第壹條為規範非銀行支付機構(以下簡稱支付機構)網絡支付業務,防範支付風險,保護當事人合法權益,根據《中華人民共和國中國人民銀行法》和《非金融機構支付服務管理辦法》(中國人民銀行令[2010]第2號發布),制定本辦法。
第二條本辦法適用於從事網上支付業務的支付機構。本辦法所稱支付機構,是指依法取得支付業務許可證,獲準辦理互聯網支付、移動電話支付、固定電話支付、數字電視支付等網絡支付業務的非銀行機構。本辦法所稱網絡支付服務,是指收款人或付款人依托公共網絡信息系統,通過計算機、移動終端等電子設備遠程發起支付指令,付款人電子設備不與收款人特定專屬設備進行交互,支付機構為收款人提供貨幣資金轉賬服務的活動。本辦法所稱收款人專用專屬設備,是指專門用於交易歸集的電子設備,與支付機構的業務系統進行交互,參與交易過程中支付指令的生成、傳輸和處理。
第三條支付機構應當遵循服務電子商務發展、為社會提供小額、快捷、便利的小額支付服務的宗旨,根據客戶的銀行賬戶或者按照本辦法的規定,為客戶提供網上支付服務。本辦法所稱支付賬戶,是指取得互聯網支付業務許可的支付機構根據客戶真實意願開立的,用於記錄預付交易資金余額、客戶發起的支付指令和交易詳細信息的電子記賬。支付賬戶不得透支、出借、出租、出售,不得用於從事或者協助他人從事違法活動。
第四條支付機構基於銀行卡向客戶提供網上支付服務的,應當執行銀行卡業務相關監管規定和銀行卡行業規範。支付機構應當執行《銀行卡收單業務管理辦法》[中國人民銀行公告[2013]第9號]等有關特約商戶拓展管理、業務和風險管理的相關規定。支付機構網上支付業務涉及跨境人民幣結算和外匯支付的,按照中國人民銀行和國家外匯管理局的有關規定執行。支付機構應當依法維護當事人合法權益,遵守反洗錢和反恐怖融資相關規定,履行反洗錢和反恐怖融資義務。
第五條支付機構應當按照中國人民銀行的有關規定接受分類評估,並實施相應的分類監管措施。
第二章客戶管理
第六條支付機構應遵循“了解客戶”的原則,建立和完善客戶身份識別機制。支付機構為客戶開立支付賬戶時,應當對客戶實行實名制管理,登記並采取有效措施核實客戶身份基本信息,核對有效身份證件並按要求留存有效身份證件復印件或影印件,建立客戶唯壹識別碼,在與客戶發生業務關系期間采取持續識別措施,確保有效核實客戶身份和真實意願,不得開立匿名或假名支付賬戶。
第七條支付機構應當與客戶簽訂服務協議,約定雙方的責任、權利和義務,至少明確業務規則[包括但不限於業務功能和流程、身份識別和交易驗證方式、資金結算方式等。]、收費項目和標準、查詢、差錯爭議和投訴等服務流程和規則、防範和處理業務風險和違法行為的措施、劃分客戶損失責任和支付賠償的規則。支付機構在為客戶開立支付賬戶時,還應當在服務協議中以顯著方式告知客戶,並采取有效措施確認客戶充分知曉並清楚了解以下內容:“支付賬戶中記錄的資金余額不同於客戶本人的銀行存款,不受存款保險條例保護,其本質是客戶委托給支付機構的預付價值,所有權屬於客戶。預付價值對應的貨幣資金雖然屬於客戶,但不是以客戶本人的名義存放在銀行,而是以支付機構的名義,由支付機構向銀行發起資金劃轉指令。”支付機構應當確保協議內容清晰易懂,並以顯著方式提示客戶重大利益事項。
第八條獲得《互聯網支付業務許可證》的支付機構可以主動為其客戶開立支付賬戶。僅取得移動電話支付、固定電話支付和數字電視支付業務許可證的支付機構不得為客戶開立支付賬戶。支付機構不得為金融機構及其他從事信貸、融資、理財、擔保、信托、貨幣兌換等金融業務的機構開立支付賬戶。
第三章業務管理
第九條支付機構不得從事證券、保險、信貸、融資、理財、擔保、信托、貨幣兌換、現金存取等業務。
第十條支付機構向客戶銀行發送支付指令扣劃客戶銀行賬戶資金的,支付機構和銀行應當履行以下要求: (壹)支付機構應當提前或者在首次交易時自主識別客戶身份,並分別取得客戶和銀行的協議授權,同意發起支付指令扣劃客戶銀行賬戶資金;(二)銀行應提前或在首次交易時自主識別客戶身份,直接與客戶簽訂授權協議,明確約定扣款適用範圍和交易驗證方式,設定與客戶風險承受能力相匹配的單筆和單日累計交易限額,並承諾對此類交易無條件、全額承擔提前賠付風險損失的責任;(三)支付機構不得代銀行進行交易驗證,但單筆金額不超過200元的小額支付業務、公共企業繳費、納稅、信用卡還款等有固定定期收款人的支付業務以及符合第三十七條規定的其他情形除外。
第十壹條支付機構應當根據客戶身份對同壹客戶在本機構開立的所有支付賬戶進行關聯管理,並按照以下要求對個人支付賬戶進行分類: (壹)對通過至少壹個合法、安全的外部渠道以非面對面方式核實身份基本信息並首次在本機構開立支付賬戶的個人客戶,支付機構可以為其開立壹類支付賬戶。賬戶余額只能用於消費和轉賬,開戶以來累計余額支付交易不超過65,438+0,000元[包括從支付賬戶轉入客戶本人同名銀行賬戶];(二)對支付機構當面驗證身份或合作機構委托驗證身份,或通過至少三個合法、安全的外部渠道以非面對面方式交叉驗證身份基礎信息的個人客戶,支付機構可為其開立ⅱ類支付賬戶,賬戶余額只能用於消費和轉賬,且所有支付賬戶年度累計支付交易不超過65438+萬元[不含從支付賬戶向客戶本人同名銀行賬戶轉賬];(三)對支付機構當面驗證身份或合作機構委托驗證身份的個人客戶,或通過至少5個合法、安全的外部渠道以非面對面方式對其基本身份信息進行多次交叉驗證的個人客戶,支付機構可為其開立ⅲ類支付賬戶,賬戶余額可用於消費、轉賬和購買投資理財等金融產品, 且所有支付賬戶年度累計支付交易不超過20萬元【不包括從支付賬戶轉入客戶本人同名銀行賬戶】。 客戶身份基礎信息的外部驗證渠道包括但不限於政府部門數據庫、商業銀行信息系統、商業數據庫等。其中,商業銀行核實的個人客戶身份基本信息應為壹類銀行賬戶或信用卡。
第十二條支付機構辦理銀行賬戶和支付賬戶之間的轉賬業務時,相關銀行賬戶和支付賬戶應當屬於同壹客戶。支付機構應當按照與客戶的約定及時辦理支付賬戶向客戶自有銀行賬戶的轉賬業務,不得對二類、三類支付賬戶向客戶自有銀行賬戶的轉賬設置限額。
第十三條支付機構向客戶支付賬戶劃轉其發行的預付卡時,應當按照《支付機構預付卡業務管理辦法》[中國人民銀行公告[2012]第12號]的規定,對預付卡轉入支付賬戶的余額進行單獨管理,僅限於消費,不得通過轉賬、購買投資理財等金融產品等方式套現或變相套現。
第十四條支付機構應當保證整個支付過程中交易信息的真實性、完整性、可追溯性和壹致性,不得篡改或者隱瞞交易信息。交易信息包括但不限於以下內容: (壹)交易渠道、交易終端或接口類型、交易類型、交易金額和交易時間,以及直接向客戶提供商品或服務的特約商戶名稱和代碼以及根據國家和金融行業標準設定的商戶類別代碼;(二)收付款客戶名稱、收付款賬戶賬號或者開戶銀行名稱和賬號;(三)支付客戶的身份驗證和交易授權信息;(4)有效追溯交易的識別;(5)單位客戶單筆轉賬業務超過5萬元的支付目的及原因。
第十五條因撤銷[註銷]交易、退貨、交易不成功或贖回投資理財等金融產品,應將相應資金轉回原扣款賬戶。
第十六條支付機構應當在確認客戶身份和真實意願後,及時處理客戶的網上支付業務操作行為,並真實完整地保存操作記錄,自操作生效之日起至少保存五年。客戶操作包括但不限於登錄和註銷、身份識別和交易驗證、變更身份信息和聯系方式、調整業務功能、調整交易限額、變更資金收付方式、密碼、數字證書和電子簽名的變更或掛失。
第四章風險管理和客戶權益保護
第十七條支付機構應當根據客戶類型、身份驗證方式、交易行為特征和信用狀況等因素,建立客戶風險評級管理制度和機制,動態調整客戶風險評級和相關風險控制措施。支付機構應當根據客戶風險評級、交易驗證方式、交易渠道、交易終端或接口類型、交易類型、交易金額、交易時間、商戶類型等因素,建立交易風險管理制度和交易監控制度,對涉嫌欺詐、套現、洗錢、非法融資、恐怖融資的交易,及時采取調查核實、延遲結算、終止服務等措施。
第十八條支付機構應當向客戶充分提示網絡支付業務的潛在風險,及時揭示犯罪分子新的犯罪手段,對客戶進行必要的安全教育,並在經營前和經營中對高風險業務進行風險提示。支付機構為客戶購買合作機構金融產品提供網絡支付服務的,應當確保合作機構是取得相應業務資格並依法開展業務的機構,並在首次購買時向客戶展示合作機構信息和產品信息,充分提示相關責任、權利、義務和潛在風險,協助客戶完成與合作機構的協議簽署。
第十九條支付機構應當建立健全風險準備金制度和交易賠償制度,對因客戶原因無法有效證明的資金損失,先行全額賠償,保護客戶合法權益。支付機構應當在每年的1、31前,在網站上公布上壹年度的風險事件、客戶風險損失及賠償情況。支付機構應當在年度監管報告中如實反映上述內容以及風險準備金的計提、使用和余額情況。
第二十條支付機構應當按照中國人民銀行關於客戶信息保護的規定,制定有效的客戶信息保護措施和風險控制機制,履行客戶信息保護責任。支付機構不得存儲客戶銀行卡的磁道信息或芯片信息、驗證碼、密碼等敏感信息,原則上不得存儲銀行卡的有效期。支付機構因特殊業務需要確需存儲客戶銀行卡有效期的,應當取得客戶及開戶銀行的授權,並以加密形式存儲。支付機構應當以“最小化”為原則收集、使用、存儲和傳輸客戶信息,並告知客戶相關信息的用途和使用範圍。支付機構不得向其他機構或個人提供客戶信息,但法律法規另有規定並經客戶本人逐壹確認和授權的除外。
第二十壹條支付機構應當禁止特約商戶通過協議存儲客戶銀行卡的軌跡信息或者芯片信息、驗證碼、有效期、密碼等敏感信息,並采取定期檢查、技術監控等必要的監管措施。特約商戶違反約定存儲上述敏感信息的,支付機構應當立即暫停或者終止提供網絡支付服務,采取有效措施刪除敏感信息,防止信息泄露,並依法承擔因相關信息泄露造成的損失和責任。
第二十二條支付機構可以組合選擇以下三類要素對客戶使用支付賬戶余額進行支付的交易進行驗證: (壹)只有客戶知道的要素,如靜態密碼;(2)為客戶所獨有且不可復制或重復使用的元素,如通過安全通道生成和傳輸的數字證書、電子簽名和壹次性密碼;(3)客戶自身的生理特征,如指紋。支付機構應確保所采用的要素相互獨立,某些要素的損壞或泄露不會導致其他要素的損壞或泄露。
第二十三條支付機構采用數字證書和電子簽名作為驗證要素的,數字證書和生成電子簽名的過程應符合《中華人民共和國電子簽名法》、《金融電子認證標準[JR/t 0118-2015]等相關規定,以確保數字證書和交易的唯壹性和完整性。支付機構使用壹次性密碼作為驗證要素的,應當有效防範壹次性密碼獲取終端與支付指令發起終端為同壹物理設備所帶來的風險,並將壹次性密碼的有效期嚴格限制在最短的必要時間內。支付機構使用客戶身體特征作為驗證因素的,應當符合國家和金融行業標準以及相關信息安全管理要求,防止非法存儲、復制或者重放。
第二十四條支付機構應當根據交易驗證方式的安全等級,按照以下要求對個人客戶使用支付賬戶余額支付的交易進行限額管理: (壹)支付機構使用數字證書或電子簽名等兩種或兩種以上有效要素的交易,單日累計限額由支付機構與客戶通過協議自主約定;(2)對支付機構通過兩個及以上有效要素驗證的交易,不包括數字證書和電子簽名,單個客戶所有支付賬戶單日累計金額不超過5000元【不包括從支付賬戶向客戶本人同名銀行賬戶轉賬】;(三)對於支付機構核實的少於兩類有效因素的交易,單個客戶所有支付賬戶單日累計金額不超過1,000元[不包括從支付賬戶向客戶本人同名銀行賬戶轉賬],支付機構承諾無條件全額承擔該類交易的風險損失補償責任。
第二十五條支付機構網上支付業務相關的系統設施和技術,應當持續符合國家和金融行業標準以及相關信息安全管理要求。未達到相關標準和要求,或者尚未形成國家和金融行業標準的,支付機構應當無條件全額承擔客戶直接風險損失的先行賠付責任。
第二十六條支付機構應當在中國境內具備安全規範的網上支付業務處理系統及其備份系統,並制定應急預案,確保系統安全和業務連續性。支付機構為境內交易提供服務的,應當通過境內業務處理系統完成交易處理,並在境內完成資金結算。
第二十七條支付機構應當采取有效措施,確保客戶在執行支付指令前能夠確認收付款客戶名稱、賬號、交易金額等交易信息,並在支付指令完成後及時將結果告知客戶。因交易超時、無響應或系統故障等原因導致支付指令無法正常處理的,支付機構應及時提醒客戶;因客戶原因導致支付指令未執行、未正確執行或延遲執行的,支付機構應主動通知客戶變更或協助客戶采取補救措施。
第二十八條支付機構應當通過具有合法獨立域名和統壹服務電話的網站,免費為客戶提供至少最近壹年內的交易信息查詢服務,建立健全差錯糾紛和糾紛投訴處理制度,配備專業部門和人員,真實、準確、及時處理交易差錯和客戶投訴。支付機構應當告知客戶正確獲取相關服務的途徑,引導客戶有效識別服務渠道的真實性。支付機構應當在每年6月365438+10月31日前,在網站上公布上壹年度客戶投訴數量和類型、投訴處理比例、投訴處理速度。
第二十九條支付機構應當充分尊重客戶的自主選擇權,不得強制客戶使用本機構提供的支付服務,也不得阻礙客戶使用其他機構提供的支付服務。支付機構應當公平展示客戶可以選擇的各種資金收付方式,不得以任何形式誘導或者強迫客戶開立支付賬戶或者通過支付賬戶辦理資金收付,不得附加不合理條件。
第三十條支付機構因系統升級、調試等原因,需要暫停網上支付服務的,應當至少提前5個工作日公告。支付機構變更協議條款、提高服務收費標準或者設立新的收費項目的,應當在實施前以顯著方式在網站等服務渠道連續30日公示,並在客戶首次辦理相關業務前確認客戶知曉並接受所有擬調整的細節。
第五章監督管理
第三十壹條支付機構為網絡支付提供創新產品或服務、停止提供產品或服務、與境外機構合作在境內開展網絡支付業務的,應當至少提前30日向法人所在地中國人民銀行分支機構報告。支付機構發生重大風險事件,應當及時向法人所在地中國人民銀行分支機構報告;涉嫌違法犯罪的,應當同時向公安機關報告。
第三十二條中國人民銀行可以結合支付機構的企業資質、風險管控特別是客戶備付金管理情況,建立支付機構分類監管指標體系,建立持續分類評估工作機制,對支付機構實施動態分類管理。具體辦法由中國人民銀行另行制定。
第三十三條評級為“A”級、二類和三類支付賬戶實名比例超過95%的支付機構,可以采用能夠有效落實實名制要求的其他客戶身份驗證方式,經法人所在地中國人民銀行分支機構評估同意並報中國人民銀行備案後實施。
第三十四條評級為“A”級、二類和三類支付賬戶實名比例超過95%的支付機構,對從事電子商務經營活動、不具備工商登記條件、相關法律法規規定不得登記的個人客戶[以下簡稱個人賣家],可參照公司客戶管理,但應建立持續監控電子商務經營活動、對個人賣家實施動態管理的有效機制,並向法人所在地中國人民銀行分支機構備案。支付機構參照企業客戶管理的個人賣家,應當至少符合以下條件: (壹)相關電子商務交易平臺已按照相關法律法規對其真實身份信息進行審核登記,與其簽訂登記協議,建立登記檔案並定期驗證更新,出具證明個人身份信息真實合法的標識,並在其從事電子商務經營活動的主頁面顯著位置加載;(二)支付機構按照第三類個人支付賬戶開立標準進行了身份驗證;(三)從事電子商務經營活動滿6個月,且在此期間使用支付賬戶的營業收入累計超過20萬元。
第三十五條評級為“A”級且二類、三類支付賬戶實名比例超過95%的支付機構,在辦理第十二條第壹款所述轉賬業務時,相關銀行賬戶和支付賬戶不得屬於同壹客戶。但支付機構應當準確、完整地向銀行發送交易信息,如交易渠道、交易終端或接口類型、交易類型、客戶名稱、賬號等。
第三十六條評級為“A”級且二類、三類支付賬戶實名比例超過95%的支付機構,可將符合實名制管理要求的二類、三類支付賬戶余額支付單日累計限額提高至第二十四條規定的2倍。評級為“B”及以上,且二類、三類支付賬戶實名比例超過90%的支付機構,可將符合實名制管理要求的二類、三類支付賬戶余額支付日累計限額提高至第二十四條規定的1.5倍。
第三十七條評定為“A”級的支付機構,在按照第十條規定辦理相關業務時,可根據業務需要自主與銀行約定由支付機構代替交易驗證,但支付機構應在交易過程中完整、準確地向銀行發送交易通道、交易終端或接口類型、交易類型、商戶名稱、商戶代碼、商戶類別代碼、收付款客戶名稱及賬號等交易信息;銀行應對支付機構的驗證手段或渠道的安全性進行驗證,對客戶資金安全的管理責任不會因為支付機構替代驗證而轉移。
第三十八條中國人民銀行及其分支機構可在第十九條和第二十八條規定的基礎上,適當提高相關信息公開披露要求,對評級為“C”級及以下、支付賬戶實名比例較低、對零售支付系統或公眾對非現金支付信心有重大影響的支付機構,加強非現場監管和現場檢查。
第三十九條中國人民銀行及其分支機構應當根據上述分類管理措施的相應條件,動態確定適用於支付機構的監管規定,並實施持續監管。支付機構分類評價結果和支付賬戶實名比例不符合上述分類管理辦法相應條件的,按照第十條、第十壹條、第十二條、第二十四條的有關規定嚴格執行。中國人民銀行及其分支機構可以根據社會經濟發展和支付機構分類管理的需要,對支付機構網上支付業務的範圍、模式、功能、限額和業務創新等進行適時調整。
第四十條支付機構應當加入中國支付清算協會,接受行業自律組織的管理。中國支付清算協會應當根據本辦法制定網絡支付業務自律規範,建立自律審查機制,並向中國人民銀行備案後組織實施。自律規範應當包括支付機構與客戶簽訂的協議範本,該範本應當載明協議中應當記載和不應當記載的事項,還應當包括支付機構披露的相關信息的具體內容和標準格式。中國支付清算協會應當建立信用承諾制度,要求支付機構以標準格式公開承諾依法合規開展網絡支付業務,保障客戶信息和資金安全,維護客戶合法權益,違法違規自願接受約束和處罰。第六章法律責任。
第六章法律責任
第四十壹條支付機構從事網絡支付業務有下列情形之壹的,中國人民銀行及其分支機構應當按照《非金融機構支付服務管理辦法》第四十二條的規定處理: (壹)未建立客戶實名制管理、支付賬戶開立和使用、差錯爭議和糾紛投訴處理、風險準備金和交易賠償、應急預案等管理制度的;(二)未建立客戶風險評級管理、支付賬戶功能和限額管理、客戶支付指令驗證管理、交易和信息安全管理、交易監控系統等風險控制機制,未按照規定對支付業務采取有效的風險控制措施;(三)未按照要求進行風險提示和公開披露相關信息的;(四)未按規定履行報告義務的。
第四十二條支付機構從事網絡支付業務有下列情形之壹的,中國人民銀行及其分支機構應當按照《非金融機構支付服務管理辦法》第四十三條的規定處理;情節嚴重的,由中國人民銀行及其分支機構依據《中華人民共和國中國人民銀行法》第四十六條的規定處理: (壹)不符合支付機構支付系統設施相關要求的;(二)不符合國家和金融行業標準及相關信息安全管理要求,使用的數字證書、電子簽名不符合《中華人民共和國電子簽名法》、《金融電子認證標準》等規定;(三)為違法交易、虛假交易提供支付服務,發現客戶涉嫌或者有違法違規嫌疑時,未按照規定采取有效措施的;(四)未按照要求對客戶支付指令采取驗證措施的;(五)未真實、完整、準確反映網上支付交易信息,篡改或者隱瞞交易信息的;(六)未按照規定處理客戶信息,或者未履行客戶信息保密義務,造成隱患或者信息泄露的;(七)妨礙客戶自主選擇支付服務主體或資金收付方式;(八)公開披露虛假信息;(九)違反規定開立支付賬戶或者擅自從事金融業務活動。
第四十三條支付機構違反反洗錢和反恐怖融資規定的,按照國家相關法律法規處理。
第七章附則
第四十四條本辦法中相關用語含義如下:公司客戶是指從支付機構接受支付服務的法人、其他組織或個體工商戶。個人客戶是指接受支付機構支付服務的自然人。企業客戶身份基本信息,包括客戶名稱、地址、經營範圍、統壹社會信用代碼或組織機構代碼;能夠證明客戶合法成立或者能夠依法開展業務和社會活動的執照、證書或者文件的名稱、編號和有效期;法定代表人[負責人]或授權業務人員的姓名,有效身份證件的種類、號碼和有效期。個人客戶的身份基本信息,包括客戶的姓名、國籍、性別、職業、住址、聯系方式以及客戶有效身份證件的種類、號碼和有效期限。其他組織的法人和客戶的有效身份證件,是指政府主管部門出具的能夠證明其合法真實身份的證件或文件,包括但不限於營業執照、事業單位法人證書、稅務登記證、組織機構代碼證等;個體工商戶的有效身份證件,包括營業執照、經營者或授權經辦人員的有效身份證件。個人客戶的有效身份證件,包括:具有中國境內常住戶口的中國公民為居民身份證,未滿16周歲的為居民身份證或戶口簿;香港、澳門特別行政區居民為港澳居民來往內地通行證;臺灣省居民持臺灣居民來往大陸通行證;居住在國外的中國公民持中國護照;外國公民為護照或外國人永久居留證【外國邊民按邊貿結算有關規定辦理】;法律、行政法規規定的其他身份證明文件。客戶本人是指客戶自己的公司【公司客戶】或自己【個人客戶】。
第四十五條本辦法由中國人民銀行負責解釋和修訂。
第四十六條本辦法自1年7月1日起施行。