基于银行卡的个人支付手段与支付模式探讨

摘要：本文通过分析基于银行卡个人支付手段的交易流程，指出基于POS、ATM传统机具的支付模式存在较大的金融信用风险，并存在资源稀缺性的缺陷；而基于移动终端或电话终端的支付模式比基于POS、ATM的支付更具有可普及性，且金融风险得到了降低；随着生物识别技术的发展，基于生物识别的支付模式可能是未来的一个发展方向。生物识别具有唯一性，在这种模式下，金融风险会得到最大限度的降低。

关键词：银行卡；个人支付手段；金融风险

中图分类号：F830　文献标识码：A　文章编号：1006－1428(2007)09－0084－04

本文旨在通过分析银行卡各种支付模式的工作机理，发现各种支付模式存在的缺陷及交易过程中可能存在的金融风险，为进一步完善、改进和丰富支付模式提供依据，促进我国银行卡个人支付更好更快地发展。

一、基于POS、ATM等传统机具的个人支付手段

利用POS刷卡消费和利用ATM取现已经是城市居民司空见惯的现象。以POS刷卡并带密码验证的消费交易为例，一笔交易从发起到结束的全过程如下：持卡人在POS终端上刷卡，并输入个人密码；POS在进行简短的信息处理之后，把信息转发到收单机构(指直接与商户进行交易资金结算的金融机构，一般是银行)；收单机构把交易信息转发给信息中介组织(银行卡联合组织，银联)；信息中介组织根据银行卡的相关信息，判断卡的路由方向，并把交易转发到发卡银行；发卡银行对交易的有效性进行校验并做出裁决，决定交易的成功与否，并把交易的应答结果按照原路返回给POS。在顾客签单之后，一笔交易就宣告完成。

分析以上的交易过程，我们可以发现上述交易的特点：1、以银行卡磁道信息、个人密码和银行卡对应的账户信息作为判定交易的基础；2、交易环节较多，任何一个环节出现问题，都可能造成交易的中断甚至可能造成错账的发生；3、交易的任何一个环节都可以获得银行卡的相关信息。在银行卡发展的早期，由于交易网络的不发达，银行卡交易成功率较低，影响了银行卡产业的发展。近年来，随着我国基础设施的发展和科技的进步，交易网络日趋完善，交易成功率也逐渐升高。但是，利用克隆的伪卡犯罪的所谓“高科技犯罪”现象层出不穷。由于伪造带密码验证功能的银行卡需要同时知道银行卡的磁道信息和个人密码，以下三类人群最有可能掌握完全信息：1、交易发起方利用相关设备偷盗客户银行卡的磁道信息和个人密码；2、交易中介方(收单机构和信息中介组织)工作人员解密收到的客户磁道信息和个人密码；3、发卡机构工作人员盗取客户的磁道信息和个人密码。目前在中国，收单机构、交易中介方和发卡机构均为金融机构，如果发生大面积的银行卡盗刷现象，不仅会给金融机构带来资金损失，并导致金融信用风险，会极大地降低居民对金融机构的信任度。

为了降低银行卡支付的风险，金融机构一般通过如下手段来增加支付系统的安全性和可靠性：1、针对磁卡人磁道信息可能被盗录的情形，采用从磁条卡向芯片卡迁移的手段来降低信息被盗录的可能性。从磁条卡向芯片卡迁移就是银行卡产业界所称的“EMV迁移”。EMV迁移最早由Euro-Pay，Master和Visa三家银行卡联合组织发起，并在欧洲及其他发达地区得到了成功推广。我国几大银行也基本完成银行卡的收单系统改造以适应EMV卡的需要，下一步主要是发行符合EMV规范的芯片卡。2、针对交易环节中可能的内部人信息泄漏，采用加强银行卡磁道信息安全管理、加强用户密码加密强度、进行报文完整性验证等方式来增加犯罪的难度。3、加强对交易过程的监控，实时发现可疑交易。有的金融机构还在卡内金额发生变动时，采用短信通知的方式及时通知持卡人以降低风险。虽然利用这些方式可以降低银行卡支付的风险，但不能完全避免上述情形的发生。

POS、ATM支付方式除了存在上述的金融支付风险外，还有一个问题是支付设施的稀缺性。虽然最近几年，银行大力发展收单业务，增大POS商户的数量，扩大对ATM的投资，但目前POS支付方式尚不能完全覆盖到地级市。而ATM因为它高昂的购置成本和维护成本也很难在中小城市得到大力推广。要普及银行卡支付必须依靠新的支付模式。

二、基于移动终端或电话终端的个人支付手段

移动终端是目前我国保有量最大的通讯工具。信息产业部的统计资料表明：截至2006底，国内移动通信用户已经达到了4.6亿，普及率达到了35％。移动终端由于其普及性和操作方便性被银行卡产业界作为下一个主要的支付手段。依据移动支付采用的技术路径不同，可以把移动支付分成三种模式：1、基于短消息、USSD(非结构化补充数据)等采用短信信令通道的短信支付方式；2、采用wap方式进行的网上支付方式；3、采用NFC(Neay Field Communication)方式进行的近距离非接触支付方式。

(一)短信支付方式

短信支付方式是整合移动运行商和银行卡中介组织(银行卡联合组织、发卡行)等信息网络的一种支付方式。根据合作方的不同，可以分成移动运营商+银行卡联合组织和移动运营商+发卡银行两种方式。

发生交易之前，持卡人必须通过签约方式同意把指定的手机号码和银行卡绑定起来，并开通移动支付功能。并且为了安全起见，发卡银行应该为银行卡的移动支付设置最大单笔交易金额限制和指定时间段单位内最大累积交易金额限制。发卡行还应该为银行卡的移动支付功能提供与ATM取现、POS消费、网上支付等不同的密码，以降低银行卡信息泄漏的风险。

在采用移动运行商+银行卡联合组织合作方式下，一笔移动支付的交易流程为：

1、持卡人通过移动终端，输入所购买商品、支付金额和手机支付密码等信息，并将信息发送到移动通讯公司的指定服务代码；

2、移动通讯公司把移动号码信息转换成用户的卡号信息并按照与银行卡联合组织约定的格式把交易信息转发给银行卡联合组织；

3、银行卡联合组织根据银行卡信息来判定交易路由，并把交易转发给发卡银行；

4、发卡银行对交易的有效性进行校验并做出裁决，决定交易的成功与否，并把交易的应答结果按照原路返回给移动通讯公司；

5、移动通讯公司向用户移动终端发送短信通知交易成功与否。

交易流程如图1所示：

在移动通讯网络+银行卡联合组织网络模式下，交易的安全性在移动终端至移动运营商的移动支付网关之间的安全由移动通讯网络内部安全系统来保证；在金融专网内部，采用传统的加密系统进行加密；在移动通讯网络与银行卡联合组织之间采用双方约定的加密方式加密。

采用该模式最大的好处就足终端的可得性、可用

性。只要移动终端有短信发送和接收功能，就能够在完全不进行改造的情况下方便地进行金融交易。中国数以亿计的移动通讯用户都是潜在的移动支付客户群。同时，移动终端作为信息接收的载体也是商家支付类广告的最好平台，能大大降低广告成本。庞大的消费群体，低廉的交易成本，较低的广告成本都成为银行卡组织和移动通信运行商看好该市场的主要原因。

但是，该模式也有它不利的一面。在该模式下，很难完成现场交易。所谓现场交易指的是面对面、有实物交割的交易。目前，该模式主要应用于公用事业缴费(水、电、煤、通讯费用)、、点卡购买等不需要进行实物交割的交易中。另外，由于要进行移动终端代码和银行卡卡号之间的转换，移动通讯运营商或者银行卡联合组织必须保留用户的移动终端代码信息和银行卡信息，这也会给持卡人带来潜在的安全风险。该模式存在的上述缺陷决定了它只是一个过渡性的移动支付解决方案，银行卡产业界都在寻找新的发展模式。

移动运营商+发卡银行的合作模式与移动运营商+银行卡联合组织合作模式交易流程大致相同，主要区别在于：移动运营商为发卡银行提供单独的短信接入号码，中间不再需要银行卡联合组织进行交易路由。移动运营商+发卡银行的合作模式与前一个模式存在相似的优缺点。基于短信的传统通信并没有特别高的安全要求，移动端安全性能问题可能会成为制约发展的一个隐患。

(二)网上支付方式

众所周知，市面上较为流行的移动终端都提供无线上网功能。Wap就是一种采用移动终端上网的方式。在采用wap方式进行移动支付时，移动终端只是提供了一个无线上网的方式。基于wap的网上支付与其它的网上支付模式本质上没有什么不同，在此不再赘述。

(三)近距离非接触式支付方式

NFC是由飞利浦NXP(原飞利浦半导体公司)和诺基业共同开发的一种近距离无线通信技术，这种技术可以和无线RFID3(Radio Frequency Identifi-cation)的基础架构兼容，还可以同样的方式阅读卡，可实现双向信息的传送和阅读。NFC技术目前已经在多个行业得到了广泛应用。由于应用NFC技术的移动支付方式能解决其他方式不能解决的现场支付问题，因而它得到了移动运营商和银行卡产业界的一致青睐。

在基于NFC的支付方式下，一笔典型的移动支付的现场支付交易流程为：

1、用户在POS商户处选购商品，并进行结算，进入支付流程；

2、用户将具有NFC支付功能的移动终端靠近具有NFC信息阅读功能的POS终端，POS终端获取加密后的用户的磁道信息和银行卡卡号信息；

3、在用户输入密码后，POS终端将交易信息和加密后的银行卡信息发送到收单机构；

4、收单机构通过交易要素判断交易渠道为移动支付，并发送到专门处理移动交易的移动支付平台；

5、移动支付平台解密收到的银行卡信息，并根据银行卡信息来选择交易路由，通过银行卡交易网络把交易发送给发卡方；

6、发卡方验证交易后，决定是否批准该笔交易，并把应答信息通过原路径返回给POS终端。

通过以上流程图可以发现，基于NFC的移动支付与传统的基于POS的支付交易流程大致相同，区别主要体现在两个方面：

1、传统上是由POS直接阅读银行卡磁道信息，而移动支付模式下是从移动终端获取加密后的银行卡信息。从而，减少了用户随身携带银行卡的麻烦，并降低了银行卡丢失造成损失的风险；同时由于POS获取的是加密后的银行卡信息，从而在一定程度上降低了银行卡信息被盗录的可能。但是，需要有安全方便的手段把用户的银行卡信息下载到移动终端中。目前，银行卡信息下载一般采用“空中下载”技术。

2、基于NFC的移动支付交易信息要发送到专门处理移动支付的支付平台，并进行解密处理。从而在每笔交易之前，移动支付平台需要与移动终端约定支付密钥。目前，约定支付密钥一般采用如下流程：首先，移动终端的芯片一般由移动支付平台持有者发放，并事先储存了一个主密钥；

在每次交易时，移动终端随机产生一个随机字符串，作为工作密钥，并用该工作密钥加密银行卡卡号信息；同时在交易时，把用主密钥加密后的工作密钥与银行卡信息一起上送给移动支付平台。移动支付平台在收到交易信息后，首先根据移动终端唯一ID来获取主密钥，并用主密钥去解密加密后的工作密钥；然后，利用工作密钥去解密加密后的银行卡信息。

基于NFC的移动支付最大的优点是充分利用了传统上的银行卡支付渠道，从而保护了既有投资，并降低了持卡人和商户培训成本；同时，基于NFC的移动支付在一定程度上增强了银行卡交易的安全性，避免了银行卡信息在商户端被盗录。

从银行卡产业界来说，基于NFC的移动支付方式可能是最好的选择。但从移动运营商的角度来看，这种方式未必是最好的选择。移动运营商在基于NFC的支付方式中的参与主要体现在利用“空中下载”方式为用户移动终端植入银行卡信息。作为坐拥亿万用户的运营商，在移动支付方面可能会有自己更好的选择。

三、其他支付方式的展望

基于移动终端或电话终端的个人支付方式比基于POS、ATM的支付方式无论在安全性和可普及性方面都更胜一筹。而基于生物识别的支付方式在安全性上会更有保证。

目前，生物识别技术的发展如火如荼，基于生物识别的应用也越来越多。声音、指纹、虹膜等在理论上都具有唯一性。只要绑定用户的生理特征与银行卡信息，理论上就可以形成一种新的支付方式。基于生物识别技术的支付模式要求发卡机构或者中介结构把用户银行卡信息与用户的生理特征进行绑定，还要求商户终端能够正确阅读用户的生理特征。

基于生物识别的交易流程主要为：

1、在交易进入支付结算时，销售点利用设备获取持卡人生理特征信息；并与交易信息一起上送到收单机构；

2、收单机构根据持卡人生理特征信息获取持卡人的银行卡信息并把交易信息发送给银行卡联合组织；银行卡联合组织把交易转发给发卡方；

3、发卡方验证交易后，决定是否批准该笔交易，并把应答信息通过原路径返回给销售点。

目前基于生物识别的支付并没有得到广泛的应用。主要原因是用户特征信息一般只能在发卡方与银行卡之间绑定，收单机构无法从生物特征直接识别出卡号并进行下一步处理。从而，指定的销售点只能接受特定银行的银行卡，降低了该种支付模式的适用性和普及性。目前，基于指纹的支付模式已经在社保以及部分银行得到应用。

随着技术的进步，我国金融制度和金融体系的不断完善，基于银行卡的个人支付手段会越来越丰富，普及率会越来越高，同时金融风险也会不断降低。

四、结论

基于银行卡的个人支付模式以其高效、便利、安全等特点，在消费支付领域受到越来越多人的欢迎。在美国，卡支付已经逐步替代现金、支票等纸质支付工具，成为个人支付方式的主要发展方向。2004年，美国个人消费支出中，有37.73％是通过卡支付方式完成的。

在我国，POS、ATM资源的稀缺性限制了银行卡个人支付的快速发展；基于移动终端的卡支付模式更具有可普及性，2006年我国移动通讯用户已达到了4.6亿。其中基于移动终端的近距离非接触式支付方式能够解决其他移动支付方式不能解决的现场支付问题，又利用了传统的银行卡支付渠道，保护了既有投资，降低了持卡人和商户培训成本，得到移动运营商和银行卡产业界的一致青睐；目前，基于生物识别的卡支付模式是一种新兴的非常安全的支付方式。

随着信息技术的不断发展，银行卡受理范围的不断扩大，基于银行卡的个人支付手段会越来越丰富，普及率会越来越高，同时金融风险也会不断降低。