許世杰:行動支付全面解析,Apple Pay 創造新時代的真正意義
文/許世杰,酷米移動傳媒執行長
新時代的開端
一年多來,關於 Apple 會進入支付服務的傳聞,終於在 2014/9/9 正式與 iPhone6 一起公開。然而,幾天下來,發現絕大多數的人其實都弄錯 Apple Pay 背後的意義,以及低估即將對支付產業所帶來的衝擊。
回顧過去半個世紀來,以卡片為基礎的塑膠貨幣獲得了巨大的成功。因此,到目前為止,幾乎所有關於「行動支付」的創新,都是在想盡辦法要將「以卡片為基礎」的支付行為複製到「行動設備」上;但是,這樣的思維,卻在實際市場的運作上遇到很多困難。例如:考量對資料安全性;第三方信任服務管理單位 (TSMs) 與發卡銀行間必需建立複雜的業務關連、以及共同分擔符合 PCI 規範的責任等等。
多數人解讀 Apple Pay 的創新價值時,都把焦點放在 NFC 感應以及指紋辨識,但其實不然。Apple Pay 並不是只依賴 Apple 自己的獨家技術;Apple Pay 的誕生,也不是 Apple 單向去遊說銀行後得來的。
Apple Pay 真正的意義,是關於 Tokenization 的實現,這是 Apple 與信用卡產業試圖互惠共贏的必然結果。這也是信用卡誕生五十多年來,首度發生革命性的轉變,也就是完全放棄「以卡片為基礎」的思維。而Apple 這個素來與金融支付產業並無淵源的公司,再一次的在跨產業的革命中,扮演關鍵性臨門一腳的角色。
信用卡的過去與現在
要解釋這場革命的真正內涵,我們必須先來回顧到目前為止信用卡的處理方式。
信用卡誕生五十幾年來,從來沒有離開以「卡片為基礎」的交易模式。也就是消費者必須示出卡片,然後交給商家,商家讀取卡片資訊後,與發卡銀行聯繫進行額度授權,授權成功後讓消費者簽名確認後留底。至於說,在這個過程中,商家讀取卡片資訊的方式,最早使用「機械式複印」,後來到變成磁條讀取,最後變成晶片讀取。這些讀卡技術的變化與演進,無非只是要降低這個以「卡片為基礎」的交易過程,所可能出現的各種風險。
對信用卡的經營者(主要是銀行)而言,可能的風險有兩大類,「偽卡風險」與及「盜刷風險」。盜刷風險指的是非持卡人冒名使用真卡消費。這點,由於持卡人有報失義務,商家有辨識簽名的義務,會與銀行一起分攤風險,所以其實不嚴重。真正嚴重的還是「偽卡」。為了降低偽卡風險,2004 年之後開始有了 EMV 晶片卡的標準。EMV 設備在歐洲的推動,證實可以有效降低偽卡在店面出現的機會。
然而,網路與電子商務的興起,卻對這種以卡片為中心的交易模式,構成了嚴峻的挑戰。由於實體卡片不可能交給網路另一端的商家,因此,卡片的交付變成了卡片資訊的直接交付。這造成卡片資訊的大量外洩,偽卡與冒刷從此無法區別。
此外,智慧型手機盛行後,行動商務興起,而行動支付成為行動商務的關鍵技術。不管是在手機購物 App 中直接進行遠端支付,還是拿手機當做電子錢包在賣場的 POS 機前進行近端支付,都會需要把原本的塑膠卡片進行數位化後移植到手機上。也因此產生了很多延伸的問題。
首先,發卡銀行要發行行動信用卡時,得想個辦法把卡片資訊經過某種加密方式裝到手機的晶片中。這個負責保護卡片資訊的晶片,叫做 SE (Secure Element)。至於 SE 晶片的形式,有直接放在手機中,有的與 SD 記憶卡結合,最新最常見的主流就是與手機上的 SIM 卡結合。
SE 與 SIM 卡結合有兩大好處,好處之一是可以讓手機的硬體設計與 SE 獨立,避免每支手機都要送 EMVCo 認證的困擾。尤其是對那些手機款式多,生命週期又短的手機廠商而言,這是最方便的方式。好處之二是前述的卡片資訊,可以透過電信公司的網路來下載到 SIM卡中,讓一支手機可以容納多張卡片的資訊。至於銀行發行具備 SE 功能的 SD 卡,因為會造成一支手機只能用一張信用卡,所以並不受消費者歡迎。
然而問題沒有結束,因為要透過電信網路 OTA(Over The Air)來下載卡片資訊到 SIM卡上,就有發卡銀行必須與電信公司合作的問題產生。例如說,如果 A 銀行沒有與 B 電信合作,那 A 銀行的客戶就無法使用 B 電信公司的服務來完成下載卡片資訊的動作。為了解決這個問題,所以電信公司之間,又合作組成一種 TSM 公司,專門負責幫銀行處理新卡的發行與 SE SIM 卡的提供。
至於在第一版的 Google Wallet 中飽受電信公司困擾的 Google,則在 Android 4.4 版中提出 HCE(Host Card Emulation)的技術,完全放棄硬體的 SE 元件,改以軟體搭配 NFC 晶片來模擬硬體的 SE 元件。
好了,即使如此大費周章之後,偽卡或盜刷的問題有全面解決嗎?還是沒有。因為只要卡片資訊需要流通到商家,卡片就仍然可能被複製或盜用。
Tokenization ,以資料標記為基礎的交易模式
釜底抽薪之計,就是全面廢除以卡片為基礎的交易概念,改成以一個某種隨機編碼的序號(稱為 token)來交易,也就是所謂的 tokenization。
意思就是,信用卡持卡人,要付款時,先透過手機連接某個「token服務」,先把卡號/帳號(PAN)變成一個 token ,然後將 token 透過某種介面交給商家。商家收到 token後,透過收單行傳給國際組織網路,再傳給發卡行,發卡行在透過相同服務還原這個 token 成為帳號,然後完成交易授權。授權成功之後,商家會得到一個針對該 token 的授權序號,商家的 POS 憑此就可以進行後續的請款。然而,這個 token 要不是只能使用一次,就是只能在特定時間內對特定的手機與商家有效,所以任何人包括商家在內,即使成功偷走該 token 也沒有用處。由於整個過程中,並不需流通卡片資訊,因此就可以徹底解決卡片資訊被盜用的問題。
這樣的方式,對於不具備計算與通訊能力的塑膠卡片而言,當然完全無法進行。但是對於具備聯網有又計算能力的智慧型手機而言,反而是最簡單安全的方式。更重要的,除了安全之外,前述為了把卡片移植到手機時所遭遇種種問題也跟著一起消失。尤其是完全免除電信公司介入,會讓這樣的方式更加受到手機商,信用卡國際組織,以及銀行的歡迎。
在 2013 年十月被 Visa、Master、AE 把上述的概念變成了標準,並且秘密的找來 Apple 與幾家資料服務公司一起實施這個標準。2014 年的春天,更進一步公開發表成為 EMVCo 的正式標準(EMVCo Tokenization Specification v1.0)讓 MVCo 其他成員公司,包括中國銀聯,也開始推動。而 Apple Pay 就是基於這個新標準的第一個行動支付系統。
Apple 的角色
很有趣的是,Apple 早在 2008 年就申請,並在 2011 年取得了一個類似使用 token 來處理行動支付的專利。所以,這個新標準的誕生,到底是 EMVCo 自己制定,然後主動尋求 Apple 的支持;還是根本就是 Apple 自己向 EMVCo 遊說倡議的,目前其實不得而知。 但不論如何,Apple 絕對具備有客觀的條件與主觀的意志,讓它成為推動這標準的關鍵性角色。
在客觀的條件部分,
- iPhone 是個軟硬體整合的封閉系統,而且機種非常少,生命週期也長。這意思是,信用卡組織在審核 iPhone 時,時間會短很多。這也讓 Apple 可以輕鬆將 token 存放在手機本身的晶片中,而完全不需倚賴 SIM 卡以及電信公司的協助。
- Apple 可以輕鬆讓消費者把原本存在 iTune/AppStore 上的八億張信用卡帳號,轉變成 token 來存放在手機上,加速這個標準被接納的速度。
- Apple 有 Passbook,可以維持一個視覺上的卡片,讓使用者在支付時更合乎過去的習慣。
- Apple 有 Touch ID,可以與 token 的產出與發送結合,讓消費者進行付款時更加便利又更加安全。
在主觀的意志部分,
- Apple 之所以遲遲沒有採行類似 Google Wallet 的方式來提供 NFC 支付,主要就是這樣的方式,必須倚賴電信公司或者特定的銀行。而這點與 iPhone 的哲學是違背的。所以,Apple 如果要進軍行動支付,勢必要找個可以不受制電信公司,也不受制銀行的方案。
- (updated: 2014/09/15) 多半的人,以為 Apple 在 iTune App Store 上儲存的那八億張信用卡號是個資產。其實剛好相反,它是個不定時炸彈。Apple 當然也很清楚,天下沒有攻不破的網站。所以,可以讓卡號不要保管在 Apple ,卻又可以在消費時與目前綁定卡號的方式一樣方便,就是 Tokenization 對 Apple 的吸引力。
- Apple 有強烈的需要提供行動商務App 開發者開發們一個和今天的 In-App-Purchase 一樣方便,但是可以處理更高的交易金額,可以買任何公司的商品,而安全性也更高的方法。
在上述主客觀條件相加乘之下,Apple 比任何人都有理由與能力,來積極支持這個新標準的誕生與快速普及。
Apple 與信用卡產業的雙贏
值得一提的,EMVCo 的標準並沒有定義商家到底如何讀取 token,它可以是 QR Code、Bluetooth、NFC、Wifi 等任何方法。因此,使用 Apple Pay 在行動App 中進行線上購物時,可以透過 API 直接存取 Passbook 中代表每張卡片的 token。在店面時,則可以透過 NFC,或者 Bluetooth 來傳遞 token。 也就是用一套 token 機制可以同時在多重渠道安全的處理個種不同的購物與支付場景。
因此,這次 Apple 在 iPhone 6 中加入了只支援 Card Mode 的 NFC 晶片,讓商家可以透過 Visa 或 Master 原本佈建的 NFC 讀卡機來讀取 iPhone 6 上的 token,其實是個利益交換的合理結果。
關於這點,就涉及六大國際發卡組織所合組的 EMVCo ,原本就計畫要在 2016 年前,讓 EMV 晶片設備像在歐洲一樣,大規模普及到整個北美零售市場。然而這個計畫的進展一直不是太順利。北美市場與歐洲市場最大的不同是,歐洲小型商家多,北美大型連鎖店多。即使一個新式的讀卡機只要增加 100 美金的成本,一家公司幾萬台加起來就是龐大的金額。因此,大型連鎖店如果沒有足夠的誘因,死也不願意更換。也因此,下一代感應式晶卡片,與感應式晶片讀卡機之間,就始終在雞生蛋與蛋生雞的循環之間拉鋸。銀行不願意發新卡,理由是機台不足。大型零售業者不願意換機台,理由是卡片不足。
然而這個僵局因為 Apple 的加入而解套。因為這些新式的 NFC 讀卡機可以兼容之前以卡片為基礎的舊模式,也可以支援 Apple Pay 以 token 為基礎的新模式。而且,對消費者而言,根本不需要區分兩種模式有什麼不同。拿實體晶片卡去感應,與拿 iPhone 6 的虛擬卡片去感應,動作完全相同,後續的結帳方式也完全相同。這意思是,單是今年底前,北美地區就立刻多出四千萬台 iPhone6 可以在各大零售店刷卡。單是這個數量就比目前北美地區的感應式信用卡還多。
如此一來,大型連鎖店不願意配合 EMV 新政的死結就打開,銀行也當然樂意配合發行新式的感應式信用卡給所有的持卡人。持卡人有 iPhone 的,可以選擇繼續用卡片,也可以選擇把卡片記錄到 iPhone 上,改用 Apple Pay 的服務來刷卡。持卡人沒 iPhone 的,可以繼續用卡片,當然也可以考慮買一支 iPhone6,而這就是 Apple 最終的算盤。
因為 Android 陣營要提供類似的產品與服務,最快恐怕要到 2015 年底了。
Apple Pay 誕生之後的行動支付產業
對 iPhone 用戶而言,Apple Pay 的出現意味著,從此之後,不論是線上線下,遠端近端,大額小額,從此再也沒有任何差別。都是:打開 Passbook ,選擇卡片,傳送或感應,指紋確認,結束。過程中卡號都始終沒有流出,不再需要擔心卡號外洩。而且這裡的卡片,可以是 Credit Card 也可以是 Debit Card,一筆交易的金額可以是一美金,也可以是數萬美金。之後,甚至還可以換成用 iWatch 來感應。完全兼顧安全,彈性,簡單,方便。
9/9 當天,Visa 同步發表了 VISA Token Service。躲在 Apple Pay 背後的六家協力廠商,例如 FirstData ,也同步發表他們的服務。這意思是,不論是發卡行要加入,還是收單行要加入,所有的配套都早已經在等候。
對商家而言,不論你是大型連鎖商店,小型獨立商店,大型電商平台,還是小型品牌電商。你都可以使用 Apple Pay 所提供的 API ,或者購買 EMVCo 認證的刷卡機來加入這個陣營。除了更新一下結帳時所使用的技術與設備之外,一切都與過去使用 Credit Card 或 Debit 卡沒有不同,連手續費都沒有不同。
對銀行而言,不論是做發卡還是收單,只要做一下信用卡系統的局部升級就完成了。主要就是有把 PAN 轉換成 token 以及把 token 轉換回 PAN 的軟體。
對所有過去五年來在做行動支付創新的業者而言,這個新架構下還有很多軟體可以做,需要服務的商家與銀行也非常多,現在轉向還不遲。
對其他手機陣營而言,別擔心,Apple 的獨家最多到 2015 年。反正人家比你早三、四年布局,早你一年提供給客戶也是應該的。
對電信公司而言,以及由電信公司所組成的 TSM 而言。對不起,不管行動支付的未來是 Google 的 HCE ,還是 Apple 與 EMVCo 合作的 token,支付都和你無關。別再想了,弄好頻寬與存取服務才是電信公司的本業正途。
對 Apple、EMVCo 以及六大國際發卡組織而言,他們在行動支付產業後發先至,成為最大的贏家。
對政府而言,這就只是信用卡服務的技術升級,只需在原有的法律之下,進行必要的管理與稽核,完全不需要新的立法。
最後這點讓我想到,我一年多前唯一一次在官方場合的主張:
- 未來電子支付的主戰場是行動支付,但行動支付卻不一定要是第三方支付。
- 第三方支付要納入管理的原因是涉及「代收」與「儲值」,它們有違約風險。但是行動支付最主要的應用場景卻多半不需要這二個元素。所以為了這二個元素花太多心力是弄錯重點。
- 因此,為了第三方支付去立個專法是浪費國家社會資源的無聊政策。
關於本文作者,許世杰,台大資訊工程碩士,商研所博士。曾任東森媒體集團資訊長,東森購物策略長。2010年創辦酷米移動傳媒,從事與 Mobile Internet 有關的應用。目前正聯合兩岸三地的菁英從事 Mobile Beacon 的研發與應用。
Mobile Beacon 官網 www.airyzone.com
留言討論