据中国人民银行网站消息,为规范非银行支付机构网上支付业务,防范支付风险,保护当事人合法权益,中国人民银行近日制定印发《非银行支付机构网上支付业务管理办法》。
以下为《非银行支付机构网上支付业务管理办法》全文:
靠前章 一般规定
靠前条 为了规范非银行支付机构(以下简称支付机构)网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国支付法》中国人民银行关于印发《非金融机构支付服务管理办法》(根据中国人民银行令[2010]2号)等规定制定本办法的通知。
第二条 本办法适用于从事网络支付业务的支付机构。 本办法所称支付机构,是指依法取得《支付业务许可证》,可以办理互联网支付、手机支付、固定电话支付等网络支付业务的非银行机构。支付、数字电视支付。 本办法所称网络支付业务,是指收款人或者付款人通过计算机、移动终端等电子设备,依托公共网络信息系统,远程发起支付指令,且付款人电子设备不交互的行为。具有收款人特定的专属设备。 支付机构向收款人和收款人提供货币资金划转服务的活动。 本办法所称收款人专用设备,是指专门用于交易收款、在交易过程中与支付机构业务系统进行交互、参与支付指令生成、传输和处理的电子设备。
第三条 支付机构应当以主要服务电子商务发展,为社会提供小额、快捷、便利的小微支付服务为宗旨,基于客户银行账户或者为客户开立支付账户提供网上支付服务。按照本办法的规定。 本办法所称支付账户,是指具有互联网支付业务资格的支付机构根据客户真实意愿开立的记录预付交易资金余额、可供客户发起支付指令的电子账户。 ,并反映交易详情。 簿记。 支付账户不得透支、出借、出租、出售,不得利用支付账户从事或者协助他人从事违法活动。
第四条 支付机构基于银行卡向客户提供网络支付服务,应当执行银行卡业务相关监管规定和银行卡行业标准。 支付机构的拓展及特约商户管理、业务及风险管理应当遵守《银行卡收单业务管理办法》(中国人民银行公告2013年第9号)等相关规定。 支付机构网上支付业务涉及跨境人民币结算和外汇支付的,应当遵守中国人民银行、国家外汇管理局的相关规定。 支付机构应当依法保护当事人合法权益,遵守反洗钱、反恐怖融资相关规定,履行反洗钱、反恐怖融资义务。
第五条 支付机构应当按照中国人民银行有关规定接受分类评价,并实施相应的分类监管措施。
第二章 客户管理
第六条 支付机构应当遵循“了解你的客户”的原则,建立健全客户身份识别机制。 支付机构为客户开立支付账户时,应当对客户实行实名管理,登记并采取有效措施核验客户的基本身份信息,按要求核对有效***件,并保留客户有效***件复印件或者复印件。有效***件,为客户建立较早识别码,并在与客户业务关系存续期间采取持续身份识别措施,确保有效核实客户身份和真实意愿,不得开立匿名或假名支付账户。
第七条 支付机构应当与客户签订服务协议,约定双方的责任、权利和义务,并至少明确业务规则(包括但不限于业务功能和流程、身份识别和交易验证方式、资金结算方式等)、收费项目和标准、查询服务流程和规则、差错***和投诉、业务风险和违法行为防范和处置措施、客户损失责任划分和赔偿规则等。为客户支付账户的,还应当在服务协议中以显着方式告知客户,并采取有效措施确认客户充分知晓并明确了解以下内容:“支付账户记录的资金余额与客户自己银行的存款不受《存款保险条例》保护。 它们本质上是客户委托给支付机构的预付价值,其所有权属于客户。 预付金额对应的货币资金虽然属于客户,但并不以客户的名义存入银行。 而是以支付机构的名义存入银行,由支付机构向银行发起资金划转指令。 “支付机构应当保证协议内容清晰易懂,并以显着方式提醒客户重大关心的事项。
第八条 取得互联网支付业务许可证的支付机构,经自愿申请,可以为客户开立支付账户; 仅取得手机支付、固定电话支付、数字电视支付业务许可证的支付机构不得为客户开立支付账户。 付款帐户。 支付机构不得为金融机构及其他从事信贷、融资、理财、担保、信托、货币兑换等金融业务的机构开立支付账户。
第三章 经营管理
第九条 支付机构不得经营或者变相经营证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。
第十条 支付机构向客户开户银行发出支付指令并从客户银行账户扣划资金的,支付机构和银行应当执行以下要求: (一)支付机构应独立识别客户的账户资金。提前或在首次交易时向客户发出通知,并获得客户与银行之间的协议,授权其发起付款指令,从客户的银行账户中扣除资金; (2)银行应提前或在首次交易时独立识别客户并直接与客户签署授权协议,明确约定适用的扣除范围和交易验证方法,建立单笔和单日累计交易与客户风险承受能力相匹配的限额,并承诺无条件完全承担该等交易的风险和损失赔偿责任; (三)除单笔交易金额不超过200笔外,1000元以下小额支付业务、公用事业缴费、税款缴纳、信用卡还款等支付业务除外,支付机构不得代银行进行交易验证。有固定、定期的收款人,并符合第三十七条规定的情形。
第十一条 支付机构应当根据客户身份对同一客户在本机构开立的所有支付账户进行关联管理,并按照以下要求对个人支付账户进行分类管理: (一)非面对面支付的-通过至少一个合法的支付机构进行支付对于通过安全的外部渠道验证基本身份信息并首次在该机构开立支付账户的个人客户,支付机构可以为其开立I类支付账户。 账户余额只能用于消费和转账,余额支付交易从该账户开立之日起累计金额不得超过1000元(包括从支付账户转账至客户同名银行账户) ); (二)由支付机构独立或委托合作机构当面核实身份,或通过至少三种非面对面方式进行身份验证的个人客户通过合法、安全的外部渠道,支付机构可以为其开立二类支付账户。 账户余额只能用于消费和转账。 所有支付账户累计余额支付交易金额不得超过10 10,000元(不包括从支付账户向客户同名银行账户转账); (三)由支付机构独立或合作机构当面核实身份的个人客户,或通过至少五个合法、安全的外部渠道以非面对面的方式核实身份的个人客户经过多重交叉验证其基本身份信息后,支付机构可以为其开立三类支付账户。 账户余额可用于消费、转账、购买投资理财等金融产品。 其所有支付账户的余额支付交易年度累计金额不得超过20万元(不包括从支付账户向客户同名银行账户转账)。 客户基本身份信息的外部验证渠道包括但不限于***部门数据库、商业银行信息系统、商业数据库等。其中,个人客户基本身份信息如通过商业银行验证的,应为I 类银行帐户或信用卡。
第十二条 支付机构办理银行账户与支付账户之间的转账业务时,相关银行账户与支付账户应当属于同一客户。 支付机构应当按照与客户的约定,及时办理支付账户向客户个人银行账户的转账业务,不得对第二类、第三类支付账户向客户个人银行账户的转账设置限额。银行账户。
第十三条 支付机构为客户办理本机构发行的预付卡向支付账户转账时,应当按照《支付机构预付卡业务管理办法》(国家发改委公告第12号)的相关规定办理预付卡。中国人民银行[2012])。 转入支付账户的余额单独管理,只能用于消费。 不得通过转账、购买投资理财产品及其他金融产品等方式套现或变相套现。
第十四条 支付机构应当保证整个支付过程中交易信息的真实性、完整性、可追溯性和一致性,不得篡改、隐匿交易信息。 交易信息包括但不限于以下内容:(一)交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间,以及直接向其提供商品或服务的特约商户名称和代码。客户,以及符合金融行业标准规定的国家和商户类别代码的信息; (二)支付客户名称、支付账户账号或者银行名称、银行账户账号; (三)支付客户身份验证及交易授权信息; (4)有效的可追溯性 交易的标识; (五)企业客户单笔5万元以上转账的支付用途和原因。
第十五条 投资理财等金融产品因交易取消(取消)、退货、交易不成功或赎回等需要调回资金的,相应金额应调回原借方账户。
第十六条 客户办理网络支付业务,支付机构在确认客户身份和真实意图后应当及时办理,并自业务生效之日起保存真实、完整的操作记录至少五年。 客户操作包括但不限于登录和退出、身份识别和交易验证、更改身份信息和联系方式、调整业务功能、调整交易限额、改变资金收付方式、更改或挂失密码等;数字证书和电子签名。 等待。
第四章 风险管理和客户权益保护
第十七条 支付机构应当根据客户类型、身份验证方式、交易行为特征、信用状况等因素建立客户风险评级管理制度和机制,动态调整客户风险评级和相关风险控制措施。 支付机构应根据客户风险评级、交易验证方式、交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间、商户类别等因素,建立交易风险管理制度和交易监控制度。 ,发现涉嫌欺诈、套现等、洗钱、非法融资、恐怖融资等交易行为,及时采取调查核实、延迟结算、终止服务等措施。
第十八条 支付机构应当充分提醒客户网络支付业务的潜在风险,及时揭露犯罪分子新的犯罪手段,对客户进行必要的安全教育,对高风险业务在运营前和运营中进行风险提示。 支付机构为客户向合作机构购买金融产品提供网上支付服务时,应当确保合作机构是取得相应业务资格并依法开展业务的机构,并应当展示合作机构信息首次购买时向客户提***品信息,并充分提示相关责任、权利、义务和潜在风险,并协助客户与合作机构完成协议的签订。
第十九条 支付机构应当建立健全风险准备金制度和交易补偿制度,对无法有效证明客户造成的资金损失及时足额垫付赔偿,保护客户合法权益。 支付机构应于每年1月31日前在其网站公布上一年度发生的风险事件、客户风险损失发生情况及赔偿情况等。 支付机构应在年度监管报告中如实反映上述内容以及风险准备金的计提、使用和结余情况。
第二十条 支付机构应当按照中国人民银行关于客户信息保护的规定,制定有效的客户信息保护措施和风险控制机制,履行客户信息保护责任。 支付机构不得存储客户银行卡磁轨信息或芯片信息、验证码、密码等敏感信息。 原则上不允许存储银行卡有效期。 支付机构因特殊业务需要确需存储客户银行卡有效期的,应征得客户及开户银行授权并以加密形式存储。 支付机构应当按照“最小化”原则收集、使用、存储和传输客户信息,并告知客户相关信息的目的和使用范围。 支付机构不得向其他机构或个人提供客户信息,法律法规另有规定且经客户确认授权的除外。
第二十一条 支付机构应当禁止特约商户通过协议存储客户银行卡的磁轨信息或芯片信息、验证码、有效期、密码等敏感信息,并采取定期检查、定期检查等必要的监管措施。技术监控。 特约商户违反协议存储上述敏感信息的,支付机构应立即暂停或终止为其提供在线支付服务,并采取有效措施删除敏感信息,防止信息泄露,并承担损失和责任依法造成相关信息泄露的。
第二十二条 支付机构可以综合使用以下三类因素对客户使用支付账户余额进行支付的交易进行验证: (一)静态密码等仅客户本人知晓的因素; (2)仅由客户本人持有的不可复制或重复使用的独特元素,例如安全认证的数字证书、电子签名、通过安全通道生成和传输的一次性密码等; (3)顾客生理特征,如指纹等。 支付机构应保证所使用的要素相互独立,某些要素的损坏或泄漏不应导致其他要素的损坏或泄漏。
第二十三条 支付机构使用数字证书、电子签名作为验证要素的,其数字证书及电子签名的生成过程应当符合《中华人民共和国电子签名法》、《金融电子认证规范》(JR /T0118-2015)等相关规定,保证数字证书的较早性、完整性以及交易的不可否认性。 支付机构若采用一次性密码作为验证要素,应有效防范一次性密码获取端与支付指令发起方同一物理设备带来的风险,并严格限制一次性密码的有效期。 - 密码时间要最短。 支付机构利用客户生理特征作为验证因素的,必须遵守国家和金融行业标准以及相关信息安全管理要求,防止非法存储、复制或重放。
第二十四条 支付机构应当根据交易验证方式的安全级别,对个人客户使用支付账户余额进行支付的交易按照下列要求进行限额管理: (一)支付机构应当使用两种类型的交易验证方式:证书包括数字证书或电子签名。 通过(含)上述有效要素验证的交易,单日累计限额由支付机构与客户通过协议独立约定; 十一(二)支付机构应当使用除数字证书和电子签名之外的两种(含)两种以上有效要素进行交易验证,单个客户所有支付账户单日累计金额不得超过5000笔元(不包括从支付账户转账至客户同名银行账户); (三)支付机构使用两种以下有效要素进行验证的交易,单日客户所有支付账户累计金额不得超过1000元(不含支付账户向客户转账)同名银行账户),且支付机构应承诺无条件全额承担此类交易的风险和损失赔偿责任。
第二十五条 支付机构网络支付业务相关的系统设施和技术应当持续符合国家标准、金融行业标准和相关信息安全管理要求。 不符合相关标准和要求,或者尚未形成国家或金融行业标准的,支付机构应当无条件承担客户直接风险损失的全额先行赔付责任。
第二十六条 支付机构应当在境内拥有安全、规范的网络支付业务处理系统及其备份系统,并制定突发事件应急预案,确保系统安全和业务连续性。 支付机构提供境内交易服务的,应当通过境内业务处理系统完成交易处理,完成境内资金结算。
第二十七条 支付机构应当采取有效措施,确保客户在执行支付指令前能够确认收付款客户的姓名、账号、交易金额等交易信息,并在支付指令发出后及时通知客户结果。完成了。 12、因交易超时、无响应或系统故障导致支付指令无法正常处理的,支付机构应及时提示客户; 因客户原因导致支付指令未执行、未正常执行或者延迟的,支付机构应当主动通知客户变更情况或者协助客户采取补救措施。
第二十八条 支付机构应当通过具有合法独立域名的网站、统一服务热线等渠道,为客户提供至少最近一年的免费交易信息查询服务,并建立健全错误***和***投诉处理制度,配备专业的处理人员。职员。 各部门和人员真实、准确、及时处理交易错误和客户投诉。 支付机构应当告知客户获取相关服务的正确方式,引导客户有效识别服务渠道的真实性。 支付机构应当于每年1月31日前在其网站公布上一年度发生的客户投诉数量、类型、已处理的投诉比例以及投诉处理速度。
第二十九条 支付机构应当充分尊重客户自主选择的权利,不得强迫客户使用本机构提供的支付服务,也不得阻止客户使用其他机构提供的支付服务。 支付机构应当公平展示客户可选择的各类资金收付方式,不得以任何形式诱导、强制客户开立支付账户或者通过支付账户办理资金收付,不得附加不合理条件。
第三十条 支付机构因系统升级、调试等原因需要暂停网上支付服务的,应当至少提前5个工作日公告。 支付机构变更协议条款、提高服务收费标准或者设立新的收费项目的,应当在实施前连续30日在其网站等服务渠道显着位置公示,并确认客户客户首次办理相关业务前已知晓并接受变更建议。 调整的完整细节。
第五章 监督管理
第三十一条 支付机构提供网络支付创新产品或者服务、停止提***品或者服务或者与境外机构合作在境内开展网络支付业务的,应当向所在地中国人民银行分支机构报告。至少提前 30 天找到法人。 支付机构发生重大风险事件的,应当及时向法人所在地中国人民银行分支机构报告; 发现涉嫌违法犯罪的,应当同时向公安机关举报。
第三十二条 中国人民银行可以建立支付机构分类监管指标体系,建立持续分类评价工作机制,根据企业资质、风险管控特别是客户准备金管理等因素对支付机构实施动态分类。 。 管理。 具体办法由中国人民银行另行制定。
第三十三条 评定为A类且二类、三类支付账户实名比例超过95%的支付机构,可以采用其他能够有效落实实名制要求的客户身份验证方式。 经评估批准并报中国人民银行备案后实施。
第三十四条 经评估为A类且二类、三类支付账户实名比例超过95%的支付机构,14不符合工商注册登记条件且不得开展电子商务经营活动。并经相关法律、法规许可。 工商登记注册的个人客户(以下简称个人卖家)参照法人客户进行管理,但应当建立对电子商务经营活动进行持续监控、动态管理的有效机制,应当向法人所在地中国人民银行分支机构备案。 支付机构参照企业客户管理的个人卖家应至少满足以下条件:(一)相关电子商务交易平台已按照相关法律法规审核并登记其真实身份信息,并与支付机构签订登记协议。建立登记档案并定期验证更新,出具证明个人身份信息真实合法的标志,并加载在其电子商务经营活动主页的显着位置; (二)支付机构已按照开立第三类个人支付账户标准完成身份验证; (三))连续从事电子商务经营活动满6个月,且期间使用支付账户累计收取的经营收入超过20万元。
第三十五条 评定为A类的支付机构,二类、三类支付账户实名率超过95%的,经实名确认并符合实名要求的支付账户系统管理中,在办理第十二条靠前款规定的转账业务时,相关银行账户和支付账户无需属于同一客户。 但支付机构在交易过程中应准确、完整地将交易渠道、交易终端或接口类型、交易类型、支付客户名称、账号等交易信息发送给银行。
第三十六条 被评定为A类且第二类、第三类支付账户实名率超过95%的支付机构,第二类、第三类支付账户余额可以使用单日累计支付限额。三、符合实名管理要求的支付账户。 提高至第二十四条规定金额的两倍。评级为“B”类及以上的支付机构,且二类、三类支付账户实名比例超过90%的,可提高单日累计限额第24条规定的II类和III类付款帐户的余额付款达到了1.5倍。
第37条将付款机构评估为“ A”类别的付款机构根据第10条的规定处理相关业务时,它可以通过基于业务需求的协议独立与银行同意,即支付机构应代表其执行交易验证但是付款机构应在交易期间,完整并准确地发送交易信息,例如事务渠道,交易终端或接口类型,交易类型,商家名称,商家代码,商家类别代码,付款客户名称和帐号; 银行应验证付款机构的验证方法或渠道。 安全和管理客户资金安全的责任不会因付款机构的替代验证而转移。
第38条的付款机构被评为“ C”及以下类别的付款机构,其名称付款帐户比例很低,并且对零售付款系统或公众对非现金付款的信心有重大影响,中国及其分支机构可以根据第19条,第28条和其他规定,公开披露相关信息的要求应适当增加,并应加强现场监督和现场检查。
第39条中国人民银行及其分支机构应根据上述机密管理措施的相应条件动态地确定适用于付款机构的监管条款,并继续监督它们。 如果付款机构的分类评估结果和付款帐户的现名比例不符合上述分类管理措施的相应条件,则应严格遵循第10、11-16、12和24条等相关条款。 中国人民银行及其分支机构可能会及时调整相关的管理措施,例如根据社会经济发展的范围,模型,功能,限制和业务创新,付款机构的在线支付业务以及分类管理的需求付款机构。
第40条付款机构应加入中国付款和清算协会,并接受行业自我调节组织的管理。 中国的付款和清算协会应根据这些措施为在线支付商业行业制定自我调节规范,建立自我调节的审查机制,并在向中国人民银行提交后,组织实施。 自我监管法规应包括一个模板,以签署付款机构和客户之间签署的协议,澄清应该并且不应记录在协议中的事项。 他们还应包括特定内容和标准格式,以披露付款机构的相关信息。 中国付款和清算协会应建立信用承诺制度,并要求付款机构以标准格式公开承诺公开承诺,以遵守法律和法规,确保客户信息安全和资本安全,维护客户的合法性权利和利益,如果违反法律和法规,则自愿接受限制和罚款。 第六章法律责任。
第41条如果在以下任何情况下从事付款机构从事在线支付业务,则中国人民银行及其分支机构应按照“非付款服务措施的第42条的规定金融机构”:(1)不遵守该机构,规定建立管理系统,例如客户真实管理,付款帐户开放和使用,错误***和争议投诉处理,风险储备和交易补偿,紧急计划等。 ; (2)未能根据法规建立客户风险评级管理和付款帐户功能与风险控制机制有关的法规对于付款业务,不按要求采用; (3)未根据所需的相关信息进行风险提醒和公开披露; (4)未根据需要执行报告义务。
第42条如果付款机构在以下任何情况下从事在线支付业务,则中国人民银行及其分支机构应按照“非付款服务的措施金融机构”; 如果情况很严重,中国中国人民银行及其分支机构应按照中国人民银行第46条的规定处理:(1)它不符合付款机构的付款业务系统设施的相关要求; (2)它不符合国家和金融行业的要求。 标准和相关信息安全管理要求,使用数字证书和电子签名的使用不符合“中华人民共和国的电子签名法”,“金融电子身份验证规格”和其他法规; (3)为非法交易和虚假交易提供付款服务,发现涉嫌或怀疑违反法律法规的客户无法根据需要采取有效措施; (4)未根据需要采取客户付款说明的验证措施; (5)无法真正,完全准确地反映在线支付交易信息,篡改或隐藏交易信息; (6)未能根据法规处理客户信息,或者未能履行客户信息保密义务,从而导致信息泄漏的隐藏危险或导致信息泄漏; (7)防止客户独立选择付款服务提供商或基金收款和付款方式; (8)公开披露虚假信息; (9)违反法规或经营金融业务活动未经授权开设付款帐户。
第43条如果付款机构违反了反洗钱和反恐融资法规,则将根据相关的国家法律法规处理。 第7章补充规定第44条这些措施中的相关术语具有以下含义:机构客户是指接受付款机构付款服务的合法人员,其他组织或个人工业和商业家庭。 个人客户是指接受付款机构付款服务的自然人。 企业客户的基本身份信息,包括客户的姓名,地址,业务范围,统一的社会信用代码或组织代码; 许可证,证书或文件的姓名和数量可以证明客户是根据法律建立的,或者可以根据法律进行商业或社交活动。 和有效期; 法律代表(负责人)或有授权处理业务的人的名称,有效身份文件的类型,数字和有效期。 个人客户的基本身份信息,包括客户的姓名,国籍,性别,职业,地址,联系信息,以及客户有效ID文档的类型,数字和有效期。 19.合法人员和其他组织客户的有效身份文件是指主管***机构签发的证书或文件,这些证书或文件可以证明其法律和真实身份,包括但不限于业务许可证,公共机构法律证书,纳税登记证书以及组织代码证书。 ; 个人工业和商业家庭的有效身份文件,包括业务许可证,经营者的有效身份文件或授权处理人员。 个人客户的有效识别文件包括:在中国永久居住的中国公民的居民***; 16岁以下的人的居民***或家庭注册簿; 香港和澳门居民的**旅行许可证,用于香港和澳门特殊行政区的居民; 对于台湾地区的居民,这是台湾居民的**旅行许可证; 对于在国外定居的中国公民来说,这是中国护照。 对于外国公民,这是外国人的护照或永久居留许可(外国边境居民应按照边境贸易和解的相关规定申请); 其他人则根据法律和行政法规身份文件规定。 客户本人是指客户自己的单位(组织客户)或他本人(个人客户)。 第45条中国人民银行负责对这些措施的解释和修订。
第46条这些措施应于2016年7月1日生效
