日前，央行發(fā)文暫停了支付寶、騰訊的二維碼（面對(duì)面）支付業(yè)務(wù)，與虛擬信用卡可能牽涉到資質(zhì)問題不同，該業(yè)務(wù)被暫停主要是出于安全方面的擔(dān)憂。

“二維碼支付作為新生事物，確實(shí)在安全方面容易存在一些問題，這是必須規(guī)范的。而只有在規(guī)范之后，行業(yè)才能更好地去大規(guī)模地推廣。”二維碼支付解決方案服務(wù)商北京意銳新創(chuàng)公司董事長(zhǎng)王越接受中國企業(yè)報(bào)記者采訪時(shí)表示。

中國人民銀行主管的中國支付清算協(xié)會(huì)常務(wù)副會(huì)長(zhǎng)蔡洪波近日也在某論壇上公開表示，二維碼支付的安全性達(dá)到了金融支付的標(biāo)準(zhǔn)之后將可能放行。

因安全隱患被央行暫停

央行在文件中指出，將條碼（二維碼）應(yīng)用于支付領(lǐng)域有關(guān)技術(shù)、終端的安全標(biāo)準(zhǔn)尚不明確。相關(guān)支付撮合驗(yàn)證方式的安全性尚存質(zhì)疑，存在一定的支付風(fēng)險(xiǎn)隱患。要求相關(guān)公司和央行機(jī)構(gòu)上報(bào)該業(yè)務(wù)的報(bào)告材料和監(jiān)管建議，以便進(jìn)一步研究。

“二維碼正在成為手機(jī)惡意程序的新傳播載體，對(duì)移動(dòng)支付帶來了不小的安全隱患，釣魚、木馬下載等惡意網(wǎng)站轉(zhuǎn)換成二維碼后更易隱藏。”360互聯(lián)網(wǎng)安全中心負(fù)責(zé)人石曉虹告訴記者，二維碼“點(diǎn)對(duì)點(diǎn)”的作案，可以直接造成用戶的經(jīng)濟(jì)損失，危害很大。

根據(jù)360互聯(lián)網(wǎng)安全中心發(fā)布的《2013年中國手機(jī)安全狀況報(bào)告》，在去年所有手機(jī)惡意程序的傳播途徑中，包括二維碼在內(nèi)的惡意網(wǎng)址占比17%，通過二維碼傳播惡意程序的比例增長(zhǎng)迅速。

石曉虹認(rèn)為，一方面是由于二維碼應(yīng)用越來越廣泛，掃二維碼已經(jīng)成為很多手機(jī)用戶的日常習(xí)慣，另一方面也是由于多數(shù)二維碼掃碼工具并不具有識(shí)別惡意網(wǎng)址的能力，只是簡(jiǎn)單將二維碼翻譯成網(wǎng)站地址。這就給惡意程序通過二維碼傳播創(chuàng)造了更加有利的條件。

產(chǎn)業(yè)鏈缺乏協(xié)同方案

對(duì)于央行對(duì)二維碼支付安全的擔(dān)憂，二維碼支付企業(yè)騰訊相關(guān)人士稱，微信“掃一掃”擁有千萬量級(jí)的惡意網(wǎng)址庫，如果用戶掃描了來源可疑的二維碼，微信會(huì)第一時(shí)間通過風(fēng)險(xiǎn)警示來提醒用戶使用安全。

據(jù)悉，就在央行暫停二維碼支付前夕，騰訊還發(fā)布了億元扶持計(jì)劃，主要為直接面對(duì)終端消費(fèi)者的微信公眾服務(wù)號(hào)提供安全支撐，包括使用微信二維碼支付以及虛擬信用卡的消費(fèi)者和開發(fā)商。

360等安全廠商也推出了針對(duì)惡意二維碼的查殺功能。

不過，石曉虹認(rèn)為，“二維碼支付涉及商家、支付體系和平臺(tái)、惡意網(wǎng)站等多方面，安全問題不光是一個(gè)技術(shù)問題，其更偏向于詐騙行為，各家獨(dú)立的解決方案很難全面地對(duì)惡意二維碼進(jìn)行打擊。這需要產(chǎn)業(yè)鏈各方共同協(xié)作，形成合力，嚴(yán)厲打擊這種違法犯罪行為。”

具體來說，包括監(jiān)管部門完善法律法規(guī)，提高不法分子的違法成本，支付企業(yè)應(yīng)該完善支付體系，對(duì)不正常的支付行為進(jìn)行有效追溯和監(jiān)控，安全廠商則作為惡意網(wǎng)站的搜集，及時(shí)查殺用戶可能掃描到的惡意網(wǎng)站等等，這需要建立完善的行業(yè)安全標(biāo)準(zhǔn)。

“二維碼在各行業(yè)的安全標(biāo)準(zhǔn)都在探索，其中有些行業(yè)如中國移動(dòng)、制造業(yè)、物流、電力等，已經(jīng)初步完成了。唯獨(dú)支付行業(yè)和金融行業(yè)，因?yàn)閯倓偘l(fā)展起來，還沒有建立起來。”王越表示，意銳新創(chuàng)已經(jīng)與上下游就此進(jìn)行過溝通探索，愿意將所獲得的經(jīng)驗(yàn)與行業(yè)進(jìn)行分享，更期待政府監(jiān)管部門盡快出臺(tái)行業(yè)規(guī)范標(biāo)準(zhǔn)。

“被讀”支付模式探索

“央行暫停二維碼支付是有根據(jù)的?，F(xiàn)行的pos機(jī)支付，用的是獨(dú)立的設(shè)備、獨(dú)立的網(wǎng)絡(luò)，多年來建立了完善的安全體系，實(shí)踐證明也是非常安全的。不能因?yàn)槎S碼一時(shí)的便利，就忽略了其在安全上的瑕疵，而完全丟掉了POS機(jī)消費(fèi)。”王越表示。

在王越看來，二維碼支付具有便捷性，POS機(jī)支付則具有安全性，完全可以將二者結(jié)合起來，探索一種嫁接在POS機(jī)之上的二維碼支付，通過POS機(jī)掃描二維碼來劃款，而現(xiàn)行的用戶通過手機(jī)掃描二維碼直接付款要謹(jǐn)慎。

實(shí)際上，這就是王越一直在探索并正在試點(diǎn)的，讓二維碼支付從“主讀”模式轉(zhuǎn)變?yōu)?ldquo;被讀”模式。前者是指用戶主動(dòng)通過手機(jī)去掃描商家或者個(gè)人的二維碼支付，后者是指用戶被動(dòng)地讓掃碼設(shè)備（主要是POS機(jī)）掃描自己的二維碼實(shí)現(xiàn)支付。

王越認(rèn)為，“被讀”支付模式情況下，因?yàn)?a href="http:// theelitecare.com">POS機(jī)系統(tǒng)是安全的，就避免了用戶可能掃描到惡意二維碼的風(fēng)險(xiǎn)；而且POS機(jī)等掃描設(shè)備都是固定的、有備案的，便于管理，更便于事后追責(zé)。“一句話，管住收款方，用戶的資金就不會(huì)隨意被騙了”。

根據(jù)中國企業(yè)報(bào)記者觀察，目前，二維碼支付在個(gè)人對(duì)個(gè)人領(lǐng)域主要是主讀模式，個(gè)人對(duì)商家領(lǐng)域也有部分（如支付寶錢包）是主讀模式，即商家將應(yīng)收賬款制作成二維碼供用戶手機(jī)掃描完成支付。

“目前多數(shù)POS機(jī)并不具備掃描二維碼的功能，需要進(jìn)行升級(jí)才行，我們的識(shí)讀機(jī)具則能滿足各種品牌和型號(hào)的POS機(jī)。”王越說。