|
許世杰:行動支付全面解析,Apple Pay 創造新時代的真正意義2014 年 09 月 12 日 文/許世杰,酷米移動傳媒執行長 新時代的開端一年多來,關於 Apple 會進入支付服務的傳聞,終於在 2014/9/9 正式與 iPhone6 一起公開。然而,幾天下來,發現絕大多數的人其實都弄錯 Apple Pay 背後的意義,以及低估即將對支付產業所帶來的衝擊。 回顧過去半個世紀來,以卡片為基礎的塑膠貨幣獲得了巨大的成功。因此,到目前為止,幾乎所有關於「行動支付」的創新,都是在想盡辦法要將「以卡片為基礎」的支付行為複製到「行動設備」上;但是,這樣的思維,卻在實際市場的運作上遇到很多困難。例如:考量對資料安全性;第三方信任服務管理單位 (TSMs) 與發卡銀行間必需建立複雜的業務關連、以及共同分擔符合 [color=rgb(28, 97, 173) !important]PCI 規範的責任等等。 多數人解讀 Apple Pay 的創新價值時,都把焦點放在 [color=rgb(28, 97, 173) !important]NFC 感應以及指紋辨識,但其實不然。Apple Pay 並不是只依賴 Apple 自己的獨家技術;Apple Pay 的誕生,也不是 Apple 單向去遊說銀行後得來的。 Apple Pay 真正的意義,是關於 [color=rgb(28, 97, 173) !important]Tokenization 的實現,這是 Apple 與信用卡產業試圖互惠共贏的必然結果。這也是信用卡誕生五十多年來,首度發生革命性的轉變,也就是完全放棄「以卡片為基礎」的思維。而Apple 這個素來與金融支付產業並無淵源的公司,再一次的在跨產業的革命中,扮演關鍵性臨門一腳的角色。 信用卡的過去與現在[color=rgb(28, 97, 173) !important] 要解釋這場革命的真正內涵,我們必須先來回顧到目前為止信用卡的處理方式。 信用卡誕生五十幾年來,從來沒有離開以「卡片為基礎」的交易模式。也就是消費者必須示出卡片,然後交給商家,商家讀取卡片資訊後,與發卡銀行聯繫進行額度授權,授權成功後讓消費者簽名確認後留底。至於說,在這個過程中,商家讀取卡片資訊的方式,最早使用「機械式複印」,後來到變成磁條讀取,最後變成晶片讀取。這些讀卡技術的變化與演進,無非只是要降低這個以「卡片為基礎」的交易過程,所可能出現的各種風險。 對信用卡的經營者(主要是銀行)而言,可能的風險有兩大類,「偽卡風險」與及「盜刷風險」。盜刷風險指的是非持卡人冒名使用真卡消費。這點,由於持卡人有報失義務,商家有辨識簽名的義務,會與銀行一起分攤風險,所以其實不嚴重。真正嚴重的還是「偽卡」。為了降低偽卡風險,2004 年之後開始有了 [color=rgb(28, 97, 173) !important]EMV 晶片卡的標準。EMV 設備在歐洲的推動,證實可以有效降低偽卡在店面出現的機會。 然而,網路與電子商務的興起,卻對這種以卡片為中心的交易模式,構成了嚴峻的挑戰。由於實體卡片不可能交給網路另一端的商家,因此,卡片的交付變成了卡片資訊的直接交付。這造成卡片資訊的大量外洩,偽卡與冒刷從此無法區別。 此外,智慧型手機盛行後,行動商務興起,而行動支付成為行動商務的關鍵技術。不管是在手機購物 App 中直接進行遠端支付,還是拿手機當做電子錢包在賣場的 POS 機前進行近端支付,都會需要把原本的塑膠卡片進行數位化後移植到手機上。也因此產生了很多延伸的問題。 首先,發卡銀行要發行行動信用卡時,得想個辦法把卡片資訊經過某種加密方式裝到手機的晶片中。這個負責保護卡片資訊的晶片,叫做 SE (Secure Element)。至於 SE 晶片的形式,有直接放在手機中,有的與 SD 記憶卡結合,最新最常見的主流就是與手機上的 SIM 卡結合。 SE 與 SIM 卡結合有兩大好處,好處之一是可以讓手機的硬體設計與 SE 獨立,避免每支手機都要送 [color=rgb(28, 97, 173) !important]EMVCo 認證的困擾。尤其是對那些手機款式多,生命週期又短的手機廠商而言,這是最方便的方式。好處之二是前述的卡片資訊,可以透過電信公司的網路來下載到 SIM卡中,讓一支手機可以容納多張卡片的資訊。至於銀行發行具備 SE 功能的 SD 卡,因為會造成一支手機只能用一張信用卡,所以並不受消費者歡迎。 然而問題沒有結束,因為要透過電信網路 OTA(Over The Air)來下載卡片資訊到 SIM卡上,就有發卡銀行必須與電信公司合作的問題產生。例如說,如果 A 銀行沒有與 B 電信合作,那 A 銀行的客戶就無法使用 B 電信公司的服務來完成下載卡片資訊的動作。為了解決這個問題,所以電信公司之間,又合作組成一種 TSM 公司,專門負責幫銀行處理新卡的發行與 SE SIM 卡的提供。 至於在第一版的 Google Wallet 中飽受電信公司困擾的 Google,則在 Android 4.4 版中提出 HCE(Host Card Emulation)的技術,完全放棄硬體的 SE 元件,改以軟體搭配 NFC 晶片來模擬硬體的 SE 元件。 好了,即使如此大費周章之後,偽卡或盜刷的問題有全面解決嗎?還是沒有。因為只要卡片資訊需要流通到商家,卡片就仍然可能被複製或盜用。 Tokenization ,以資料標記為基礎的交易模式[color=rgb(28, 97, 173) !important] 釜底抽薪之計,就是全面廢除以卡片為基礎的交易概念,改成以一個某種隨機編碼的序號(稱為 token)來交易,也就是所謂的 tokenization。 意思就是,信用卡持卡人,要付款時,先透過手機連接某個「token服務」,先把卡號/帳號(PAN)變成一個 token ,然後將 token 透過某種介面交給商家。商家收到 token後,透過收單行傳給國際組織網路,再傳給發卡行,發卡行在透過相同服務還原這個 token 成為帳號,然後完成交易授權。授權成功之後,商家會得到一個針對該 token 的授權序號,商家的 POS 憑此就可以進行後續的請款。然而,這個 token 要不是只能使用一次,就是只能在特定時間內對特定的手機與商家有效,所以任何人包括商家在內,即使成功偷走該 token 也沒有用處。由於整個過程中,並不需流通卡片資訊,因此就可以徹底解決卡片資訊被盜用的問題。 這樣的方式,對於不具備計算與通訊能力的塑膠卡片而言,當然完全無法進行。但是對於具備聯網有又計算能力的智慧型手機而言,反而是最簡單安全的方式。更重要的,除了安全之外,前述為了把卡片移植到手機時所遭遇種種問題也跟著一起消失。尤其是完全免除電信公司介入,會讓這樣的方式更加受到手機商,信用卡國際組織,以及銀行的歡迎。 在 2013 年十月被 Visa、Master、AE 把上述的概念變成了標準,並且秘密的找來 Apple 與幾家資料服務公司一起實施這個標準。2014 年的春天,更進一步公開發表成為 EMVCo 的正式標準([color=rgb(28, 97, 173) !important]EMVCo Tokenization Specification v1.0)讓 MVCo 其他成員公司,包括中國銀聯,也開始推動。而 Apple Pay 就是基於這個新標準的第一個行動支付系統。 Apple 的角色很有趣的是,Apple 早在 2008 年就申請,並在 2011 年取得了一個類似使用 token 來處理行動支付的專利。所以,這個新標準的誕生,到底是 EMVCo 自己制定,然後主動尋求 Apple 的支持;還是根本就是 Apple 自己向 EMVCo 遊說倡議的,目前其實不得而知。 但不論如何,Apple 絕對具備有客觀的條件與主觀的意志,讓它成為推動這標準的關鍵性角色。 在客觀的條件部分, - iPhone 是個軟硬體整合的封閉系統,而且機種非常少,生命週期也長。這意思是,信用卡組織在審核 iPhone 時,時間會短很多。這也讓 Apple 可以輕鬆將 token 存放在手機本身的晶片中,而完全不需倚賴 SIM 卡以及電信公司的協助。
- Apple 可以輕鬆讓消費者把原本存在 iTune/AppStore 上的八億張信用卡帳號,轉變成 token 來存放在手機上,加速這個標準被接納的速度。
- Apple 有 Passbook,可以維持一個視覺上的卡片,讓使用者在支付時更合乎過去的習慣。
- Apple 有 Touch ID,可以與 token 的產出與發送結合,讓消費者進行付款時更加便利又更加安全。
在主觀的意志部分, - Apple 之所以遲遲沒有採行類似 Google Wallet 的方式來提供 NFC 支付,主要就是這樣的方式,必須倚賴電信公司或者特定的銀行。而這點與 iPhone 的哲學是違背的。所以,Apple 如果要進軍行動支付,勢必要找個可以不受制電信公司,也不受制銀行的方案。
- (updated: 2014/09/15) 多半的人,以為 Apple 在 iTune App Store 上儲存的那八億張信用卡號是個資產。其實剛好相反,它是個不定時炸彈。Apple 當然也很清楚,天下沒有攻不破的網站。所以,可以讓卡號不要保管在 Apple ,卻又可以在消費時與目前綁定卡號的方式一樣方便,就是 Tokenization 對 Apple 的吸引力。
- Apple 有強烈的需要提供行動商務App 開發者開發們一個和今天的 In-App-Purchase 一樣方便,但是可以處理更高的交易金額,可以買任何公司的商品,而安全性也更高的方法。
在上述主客觀條件相加乘之下,Apple 比任何人都有理由與能力,來積極支持這個新標準的誕生與快速普及。 Apple 與信用卡產業的雙贏[color=rgb(28, 97, 173) !important] 值得一提的,EMVCo 的標準並沒有定義商家到底如何讀取 token,它可以是 QR Code、Bluetooth、NFC、Wifi 等任何方法。因此,使用 Apple Pay 在行動App 中進行線上購物時,可以透過 API 直接存取 Passbook 中代表每張卡片的 token。在店面時,則可以透過 NFC,或者 Bluetooth 來傳遞 token。 也就是用一套 token 機制可以同時在多重渠道安全的處理個種不同的購物與支付場景。 因此,這次 Apple 在 iPhone 6 中加入了只支援 Card Mode 的 NFC 晶片,讓商家可以透過 Visa 或 Master 原本佈建的 NFC 讀卡機來讀取 iPhone 6 上的 token,其實是個利益交換的合理結果。 關於這點,就涉及六大國際發卡組織所合組的 EMVCo ,原本就計畫要在 2016 年前,讓 EMV 晶片設備像在歐洲一樣,大規模普及到整個北美零售市場。然而這個計畫的進展一直不是太順利。北美市場與歐洲市場最大的不同是,歐洲小型商家多,北美大型連鎖店多。即使一個新式的讀卡機只要增加 100 美金的成本,一家公司幾萬台加起來就是龐大的金額。因此,大型連鎖店如果沒有足夠的誘因,死也不願意更換。也因此,下一代感應式晶卡片,與感應式晶片讀卡機之間,就始終在雞生蛋與蛋生雞的循環之間拉鋸。銀行不願意發新卡,理由是機台不足。大型零售業者不願意換機台,理由是卡片不足。 然而這個僵局因為 Apple 的加入而解套。因為這些新式的 NFC 讀卡機可以兼容之前以卡片為基礎的舊模式,也可以支援 Apple Pay 以 token 為基礎的新模式。而且,對消費者而言,根本不需要區分兩種模式有什麼不同。拿實體晶片卡去感應,與拿 iPhone 6 的虛擬卡片去感應,動作完全相同,後續的結帳方式也完全相同。這意思是,單是今年底前,北美地區就立刻多出四千萬台 iPhone6 可以在各大零售店刷卡。單是這個數量就比目前北美地區的感應式信用卡還多。 如此一來,大型連鎖店不願意配合 EMV 新政的死結就打開,銀行也當然樂意配合發行新式的感應式信用卡給所有的持卡人。持卡人有 iPhone 的,可以選擇繼續用卡片,也可以選擇把卡片記錄到 iPhone 上,改用 Apple Pay 的服務來刷卡。持卡人沒 iPhone 的,可以繼續用卡片,當然也可以考慮買一支 iPhone6,而這就是 Apple 最終的算盤。 因為 Android 陣營要提供類似的產品與服務,最快恐怕要到 2015 年底了。 Apple Pay 誕生之後的行動支付產業對 iPhone 用戶而言,Apple Pay 的出現意味著,從此之後,不論是線上線下,遠端近端,大額小額,從此再也沒有任何差別。都是:打開 Passbook ,選擇卡片,傳送或感應,指紋確認,結束。過程中卡號都始終沒有流出,不再需要擔心卡號外洩。而且這裡的卡片,可以是 Credit Card 也可以是 Debit Card,一筆交易的金額可以是一美金,也可以是數萬美金。之後,甚至還可以換成用 iWatch 來感應。完全兼顧安全,彈性,簡單,方便。 9/9 當天,Visa 同步發表了 [color=rgb(28, 97, 173) !important]VISA Token Service。躲在 Apple Pay 背後的六家協力廠商,例如 FirstData ,也同步發表他們的服務。這意思是,不論是發卡行要加入,還是收單行要加入,所有的配套都早已經在等候。 對商家而言,不論你是大型連鎖商店,小型獨立商店,大型電商平台,還是小型品牌電商。你都可以使用 Apple Pay 所提供的 API ,或者購買 EMVCo 認證的刷卡機來加入這個陣營。除了更新一下結帳時所使用的技術與設備之外,一切都與過去使用 Credit Card 或 Debit 卡沒有不同,連手續費都沒有不同。 對銀行而言,不論是做發卡還是收單,只要做一下信用卡系統的局部升級就完成了。主要就是有把 PAN 轉換成 token 以及把 token 轉換回 PAN 的軟體。 對所有過去五年來在做行動支付創新的業者而言,這個新架構下還有很多軟體可以做,需要服務的商家與銀行也非常多,現在轉向還不遲。 對其他手機陣營而言,別擔心,Apple 的獨家最多到 2015 年。反正人家比你早三、四年布局,早你一年提供給客戶也是應該的。 對電信公司而言,以及由電信公司所組成的 TSM 而言。對不起,不管行動支付的未來是 Google 的 HCE ,還是 Apple 與 EMVCo 合作的 token,支付都和你無關。別再想了,弄好頻寬與存取服務才是電信公司的本業正途。 對 Apple、EMVCo 以及六大國際發卡組織而言,他們在行動支付產業後發先至,成為最大的贏家。 對政府而言,這就只是信用卡服務的技術升級,只需在原有的法律之下,進行必要的管理與稽核,完全不需要新的立法。 最後這點讓我想到,我一年多前唯一一次在官方場合的主張: - 未來電子支付的主戰場是行動支付,但行動支付卻不一定要是第三方支付。
- 第三方支付要納入管理的原因是涉及「代收」與「儲值」,它們有違約風險。但是行動支付最主要的應用場景卻多半不需要這二個元素。所以為了這二個元素花太多心力是弄錯重點。
- 因此,為了第三方支付去立個專法是浪費國家社會資源的無聊政策。
本文作者許世杰,Ph.D, Founder & CEO of QuMedia。學生時代念了數學,資訊,管理三個完全不同的領域。九年前因緣際會進入電視媒體,當了七年的資訊長與策略長;2009年起致力於結合軟體服務與行動裝置來打造移動新媒體。
關於本文作者,許世杰,台大資訊工程碩士,商研所博士。曾任東森媒體集團資訊長,東森購物策略長。2010年創辦酷米移動傳媒,從事與 Mobile Internet 有關的應用。目前正聯合兩岸三地的菁英從事 Mobile Beacon 的研發與應用。
Mobile Beacon 官網 www.airyzone.com
https://panx.asia/archives/23918
| 
