央行推“支付标记化”技术堵截防盗

今年以来，监管层加紧了对支付业务的监管。一位支付行业人士向北京商报记者透露，央行近日下发了《关于加强银行卡风险管理的通知》（以下简称《通知》），要求各商业银行、第三方支付公司在今年底要使用支付标记化技术进行交易数据处理。《通知》意在加强支付交易信息保护，保障支付安全。

按照央行要求，各商业银行、支付机构在今年9月1日前，应采取措施加强支付敏感信息内控管理并开展自查，在12月1日起全面实行支付技术标记化技术处理数据。

支付标记化（Payment Tokenization）技术是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术，原理在于通过支付标记（token）代替银行卡号进行交易验证，从而避免卡号信息泄露带来的风险。

苏宁金融研究院高级研究员薛洪言表示，与传统基于卡号的交易传递过程相比，支付标记化方案替代了原始卡号和有效期，根本上杜绝了敏感信息泄露的可能。同时，通过域控属性限定交易场景，既便支付标记本身被泄露，其影响范围也大大降低。此外，收单机构还可以借助支付标记的担保级别实现对交易风险的控制，进一步降低风险。

值得注意的是，央行还提出，自2016年11月1日起，各商业银行基于银行卡与支付机构、商业机构建立关联业务时，应严格采用多因素身份验证方式，直接鉴别客户身份，并取得客户授权。

这一条也受到第三方支付机构的关注，监管层所提到的“关联业务”在实际操作中是指快捷支付。事实上，由于快捷支付没有验证银行卡密码，不需要U盾、口令或网银，安全隐患较大，近年来，因快捷支付带来的盗刷问题也屡屡发生。

薛洪言指出，当前快捷支付普遍采用交易密码的单因素验证手段，《通知》要求除交易密码外，还需要增加数字证书或动态口令牌等验证手段。《通知》落地后，快捷支付的快捷性可能稍受影响，比如从输入一个密码变成输入两个密码，但不存在被叫停的风险。

今年6月，工行手机银行就推出了新功能，用户可通过App自助查询银行卡绑定了哪些第三方支付平台，且可自助注销其中不常用的快捷支付。

“央行此次的要求又是一块检验第三方支付机构是口头拥抱监管还是行动拥抱监管的试金石”，恒丰银行研究院执行院长董希淼表示，关键在于银行和第三方支付落实情况。

在去年底央行发布的《非银行金融机构网络支付业务管理办法》就明确要求加强支付的多重身份验证，但执行情况并不乐观，目前，快捷支付的隐患依然存在。但在薛洪言看来，“支付标记化技术”和快捷支付的新规符合各方利益，推行的阻力不大。

而央行此次也强调要加大处罚力度。《通知》强调，要严查银行卡受理终端改装、支付交易验证强度低、系统存在安全漏洞及受到网络攻击等造成的支付服务中断、支付敏感信息泄露、资金损失事件，并按照有关规定从严处罚。对于违规情节严重者，将处罚有关高管；对于违规情节严重的支付机构，还将按照有关规定调低分类评级机制直至注销《支付业务许可证》。