央行解读非银行支付机构网络支付业务管理办法意见稿

cdercder

释义

支付机构业务处理系统及其备份系统的相关规定。

第二十五条支付机构应当综合客户身份核实方式、交易行为特征、资信状况等因素，建立客户风险评级管理制度，并动态调整客户风险评级。

释义

支付机构对客户实施动态风险评级管理的责任。

第二十六条支付机构应当根据客户支付指令验证方式、客户风险评级、交易类型、交易金额、交易渠道、受理终端类型、商户类别等因素，建立交易风险管理制度和交易监测系统，对疑似套现、欺诈、非法融资、洗钱、恐怖融资等交易，及时采取调查核实、延迟结算、终止服务等风险管理措施；发现涉嫌违法犯罪的，应当及时向公安机关报案，同时向中国人民银行及其分支机构报告。

cdercder

释义

支付机构建立风险管理制度和交易监测系统的责任及防范风险、阻止犯罪的相关义务。

第二十七条支付机构可以组合选用下列三类要素，对客户使用支付账户余额付款的支付指令进行验证：

（一）仅客户本人知悉的要素，如静态密码等；

（二）仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等；

（三）客户本人生理特征要素，如指纹等。

支付机构应当确保采用的要素相互独立，即部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。

cdercder

释义

为降低欺诈等业务风险、保障客户资金安全，支付机构可以选择采用“静态密码+数字证书”、“一次性密码+指纹”、“静态密码+指纹”等多种验证要素组合方式，对支付账户余额付款支付指令进行验证。

第二十八条支付机构应根据支付指令验证方式的安全级别，对个人客户使用支付账户余额付款的交易进行限额管理。支付机构采用包括数字证书或电子签名在内的两类（含）以上要素进行验证的交易，单日累计限额由支付机构与客户通过协议自主约定；支付机构采用不包括数字证书、电子签名在内的两类（含）以上要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过5000元（不包括支付账户向客户本人同名银行账户转账，下同）；支付机构采用不足两类要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过1000元，且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。

cdercder

释义

一、本条款根据支付指令验证方式的安全级别，对个人客户使用支付账户余额付款的交易提出了限额管理规定。本条款仅规范个人客户使用支付账户“余额”付款的交易，客户使用银行账户付款的交易(包括“商业银行网关支付”、“银行卡快捷支付”等模式)不属于本条款规范范畴。

二、为引导支付机构提高支付指令验证方式的安全级别，加强对客户资金安全的保护，本条款规定，支付机构如采用不少于两类验证要素，且其中包括安全级别较高的数字证书或电子签名，则可以与客户自行约定单笔、单日累计限额；支付机构如采用不少于两类要素，但其中不包括数字证书、电子签名，本条款参照人民银行针对商业银行、银行卡清算机构的相关监管要求，规定了单日累计5000元限额；考虑到客户在小额支付场景下对支付速度的客观需要，为兼顾安全与效率，本条款允许支付机构在小额支付业务中简化支付指令验证方式，仅采用一类验证要素甚至不采用验证要素，但这必须基于两个前提，一是支付机构对该笔交易的风险损失无条件承担全额赔付责任，二是单日累计金额应不超过1000元。客户将支付账户余额转账至本人同名银行账户的交易不受上述限额管理。

三、相对于单位客户，个人客户对支付账户余额的实际属性和潜在风险的理解程度较低，风险承受能力也较弱，因此本条款着重于保障个人客户的资金安全，并通过强化支付机构对客户资金支付安全验证等级与限额相关联的管理要求，引导支付机构在保障客户资金安全和支付便捷性方面兼顾平衡发展。

第二十九条支付机构采用数字证书、电子签名作为验证要素的，应当通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体对数字证书及生成电子签名的过程进行保护，确保数字证书的唯一性、完整性及交易的不可抵赖性。

支付机构采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。

支付机构采用客户本人生理特征作为验证要素的，应通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体进行保护，防止被非法存储、复制或重放。

cdercder

释义

一、数字证书和电子签名的技术安全性要求。

二、部分支付场景下，一次性密码（例如短信动态验证码）和交易指令均通过相同的物理设备（例如手机）处理，因此在设备被植入恶意程序或者被盗情况下，易造成一次性密码和交易指令同时被拦截、窃取、伪造或篡改，大大增加了交易风险。支付机构应采取有效措施对此类风险予以防范，保障客户资金安全。

三、客户的指纹等生理特征一般相对固定，基本不发生变化，因此存在被非法存储、复制或重放的风险。支付机构应通过安全硬件对客户本人生理特征要素进行保护，防范相关风险。

第三十条支付机构应当每年对交易和信息安全管理制度、业务处理系统、交易监测系统等风险防控机制开展全面评估。评估应由不以任何方式参与网络支付服务开发或者运营的专业人员进行。评估报告应于每年1月31日前在网站对外公告。

cdercder

释义

为促进支付机构持续完善风险防控机制，同时增加信息透明度，便于社会和广大客户予以监督，本条款规定，支付机构应每年对风险防控机制进行全面评估，并定期披露评估报告。

第三十一条支付机构应当限制客户尝试登陆或者识别身份的次数，制定客户访问超时规则，设置身份识别时限。

cdercder

释义

支付机构识别客户身份的安全性要求。

第三十二条支付机构应当制定突发事件应急预案，建立灾备系统，保障业务连续性和系统安全性。

cdercder

释义

支付机构保障业务连续性和系统安全性的责任。

第三十三条支付机构应当充分尊重客户自主选择权，不得强迫客户使用本机构提供的网络支付服务，也不得阻碍客户使用其他机构提供的网络支付服务。

支付机构应当公平展示客户可选用的各种资金收付方式，不得以任何形式诱导、强迫客户开立支付账户或者通过支付账户办理资金收付，不得附加不合理的交易条件。

支付机构应当根据客户意愿办理网络支付服务或者支付账户功能的暂停、禁用或者注销。

cdercder

释义

一、自主选择支付方式是客户的合法权益，支付机构不应以任何形式侵害客户的自主选择权，具体形式包括：强迫客户使用甚至仅使用本机构的支付服务、阻碍客户选用其他机构提供的支付服务、诱导客户选用某种支付方式而故意隐藏其他可选支付方式、诱导或强迫客户开立或使用支付账户等。

二、支付机构根据客户意愿办理或停止业务的义务。

第三十四条支付机构应当参照《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）有关规定制定有效的客户信息保护措施和风险控制机制，切实履行客户信息保护责任。

cdercder

释义

《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）对商业银行提出的关于保护客户信息的规定，同样适用于支付机构，支付机构应当参照执行。

第三十五条支付机构应当以“最小化”原则采集、使用、存储和传输客户信息，并告知客户相关信息的使用目的和范围。支付机构不得向本机构以外的其他机构和个人提供客户信息，因办理支付业务需要并经客户逐项确认并授权的，以及法律法规另有规定的除外。

支付机构不得存储客户银行账户密码、银行卡验证码和有效期等敏感信息。因特殊业务需要，支付机构确需存储客户银行卡有效期的，应当取得客户和开户银行的授权，以加密形式存储。

cdercder

释义

一、支付机构应以“最小化”原则处理客户信息，并履行保密义务。

二、支付机构确因业务需要而存储银行卡有效期的，必须事先同时获得客户本人和开户银行的授权；除银行卡有效期之外的其他敏感信息，任何情况下不得存储。

第三十六条支付机构应当通过协议约定禁止特约商户存储客户账户密码、银行卡验证码和有效期等敏感信息，并采取定期检查、技术监测等必要监督措施。

特约商户违反协议约定存储上述敏感信息的，支付机构应当立即暂停或者终止为其提供网络支付服务，采取有效措施删除敏感信息、防止信息泄露，并承担因相关信息泄露造成的损失和责任。

cdercder

释义

一、在《银行卡收单业务管理办法》的基础上，本条款进一步明确特约商户不得存储客户敏感信息。

二、特别强调支付机构应对特约商户采取有效措施进行检查和监督的责任，切实防范因特约商户违规存储客户敏感信息而导致客户信息泄露或资金损失。

第三十七条支付机构应当建立健全风险准备金制度和交易赔付制度，并对不能有效证明因客户原因导致的资金损失使用风险准备金先行全额赔付，保障客户合法权益。

支付机构应在年度监管报告中如实反映客户风险损失、客户损失赔付、风险准备金计提、风险准备金使用和风险准备金结余等情况。

cdercder

释义

支付机构“方便、快捷”的支付服务必须以保护客户权益为前提，以完善的风险准备金制度和交易赔付制度为保障。为防范盲目追求“高效”而忽视“安全”，本条款规定了支付机构对客户资金损失的先行赔付责任。

第三十八条支付机构应当向客户充分提示网络支付业务的潜在风险，及时揭示不法分子新型作案手段，对客户进行必要的安全教育，并对高风险业务在操作前、操作中进行风险警示。

支付机构应当于每年1月31日前，将前一年度发生的风险事件、客户风险损失、客户损失赔付等情况在网站对外公告。

cdercder

释义

支付机构向客户及时提示风险并定期披露风险信息的义务。

第三十九条支付机构为客户购买投资理财产品或服务提供网络支付服务的，应当确保相关产品或者服务提供方为取得相应经营资质并依法开展业务的机构，并充分向客户提示潜在风险。

cdercder

释义

一、支付机构与其他机构合作开展投资理财产品或服务销售等业务前，必须充分了解合作机构的经营资质和具体产品或服务内容。

二、支付机构应本着对客户负责的态度，在产品销售过程中向客户充分提示潜在风险。

第四十条支付机构应当采取有效措施，确保客户在执行支付指令前可对资金收付账户、交易金额等交易信息进行确认，并在支付指令完成后及时将结果通知客户。

因交易超时、无响应或者系统故障导致支付指令无法正常处理的，支付机构应当及时提示客户；因客户原因造成支付指令未执行、未适当执行、延迟执行的，支付机构应当主动通知客户更改或者协助客户采取补救措施。

cdercder

释义

支付机构在交易前、交易后以及交易异常情况下与客户进行确认、通知的义务。

第四十一条支付机构应当建立健全网络支付业务差错争议和纠纷投诉处理制度，向客户公告相关受理机制和流程，并配备专业部门和人员，据实、准确、及时处理交易差错和客户投诉。

cdercder

释义

支付机构健全差错争议和纠纷投诉处理制度的相关责任。

第四十二条支付机构应当通过具有合法独立域名的网站、统一的24小时客户服务电话等渠道，为客户提供网络支付服务及查询、咨询、投诉等配套服务。

支付机构应当告知客户相关服务的正确获取途径，指导客户有效辨识服务渠道的真实性，防范不法分子通过冒充支付机构或者提供虚假服务渠道实施网络欺诈、盗用账户或者窃取信息。

cdercder

释义

为防范不法分子通过仿冒支付机构网站、客户热线等“钓鱼”手段骗取客户身份或账户信息，导致客户信息泄露或资金损失，本条款要求支付机构在提供完备客户服务的同时，采取有效措施指导客户辨识服务渠道的真实性。

第四十三条支付机构应当为客户免费提供至少最近一年以内交易信息查询服务。

cdercder

释义

支付机构为客户提供交易信息查询服务的最低标准。

第四十四条支付机构因系统升级、调试等原因，需暂停网络支付服务的，应当至少提前5个工作日予以公告。

cdercder

释义

为保障客户权益，支付机构所应履行的信息披露义务。

第四十五条支付机构变更协议条款、提高网络支付服务收费标准或者新设收费项目的，应当于实施之前在网站以显著方式连续公示30日，并于客户首次办理相关业务前确认客户知悉且接受拟调整的全部详细内容，保障客户对相关服务的自主选择权。