条码与刷脸支付名词小词典:18个高频术语解读
条码支付和刷脸支付已经渗透到日常消费的每个角落,但背后的术语却让不少跨境从业者头疼。本文整理了一份高频名词小词典,帮你一次性理清。
条码支付核心术语:二维码、条形码、支付码、被扫与主扫
二维码 是条码支付最常见的形式,由黑白方块矩阵组成,存储URL、交易凭证等信息。支付场景中,二维码又分为静态码(如商户收银台贴纸,长期有效)和动态码(支付时实时生成,有效期短)。2026年的主流支付应用已广泛使用动态码,能有效防止被替换或盗刷。
条形码 是一维的条码,常见于商品零售,但支付中也用于扫码支付。它的信息容量比二维码小很多,通常只存储一串数字(如订单号或账户标识),扫码后由后台映射出真实账户。条形码支付在超市结账时用得多,扫描速度比二维码快,但安全性稍弱,因为容易被复印或截图。
支付码 是支付宝、微信支付等平台生成的条码或二维码,代表用户的付款凭证。支付码通常包含经过加密的令牌(token),不是直接暴露银行卡号。当用户打开付款页面,支付码会不断刷新(每秒或几分钟一变),防止被他人盗用。
被扫 指用户出示支付码,商家用扫码设备扫描完成扣款。这是国内最常见的支付场景,用户只需亮出手机,商家操作,省去用户手动输入的步骤。主扫 则相反,用户用手机App扫描商户的收款码,输入金额后自行确认支付。主扫在小摊贩、个人转账场景中更常见,用户掌握主动权。
刷脸支付专有名词:人脸识别、活体检测、3D结构光、红外摄像头
人脸识别 是刷脸支付的技术基础,通过摄像头捕捉面部特征,与预存模板比对确认身份。支付级的人脸识别要求精准度高,能排除双胞胎、化妆等干扰。2026年的人脸识别算法已能匹配数万个特征点,误识率控制在千万分之一以下。但注意,不同厂商的识别率有差异,选择时要关注实际场景的假拒率。
活体检测 是防止有人拿照片、视频或3D面具冒充真人。常见方法有:要求眨眼、张嘴、转头等动作交互,或者利用红外摄像头分析人脸的温感、反射特性。活体检测的强弱直接决定了刷脸支付的安全性。跨境支付场景中,不同地区的监管对活体检测等级有不同要求,比如欧盟要求采用强活体检测(如红外+3D)。
3D结构光 是一种深度传感技术,通过投射上万个小光斑到人脸,根据光斑变形计算出人脸三维轮廓。这是苹果Face ID最早采用的技术,后被刷脸支付终端广泛使用。3D结构光的好处是难以用平面照片或视频欺骗,因为平面的光斑投射结果会异常。但它对光线敏感,强光下表现可能下降。
红外摄像头 用于捕捉非可见光波段的图像,通常在光线暗或人脸有遮挡时提升识别率。红外图像不受环境可见光干扰,配合专用的红外LED补光,能在全黑环境下正常工作。很多刷脸设备同时配备普通摄像头和红外摄像头,双模态提升安全与体验。
支付安全相关术语:Tokenization、加密传输、风险控制、生物特征模板
Tokenization(令牌化) 是将真实的银行卡号或支付账户替换成一个随机生成的“令牌”(token),交易时只传输令牌而非原始账户。即使令牌被截获,也无法反推出真实账户。条码支付中生成的支付码本身就是一个token,有效期限短;刷脸支付中人脸模板与账户关联时也会使用token,避免直接存储人脸图像。
加密传输 指支付数据从手机或刷脸设备到支付机构服务器之间,采用高强度加密协议(如TLS 1.3)传输,防止中间人嗅探或篡改。此外,条码支付中对二维码内容也会进行签名或加密,确保扫码端识别出的信息未遭篡改。2026年的主流支付接口已强制要求端到端加密,但部分小型支付终端可能配置较低,需要关注。
风险控制 是支付机构在后台实时监控交易行为,判断是否存在盗刷、欺诈等风险。规则包括:单笔金额上限、同一设备短时交易次数、异地登录检测等。例如,一个账户在5分钟内连续被扫码10笔且每笔金额接近上限,风控系统可能自动拦截并要求二次验证。
生物特征模板 是刷脸支付中存储的数字化人脸特征,通常不是原始照片,而是算法提取的特征向量(比如一组数字)。模板的存储位置有本机(如手机加密芯片)或云端(需合规)。隐私法规要求模板不能被人眼还原,且需要用户授权使用。
支付流程术语:支付指令、支付网关、清算、结算、T+0/T+1
支付指令 是用户发起支付时向支付机构发送的电子指令,包含付款方标识、收款方标识、金额、时间戳等。条码支付中,扫码动作会生成支付指令;刷脸支付中,人脸识别通过后自动触发支付指令。指令需要数字签名确保不可抵赖。
支付网关 是连接商户收银系统与支付机构网络的技术中间件。商户的收银机将支付信息发给支付网关,网关进行协议转换、加密后转发给发卡行或支付平台。网关还负责处理支付成功/失败的回调通知。在跨境支付中,支付网关还要处理多币种汇率转换和不同地区监管要求。
清算 指支付机构之间或支付机构与银行之间,对当日发生的所有交易进行汇总、对账和轧差,计算出彼此间的应收应付净额。例如,支付宝收到用户A的100元付款,需要将100元从A的银行账户扣到支付宝归集户,然后与商家开户行进行清算。
结算 是清算完成后,将资金从支付机构账户划拨到商家银行账户的过程。结算周期有T+0(当日到账)、T+1(次日到账)或更长。商户与支付机构合同中会约定结算费率与周期。刷脸支付由于要处理高清人像信息,清算环节可能增加身份核实步骤,到账时间略长,但多数情况仍能做到T+0。
设备与硬件术语:扫码枪、刷脸设备、NFC近场通信、聚合支付终端
扫码枪 是最基础的条码支付读取设备,类似超市收银的手持激光扫描器。它发射红色激光扫描条码,反射光经传感器解码为数字。扫码枪对二维码的识读速度约为每秒钟10次,但需要保持对准和一定距离。现在扫码头还增加了摄像头式,能同时读取屏幕和纸质码。
刷脸设备 是专门用于人脸识别的支付终端,典型外形像一台平板电脑,带有3D结构光摄像头或双摄。设备内置防欺诈算法,常见于便利店、快餐店等自助收银场景。2026年刷脸设备的误识率已经非常低,但硬件成本仍高于扫码枪,所以多用于高客单价或需要核验身份的场所。
NFC近场通信 虽然不是条码或刷脸,但常与它们集成在同一支付终端上。NFC用于非接触式刷卡(信用卡、Apple Pay),设备支持多种支付方式能减少商户设备数量。聚合支付终端往往同时支持扫码、刷脸、NFC,一台设备搞定所有主流支付。
聚合支付终端 集成了多种支付方式的收银硬件,可以扫描用户的付款码、刷脸或读取银行卡。这种终端通常运行安卓系统,内置多平台的支付SDK,并处理交易路由、对账等功能。商户通过一个设备就能支持微信、支付宝、银联等,方便管理。
行业标准与监管术语:条码支付规范、金融科技监管沙盒、个人金融信息保护、国密算法
条码支付规范 是指央行发布的《条码支付业务规范(试行)》等文件,规定了条码支付的技术标准、风险防范和限额管理。例如,静态条码每日单笔上限500元,动态条码可达数千元。商户在境外接入中国支付网络也需遵守这些规范,否则可能被整改。
金融科技监管沙盒 是央行允许创新支付产品在可控范围内试运行的机制。比如刷脸支付在初期被纳入沙盒,限制交易金额,以防止大规模风险。2026年,刷脸支付已基本走出沙盒,但新技术的上线仍需经过安全评估和备案。
个人金融信息保护 指对支付过程中涉及的用户姓名、身份证号、银行卡号、人脸图像等敏感数据进行严格管理。法规要求支付机构不得随意存储原始人脸图像,必须加密传输,并取得用户知情同意。跨境支付中,还需符合欧盟GDPR或中国《个人信息保护法》的同等要求。
国密算法 是中国国家密码管理局发布的商用密码标准,如SM2、SM3、SM4。支付系统中的加密、签名环节越来越多地采用国密算法,以替代国际算法。例如,刷脸支付设备中的人脸特征模板传输可能用SM4加密,支付指令签名用SM2。商户在选择支付终端时,需要确认是否支持国密,以应对监管合规要求。
常见问题
条码支付和二维码支付是一样的吗
条码支付包括二维码和条形码两种形式,二维码信息容量大,条形码只能存储数字。日常说的扫码支付多指二维码支付。
刷脸支付需要采集完整人脸照片吗
不需要。支付系统只提取人脸特征向量(编码),不存储原始照片。而且特征模板会加密存储,且经用户授权才能使用。
被扫和主扫哪个更安全
被扫由商家扫码机读取动态支付码,码不断刷新,相对安全。主扫时用户自身需核实收款方,若扫到伪造成固定码则风险高,建议开启支付验证。
活体检测能防止视频攻击吗
能。需配合深度摄像头或动作指令,区分真实人脸与屏幕视频。红外活体检测能识别显示器的反射特性有效对抗视频攻击。
Tokenization对商户有什么好处
商户不存储原始卡号,降低数据泄露后的处罚风险。同时支付token可限定场景,即使泄露也只能在本商户使用。
刷脸支付设备需要定期更新吗
需要。算法厂商会定期升级人脸识别模型和反欺诈算法,硬件可远程OTA。建议每半年检查一次系统补丁。
条码支付在某些国家无法使用因为什么
原因包括:二维码标准不统一、当地银行卡组织不支持、监管要求采用NFC而非条码。需提前确认当地支付基础设施。