第211期 / May 5, 2015

產業觀察

分享到臉書!分享到維特!分享到噗浪!分享到Google+!分享到微博!轉寄友人友善列印

淺談非接觸式行動支付發展

作者/蕭家緯

[發表日期:2015/5/5]



前言

根據資策會產業情報研究所(MIC)於2015/03/10所公佈「台灣行動支付需求調查分析」指出:如果將使用者『聽過行動支付』,而且『自己所使用之手機適用於行動支付』定義為『具備行動支付條件』之消費者,則『具備行動支付條件』之消費者已佔有台灣消費者整體之16.5%。其中4.8%『具備行動支付條件』之消費者已實際開始使用行動支付付款,未使用者則佔有11.7%。雖然『具備行動支付條件』之消費者仍然不多,已實際開始使用行動支付者更少,但隨著國內跨五大電信公司合作的『群信行動數位科技』公司的信託管理服務平台(TSM, Trusted Service Management);以及由聯合信用卡中心、台灣票據交換所、財金資訊公司及卅二家金融機構發起成立『臺灣行動支付』公司之「金流信任服務管理 (Payment Service Provider, TSM)平台」相繼推出,2015年或將成為台灣行動支付市場正式由萌芽期進入發展期階段之關鍵年。



非接觸式行動支付大致發展出三種運作模式

非接觸式行動支付經過近十年摸索發展,逐漸傾向手機內建近場通訊(Near Field Communication,NFC)晶片並搭配無線射頻(Radio Frequency, RF)天線之趨勢。截至目前為止非接觸式行動支付大致發展出三種運作模式:

一、通用晶片卡(Universal Integrated Circuit Card, UICC)模式

由行動支付網路服務商(Mobile Network Operator, MNO)所主導,主要係透過整合手機SIM卡與單線連接協議(Single Wire Protocol, SWP)安全元件(Secure Element, SE) 成為SWP SIM,只要手機可支援NFC功能即可用於行動支付。由於主要發卡組織對此種模式投資所費不貲,故在過去十年來廣泛為非接觸式行動支付市場參與者所採用。
在此種模式之下又可根據TSM平台主導參與者屬性衍生出二種類型:
1、由安全元件發行商(Secure Element Issuer, SEI) 信託管理服務平台─即MNO TSM,代表MNO管理UICC卡內容,以及UICC卡APP之安裝。群信公司所建構之TSM平台即屬於此種類型。
2、由發卡服務公司(Service Provider) 金流信任服務管理平台─即SP TSM,代表發卡公司處理UICC卡行動支付相關敏感性個資內容。臺灣行動支付公司所建構之PSP TSM平台即屬於此種類型。




二、嵌入式安全元件(Embedded SE, e-SE)模式

由手持裝置製造商直接在手機內建數位卡片存摺(Digitized Card Passbook)及電子錢包,此款手持裝置擁有者,隨時可將參與此行動支付平台發卡商(與手持裝置製造商簽約加入此行動支付平台之發卡商)的數位卡片加入裝置中,即可於APP或實體參與店家消費時選取作為支付卡片。蘋果公司在2014年10月在美國推出的內建於iPhone 6 和iPhone 6 Plus 的Apple Pay即為e-SE模式,未來將陸續在歐洲上架,並擴大內建於iPad Air 2、iPad Mini 3以及Apple Watch等手持或穿戴裝置之中。消費者在網路消費時係透過該網路商店iOS App,與Apple Pay行動支付平台整合之機制,作為交易付款的安全認證;如在實體商店消費,則須透過手持行動裝置指紋辨識機制(Touch ID)授權確認,藉此取代UICC模式中之安全元件。

e-SE模式所建構之行動支付解決方案,係透過以下三方行動支付憑證化主體(the Payment Tokenization framework) 來達成:
1、手持裝置製造商e-SE主導行動支付應用(Mobile Payment Application, MPA)。
2、安全元件發行商(SEI)TSM平台可加入e-SE平台提供MPA。(例如群信可與Apple Pay整合後,即可提供蘋果手持裝置消費者透過群信TSM平台使用Apple Pay行動支付功能。)
3、帳戶管理平台TSM,可透過各個參與平台之發卡商分別與e-SE平台整合後,提供持卡人卡片數位化作業。(例如台灣行動支付平台各個參加發卡商可與Apple Pay整合後,提供持卡人在蘋果手持裝置中,加入數位化卡片,作為可供選取用於Apple Pay行動支付交易付款之卡片。)



三、雲端(Cloud-based)虛擬卡(Host Card Emulation, HCE)模式

透過行動裝置作業系統韌體支援卡片虛擬(HCE)的功能,由使用該行動裝置作業系統韌體所撰寫開發之APP,直接與非接觸式感應讀取裝置進行通訊,達成非接觸式行動支付之應用。此模式與前二者最大的差異在於搭配EMV(Europay, Master Card & VISA共同成立之組織,目的在制定並管理維護EMV支付晶片卡之規格、標準與認證,JCB、AE以及中國銀聯等皆已先後加入該組織。)卡憑證規格制定權(EMV Tokenization initiatives)取代SE,轉換為雲端存取方式支援行動支付之應用。

HCE雲端模式藉由遠端主機所提供之憑證,作為執行並同步化MPA每一筆(或每一批次) 支付交易之安全機制,可同時應用於非接觸式感應以及遠距支付(remote payment)交易。透過EMV特定規格化之憑證,將持卡人實體卡號(Primary Account Number, PAN)以其他交易相關數值 (即所謂付款憑證-Payment Token) 代替。付款憑證可限縮持卡人隱私個資的曝露範圍,並依特定支付通路、消費者使用裝置或商店分別產生,以避免三者之間彼此的偽冒勾結。MPA平台串連付款憑證(Payment Token)與其他額外增加之資料產生單筆交易唯一值(transaction-unique)之憑證密碼 (cryptogram),確保每一筆交易的安全性。



結論

Google公司早在2013年10月所發佈Android 4.4版奇巧(Kit Kat)巧克力作業系統韌體即開始支援HCE功能,但卻由Apple在2014年10月發佈的Apple Pay後來先至。不過HCE模式具有簡化UICC模式系統生態的優勢,發卡商不再受限於必須個別跟MNOs或TSMs簽訂合約,即可自行發展其獨立的行動支付服務平台,甚至推出發卡商自有的行動錢包服務,擴展品牌能見度。此外,智慧型手持/穿戴裝置所搭載之Android 作業系統市占比率仍遠遠大於iOS,儘管近來蘋果放出接受非蘋系統手機轉換iOS手機的消息,但即將於2015年5月召開的Google I/O開發者大會,為了不讓Apple Pay專美於前,有關Google Pay的發佈內容也備受市場期待,究竟兩大陣營在非接觸式行動支付的競爭中誰能勝出,仍難有定論。