移动支付属于电子支付方式的一种,因而具有电子支付的特征,但因其与移动通信技术、无线射频技术、互联网技术相互融合,又具有自己的特征。
可移动性是移动支付区别于其他支付方式的最明显的特点。随身携带的移动性,消除了距离和地域的限制,结合了先进的移动通信技术的移动性,随时随地获取所需要的服务、应用、信息和娱乐。除了用户睡眠时间,移动设备一般伴随在用户身边,其使用时间远高于电脑端。用户只要申请了移动支付功能,便可足不出户随时随地完成整个支付与结算过程。交易时间成本低,减少往返银行的交通时间和支付处理时间。
集成性是移动支付的又一特点。以手机为载体,通过与终端读写器近距离识别进行的信息交互,运营商可以将移动通信卡、公交卡、地铁卡、银行卡等各类信息整合到以手机为平台的载体中进行集成管理,并搭建与之配套的网络体系,从而为用户提供十分方便的支付以及身份认证渠道。
国外移动支付的快速发展给中国市场展示了该服务的美好前景。移动运营商尝试性地推出了一些移动支付服务,如彩票的投注、自动售货机的零售商品的购买、E-mail服务费的代收等。但是,刚刚开始涉及移动支付业务,因此,这个时期的移动支付市场还是一个业务导入阶段。
国外移动支付技术的不断改进,进一步提高了该服务的安全性和便捷性。同时,国内的物理基础(移动通信网络及其他相关技术)也在不断改善,越来越多的银行和移动运营商合作,在更多地区、更多领域开展该服务。互联网用户和移动用户的普及率提高、网上支付以及移动增值业务的快速发展,为该服务奠定了良好的产业环境。这个时期的移动支付市场是地域扩展阶段。
2007—2009年产业主导者不清晰,金融机构和移动运营商议价能力相当有限,产业实际投入力度比较低。用户体验较差,因为国内信用体系和安全保障问题并未得到实质性解决,用户通过移动支付购买的物品和服务并不丰富,并没有带来真正的便捷。尽管如此,但电子商务的普及以及人们对于消费支付新的需求,这个时期移动支付市场的规模增大还是十分惊人的。这个时期是移动支付产业的规模成长期。
在日益激烈的竞争压力下,移动运营商和金融机构为了增强业务吸引力,纷纷拓展更广泛的服务内容和支付通道。3G网络覆盖区域的扩大和网络优化的持续,移动支付服务内容的不断丰富,加之以不断改善的硬件环境,用户体验不断提升,越来越多的用户开始使用该服务;同时,早期进入该市场的第三方支付平台和服务提供商(SP)的成功吸引了越来越多的参与者。监管政策的完善、商业模式的创新有效地平衡了价值链上各方的利益,促使价值链的良性发展。
根据移动支付的距离远近,移动支付可分为近场支付、远场支付以及连接线上与线下的O2O(On-line to Off-line)移动支付模式。远场支付主要有网上购物支付、各种缴费等,而近场支付主要用于交通支付、超市购物等。而O2O移动支付模式则是介于近场支付与远场支付之间的一种移动支付模式,既包括了远场支付(如网上团购),也包括了近场支付(如自动售货机购物),主要目的在于通过支付实现线上与线下的闭环,典型代表为扫描支付。
另外,根据移动支付的提供主体,可以分为银行主导的移动支付(如M-Pesa、翼支付)和第三方支付公司主导的移动支付,如支付宝的“碰碰刷”、微信支付。这里重点讨论按移动支付的距离远近分类的移动支付模式。
近场移动支付是指消费者在购买商品或服务时,即时通过手机向商家进行支付的一种支付方式。支付的处理在现场进行,使用手机射频(NFC)、红外、蓝牙等通道,实现与自动售货机以及POS机的本地通信,如用手机刷卡的方式乘车、购物等。
近场移动支付主要基于如下技术。一是LBS技术,指基于位置的服务,是由移动网络和卫星定位系统(GPS)结合在一起提供的一种增值业务。利用移动网络与移动终端的配合,来获取移动终端用户的位置信息。二是NFC技术,指近场通信。三是RFID,指射频识别技术,如翼支付的RFID-UIM卡,它是一种具有无线射频功能的手机卡。此外,近场支付还有红外线、蓝牙等技术。
近场移动支付大部分情况可以离线交易,不需要联网。典型代表如NFC移动支付(谷歌钱包)。如果是基于LBS技术的近场支付,则需要网络来配合,典型代表如支付宝的“碰碰刷”,用户双方同时“摇一摇”手机,就能找到对方账号并进行快速支付,不再需要手动输入对方支付宝账号。当然“碰碰刷”也可以通过NFC技术“滴”一下,即可找到对方,前提需要双方手机都具有NFC功能。
此外,近场支付还有红外线、蓝牙等技术,但蓝牙和红外线普及程度不及NFC,原因有以下几点。一是蓝牙和红外线支付在手机没电的情况下,无法进行支付,而NFC支付则依然可以完成。二是蓝牙建立连接时间较长,红外线则对视距要求比较苛刻,而NFC支付建立连接则方便快捷。三是与RFID技术相比,NFC具有距离近、带宽高、能耗低等特点,同时NFC技术增加了点对点通信功能,通信的双方设备是对等的,而RFID通信的双方设备是主从关系。
近场支付(联机消费)交易流程如图2.5所示。
图2.5 近场支付(联机消费)交易流程
近场支付(联机消费)交易流程如下所述。
(1)用户在商户店内选择商品或服务。
(2)用户到商户收银台结账。
(3)商户在现场受理终端(POS)上输入消费金额,通过近场通信技术向移动终端/智能卡发起账户信息读取请求。
(4)移动终端/智能卡将账户信息发送给现场受理终端,现场受理终端发送支付请求指令给交易系统。
(5)交易系统发送账户扣款请求给账户系统。
(6)账户系统收到扣款请求后,进行用户账户鉴权,返回扣款确认信息。
(7)交易系统返回支付确认信息给受理终端。
(8)完成结账过程。
近场支付(脱机消费)交易流程如图2.6所示。
图2.6 近场支付(脱机消费)交易流程
近场支付(脱机消费)交易流程如下所述。
(1)用户在商家店内选择商品或服务。
(2)用户到商户收银台结账。
(3)商户在现场脱机受理终端(POS)上输入消费金额,通过近场通信技术向移动终端/智能卡发起账户扣款请求。
(4)移动终端/智能卡收到扣款请求后,进行扣款的鉴权,通过后直接在其离线钱包中扣款,并返回扣款应答给受理终端。
(5)用户完成支付过程。
(6)脱机现场受理终端定时上传交易数据,第三方支付机构每日与特约商户对账。
(7)第三方支付机构的结算部门按照商户的结算周期,根据系统的结算数据,向银行发送付款请求。
O2O移动支付是连接线上与线下进行的移动支付,典型代表如二维码扫描支付,基于LBS技术的移动支付。如果看见心仪的商品,只需扫一扫二维码,用手机完成支付后即可取走商品,这就是扫描支付,完全自主化。二维码扫描支付可以实现近场支付(自动售货机购物等),也可以实现远场支付(团购等),目前二维码扫描是连接线上与线下的主要纽带。
O2O移动支付也可以用手机刷卡器来完成,手机刷卡器是通过手机音频口与手机连接的移动配件(能够识别不同的IC卡)。这种终端不仅可以实现远场刷卡,也可以完成近场支付。
此外,Facebook推出的Autofill的移动支付信息自动输入功能,使线上与线下的“互动”变得更加便捷。其运作原理如下:如果用户曾在Facebook上使用信用卡购买商品,那么用户的信用卡信息将会被记录。当用户再使用Facebook账户购物时,系统将会自动导入其信用卡信息,使购物更加方便快捷。
目前,大多数移动支付表现为远场支付。远场支付是指通过发送支付指令(如网银、电话银行、手机支付等)或借助支付工具(如通过邮寄、汇款)进行的支付方式。典型代表如微信支付、手机银行支付、短信支付、语音支付以及支付宝支付。远场移动支付可以通过如下几种模式来实现:一是客户端模式;二是内嵌插件支付模式;三是手机刷卡器模式。
需要说明的是:上述三种分类方法,并没有严格的界限,有些支付方式,既可以实现近场支付,也可以实现远场支付,还可以是O2O移动支付。同时上述三种移动支付模式的密切组合,可以实现近场近付、近场远付、远场远付。
目前,移动支付的主要问题是标准不统一。比如,国内三大运营商建立了各自的移动支付可信服务平台(Trusted Service Manager,TSM),提供不同行业的支付应用(例如金融、公交);中国银联与部分商业银行也建设了TSM,向合作的运营商提供金融支付应用。
远场支付交易流程如图2.7所示。
图2.7 远场支付交易流程
远场支付交易流程如下所述。
(1)用户通过移动终端的客户端在支付内容平台订购商品或服务。
(2)支付内容平台向移动支付交易系统提交订单。
(3)用户通过移动终端向移动交易系统发起支付请求。
(4)移动支付交易系统接收用户支付请求,检查用户的订单信息,向账户系统发起扣款请求。
(5)账户系统接收扣款请求并对用户账户信息进行鉴权,鉴权通过后完成转账付款并发送扣款确认信息给支付交易系统。
(6)支付交易系统将支付结果通知支付内容平台。
(7)支付内容平台向支付交易系统返回支付结果确认的应答。
(8)支付交易系统为客户端返回支付成功确认,完成交易流程。
产业链就是由几个具有互补性的企业联合起来向客户提供服务的商业模式。移动支付业务的发展涉及不同的政府主管部门和不同的产业群体,其产业链的构成也较为复杂。移动支付产业链(见图2.8)由移动运营商、设备制造商、SIM卡供应商、手机供应商、移动支付服务提供商(或移动支付平台运营商)、系统集成商,商业机构、内容提供商、银行和信用卡组织等金融机构以及客户等构成。这些成员紧密合作、优势互补,形成了利益共享、风险共担的链条关系。显然,只有建立并不断完善产业链,移动支付业务才能获得健康的发展,产业链上的各个环节才能在合作中实现共赢。
图2.8 移动支付的产业链
移动通信运营商的主要角色是搭建移动支付平台,为移动支付提供通信渠道。移动运营商掌握着用户资源,是连接金融机构、服务提供商以及商家和用户的重要通道。目前,国内的移动运营商主要是中国移动、中国电信和中国联通。移动运营商是移动支付的第一环节,在整个支付中起到了关键性的作用。在移动支付业务中,移动运营商的收益来源主要有三个方向:第一,服务提供商向移动运营商缴纳的使用费用;第二,用户使用SMS、WAP方式进行移动支付时,运营商对数据流量进行收费;第三,移动支付业务可以带动用户产生更多的数据业务需求,从而进一步加大增值业务的使用量。
在移动支付产业链中,银行不可避免地占据领导地位。在结算方面,用户还是更加依赖银行,而不是移动运营商,同时,银行拥有交易清算的经验和强大的数据支撑平台。而银行独自开展移动支付业务也有一定的困难,并且会引起产业链中其他参与方的不满。因此,银行同其他参与方如何合作并建立合理的利益分配机制将是影响移动支付产业链的关键。
移动支付设备提供商在移动支付整个产业链中基本上处于下游。随着移动支付业务内容和实现方式的不断进步,用户对支持移动支付的新系统设备、终端、应用软件等的需求也不断增加。而移动支付又是一种技术驱动型的产业,因此,硬件设备制造商和软件开发商将成为移动支付的积极推动者。
设备制造商为移动运营商提供移动通信系统,为用户提供支持移动支付的终端设备,并且同时提供移动支付业务的解决方案。随着移动支付业务的发展,越来越多的设备制造商将和移动通信运营商结成伙伴关系,生产定制设备和终端。
在移动支付应用中,需要构建包括支付网关、客户钱包、商家账号和结算系统等组成的移动支付服务系统,它需要提供两方面的接口,一是与移动通信网络挂靠的终端设备识别与管理;二是同银行等挂靠的业务接口与管理。这些功能需要由移动支付服务平台来提供。第三方移动支付服务提供商在移动支付产业发展的进程中具有非常重要的作用。移动支付服务提供商可以整合产业链的资源,在移动运营商和银行之间建立桥梁,并最终向商家和消费用户提供移动支付服务。
商家是移动支付产业链中比较微妙的一环。商家是与用户发生交易的主体,无论是移动运营商和银行都无法绕开商家独自建立产业链。商家的类型是多种多样的,可以是商场、电影院、超市,也可以是网站、电影院等。商家的主要作用在于通过部署便捷的移动支付终端,减少支付的中间环节,提高用户满意度,从而扩大移动支付的使用范围。
用户是移动支付服务的最终使用者,他们的使用习惯和接受程度是决定移动支付产业发展的重要因素。从业务使用的角度看,我国目前移动支付业务中使用次数最多的业务是小额支付,但是同银行卡绑定的相关业务在未来几年具有相当的增长潜力。因此,移动支付的提供者需要把握用户的需求,在终端上提供方便的互动操作界面,在扩大小额支付业务的同时,在系统设计上提供开放的接口,从而为移动金融增值服务提供方便的集成功能。
移动支付涉及移动通信、互联网、电子商务以及金融行业等,具有明显的跨行业的技术特点。在业务发展初期,不同的行业推出各种解决方案,系统架构和账户体系也有所不同,本章在充分研究目前业界流行的体系架构的基础上,归纳出适合业务发展的移动支付系统架构。
移动支付从本质上讲就是买方为了获取卖方的某种商品或者服务,通过电子化的渠道,将买方的资金安全地转移给卖方的商业行为。移动支付系统的核心是账户之间资金的安全转移,因此,移动支付的系统架构应该围绕账户体系,结合移动支付的基本特点进行构建,如图2.9所示。
图2.9 移动支付的系统架构
移动支付系统架构以账户体系为核心,由移动终端/智能卡、远场支付的客户端/UTK菜单/Web/短信/IVR、近场支付的现场受理终端、支付接入系统、支付内容平台、商户管理门户、交易系统、清/结算系统、支撑系统等部分组成。
移动终端/智能卡,特指移动支付用户持有的设备,主要包括手机、PDA、移动PC、RFID智能卡等设备,用户使用移动终端/智能卡完成支付业务。移动支付与其他支付方式的不同之处在于生成及获取支付信息的源头是移动终端。
在远场支付中,用户通过手机上的支付客户端、智能卡上的UTK菜单、短信、IVR等方式实现商品选购、订单支付等功能。
在近场支付模式下,用户在商户的经营场所(超市、商场等)内选定商品后,或者在乘坐公交、观看电影时,持带有RFID功能的移动终端/智能卡,通过现场受理终端进行刷卡,完成支付和认证功能。
用户通过移动终端或者智能卡接入移动支付平台的统一入口,完成支付环节的处理。移动支付接入系统作为用户设备和平台的一道安全屏障,保障了移动支付平台和账户资金的安全。移动支付接入系统主要包括近场支付的POSP接入平台,远场支付的Web门户服务器、短信接入服务器、IVR语音接入服务器。
支付内容平台是在支付过程中提供内容或服务的系统,不局限于无线通信渠道,例如,用户通过PC、互联网渠道也可以使用支付内容平台的服务。提供支付内容平台的机构可以是商城、B2C商户、专营的第三方公司、校企服务公司、便民服务公司、公交公司等。
商户管理门户是支付内容提供商接入移动支付平台的统一入口,也是商户访问支付平台的统一门户,通过该门户,商户可以完成管理账户,查询交易订单,申请支付接入等功能。
交易系统是完成支付交易流程的基本事务处理系统,通过接收支付接入系统的支付请求,完成订单处理和账户资金的流转等功能。
清/结算系统主要完成交易订单的对账和资金清/结算功能。其中,对账包括与商户应用系统的对账、与金融机构的对账等。结算管理模块根据指定的分成方案和结算规则对交易日志进行结算,产生相应的结算数据。结算数据包括与商户的结算数据、与银行的结算数据,根据这些结算数据运营商完成与各个部分之间的资金划拨。
支撑系统主要包括用户的开/销户管理、RFID智能卡制卡/发卡、业务统计等。
账户体系分为5种类型,包含国库单一账户、直接支付专户、预算外资金财政专户、零余额账户、特设专户。国库单一账户由财政部门在中国人民银行开设,按收入、支出设置分类账,收入账按预算科目进行明细核算,支出账按资金使用性质设立分账册,用于记录、核算和反映纳入预算管理的财政收入和支出活动。直接支付专户包括政府采购资金专户和财政性基建资金专户,是由财政部门按资金使用性质在商业银行开设,政府采购资金专户用于记录、核算和反映纳入政府集中采购范围内的政府采购项目的支出活动;财政性基建资金专户用于记录、核算和反映财政性基建资金的支出活动。预算外资金财政专户由财政部门在商业银行开设,按收入和支出设立分类账。收入账和支出账均按预算单位设立分账户,用于记录、核算和反映预算外资金的收入和支出活动,并用于预算外资金日常收支清算。零余额账户由财政部门在商业银行为预算单位开设,用于财政授权支付和清算。特设专户经上级人民政府和财政部门批准或授权财政部门开设,用于记录、核算和反映财政部门及预算单位的有关特殊专项支出活动,由国库单一账户或预算外资金财政专户支付。
以移动运营商为主体的运营模式的价值链主要是以移动运营商为核心来管理手机支付价值链上游和下游企业的协调发展。用户用于支付自己消费的产品或服务的资金主要是从手机费用中扣除,一般金额比较小。具体的商业模式框架如图2.10所示。
图2.10 以移动运营商为主体的运营模式
模式特点:银行不参与支付活动,用户直接与移动运营商接触;技术成本比较低;移动运营商需要承担金融机构的责任和风险。
以银行为主体的运营模式以银行推出的业务为核心来推动产业价值链的发展,移动运营商处于价值链的下游,以信息服务商的身份出现,不参与支付活动。在该模式下,手机用户可以直接登录所在的银行账户进行交易。但用户必须支付三方面的费用:由移动运营商收取的数据流费用;由银行收取的数据费用;由银行、移动运营商、支付平台共同平分的服务费用。目前,商业银行已开展了手机支付业务,用户可以利用手机登录办理查询、转账以及缴费业务。具体的商业模式框架如图2.11所示。
图2.11 以银行为主体的运营模式
模式特点:各银行只能为自己的顾客办理业务,不受理跨行客户的支付业务;移动服务商为服务提供商,只提供信息的传递,不参与资金的流动;一旦用户转换到其他银行或者改变手机终端,都需要支付较大的转换成本。
在以第三方支付服务提供商为主体的运营模式中,第三方支付服务提供商作为单独的经济实体处于产业链的核心环节,移动运营商和银行只是作为合作伙伴存在。第三方支付服务提供商的收益主要来自两个部分:一是向运营商、银行和商户收取设备和技术的使用费;二是与移动运营商以及银行就用户业务使用费进行分成。具体的商业模式框架如图2.12所示。
图2.12 以第三方支付服务提供商为主体的运营模式
模式特点:产业价值链的结构比较灵活,第三方支付服务提供商可以与不同的银行成为战略伙伴,该模式下的顾客可以从属于不同的银行,且银行之间也是互联的;用户与银行之间的服务变得很简单,且价值链上的企业之间责、权、利明确。但该模式对第三方支付服务提供商的资金运转能力、市场管制能力、客户管理能力等要求比较高,否则整个价值链有可能会处于瘫痪状态。
银行与移动运营商合作的运营模式的核心是银行和移动运营商,它们共同参与用户资金支付活动。在银行与移动运营商合作的运营模式的运行下,银行和移动运营商各自发挥自己的优势来保证移动支付技术的安全和信用管理,使交易能够顺利、正常的进行。具体的商业模式框架如图2.13所示。
图2.13 银行与移动运营商合作的运营模式
模式特点:移动运营商和银行可以用更多的时间和精力来研发自己的核心技术,通过优劣互补来增强产业价值链的竞争力,带动上游和下游企业健康运营;在信息安全、产品开发和资源共享方面更加紧密;与移动运营商结成战略联盟的银行可以是多个不同的银行机构。
1)二维码的概念
二维码是相对于一维码来说的,比如,以前的条形码就是一个“一维码”。二维码由日本工程师原昌宏于1994年发明,当初主要是为了解决制造业和物流业的产品管理问题,因为二维码比条形码具有更大的信息量和抗污损性能等。
二维条码/二维码(2-dimensional bar code)是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的。在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”“1”比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图像输入设备或光电扫描设备自动识读以实现信息自动处理。
在许多种类的二维条码中,常用的码制有:Data Matrix,Maxi Code,Aztec,QR Code,Vericode,PDF417,Ultracode,Code 49,Code 16K等。其中,QR(Quick Response)Code是被广泛使用的一种二维码,我们平时所说的二维码就是QR Code,它比传统的Bar Code条形码能存更多的信息,也能表示更多的数据类型。
2)QR码结构
二维码QR Code本质上是个密码算法。首先,二维码存在40种尺寸,尺寸又被命名为Version。尺寸与Version存在线性关系:Version 1是21×21的矩阵,Version 2是25×25的矩阵,每增加一个Version,尺寸都会增加4,故尺寸(Size)与Version的线性关系为:
因Version的最大值是40,故尺寸的最大值是(40-1)×4+21=177,即177×177的矩阵。
二维码结构如图2.14所示。
二维码的各部分都有自己的作用,基本上可分为定位、功能数据和数据内容三部分。定位图案:位置探测图形用于标记二维码矩形的大小。用三个定位图案即可标识并确定一个二维码矩形的位置和方向了;位置探测图形分隔符用白边框将定位图案与其他区域区分;定位图形用于定位,二维码如果尺寸过大,扫描时容易畸变,定位图案的作用就是防止扫描时畸变的产生;校正图形用于对齐图案,只有在Version 2及以上才会需要。功能数据:格式信息存在于所有尺寸中,存放格式化数据;版本信息用于Version 7以上,需要预留两块3×6的区域存放部分版本信息。数据内容用于存储数据码和纠错码等剩余部分内容。
3)QR码的特点
一是存储大容量信息。传统的条形码只能处理20位左右的信息量,与此相比,QR码可处理条形码的几十倍到几百倍的信息量。另外,QR码还可以支持所有类型的数据,如数字、英文字母、日文字母、汉字、符号、二进制、控制码等。一个QR码最多可以处理7089字(仅用数字时)的巨大信息量。
图2.14 二维码结构
二是可以在小空间内打印。QR码使用纵向和横向两个方向处理数据,如果是相同的信息量,QR码所占空间为条形码的1/10左右。另外,QR码还有一种类型叫Micro QR码,可以在更小的空间内处理数据。
三是能够有效表现各种字母。QR码是日本研发的二维码,因此非常适合处理日文字母和汉字。QR码字集规格定义是按照日本标准“JIS第一级和第二级的汉字”制定的,因此在日语处理方面,每一个全角字母和汉字都用13比特的数据处理,效率较高,与其他二维码相比,可以多存储20%以上的信息。
四是对编码变脏和破损的适应能力强。QR码具备“纠错功能”,即使部分编码变脏或破损,也可以恢复数据。数据恢复以码字(是组成内部数据的单位,在QR码的情况下,每8比特代表1码字)为单位,最多可以纠错约30%(根据编码变脏和破损程度的不同,也存在无法恢复的情况)。
五是可以从任意方向读取。QR码从360°任一方向均可快速读取。其奥秘就在于QR码中的3处定位图案(见图2.15),可以帮助QR码不受背景样式的影响,实现快速稳定的读取。
六是支持数据合并功能。QR码可以将数据分割为多个编码,最多支持16个QR码。使用这一功能,还可在狭长区域内打印QR码。另外,也可以把多个分割编码合并为单个数据。
1)二维码支付的定义
二维码支付是一种基于账户体系搭起来的新一代无线支付方案。在该支付方案下,商家将商品价格与账户等交易信息制作成二维码,顾客在移动设备上用相应的扫码软件扫描二维码,迅速识别其中的商品信息及支付信息,确认后顾客便可以在网络环境下完成移动支付。
图2.15 二维码定位图案
2)二维码支付分类
二维码支付可以分成两大类:一种是商品二维码。该二维码一般会出现在对支付内容的平台访问中;另二种是支付二维码。这种二维码出现在支付客户端App向支付接入系统支付指令生成环节中。支付二维码和商品二维码的区别在于,商品二维码只保存了指向商品销售地址的ERL,和支付接入系统不发生联系。
二维码支付的系统构架如图2.16所示,与传统的移动支付相比,它们的区别有以下两点。
图2.16 二维码支付的系统架构
1)支付客户端App接入
这里说的支付客户端App是指在移动终端上的应用,识别、扫描二维码和完成付款的功能。其实移动终端不能算是移动支付的第一参与者,它的作用是为支付客户端提供安装载体。
2)对支付系统的访问方式
二维码支付其实是解析二维码里面的URL访问支付,以此来接入系统,生成电子支付凭证,在支付客户端产生支付指令,接入系统,最后提交给后端的交易系统、清算系统和结算系统。
二维码支付的本质是在虚拟世界与现实生活之间进行互动的行为。二维码支付的便捷和低成本,使其成为目前移动支付的重要组成部分,并由第三方支付机构主导。2021年2月3日,中国互联网络信息中心(CNNIC)发布的第47次《中国互联网络发展状况统计报告》的数据显示,截至2020年12月,我国手机网民规模为9.86亿,网民中使用手机上网的比例为99.7%。二维码支付在助力第三方移动支付中的远程支付方面有着举足轻重的作用。二维码支付的应用推动了线上线下支付的融合,深化了支付对商业生活场景的渗透,增强了支付手段的灵活性和多样性。
我国二维码开发和市场应用比较晚,底层核心技术缺失,存在较大的知识产权风险和信息安全隐患。有关安全标准在刚出台的现阶段还无法迅速得以实施应用。曾经出现的恶意植入木马等资金风险还有待规整;用户在支付时存在缺乏正确判断资金去向的依据、篡改支付命令等问题给二维码支付带来安全隐患。
继条码支付成为人们主要的小额非现金支付方式之后,支付宝“蜻蜓”、微信“青蛙”以及中国人民银行牵头银联和各商业银行推进落地的刷脸支付系统陆续开始推向市场。刷脸支付(facial recognition payment)已经走入我们的生活。人们既可以使用各种移动支付App,将脸对准普通的智能手机的摄像头完成支付交易的身份识别与授权,也可以在自动售货机的专用人脸识别终端机具上,完成刷脸支付的全过程。的确,刷脸支付的便利性比条码支付更进一步,使用户不必携带任何支付介质与工具(银行卡),甚至连手机都可以略去,就能进行小额的消费支付,是技术进步推动无卡支付、无物理介质支付的最新成果。
刷脸支付也称为“人脸识别”技术,人脸识别技术于1964年出现,经历了4个阶段:机器识别、半自动识别、非接触式识别和智能识别。现在是在第四阶段。
刷脸支付是利用受理终端的人脸采集能力,通过人脸识别技术(1∶1或1∶N)获取持卡人支付账户信息,结合Token技术、PIN加密技术、大数据分析等形成的新型支付方式。刷脸支付技术通常涉及两个方面,一方面是人脸支付受理终端,另一方面是人脸支付受理平台。
在刷脸支付中,人脸识别需要先对人脸的特征进行准确识别,然后将生物统计学技术与计算机图像处理技术进行有效结合,再通过图像技术处理来提取视频中人脸的特征。接着在此基础上利用生物统计学技术,构建数学模型,即可获得人脸形态的模板。最后将该模板与消费者的面部特征进行比较分析,即可获得二者之间的相似值,就可判断二者是否为同一人。
1)支付的便利性
从支付步骤来看,二维码付款对手机的依赖度会更高一些,在付款过程中很有可能出现手机卡顿或是手机上不了网的情况,而刷脸支付并没有这方面的顾虑,只需人脸识别系统即可。因此,从这一点来看,刷脸支付会更方便快捷一些。
2)安全系数
传统的二维码付款存在很大的安全隐患,静态二维码容易被入侵或是植入各种病毒木马。另外,二维码付款需要输入支付密码或是验证指纹,账户密码容易被熟人窃取。而刷脸支付采用的是国内领先的3D人脸识别技术,结合硬件和手机软件多重检测,能够99.99%地检测真实客户,在一定程度上比二维码付款的安全系数更高。
3)广泛度
刷脸支付和二维码付款在线下支付场景使用广泛度上谁强,这个问题答案显然是二维码付款。艾瑞咨询数据显示,我国二维码支付交易规模从2018年第一季度的3.5万亿元增至2019年第四季度的近10万亿元。2020年第三季度二维码支付规模突破10万亿元,创历史新高。而刷脸支付虽然在麦当劳、商场超市、大药房等线下零售业场景中频频出现,不过现阶段其仍然处于完善发展的阶段。
刷脸支付是运用人脸识别技术作为支付活动的交易阶段的身份识别(ID)与支付授权的方法,去验证支付工具与支付指令的真实性、唯一性与不可撤销性。与条码支付相比,刷脸支付的特征包括以下两点。一是彻底将支付工具数字化,被认为是无卡支付的终极阶段,使用户完全不必携带任何物理设备就能完成支付交易的发起、授权与验证。二是将原有的支付交易流程压缩,特别是将支付的发起、授权(与验证)这一传统支付方式所要求的贯序流程压缩为一次动作,比如,客户主动将面部呈现在摄像头前面即被视为客户主动出示支付工具并向支付服务商进行支付授权的意思表示。当然,如果将客户的面部特征还作为支付密码的话,支付的发起、授权与验证则被“三合一”,这必然是一种具有争议的支付“创新”。由此可见,刷脸支付和条码支付创新一样,只是提高了支付的交易阶段的效率,并没有改变交易阶段之后的支付流程与运作原理,因此刷脸支付并没有改变支付业务的本质特征。
另外,与技术准入门槛很低的条码支付相比,刷脸支付的技术含量确实非常高。刷脸支付的关键技术是人脸识别技术,而该技术是靠一系列算法去分析被数字摄影设备所获取的人脸特征,将特征数字化、唯一化,与人脸形成一一对应关系。一般来说,这些属于高度私密的个人隐私数据被存放于高度安全的身份数据库。进一步,人脸识别技术的一个关键技术是“活体检测”,即通过硬件与软件技术检验被分析的人脸是否属于活体人脸。最简单的是要求用户轻微左右或上下摇动头部,抑或使用专业技术,如3D结构光/TOF、近红外活体检测技术等。很明显,之所以活体检测如此关键,是为了防范有人使用一张照片,或者3D打印的人脸面具去欺骗人脸识别系统。由此可知,人脸识别技术的可靠性,特别是活体检测技术的可靠性对于刷脸支付的安全性有着决定性的作用。试想,如果犯罪分子拿着被害人的人脸面具就能轻易转走其账户里的钱财,那么没有人会冒险使用刷脸支付。
尽管人脸识别技术是西方首创,刷脸支付也是一家芬兰创业公司Uniqul在2013年首创,但主要是智能手机厂商使用人脸识别技术,比如苹果手机等,极少将人脸识别大规模用于公共生活方面,更不用谈金融支付领域。在中国,人脸识别的运用日益普遍,从公共安全,到学校门禁系统,再到车船交通,人脸识别无处无在,这样大规模的采纳与技术设施普及,为刷脸支付的商业落地创造了独一无二的条件与基础。
在我国,刷脸支付的商业应用场景主要分为线上与线下。所谓线上场景,主要是指将人脸识别活动应用于开放网络环境,通过普通的移动终端(如智能手机)进行人脸信息采集与验证,比如,通过手机完成基于人脸识别的支付转账、特定金融业务开通等。2020年1月,中国支付清算协会正式发布《人脸识别线下支付行业自律公约(试行)》(以下简称《公约》),主要针对线下特约商户通过专用受理终端采用人脸识别技术为用户提供的支付服务进行了一系列自律管理。《公约》试行的线下场景是指在专用终端(具有安全芯片、加密模块)以及专门的活体检测设备上完成人脸识别,并在充分考虑了具体场景与业务流程的风险点,加以制度防范后的消费支付业务、金融业务等。常见的是在封闭环境下使用人脸识别ATM进行现金存取业务,或者在加载了专业人脸识别终端设备的自动售货机上的小额商品消费支付。
根据刷脸支付的场景划分,其风险表征既有共同性,也有特殊性。共同性是指刷脸支付在提升支付服务便捷性的同时,也存在一些共性风险。一是信息泄露风险。一方面,人脸特征具有唯一性与不可再生性,与人类生命相伴而生,不法分子可通过远程、非接触方式,在商场、旅馆、饭店、街道等公共场所非法批量获取用户人脸信息,导致基于人脸特征的身份认证系统可被轻易绕过,危害程度较大。另一方面,人脸特征数据失窃或被盗用,因其不可再生性,将产生“我证明是我”的伦理难题。二是假体攻击风险。人脸识别技术难以判断识别对象是否为真实活体,不法分子通过照片、视频、高仿面具等手段,仿冒用户人脸进行2D或3D攻击,且随着人工智能、大数据等技术不断发展演进,新型攻击手段不断出现,对用户资金安全造成严重威胁。三是算法漏洞风险。目前,活体检测、人脸识别算法仍在快速迭代,识别通过率、误识率等关键指标相互关联、难以同时兼顾,且随光照、遮挡等外界环境因素干扰较大,可能存在隐藏的未知漏洞,一旦被不法分子发现并加以利用,易导致活体检测或人脸识别失效,造成系统风险。四是非授权支付风险。如前文所述,刷脸支付将三个贯序流程压缩为一个人脸扫描的动作,那么对于非授权支付应该如何重新界定?比如,隔空盗刷问题,即通过远程、非接触方式,在用户本人毫无察觉的情况下“无声无息”地获取用户的人脸信息,且手机号码作为用户社交工具也极易被获取,“隔空盗刷”现象就极易出现。问题在于,即使采用基于保护消费者权益的救济原则,要求支付服务提供商举证“盗刷”业务属于用户主动授权行为,也会在用户侧产生严重的道德风险。进一步来讲,与条码支付通过区分主动扫码与被动扫码两种方式解决非授权支付风险不同,人脸扫描是无法区分主动扫脸或被动扫脸的。因此,刷脸支付或者说未来的无摩擦支付(frictionless payment)可能不再有清晰的支付交易阶段的逐一与贯序流程,特别是在分工日益细化的第三方、第四方支付行业,这将带来较为严重的法律合规风险。
《公约》之所以试行线下支付场景,是因为与线下场景相比,线上场景的风险特殊性在于开放的网络环境与没有得到硬件加固的普通终端,这会加剧信息泄露风险、假体攻击风险与非授权支付风险(更加难以举证用户授权的主动性与真实性),或者形成多种风险的叠加效应,因此,在现阶段,线上场景不应该被鼓励发展,至少要采用可信执行环境(TEE)、安全单元(SE)等技术加强风险防控,才能审慎开展线上场景的刷脸支付业务。线下场景支付尤为突出的风险点是免密。线下场景多发生在商场、旅馆、饭店、街道等各种公共场所,过度的便捷不仅给不法分子带来可乘之机,而且免密会造成将用户人脸作为支付授权验证的唯一方式,一旦人脸特征数据丢失、被盗用,会使用户在缺乏第三方权威认证的情况下无法通过密码重置的方式找回自己的账户与账户里的财产,这无疑会形成严重的系统性风险。