为从源头切实防范支付安全风险，2016年11月9日，中国人民银行发布《中国金融移动支付 支付标记化技术规范》，要求各商业银行、非银行支付机构、银行卡清算机构从2016年12月1日起全面应用支付标记化技术。

　　1 背景

　　1.1 为何要使用支付标记化？

　　近年来，全球范围内的银行卡信息泄露事件频发，采用支付标记化方案后，商户可以通过“支付标记”来替换主账号PAN信息，且该支付标记可限定在该商户下单独使用，从而消除风险。

　　1.2 什么是支付标记化技术？

　　所谓支付标记化技术，是由国际芯片卡标准化组织EMVCo于2014年正式发布的一项最新技术，原理在于通过标记（token）代替银行卡号进行交易验证。概言之，支付标记化技术是一种全环节的卡号替换机制，能有效保护用户信息、降低交易欺诈。

　　2 支付标价化技术简介

　　2.1 基本术语

　　1） 支付账号

　　具有金融交易功能的银行账户、非银行支付机构支付账户的编码，及银行卡卡号。

　　2） 支付标记

　　作为支付账号等原始交易要素的替代值，用于完成特定场景支付交易。

　　3） 支付标记化

　　用支付标记替换支付账号等原始交易要素的过程。

　　2.2 支付标记化参与方

　　支付标记化的参与方包括用户、商户、收单方、转接清算方、PA（PaymentAccount）发行方、标记请求方TR（TokenRequestor）、标记服务提供方TSP（TokenServiceProvider）。其中：

　　1） PA发行方为支付账号的发行方，如：使用银行卡则为该银行卡的发卡行、使用互联网支付账户则为该互联网支付机构等。

　　2） TR为发起支付标记化相关操作请求一方，如：商户、非银行支付机构等。

　　3） TSP为标记化框架的核心角色，提供Token的生成、管理、去标记化等功能，负责TR的注册和管理。TSP对PA发行方信息进行维护，确保PA发行方信息的真实性和有效性，并向TR、业务需求方提供数据接口。TSP可由商业银行、非银行支付机构、支付转接清算机构承担。

　　2.3 支付标记化主要流程

　　1） 支付标记申请

　　 用户向TR提交支付账号等原始交易要素信息；

　　 TR向TSP申请Token；

　　 TSP向PA发行方验证账户信息及用户身份信息；

　　 PA发行方将验证结果返回至TSP；

　　 TSP生成Token，并返回给TR；

　　 TR向用户返回Token。

　　2） 支付标记使用

　　在实际的交易过程中使用支付标记时，流程与现有基于PA的交易处理流程一致，仅在去标记化（验证支付标记与PA的一致性）操作时需要TSP完成标记的验证和还原，降低了交易过程中涉及的各参与方的系统改造成本和难度。

　　2.4 支付标记的安全保护

　　支付标记作为替代原始交易要素的手段，虽然可以保证在交易过程中不出现用户的原始支付账号的信息。但由于支付标记可用于完成交易，因此在交易过程中仍需采用技术手段对支付标记进行安全防护，防止支付标记被拦截、利用。

　　3 支付标记化意义

　　使用支付标记化技术对交易信息进行处理后，交易过程中使用支付标记信息即可，不再使用原本的支付账号信息，避免了支付账号信息的泄露。