用支付宝、微信等应用扫码付款,将正式迎来额度限制,最低等级扫码的单日支付限额为500元。央行昨日发布了《中国人民银行关于印发<条码支付业务规范(试行)>的通知》,从额度、风险防范等多个角度进行了管理。条码支付新规明确支付机构提供条码支付服务,必须持牌经营,此外还将对条码支付额度进行分级管理,新规自2018年4月1日起实施。(12月28日《新京报》)
在买个煎饼果子都会“扫一扫”的当下,手机支付极大地方便了国人的支付行为,而且有力化解了现金失窃、遭遇假币等风险,因此深受欢迎。正基于此,此时扫码新规的出现,尤其是限额管理的措施,很容易被误解为是对新型支付手段的打压,必将带来诸多不便。事实上,这些都是情绪化的误读,新规恰恰是为提升手机支付的安全性在做努力。
绝不能在牺牲安全性的基础上追求便捷,这是各方没有争议的共识。然而,很多人也许并不知道,随着手机支付的兴起,盗刷等犯罪案件也同样水涨船高,这便是扫码新规出台的直接背景。安全与便捷并非不能共存,在各支付机构试水几年后,也完全有必要对支付市场进行规范,规避可能的各种风险。
以新规中的“扫码限额”为例,根据风险防范能力,将个人客户分为四个等级,不同等级的支付限额也不同。具体而言,采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,额度完全不受限制;虽不采用数字证书和电子签名验证,但验证方式仍在两类以上的,日限额为5000元;采用不足两类要素对交易进行验证的,日限额为1000元,使用静态条码的支付等级最低,日限额为500元。
为什么说新规对手机支付的便捷性没有太大影响呢?首先,静态密码、一次性密码、数字证书、电子签名、指纹等都是央行认可的支付验证方式,同时具备两种以上验证的有效要素,并不是什么难事;其次,在手机端安装数字证书非常简单,仅需要输入身份信息验证即可,目前很多人的支付宝和微信已经安装了数字证书;再次,在安装数字证书的基础上,只要再加上一种验证要素,譬如密码或指纹,即可以实现最高等级的风险防范能力,无限额支付;最后,即使什么都不做,仍保持最低等级,对多数人而言,每天500元的额度也够用了。
显然,做到无限额支付并不难,但这并不意味着多重验证没有意义。从多起盗刷案例不难看出,静态条码的支付方式存在天然风险。也就是说,那种贴在商户玻璃上或商品上让人扫一扫的条码,由于可能被调换等原因,出问题的风险很大。因此,央行新规提倡的是“被扫”,而不鼓励消费者“扫一扫”,日限额500元的做法,也是为了保护消费者的损失不至于太大。另一方面,对数字证书和电子签名重要性的强调,也是为了提高风险防范水平。譬如手机丢失后,即使小偷无法破解手机密码,也可能将手机SIM卡换到另一部手机上,通过获取验证码的方式实现盗刷。不过,小偷由于无法获知失主的身份信息,很难在其他手机上安装数字证书,所以即使泄露了支付密码,失主的损失也会很有限。将支付设备、用户信息和各种验证要素捆绑在一起,支付的安全性必将大幅提高。
在尽量不影响支付便捷性的基础上提高安全性,央行新规的用意正在于此。不仅有必要,而且正当时,这为手机支付又快又好发展指明了方向。