“升級版”二維碼支付問世 到底不同在哪？

　　銀聯二維碼支付標準于12日正式發佈。相較於此前已經在市場上展開運用的二維碼支付業務，有市場人士把這一標準的二維碼支付稱為“升級版”，也有人説這意味著二維碼支付“合規化”。

　　本期“愉見財經”就來解讀，這“升級版”到底與原來的産品不同在哪?

　　此次發佈的銀聯二維碼支付標準包括《中國銀聯二維碼支付應用規範》、《中國銀聯二維碼支付安全規範》兩個標準。

　　基於傳統“四方模式”

　　第一個不同點是，消費者在使用“升級版”二維碼支付時，每筆付款都會從其某個銀行賬戶裏支出，而原本的二維碼支付，只要他的虛擬“錢包”(比如微信錢包，亦即非銀行支付賬戶)裏有足夠的餘額，此單支付完全不必調用銀行卡。

　　消費者可能覺得這沒有什麼大不了。但對於銀行卡産業而言，這背後是江湖之爭。同時，非銀行賬戶（也有人稱此為“虛擬賬戶”）裏的資金沉澱，或也事關風控問題。

　　“升級版”的二維碼支付，只在於它的前端使用的支付信息交互方式是通過掃碼實現的，但後臺，走的還是和原來實體銀行卡支付一模一樣的流程——這就意味著從銀行卡産業各方分業務“大蛋糕”的角度而言，“升級版”二維碼支付仍然是基於傳統的“四方模式”，也就是持卡人、商戶、商業銀行和轉接清算機構都在裏面。

　　這種模式裏，轉接清算機構不過是個“平臺”，既不能拋開銀行單幹、也不與發卡機構或收單機構爭利。“産業鏈”裏是多方分利潤，發卡、清算、收單各方按照“96費改新規”裏定的標準各取其成。

　　除了賺取手續費，還有金融機構最在乎的“大數據”。“升級版”二維碼支付模式正因為仍舊基於銀行卡賬戶，因此中間沒有非銀行賬戶介入，對發卡行而言，消費者在哪掃碼、花了多少錢買了什麼，數據透明完整，盡在掌握。當然換個角度説，這也有利於銀行進行風險識別管控和客戶關係管理。

　　而此前互聯網金融機構係的二維碼支付模式，這中間都有一道非銀行賬戶。比如支付寶和微信支付(借助“財付通”)，本身都是基於第三方收單牌照而衍生開發出來的一系列産品，並且利用與一家一家銀行談下來的直連通道關係，直接在支付過程中做完了轉接清算，所以“滴”一聲掃碼背後，是“四方模式”裏的傳統清算機構先被拋出。

　　再看支付的資金如何轉移。錢，並不是從A銀行賬戶轉到B銀行賬戶的，而是從消費者的銀行賬戶轉到消費者在這家互聯網支付機構的非銀行賬戶裏頭，比如轉到微信錢包裏，再由微信支付轉到它自己體系裏的另一個非銀行賬戶，也就是商家賬戶，然後再由商家提現到自己的銀行卡裏。當然這已經是最簡流程了，實際操作中，我們的非銀行賬戶裏是會留存資金的，沒準一會還要去發幾個紅包呢是不是?有的互聯網支付機構還會和理財賬戶打通，來來去去做著“T+0”。

　　所以，原本的二維碼支付模式，很顯然是一個支付“閉環”，這點和“升級版”的開放體系並不一樣。除了傳統清算機構被拋出以外，商業銀行也有被邊緣化的趨勢：一來，一掃碼就意味著把線下場景搬去了線上支付，在發改委的刷卡手續費指導價格都難以指導到的線上定價，基本上是互聯網支付“雙寡頭”説了算，多數銀行議價能力並不強;二來，銀行也難以對消費者的筆筆交易都清晰介入。如前文所及，他們丟了原本想要的客戶“數據”，不能畫客戶“肖像”不便於綜合開發優質客戶了，也不便於對這些支付進行風險管理。

　　其實，我們作為持卡人，從帳單上就能管中窺豹。核對信用卡帳單會發現，除個別叫板能力特別強的銀行外，絕大多數銀行的帳單上，用支付寶或微信支付完成的交易，帳單都只記錄到支付寶或微信，上頭沒有最後去向的商戶名。不止持卡人看不到，銀行們也兩眼一抹黑。支付寶和微信支付的二維碼的背後，玩得是在他們自己賬戶體系內的“轉存”。

　　所以，換言之，“升級版”二維碼支付也意味著掃碼支付市場迎來的巨頭新玩家，市場也將由目前第三方支付機構為主且雙寡頭競爭的格局進入由十余家全國性銀行、銀聯、多家第三方支付機構共同參與的多頭競爭階段。

　　掃碼裝了安全“令牌”

　　第二個不同點，是“升級版”二維碼支付採用了Token(支付標記化)技術，業內也常常把支付處理過程稱的Tokenisation形象地譯成“令牌化”。銀聯相關業務負責人表示，這是對此前二維碼支付存在的木馬等安全隱患、對持卡人賬戶敏感信息洩露引起盜刷風險的一種防範。

　　怎麼理解這道“令牌”?最點睛的一筆是，通過這種安全機制，消費者的銀行卡號是先被替換後，再行支付的，每次支付時可以做到替換成不同數串。所以木馬病毒即便要竊取信息，也無非是竊得這個替代了銀行卡號的Token，就像偷了件沒啥大用場的“馬甲”而已。

　　EMVCo國際組織安全專家周皓在接受一財網記者採訪時介紹稱，Token和卡號不會同時用於交易路由判讀，採用了Token技術後，商戶和收單機構手上也只存有Token，實現了對持卡人卡號信息的保護。而掌握Token和卡號綁定關係的機構是TSP（Token服務提供方），其管理方是卡組織或者發卡銀行，它負責Token的發行與驗證，為從Token到卡號的還原提供相關的驗證服務，重點是對交易金額的控制。

　　周皓還表示，依據人民銀行近期發佈的《中國金融移動支付 支付標記化技術規範》，開放式Token的外在形式並沒有什麼變化，仍然是16至19位數字，包括三部分：標記發行機構識別碼、自定義字段與校驗碼，與銀行卡卡號組成類似，，同樣擁有失效期，因此商戶以及收單機構不需改造系統就可以處理開放式Token。

　　此前的二維碼支付，由於還沒有統一的安全認證標準，在交易信息安全保障上更多地依賴支付企業自身的風控水準，但支付企業的風控水準是參差不齊的，市場上出現“雙寡頭”後，再要全面推行二維碼支付就困難了。“升級版”的二維碼支付給出了統一標準，給更多玩家入局提供了平臺。

　　在這一點上，上述銀聯相關業務負責人告訴一財網記者，“升級版”二維碼做到了在相同場景下技術模式統一，可以實現不同機構之間的業務互聯互通，也確保用戶使用體驗的一致性;同時，“升級版”二維碼還相容相關國際標準，預留技術擴展性。看來這二維碼以後不僅會在境內推廣開來，還會和境外二維碼支付跨境互通。（夏心愉）