根據(jù)每日經(jīng)濟(jì)新聞消息，中國(guó)人民銀行于 11 月 9 日下發(fā)了《中國(guó)金融移動(dòng)支付 支付標(biāo)記化技術(shù)規(guī)范》(以下簡(jiǎn)稱《規(guī)范》)行業(yè)標(biāo)準(zhǔn)的通知，宣稱將于 2016 年 12 月 1 日起全面推行支付標(biāo)記化技術(shù)(Payment Tokenization)。

據(jù)悉，《規(guī)范》同時(shí)確定了支付標(biāo)記化技術(shù)的基本架構(gòu)，規(guī)定了應(yīng)用支付標(biāo)記化技術(shù)的系統(tǒng)接口、安全、風(fēng)險(xiǎn)控制等要求。

什么是支付標(biāo)記化？

央行在今年 7 月發(fā)布《關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險(xiǎn)管理的通知》，首次提出支付標(biāo)記化技術(shù)，旨在解決銀行卡盜刷及信息泄露等問(wèn)題。

根據(jù) MBA 智庫(kù)百科，支付標(biāo)記化是由國(guó)際芯片卡標(biāo)準(zhǔn)化組織 EMVCo 于 2014 年發(fā)布的一項(xiàng)技術(shù)，通過(guò)用支付標(biāo)記(Token)取代銀行卡號(hào)進(jìn)行交易認(rèn)證，避免卡號(hào)等信息泄露帶來(lái)的風(fēng)險(xiǎn)。

具體來(lái)說(shuō)，支付標(biāo)記使用一個(gè)唯一的數(shù)值(與主卡號(hào)保持一致，一般由 13 至 19 位的數(shù)字組成)來(lái)取代銀行卡的主帳號(hào)，同時(shí)確保該數(shù)值被限定在一個(gè)特定的商戶、渠道或者設(shè)備中使用。在銀行卡的支付交易中，支付標(biāo)記替換了卡號(hào)，支付標(biāo)記的有效期替換了銀行卡的有效期，可以在不影響交易處理的情況下增強(qiáng)交易的安全性。

早在 2013 年， 中國(guó)銀聯(lián)就已經(jīng)對(duì)支付標(biāo)記化進(jìn)行了相關(guān)的技術(shù)研究和產(chǎn)品實(shí)施工作。2014 年 12 月，中國(guó)銀聯(lián)與中國(guó)南方航空公司推出銀聯(lián)卡“一鍵支付”服務(wù)，面向南航明珠會(huì)員首次將支付標(biāo)記化進(jìn)行了實(shí)際應(yīng)用。2015 年，中國(guó)工商銀行與中國(guó)銀聯(lián)和 VISA 合作推出“HCE 云支付”信用卡產(chǎn)品，將支付標(biāo)記運(yùn)用到了信用卡服務(wù)中。今年 7 月，中國(guó)銀聯(lián)還發(fā)布了《中國(guó)銀聯(lián)支付標(biāo)記化技術(shù)指引》，進(jìn)一步對(duì)支付標(biāo)記化的具體應(yīng)用進(jìn)行了闡釋。

現(xiàn)在被廣泛應(yīng)用的銀聯(lián)“云閃付”就集成了支付標(biāo)記化的功能。以使用 Apple Pay 為例，支付標(biāo)記化的過(guò)程表現(xiàn)為，先基于支付標(biāo)記生成設(shè)備卡號(hào)，再生成與之匹配的芯片個(gè)人化數(shù)據(jù)并將其加載到手機(jī)設(shè)備上，使手機(jī)代替芯片卡完成支付。

中國(guó)銀聯(lián)技術(shù)部專家周明表示，支付標(biāo)記化技術(shù)具有三項(xiàng)優(yōu)勢(shì)：

包含持卡人卡號(hào)與有效期等在內(nèi)的敏感信息將不在交易中出現(xiàn)；

支付標(biāo)記僅可以在限定的交易場(chǎng)景中使用，降低了交易風(fēng)險(xiǎn)；

與傳統(tǒng)銀行卡驗(yàn)證方式相比，支付標(biāo)記的靈活性更高，綜合了個(gè)人信息和設(shè)備信息驗(yàn)證、支付信息附加驗(yàn)證、風(fēng)險(xiǎn)等級(jí)評(píng)估等功能對(duì)交易進(jìn)行合法性識(shí)別和風(fēng)險(xiǎn)管控。

支付標(biāo)記化如何從源頭上降低交易風(fēng)險(xiǎn)？

中國(guó)銀行業(yè)協(xié)會(huì)于 7 月 28 日發(fā)布《中國(guó)銀行卡產(chǎn)業(yè)發(fā)展藍(lán)皮書(2016)》，稱截至 2015 年底，中國(guó)銀行卡累計(jì)發(fā)卡量達(dá) 56.1 億張，人均持卡數(shù)為 4.09 張，2015 年全國(guó)的銀行卡交易金額為 1420.8 萬(wàn)億元人民幣。

報(bào)告同時(shí)指出，盡管銀行卡欺詐交易金額的同比增速遠(yuǎn)低于銀行卡業(yè)務(wù)量的增速，但隨著互聯(lián)網(wǎng)行業(yè)的快速發(fā)展，欺詐風(fēng)險(xiǎn)逐漸向線上交易轉(zhuǎn)移。在以往的線下交易中，銀行卡被復(fù)制盜刷是高發(fā)案件。而在線上交易中，盡管不存在銀行卡被復(fù)制盜刷的風(fēng)險(xiǎn)，但是交易仍需提供卡號(hào)和有效期，很容易給欺詐團(tuán)體帶來(lái)可乘之機(jī)。

除此之外，移動(dòng)支付的興起帶來(lái)了新的支付技術(shù)和模式，尤其是第三方快捷支付，在給人們提供便利的同時(shí)，也給風(fēng)險(xiǎn)管控帶來(lái)了新的挑戰(zhàn)。銀行卡專業(yè)委員會(huì)主任、交通銀行副行長(zhǎng)侯維棟表示，截至 2015 年底，國(guó)內(nèi)市場(chǎng)上持牌的第三方支付公司約有 270 家，市場(chǎng)主體的增加進(jìn)一步提高了監(jiān)管難度，增加了支付風(fēng)險(xiǎn)。

據(jù)悉，目前市場(chǎng)上一些第三方支付機(jī)構(gòu)在完成授權(quán)時(shí)，只需提供銀行卡號(hào)和預(yù)留手機(jī)號(hào)碼就可以辦理，犯罪分子可以通過(guò)騙取驗(yàn)證碼或者掛失手機(jī)號(hào)等方式獲得支付授權(quán)，把錢轉(zhuǎn)走。

而隨著移動(dòng)終端的普及，針對(duì)移動(dòng)支付的病毒也大量出現(xiàn)。根據(jù)奇虎 360 發(fā)布的《2015 年度中國(guó)互聯(lián)網(wǎng)安全報(bào)告》，2015 年 Android 設(shè)備用戶感染惡意程序達(dá) 3.7 億人次，比 2014 年增長(zhǎng)了 15%。

從交易方式到交易終端，整個(gè)環(huán)節(jié)中“陷阱”一直存在，這就要求支付環(huán)節(jié)的各個(gè)參與者都加強(qiáng)風(fēng)險(xiǎn)管控。

《規(guī)范》稱，“近年來(lái)，國(guó)內(nèi)商業(yè)銀行、非銀行支付機(jī)構(gòu)等為保護(hù)支付敏感信息，提升支付安全，防范信息泄露和欺詐交易，在移動(dòng)支付業(yè)務(wù)中逐步引入了支付標(biāo)記化技術(shù)，通過(guò)支付標(biāo)記限定，從源頭遏制信息泄露，最大程度上保障用戶交易安全。”

與傳統(tǒng)交易中的卡號(hào)傳遞過(guò)程相比，支付標(biāo)記替代了卡號(hào)、有效期等敏感信息，從源頭上避免了信息的泄露。同時(shí)，通過(guò)限定標(biāo)記的使用場(chǎng)景，如交易類型、使用次數(shù)、支付渠道、商戶名稱、數(shù)字錢包服務(wù)提供商等，即使支付標(biāo)記本身被泄露，影響范圍也很有限。

此外，一張主卡可以生成多個(gè)標(biāo)記，任何一個(gè)標(biāo)記發(fā)生泄露或者存儲(chǔ)該標(biāo)記的設(shè)備丟失后，該標(biāo)記可以被禁用，從而減少了補(bǔ)卡的麻煩。

支付標(biāo)記過(guò)程也同樣支持動(dòng)態(tài)驗(yàn)證技術(shù)，允許持卡人在某些場(chǎng)景下減少輸入敏感信息進(jìn)行身份驗(yàn)證的頻次。而被廣泛應(yīng)用的二維碼支付，也可以因支付標(biāo)記而變得更加安全。在此場(chǎng)景下，移動(dòng)應(yīng)用會(huì)生成一個(gè)含有支付標(biāo)記、標(biāo)記有效期等數(shù)據(jù)在內(nèi)的二維碼，這個(gè)標(biāo)記將被設(shè)置為單次有效且有時(shí)間限定。對(duì)于掃碼支付的持卡人來(lái)說(shuō)，這樣就不必?fù)?dān)心支付信息被泄露了。

對(duì)使用者而言，盡管交易過(guò)程中多了“支付標(biāo)記”這一步，但整個(gè)過(guò)程發(fā)生在后臺(tái)，對(duì)使用者的體驗(yàn)不會(huì)造成影響。但也因?yàn)檫@“透明”的一步，交易風(fēng)險(xiǎn)得以降低。

盡管從技術(shù)層面的創(chuàng)新和行業(yè)監(jiān)管來(lái)看，各方都加強(qiáng)了對(duì)線上支付交易的風(fēng)險(xiǎn)管控，但說(shuō)到底，進(jìn)行支付行為的還是持卡人本身。因此，要想讓錢安全地呆在口袋里，還是得自己先悠著點(diǎn)，做好安全措施。