升级网络支付安全验证 央行将从严处罚违规

　　随着移动通信技术和互联网金融的快速发展，银行卡使用安全面临新的挑战。为进一步加强银行卡信息的安全管理，提升支付风险防控能力，近日央行下发《关于进一步加强银行卡风险管理的通知》（下称《通知》）。

　　《通知》从加强消费者个人信息保护角度，重申了对支付敏感信息的安全防护，要求升级银行卡支付的交易验证强度和安全防护手段，采取措施加强支付敏感信息内控管理。并要求各商业银行、支付机构在 2016年9月1日前，对2011年央行下发的个人金融信息保护有关规定的落实情况开展自查，并上报央行。

　　对业内影响最大、也最受网络支付机构关注的，是《通知》要求网络支付机构和银行合作的快捷支付业务如何落实监管要求。《通知》要求，自2016年11月1日起，各商业银行在基于银行卡与商业机构支付机构建立关联联系时，需要多重身份验证，并给出三种具体的指导方式。基本原则仍是“快捷支付由银行验证、实名开户多个外部渠道验证”。

　　其实，前述多重身份验证这一监管要求在此前监管部门下发的“10号文”、 规范非银行支付机构的“43号文”（即去年底央行发布的《非银行金融机构网络支付业务管理办法》）都已多次明确要求。由于快捷支付没有验证银行卡密码，并不需要U盾、口令或网银，安全隐患较大，近年因此造成的网络支付纠纷快速上升。

　　目前，“43号文”已自 2016 年7 月1日起正式施行。但据财新记者了解，大多数支付机构尚未落实前述快捷支付的相关监管要求。

　　值得关注的是，此次《通知》亦强调对违规支付行为从严处罚。《通知》要求严格落实各项银行卡支付的有关规定，加大督察处罚力度。对于违规行为将从严处罚，对于违规情节严重的支付机构，还将按照有关规定调低分类评级机制，直至注销《支付业务许可证》。

　　全面采用“令牌技术”

　　在支付信息安全保障方面，除了重申以往的“严禁留存非本机构的支付敏感信息（包括银行卡磁道、芯片信息、卡片验证码、卡片有效期、卡密码、网络支付交易密码等）、支付通道双向加密”等，《通知》要求各商业银行和支付机构全面应用“支付标记化技术（Tokenization）”——自2016年12月1日起，使用支付标记化技术对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理，并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性，从源头控制信息泄露和欺诈交易风险。

　　Tokenization也被称为“令牌技术”，是国际先进支付技术之一，也是移动支付主要发展方向。2014年，国际支付技术标准组织（EMVCo）发布了Tokenization的技术规范。近年，在国际支付市场，“令牌技术”开发和普及由Visa、万事达、美国运通等国际卡组织逐步推动，从而实现了移动支付安全性与便利性的最佳结合。

　　中国业内和消费者对于“令牌技术”的广泛了解，始于Apple Pay今年2月的高调入华。此前去年12月，中国银联推出的新一代移动支付产品“云闪付”也采用了“令牌技术”。

　　和扫二维码支付相比，“令牌技术”更安全和便捷，最大的优势是个人信息保护。“令牌技术”是通过一个电子令牌把银行卡账号转化一个虚拟账号，由于手机存储的是前述“虚拟账号”信息，主卡信息不会泄漏，支付时不显示真实卡号，有效保护持卡人隐私及支付敏感信息。一旦手机丢失，黑客拿到了这个电子令牌也没有用，金融机构只需要给客户重新分配一个电子令牌，不必重新发卡，大大降低成本，也使得移动支付更安全和便捷。

　　另外，《通知》还重申了强化交易密码保护机制和严格规范收单外包；并再次强调，对于重要支付技术应用、业务创新，至少项目上线之前30日向央行备案，提交项目实施方案、外部安全评估报告等书面材料。