296号文(《中国人民银行关于印发《条码支付业务规范(试行)》的通知》)，应该是2017年年度重磅文件之一甚至是部分人心中的唯一了，单单给二维码支付定性，开展业务要求需要取得银行卡收单业务许可和网络支付业务许可双重认可，这一件事，就解决了支付行业近几年讨论最频繁的疑问：二维码支付是线上还是线下业务?央行的答复是，均是。此外，296号文还对支付业务有更加详细的要求，对2018年的技术发展具有极大的推动作用。

296号文的安全分级要求

对于提供条码支付业务的限额要求，296号文第十二条有明确的分级要求：

第十二条银行、支付机构应根据《条码支付安全技术规范(试行)》(银办发〔2017〕242号)关于风险防范能力的分级，对个人客户的条码支付业务进行限额管理：

(一)风险防范能力达到A级，即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的，可与客户通过协议自主约定单日累计限额;

(二)风险防范能力达到B级，即采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元;

(三)风险防范能力达到C级，即采用不足两类要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元;

(四)风险防范能力达到D级，即使用静态条码的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。

通俗的来说，央行要求是1A、2B、3C、4D，根据不同的安全等级进行限额划分。其中提及的安全要素，央行第十条也明文规定，来自以下三个系列。

第十条银行、支付机构开展条码支付业务,可以组合选用下列三种要素，对客户条码支付交易进行验证：

(一)仅客户本人知悉的要素，如静态密码等;

(二)仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等;

(三)客户本人生物特征要素，如指纹等。

对于几个限额要求，笔者的理解是：

4D方面，静态码好理解，用户扫取商户的二维码进行付款。即使现在大多数静态码支付时，仍然需要输入密码或者指纹信息，无论多少验证方式，静态码要求限制500。如果想要更高额度的支付，那就只能切换到付款码了。

3C方面，目前微信和支付宝的付款码限额均是1000元(优质商户可达3000)，这应该是3C安全等级，免密免签，但有每分钟刷新一次的措施保障安全。

2B方面，超过1000元，低于5000元需要2种以上有效要素进行认证，笔者的理解是，比如付款码被扫完之后，超过1000限额就需要输入密码、输入验证码、或者指纹。按照第十条所要求的要素中不包含数字证书、电子签名的两个。

1A方面，就要求最为严格了，要求包含数字证书或电子签名在内的两类(含)以上有效要素，如果是银行所推出的二维码支付产品，可以添加移动U盾进行验证，支付机构可能就是强制要求输入一次性验证码。

296号文带来的技术推进

四个分级，四种安全强度要求，总体来说推动了安全技术、身份认证技术的发展。

首先是对生物识别技术的促进，在2017年苹果的Face ID商用掀起了大众对人脸识别的追捧，国内支付服务提供者的人脸支付也逐步上线。在央行将生物识别技术确认成为二维码支付安全保障的重要要素之后，从C端市场的需求会拉动支付机构对生物识别应用的研究，此外手机、POS等终端设备厂商也将加强生物识别相关技术研发。

其次，是对数字证书和电子签名的要求，当下网络身份认证是一个热门话题，公安一所的CTID、公安三所的eID等技术正在积极推动落地，权威部门也正在提升相关网络身份认证技术的大众和法律认可度。如果这些技术能够被央行所认可，作为支付认证安全要素之一，这将对技术的发展具有极大意义。此外，作为银行的老认证方式——U盾，随着手机盾方案的逐渐成熟，也可能因为296号文要求，在二维码支付时代焕发二次生命，以满足二维码支付的大额需求。

第三，在POS终端方面，296号文将利于智能POS发展。一方面是安全性要求，静态码的限额将使得一部分支付额度需求更大的商户，拥有智能POS需求。另一方面是，信用卡的支持需求，“以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元。”这一条限制，让许多有套现需求的商户需要POS终端。

第四，动态二维码的需求将更加强烈，静态码单日500限额，对于街边商贩来说足够，但是有一定规模的商户基本难以满足。那么未来商户对动态码的需求会更强烈，条码显示屏有较好发展，比如笔者在银联发布会上偶遇的以下几种设备：

无论支付行业大乱还是大治，都会出现不少商机，而一系列监管措施发布之后，特别是296号文之后，将迎来安全技术、认证技术的爆发期，2018年机会仍然很多。