近日，人民银行发布《条码支付互联互通技术规范》（以下简称“《规范》”）。《规范》按照“统一通用、便捷友好、安全可控、兼容并蓄”原则，在切实保障用户信息与资金安全前提下，规定了条码支付互联互通的编码规则、报文要素、安全要求等内容。

简单来说，《规范》的主要任务是统一各家条码支付的技术格式，而不是明确如何实现互联互通。

在发码机构的要求上，《规范》明确是支付信息通过Token（d）生成Token（t），并将其展示成付款码的银行业金融机构、非银行支付机构。

在编码规则上，《规范》均对收款码和付款码有支付标记化要求，收款码则需要区分静态和动态码。

付款码的生成应符合条码支付国家及行业相关标准规范的安全要求。付款码编码应满足以下要求：

a)编码总长度在13位至34位。

b)使用符合JR/T 0149（《中国金融移动支付支付标记化技术规范》）要求的支付标记化技术生成付款码。

c)付款码应包含可识别账户管理机构的信息。

收款码方面，应采用“协议标识://域名/自定义数据”的编码结构：

协议标识用于金融行业条码支付的互联互通，应采用安全协议，如https或其他安全级别不低于https的专用协议。协议标识不区分大小写。

域名具备唯一性，应采用多级域名，宜采用三级域名。其中：

a)二级域名为转接清算机构或收单机构标识。

b)三级域名为自定义域名。

自定义数据根据具体情况而定，区分大小写，可采用加密或支付标记化等技术进行保护。若二级域名为转接清算机构标识，自定义数据应包含可识别收单机构的信息。

自定义数据应明确标识静态收款码和动态收款码。静态收款码的自定义数据应包含商户标识，动态收款码的自定义数据应包含订单标识。收款码整体长度控制在500字节以内。宜设置风险防控、合规管理相关自定义域段，防范条码商户经营地址（注册地址）、交易限额等支付交易信息被伪造篡改。

在主要的数据收集方面，无论是收款扫码还是付款扫码都需要收集位置信息，具体数据元细目为经度信息与纬度信息。

这一要求与《中国人民银行关于加强支付受理终端及相关业务管理的通知》（银发〔2021〕259号）中，对条码支付需要明确其交易位置信息的要求相呼应。而且是在收付款双重维度，了解位置信息。

在安全要求方面，《规范》要求，不得留存非本机构的支付敏感信息，确有必要留存的，应取得客户本人及账户管理机构的授权后再进行不可逆变换或加密，并定期开展支付敏感信息安全的内部审计。

移动支付网注意到，相比《规范》送审稿，除了引用文件、参考文献紧跟最新发布的规定。正式稿完全去除了对技术架构的要求，而更加聚焦基础的名词定义与技术规范。

《规范》送审稿中条码支付互联互通技术架构图

此前《金融科技（FinTech）发展规划（2019-2021年）》要求，推动条码支付互联互通，研究制定条码支付互联互通技术标准，统一条码支付编码规则、构建条码支付互联互通技术体系，打通条码支付服务壁垒，实现不同App和商户条码标识互认互扫。

本次《规范》的发布，在标准和规范上对条码支付互联互通进行支持，对条码支付互联互通的推进具有里程碑意义。

点击下载《条码支付互联互通技术规范》