探析“商户一卡组织”线上支付模式

在电子商务快速发展的背景下，经由银行、支付机构的大力推动，我国线上支付业务得到广泛普及。在当前技术条件下，综合平衡安全性、便捷性、客户接受度和商业利益等因素后，市场中形成了几类主流的线上支付组织形式，包括强耦合的“商户一支付机构”模式、松耦合的“商户一支付机构”模式、网关型的“商户一银行”模式、综合型的“商户一卡组织”模式：这些组织形式在各个商业或细分领域均拥有一定的活跃度，能够代表当前我国线上支付组织形式的发展现状，并正在行业参与者的竞合作用下得到进一步的发展和演化。

国内线上支付组织形式现状和问题

　　1．“商户一支付机构”模式的耦合度由弱转强
　　
　　我国线上支付机构的产生和壮大源于电子商务平台的发展。早期的支付组织与电子商务平台是一个整体，后随业务发展需要做了拆分(耦合)处理，并在成为支付机构后不断扩大服务对象和范围。随着电子商务平台竞争的加剧，为了强化对自身信息资源的保护，减少甚至避免对竞争对手所辖支付机构的依赖性，尚不具有支付服务能力的大型商户开始着手收购和组建自身的支付机构。由于这些支付机构的社会认知度不强，几乎只服务于所属商户或商户群，对商户的依附性极强，形成了强耦合关系。京东收购网银在线就是典型案例。

　　 2．“商户一银行”模式缺陷明显

　　 在支付机构尚未发展壮大前，“商户一银行”是更为普遍的组织形式，并促成了“商户一支付机构”模式的发展。“商户一银行”模式的最大问题在于商户和银行的对接成本高企，形成了商户向银行映射的多对多网状关系。支付机构的商业模式就是将商户的支付功能单独抽离，以更小的支付平台集合来映射银行服务，大幅降低商户和银行的对接成本。网关是“商户一银行”模式的典型代表，由于对接成本高和操作不便捷等因素，已趋向边缘化。

　　3．“商户一卡组织”模式未能体现卡组织的核心竞争力

　　在中国银联的推动下，线上卡组织支付也占据了一定的市场份额。从发展方式来看，卡组织主要模仿了支付机构、银行网关等多种业务形态，以自身优势形成了单一入口和全网覆盖的服务形象。但卡组织至今未能发展出有别于行业竞争者并能大幅推广的商业模式，在市场中主要扮演了“拾遗补缺”的角色。追本溯源，卡组织的核心竞争力在于支付转接和清算能力，以及独立于实体商业的第三方地位。当前卡组织通过建立以持卡人为核心的线上用户体系直接参与市场竞争，反而束缚了自身发展。如果卡组织将线上用户和卡号管理前置到商户端，重点发展商户直通模式，不仅能够进一步提升支付便捷性，而且迎合了大型商户希望建立强耦合支付平台的需求，为搭建不依赖于支付机构的低成本线上支付平台提供了关键基础设施。

　　4．国内无法推动直通式“商户一卡组织”模式的主要原因

　　境外电子商务平台广泛使用了直通式的“商户一卡组织”模式，由商户负责保管持卡人信息并在交易时直接向卡组织发送支付指令。该模式在便捷性方面优势明显，但在安全性上有所欠缺。境内卡组织也曾在携程等商户推动过此类支付模式，但未能得到推广。国内无法直接复制该模式的一个主要原因，在于国内商户较弱的信息保护能力和意识，以及国内相对更差的网络安全环境。携程就曾发生过因技术失误导致客户卡信息泄露的重大风险事件，而在内控能力相对较差的中小机构推广该模式将面临更大风险。泄露的卡信息配以跨渠道诈骗手段，将极大威胁持卡人的资金安全。

　　综上所述，在没有新的技术和标准引入的前提下，我国线上支付仍将延续当前以“商户一支付机构”模式为主的发展态势，并在商业利益的影响下进行结构化调整。而“商户一卡组织”模式中的翘楚——商户直通模式，由于国内商业环境和网络安全等原因，使得卡组织无法施展拳脚。如果相关问题得到解决，“商户一卡组织”模式将兼具便捷和安全优势，再结合当前国内支付市场发展需要，很可能成为国内主流的线上支付模式之一。

Token标准的引入将促成新的线上支付生态环境

　　2014年，EMVCo发布《Payment Tokenisation Specification Technical Framework》，提出在支付指令中用Token替代账号的新安全标准，并且已经应用于Apple Pay等支付产品。Token标准将完善当前银行卡产业的安全防范体系，在持续强化持卡人身份认证信息的同时，大幅加强了对卡面信息的保护，将有效打击跨渠道银行卡犯罪。Token标准可以解决“商户一卡组织”模式中的信息保护问题，有可能成为我国线上支付格局变化的催化剂。

　　1．Token原理介绍

　　Token体系中，除了保留卡支付参与者链条中的发卡行、收单行、转接机构等角色外，还引入了Token服务提供方和Token请求方两个角色。Token服务提供方的角色一般由卡组织承担，也可由独立第三方承担。Token请求方的角色可以视业务模式由商户、收单机构(银行或支付机构)、发卡行、移动终端等卡支付参与者承担。

　　持卡人在首次通过Token进行支付前，需要将卡账号Token化。Token化过程如图1所示。持卡人通过Token请求方向Token服务提供方请求Token，Token服务提供方在向发卡行验证持卡人身份信息后为Token和账号建立映射关系，并向Token请求方返回注册的Token。从更为安全的角度，如果由商户或电子钱包担任Token请求方角色，持卡人在提交Token申请时可以不输入账号信息，而是在跳转至卡组织或发卡行界面后再输入账号信息。最终返回的Token在形式上和账号无异，也有到期日等属性，但其BIN号须与普通账号严格区分。

图1 申请Token的过程

　　在账号Token化之后，每次交易时只需提供Token信息，交易过程如图2所示。商户或电子钱包经由收单机构向卡组织提交基于Token的支付指令，卡组织在转接时向Token服务提供方申请“去Token化”，获取真实账号后再向发卡行提交扣款请求，并将结果返回收单机构和商户。在此过程中，除卡组织和发卡行外，其他环节都无法接触账号信息，信息保护的风险敞口大幅缩小。

图2 基于Token的交易过程

　　 2．账号Token化的意义

　　 Token和账号的最主要区别在于Token的有效性必须基于支付场景，Token可以与受理渠道、商户代码、交易金额等属性绑定。也就是说，通过某个线上商户获取的Token将只能用于该商户的线上交易，将Token挪用于其他渠道或商户将被Token服务提供方判断为非法交易。在这种机制下，卡支付在每一个用途、每—介商户或者指定属性的限制下都将产生一个惟一的Token，卡号和Token是“一对多”的关系。一旦账号被Token替代后，鉴于Token的专用性，Token的信息价值远低于账号，Token的保管方和支付交易各方关于账号信息保密存储和发送的要求将大为降低，即使发生了Token泄露风险，卡组织或发卡行可以很便捷地为持卡人在线换发Token，成本远低于更换实体卡片。

　　3．基于Token的“商户一卡组织”线上支付模式的基本设计

　　引入Token标准后，“商户一卡组织”模式可在大幅度降低账号泄露风险和代价的前提下，将持卡人信息管理功能从线上转接和清算功能中剥离，转而交由经认证的Token请求方管理。对于线上支付，Token请求方很可能是线上商户。

　　线上商户在申请成为Token请求方时，应与卡组织签订权责协议，其中最重要的内容是对客户身份的认证和支付意愿的核验。在账号Token化时，商户已经绑定了用户和Token之间的关系，其必须在今后确保用户身份的真实性进而确定其对Token的拥有权。在实际支付时，商户可根据金额大小、交易行为的历史相符性等因素向用户提供动态密码等附加验证功能，进一步核验其支付意愿。所有核验工作完毕后，商户才能向卡组织提交基于Token的支付请求(逻辑上，商户会绑定—个收单机构来获取入账服务，并且需要通过收单机构的实名制审核。但在交易时，信息流无须通过收单机构向卡组织发送)。卡组织收到支付请求后，将根据Token标准流程去Token化，并按卡组织规则进行转接和清算。整体过程如图3所示。

图3 基于Token的“商户一卡组织”线上支付过程

　　此模式下，线上商户管理用户卡信息并核验支付意愿的行为类似于支付机构，但又有本质区别。一方面，由于商户掌握更多的交易数据，具备更强的防欺诈数据分析条件，而且即使出现风险事件，犯罪分子在大多数情况下也无法及时获取实际利益(对于快速套现类客户，卡组织可以禁止其使用直通式扣款方式)。另一方面，商户不实质管理资金流动，相关工作由卡组织和收单机构提供，商户在承担部分支付管理职责的情况下无须申领支付机构牌照。

国内推动基于Token的“商户一卡组织”线上支付模式的可行性

　　近几年支付机构的快速发展一定程度上得益于相关业务模式缩短了卡支付的参与者链条，机制优势很大程度上造就了支付机构的成功。对于“商户一卡组织”模式在国内推动的可行性问题，主要应从以下三方面分析。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文