来源:蜘蛛抓取(WebSpider)
时间:2015-08-07 10:00
标签:
央行什么时候发纪念币
央行第三方支付新规意见一箩筐 要安全还是要方便_新浪新闻
上周末,央行《非银行支付机构网络支付业务管理办法》(征求意见稿)发布,又一次引发网友热烈讨论。
用户开户需五重验证身份、跨行转账将不再免费、快捷支付超过200元则需登录网银验证&&观察意见稿全文,其核心在于规范第三方支付的“类存款”业务,提高账户的安全性。但很多网友似乎对这一说法并不买账。有人惊呼,这还是我认识的那个xx宝吗?
网友说
[假设未来说:剩下的问题,交给马云爹爹来解决]
有的网友已经不禁开始畅想,如果意见稿实行起来,会是怎样一番景象。
情景一:有一天,我和我的女朋友准备去买一台新的苹果手机。假设一个苹果手机5288元,那么我准备第一天先付5000元,第二天再支付288元。就是这么机智。
情景二:星期天闲来无聊。于是我上网淘宝了一发。结果宝贝价值250元。我早已做好了一切准备,先输入银行卡号6222 xxxx xxxx xxxx xxx&&插上u盾&&验证手机短信&&支付成功。原本只需不到一分钟完成的支付现在既考验记忆力又需要多种设备支持,妈妈再也不用担心我会想剁手了。
情景三:我已经为马云想好了解决措施:央行只是不允许银行卡通过支付宝直接转银行卡,支付宝转支付宝不受影响。那么阿里以后有没有可能搭配自己的银行牌照。形成自己的支付宝&&自己的蚂蚁银行账号&&别人的银行账号这样的通道(后台操作融合,在用户层面就只有一个操作),就不受这个政策限制了。 (哈哈哈哈哈我好有才!)
情景四:若干天后我去寄快递,结果顺丰快递说接到通知运送范围要限制在一公里之内,超过一公里就只能使用EMS,因为寄太远不安全。
情景五:想给老家的父母孝敬点生活费,可能也要去银行排队;老板给员工发工资或许也只能一家家银行去倒腾了。假如意见稿得以实施,城市用户可去营业厅柜台、ATM机、手机银行或者通过网银进行转账,但很多农村地区只支持邮局和农村信用合作社,有些地方小银行也没有网银,无法使用手机银行转账,若第三方支付转账被叫停,就只能去银行汇款了。
情景六:“我决定把全部积蓄转入余额宝,剩下的问题,交给马云爹爹来解决。”
[单纯吐槽说]
@小暗的鲷鱼烧:“请注意,倒车!请注意,倒车!”
@赵大饭桶:#支付宝限额5000元#长亭外,古道边,芳草天。
@joyyyful:台湾、韩国及其他国家地区都羡慕我们的支付宝,因为没有一个国家和地区的支付方式如此方便快捷&&
@某网友:银行是弱势群体,高速公路是弱势群体,只有中国人民不是弱势群体。
[安全保障说]
@蹩扭[山东青岛]:其实我认为,随着网络支付的普及,第三方支付日益便捷,相对应的账户安全性必然会被弱化,还有其他的隐私资料也都连串交给了互联网公司。比如微信支付,它同时掌握着你的姓名、身份证号 、手机号、开户行、银行账号、信用卡号、安全码、账户密码。你相信没有泄密的可能吗?互联网公司、其员工、黑客。
@居里先生:早就应该这样规范,大额支付用网银还是安全一些,毕竟资金安全才是第一的。我不信买个5000元以上的东西或者转账超过5000元就凭个短信验证码就能保证安全,除非开发出安全的验证方式,不然第三方支付这种方式实在让人着急。
[学者说]
有学者在解读新规时指出,和历时弥久的银行、银联相比,第三方支付抗外部风险的能力还不够完善,但不得不承认的一个现实是,无论是余额宝,还是微信红包的创新,几乎是在1-2年时间,超越了之前银行、银联等几十年的创新。
就给老百姓而言,十年前的银行跟十年后的银行,如果从创新带来的福利而言,排队还是依然不减,虽然电子银行,网上转账越来越普及,但从操作上,还是抵不过当面付款,aa收款等诸多第三方支付的创新带给老百姓的便利好。而且此举对于网银的承接能力能造成了很大挑战。
目前,央行正通过官方网站征求对该意见稿的意见。为第三方支付建言献策,你也可以。(点击阅读原文)http://www./publish/main/527/3415_.html
根据人民网、华西都市报、新浪微博 新浪新闻综合整理
部分漫画改编自奇葩小编朵朵开&糖糖妹纸&检察日报
新京报新媒体部 实习生 杨易颖
(本文首发新京报新媒体,您可以在微信中搜索公众号“新京报”,或添加微信号:bjnews_xjb了解更多精彩内容)
编辑:王健 李丰 (原标题:央行第三方支付新规意见一箩筐 要安全还是要方便)
更多猛料!欢迎扫描下方二维码关注新浪新闻官方微信(xinlang-xinwen)。
李嘉诚具有非凡的经营头脑和对投资环境、以及世界变化的敏锐把握,被誉为“李超人”,长期蝉联亚洲首富。在香港,乃至亚洲商界,他既是一个标杆,也是一个风向标,在华人圈有巨量的跟随者,他的此番举动确实无法不让人联想,以为是在看空中国。
这样的放生,获取不到正义,也拥有不了真理。看似是仁爱慈悲,实则是自私自利的写照;看似是为造福社会、造福生态,实则是与环保没有一毛钱的关系;看似是自己花钱买来动物,实际上本身就是在参与于一种以道德作秀为目的的捕杀与贩卖游戏。
小伙子嫌食堂饭菜肉太少报警,谎称自己被绑架,这种做法无疑是违法的。但笔者却以为,除了笑笑之外,我们也应该意识到这个新闻不只是个笑话,它更是员工利益的一个表征,那就是,谁来保证员工中午吃饭的权利。
释永信一袭袈裟背后,究竟真实的面孔是怎样,公众这些年纯粹凭的是个人的感觉。此前网上各种对于方丈释永信“相由心生”的猜测,更是主观得离谱。这至少说明,对于释永信这个多年来一直处于舆论浪尖上的人物,人们对他的“真身”知情太少了。您当前的位置: >
详解央行第三方支付新规:影响4类人 重点不是数字5000
责任编辑:传媒使者来源:第一传媒发表时间: 21:02
周五下午4点左右,央行官网发出了《关于向社会公开征求&非银行支付机构网络支付业务管理办法&意见的公告》,这份意见稿一出炉,就引起广泛讨论。
我注意到,很多媒体都把目光集中到:用户每日可以支付多少这个数字上。比如,这样的标题:央行拟为网络第三方支付定规矩每天限额5000元。
这个说法主要来自于这份意见稿的第二十八条,原文是这样的:
第二十八条 支付机构应根据支付指令验证方式的安全级别,对个人客户使用支付账户余额付款的交易进行限额管理。支付机构采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易,单日累计限额由支付机构与客户通过协议自主约定;支付机构采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元(不包括支付账户向客户本人同名银行账户转账,下同);支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。
在这条里,重点不是5000这个数字。重点在另外两个地方。
其一,是对&使用支付账户余额付款&进行的限额管理。通俗点讲,支付宝或者财付通帐号里没钱的,只是通过这个工具作为管道调用银行卡支付的,并不受此条限制。
其二,要进行数字证书或电子签名验证。如果有(桌面互联网上到目前为止,是有的),也不受限5000这个数字。移动端一般没有,所以会受限。
换而言之,太多媒体拿来做标题的所谓日付受限5000,这个事是有前提的:只有动用余额进行支付且在移动端上,会被受限5000元。按照我个人的观察所得,大部分人应该不受影响。你的支付宝帐号里平时一直放着多少钱呢?
可能会影响以下这类人:
1、有的企业,拿第三方支付发工资,把钱直接打到员工的第三方支付帐号上。
2、电商卖家,第三方支付帐号里颇有钱财。
3、我这种经常码字赚稿费的人,第三方支付帐号里也有钱。
4、抢红包圣手,也许微信支付里藏着不少钱。
以后,每个人没事就要把钱转出来,别到时候发现,嚓,连个iPhone都不给买?
整个意见稿,关于支付帐号下的余额管理,央行是不遗余力的。央行对第三方支付帐号里的银子,管得很紧。它就是要用户尽可能把钱从这个帐号里挪到银行卡里。
比如第十条要求支付机构&以显著方式明确告知客户:支付账户所记录的资金余额不同于客户本人的商业银行货币存款&不受《存款保险条例》保护。&
第十六条也有所体现。说每年交易不得超过20万(综合账户)或10万(消费类账户),其实指的也是余额支付限制。
第十七条提到,支付机构不得对支付账户向客户本人同名银行借记账户转账业务设置限额。&& 这个可能会动摇到一些支付机构的超额转出收取手续费的利益。
第二十七条要求使用支付账户余额付款的支付指令进行验证时,得打组合拳,而不是一个密码了事。
央行对快捷支付也不是很待见,第十五条说,
除单笔金额不足200元的小额支付业务,以及公共事业费、税费缴纳等收款人固定并且定期发生的支付业务外,支付机构不得代替银行进行客户身份及交易验证。银行对客户资金安全的管理责任不因支付机构代替验证而转移。
王剑说&通道是流量,账户则意味着存量,&,万建华说&得账户者得天下&,都很有道理。严控余额,就是让第三方支付受限于&通道&而不是&账户&。
近日,小饭桌创业调研部联合险峰投资、经纬中国、真格投资、明势资本等主流基金,对国...
开发并运营视频聊天网站9158的浙江天格已经斥巨资在杭州滨江区买了一块地皮,正在修建自己的办公园区。其不远处有两...
变成红蓝颜色的猪头肉(资料图片) 环球网青岛频道7月6日讯(见习记...
正在热映的国产喜剧《港濉啡涨霸庥隽艘淮蔚涟嫖;嫌巢...
恐龙智库分析:《舌尖上的中国》 引领中国美食文化的潮流 《舌尖...来源:标签:
导语:7月31日,央行发布公告,就《非银行支付机构网络支付业务管理办法》向社会公开征求意见,出乎意料的引起了同学们的不满......
燃点白酒是国内首个互联网白酒品牌。该品牌立足用户思维,为懂品质和品位的80后、90后年轻人提供一款有调性的高性价比白酒。机构•动态
监管•直达
新闻•微评
观点•领袖
专题•聚焦
消费•导引
产品•服务
图说•快语
投诉•互动
您当前的位置 :&&&&&&&正文
央行史上最严网络支付新规激起千层浪
09:13:48
分享到:
7月31日,央行发布公告,就《非支付机构网络支付业务管理办法》(以下简称《征求意见稿》)向社会公开征求意见,一些剁手族感到非常失落。《征求意见稿》通过&客户管理、业务管理、监督管理&等七章共五十七条对非银行支付机构网络支付业务做出了详细规定。
其中,第三方支付单个客户单日累计金额应不超过5000元、支付账户需进行多种方式交叉验证等规定几乎成为了第三方支付公司的命门。
相关规定刚一出来,立即在上激起千层浪。其中,最失落和最无奈的应属第三方支付公司和电商平台。
因为是周末,在接受《每日经济新闻》记者采访时,相关平台和网站并没有进行官方表态,不过都表达了自己的担忧。
一名不愿具名的第三方支付人士表示,&虽然央行称5000元限额是误读,但这个规定根本上改变的是消费者的体验,也提高了网上支付的门槛,对大额电商支付来说,完成一笔订单的难度大大增加。&
线下移动支付受影响较大
记者注意到,由于5000元以上额度的支付必须接入网上银行平台,超过限额的部分,用户要么通过电脑来完成,要么跳转到手机银行APP上支付,而大多数银行手机APP目前的体验并不能令用户满意。
记者采访了解到,第三方支付机构和电商平台的担忧主要有以下几点:
第一,快捷支付用户体验倒退。《征求意见稿》提到,除单笔金额不足200元的小额支付业务,以及公共事业费、税费缴纳等收款人固定并且定期发生的支付业务外,支付机构不得代替银行进行客户身份及交易验证。
按照新规,假如单笔支付金额超过200元,需要通过网页版U盾或是手机网银才能支付成功。也就是说,在微信哪怕发201元的红包,都要去网银页面,这对不少人发红包的积极性会带来影响。
第二,线下移动支付可能遭遇重创。另一家支付平台人士称,现在大家爱用快捷支付,是因为平台没有走银行验证流程,所以处理速度很快,这也是移动支付能够在线下超市、便利店、餐厅等场景迅速扩张的原因。如果以后200元以上的支付要走银行验证,则要增加输入、插上U盾、验证手机短信等步骤。这些繁琐的流程,加上不稳定的网络将会大大降低移动支付的效率。
第三,银行能提供同样的服务吗?近年来,中国第三方支付交易量一直在快速攀升。数据显示,2013年,中国用户交易次数达17亿次;2014年,中国用户交易次数达45亿次,相当于每天平均交易次数为1230多万。前述第三方支付人士认为,如果真的按照《征求意见稿》执行,对银行网银的承接能力来说,也将面临前所未有的考验。
开支付账户得去居委会?
第四,大额网购门槛提高。央行在7月18日发布的《关于促进健康发展的指导意见》中曾表示,互联网支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨。
不过,从《征求意见稿》来看,受影响较大的将是电商平台价格超过5000元的商品。
寺库网CEO李日学此前曾对《每日经济新闻》记者表示,普通用户其实不会持续购买奢侈品,这导致奢侈品网站的客单价很高,平均一单能达到5000元左右。&奢侈品做电商很难像其他电商平台一样有几倍爆发的增长,它受到的客观限制太多,比如网络支付是否顺畅都起很大的决定作用。&
另一名不愿具名的跨境电商平台负责人坦言,如果央行新政真的执行,对平台上的商品类别可能要做一定调整,&因为对我们的用户体验确实会造成很大影响。&
第五,开支付账户要去居委会?上面种种担忧也许是最坏的情况,而提高新开支付账户的门槛,对尚处于普及阶段的第三方支付来说,无疑是雪上加霜。《征求意见稿》第十六条规定,支付机构给个人开户,如果是消费类账户,需要三个机构为用户做身份验证,如果是具备理财功能的综合账户,则需要五个机构来验证。
业内人士介绍,&这里的身份认证指的不是密码等安全手段,而是公安、、工商、银行、教育机构、居委会等能证明用户身份的机构。&&如果《征求意见稿》真的执行,新用户开设支付账号,可能还要上传文凭学历、纳税证明、户口本、护照等一系列东西,不集齐五件,就难以开户。&上述业内人士表示。
即便是用户真正上传了这些资料,教育、工商、财税等部门并没有和支付公司无缝对接。一名支付公司人士感叹,&估计公司到时还要派出大量人力来做人工审核,对于用户上亿的平台来说,这样的工作量难以想象。&
非银行支付机构网络支付业务管理办法
(征求意见稿)
第一章总 则
第一条为规范非银行支付机构(以下简称支付机构)网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等规定,制定本办法。
第二条支付机构从事网络支付业务,适用本办法。
本办法所称支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。
本办法所称网络支付业务,是指客户通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,且付款客户电子设备不与收款客户特定专属设备交互,由支付机构为收付款客户提供货币资金转移服务的活动。
本办法所称收款客户特定专属设备,是指专门用于交易收款,在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。
第三条支付机构应当遵循主要服务于电子商务交易的原则,基于客户的银行账户或者按照本办法规定为客户开立支付账户提供网络支付服务。
本办法所称支付账户,是指获得互联网支付业务许可的支付机构,根据客户的真实意愿为其开立的,用于记录预付交易资金余额、凭以发起支付指令、反映支付交易明细信息的电子簿记。
第四条支付机构应当依法维护当事人的合法权益,保障客户和资金安全。
第五条支付机构开展网络支付业务,应当落实实名制管理要求,遵守反洗钱和反恐怖融资相关规定,履行反洗钱和反恐怖融资义务;涉及跨境人民币结算和外汇支付业务的,应当按照中国人民银行、国家外汇管理局相关规定执行。
第二章客户管理
第六条支付机构应当遵循&了解你的客户&原则,采取有效措施核实并依法留存客户身份基本信息,建立客户唯一识别编码。
第七条支付机构为客户提供网络支付服务,应当与客户签订服务协议,至少约定下列内容:
(一)支付机构名称、营业地址、网站地址及联系方式;
(二)支付机构提供的网络支付业务类型和业务规则;
(三)支付机构对客户支付指令的验证方式;
(四)收费项目和收费标准;
(五)客户资金结算方式,以及支付机构为此提供相关支付便利的义务;
(六)支付机构为防范欺诈等业务风险及洗钱、恐怖融资等非法活动,可以对支付服务采取的限制性措施;
(七)支付机构与客户的相关责任、权利和义务。
支付机构应当以显著方式提示客户注意服务协议中与客户有重大利害关系的核心事项,并按客户的要求予以解释或说明。
第八条获得互联网支付业务许可的支付机构,应当经客户主动提出申请,方为其开立支付账户;仅获得移动电话支付、固定电话支付、数字电视支付业务许可的支付机构,不得为客户开立支付账户。
支付机构不得为金融机构,以及从事信贷、融资、理财、担保、货币兑换等金融业务的其他机构开立支付账户。
第九条支付机构为客户开立支付账户的,应当对客户实行实名制管理,登记客户身份基本信息,核实客户有效身份证件,按规定留存有效身份证件复印件或者影印件,并通过三个(含)以上合法安全的外部渠道对客户身份基本信息进行多重交叉验证,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。
外部验证渠道包括但不限于政府部门数据库、商业银行账户信息系统、商业化数据库等能够有效验证客户身份基本信息的数据库或系统。
第十条支付机构为客户开立支付账户的,服务协议应当至少包括下列内容:
(一)以显著方式明确告知客户:&支付账户所记录的资金余额不同于客户本人的商业银行货币存款,其实质为客户向支付机构购买的、所有权归属于客户并由支付机构保管的预付价值,不受《存款条例》保护。该预付价值对应的货币资金的所有权归属于客户,但以支付机构的名义存放在商业银行,可由支付机构向其开户银行发起支付指令进行调拨。&支付机构应当采取有效方式要求客户确认已充分知晓并清晰理解上述内容及相关风险;
(二)支付账户开立、使用、挂失、止付、注销的规则;
(三)违规开立或者使用支付账户的处置方式;
(四)支付账户资金变动的通知方式和异常交易的处置方式;
(五)支付机构对风险损失承担先行赔付责任的条件,及客户承担风险损失的单笔、累计最高限额及其条件。
第十一条支付账户不得出借、出租、出售,不得利用支付账户从事或者协助他人从事非法活动。
第十二条客户变更身份信息,重置或者挂失密码、数字证书或者电子签名,办理支付账户止付、注销业务的,支付机构应当在确认客户身份及真实意愿后及时办理。
第三章业务管理
第十三条支付机构不得为客户办理或者变相办理现金存取、信贷、融资、理财、担保、货币兑换业务。
第十四条支付机构基于为客户提供网络支付服务的,应当执行银行卡业务相关监管规定,以及银行卡行业规范。
第十五条支付机构根据客户授权,向客户开户银行发送支付指令,扣划客户银行账户资金的,支付机构、客户和银行在事先或者首笔交易时,应当按照下列规则明确相关授权并依照执行:
(一)支付机构应当取得客户和银行的授权,同意其向客户的银行账户发起支付指令扣划资金;
(二)银行应当与客户直接签订授权协议,明确约定客户身份及交易验证方式,以及交易限额等必要风险管理措施;
(三)除单笔金额不足200元的小额支付业务,以及公共事业费、税费缴纳等收款人固定并且定期发生的支付业务外,支付机构不得代替银行进行客户身份及交易验证。银行对客户资金安全的管理责任不因支付机构代替验证而转移。
支付机构应当为银行对客户的身份及交易验证提供必要技术支持,不得人为设置障碍。
第十六条支付机构为个人客户开立支付账户并基于支付账户余额办理网络支付业务的,应按照下列要求根据客户身份核实方式对个人支付账户余额的付款功能和交易限额进行分类管理:
(一)对于支付机构自主或委托合作机构以面对面方式完成身份核实的个人客户,以及支付机构仅以非面对面方式核实身份,但通过五个(含)以上合法安全的外部渠道对身份基本信息完成多重交叉验证的个人客户,支付机构可为其开立综合类支付账户,支付账户余额可以用于消费、转账以及购买投资或服务;
(二)对于支付机构仅以非面对面方式核实身份,且通过三个(含)以上、五个以下合法安全的外部渠道对身份基本信息完成多重交叉验证的个人客户,支付机构可为其开立消费类支付账户,支付账户余额仅可用于消费以及转账至客户本人同名银行账户;
(三)支付机构应根据客户身份对同一客户开立的所有支付账户进行关联管理。个人客户拥有综合类支付账户的,其所有支付账户的余额付款交易(不包括支付账户向客户本人同名银行账户转账,下同)年累计应不超过20万元。个人客户仅拥有消费类支付账户的,其所有支付账户的余额付款交易年累计应不超过10万元。超出限额的付款交易应通过客户的银行账户办理。
第十七条支付机构为客户办理银行账户向支付账户转账的,转出账户应仅限于支付账户客户本人同名银行借记账户;办理支付账户向银行借记账户转账的,转入账户应仅限于客户预先指定的一个本人同名银行借记账户。
支付机构不得对支付账户向客户本人同名银行借记账户转账业务设置限额。
支付机构应当建立客户本人同名银行账户审核制度和措施,在有效确认审核结果基础上办理相关业务。支付机构应当在网站公告客户本人同名银行账户的具体审核方式。
第十八条支付机构为单位客户提供转账服务的,对于单笔超过5万元的转账业务,应当要求单位客户注明付款用途和事由,并提供付款依据或者相关证明文件,单位支付账户向同名单位银行结算账户转账的除外。
第十九条支付机构为客户办理本机构发行的预付卡向支付账户转账的,应当按照《支付机构预付卡业务管理办法》相关规定对预付卡转账至支付账户的余额单独管理,仅限其用于消费,不得通过转账、购买投资理财产品或服务等形式进行套现或者变相套现。
第二十条因交易取消(撤销)、退货、交易不成功或者投资理财产品赎回等原因需划回资金的,相应款项应当划回原扣款账户。
第二十一条支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隐匿交易信息。交易信息包括但不限于下列内容:
(一)交易渠道、受理终端类型、交易类型、交易金额、交易时间,以及直接向客户提供商品或者服务的特约商户名称和按照国家与金融行业标准设置的商户类别码;
(二)收付款客户名称,收付款支付账户账号或者银行账户的开户银行名称及账号;
(三)付款客户的身份验证和交易授权信息;
(四)有效追溯交易的标识;
(五)单位客户单笔超过5万元的转账业务的付款用途和事由,及付款依据或者相关证明文件。
第二十二条支付机构对特约商户的拓展与管理、业务与风险管理措施应当按照《银行卡收单业务管理办法》等相关规定执行。
第四章风险管理与客户权益保护
第二十三条支付机构网络支付业务相关系统设施和相关产品运用的具体技术,应当持续符合国家、金融行业标准和相关信息安全管理要求。网络支付业务相关产品运用的技术尚未形成国家、金融行业标准的,支付机构应当全额承担该产品相关风险损失。
第二十四条支付机构应当在境内拥有并运营独立、安全、规范的网络支付业务处理系统及其备份系统。
支付机构为境内交易提供服务的,应当通过境内业务处理系统为其办理网络支付业务,并在境内完成资金结算。
第二十五条支付机构应当综合客户身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度,并动态调整客户风险评级。
第二十六条支付机构应当根据客户支付指令验证方式、客户风险评级、交易类型、交易金额、交易渠道、受理终端类型、商户类别等因素,建立交易风险管理制度和交易监测系统,对疑似套现、欺诈、非法融资、洗钱、恐怖融资等交易,及时采取调查核实、延迟结算、终止服务等风险管理措施;发现涉嫌违法犯罪的,应当及时向公安机关报案,同时向中国人民银行及其分支机构报告。
第二十七条支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的支付指令进行验证:
(一)仅客户本人知悉的要素,如静态密码等;
(二)仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;
(三)客户本人生理特征要素,如指纹等。
支付机构应当确保采用的要素相互独立,即部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。
第二十八条支付机构应根据支付指令验证方式的安全级别,对个人客户使用支付账户余额付款的交易进行限额管理。支付机构采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易,单日累计限额由支付机构与客户通过协议自主约定;支付机构采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元(不包括支付账户向客户本人同名银行账户转账,下同);支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。
第二十九条支付机构采用数字证书、电子签名作为验证要素的,应当通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体对数字证书及生成电子签名的过程进行保护,确保数字证书的唯一性、完整性及交易的不可抵赖性。
支付机构采用一次性密码作为验证要素的,应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险,并将一次性密码有效期严格限制在最短的必要时间内。
支付机构采用客户本人生理特征作为验证要素的,应通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体进行保护,防止被非法存储、复制或重放。
第三十条支付机构应当每年对交易和信息安全管理制度、业务处理系统、交易监测系统等风险防控机制开展全面评估。评估应由不以任何方式参与网络支付服务开发或者运营的专业人员进行。评估报告应于每年1月31日前在网站对外公告。
第三十一条支付机构应当限制客户尝试登陆或者识别身份的次数,制定客户访问超时规则,设置身份识别时限。
第三十二条支付机构应当制定突发事件应急预案,建立灾备系统,保障业务连续性和系统安全性。
第三十三条支付机构应当充分尊重客户自主选择权,不得强迫客户使用本机构提供的网络支付服务,也不得阻碍客户使用其他机构提供的网络支付服务。
支付机构应当公平展示客户可选用的各种资金收付方式,不得以任何形式诱导、强迫客户开立支付账户或者通过支付账户办理资金收付,不得附加不合理的交易条件。
支付机构应当根据客户意愿办理网络支付服务或者支付账户功能的暂停、禁用或者注销。
第三十四条支付机构应当参照《中国人民银行关于金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)有关规定制定有效的客户信息保护措施和风险控制机制,切实履行客户信息保护责任。
第三十五条支付机构应当以&最小化&原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和范围。支付机构不得向本机构以外的其他机构和个人提供客户信息,因办理支付业务需要并经客户逐项确认并授权的,以及法规另有规定的除外。
支付机构不得存储客户银行账户密码、银行卡验证码和有效期等敏感信息。因特殊业务需要,支付机构确需存储客户银行卡有效期的,应当取得客户和开户银行的授权,以加密形式存储。
第三十六条支付机构应当通过协议约定禁止特约商户存储客户账户密码、银行卡验证码和有效期等敏感信息,并采取定期检查、技术监测等必要监督措施。
特约商户违反协议约定存储上述敏感信息的,支付机构应当立即暂停或者终止为其提供网络支付服务,采取有效措施删除敏感信息、防止信息泄露,并承担因相关信息泄露造成的损失和责任。
第三十七条支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失使用风险准备金先行全额赔付,保障客户合法权益。
支付机构应在年度监管报告中如实反映客户风险损失、客户损失赔付、风险准备金计提、风险准备金使用和风险准备金结余等情况。
第三十八条支付机构应当向客户充分提示网络支付业务的潜在风险,及时揭示不法分子新型作案手段,对客户进行必要的安全教育,并对高风险业务在操作前、操作中进行风险警示。
支付机构应当于每年1月31日前,将前一年度发生的风险事件、客户风险损失、客户损失赔付等情况在网站对外公告。
第三十九条支付机构为客户购买投资理财产品或服务提供网络支付服务的,应当确保相关产品或者服务提供方为取得相应经营资质并依法开展业务的机构,并充分向客户提示潜在风险。
第四十条支付机构应当采取有效措施,确保客户在执行支付指令前可对资金收付账户、交易金额等交易信息进行确认,并在支付指后及时将结果通知客户。
因交易超时、无响应或者系统故障导致支付指令无法正常处理的,支付机构应当及时提示客户;因客户原因造成支付指令未执行、未适当执行、延迟执行的,支付机构应当主动通知客户更改或者协助客户采取补救措施。
第四十一条支付机构应当建立健全网络支付业务差错争议和纠纷投诉处理制度,向客户公告相关受理机制和流程,并配备专业部门和人员,据实、准确、及时处理交易差错和客户投诉。
第四十二条支付机构应当通过具有合法独立域名的网站、统一的24小时客户服务电话等渠道,为客户提供网络支付服务及查询、咨询、投诉等配套服务。
支付机构应当告知客户相关服务的正确获取途径,指导客户有效辨识服务渠道的真实性,防范不法分子通过冒充支付机构或者提供虚假服务渠道实施网络欺诈、盗用账户或者窃取信息。
第四十三条支付机构应当为客户免费提供至少最近一年以内交易信息查询服务。
第四十四条支付机构因系统升级、调试等原因,需暂停网络支付服务的,应当至少提前5个工作日予以公告。
第四十五条支付机构变更协议条款、提高网络支付服务收费标准或者新设收费项目的,应当于实施之前在网站以显著方式连续公示30日,并于客户首次办理相关业务前确认客户知悉且接受拟调整的全部详细内容,保障客户对相关服务的自主选择权。
第四十六条支付机构应当真实、完整记录客户各项操作,记录内容应当包括但不限于登录、支付指令验证、变更身份信息、变更预留通讯号码、调整业务功能、调整交易限额、变更资金收付方式,以及重置或者挂失密码、数字证书、电子签名等。相关记录应当自操作生效之日起至少保存5年。
第四十七条商业银行对涉及本行银行账户的相关交易提出查询、差错或者投诉处理以及风险控制等合理要求的,支付机构应当积极配合并及时处理。
第五章监督管理
第四十八条中国人民银行及其分支机构依法对支付机构的网络支付业务活动进行监督和管理。
中国人民银行可以根据支付机构的客户规模、交易规模、风险管理状况等因素,指定对零售支付体系或社会公众非现金支付信心产生重大影响的支付机构必须聘请独立、合格的外部审计机构,每隔两年定期持续审查、评估该支付机构的业务合规性及其风险管理机制的有效性、健全性,并将审查结果同时报送中国人民银行及其分支机构。
第四十九条支付机构提供网络支付创新产品或者服务、决定停止提供产品或者服务、调高服务收费标准或者新增收费项目,以及与境外机构合作在境内开展网络支付业务的,应当至少提前30日向中国人民银行及其分支机构报告。
第五十条支付机构发生涉嫌违法犯罪案件或者重大风险事件的,应当及时向中国人民银行及其分支机构报告。
第五十一条支付机构应当加入中国支付清算协会,接受行业自律组织管理。
中国支付清算协会应当根据本办法制定网络支付业务行业自律规范,建立自律审查机制,向中国人民银行备案后组织实施。自律规范应包括支付机构与客户签订协议的范本,明确协议应记载和不得记载事项,还应包括支付机构披露有关信息的具体内容和标准格式。
中国支付清算协会应当建立信用承诺制度,要求支付机构以标准格式向社会公开承诺依法合规开展网络支付业务、保障客户信息安全和资金安全、维护客户合法权益,如违法违规将自愿接受约束和处罚。
第六章法律责任
第五十二条支付机构从事网络支付业务有下列情形之一的,中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十二条的规定进行处理:
(一)未按规定建立客户实名制管理、支付账户开立与使用、差错争议和纠纷投诉处理、风险准备金和交易赔付、年度风险评估、应急预案等管理制度的;
(二)未按规定建立客户风险评级管理、支付账户功能与限额管理、客户支付指令验证管理、交易和信息安全管理、交易监测系统等风险控制机制的,未按规定对支付业务采取有效风险控制措施的;
(三)未按规定进行风险提示或者公开披露相关信息的;
(四)未按规定向中国人民银行及其分支机构报送信息的。
第五十三条支付机构从事网络支付业务有下列情形之一的,中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十三条的规定进行处理;情节特别严重,导致严重后果,扰乱支付清算市场秩序的,中国人民银行及其分支机构依据《中国人民银行法》第四十六条的规定进行处理:
(一)不符合支付机构支付业务系统设施有关要求的;
(二)不符合国家、金融行业标准和相关信息安全管理要求的,采用数字证书、电子签名无有效认证证书的;
(三)为非法交易、虚假交易提供支付服务,发现客户疑似或者涉嫌违法违规行为未按规定采取有效措施的;
(四)未按规定采取客户支付指令验证措施的;
(五)未真实、完整、准确反映网络支付交易信息,篡改或者隐匿交易信息的;
(六)未按规定处理客户信息,或者未履行客户信息保密义务,造成信息泄露隐患或者导致信息泄露的;
(七)妨碍客户自主选择支付服务提供主体或资金收付方式的。
第五十四条支付机构违反反洗钱和反恐怖融资规定的,依据国家有关法律法规进行处理。
第七章附 则
第五十五条本办法相关用语含义如下:
单位客户,是指接受支付机构支付服务的企事业单位、个体工商户或者其他组织。
个人客户,是指接受支付机构支付服务的自然人。
客户本人,是指客户本单位(单位客户)或者本人(个人客户)。
第五十六条本办法由中国人民银行负责解释和修订。
第五十七条本办法自2015年月 日起施行。
本办法施行之前已从事网络支付业务的支付机构,有关业务不符合本办法规定的,应于本办法施行之日起6个月内完成整改。
附件2:非银行支付机构网络支付业务管理办法及有关条款释义(征求意见稿)
第一章 总则
第一条为规范非银行支付机构(以下简称支付机构)网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等规定,制定本办法。
制定本办法的目的和依据。
第二条支付机构从事网络支付业务,适用本办法。
本办法所称支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。
本办法所称网络支付业务,是指客户通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,且付款客户电子设备不与收款客户特定专属设备交互,由支付机构为收付款客户提供货币资金转移服务的活动。
本办法所称收款客户特定专属设备,是指专门用于交易收款,在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。
一、本办法的适用范围。
二、本办法所称支付机构的含义。
三、本办法所称网络支付业务的含义。本办法规范的网络支付业务,应同时具备四个基本特征:
(一)为收付款客户提供资金转移服务的主体是支付机构;
(二)客户发起支付指令所借助的是计算机、移动终端等电子设备;
(三)支付指令依托公共网络信息系统远程发起,即客户的电子设备经由公共网络信息系统与相关后台系统进行交互并传递支付指令。因此,支付指令发起过程中,客户的电子设备不需与后台系统交互的支付业务不属于本办法规范范畴(例如,基于手机NFC功能的电子现金脱机消费业务等);
(四)支付指令发起过程中,付款客户的电子设备不与&收款客户特定专属设备&进行交互。
四、&收款客户特定专属设备&是专门用于交易收款的电子设备,其在交易过程中与支付机构业务系统交互,并参与完成支付指令的生成、传输及处理。此类设备通常布放在收款客户经营场所,付款客户需亲临收款客户经营场所完成支付。
&收款客户特定专属设备&具体包括POS等传统受理终端,以及可生成、读取、识别条码(二维码)、声波、光线等信息传输介质并发起交易的新型受理设备。
五、支付指令发起过程中,付款客户的电子设备需要与前述新型受理设备进行交互的业务,目前仍处于研究和探索阶段,相关配套技术和安全标准有待根据业务实践持续检验和完善。本办法暂不将此类支付方式纳入规范范畴,以便为其留出探索和创新发展空间。人民银行将密切关注相关新型支付方式的探索和发展情况,并适时制定配套管理措施。
第三条支付机构应当遵循主要服务于电子商务交易的原则,基于客户的银行账户或者按照本办法规定为客户开立支付账户提供网络支付服务。
本办法所称支付账户,是指获得互联网支付业务许可的支付机构,根据客户的真实意愿为其开立的,用于记录预付交易资金余额、凭以发起支付指令、反映支付交易明细信息的电子簿记。
一、支付机构可以通过跳转商业银行网关形式,或通过&银行卡快捷支付&模式,基于客户银行账户办理网络支付业务;也可按规定基于支付账户提供网络支付服务。
二、支付账户的含义。
第四条支付机构应当依法维护当事人的合法权益,保障客户信息安全和资金安全。
支付机构保障客户权益的原则性监管要求。
第五条支付机构开展网络支付业务,应当落实实名制管理要求,遵守反洗钱和反恐怖融资相关规定,履行反洗钱和反恐怖融资义务;涉及跨境人民币结算和外汇支付业务的,应当按照中国人民银行、国家外汇管理局相关规定执行。
支付机构落实实名制管理,遵守反洗钱和反恐怖融资,以及跨境人民币结算和外汇支付业务相关规定的原则性监管要求。
第二章 客户管理
第六条支付机构应当遵循&了解你的客户&原则,采取有效措施核实并依法留存客户身份基本信息,建立客户唯一识别编码。
支付机构客户管理过程中&了解你的客户&原则与身份核实相关要求。
第七条支付机构为客户提供网络支付服务,应当与客户签订服务协议,至少约定下列内容:
(一)支付机构名称、营业地址、网站地址及联系方式;
(二)支付机构提供的网络支付业务类型和业务规则;
(三)支付机构对客户支付指令的验证方式;
(四)收费项目和收费标准;
(五)客户资金结算方式,以及支付机构为此提供相关支付便利的义务;
(六)支付机构为防范欺诈等业务风险及洗钱、恐怖融资等非法活动,可以对支付服务采取的限制性措施;
(七)支付机构与客户的相关责任、权利和义务。
支付机构应当以显著方式提示客户注意服务协议中与客户有重大利害关系的核心事项,并按客户的要求予以解释或说明。
一、本条款对支付机构与客户之间服务协议所包含的内容明确具体要求。
二、特别强调支付机构应尊重客户知情权、切实履行重要事项告知义务,以显著方式提示客户注意服务协议中与客户有重大利害关系的核心事项(例如收费标准等),并按客户的要求予以解释或说明,确保客户在充分知晓并清晰理解相关权利、责任、义务的前提下自愿接受服务协议。
第八条获得互联网支付业务许可的支付机构,应当经客户主动提出申请,方为其开立支付账户;仅获得移动电话支付、固定电话支付、数字电视支付业务许可的支付机构,不得为客户开立支付账户。
支付机构不得为金融机构,以及从事信贷、融资、理财、担保、货币兑换等金融业务的其他机构开立支付账户。
一、未获得互联网支付业务许可的支付机构,不可为客户开立支付账户。
二、获得互联网支付业务许可的支付机构,如客户未主动提出申请,不可为客户开立支付账户。
三、本条款基于审慎性原则,规定支付机构为金融机构和从事金融业务的其他机构提供网络支付服务时,不可为其开立支付账户,各项资金收付业务均应基于其银行账户办理,以对相关机构进一步明晰资金流向、加强资金监管、避免风险传递。
第九条支付机构为客户开立支付账户的,应当对客户实行实名制管理,登记客户身份基本信息,核实客户有效身份证件,按规定留存有效身份证件复印件或者影印件,并通过三个(含)以上合法安全的外部渠道对客户身份基本信息进行多重交叉验证,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。
外部验证渠道包括但不限于政府部门数据库、商业银行账户信息系统、商业化数据库等能够有效验证客户身份基本信息的数据库或系统。
一、参照人民银行关于账户实名制管理、反洗钱、反恐怖融资等相关监管规定,本条款针对支付账户提出实名制管理相关要求。
二、为强化客户身份信息核实,加强支付账户实名制管理,本条款要求支付机构通过外部渠道对客户信息进行多重验证,具体验证渠道包括但不限于公安、工商、教育、财税等管理部门及商业银行、征信机构等单位所运营的,能够有效验证客户身份基本信息的数据库或系统。
第十条支付机构为客户开立支付账户的,服务协议应当至少包括下列内容:
(一)以显著方式明确告知客户:&支付账户所记录的资金余额不同于客户本人的商业银行货币存款,其实质为客户向支付机构购买的、所有权归属于客户并由支付机构保管的预付价值,不受《存款保险条例》保护。该预付价值对应的货币资金的所有权归属于客户,但以支付机构的名义存放在商业银行,可由支付机构向其开户银行发起支付指令进行调拨。&支付机构应当采取有效方式要求客户确认已充分知晓并清晰理解上述内容及相关风险;
(二)支付账户开立、使用、挂失、止付、注销的规则;
(三)违规开立或者使用支付账户的处置方式;
(四)支付账户资金变动的通知方式和异常交易的处置方式;
(五)支付机构对风险损失承担先行赔付责任的条件,及客户承担风险损失的单笔、累计最高限额及其条件。
一、如支付机构为客户开立支付账户,其与客户之间的服务协议在符合第八条规定的基础上,还应依照本条款进行补充。
二、支付账户所反映余额的本质是预付价值,类似于商业预付卡中的余额,并不等同于客户存放于商业银行的存款。预付价值仅代表支付机构的企业信用,法律保障机制上远低于《人民银行法》、《商业银行法》及《存款保险条例》保障下的央行货币与商业银行货币。一旦支付机构出现经营风险或信用风险,将可能导致支付账户余额不能回兑为商业银行货币,使客户遭受财产损失。
基于上述考虑,为保障客户权益,本条款规定支付机构应充分提示支付账户余额资金属性不同于银行存款及相关风险隐患。在此基础上,由客户本着&自愿开立、自担风险&的原则申请开立支付账户。
第十一条支付账户不得出借、出租、出售,不得利用支付账户从事或者协助他人从事非法活动。
支付账户使用方面的原则性要求。
第十二条客户变更身份信息,重置或者挂失密码、数字证书或者电子签名,办理支付账户止付、注销业务的,支付机构应当在确认客户身份及真实意愿后及时办理。
支付机构为客户办理信息维护、安全设置、账户管理等业务的相关要求。
第三章 业务管理
第十三条支付机构不得为客户办理或者变相办理现金存取、信贷、融资、理财、担保、货币兑换业务。
基于支付机构业务许可范围和审慎监管原则,本条款对支付机构的业务范围提出禁止性规定。
第十四条支付机构基于银行卡为客户提供网络支付服务的,应当执行银行卡业务相关监管规定,以及银行卡行业规范。
支付机构基于银行卡办理网络支付业务的原则性监管要求。
第十五条支付机构根据客户授权,向客户开户银行发送支付指令,扣划客户银行账户资金的,支付机构、客户和银行在事先或者首笔交易时,应当按照下列规则明确相关授权并依照执行:
(一)支付机构应当取得客户和银行的授权,同意其向客户的银行账户发起支付指令扣划资金;
(二)银行应当与客户直接签订授权协议,明确约定客户身份及交易验证方式,以及交易限额等必要风险管理措施;
(三)除单笔金额不足200元的小额支付业务,以及公共事业费、税费缴纳等收款人固定并且定期发生的支付业务外,支付机构不得代替银行进行客户身份及交易验证。银行对客户资金安全的管理责任不因支付机构代替验证而转移。
支付机构应当为银行对客户的身份及交易验证提供必要技术支持,不得人为设置障碍。
一、针对&银行卡快捷支付&类业务,本条款延续了《中国人民银行关于加强银行卡业务管理的通知》(银发〔2014〕5号)的管理思路,重申发卡银行应始终切实履行对客户资金安全的管理责任,及银行在每笔支付交易中自主完成客户身份及交易验证的支付结算基本规则。
二、&银行卡快捷支付&类业务涉及支付机构、客户及开户银行三方,权责关系相对其他支付方式较为复杂,应以清晰、完整的业务授权为前提:一是支付机构要获得客户和开户银行的授权;二是银行要通过与客户直接签订协议的方式,直接获取客户授权,并明确约定客户身份及交易验证方式,及交易限额等风险管理措施。
三、考虑到目前客户对小额支付和日常缴费业务的便捷性需求,为兼顾业务风险可控和灵活性原则,本条款规定,在办理单笔金额不足200元的小额支付业务及公共事业费、税费缴纳等收款人固定且定期发生的支付业务时,支付机构可代替银行进行交易验证。但这必须经客户与银行通过协议明确约定,且银行对客户资金安全管理责任不因此而转移。
第十六条支付机构为个人客户开立支付账户并基于支付账户余额办理网络支付业务的,应按照下列要求根据客户身份核实方式对个人支付账户余额的付款功能和交易限额进行分类管理:
(一)对于支付机构自主或委托合作机构以面对面方式完成身份核实的个人客户,以及支付机构仅以非面对面方式核实身份,但通过五个(含)以上合法安全的外部渠道对身份基本信息完成多重交叉验证的个人客户,支付机构可为其开立综合类支付账户,支付账户余额可以用于消费、转账以及购买投资理财产品或服务;
(二)对于支付机构仅以非面对面方式核实身份,且通过三个(含)以上、五个以下合法安全的外部渠道对身份基本信息完成多重交叉验证的个人客户,支付机构可为其开立消费类支付账户,支付账户余额仅可用于消费以及转账至客户本人同名银行账户;
(三)支付机构应根据客户身份对同一客户开立的所有支付账户进行关联管理。个人客户拥有综合类支付账户的,其所有支付账户的余额付款交易(不包括支付账户向客户本人同名银行账户转账,下同)年累计应不超过20万元。个人客户仅拥有消费类支付账户的,其所有支付账户的余额付款交易年累计应不超过10万元。超出限额的付款交易应通过客户的银行账户办理。
一、本条款根据客户身份核实方式将个人支付账户分为两类,并对各类个人支付账户的余额付款功能和限额分别提出管理规定。本条款仅规范个人客户使用支付账户&余额&付款的交易,客户使用银行账户付款的交易(包括&商业银行网关支付&、&银行卡快捷支付&等模式)不属于本条款规范范畴。
二、个人支付账户分为两类,综合类支付账户的余额可以用于消费、转账以及购买投资理财产品或服务;消费类支付账户的余额仅可用于消费以及转账至客户本人同名银行账户(包括借记和贷记账户),不可用于转账至其他账户,也不可用于购买投资理财产品或服务。
三、从支付账户主要服务于电子商务及小额、便民支付领域的定位出发,本条款对支付账户余额付款规定了限额(客户将支付账户余额转账至本人同名银行账户的交易不受此限额管理)。对于超出限额的付款交易,客户可以选择&商业银行网关支付&、&银行卡快捷支付&等模式通过银行账户办理。
第十七条支付机构为客户办理银行账户向支付账户转账的,转出账户应仅限于支付账户客户本人同名银行借记账户;办理支付账户向银行借记账户转账的,转入账户应仅限于客户预先指定的一个本人同名银行借记账户。
支付机构不得对支付账户向客户本人同名银行借记账户转账业务设置限额。
支付机构应当建立客户本人同名银行账户审核制度和措施,在有效确认审核结果基础上办理相关业务。支付机构应当在网站公告客户本人同名银行账户的具体审核方式。
一、银行账户向支付账户转入资金的业务,即支付账户充值,资金来源仅限客户本人同名银行借记账户(借记卡)。银行贷记账户(信用卡)不可为支付账户充值。
二、支付账户向银行借记账户(借记卡)转出资金的业务,即支付账户余额回提,资金去向仅限客户指定的一个本人同名银行借记账户(借记卡)。
三、支付机构应建立客户本人同名银行账户审核制度,并披露具体审核方式,以便社会和广大客户予以监督。
第十八条支付机构为单位客户提供转账服务的,对于单笔超过5万元的转账业务,应当要求单位客户注明付款用途和事由,并提供付款依据或者相关证明文件,单位支付账户向同名单位银行结算账户转账的除外。
为规范单位客户向个人客户转移资金(公转私)等业务,参考人民银行对商业银行支付结算业务提出的相关监管要求,本条款规定,对于单笔超过5万元的转账业务,支付机构应要求单位客户提供相应说明和依据。
第十九条支付机构为客户办理本机构发行的预付卡向支付账户转账的,应当按照《支付机构预付卡业务管理办法》相关规定对预付卡转账至支付账户的余额单独管理,仅限其用于消费,不得通过转账、购买投资理财产品或服务等形式进行套现或者变相套现。
支付机构基于预付卡办理网络支付业务的相关要求。
第二十条因交易取消(撤销)、退货、交易不成功或者投资理财产品赎回等原因需划回资金的,相应款项应当划回原扣款账户。
交易资金的&原路返回&规定。
第二十一条支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隐匿交易信息。交易信息包括但不限于下列内容:
(一)交易渠道、受理终端类型、交易类型、交易金额、交易时间,以及直接向客户提供商品或者服务的特约商户名称和按照国家与金融行业标准设置的商户类别码;
(二)收付款客户名称,收付款支付账户账号或者银行账户的开户银行名称及账号;
(三)付款客户的身份验证和交易授权信息;
(四)有效追溯交易的标识;
(五)单位客户单笔超过5万元的转账业务的付款用途和事由,及付款依据或者相关证明文件。
交易信息的真实性、完整性、可追溯性及一致性是有效识别客户支付行为、开展风险防控、保障交易安全及维护客户权益的重要基础。鉴于部分支付机构在真实反映和详尽记载交易信息方面存在的问题,特别是目前大部分支付机构在基于银行卡的网络支付业务中并未向发卡银行真实、完整提供交易信息,本条款重申《银行卡收单业务管理办法》、《中国人民银行关于加强银行卡业务管理的通知》(银发〔2014〕5号)有关规定,对网络支付业务的交易信息进一步明确了监管要求。
第二十二条支付机构对特约商户的拓展与管理、业务与风险管理措施应当按照《银行卡收单业务管理办法》等相关规定执行。
本办法对网络支付中的收款端和付款端业务同时进行规范。鉴于《银行卡收单业务管理办法》已明确对收款端的监管要求(包括特约商户拓展与管理、相关业务和风险管理等),本办法对收款端提出了执行相关监管规定的原则性要求。
因此,相对于收款端,本办法更偏重于规范网络支付的付款端,针对付款端详尽明确了管理要求,包括基于银行账户和支付账户办理付款的业务和风险管理、客户权益保障等方面。
第四章 风险管理与客户权益保护
第二十三条支付机构网络支付业务相关系统设施和相关产品运用的具体技术,应当持续符合国家、金融行业标准和相关信息安全管理要求。网络支付业务相关产品运用的技术尚未形成国家、金融行业标准的,支付机构应当全额承担该产品相关风险损失。
网络支付业务依托公共网络作为信息传输通道,不可避免地面临网络病毒、信息窃取、信息篡改、网络钓鱼、网络异常中断等各种安全隐患。为保障客户信息安全和资金安全,本条款从技术和安全标准符合性方面对支付机构提出要求。
第二十四条支付机构应当在境内拥有并运营独立、安全、规范的网络支付业务处理系统及其备份系统。
支付机构为境内交易提供服务的,应当通过境内业务处理系统为其办理网络支付业务,并在境内完成资金结算。
支付机构业务处理系统及其备份系统的相关规定。
第二十五条支付机构应当综合客户身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度,并动态调整客户风险评级。
支付机构对客户实施动态风险评级管理的责任。
第二十六条支付机构应当根据客户支付指令验证方式、客户风险评级、交易类型、交易金额、交易渠道、受理终端类型、商户类别等因素,建立交易风险管理制度和交易监测系统,对疑似套现、欺诈、非法融资、洗钱、恐怖融资等交易,及时采取调查核实、延迟结算、终止服务等风险管理措施;发现涉嫌违法犯罪的,应当及时向公安机关报案,同时向中国人民银行及其分支机构报告。
支付机构建立风险管理制度和交易监测系统的责任及防范风险、阻止犯罪的相关义务。
第二十七条支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的支付指令进行验证:
(一)仅客户本人知悉的要素,如静态密码等;
(二)仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;
(三)客户本人生理特征要素,如指纹等。
支付机构应当确保采用的要素相互独立,即部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。
为降低欺诈等业务风险、保障客户资金安全,支付机构可以选择采用&静态密码+数字证书&、&一次性密码+指纹&、&静态密码+指纹&等多种验证要素组合方式,对支付账户余额付款支付指令进行验证。
第二十八条支付机构应根据支付指令验证方式的安全级别,对个人客户使用支付账户余额付款的交易进行限额管理。支付机构采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易,单日累计限额由支付机构与客户通过协议自主约定;支付机构采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元(不包括支付账户向客户本人同名银行账户转账,下同);支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。
一、本条款根据支付指令验证方式的安全级别,对个人客户使用支付账户余额付款的交易提出了限额管理规定。本条款仅规范个人客户使用支付账户&余额&付款的交易,客户使用银行账户付款的交易(包括&商业银行网关支付&、&银行卡快捷支付&等模式)不属于本条款规范范畴。
二、为引导支付机构提高支付指令验证方式的安全级别,加强对客户资金安全的保护,本条款规定,支付机构如采用不少于两类验证要素,且其中包括安全级别较高的数字证书或电子签名,则可以与客户自行约定单笔、单日累计限额;支付机构如采用不少于两类要素,但其中不包括数字证书、电子签名,本条款参照人民银行针对商业银行、银行卡清算机构的相关监管要求,规定了单日累计5000元限额;考虑到客户在小额支付场景下对支付速度的客观需要,为兼顾安全与效率,本条款允许支付机构在小额支付业务中简化支付指令验证方式,仅采用一类验证要素甚至不采用验证要素,但这必须基于两个前提,一是支付机构对该笔交易的风险损失无条件承担全额赔付责任,二是单日累计金额应不超过1000元。客户将支付账户余额转账至本人同名银行账户的交易不受上述限额管理。
三、相对于单位客户,个人客户对支付账户余额的实际属性和潜在风险的理解程度较低,风险承受能力也较弱,因此本条款着重于保障个人客户的资金安全,并通过强化支付机构对客户资金支付安全验证等级与限额相关联的管理要求,引导支付机构在保障客户资金安全和支付便捷性方面兼顾平衡发展
第二十九条支付机构采用数字证书、电子签名作为验证要素的,应当通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体对数字证书及生成电子签名的过程进行保护,确保数字证书的唯一性、完整性及交易的不可抵赖性。
支付机构采用一次性密码作为验证要素的,应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险,并将一次性密码有效期严格限制在最短的必要时间内。
支付机构采用客户本人生理特征作为验证要素的,应通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体进行保护,防止被非法存储、复制或重放。
一、数字证书和电子签名的技术安全性要求。
二、部分支付场景下,一次性密码(例如短信动态验证码)和交易指令均通过相同的物理设备(例如手机)处理,因此在设备被植入恶意程序或者被盗情况下,易造成一次性密码和交易指令同时被拦截、窃取、伪造或篡改,大大增加了交易风险。支付机构应采取有效措施对此类风险予以防范,保障客户资金安全。
三、客户的指纹等生理特征一般相对固定,基本不发生变化,因此存在被非法存储、复制或重放的风险。支付机构应通过安全硬件对客户本人生理特征要素进行保护,防范相关风险。
第三十条支付机构应当每年对交易和信息安全管理制度、业务处理系统、交易监测系统等风险防控机制开展全面评估。评估应由不以任何方式参与网络支付服务开发或者运营的专业人员进行。评估报告应于每年1月31日前在网站对外公告。
为促进支付机构持续完善风险防控机制,同时增加信息透明度,便于社会和广大客户予以监督,本条款规定,支付机构应每年对风险防控机制进行全面评估,并定期披露评估报告。
第三十一条支付机构应当限制客户尝试登陆或者识别身份的次数,制定客户访问超时规则,设置身份识别时限。
支付机构识别客户身份的安全性要求。
第三十二条支付机构应当制定突发事件应急预案,建立灾备系统,保障业务连续性和系统安全性。
支付机构保障业务连续性和系统安全性的责任。
第三十三条支付机构应当充分尊重客户自主选择权,不得强迫客户使用本机构提供的网络支付服务,也不得阻碍客户使用其他机构提供的网络支付服务。
支付机构应当公平展示客户可选用的各种资金收付方式,不得以任何形式诱导、强迫客户开立支付账户或者通过支付账户办理资金收付,不得附加不合理的交易条件。
支付机构应当根据客户意愿办理网络支付服务或者支付账户功能的暂停、禁用或者注销。
一、自主选择支付方式是客户的合法权益,支付机构不应以任何形式侵害客户的自主选择权,具体形式包括:强迫客户使用甚至仅使用本机构的支付服务、阻碍客户选用其他机构提供的支付服务、诱导客户选用某种支付方式而故意隐藏其他可选支付方式、诱导或强迫客户开立或使用支付账户等。
二、支付机构根据客户意愿办理或停止业务的义务。
第三十四条支付机构应当参照《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)有关规定制定有效的客户信息保护措施和风险控制机制,切实履行客户信息保护责任。
《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)对商业银行提出的关于保护客户信息的规定,同样适用于支付机构,支付机构应当参照执行。
第三十五条支付机构应当以&最小化&原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和范围。支付机构不得向本机构以外的其他机构和个人提供客户信息,因办理支付业务需要并经客户逐项确认并授权的,以及法律法规另有规定的除外。
支付机构不得存储客户银行账户密码、银行卡验证码和有效期等敏感信息。因特殊业务需要,支付机构确需存储客户银行卡有效期的,应当取得客户和开户银行的授权,以加密形式存储。
一、支付机构应以&最小化&原则处理客户信息,并履行保密义务。
二、支付机构确因业务需要而存储银行卡有效期的,必须事先同时获得客户本人和开户银行的授权;除银行卡有效期之外的其他敏感信息,任何情况下不得存储。
第三十六条支付机构应当通过协议约定禁止特约商户存储客户账户密码、银行卡验证码和有效期等敏感信息,并采取定期检查、技术监测等必要监督措施。
特约商户违反协议约定存储上述敏感信息的,支付机构应当立即暂停或者终止为其提供网络支付服务,采取有效措施删除敏感信息、防止信息泄露,并承担因相关信息泄露造成的损失和责任。
一、在《银行卡收单业务管理办法》的基础上,本条款进一步明确特约商户不得存储客户敏感信息。
二、特别强调支付机构应对特约商户采取有效措施进行检查和监督的责任,切实防范因特约商户违规存储客户敏感信息而导致客户信息泄露或资金损失。
第三十七条支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失使用风险准备金先行全额赔付,保障客户合法权益。
支付机构应在年度监管报告中如实反映客户风险损失、客户损失赔付、风险准备金计提、风险准备金使用和风险准备金结余等情况。
支付机构&方便、快捷&的支付服务必须以保护客户权益为前提,以完善的风险准备金制度和交易赔付制度为保障。为防范盲目追求&高效&而忽视&安全&,本条款规定了支付机构对客户资金损失的先行赔付责任。
第三十八条支付机构应当向客户充分提示网络支付业务的潜在风险,及时揭示不法分子新型作案手段,对客户进行必要的安全教育,并对高风险业务在操作前、操作中进行风险警示。
支付机构应当于每年1月31日前,将前一年度发生的风险事件、客户风险损失、客户损失赔付等情况在网站对外公告。
支付机构向客户及时提示风险并定期披露风险信息的义务。
第三十九条支付机构为客户购买投资理财产品或服务提供网络支付服务的,应当确保相关产品或者服务提供方为取得相应经营资质并依法开展业务的机构,并充分向客户提示潜在风险。
一、支付机构与其他机构合作开展投资理财产品或服务销售等业务前,必须充分了解合作机构的经营资质和具体产品或服务内容。
二、支付机构应本着对客户负责的态度,在产品销售过程中向客户充分提示潜在风险。
第四十条支付机构应当采取有效措施,确保客户在执行支付指令前可对资金收付账户、交易金额等交易信息进行确认,并在支付指令完成后及时将结果通知客户。
因交易超时、无响应或者系统故障导致支付指令无法正常处理的,支付机构应当及时提示客户;因客户原因造成支付指令未执行、未适当执行、延迟执行的,支付机构应当主动通知客户更改或者协助客户采取补救措施。
支付机构在交易前、交易后以及交易异常情况下与客户进行确认、通知的义务。
第四十一条支付机构应当建立健全网络支付业务差错争议和纠纷投诉处理制度,向客户公告相关受理机制和流程,并配备专业部门和人员,据实、准确、及时处理交易差错和客户投诉。
支付机构健全差错争议和纠纷投诉处理制度的相关责任。
第四十二条支付机构应当通过具有合法独立域名的网站、统一的24小时客户服务电话等渠道,为客户提供网络支付服务及查询、咨询、投诉等配套服务。
支付机构应当告知客户相关服务的正确获取途径,指导客户有效辨识服务渠道的真实性,防范不法分子通过冒充支付机构或者提供虚假服务渠道实施网络欺诈、盗用账户或者窃取信息。
为防范不法分子通过仿冒支付机构网站、客户热线等&钓鱼&手段骗取客户身份或账户信息,导致客户信息泄露或资金损失,本条款要求支付机构在提供完备客户服务的同时,采取有效措施指导客户辨识服务渠道的真实性。
第四十三条支付机构应当为客户免费提供至少最近一年以内交易信息查询服务。
支付机构为客户提供交易信息查询服务的最低标准。
第四十四条支付机构因系统升级、调试等原因,需暂停网络支付服务的,应当至少提前5个工作日予以公告。
为保障客户权益,支付机构所应履行的信息披露义务。
第四十五条支付机构变更协议条款、提高网络支付服务收费标准或者新设收费项目的,应当于实施之前在网站以显著方式连续公示30日,并于客户首次办理相关业务前确认客户知悉且接受拟调整的全部详细内容,保障客户对相关服务的自主选择权。
为保障客户权益,支付机构所应履行的信息披露义务。
第四十六条支付机构应当真实、完整记录客户各项操作,记录内容应当包括但不限于登录、支付指令验证、变更身份信息、变更预留通讯号码、调整业务功能、调整交易限额、变更资金收付方式,以及重置或者挂失密码、数字证书、电子签名等。相关记录应当自操作生效之日起至少保存5年。
支付机构记录并保存客户各项操作的责任。
第四十七条商业银行对涉及本行银行账户的相关交易提出查询、差错或者投诉处理以及风险控制等合理要求的,支付机构应当积极配合并及时处理。
支付机构对商业银行合理要求的配合义务。
第五章 监督管理
第四十八条中国人民银行及其分支机构依法对支付机构的网络支付业务活动进行监督和管理。
中国人民银行可以根据支付机构的客户规模、交易规模、风险管理状况等因素,指定对零售支付体系或社会公众非现金支付信心产生重大影响的支付机构必须聘请独立、合格的外部审计机构,每隔两年定期持续审查、评估该支付机构的业务合规性及其风险管理机制的有效性、健全性,并将审查结果同时报送中国人民银行及其分支机构。
为尽量不增加被监管机构的成本,且保持监管的适度性和灵活性,本条款对具有重大影响的支付机构,提出了强化外部机构对其业务合规性及其风险管理机制的有效性、健全性定期进行审查评估的监管要求,以发挥外部机构协助监管的积极作用。
第四十九条支付机构提供网络支付创新产品或者服务、决定停止提供产品或者服务、调高服务收费标准或者新增收费项目,以及与境外机构合作在境内开展网络支付业务的,应当至少提前30日向中国人民银行及其分支机构报告。
支付机构的报告义务。
第五十条支付机构发生涉嫌违法犯罪案件或者重大风险事件的,应当及时向中国人民银行及其分支机构报告。
支付机构的报告义务。
第五十一条支付机构应当加入中国支付清算协会,接受行业自律组织管理。
中国支付清算协会应当根据本办法制定网络支付业务行业自律规范,建立自律审查机制,向中国人民银行备案后组织实施。自律规范应包括支付机构与客户签订协议的范本,明确协议应记载和不得记载事项,还应包括支付机构披露有关信息的具体内容和标准格式。
中国支付清算协会应当建立信用承诺制度,要求支付机构以标准格式向社会公开承诺依法合规开展网络支付业务、保障客户信息安全和资金安全、维护客户合法权益,如违法违规将自愿接受约束和处罚。
一、为促进行业规范发展,本条款要求支付机构加入行业协会并接受自律管理;要求行业协会制定配套自律规范、建立自律审查机制。
二、本办法部分条款对支付机构与客户之间的权利、责任、义务及协议内容提出了监管要求,行业协会应在此基础上制定协议范本并组织支付机构统一采用。
三、本办法部分条款对支付机构提出了披露有关信息的监管要求,行业协会应在此基础上确定信息披露包括的具体内容及标准格式。
四、本条款要求行业协会建立信用承诺制度,充分发挥社会监督作用。
第六章 法律责任
第五十二条支付机构从事网络支付业务有下列情形之一的,中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十二条的规定进行处理:
(一)未按规定建立客户实名制管理、支付账户开立与使用、差错争议和纠纷投诉处理、风险准备金和交易赔付、年度风险评估、应急预案等管理制度的;
(二)未按规定建立客户风险评级管理、支付账户功能与限额管理、客户支付指令验证管理、交易和信息安全管理、交易监测系统等风险控制机制的,未按规定对支付业务采取有效风险控制措施的;
(三)未按规定进行风险提示或者公开披露相关信息的;
(四)未按规定向中国人民银行及其分支机构报送信息的。
支付机构违反相关规定的处理措施。
第五十三条支付机构从事网络支付业务有下列情形之一的,中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十三条的规定进行处理;情节特别严重,导致严重后果,扰乱支付清算市场秩序的,中国人民银行及其分支机构依据《中国人民银行法》第四十六条的规定进行处理:
(一)不符合支付机构支付业务系统设施有关要求的;
(二)不符合国家、金融行业标准和相关信息安全管理要求的,采用数字证书、电子签名无有效认证证书的;
(三)为非法交易、虚假交易提供支付服务,发现客户疑似或者涉嫌违法违规行为未按规定采取有效措施的;
(四)未按规定采取客户支付指令验证措施的;
(五)未真实、完整、准确反映网络支付交易信息,篡改或者隐匿交易信息的;
(六)未按规定处理客户信息,或者未履行客户信息保密义务,造成信息泄露隐患或者导致信息泄露的;
(七)妨碍客户自主选择支付服务提供主体或资金收付方式的。
支付机构违反相关规定的处理措施。
第五十四条支付机构违反反洗钱和反恐怖融资规定的,依据国家有关法律法规进行处理。
支付机构违反相关规定的处理措施。
第七章 附则
第五十五条本办法相关用语含义如下:
单位客户,是指接受支付机构支付服务的企事业单位、个体工商户或者其他组织。
个人客户,是指接受支付机构支付服务的自然人。
客户本人,是指客户本单位(单位客户)或者本人(个人客户)。
本办法有关用语的含义。
第五十六条本办法由中国人民银行负责解释和修订。
本办法的解释和修订主体。
第五十七条本办法自2015年月 日起施行。
本办法施行之前已从事网络支付业务的支付机构,有关业务不符合本办法规定的,应于本办法施行之日起6个月内完成整改。
本办法的施行日期及支付机构整改要求。
编辑:陈苏宁
-------请留言投诉或提交建议-------
电话:025-
邮箱:
联系人:陈斌
地址:南京市建邺区江东中路369号
新华传媒广场2号楼
邮编:210092
