【财新网】（记者 张宇哲）酝酿近两年，央行终于发布了有关二维码支付的业务规范。

12月27日傍晚，中国人民银行发布《关于印发<条码支付业务规范（试行）>的通知》，（下称296号文），以及配套技术安全规范文件（《条码支付安全技术规范（试行）》和《条码支付受理终端技术规范（试行）》），自2018年4月1日起实施。这意味着二维码支付这种小额支付的主流方式，终于结束了六年试点，进入统一规范发展阶段。

此前，2011年人民银行同意部分第三方支付机构在限定场景内开展试点。2014年，在未建立有效安全措施、统一的业务规则和消费者权益保护制度的背景下，部分支付机构采取持续补贴的方式广泛推广条码支付业务，被人民银行暂叫停。

不过以支付宝和财付通为首的第三方支付机构，并未放慢推进二维码支付的速度，借助二维码的便捷和低门槛，在全国各地积极布局，二维码支付场景早已延伸至路边的早餐店、水果摊。但由于相关技术标准一直未出台，二维码易复制和被黑客攻击，在条码生成机制和传输过程中仍存在风险隐患，也引发了支付风险案件，监管对于二维码支付的安全性担忧一直存在。

央行有关人士在答记者问中表示，二维码支付借助开放互联网和非专业设备进行交易处理，带来一定的技术风险，包括可视化风险、易携带恶意代码的风险、信息单向交互风险以及扫码设备安全强度低的风险。

此次296号文以及相关配套安全技术规范，正是针对这些风险隐患，填补制度空白。除了重申第三方支付机构必须持牌经营、切断与银行多头直连、遵守跨行清算系规定、不得采用不正当竞争手段等，296号文将二维码支付分为静态条码和动态条码，并采取了交易限额管理，要求发行二维码的银行、支付机构应根据风险防范能力等级，在确保风险可控和尽量满足用户需求的前提下，科学合理设置相匹配的日累计交易限额。

具体而言，将二维码的风险防范能力从高到低分为A、B、C、D四级，风险防范等级越高，单日支付限额就越高。其中，静态条码由于易被篡改和携带木马或病毒，支付风险最高，风险防范等级最低，为D级，无论使用何种交易验证方式，同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额不超过500元。

在央行看来，这一限额可以满足绝大多数的二维码支付需求。有关数据显示，从2015年到2016年，主流支付机构的二维码支付95%以上都在500元以下； 2017年上半年，主流的支付机构条码支付平均金额是108元。

对于动态条码支付，如果采用数字证书或电子签名的两种以上有效要素（如指纹等），风险防范能力A级，单日支付限额不受额度限制，可由银行或支付机构自主约定；如果采用不包括数字证书、电子签名在内的两类（含）以上有效要素进行验证，风险防范能力为B级，单日支付限额为5000元；采用不足两类有效要素进行验证的，风险防范能力为C级，单日支付限额1000元。

目前日常生活中使用最为普遍、风险也最高的是静态条码，很多水果店、餐馆、药店等贴在收银台前让客户“扫一扫”付款的二维码，都是静态条码。

对此，296号文还提出了更具针对性的风险防控措施：一是要求静态条码应由后台服务器加密生成，宜采用防伪纸张展示条码，防伪纸张应具备一定防伪特征；

二是要求展示静态条码的介质应放置在商户收银员视线范围内，商户应定期对介质进行检查；

三是要求静态条码采用防护罩等物理防护手段，避免被覆盖或替换，宜使用防伪标签对防护罩进行标记；

四是要求在静态条码介质显著位置明显展示收款方信息，便于用户核对；

五是通过风险防范能力分级管理，进一步规范使用静态条码，并鼓励使用风险防范能力较高的收款扫码方式。

同时，为促进普惠金融发展，明确在符合相关资质审核和认定的前提下，小微商户可以受理二维码支付；但为了防范套现等交易风险，对以同一个身份证件在同一家收单机构办理的全部小微商户，基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元，但受理基于借记卡的条码支付不受收款额度的限制。

296号文及相关技术规范发布后，腾讯财付通第一时间表示高度认同，并称“也在收集用户和商户的实际需求，同时积极研发新技术以及探索新技术应用于条码支付领域的可行性。”