日前,央行正式发布了《条码支付业务规范(试行)》,新规明确将对条码支付额度进行分级管理,同时还规定线下静态的扫码支付方式每人每日最多不能超过500元。有关负责人表示,静态条码(包括二维码)易被篡改或编造,易携带木马或病毒,真伪难辨,导致支付风险较高。因此,提出了一系列防范静态条码风险的措施。除了限额外,央行还在条码支付的业务规范上设置了门槛,强调持牌经营。
如今,第三方支付迅速攻城略地,业已在交易结算市场中占据了举足轻重的地位。在这其中,条码支付因其门槛较低、操作便利,更是深受商家和消费者的欢迎。而随着应用场景的不断增加,随着整体交易规模的不断扩大,条码支付从某种意义上说,已经成为了具备系统重要性的金融工具。在这一前提下,其潜在的安全风险,注定要被重新评估和审视一番。央行新近发布的专门“业务规范”,正是基于这一考量。
其实,相关部门关于条码支付相关的风险担忧和监管介入一直不曾停止。2014年,央行曾一度“暂停”了二维码支付,理由是“有关技术、终端的安全标准不明确,相关支付指令验证方式的安全性尚存质疑”;2016年,支付清算协会向支付机构下发《条码支付业务规范(征求意见稿)》,这是央行首次官方承认二维码支付地位;如今,《条码支付业务规范(试行)》正式发布,终于完善并明确了条码支付的业务规范和技术标准。
一个值得注意的现象是,尽管此前监管机构对条码支付多有“顾虑”,事实上并没有过多影响此类业务的爆炸式增长。作为民间市场的重要创新,作为互联网金融的杰出成果,以条码支付作为关键切入口的第三方移动支付,还是收获了大量用户、取得巨大成功。但常识是,市场的自发演化,也许能带来繁荣,却未必能确立秩序。条码支付近些年的快速发展,被许多人表述为“野蛮发展”,这无疑很能说明问题。
条码支付最大的痛点,从来都在于“存在安全隐患”。这么多年下来,相关从业企业,并没有采取诸如设立支付额度上限等必要的风控措施,也并没有就编码方式、信息交互方式等关键环节作出显著的技术修正。可以预见的是,若无监管部门出面规范,这种“不安全”的局面大概率还会继续下去。就移动支付来说,从“蛮荒期”到“收割期”的切换太快太草率,再加之客观上的寡头垄断格局,这些都严重阻碍了新技术的推广和服务的持续优化。
如果说,作为市场的自发创造条码支付成就非凡,那么时至今日,业界过去那套行之有效的驱动模式,已然显得有些力不从心。若无外力刺激,条码支付很可能不会变得更好,或者说这个“变好”的过程会极为迟缓。就此问题,鼓励市场先行先试是一方面,而公共监管及时跟进则是另一方面,这两个过程彼此交织、相互接力,最终才可能最大程度地趋利避害。