看重的因素，占全部移动支付用户近八成，其次才是便捷性，约占七成。在欧美市场，安全性更是受关注的重要因素之一——英美监管者2014年的报告均显示，逾六成消费者担忧移动支付的安全性。
　　Visa北亚太区创新支付业务副总裁郑道永（Paul Jung）曾向财新记者介绍，Visa在Apply Pay的二维码支付中也嵌入了“令牌技术”，这样商户用二维码扫的是电子令牌的虚拟代码，并非银行卡主账户信息。而且，Visa采用的二维码是符合国际支付行业组织的规范，即EMVco技术生成的二维码，并非第三方支付机构自己开发的二维码，两者的技术标准不同。
　　在一位移动支付专家看来，“各个支付公司都有自己的二维码，但是安全性千差万别；此次升级后的二维码支付标准，将大幅提升行业所有支付机构二维码的安全性。”
　　接下来，银行和支付机构都需要对二维码支付按照新标准开展技术改造。
　　在业内看来，由于在EMVCo及国际卡组织的推动下，银联已开始在银行卡的应用中采用“令牌技术”，所以银行相对支付机构入手早，技术层面相对容易改造；而支付机构改造的难度和工作量相对较大。不过，由于第三方支付机构的实力千差万别，改造难度大小也与其技术的兼容性相关，加之关键的线上开户问题已经通过账户分类的方式解决，与2014年央行暂停二维码支付引发业内巨大反弹相比，此次业内对二维码支付安全技术升级的反应比较平静。
　　“之前业内纠结的主要是账户开户问题，《管理办法》已经解决了这些主要问题。二维码支付只是一个技术问题，评测相对简单；对于大型支付公司来说，只要不是需要移动终端外设硬件加密（如手机上装Ukey），包括数字证书等其他方式通过智能系统基本都能实现。”一位支付宝内部人士表示。
移动支付竞争加剧
　　中国银联也将在行业标准的基础上推出自己的二维码支付标准。“这是每一个银行卡清算组织应尽的职责，银联标准是银联确定的自己的企业标准，Visa、万事达卡也都是如此。”一位央行人士表示。
　　其实，中国银联是国内开发和储备二维码技术的先行者，早在2010年就开发了二维码支付、声波支付等创新产品，但由于监管限制一直未推向市场。
　　“中国银联作为卡组织，一直以来都在联合境内外各方产业积极研究、探索包括NFC、二维码、蓝牙在内的各种支付交互方式。事实上，我们是国内最早开展二维码支付交互方式研究与产品设计的机构之一。但只有在监管认可、产品技术较为成熟、安全风险可控、且通过相关检测认证的情况下，我们才会向市场正式推出相应的产品与服务。”一位银联人士告诉财新记者。
　　对于银联的二维码支付是否会与其主推的“云闪付”造成内部竞争，前述人士称，“二维码支付是‘云闪付’产品体系的一个补充，不存在内部打架的现象。”
　　业内预计，随着银联二维码支付的加入，银联和网络支付巨头的竞争将更加白热化。
　　值得关注的是，无论是Visa还是银联推出的二维码支付，都是在“四方模式”（即收单行、发卡行、商户、卡组织）基础上，利于监管和消费者信息保护；而第三方支付机构采用的二维码支付，是“绕银联直联银行”的“三方模式”，后者由于信息泄露风险频发且资金封闭运转不透明，一直令监管头疼。
　　还有个关键疑虑待解：引入“令牌技术”，是否能从根本上解决二维码支付的安全问题？换而言之，二维码支付+“令牌技术”是否可比拟金融IC卡的安全性？后者是目前业界公认安全门槛最高的支付方式。
　　“有了‘令牌技术’，二维码支付的安全性会提高很多，但并不是就有根本性改变；很多安全保障的技术手段是多种方式整合在一起发挥作用的；与金融IC卡相比，‘令牌技术’基于软件，金融IC卡基于硬件，基本原则是硬件的安全防护效果更好一些，因为软件的防护手段总是容易被黑客攻破或被伪造；但硬件保护措施的缺点是，如果这个硬件（如银行卡）丢了，损失成本就会相对高。”前述支付清算协会专家介绍。
　　在不少技术专家眼里，NFC基于一个固定介质，在加密措施上做得更好，NFC支付也就比二维码支付更安全。“每个支付交易技术都有缺陷，但二维码支付的风险更大，尤其在顾客扫描来自海报或报纸甚至商户的二维码时。”渥太华大学研究安全和隐私的教授Carlisle Adams告诉财新记者，理论上NFC芯片也能受到类似的攻击，但更难得逞；智能手机是个被动的NFC设备，只接收和发送标准的支付信息。
　　陈钟强调，在目前所有支付手段中，从安全性的角度看，金融IC卡是把现有安全技术最大化的方式，因为是“强密码技术+强身份识别安全认证”，而这两个要素始终是二维码支付所缺乏的。
　　一位移动支付专家介绍，二维码支付最初只是实现了在手机终端可以更方便地呈现。其风险点在于个人信息容易泄露和被黑客重放攻击。“因为在传输过程中，二维码支付的应用场景是完全开放式的，会有多个终端接入，这个过程中会有重放或被更替的风险。”
　　“令牌技术”主要是解决敏感信息泄露的问题。“在线支付都是通过在各个支付平台绑定银行卡，如果有一家支付平台泄露了个人信息，那就意味着个人在所有支付平台的信息都泄露了，可能会发生欺诈。‘令牌技术’主要解决了二维码支付的这个问题。”
　　但在上述移动支付专家看来，从安全性而言，“二维码+Tokenization”与芯片等级的银行卡相比，还是差一个等级，“二维码支付只是在静态信息基础上做了些防护，最好的方式是数据传输中能实时更新。比如，芯片技术是时时刻刻交互数据都会动态改变，无论黑客怎么截取和重放，数据是在变的，只有一次有效。”
　　他解释说，二维码呈现的是一个可视的条码图片，较难做到其信息每时每刻都在变动；而且在对方扫码的环节上，数据交互过程完全暴露在一个开放的环境里。比如，消费者在排队等候期间就已经把二维码信息调出来了，这个信息假如被一些偷拍设备接触到了，就会有被盗取的风险。同时，二维码支付的数据交互时间比芯片数据的交互时间更长，且其应用是在一个完全开放的场景；而芯片卡的应用可以做到一个封闭式的场景，比如ATM机、网银等，后者的敏感信息暴露在外界的时间相对短，基本上是毫秒级的，在终端层面比较难获取。
　　在他看来，正是基于风险因素考虑，监管当局仍把二维码支付定位于小额支付。“不同大小的金额对犯罪者的吸引力是不同的；一旦开放为大额支付，犯罪分子的攻击强度会加大。”■