身為從1987年至今的資深果粉、身為長期關注台灣電子支付產業發展的獨立觀察者，當然要為Apple Pay的來台寫篇文章祝賀一下。

當然，我建議讀者可以先重讀一下我在一年半前寫的〈行動支付全面解析，Apple Pay創造新時代的真正意義〉一文。這篇文章在PunNode改版前，單篇在Facebook上有兩萬多個讚；就一篇有點嚴肅的科技長文而言，也是個絕無僅有的記錄了。

回歸主題，筆者改寫了一下也是一年半前演講時常用的一個投影片，解釋一下我對行動支付與Apple Pay的後續看法。

Apple Pay是什麼？

從演進的歷史來看，Apple Pay最早的確是由Apple所倡議的一種手機信用卡技術；但後來被EMVCo採納，成為國際信用卡組織的技術標準，用來作為下一世代的數位信用卡技術。採納成為標準的意思，就是Apple失去了專利權、但也換到了獨家領先推出的特權與商機。

從今天的產業現況來看，Apple Pay只是「EMVCo Tokenization Spec.」（PDF下載）此一技術規範的一種實作（implementation）版本而已；實作出來的軟硬體雖然是Apple的財產與機密，但這個技術規範卻是公開的。

而且，當發卡銀行加入Apple Pay時，意思就是它已經把信用卡token化了[footnote]編按：「token」的中文有「代碼」、「令牌」等多種翻法，基本上就是包含交易所需的特定資訊、在獲得授權的交易相關方面之間傳遞，以證明交易合法進行的一筆加密資料。[/footnote]；從此之後，這個發卡銀行也可以支援其他合乎相同技術規範的實作，也就是所謂的「xxxPay」或「OEMPay」。

Apple Pay不是什麼？

Apple Pay就是數位信用卡，並不是第三方支付的一種。因為交易的資金是從買方在發卡銀行的帳戶，直接轉到賣方在收單銀行的帳戶，並不會在Apple停留，所以這並不是第三方支付。

Apple Pay不一定是NFC（近場通訊感應）支付，只是可以利用NFC來傳遞token而已。

Apple Pay之所以會往前相容，支援現有Visa／Master的感應式信用卡讀卡機，可以說是一種雙贏的策略；這個策略一方面讓Apple Pay不用花時間開拓商家，一開門就有幾萬個商店支持，另一方面也讓還沒裝感應式信用卡的大型連鎖商店，看在Apple iPhone用戶的面子上，比較有改裝的動力。

但在技術上，新一代的POS也可以透過藍牙或其他方式來和iPhone交換token。

Apple Pay真正有用的地方，其實在於線上刷卡交易。

Apple Pay不只是線下商店可以用，它更大的價值反而在於線上商店，尤其是app內購（in-app purchase，IAP）可以用。透過信用卡的token化、再加上指紋辨識，可以釜底抽薪解決卡號外洩的問題，進而徹底解決消費者不信賴小型網站、或者不敢在新創App使用信用卡購物的問題。

所以，Apple Pay真正有用的地方不是線下實體商店的感應，反而是包括信用卡與借記卡的線上刷卡交易。

導入Apple Pay時，誰需要的改變與投資最多

對本來就支持Visa Wave與Master PayPass的實體商店而言，因為Apple Pay往前相容，所以不用做任何改變；這就是為何過去一年多來，雖然Apple Pay沒開放進入台灣，但是美國人其實早就可以在台灣用Apple Pay的原因。

對行動App購物或者網路購物業者而言，如果要IAP支援Apple Pay，要改用PassKit API或者PassKit Web Service。這個改變基本上也不複雜，關鍵反而是要找個做網路收單的公司就是了。

目前的問題是：如果台灣的行動電商，想讓台灣消費者在台灣用IAP的方式使用Apple Pay支付，但是台灣卻沒有對應的網路收單公司，那怎麼辦？

方法之一是去設個北美的公司，找北美的業者收單；但如此一來，就會變成「消費者與消費地點都在台灣，但卻視為境外交易」，這才是Apple Pay入台後真正的問題，跟有沒有境內的token服務商（TSP）一點關係都沒有，但整個行政院與央行都搞錯了重點。

最主要的改變，是發卡行必須在原有的信用卡系統上，加入一套稱為「Token Service」的軟體模組；而想加入Apple Pay的發卡行到底要如何建置這個token service模組，就是前一陣子行政院在討論Apple Pay入台時的主要爭議點。

至於實體商店的收單行，可以說完全沒有改變；除非收單機構想和First Data之類的公司一樣，提供token化之後的線上收單服務，那它就得和Apple進行合作。

這個角色目前在台灣是空白的，也是軟體公司或金流服務公司的真正商機所在；與線上token收單相比，台灣行動支付公司動用各路門神一直想爭取的TSP，根本不算個生意，可見這個公司也是沒有人才。

Token Service到底是做什麼的？境內境外真有那麼重要？

Token Sevice講簡單一點，就是用隨機索引的方式，在本來的卡號（PAN）與token之間建立一個「一對一的隨機對照表」。這種方式比起什麼橢圓雙曲線演算法，根本沒什麼高深技術可言，但卻無法破解；有了Token Service之後，PAN只在發卡行內部使用，至於在消費者手機、在商家端、在網路與收單行之間流動的，都是token；而負責把Token Service雲端化的業者，就叫做TSP（Token Service Provider）。

Token Service的建置有兩種方式：一種是銀行自建軟體在自己的機房裡，一種是透過私有的高速網路連接到某個軟體服務者，也就是所謂TSP。

說穿了，TSP就是一種SaaS；而雲端運算喊了那麼多年，SaaS服務還有分境內還是境外嗎？

在整個Apple Pay的取授權過程，信用卡的個資都在發卡行自己行內的系統；即使TSP在境外機房，就資訊安全的角度，這些Token Service依然還是位於發卡行自己的安全內網中，並沒有個資外洩到發卡行以外的問題。

誰不喜歡Apple Pay？

Apple本來就不是金融產業。富可敵國的Apple投資Apple Pay當然也不是為了區區千分之二點五的手續費；所以，Apple選擇與信用卡國際組織及EMVCo合作，讓這個合作夥伴在行動支付的戰場可以後發先至。

大型連鎖店

某些大型連鎖店不收Apple Pay，例如Starbucks咖啡店[footnote]編按：根據與作者的討論，發現不同國家的Starbucks對於是否接受Apple Pay可能有不同的作法；例如新加坡（還有某些其他國家）的Starbucks就接受Apple Pay付款，Starbucks官網也指出可以利用Apple Pay為其會員卡充值。[/footnote]與Walmart商場；其實更精確的說法是，他們根本就討厭信用卡組織與銀行，所以至今不收感應式的信用卡，當然也就不收Apple Pay了。

第三方支付

傳統的第三方支付公司也不喜歡。Apple Pay一定會促成各種「xxx Pay」的成熟，進而讓信用卡和借記卡產業全面token化。

行動商務業者終於有兼顧安全、方便、隱私的支付服務可用了。

等時候一到，包括銀聯在內的信用卡組織只要一聲令下，不再讓支付寶與微信之類的公司使用預存的卡號取授權，那麼現在這些大量依賴「綁卡／快捷支付」的公司，不管目前規模再大，都全部可以關門了。

而且禁止第三方支付公司繼續保管卡號、以及替消費者取授權的舉動，涉及金融安全與消費者隱私保護，各國的金融監理機構也不會反對。

小型手機廠

白牌與小型手機廠也不喜歡。因為手機要加入「xxx Pay」需要高度的軟硬體整合、還需要通過EMVCo認證，這對於小型的手機廠非常不利。

相反的，對於HTC這類有年銷千萬支手機實力的手機品牌而言，這些xxx Pay的興起，反而是有利於他們擺脫白牌小廠的糾纏。

誰應該感到興奮？

行動商務與各種IAP消費的業者，終於有個兼顧安全、方便、隱私的支付服務可用；大家可以準備發揮極大化的創意，好好大幹一場了。