近日,人民銀行釋出《條碼支付互聯互通技術規範》(以下簡稱“《規範》”)。《規範》按照“統一通用、便捷友好、安全可控、相容幷蓄”原則,在切實保障使用者資訊與資金安全前提下,規定了條碼支付互聯互通的編碼規則、報文要素、安全要求等內容。
簡單來說,《規範》的主要任務是統一各家條碼支付的技術格式,而不是明確如何實現互聯互通。
在發碼機構的要求上,《規範》明確是支付資訊透過Token(d)生成Token(t),並將其展示成付款碼的銀行業金融機構、非銀行支付機構。
在編碼規則上,《規範》均對收款碼和付款碼有支付標記化要求,收款碼則需要區分靜態和動態碼。
付款碼的生成應符合條碼支付國家及行業相關標準規範的安全要求。付款碼編碼應滿足以下要求:
a)編碼總長度在13位至34位。
b)使用符合JR/T 0149(《中國金融移動支付支付標記化技術規範》)要求的支付標記化技術生成付款碼。
c)付款碼應包含可識別賬戶管理機構的資訊。
收款碼方面,應採用“協議標識://域名/自定義資料”的編碼結構:
協議標識用於金融行業條碼支付的互聯互通,應採用安全協議,如https或其他安全級別不低於https的專用協議。協議標識不區分大小寫。
域名具備唯一性,應採用多級域名,宜採用三級域名。其中:
a)二級域名為轉接清算機構或收單機構標識。
b)三級域名為自定義域名。
自定義資料根據具體情況而定,區分大小寫,可採用加密或支付標記化等技術進行保護。若二級域名為轉接清算機構標識,自定義資料應包含可識別收單機構的資訊。
自定義資料應明確標識靜態收款碼和動態收款碼。靜態收款碼的自定義資料應包含商戶標識,動態收款碼的自定義資料應包含訂單標識。收款碼整體長度控制在500位元組以內。宜設定風險防控、合規管理相關自定義域段,防範條碼商戶經營地址(註冊地址)、交易限額等支付交易資訊被偽造篡改。
在主要的資料收集方面,無論是收款掃碼還是付款掃碼都需要收集位置資訊,具體資料元細目為經度資訊與緯度資訊。
這一要求與《中國人民銀行關於加強支付受理終端及相關業務管理的通知》(銀髮〔2021〕259號)中,對條碼支付需要明確其交易位置資訊的要求相呼應。而且是在收付款雙重維度,瞭解位置資訊。
在安全要求方面,《規範》要求,不得留存非本機構的支付敏感資訊,確有必要留存的,應取得客戶本人及賬戶管理機構的授權後再進行不可逆變換或加密,並定期開展支付敏感資訊保安的內部審計。
移動支付網注意到,相比《規範》送審稿,除了引用檔案、參考文獻緊跟最新發布的規定。正式稿完全去除了對技術架構的要求,而更加聚焦基礎的名詞定義與技術規範。
《規範》送審稿中條碼支付互聯互通技術架構圖
此前《金融科技(FinTech)發展規劃(2019-2021年)》要求,推動條碼支付互聯互通,研究制定條碼支付互聯互通技術標準,統一條碼支付編碼規則、構建條碼支付互聯互通技術體系,打通條碼支付服務壁壘,實現不同App和商戶條碼標識互認互掃。
本次《規範》的釋出,在標準和規範上對條碼支付互聯互通進行支援,對條碼支付互聯互通的推進具有里程碑意義。
