經濟觀察報 記者 陳秀月 一紙文件讓宿凱最近的心情如過山車般跌宕起伏。

宿凱是一位二維碼支付創業者，從去年6月份拿到微信支付的接口后，花了半年多時間研發出基于二維碼支付的POS機。好不容易盼來了收獲期——2月底，微信涉足線下POS機業務的消息不脛而走，一場與之相關的發布會預計在3月底舉行，宿凱的產品也將正式面向市場。

但一切戛然而止，因為阿里巴巴和騰訊雙雙宣稱發布虛擬信用卡驚動了央行。

3月13日，央行下發緊急文件《中國人民銀行支付結算司關于暫停支付寶公司線下條碼（二維碼）支付等業務意見的函》，叫停支付寶、騰訊的虛擬信用卡產品，同時被叫停的還有條碼（二維碼）支付等面對面支付服務。因政策變動而受到影響的，不僅是像宿凱一樣的圍繞二維碼支付創業的人，還有為第三方支付提供收款設備的上市公司，如新大陸（000997.SZ）和證通電子（002197.SZ）。政策發布的第二天，新大陸遭遇5家機構席位甩賣，公司股價大跌10％。

本土便利店巨頭美宜佳之前在17個城市5500家門店推廣支付寶錢包條碼支付的熱情也被澆了盆冷水。支付寶人士在文件下發的兩三天后便建議美宜佳推遲一切推廣促銷活動。不過，一位不愿意透露姓名的美宜佳內部人士告訴經濟觀察報，目前所有門店的條碼支付未因為政策而中止使用。

處于事件核心的支付寶和微信支付也因此在線下支付市場和O2O市場的爭奪中，暫時偃旗息鼓。

疾駛中的二維碼支付，突然裝上了前所未有的政策剎車閘。押寶在二維碼支付這條產業鏈上的公司，此刻都屏息以待，安全性的考量是他們眼下共同面對的最大關卡。

排查安全漏洞

央行“開閘放行”的時間點雖仍未正式到來，但事情已有轉機。央行在19日召集相關人士進行了座談，密集討論了互聯網金融監管問題。與此同時，央行再次明確表態支持和鼓勵互聯網金融的創新和發展。就二維碼支付業務，央行定調：相關企業做好了風險識別和排查機制，并向央行報備，央行會再“開閘放行”。

央行此前的發文稱，條碼（二維碼）應用于支付領域有關技術、終端的安全標準不明確，相關支付撮合驗證方式的安全性尚存質疑，存在一定得支付風險隱患。

支付寶和負責微信支付業務的財付通人士均向經濟觀察報出示了一些防范的舉措。支付寶有關人士告訴經濟觀察報記者，支付寶發出的交易用的條碼和二維碼都經過獨立加密，本身不包含賬戶和交易信息。該人士稱，由支付寶生成的二維碼對應的信息只有一半，經掃碼槍等掃描設備后，必須傳遞到支付寶服務器上，與另一半信息匹配上，才能建立支付。商家的系統無法脫離支付寶的服務器而自行二維碼的解析。

一位不愿具名的業內人士與支付寶持類似觀點。他認為，使用條碼支付時，商家識讀條碼后跑的后續驗證和支付流程，一定是在支付運營方的系統中運行，而這套系統會設計一定的私密性，并且對登錄商家有許可登錄機制，以保證留痕和可控。

支付運營方的風險嫌疑被一點點排除。而從生成二維碼一端到識度二維碼的另一端，后端的風險被認為較小。新大陸有關人士稱，帳戶信息無論加不加密，被識讀后是否存在被泄露的風險，與該帳戶信息以何種方式被讀取無關。

安全漏洞的焦點轉移到隨處可見的二維碼。那些來歷不明的二維碼被業內人士認為是造成二維碼支付存在風險的主要環節。金山安全反病毒專家李鐵軍告訴經濟觀察報，目前消費者對二維碼的安全問題存在誤解，混淆了二維碼支付和掃二維碼的概念。他認為，安全的隱患主要在于，消費者掃描了被植入病毒的二維碼，用戶關鍵資料可能外泄，而不是支付過程。由此造成不法分子竊取了身份證號碼等信息，并用于盜取消費者財產的非法行徑。

今年“3·15”晚會曝光的二維碼一事中，便是用戶掃描惡意二維碼后，手機感染病毒。用戶身份證號碼、驗證碼等所有信息將被“網銀神偷”輕松獲取，竊取銀行卡賬戶余額。李鐵軍認為，上述事例發生在互聯網中。目前，生成二維碼的軟件隨處可得，造成互聯網上的二維碼隨處可見，安全隱患也倍增。他稱，如果二維碼支付在線下推廣開來，且對生成二維碼的源頭端沒有進行管控，上述的病毒事件也有可能發生在以手機為載體的移動互聯網。

據經濟觀察報了解，目前已有公司針對微信支付專門生產將交易金額等信息生成二維碼的類POS機設備。廣州云移公司已開發出一款具有上述功能、名為“掃付”的設備。記者從云移公司了解到，消費者挑選商品后，商家按結算價格在此設備上輸入金額，“掃付”會通過微信生成二維碼。去年6月，云移公司拿到了微信支付的接口，開始了該設備的研發。消費者用手機掃了上述生成的二維碼，即能跳轉到微信支付的頁面，輸入支付密碼，支付過程便完成。

李鐵軍擔心，一旦生成二維碼的設備大量運用于線下商戶的交易中，且沒有像POS機那樣由銀聯統一向商戶發放，缺乏規范標準將導致安全漏洞更大范圍地延伸到線下的移動支付當中。

一位從事二維碼識讀設備生產的人士告訴記者，生成二維碼是通過生成軟件，該生成軟件由碼制方公開發布，目前基本上都可免費使用。這意味著，二維碼生成設備的生產門檻較低。

上述已冒出苗頭但尚未普及到的“由商家生成，客戶掃碼”的支付方式不同于目前市面上已經在試點推行的方式。目前支付寶大力推行的是“由客戶生成、商家掃碼”的支付方式?？蛻粼谑謾C上下載支付運營方（比如支付寶）提供的APP，在支付時，客戶向商家出示顯示在手機上的代表支付帳戶的條碼，商家用掃碼設備掃碼后，商家輸入支付金額，客戶進行確認、密碼驗證等后完成支付。

但是，目前不排除一些企業和個人在商戶布設二維碼。面對外部的二維碼，支付寶稱僅向消費者提供識別對應信息的功能，且禁用下載文件的功能，以防被安裝木馬。

在新興的“由商家生成，客戶掃碼”的支付方式中，李鐵軍認為，若生成二維碼的設備由支付寶和微信統一發放給商戶，安全性更高。另一位支付界人士認為，如果二維碼的生成、掃碼到解析，由單一支付機構布置，形成了閉環后，則風險可控。

主讀模式與被讀模式之爭

在支付寶和財付通等處于支付環節的企業，在為安全問題焦頭爛額之時，有些企業盡管受到了牽連，回頭一看反而獲得了更大的發展空間。

雖然遭受了股價的大起大落，但新大陸方面認為，二維碼支付被暫停對其他行業、領域和客戶的條碼應用在無形中起到了正面的引導、促進和認識的作用，這對條碼產業的發展是極具意義和推進作用的事件。

目前的二維碼支付場景分為被讀式和主讀式兩種。被讀式，即是在用戶手機端形成二維碼后，由商家使用掃碼槍掃描。支付寶和微信支付普遍使用被讀式的支付場景。而有商家或外部生成二維碼，再由用戶以手機掃碼的主讀式，被認為風險系數更高。新大陸有關人士在回答投資者質疑時表示，“大家都理解手機被讀模式相比于主讀模式在安全性上更好一些，未來繼續推進時手機被讀模式應該更容易成為制定模式時被重視的方法”。

在被讀式的支付場景中，新大陸將迎來新的增長點。華創證券分析師段迎晟在研報中指出，相比手機掃碼速度慢，識別差錯高，二維碼POS　機硬掃碼更適合商業支付,支付寶和微信支付的競爭將使新大陸受益。

新大陸是目前國際上僅有的六家擁有二維碼核心技術的制造商之一，并在2010　年研發出全球唯一的二維碼解碼芯片。比起生產銀聯POS　機時與多家供應商競爭的白熱化程度，段迎晟認為，新大陸從解碼芯片到識讀引擎，再到掃描槍的一體化產品的競爭力遙遙領先。

記者從新大陸了解，該公司不僅有條碼業務線，同時也有POS業務線。新大陸目前已推出帶二維碼識讀功能的POS機具并已經產生訂單。海通證券分析師陳美風認為，受益于互聯網巨頭對線下支付的部署，二維碼識讀設備的銷售將被帶動。

主讀式支付場景的參與者事實上也并未被安全隱患而被一劍封喉。廣州云移公司CEO宿凱前幾天拿著公司生產的支持二維碼支付的設備前往支付結算司進行報備。宿凱告訴經濟觀察報，利用已拿到的微信支付接口，商戶利用這款設備能夠將交易金額轉化成二維碼，供消費者掃碼支付。

央行的暫行指令對這款新產品的招商造成了一定的負面影響，但是宿凱發現，市場的熱度、資本的熱度反而更加強烈。“我們覺得更多的是積極的影響。”他說。

廣州云移公司內部人士向記者透露，騰訊已對該設備產生濃厚的興趣，并對該公司表達出強烈的戰略投資意向。此外，拉卡拉也對公司有投資的意向。該人士稱，現在還處于初步接觸的階段。

正如許多業內人士所言，二維碼支付被暫停，無形中對條碼應用起到了正面引導和認識的作用。走在創新和風險的平衡木上，二維碼支付已經撕開了市場的一道口子。而市場的競爭機制將逐步消除安全隱患，讓創新形態百花齊放。“這股潮流是擋也擋不了。”宿凱說。