中新经纬客户端12月27日电，中国人民银行于27日发布了《条码支付业务规范（试行）》，该规范自2018年4月1日起正式施行。规范明确指出，支付机构不得利用条码技术进行证券、信贷、融资等业务的操作或以任何形式进行此类活动；此外，银行和支付机构在进行条码支付业务时，必须遵循客户实名制等相关管理规定。

有关工作要求通知如下：

一、严格遵循业务资质及清算管理要求

支付机构若向客户供应依托条码技术的支付服务，必须获得网络支付业务的许可；同时，若支付机构向实体特约商户和网络特约商户提供条码支付收单服务，则需分别获取银行卡收单业务许可及网络支付业务许可。

银行及支付机构在进行条码支付业务且交易涉及跨行时，需借助中国人民银行提供的跨行清算系统或持有合法资质的清算机构来进行处理。自本通知正式发布之后，银行和支付机构不得再增加任何不同法人实体间的直接连接处理条码支付业务；对于现有的业务，应依照中国人民银行的相关规定，尽快转移至合法的清算机构进行处理。

二、规范条码支付收单业务管理

条码支付收单业务涉及收单机构与特定商户签订协议，商户依据协议接受基于条码技术的支付方式，并在与付款人完成交易后，收单机构负责为商户进行交易资金的结算。在提供此服务时，银行及支付机构需遵循《银行卡收单业务管理办法》以及《中国人民银行关于加强银行卡收单业务外包管理的通知》等相关规定。金融机构需强化对条码支付收款环节的管理，切实执行商户身份认证、商户信用评估、交易风险监控等基础规范。对于实体店铺的特约商户，需承担本地化运营和定期巡查的义务；而对于网络店铺的特约商户，则需加强网络支付接口的运用监管和交易监控，并实施有效的审查手段，对商户的经营内容和交易状况进行审核。在进行条码支付业务合作时，银行、支付机构以及外包服务机构需明确外包服务机构的角色定位，强化管理措施，同时严格防范可能出现的业务风险。

三、发挥行业自律作用

银行及支付机构在进行条码支付相关业务时，必须遵守中国支付清算协会制定的行业自律规范。中国支付清算协会需将条码支付合作商户的信息纳入其特约商户信息管理系统进行管理；同时，对于条码支付的外包服务提供商，也应纳入中国支付清算协会的银行卡收单外包服务机构评级体系进行统一管理。对于实名举报涉及违规操作条码支付业务的行为，中国支付清算协会需依据《支付结算违法违规行为举报奖励办法》及其实施细则的相应规定，予以妥善处理。

四、加大监督检查力度

已开展条码支付业务的银行及支付机构需对自身的条码支付业务进行全面审查，涵盖境内、跨境及境外业务，并编制详尽的报告。报告内容应包括但不限于年度业务量统计、产品介绍、业务流程、技术方案、风险管理机制、境内外机构合作状况、资金清算方式、收费标准与利润分配机制、客户权益保护措施、外包服务机构信息及外包范围，以及依据本通知进行的自查情况与整改措施等。截至2018年1月31日之前，全国范围内的各大银行需将相关报告提交至中国人民银行总行，而其他各类银行及支付机构则需将报告提交至各自法人单位的所在地中国人民银行分支行。

银行、支付机构以及清算机构若在创新条码支付业务领域，意图拓展跨境或境外的相关业务，须至少提前30天，向中国人民银行总行或其法人机构所在地的人民银行分支机构进行相应的报告程序。（中新经纬APP）

附：条码支付业务规范(试行)

第一章 总 则

为确立条码支付（以下简称条码支付）业务的规范标准，确保消费者权益不受侵害，并推动条码支付业务持续健康发展，依据《电子支付指引（第一号）》（由中国人民银行公告〔2005〕第23号发布）、《非金融机构支付服务管理办法》（由中国人民银行公告〔2010〕第2号发布）、《银行卡收单业务管理办法》（由中国人民银行公告〔2013〕第9号发布）以及《非银行支付机构网络支付业务管理办法》（由中国人民银行公告〔2015〕第43号发布）等相关法规，特制定本规范。

本规范所指的条码支付业务，系指银行及非银行支付机构通过运用条码技术，所进行的收款人与付款人之间货币资金的转移操作。其中，银行和支付机构分别简称为银行和非支付机构。

条码支付业务涵盖了付款时扫描条码和收款时扫描条码两种方式。付款时扫描条码，即支付者利用移动设备读取收款方展示的条码信息以完成交易。而收款时扫描条码，则是指收款方通过读取支付方移动设备上显示的条码来达成支付过程。

第三条 银行、支付机构开展条码支付业务应遵循本规范。

第四条，支付机构若要从事条码支付业务，必须依照规定获取必要的业务许可证，同时依照相应的管理规范来有序推进业务活动。

第五条 规定明确，支付机构严禁利用条码技术进行证券交易、保险承保、信贷发放、融资活动、理财服务、担保业务、信托管理、货币兑换以及现金的存取等各项经营活动。

第六条 银行及支付机构在进行条码支付业务时，必须遵循客户身份真实性的相关规定；同时，必须遵守反洗钱相关法律法规，切实执行反洗钱及反恐怖融资的职责；并且，依法保障客户以及其他相关方的合法权益不受侵害。

第七条 银行及支付机构应自觉秉持商业道德规范，严禁通过任何途径对其他市场主体的商业信誉进行诽谤，不得使用不正当的竞争策略来排挤对手，损害其他市场主体的利益，同时也要维护市场公平竞争的秩序。

第八条 银行及支付机构需严格执行中国人民银行颁布的技术标准和规范，确保条码支付过程中的交易与信息安全得到充分保障。

第二章 条码生成和受理

第九条 规定，在进行条码支付业务时，银行及支付机构需对客户所使用的账户信息、身份证件编号以及联系电话等数据进行有效关联和管控。

第十条 在进行条码支付业务时，银行及支付机构有权结合使用以下三种要素，以对客户的条码支付交易进行核实：，，。

(一)仅客户本人知悉的要素，如静态密码等；

(二)仅限于客户本人所独有且无法被复制或重复使用的特定元素，例如，那些已经通过安全验证的数字凭证、电子签章，还有那些通过安全途径生成并传输的单次有效密码等。

(三)客户本人生物特征要素，如指纹等。

金融机构在使用相关要素时，必须保证这些要素之间互不干扰，一旦某个要素遭受损害或信息泄露，不应引发其他要素的相似问题。

使用数字证书和电子签名进行身份验证时，必须遵守相关法规要求，对数字证书的生成过程及电子签名的制作进行规范管理，同时要保证数字证书的独一无二性、数据的完整性以及交易行为的不可篡改性。

使用一次性密码进行验证时，必须认真采取措施，防止因密码获取设备和支付指令发出设备为同一物理设备而产生安全隐患；同时，应将一次性密码的有效期限严格控制在最短且必需的时间范围内。

以客户自身生物特征作为验证依据的，必须遵循国家及金融行业的规范和信息安全管理的相关要求，确保其不被非法保存、复制或重播。

第十二条规定，金融机构与支付服务提供商需依据《条码支付安全技术规范（试行）》（银办发〔2017〕242号文件）中关于风险防控能力等级划分的要求，对个人用户的条码支付交易实施额度限制。

风险防范等级为A级，意味着交易验证过程中使用了数字证书或电子签名等至少两种（含）有效验证要素，此时，金融机构可以与客户协商自主设定每日交易累计额度。

若风险防范等级为B级，则须通过至少两类（含两类）不包含数字证书与电子签名的有效验证要素对交易进行核实，对于同一客户的单个银行账户或其所有支付账户，每日的交易总额不得超过5000元。

（三）若风险控制水平评定为C级，意味着交易验证仅依赖于两种或以下要素，那么对于每位客户而言，无论是单一银行账户还是所有支付账户，其每日的交易总额上限应为1000元。

若风险防范等级评定为D级，那么对于采用静态条码支付方式的情况，单个客户在单一银行账户或所有支付账户中，每日的交易总额不得超过500元。

若支付机构向客户的开户银行发出支付指令并从中扣除客户账户资金，则针对该客户在所有银行账户的每日累计交易额，应遵循第十二条所设定的限额规定。

银行及支付机构在提供扫码支付服务时，必须拥有针对性的风险控制手段和健全的客户权益保护流程，于条码生成、识别、支付等关键环节，向客户清晰告知支付风险，并切实采取措施，防止不法分子利用条码植入恶意软件、病毒等手段导致客户信息泄露和资金安全受损。

银行及支付机构在提供收款扫码服务时，必须采用动态条码，并设定条码的有效期限和使用次数等限制措施，以避免条码被多次使用引发重复扣款的问题，从而保障条码的真实性和有效性。

第十六条 银行及支付机构在进行条码支付业务时，所使用的业务系统、客户端软件以及受理终端（包括网络支付接口）等，必须持续满足监管部门的规范和行业标准，以保证条码生成、识读环节的安全性、真实性与完整性。

第十七条 银行及支付机构需严格遵循中国人民银行的相关规定，对支付敏感信息实施严格的内控管理及安全防护措施；同时，需加强交易密码的保护力度；此外，通过应用支付标记化技术等手段，从信息泄露和欺诈交易风险的源头进行有效控制。

第十八条 规定，各银行及支付机构需指派专人负责条码生成系统的操作与维护。条码内容应仅限于当次支付所需的信息，不得包含任何涉及客户及其账户的敏感支付数据。

特约商户所展示的条码，仅适用于包含本次支付相关的商户信息、商品（服务）详情或商品（服务）订单等资料。

移动设备上展示的二维码，严禁嵌入未进行加密处理的用户个人账户数据。

第十九条 规定，银行及支付机构必须保证，条码支付交易须在客户确认或授权的基础上启动，同时支付指令需保证其真实性、完整性以及有效性。

在移动终端完成条码扫描动作之后，必须确保扫码结果显示得既准确又全面，以便顾客能够进行核实。

特约商户的受理终端在完成条码扫描动作后，应当仅展示扫描结果，同时指引用户进行后续操作，严禁展示涉及付款人隐私的支付信息。

第二十条 银行及支付机构需依据条码支付的具体应用场景，依照规定选择恰当的交易类别，精确标注交易细节并全面传输，从而保障交易信息的全面性、真实性以及可追踪性。

交易内容需详尽列出，涵盖以下要素：提供商品或服务的特定商家名称、所属类别及对应代码，交易终端（如网络支付接口）的类型及代码，交易发生的具体时间和地点（包括网络商家的网络地址），交易金额，交易的具体类型及途径，以及交易发起的方式。对于网络商家，还需额外提供订单编号及所使用的网络交易平台名称。

银行及支付机构需在支付交易信息中，利用特定字段来标注该笔交易属于条码支付类型，以便接收方能够准确辨认并实施相应的授权操作。

在支付交易顺利完成之后，特约商户的受理终端以及移动终端需展示支付的具体结果；若支付未能成功，上述终端还需进一步展示支付失败的具体原因。

第三章 特约商户管理

第二十二条 在银行及支付机构推广条码支付合作商户时，必须坚持“知悉客户身份”的基本准则，并务必核实所招募的商户系依照法律规定成立，且在合法范围内进行经营活动。

第二十三条，中国支付清算协会以及清算机构需将条码支付的合作商户纳入到特约商户信息管理系统中，并且实施黑名单管理制度。在银行和支付机构招募合作商户的过程中，必须核实相关信息，一旦发现商户或其法定代表人或负责人在商户信息管理系统中存有不良记录，需谨慎考虑是否提供条码支付服务；严禁将已被列入黑名单的机构或个人，以及由黑名单中个人担任法定代表人或负责人的单位，作为合作商户进行拓展；对于已签约为合作商户的，一旦被纳入黑名单，必须在10天内将其清除出合作商户名单。

第二十四条 在银行或支付机构推广合作商户时，必须严格执行实名认证制度，对合作商户的营业执照等相关证明文件进行严格审查，并对法定代表人或负责人的有效身份证件等申请材料进行核实，确保申请材料的真实、完整和有效，同时需保存申请材料的影印件或副本。

对于根据法律和监管条例不需进行工商注册的特定商户（即小型商户），收单机构需在坚持“了解你的客户”的基本原则下，对商户负责人提供的身份及辅助证明材料进行审核，并据此为其提供条码支付服务。辅助证明资料涵盖但不限于租赁合同、产权证明文件，以及由集中经营场所的管理方提供的证明，这些资料均能展示小微商户真实且合法地进行商品或服务交易活动的实际情况。

同一身份证件在一家收单机构办理的所有小微商户，通过信用卡条码支付每日收款总额不得超出1000元，每月累计收款总额不得超过1万元。银行和支付机构需根据小微商户的风险等级，实时调整交易卡片类型、交易额度以及结算周期等，以增强对小微商户交易活动的监控。

第二十五条 银行及支付机构需与特约商户达成条码支付服务协议，对银行账户的设立与调整、资金清算周期、清算费用标准、错误处理及争议解决等条码支付相关事宜作出规定，并清晰界定双方的权利、责任和义务，以及违约的后果。

第二十六条 银行及支付机构在条码支付协议中需明确，特约商户须在真实商品或服务交易基础上进行条码支付处理；必须按照规定使用支付终端、网络接口及银行结算账户，严禁用于非法活动或协助他人违法；需妥善处理交易数据，保留交易凭证，确保交易信息的安全；不得向客户收取额外费用，亦不得以任何形式降低服务质量。