【www.gbppp.com--私藏美文】
支付机构网络支付业务管理办法
第一章 总 则
第一条 为规范支付机构网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等规定,制定本办法。
第二条 支付机构从事网络支付业务,适用本办法。 本办法所称支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付和数字电视支付等网络支付业务的非金融机构。
本办法所称网络支付业务是指客户通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,由支付机构为付款人和网络特约商户的电子商务交易实现货币资金转移的活动。
支付机构不得为付款人和实体特约商户的交易提供网络支付服务。
第三条支付机构应当依法维护当事人的合法权益,保障信息安全和交易安全。
第四条支付机构应遵守反洗钱法律法规要求,履行反洗钱和反恐怖融资义务,不得为国家法律法规禁止和限制买卖的物品或服务、虚假交易提供网络支付服务。
1
第五条 支付机构开展网络支付业务,涉及跨境人民币结算和外汇支付业务的,应按照中国人民银行、国家外汇管理局相关规定执行。
第二章 业务开通与客户管理
第六条 支付机构办理网络支付业务,应当遵循“了解你的客户”原则,采取有效措施核实并依法留存客户身份基本信息。
第七条 支付机构应为客户建立唯一的客户识别编码,并根据客户特征、交易类型、交易金额等,与客户约定安全可靠的身份认证方式。
支付机构采用电子签名方式进行客户身份认证和交易授权的,应当优先由合法的第三方认证机构提供认证服务。
第八条 支付机构提供网络支付服务,应当向客户公示信息、提供章程或与客户签订协议。
公示信息、章程或协议应当包括但不限于以下内容:
(一)支付机构名称、营业地址、网址和联系方式;
(二)所提供的网络支付业务交易类型、交易规则、身份验证和交易授权方式;
(三)客户资金结算的时限要求,及支付机构为此提供相关支付便利的义务;
(四)具体收费项目和收费标准;
2
(五)差错及纠纷处理规则和程序;
(六)客户身份信息、账户信息和交易信息的保护责任;
(七)客户身份信息变更后的通知义务和方式;
(八)客户服务及投诉的方式和渠道,以及客户权益保障条款。
第九条支付机构应基于客户银行账户提供网络支付服务。 支付机构向客户银行发送支付指令,扣划客户银行账户资金的,支付机构、客户及银行应事先或在首笔交易时,签订三方协议或两两协议,按照以下规则明确相关授权并依照执行:
(一)支付机构应取得客户及银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金;
(二)银行应依法履行客户身份识别义务,并已事先或在首笔交易时取得客户的协议授权,明确支付机构发起支付指令扣划客户银行账户资金时,银行对其客户的身份识别和交易验证方式;但客户首笔业务的身份识别和交易验证应由银行完成,支付机构不得代为识别与验证;后续交易的验证主体、验证手段和渠道,由客户、银行与支付机构通过协议进行授权及约定;
(三)支付机构应当为客户提供后续交易验证由银行完成的优先选择权,不得人为设臵障碍;支付机构应当配合客户及银行为控制交易风险而采取的必要措施和手段。
3【支付机构网络支付业务管理办法】
(四)确因业务需要,客户自愿授权并与支付机构和开户银行约定后续交易由支付机构代为验证的,支付机构应确保验证手段和渠道的安全性,设臵单笔、日累计交易限额,并承担由此所导致的客户信息泄露和资金被盗用风险。
第十条 根据客户意愿,获得互联网支付业务资质的支付机构,可以为客户开立记录客户支付交易和资金余额信息的支付账户。
第十一条支付机构不得为金融机构以及从事融资、理财、担保、货币兑换等金融业务的其他机构开立支付账户。
第十二条支付机构不得为客户办理或变相办理支付账户的透支和现金存取,以及融资、担保业务。
第十三条支付机构开立支付账户应当遵守实名制管理规定,识别客户身份,核实有效身份证件,登记身份基本信息,并按规定留存有效身份证件复印件或者影印件。
支付机构应确保支付账户名称与客户有效身份证件或者身份证明文件上记载的姓名或名称一致,不得为客户开立匿名、假名支付账户。
第十四条支付机构要求客户提供有关资料信息时,应告知客户使用目的和范围、客户信息保护措施,以及客户未准确提供或提供虚假资料信息的后果;支付机构承担未妥善保管和使用客户信息导致信息被盗用的后果和责任。
4
第十五条 客户基本身份信息发生变更的,应当及时通知支付机构,支付机构在核实客户身份后予以更新。
第十六条支付机构为客户开立支付账户,应当与客户签订协议。协议内容包括但不限于:
(一)支付账户开立、挂失、止付、注销的规则;
(二)身份验证和支付授权方式;
(三)客户对支付机构核验其银行账户信息和身份信息的授权;
(四)支付账户使用和管理的责任、权利和义务;
(五)支付账户违规使用的处臵和责任;
(六)支付账户资金变动的通知方式;
(七)支付账户异常交易的通知、处臵方式和责任划分。 第十七条支付账户只能用于电子商务交易付款和符合规定的个人客户支付账户(以下简称个人支付账户)间转账,不得用于电子商务交易收款。
第十八条支付机构应按协议约定及时将电子商务交易收款资金结算至网络特约商户指定的同名银行账户,资金结算时限应为付款客户确认可直接向网络特约商户付款的支付指令生效之日起1至3个工作日,因涉嫌违规违法等风险交易延迟结算的除外。
第十九条 支付机构应按照客户识别编码,对同一客户开立的所有支付账户统一管理。
5
附件2:
非银行支付机构网络支付业务管理办法
及有关条款释义
(征求意见稿)
1
2
3
4
5
支付机构网络支付业务管理办法(征求意见稿)
第一章总则
第一条为规范支付机构网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等规定,制定本办法。
第二条支付机构从事网络支付业务,使用本办法。
本办法所称支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付和数字电视支付等网络支付业务的非金融机构。
本办法所称网络支付业务是指客户通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,由支付机构为付款人和网络特约商户的电子商务交易实现货币资金转移的活动。
支付机构不得为付款人和实体特约商户的交易提供网络支付服务。
第三条支付机构应当依法维护当事人的合法权益,保障信息安全和交易安全。
第四条支付机构应遵守反洗钱法律法规要求,履行发洗钱和反恐融资义务,不得为国家法律法规禁止和限制买卖的物品或服务、虚假交易提供网络支付服务。
第五条支付机构开展网络支付业务,涉及跨境人民币结算和外汇支付业务的,应按照中国人民银行、国家外汇管理局相关规定执行。
第二章业务开通与客户管理
第六条支付机构办理网络支付业务,应当遵循“了解你的客户”原则,采取有效措施核实并依法留存客户身份基本信息。
第七条支付机构应为客户建立唯一的客户识别编码,并根据客户特征、交易类型、交易金额等,与客户约定安全可靠的身份认证方式。
支付机构采用电子签名方式进行客户身份认证和交易授权的,应当优先由合法的第三方认证机构提供认证服务。
第八条支付机构提供网络支付服务,应当向客户公示信息、提供章程或与客户签订协议。
公示信息、章程或协议应当包括但不限于以下内容:
(一)支付机构名称、营业地址、网址和联系方式;
(二)所提供的网络支付交易类型、交易规则、身份验证和交易授权方式;
(三)客户资金结算的时限要求,及支付机构为此提供相关支付便利的义务;
(四)具体收费项目和收费标准;
(五)差错及纠纷处理规则和程序;
(六)客户身份信息、账户信息和交易信息的保护责任;
(七)客户身份信息变更后的通知义务和方式;
(八)客户服务及投诉的方式和渠道,以及客户权益保障条款;
第九条支付机构应基于客户银行账户提供网络支付服务。
支付机构向客户银行发送支付指令,扣划客户银行账户资金的,支付机构、客户及银行应事先或在首笔交易时,签订三方协议或两两协议,按照以下规则授权并依照执行:
(一)支付机构应取得客户及银行的协议授权,同意其向客户的银行账户发送指令扣划资金。
(二)银行应依法履行客户身份识别义务,并已实现或在首笔交易时取得客户的协议授权、明确支付机构发起支付指令扣划客户银行账户资金时,银行对其客户的身份识别和交易验证方式;但客户首笔业务的身份识别和交易验证主体、验证手段和渠道,由客户、银行与支付机构通过协议进行授权及约定;
(三)支付机构应当为客户提供后续交易验证由银行完成的有限选择权,不得人为设置障碍;支付机构应当配合客户及银行为控制交易风险而采取的必要措施和手段。
(四)确因业务需要,客户自愿授权并与支付机构和开户银行约定后续交易由支付机构代为验证的,支付机构应确保验证手段和渠道的安全性,设置单笔、日累计交易限额,并承担由此所导致的客户信息泄露和资金被盗用风险。
第十条根据客户意愿,获得互联网支付业务资质的支付机构,可以为客户开立记录客户支付交易和资金余额信息的支付账户。
第十一条支付机构不得为金融机构以及从事融资、理财、担保、货币兑换等金融业务的其他机构开立支付账户。 第十二条支付机构不得为客户办理或变相办理支付账户逇透支和现金存取、以及融资、担保业务。
第十三条支付机构开立支付账户应当遵守实名制管理规定,识别客户身份,核实有效身份证件,登记身份基本信息,并按规定留存有效身份证件复印件或者影印件。
支付机构应确保支付账户名称与客户有效身份证件或者身份证明文件上记载的姓名或名称一致,不得为客户开立匿名、假名支付账户。
第十四条支付机构要求客户提供有关资料信息时,应告知客户使用目的和范围,客户信息保护措施,以及客户未准确提供或提供虚假资料信息的后果;支付机构承担为妥善保管和使用客户信息导致信息被盗用的后果和责任。 第十五条客户基本身份信息发生变更的,应当及时通知支付机构,支付机构在核实客户身份或予以更新。 第十六条支付机构为客户开立支付账户,应当与客户签订协议。协议内容包括但不限于:
(一) 支付账户开立、挂失、止付、注销的规则;
(二) 身份验证和支付授权方式;
(三) 客户对支付机构检验其银行账户信息和身份信息的授权;
(四) 支付账户使用和管理的责任、权利和衣服;
(五) 支付账户违规使用的处置和责任;
(六) 支付账户资金变动的通知方式;
(七) 支付账户异常交易的通知、处置方式和责任划分。
第十七条支付账户只能用于电子商务交易付款和符合规定的个人客户支付账户(以下简称个人支付账户)间转账,不得用于电子商务交易收款。
第十八条支付机构应按协议约定及时将电子商务交易收款资金结算至网络特约商户制定的同名银行账户,资金结算时限应为付款客户确认可直接向网络特约商户付款的支付指令生效之日起1至3个工作日,因涉嫌违规违法等风险交易延迟结算的除外。
第十九条支付机构应按照客户识别编码,对同一客户开立的所有支付账户统一管理。
第二十条支付账户只能由本人使用,不得出借、出租、出售。
任何单位和个人不得利用支付账户从事或协助他人从事非法活动。
第二十一条客户挂失或重要密码、密钥或数字证书,更改预留手机号码等验证信息,或办理支付账户止付、注销业务的,支付机构应在确认客户身份及真实意思后及时办理。
第二十二条支付机构应严格规范客户身份信息、交易验证方式更改流程,针对不同业务处理类型和修改渠道完善客户身份验证措施。
第三章业务管理
第二十三条支付机构提供的网络支付业务的交易类型包括充值、消费、转账等。
充值,是指客户将本人同名银行借记账户或同一支付机构发行的预付卡中资金转入本人同名支付账户。支付账户未用充值资金退回时,应转回原银行账户或原预付卡。
消费,是指客户因商品或服务购买、税费缴纳、信用卡还款、购买特定金融产品等电子商务交易活动,将付款客户的银行账户或支付账户资金划转至网络特约商户的银行账户,因交易取消(撤销)、退货、交易不成功等原因需退款的,相应款项应转回原银行账户或支付账户。
转账,是指个人支付账户之间无电子商务交易背景的小额资金划转。单位客户的支付账户(以下简称单位支付账户)不得办理无电子商务交易背景的资金转账业务。
第二十四条单位支付账户的资金来源仅限于其同名人民币银行账户,资金只能用于消费;个人支付账户的资金来源仅限于本人同名人民币银行借记账户、本支付机构按规定发行的预付卡充值和个人支付账户转入,资金只能用于消费和转账转出。
第二十五条个人支付账户转账单笔金额不得超过1000元,统一客户所有支付账户转账年累计金额不得超过1万元。超过限额的,应通过客户的银行账户办理。
第二十六条个人支付账户单笔消费金额不得超过5000元,同一人客户所有支付账户消费月累计金额不得超过1万元。超过限额的,应通过客户的银行账户办理。
第二十七条网络特约商户应制定一个同名银行账户,用于交易资金结算。
第二十八条支付机构应建立网络特约商户用于资金结算的银行账户设置和变更审核制度,严格审核设置和变更申请材料的真实性、有效性。
第二十九条支付机构应确保交易信息的真实性、完整性、可追溯性。交易信息包括但不限于下列事项:
(一)交易渠道、受理终端类型、交易类型、网络特约商户类别码及唯一性编码、交易金额、交易时间;
(二) 收付款客户名称,收付款银行账户的开户银行名称及账号、支付账户账号;
(三) 付款客户的身份验证和交易授权信息;
(四)直接向客户提供商品或服务的特约商户名称及按照《金融零售业务商户类别代码》(GB/T 20548-2006)设置的商户类别码;
(五)有效追溯交易的标识。
第三十条支付机构对网络特约商户的拓展与管理、客户使用银行账户支付的交易处理,以及相关风险措施,应当按照《银行卡收单业务管理办法》的相关规定执行。
第三十一条支付机构开展网络支付业务,应拥有并运营独立、安全、规范的业务处理系统,该系统及其备份系统的服务器应设置在中华人民共和国境内。
第四章风险管理与客户权益保护
第三十二条支付机构网络支付业务应符合国家和金融行业技术标准和相关信息安全管理要求。
第三十三条支付机构业务处理系统应对客户发起支付指令的计算机、移动电话、固定电话等不同终端进行有效识别,并针对不同终端发起交易的风险程度,实施充分的、有效的验证方式,采取有效的风险控制措施。
第三十四条支付机构应综合客户实名认证、交易行为特征、资信状况等因素,建立客户风险评级管理制度。
对风险评级较高的客户,支付机构应对其开通的交易类型、交易金额进行限额,并采取强化交易监测、账户止付、延迟结算等风险管理措施。
第三十五条支付机构应健全网络支付业务风险管理制度,建立交易监测系统,对疑似套现、洗钱、非法融资、欺诈或泄露客户信息等可疑交易及时核查,采取有效的风险防控措施,并承担因为采取措施导致的风险损失责任;发现涉嫌违法犯罪的,应及时向公安机关报案,同时向中国人民银行及其分支机构报告。
第三十六条支付机构应至少每年对内部控制制度、业务处理系统、交易监测系统、信息安全管理等风险防控机制开展一次全面的风险评估,并完善支付安全措施。
第三十七条支付机构应限制客户尝试登陆或身份验证的次数、制定客户访问超时规则,设置身份验证时限。使用一次性密码进行身份验证时,支付机构应将该密码有效期严格限制在最短的必要时间内。
第三十八条支付机构对业务办理过程中采集和处理的客户信息,应制定有效的风险控制措施,依法或按照客户授权使用,确保相关信息安全并承担相应的安全管理责任。
第三十九条支付机构不得存储客户银行账户密码、银行卡卡片验证码及卡片有效期等敏感信息。确因业务需要存储客户银行卡卡号、卡片有效期的,应取得客户和客户开户银行授权,并以加密形式存储。
第四十条支付机构应制定突发事件应急预案,建立灾备系统,保障业务连续性和系统安全性。
第四十一条支付机构应建立健全风险准备金制度和交易赔付制度,风险准备金应对非因客户原因发生的风险损失予以先行赔付,保障客户合法权益。
第四十二条支付机构应向客户充分提示网络支付业务的潜在风险,对客户进行必要的认知教育和安全指导,并对高风险业务在操作前、操作中进行风险警示。
第四十三条支付机构为客户特定金融产品购买、网络借贷等融资活动提供网络支付服务的,应确保产品或服务提供方为依法合规开展业务的机构。并充分向客户提示潜在风险。
第四十四条支付机构应采取有效措施,在执行支付指令钱提示客户对支付指令的准确性进行确认,并在支付指令完成后及时将结果通知客户。
第四十五条因交易超时、无响应或系统故障导致支付指令无法正常处理的,支付机构应及时提示客户。
因客户原因造成支付指令来执行、未适当执行、延迟执行的,支付机构应主动通知客户更改或配合客户采取补救措施。
第四十六条支付机构应建立健全网络支付业务差错处理制度,配备专业部门和人员,据实、准确、及时处理差错交易。
第四十七条支付机构提高网络支付服务收费标准或新设收费项目的,应至少于执行日前3个月在网站公示。
支付机构应在提高收费标准或新设收费项目后、客户首次办理相关业务前,确认客户知悉该服务收费标准并保证客户对该服务的选择权。
第四十八条支付机构因系统升级、调试等原因,需暂停挽留过支付服务的,应至少提前5个工作日予以公告。 第四十九条支付机构提供网络支付服务,应开设具有合法独立域名的网站,设立统一的客户服务电话和查询投资渠道。
第五十条支付机构应为客户免费提供最近一年以内交易信息查询服务。
第五十一条支付机构对客户的身份资料、账户信息、交易信息,应妥善保存,身份资料、账户信息自业务关系结束之日起至少保存5年,交易信息自交易记账之日起至少保存5年。
第五章监督管理
第五十二条中国人民银行及其分支机构依法对支付机构的网络支付业务活动进行监督和管理。
第五十三条中国人民银行及其分支机构可采取如下措施,对支付机构进行现场检查:
(一) 进入与网络支付业务相关的经营场所进行检查;
(二) 查阅、复制与检查事项有关的文件、资料;
(三) 询问有关工作人员,要求对有关事项进行说明;
(四) 检查有关系统和设施,复制有关数据资料。
第五十四条支付机构应协助配合中国人民银行及其分支机构开展现场检查和非现场检查,按时报送网络支付业务统计信息和管理信息。
第五十五条支付机构提供网络支付创新产品或服务、决定停止提供产品或服务、调高服务收费标准或新增收费项目等,应至少提前30日向中国人民银行及其分支机构备案。
第五十六条支付机构应当加入中国支付清算协会,接受行业自律组织管理。中国支付清算协会应当根据本办法,制定网络支付业务行业自律规范,向中国人民银行备案后组织实施。
第五十七条支付机构发生涉嫌违法犯罪案件或重大风险事件的,应及时向中国人民银行及其分支机构报告。【支付机构网络支付业务管理办法】
第六章罚则
第五十八条支付机构从事网络支付业务有下列倾向之一的,由中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十二条的规定责令其期限改正,并予以警告或处1万元以上3万元以下罚款;
(一)未按规定建立并落实客户实名制、客户风险评级管理、风险准备金与交易赔付、交易和信息安全管理、年度风险评估、应急管理等制度的;
(二) 未按规定向客户提供相关业务优先选择权的;
(三) 未按规定继续进行风险提示或公开披露相关信息的;
(四) 未按规定处理客户身份信息、账户信息、交易信息及提供有关信息查询服务的;
(五) 未按规定向中国人民银行及其分支机构报送信息或办理相关备案手续的。
第五十九条支付机构从事网络支付业务有下列情形之一的,由中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十三条的规定责令其期限改正,并处3万元罚款;情节严重的,中国人民银行注销其《支付业务许可证》;涉嫌犯罪的,依法移送公安机关:
(一) 网络支付业务处理系统及其备份系统的服务器未按规定设置在中华人民共和国境内的;
(二) 不符合国家和金融行业技术标准和相关信息安全管理要求的;
(三) 未按规定建立交易监测系统,发现客户疑似或涉嫌违法违规行为未采取有效措施的;
(四)未按规定开立、使用和管理支付账户,或为实体特约商户提供网络支付服务,以及为客户提供或变相提供现金存取、融资和担保等本办法规定的禁止性支付服务的;
(五)未准确反映网络支付交易信息,未按规定进行网络支付业务处理及相关交易限额管理、交易验证、资金划转与资金结算的;
(六)发生客户身份信息,账户信息,交易信息泄露,或未尊重客户意愿,侵害相关当事人合法权益的;
(七) 为非法交易、虚假交易提供支付服务的。
第六十条支付机构未按本办法要求识别客户身份、履行反洗钱义务的,由中国人民银行及其分支机构依据国家有关反洗钱法律法规等进行处罚。
第六十一条未取得网络支付业务相关资质,擅自或变相开展网络支付业务的,由中国人民银行及其分支机构终止其网络支付业务;涉嫌犯罪的,依法移送公安机关;构成犯罪的,依法追求形式责任。
第七章附则
第六十二条本办法相关用语含义如下:
个人有效身份证件,是指居民身份证、港澳台居民通行证、外国公民护照等;
单位有效身份证件,是指营业执照、有关政府部门的批文,登记证书或其他正式其合法真实身份的证明等。 网络特约商户,是指基于公共网络信息系统提供商品或服务的特约商户。
实体特约商户,是指通过实体经营场所提供商品或服务的特约商户。
单位客户,是指接受支付机构支付服务的企事业单位、个体工商户或其他组织,以及按照国家工商行政管理有关规定,开展网络商品交易等经营活动的自然人;
个人客户,是指接受支付机构的支付服务,但未开展网络交易等经营活动的自然人。
第六十三条本办法由中国人民银行负责解释和修订。
第六十四条本办法自2014年月日起施行。
目录
【支付机构网络支付业务管理办法】
第一章 总则 第二章 客户管理 第三章 业务管理 第四章 风险管理与客户权益保护 第五章 监督管理 第六章 法律责任 第七章 附则
《非银行支付机构网络支付业务管理办法》是为规范非银行支付机构(以下简称支付机构)网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等规定制定。由中国人民银行于2015年12月28日发布,自2016年7月1日起施行。
第一条 为规范非银行支付机构[以下简称支付机构]网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》[中国人民银行令〔2010〕第2号发布]等规定,制定本办法。
第二条 支付机构从事网络支付业务,适用本办法。本办法所称支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。本办法所称网络支付业务,是指收款人或付款人通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,且付款人电子设备不与收款人特定专属设备交互,由支付机构为收付款人提供货币资金转移服务的活动。本办法所称收款人特定专属设备,是指专门用于交易收款,在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。
第三条 支付机构应当遵循主要服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨,基于客户的银行账户或者按照本办法规定为客户开立支付账户提供网络支付服务。本办法所称支付账户,是指获得互联网支付业务许可的支付机构,根据客户的真实意愿为其开立的,用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细信息的电子簿记。支付账户不得透支,不得出借、出租、出售,不得利用支付账户从事或者协助他人从事非法活动。
第四条 支付机构基于银行卡为客户提供网络支付服务的,应当执行银行卡业务相关监管规定和银行卡行业规范。支付机构对特约商户的拓展与管理、业务与风险管理应当执行《银行卡收单业务管理办法》[中国人民银行公告〔2013〕第9号公布]等相关规定。支付机构网络支付服务涉及跨境人民币结算和外汇支付的,应当执行中国人民银行、国家外汇管理局相关规定。支付机构应当依法维护当事人合法权益,遵守反洗钱和反恐怖融资相关规定,履行反洗钱和反恐怖融资义务。
第五条 支付机构依照中国人民银行有关规定接受分类评价,并执行相应的分类监管措施。
第六条 支付机构应当遵循“了解你的客户”原则,建立健全客户身份识别机制。支付机构为客户开立支付账户的,应当对客户实行实名制管理,登记并采取有效措施验证客户身份基本信息,按规定核对有效身份证件并留存有效身份证件复印件或者影印件,建立客户唯一识别编码,并在与客户业务关系存续期间采取持续的身份识别措施,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。
第七条 支付机构应当与客户签订服务协议,约定双方责任、权利和义务,至少明确业务规则[包括但不限于业务功能和流程、身份识别和交易验证方式、资金结算方式等],收费项目和标准,查询、差错争议及投诉等服务流程和规则,业务风险和非法活动防范及处置措施,客户损失责任划分和赔付规则等内容。支付机构为客户开立支付账户的,还应在服务协议中以显著方式告知客户,并采取有效方式确认客户充分知晓并清晰理解下列内容:“支付账户所记录的资金余额不同于客户本人的银行存款,不受《存款保险条例》保护,其实质为客户委托支付机构保管的、所有权归属于客户的预付价值。该预付价值对应的货币资金虽然属于客户,但不以客户本人名义存放在银行,而是以支付机构名义存放在银行,并且由支付机构向银行发起资金调拨指令。”支付机构应当确保协议内容清晰、易懂,并以显著方式提示客户注意与其有重大利害关系的事项。
第八条 获得互联网支付业务许可的支付机构,经客户主动提出申请,可为其开立支付账户;仅获得移动电话支付、固定电话支付、数字电视支付业务许可的支付机构,不得为客户开立支付账户。支付机构不得为金融机构,以及从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构开立支付账户。
第九条 支付机构不得经营或者变相经营证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。
第十条 支付机构向客户开户银行发送支付指令,扣划客户银行账户资金的,支付机构和银行应当执行下列要求:[一]支付机构应当事先或在首笔交易时自主识别
客户身份并分别取得客户和银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金;[二]银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议,明确约定扣款适用范围和交易验证方式,设立与客户风险承受能力相匹配的单笔和单日累计交易限额,承诺无条件全额承担此类交易的风险损失先行赔付责任;[三]除单笔金额不超过200元的小额支付业务,公共事业缴费、税费缴纳、信用卡还款等收款人固定并且定期发生的支付业务,以及符合第三十七条规定的情形以外,支付机构不得代替银行进行交易验证。
第十一条 支付机构应根据客户身份对同一客户在本机构开立的所有支付账户进行关联管理,并按照下列要求对个人支付账户进行分类管理:[一]对于以非面对面
方式通过至少一个合法安全的外部渠道进行身份基本信息验证,且为首次在本机构开立支付账户的个人客户,支付机构可以为其开立Ⅰ类支付账户,账户余额仅可用于消费和转账,余额付款交易自账户开立起累计不超过1000元[包括支付账户向客户本人同名银行账户转账];[二]对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户,或以非面对面方式通过至少三个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户,支付机构可以为其开立Ⅱ类支付账户,账户余额仅可用于消费和转账,其所有支付账户的余额付款交易年累计不超过10万元 [不包括支付账户向客户本人同名银行账户转账];[三]对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户,或以非面对面方式通过至少五个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户,支付机构可以为其开立Ⅲ类支付账户,账户余额可以用于消费、转账以及购买投资理财等金融类产品,其所有支付账户的余额付款交易年累计不超过20万元[不包括支付账户向客户本人同名银行账户转账]。客户身份基本信息外部验证渠道包括但不限于政府部门数据库、商业银行信息系统、商业化数据库等。其中,通过商业银行验证个人客户身份基本信息的,应为Ⅰ类银行账户或信用卡。
第十二条 支付机构办理银行账户与支付账户之间转账业务的,相关银行账户与支付账户应属于同一客户。支付机构应按照与客户的约定及时办理支付账户向客户
本人银行账户转账业务,不得对Ⅱ类、Ⅲ类支付账户向客户本人银行账户转账设置限额。
第十三条 支付机构为客户办理本机构发行的预付卡向支付账户转账的,应当按照《支付机构预付卡业务管理办法》[中国人民银行公告〔2012〕第12号公布]相关规定对预付卡转账至支付账户的余额单独管理,仅限其用于消费,不得通过转账、购买投资理财等金融类产品等形式进行套现或者变相套现。
第十四条 支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隐匿交易信息。交易信息包括但不限于下列内容:
[一]交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间,以及直接向客户提供商品或者服务的特约商户名称、编码和按照国家与金融行业标准设置的商户类别码;[二]收付款客户名称,收付款支付账户账号或者银行账户的开户银行名称及账号;[三]付款客户的身份验证和交易授权信息;[四]有效追溯交易的标识;[五]单位客户单笔超过5万元的转账业务的付款用途和事由。
第十五条 因交易取消[撤销]、退货、交易不成功或者投资理财等金融类产品赎回等原因需划回资金的,相应款项应当划回原扣款账户。
第十六条 对于客户的网络支付业务操作行为,支付机构应当在确认客户身份及真实意愿后及时办理,并在操作生效之日起至少五年内,真实、完整保存操作记录。客户操作行为包括但不限于登录和注销登录、身份识别和交易验证、变更身份信息和联系方式、调整业务功能、调整交易限额、变更资金收付方式,以及变更或挂失密码、数字证书、电子签名等。
第十七条 支付机构应当综合客户类型、身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度和机制,并动态调整客户风险评级及相关风
险控制措施。支付机构应当根据客户风险评级、交易验证方式、交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间、商户类别等因素,建立交易风险管理制度和交易监测系统,对疑似欺诈、套现、洗钱、非法融资、恐怖融资等交易,及时采取调查核实、延迟结算、终止服务等措施。
第十八条 支付机构应当向客户充分提示网络支付业务的潜在风险,及时揭示不法分子新型作案手段,对客户进行必要的安全教育,并对高风险业务在操作前、操
作中进行风险警示。支付机构为客户购买合作机构的金融类产品提供网络支付服务的,应当确保合作机构为取得相应经营资质并依法开展业务的机构,并在首次购买时向客户展示合作机构信息和产品信息,充分提示相关责任、权利、义务及潜在风险,协助客户与合作机构完成协议签订。
第十九条 支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失及时先行全额赔付,保障客户合法权益。支付机
构应于每年1月31日前,将前一年度发生的风险事件、客户风险损失发生和赔付等情况在网站对外公告。支付机构应在年度监管报告中如实反映上述内容和风险准备金计提、使用及结余等情况。
第二十条 支付机构应当依照中国人民银行有关客户信息保护的规定,制定有效的客户信息保护措施和风险控制机制,履行客户信息保护责任。支付机构不得存储
客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息,原则上不得存储银行卡有效期。因特殊业务需要,支付机构确需存储客户银行卡有效期的,应当取得客户和开户银行的授权,以加密形式存储。支付机构应当以“最小化”原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和范围。支付机构不得向其他机构或个人提供客户信息,法律法规另有规定,以及经客户本人逐项确认并授权的除外。
第二十一条 支付机构应当通过协议约定禁止特约商户存储客户银行卡的磁道信息或芯片信息、验证码、有效期、密码等敏感信息,并采取定期检查、技术监测等
必要监督措施。特约商户违反协议约定存储上述敏感信息的,支付机构应当立即暂停或者终止为其提供网络支付服务,采取有效措施删除敏感信息、防止信息泄露,并依法承担因相关信息泄露造成的损失和责任。
第二十二条 支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的交易进行验证:[一]仅客户本人知悉的要素,如静态密码等;[二]仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;[三]客户本人生理特征要素,如指纹等。支付机构应当确保采用的要素相互独立,部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。
第二十三条 支付机构采用数字证书、电子签名作为验证要素的,数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》
[JR/T0118-2015]等有关规定,确保数字证书的唯一性、完整性及交易的不可抵赖性。支付机构采用一次性密码作为验证要素的,应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险,并将一次性密码有效期严格限制在最短的必
本文来源:http://www.gbppp.com/jd/419492/
推荐访问:业务提成管理办法 业务招待费管理办法