二維碼是打通線上線下的重要入口，隨著行業(yè)標(biāo)準(zhǔn),、技術(shù)標(biāo)準(zhǔn)的出臺(tái)以及支付環(huán)境不斷完善,，二維碼已經(jīng)廣泛應(yīng)用于制造業(yè)、物流業(yè),、零售業(yè),、餐飲業(yè)等領(lǐng)域。在支付體驗(yàn)方便快捷的同時(shí),，風(fēng)險(xiǎn)也相伴而生,，解決好安全問題是二維碼支付發(fā)展的關(guān)鍵,。

　　中國(guó)支付清算協(xié)會(huì)調(diào)研顯示，安全性是移動(dòng)支付用戶最看重的因素,，占比達(dá)73.4%,。“移動(dòng)支付產(chǎn)品和服務(wù)所涉及到的客戶資金規(guī)模和信息流量迅速提升,，吸引了一些不法分子的關(guān)注,。”中國(guó)支付清算協(xié)會(huì)副秘書長(zhǎng)王素珍說,，“這些病毒可以讀取,、截獲手機(jī)短信驗(yàn)證碼，再結(jié)合用戶的身份證,、銀行卡號(hào)等信息,，截取用戶的信息。再有一些不法分子通過釣魚網(wǎng)站,，將木馬病毒植入到二維碼當(dāng)中,。”

　　在獵網(wǎng)平臺(tái)2016年接到的手機(jī)端用戶舉報(bào)數(shù)量中,，有4265人是通過銀行轉(zhuǎn)賬,、第三方支付、手機(jī)充值等方式主動(dòng)給不法分子轉(zhuǎn)賬,，占比66.4%,；掃二維碼支付的有107人，占比1.7%,。從涉案總金額統(tǒng)計(jì)來看,，釣魚網(wǎng)站支付，占比48.4%,，累計(jì)2098.3萬元,；掃二維碼支付占比0.9%，累計(jì)38.0萬元,。

　　在王素珍看來,，移動(dòng)支付涉及到用戶的隱私和資金安全，移動(dòng)支付發(fā)展越快,，應(yīng)用得越廣,，安全性就越重要?！耙寻踩珕栴}放在移動(dòng)支付發(fā)展優(yōu)先考慮的位置,，還要加強(qiáng)產(chǎn)業(yè)鏈上的安全合作，統(tǒng)一安全,、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)規(guī)則,，完善信息共享機(jī)制,，實(shí)現(xiàn)風(fēng)險(xiǎn)的聯(lián)防聯(lián)控?！?/p>

　　二維碼是一種能存儲(chǔ)信息的特定格式圖片,，可以看作一種秘文形式的信息載體，而二維碼支付通常指的就是包含了商戶信息和金額的訂單信息,。從技術(shù)來說,，二維碼支付的本質(zhì)和網(wǎng)絡(luò)支付一致，安全性與網(wǎng)站類似,，也就是說亂掃二維碼就等于亂瀏覽網(wǎng)站,，風(fēng)險(xiǎn)勢(shì)必隨之存在，因此,，二維碼支付面臨的安全質(zhì)疑并不是新生事物,。

　　隨著通過二維碼傳播釣魚網(wǎng)站、發(fā)布手機(jī)病毒等詐騙活動(dòng)逐漸增多,。2014年3月,，央行下發(fā)的緊急文件《中國(guó)人民銀行支付結(jié)算司關(guān)于暫停支付寶公司線下條碼（二維碼）支付等業(yè)務(wù)意見的函》，稱“條碼（二維碼）應(yīng)用于支付領(lǐng)域有關(guān)技術(shù),、終端的安全標(biāo)準(zhǔn)不明確,，相關(guān)支付撮合驗(yàn)證方式的安全性尚存質(zhì)疑，存在一定的支付風(fēng)險(xiǎn)隱患”,，叫停條碼,、二維碼支付等面對(duì)面支付服務(wù)。

　　中國(guó)金融認(rèn)證中心（CFCA）助理總經(jīng)理張行介紹,，二維碼只是一種承載信息的載體,，可以承載商戶信息,、交易金額,、支付憑證信息等正常的交易信息，也可以承載釣魚網(wǎng)址或者惡意代碼的下載網(wǎng)址等惡意信息,。同時(shí),，二維碼支付是一種創(chuàng)新的互聯(lián)網(wǎng)支付方式，而對(duì)于一些創(chuàng)新型的互聯(lián)網(wǎng)業(yè)務(wù),，為了保證業(yè)務(wù)前期的快速推廣,，通常業(yè)務(wù)經(jīng)營(yíng)者會(huì)在用戶體驗(yàn)和業(yè)務(wù)安全的天平上向用戶體驗(yàn)傾斜，在業(yè)務(wù)安全方面考慮不多,，投入不足,，從而讓一些不法分子有機(jī)可乘。

中國(guó)金融認(rèn)證中心（CFCA）助理總經(jīng)理張行

　　“為了保證二維碼能夠在支付業(yè)務(wù)中安全使用,，我們需要對(duì)二維碼支付業(yè)務(wù)設(shè)計(jì)完整的安全機(jī)制,，保證二維碼在發(fā)碼,、傳輸、應(yīng)用的過程中不被惡意利用,，不被裝入惡意信息,。”張行說,。

　　就刷卡來說,，傳統(tǒng)的POS刷卡流程是一個(gè)四方模式下的循環(huán)往復(fù)：用戶在進(jìn)行消費(fèi)的商家POS機(jī)上刷卡，收單機(jī)構(gòu)的POS機(jī)將讀取的刷卡信息通過數(shù)據(jù)線（通常是電話線或網(wǎng)絡(luò)接口）發(fā)送到清算組織（中國(guó)是銀聯(lián)）,，再通知到用戶所用卡片的發(fā)卡銀行,，經(jīng)銀行確認(rèn)無誤，再原路返回到POS終端,，即完成了一筆支付流程,。

　　張行認(rèn)為，傳統(tǒng)的POS刷卡流程是在一個(gè)相對(duì)封閉的環(huán)境中完成,，卡號(hào),、交易密碼等敏感信息泄露的風(fēng)險(xiǎn)較小。而互聯(lián)網(wǎng)支付業(yè)務(wù),，包括二維碼支付,，支付過程是在開放的互聯(lián)網(wǎng)環(huán)境中完成的，卡號(hào),、交易密碼等敏感信息存在很大的泄露風(fēng)險(xiǎn),。通過采用Token技術(shù)可以在很大程度上降低持卡人敏感信息泄露的風(fēng)險(xiǎn)。

　　Token是國(guó)際芯片卡標(biāo)準(zhǔn)化組織EMVCo于2014年發(fā)布的一種加密技術(shù),，在商家和用戶在交易過程當(dāng)中,，真實(shí)賬號(hào)被一個(gè)虛擬的賬號(hào)代替。Token由發(fā)卡方發(fā)行并且讀取,，在交易過程中,，即使截獲了Token也無法進(jìn)行交易。另外,，虛擬賬號(hào)和一款具體的設(shè)備綁定在一起,。如果手機(jī)丟失，用戶只需通知銀行重新分配一個(gè)等電子令牌即可,，而無需重新發(fā)卡,，節(jié)約成本的同時(shí)也提高了支付的安全性。EMVCo在規(guī)范中描述了四種典型場(chǎng)景：在線商戶,、數(shù)字錢包,、非接NFC支付、二維碼支付，包括了線上支付場(chǎng)景與線下支付場(chǎng)景,。

　　不過,，Token技術(shù)在降低了個(gè)人隱私信息泄露風(fēng)險(xiǎn)的同時(shí)，如何保護(hù)好Token本身的安全也很重要,?！霸赥oken的產(chǎn)生、Token與真實(shí)卡號(hào)之間的轉(zhuǎn)換,、Token的傳輸,、Token的保存等環(huán)節(jié)，都應(yīng)該有完善的保護(hù)措施,?！睆埿姓f，“比如引入電子簽名技術(shù),，從而確保Token自身的安全,。”

　　如今的掃碼支付形式有兩種：一種是主掃,，即收款碼支付,，商戶提供收款二維碼，消費(fèi)者用手機(jī)APP掃碼支付,。另一種是被掃,，即付款碼支付，是消費(fèi)者提供付款二維碼,，而商戶使用掃碼槍等設(shè)備掃碼收款,。

　　在張行看來，基于掃碼形式的不同也會(huì)帶來不同的隱患,。二者相較,，張行更傾向主掃，主掃模式使用戶擁有更多的支付主動(dòng)權(quán),，被掃較適合公信力高的商超,，容易有交易糾紛的場(chǎng)景則不適合。

　　他認(rèn)為,，電子簽名技術(shù)是目前互聯(lián)網(wǎng)業(yè)務(wù)中最成熟可靠的一種技術(shù)手段,，它可以有效地解決互聯(lián)網(wǎng)業(yè)務(wù)中的身份認(rèn)證、防止交易信息篡改,、保證交易信息傳輸和存儲(chǔ)安全的問題。在二維碼支付業(yè)務(wù)中,，也可以引入電子簽名技術(shù),，保證二維碼制作、傳輸發(fā)布、驗(yàn)證過程的安全,。

　　具體來說,，第三方電子認(rèn)證機(jī)構(gòu)在二維碼發(fā)布者的信息通過審核之后，為二維碼發(fā)布者發(fā)放一張具有法律效率的數(shù)字證書,。在二維碼產(chǎn)生的過程中,，用發(fā)布者的數(shù)字證書對(duì)二維碼信息進(jìn)行簽名，從而保證二維碼信息不被篡改和抵賴,；在掃碼獲取信息后通過驗(yàn)證二維碼的電子簽名信息,，從而驗(yàn)證二維碼發(fā)布者身份的真實(shí)性和二維碼信息沒有被篡改。在支付交易出現(xiàn)問題的時(shí)候,，也可以通過二維碼的電子簽名追溯源頭,。

　　據(jù)了解，目前,，支付寶,、微信支付、中國(guó)銀聯(lián)及多家銀行等均已在二維碼支付中采用數(shù)字簽名,、安全加密等技術(shù)手段,，確保二維碼生成、傳輸和解析在各自體系內(nèi)閉環(huán)運(yùn)行,，技術(shù)上保障用戶資金和信息安全,。支付寶在產(chǎn)品功能上做了一些嘗試，比如通過收錢碼付錢后,，商家的手機(jī)端都會(huì)收到到賬語(yǔ)音提示,，讓商家不用擔(dān)心少收錢或者款付到別人的二維碼中。

　　另外,，去年12月12日,，中國(guó)銀聯(lián)也推出了二維碼的支付標(biāo)準(zhǔn)，包括《中國(guó)銀聯(lián)二維碼支付安全規(guī)范》和《中國(guó)銀聯(lián)二維碼支付應(yīng)用規(guī)范》兩個(gè)規(guī)范,，表明要遵循現(xiàn)有銀行卡支付的四方模式,，各方現(xiàn)有的利益分配不會(huì)收到任何影響，不存在因資金沉淀在虛擬賬戶帶來金融風(fēng)險(xiǎn),。另外一點(diǎn)突出的是采用Token技術(shù)對(duì)賬戶敏感信息進(jìn)行保護(hù),，確保賬戶信息在存儲(chǔ)、處理和傳輸過程中的安全性,。

　　全國(guó)政協(xié)委員梅興保也認(rèn)為,，盡管國(guó)內(nèi)二維碼支付在市場(chǎng)成熟度上已領(lǐng)先全球，但業(yè)務(wù)和技術(shù)創(chuàng)新性上仍具有很大成長(zhǎng)空間,，應(yīng)鼓勵(lì)市場(chǎng)機(jī)構(gòu)通過業(yè)務(wù)和技術(shù)創(chuàng)新防控風(fēng)險(xiǎn),。通過技術(shù)創(chuàng)新對(duì)二維碼標(biāo)識(shí)加裝防偽標(biāo)識(shí),，避免因誤掃二維碼而導(dǎo)致的欺詐發(fā)生，同時(shí)在風(fēng)險(xiǎn)事件發(fā)生后,，可通過商業(yè)保險(xiǎn)等方式化解消費(fèi)者和商戶風(fēng)險(xiǎn)損失,。