升級網絡支付安全驗證 央行將從嚴處罰違規

　　隨著移動通信技術和互聯網金融的快速發展，銀行卡使用安全面臨新的挑戰。為進一步加強銀行卡信息的安全管理，提升支付風險防控能力，近日央行下發《關於進一步加強銀行卡風險管理的通知》（下稱《通知》）。

　　《通知》從加強消費者個人信息保護角度，重申了對支付敏感信息的安全防護，要求升級銀行卡支付的交易驗證強度和安全防護手段，採取措施加強支付敏感信息內控管理。並要求各商業銀行、支付機構在 2016年9月1日前，對2011年央行下發的個人金融信息保護有關規定的落實情況開展自查，並上報央行。

　　對業內影響最大、也最受網絡支付機構關注的，是《通知》要求網絡支付機構和銀行合作的快捷支付業務如何落實監管要求。《通知》要求，自2016年11月1日起，各商業銀行在基於銀行卡與商業機構支付機構建立關聯聯繫時，需要多重身份驗證，並給出三種具體的指導方式。基本原則仍是“快捷支付由銀行驗證、實名開戶多個外部渠道驗證”。

　　其實，前述多重身份驗證這一監管要求在此前監管部門下發的“10號文”、 規範非銀行支付機構的“43號文”（即去年底央行發佈的《非銀行金融機構網絡支付業務管理辦法》）都已多次明確要求。由於快捷支付沒有驗證銀行卡密碼，並不需要U盾、口令或網銀，安全隱患較大，近年因此造成的網絡支付糾紛快速上升。

　　目前，“43號文”已自 2016 年7 月1日起正式施行。但據財新記者了解，大多數支付機構尚未落實前述快捷支付的相關監管要求。

　　值得關注的是，此次《通知》亦強調對違規支付行為從嚴處罰。《通知》要求嚴格落實各項銀行卡支付的有關規定，加大督察處罰力度。對於違規行為將從嚴處罰，對於違規情節嚴重的支付機構，還將按照有關規定調低分類評級機制，直至登出《支付業務許可證》。

　　全面採用“令牌技術”

　　在支付信息安全保障方面，除了重申以往的“嚴禁留存非本機構的支付敏感信息（包括銀行卡磁軌、晶片信息、卡片驗證碼、卡片有效期、卡密碼、網絡支付交易密碼等）、支付通道雙向加密”等，《通知》要求各商業銀行和支付機構全面應用“支付標記化技術（Tokenization）”——自2016年12月1日起，使用支付標記化技術對銀行卡卡號、卡片驗證碼、支付機構支付賬戶等信息進行脫敏處理，並通過設置支付標記的交易次數、交易金額、有效期、支付渠道等域控屬性，從源頭控制信息洩露和欺詐交易風險。

　　Tokenization也被稱為“令牌技術”，是國際先進支付技術之一，也是移動支付主要發展方向。2014年，國際支付技術標準組織（EMVCo）發佈了Tokenization的技術規範。近年，在國際支付市場，“令牌技術”開發和普及由Visa、萬事達、美國運通等國際卡組織逐步推動，從而實現了移動支付安全性與便利性的最佳結合。

　　中國業內和消費者對於“令牌技術”的廣泛了解，始於Apple Pay今年2月的高調入華。此前去年12月，中國銀聯推出的新一代移動支付産品“雲閃付”也採用了“令牌技術”。

　　和掃二維碼支付相比，“令牌技術”更安全和便捷，最大的優勢是個人信息保護。“令牌技術”是通過一個電子令牌把銀行卡賬號轉化一個虛擬賬號，由於手機存儲的是前述“虛擬賬號”信息，主卡信息不會泄漏，支付時不顯示真實卡號，有效保護持卡人隱私及支付敏感信息。一旦手機丟失，駭客拿到了這個電子令牌也沒有用，金融機構只需要給客戶重新分配一個電子令牌，不必重新發卡，大大降低成本，也使得移動支付更安全和便捷。

　　另外，《通知》還重申了強化交易密碼保護機制和嚴格規範收單外包；並再次強調，對於重要支付技術應用、業務創新，至少項目上線之前30日向央行備案，提交項目實施方案、外部安全評估報告等書面材料。