二维码支付“踩刹车”
“被读”支付模式或迎契机

来源：中国企业报　　作者：本报记者郭奎涛实习记者潘博

二维码支付“踩刹车”“被读”支付模式或迎契机

日前，央行发文暂停了支付宝、腾讯的二维码（面对面）支付业务，与虚拟信用卡可能牵涉到资质问题不同，该业务被暂停主要是出于安全方面的担忧。

“二维码支付作为新生事物，确实在安全方面容易存在一些问题，这是必须规范的。而只有在规范之后，行业才能更好地去大规模地推广。”二维码支付解决方案服务商北京意锐新创公司董事长王越接受《中国企业报》记者采访时表示。

中国人民银行主管的中国支付清算协会常务副会长蔡洪波近日也在某论坛上公开表示，二维码支付的安全性达到了金融支付的标准之后将可能放行。

因安全隐患被央行暂停

央行在文件中指出，将条码(二维码)应用于支付领域有关技术、终端的安全标准尚不明确。相关支付撮合验证方式的安全性尚存质疑，存在一定的支付风险隐患。要求相关公司和央行机构上报该业务的报告材料和监管建议，以便进一步研究。

“二维码正在成为手机恶意程序的新传播载体，对移动支付带来了不小的安全隐患，钓鱼、木马下载等恶意网站转换成二维码后更易隐藏。”360互联网安全中心负责人石晓虹告诉记者，二维码“点对点”的作案，可以直接造成用户的经济损失，危害很大。

根据360互联网安全中心发布的《2013年中国手机安全状况报告》，在去年所有手机恶意程序的传播途径中，包括二维码在内的恶意网址占比17%，通过二维码传播恶意程序的比例增长迅速。

石晓虹认为，一方面是由于二维码应用越来越广泛，扫二维码已经成为很多手机用户的日常习惯，另一方面也是由于多数二维码扫码工具并不具有识别恶意网址的能力，只是简单将二维码翻译成网站地址。这就给恶意程序通过二维码传播创造了更加有利的条件。

产业链缺乏协同方案

对于央行对二维码支付安全的担忧，二维码支付企业腾讯相关人士称，微信“扫一扫”拥有千万量级的恶意网址库，如果用户扫描了来源可疑的二维码，微信会第一时间通过风险警示来提醒用户使用安全。

据悉，就在央行暂停二维码支付前夕，腾讯还发布了亿元扶持计划，主要为直接面对终端消费者的微信公众服务号提供安全支撑，包括使用微信二维码支付以及虚拟信用卡的消费者和开发商。

360等安全厂商也推出了针对恶意二维码的查杀功能。

不过，石晓虹认为，“二维码支付涉及商家、支付体系和平台、恶意网站等多方面，安全问题不光是一个技术问题，其更偏向于诈骗行为，各家独立的解决方案很难全面地对恶意二维码进行打击。这需要产业链各方共同协作，形成合力，严厉打击这种违法犯罪行为。”

具体来说，包括监管部门完善法律法规，提高不法分子的违法成本，支付企业应该完善支付体系，对不正常的支付行为进行有效追溯和监控，安全厂商则作为恶意网站的搜集，及时查杀用户可能扫描到的恶意网站等等，这需要建立完善的行业安全标准。

“二维码在各行业的安全标准都在探索，其中有些行业如中国移动、制造业、物流、电力等，已经初步完成了。唯独支付行业和金融行业，因为刚刚发展起来，还没有建立起来。”王越表示，意锐新创已经与上下游就此进行过沟通探索，愿意将所获得的经验与行业进行分享，更期待政府监管部门尽快出台行业规范标准。

“被读”支付模式探索

“央行暂停二维码支付是有根据的。现行的POS机支付，用的是独立的设备、独立的网络，多年来建立了完善的安全体系，实践证明也是非常安全的。不能因为二维码一时的便利，就忽略了其在安全上的瑕疵，而完全丢掉了POS机消费。”王越表示。

在王越看来，二维码支付具有便捷性，POS机支付则具有安全性，完全可以将二者结合起来，探索一种嫁接在POS机之上的二维码支付，通过POS机扫描二维码来划款，而现行的用户通过手机扫描二维码直接付款要谨慎。

实际上，这就是王越一直在探索并正在试点的，让二维码支付从“主读”模式转变为“被读”模式。前者是指用户主动通过手机去扫描商家或者个人的二维码支付，后者是指用户被动地让扫码设备（主要是POS机）扫描自己的二维码实现支付。

王越认为，“被读”支付模式情况下，因为POS机系统是安全的，就避免了用户可能扫描到恶意二维码的风险；而且POS机等扫描设备都是固定的、有备案的，便于管理，更便于事后追责。“一句话，管住收款方，用户的资金就不会随意被骗了”。

根据《中国企业报》记者观察，目前，二维码支付在个人对个人领域主要是主读模式，个人对商家领域也有部分（如支付宝钱包）是主读模式，即商家将应收账款制作成二维码供用户手机扫描完成支付。