關於Apple Pay,你需要知道的幾件事/許世杰

身為從1987年至今的資深果粉、身為長期關注台灣電子支付產業發展的獨立觀察者,當然要為Apple Pay的來台寫篇文章祝賀一下。

當然,我建議讀者可以先重讀一下我在一年半前寫的〈行動支付全面解析,Apple Pay創造新時代的真正意義〉一文。這篇文章在PunNode改版前,單篇在Facebook上有兩萬多個讚;就一篇有點嚴肅的科技長文而言,也是個絕無僅有的記錄了。

回歸主題,筆者改寫了一下也是一年半前演講時常用的一個投影片,解釋一下我對行動支付與Apple Pay的後續看法。

Apple Pay是什麼?

從演進的歷史來看,Apple Pay最早的確是由Apple所倡議的一種手機信用卡技術;但後來被EMVCo採納,成為國際信用卡組織的技術標準,用來作為下一世代的數位信用卡技術。採納成為標準的意思,就是Apple失去了專利權、但也換到了獨家領先推出的特權與商機。

從今天的產業現況來看,Apple Pay只是「EMVCo Tokenization Spec.」(PDF下載)此一技術規範的一種實作(implementation)版本而已;實作出來的軟硬體雖然是Apple的財產與機密,但這個技術規範卻是公開的。

而且,當發卡銀行加入Apple Pay時,意思就是它已經把信用卡token化了[footnote]編按:「token」的中文有「代碼」、「令牌」等多種翻法,基本上就是包含交易所需的特定資訊、在獲得授權的交易相關方面之間傳遞,以證明交易合法進行的一筆加密資料。[/footnote];從此之後,這個發卡銀行也可以支援其他合乎相同技術規範的實作,也就是所謂的「xxxPay」或「OEMPay」。

Apple Pay不是什麼?

Apple Pay就是數位信用卡,並不是第三方支付的一種。因為交易的資金是從買方在發卡銀行的帳戶,直接轉到賣方在收單銀行的帳戶,並不會在Apple停留,所以這並不是第三方支付。

Apple Pay不一定是NFC(近場通訊感應)支付,只是可以利用NFC來傳遞token而已。

Apple Pay之所以會往前相容,支援現有Visa/Master的感應式信用卡讀卡機,可以說是一種雙贏的策略;這個策略一方面讓Apple Pay不用花時間開拓商家,一開門就有幾萬個商店支持,另一方面也讓還沒裝感應式信用卡的大型連鎖商店,看在Apple iPhone用戶的面子上,比較有改裝的動力。

但在技術上,新一代的POS也可以透過藍牙或其他方式來和iPhone交換token。

Apple Pay真正有用的地方,其實在於線上刷卡交易。

Apple Pay不只是線下商店可以用,它更大的價值反而在於線上商店,尤其是app內購(in-app purchase,IAP)可以用。透過信用卡的token化、再加上指紋辨識,可以釜底抽薪解決卡號外洩的問題,進而徹底解決消費者不信賴小型網站、或者不敢在新創App使用信用卡購物的問題。

所以,Apple Pay真正有用的地方不是線下實體商店的感應,反而是包括信用卡與借記卡的線上刷卡交易。

導入Apple Pay時,誰需要的改變與投資最多

對本來就支持Visa Wave與Master PayPass的實體商店而言,因為Apple Pay往前相容,所以不用做任何改變;這就是為何過去一年多來,雖然Apple Pay沒開放進入台灣,但是美國人其實早就可以在台灣用Apple Pay的原因。

對行動App購物或者網路購物業者而言,如果要IAP支援Apple Pay,要改用PassKit API或者PassKit Web Service。這個改變基本上也不複雜,關鍵反而是要找個做網路收單的公司就是了。

目前的問題是:如果台灣的行動電商,想讓台灣消費者在台灣用IAP的方式使用Apple Pay支付,但是台灣卻沒有對應的網路收單公司,那怎麼辦?

方法之一是去設個北美的公司,找北美的業者收單;但如此一來,就會變成「消費者與消費地點都在台灣,但卻視為境外交易」,這才是Apple Pay入台後真正的問題,跟有沒有境內的token服務商(TSP)一點關係都沒有,但整個行政院與央行都搞錯了重點。

最主要的改變,是發卡行必須在原有的信用卡系統上,加入一套稱為「Token Service」的軟體模組;而想加入Apple Pay的發卡行到底要如何建置這個token service模組,就是前一陣子行政院在討論Apple Pay入台時的主要爭議點。

至於實體商店的收單行,可以說完全沒有改變;除非收單機構想和First Data之類的公司一樣,提供token化之後的線上收單服務,那它就得和Apple進行合作。

這個角色目前在台灣是空白的,也是軟體公司或金流服務公司的真正商機所在;與線上token收單相比,台灣行動支付公司動用各路門神一直想爭取的TSP,根本不算個生意,可見這個公司也是沒有人才。

Token Service到底是做什麼的?境內境外真有那麼重要?

Token Sevice講簡單一點,就是用隨機索引的方式,在本來的卡號(PAN)與token之間建立一個「一對一的隨機對照表」。這種方式比起什麼橢圓雙曲線演算法,根本沒什麼高深技術可言,但卻無法破解;有了Token Service之後,PAN只在發卡行內部使用,至於在消費者手機、在商家端、在網路與收單行之間流動的,都是token;而負責把Token Service雲端化的業者,就叫做TSP(Token Service Provider)。

Token Service的建置有兩種方式:一種是銀行自建軟體在自己的機房裡,一種是透過私有的高速網路連接到某個軟體服務者,也就是所謂TSP。

說穿了,TSP就是一種SaaS;而雲端運算喊了那麼多年,SaaS服務還有分境內還是境外嗎?

在整個Apple Pay的取授權過程,信用卡的個資都在發卡行自己行內的系統;即使TSP在境外機房,就資訊安全的角度,這些Token Service依然還是位於發卡行自己的安全內網中,並沒有個資外洩到發卡行以外的問題。

誰不喜歡Apple Pay?

Apple本來就不是金融產業。富可敵國的Apple投資Apple Pay當然也不是為了區區千分之二點五的手續費;所以,Apple選擇與信用卡國際組織及EMVCo合作,讓這個合作夥伴在行動支付的戰場可以後發先至。

大型連鎖店

某些大型連鎖店不收Apple Pay,例如Starbucks咖啡店[footnote]編按:根據與作者的討論,發現不同國家的Starbucks對於是否接受Apple Pay可能有不同的作法;例如新加坡(還有某些其他國家)的Starbucks就接受Apple Pay付款,Starbucks官網也指出可以利用Apple Pay為其會員卡充值。[/footnote]與Walmart商場;其實更精確的說法是,他們根本就討厭信用卡組織與銀行,所以至今不收感應式的信用卡,當然也就不收Apple Pay了。

第三方支付

傳統的第三方支付公司也不喜歡。Apple Pay一定會促成各種「xxx Pay」的成熟,進而讓信用卡和借記卡產業全面token化。

行動商務業者終於有兼顧安全、方便、隱私的支付服務可用了。

等時候一到,包括銀聯在內的信用卡組織只要一聲令下,不再讓支付寶與微信之類的公司使用預存的卡號取授權,那麼現在這些大量依賴「綁卡/快捷支付」的公司,不管目前規模再大,都全部可以關門了。

而且禁止第三方支付公司繼續保管卡號、以及替消費者取授權的舉動,涉及金融安全與消費者隱私保護,各國的金融監理機構也不會反對。

小型手機廠

白牌與小型手機廠也不喜歡。因為手機要加入「xxx Pay」需要高度的軟硬體整合、還需要通過EMVCo認證,這對於小型的手機廠非常不利。

相反的,對於HTC這類有年銷千萬支手機實力的手機品牌而言,這些xxx Pay的興起,反而是有利於他們擺脫白牌小廠的糾纏。

誰應該感到興奮?

行動商務與各種IAP消費的業者,終於有個兼顧安全、方便、隱私的支付服務可用;大家可以準備發揮極大化的創意,好好大幹一場了。