过去的一周，除了让人揪心的马航班机失联事件，在媒体上被炒的沸沸扬扬的故事主角，莫过央行啦。一纸关于暂停二维码支付的公文，连同发给市场参与者的网络支付管理办法，及移动支付指导意见两个征求意见稿，把央行卷入了事件相关方共同参与的舆论漩涡。

看了各种纸媒和微信上的评论和转发，脑中不由浮现出一幅场景，一辆华丽丽的马车，车上坐满了越来越多不同身份的乘客，马车越跑越快，这时央行就像站在马车前的交通秩序维护者，想让这辆马车把速度减到一个安全的阀值内。央行该怎么做才能既让马车向前安全地行驶，又不致于让马车超出最高可承受时速而车毁人亡。

二维码支付为什么被暂停？

首先看一下什么是二维码支付。二维码，作为一种通过扫描实现快速识别的标签工具，早年多应用于制造业的流程管理，或者物流过程中的贮运管理。它的原理是基于数字加密技术，把文本信息转换为肉眼无法直接读取的二维点阵图形，通过专用读头扫描二维码并解析密文后，完成信息确认或身份认证。

基于零售、制造业或物流行业的广泛应用，近年来这种技术开始拓展于移动支付领域，具体应用场景包括纯在线的Ｐ2P支付（两个手机之间当面付），以及作为账户或身份信息认证机制被应用于Ｏ2O支付（线上账户到线下支付）。支付宝手机钱包中集成的“快的打车”，以及微信和王府井百货合作的二维码收银，都是具体的应用案例。由于前段时间“快的”和“嘀嘀”的烧钱打车大战，这种炫酷支付方式渐渐被中国的年轻一族所接受和熟悉。

然后，让我们环顾全球发达国家和新兴市场，搜寻一下二维码支付在活跃的金融市场或者市场经济国家是否有普遍应用和成功的实践？事实证明，除了一些实验性质的局部试用（pilot），没有发现大规模应用的案例。

为什么这么好的一个衔接线上信息、线下认证的加密工具在支付领域没有如雨后春笋般蓬勃发展呢？答案是标准，是二维码安全支付认证的标准问题。

目前金融级应用的二维码认证通用标准还未完整构建，缺乏对各二维码发卡－收单闭环独立清算流程的第三方安全检测和认证体系。相对银行卡收单的POS通用认证体系，还没有权威机构可以对各家互联网企业推出的二维码认证算法或线下扫码机具做安全认证。这就是这次央行暂停二维码手机支付的大背景所在。

中国是一个亿级客户基数的市场，如果一套支付认证和闭环清算标准，没有在交易信息传递和确认的完整性、一致性以及防篡改、不可抵赖性等方面得到可信权威第三方的认证，就在这样一个流动性和传染性很高的市场一下子大规模推广，存在恶意篡改、交易抵赖、中间人攻击等诸多损害消费者利益的可能性。

面对这种安全防护机制健全与否的不确定性，作为全社会支付体系的守夜人，央行自然有责任防范于未然，不能接受未来酿成大祸后无法掌控的被动局面。

马云说：打败二维码的不是技术，而是文件。其实也不尽然，打败二维码支付的既不是技术也不是文件，而是闭环收单清算标准。标准是对闭环清算体系的权威认证，是对技术安全性的信用背书。而文件，是表达对二维码闭环清算标准缺失的一种担忧与呼吁。所以，未来何时能恢复二维码认证应用于移动支付或者其他高风险金融应用，取决于中国何时有了二维码认证支付闭环清算的通用安全认证标准。

移动支付标准问题，不是今天才发生的故事。其背后，映射着NFC和O2O两大移动支付解决方案的流派之争。

NFC标准目前已经尘埃落定，银联主导的PBOC金融IC卡认证体系和13.56Mhz标准最后赢得了与中国移动之前主导的2.4Ghz射频标准之战的胜利。目前，央行正在推动支持空中发卡的可信认证平台系统（TSM）推广。

所以，从NFC模式历时近5年的标准之争的历程看，二维码（QR code）闭环清算安全标准体系的建立，已经迫在眉睫。如果支付宝有实力规范和确立一套被授权认证的QR闭环清算标准，那也是造福消费者的基础设施工程。当然，有动力主导QR闭环清算标准的不仅仅是支付宝一家。我们期待充分竞争带来的市场效率和公正。

所以，二维码支付不是被叫停而是暂停。所以，二维码支付重出江湖之时，即QR闭环清算支付标准确立之日。当然，除了标准之争，作为一种商用支付工具，面临的更多挑战，是来自客户体验好坏、使用门槛高低及使用习惯的培养与迁徙。

超级支付账户应用该不该越做越大？

央行定义的支付账户，通俗可以理解为支付机构开立并管理的虚拟账户系统，区别于银行结算账户和信用卡。两者目前最大的区别是申请和注册时的客户身份认证机制及监管尺度。银行结算账户和信用卡开立流程，需要客户本人持真实有效身份证件，在银行网点与银行柜员当面提交申请、签名并由银行核验身份证件的真伪（俗称“三亲鉴”）。证件、人、签字这三者的一致性，和客户意愿的真实、完整性，构成了银行账户的强身份认证。通过强身份认证开立的账户，一般具有存、贷、汇的全金融功能，全球同此凉热。

而支付机构开立的虚拟账户，因没有物理机构和人员面对面参与的条件，无法直接通过网络在线核验申请人真实身份实现“三亲鉴”，所以初期的虚拟账户大多是匿名。后期，因为央行实名开户的监管要求，一些支付机构采取在线传递身份证复印件，或接入公安联网核查系统进行核验的办法来弥补实名认证手段的不足。但上述做法客户体验不佳、开通效率低等问题，一直未能很好解决，所以虚拟支付账户中非实名比例的问题，仍一直困扰支付机构。

近3年来，随着快捷支付的兴起和推广，通过与银行建立直连接口，在线校验银行后台账户和客户信息以变现支持支付机构获取实名客户信息成为可能。也有支付机构采取引导客户从银行账户小额打款到虚拟账户后激活的机制来间接验证客户信息。凡此种种，在确认“真人操作真账户”方面仍有不小瑕疵。如果甲的身份信息和账户信息以及手机号都被乙获取，乙就具备通过快捷支付签约操纵甲账户支付功能的能力。事实上，类似欺诈案件已经不少。所以，虚拟账户体系的实名认证被监管机构定义为“弱实名”。

基于弱实名开立的虚拟账户，从逻辑上其功用就应该弱于强实名开立的银行结算账户或信用卡。从实际情况看，支付机构的账户体系经过10年的发展，其定位已经远远超过了转接清算和C2C信用中介的初衷。最初的支付账户是因解决Ｃ2C线上交易的信用缺失问题应运而生，而随着支付账户现实使用场景的不断丰富，其功能目前已覆盖网购支付、生活缴费、跨银行转账、信用卡还款、理财、保险、彩票、手机充值、O2O支付等等，基本具备了与银行账户比肩的庞大功能体系。P2P、理财网站为会员提供的交易托管账户，往往因为要求开通便捷、门槛较低，而大量应用支付机构在线虚拟账户系统替客户管理出入金交易。大量而日趋丰富立体的交易场景和闭环清算，积聚了越来越多的洗钱、套现潜在风险。因缺乏强实名认证，也对大额可疑交易和假货贸易等非法行为的追索和认定带来一定取证困难。

从小额支付到大额支付，从境内支付到跨国支付，从线上支付到线下支付，支付账户体系不断拓展应用场景和使用范围。此次央行召集支付机构和专家学者讨论新版网络支付业务管理办法，其目的就是想寻找一个支持支付账户健康发展和安全使用的边界。

当然，通过消费和转账的限额来约束其野蛮生长，还是通过对应用场景的框架性界定来厘清与银行账户的边界，这是一个监管实务中的技术性操作问题。毕竟，保护金融消费者权益是一件关乎社会稳定的大事。支付体系的安全，对国家经济运行安全也至关重要。

手机支付安全标准和支付账户体系规范，这两个话题的严肃讨论才刚刚开始。对市场参与者来说，天气并没有变，行业里大可不必持阴谋论去揣测监管部门的风向，关键是不能无理性地太过喧嚣和燥热，也不能搅动一片雾霾看不清事实。希望市场冷静下来，在一阵微风和湿润的小雨之后，空气更加清新，前行的步伐愈加淡定。（2014年3月）■

责任编辑：王超