非銀行支付機構網(wǎng)絡支付管理辦法

1、第一章總則第一條為規(guī)范非銀行支付機構以下簡稱支付機構網(wǎng)絡支付業(yè)務，防范支付風險，保護當事人合法權益，根據(jù)中華人民共和國中國人民銀行法、非金融機構支付服務管理辦法中國人民銀行令2010第2號發(fā)布等規(guī)定，制定本辦法。第二條支付機構從事網(wǎng)絡支付業(yè)務，適用本辦法。本辦法所稱支付機構是指依法取得支付業(yè)務許可證，獲準辦理互聯(lián)網(wǎng)支付、移動電話支付、固定電話支付、數(shù)字電視支付等網(wǎng)絡支付業(yè)務的非銀行機構。本辦法所稱網(wǎng)絡支付業(yè)務，是指收款人或付款人通過計算機、移動終端等電子設備，依托公共網(wǎng)絡信息系統(tǒng)遠程發(fā)起支付指令，且付款人電子設備不與收款人特定專屬設備交互，由支付機構為收付款人提供貨幣資金轉移服務的活動。本辦法

2、所稱收款人特定專屬設備，是指專門用于交易收款，在交易過程中與支付機構業(yè)務系統(tǒng)交互并參與生成、傳輸、處理支付指令的電子設備。第三條支付機構應當遵循主要服務電子商務發(fā)展和為社會提供小額、快捷、便民小微支付服務的宗旨，基于客戶的銀行賬戶或者按照本辦法規(guī)定為客戶開立支付賬戶提供網(wǎng)絡支付服務。本辦法所稱支付賬戶，是指獲得互聯(lián)網(wǎng)支付業(yè)務許可的支付機構，根據(jù)客戶的真實意愿為其開立的，用于記錄預付交易資金余額、客戶憑以發(fā)起支付指令、反映交易明細信息的電子簿記。支付賬戶不得透支，不得出借、出租、出售，不得利用支付賬戶從事或者協(xié)助他人從事非法活動。第四條支付機構基于銀行卡為客戶提供網(wǎng)絡支付服務的，應當執(zhí)行銀行卡業(yè)

3、務相關監(jiān)管規(guī)定和銀行卡行業(yè)規(guī)范。支付機構對特約商戶的拓展與管理、業(yè)務與風險管理應當執(zhí)行銀行卡收單業(yè)務管理辦法中國人民銀行公告2013第9號公布等相關規(guī)定。支付機構網(wǎng)絡支付服務涉及跨境人民幣結算和外匯支付的，應當執(zhí)行中國人民銀行、國家外匯管理局相關規(guī)定。支付機構應當依法維護當事人合法權益，遵守反洗錢和反恐怖融資相關規(guī)定，履行反洗錢和反恐怖融資義務。第五條支付機構依照中國人民銀行有關規(guī)定接受分類評價，并執(zhí)行相應的分類監(jiān)管措施。第二章客戶管理第六條支付機構應當遵循“了解你的客戶”原則，建立健全客戶身份識別機制。支付機構為客戶開立支付賬戶的，應當對客戶實行實名制管理，登記并采取有效措施驗證客戶身份基本

4、信息，按規(guī)定核對有效身份證件并留存有效身份證件復印件或者影印件，建立客戶唯一識別編碼，并在與客戶業(yè)務關系存續(xù)期間采取持續(xù)的身份識別措施，確保有效核實客戶身份及其真實意愿，不得開立匿名、假名支付賬戶。第七條支付機構應當與客戶簽訂服務協(xié)議，約定雙方責任、權利和義務，至少明確業(yè)務規(guī)則包括但不限于業(yè)務功能和流程、身份識別和交易驗證方式、資金結算方式等，收費項目和標準，查詢、差錯爭議及投訴等服務流程和規(guī)則，業(yè)務風險和非法活動防范及處置措施，客戶損失責任劃分和賠付規(guī)則等內容。支付機構為客戶開立支付賬戶的，還應在服務協(xié)議中以顯著方式告知客戶，并采取有效方式確認客戶充分知曉并清晰理解下列內容：“支付賬戶所記錄

5、的資金余額不同于客戶本人的銀行存款，不受存款保險條例保護，其實質為客戶委托支付機構保管的、所有權歸屬于客戶的預付價值。該預付價值對應的貨幣資金雖然屬于客戶，但不以客戶本人名義存放在銀行，而是以支付機構名義存放在銀行，并且由支付機構向銀行發(fā)起資金調撥指令?！敝Ц稒C構應當確保協(xié)議內容清晰、易懂，并以顯著方式提示客戶注意與其有重大利害關系的事項。第八條獲得互聯(lián)網(wǎng)支付業(yè)務許可的支付機構，經(jīng)客戶主動提出申請，可為其開立支付賬戶；僅獲得移動電話支付、固定電話支付、數(shù)字電視支付業(yè)務許可的支付機構，不得為客戶開立支付賬戶。支付機構不得為金融機構，以及從事信貸、融資、理財、擔保、信托、貨幣兌換等金融業(yè)務的其他機

6、構開立支付賬戶。第三章業(yè)務管理第九條支付機構不得經(jīng)營或者變相經(jīng)營證券、保險、信貸、融資、理財、擔保、信托、貨幣兌換、現(xiàn)金存取等業(yè)務。第十條支付機構向客戶開戶銀行發(fā)送支付指令，扣劃客戶銀行賬戶資金的，支付機構和銀行應當執(zhí)行下列要求：一支付機構應當事先或在首筆交易時自主識別客戶身份并分別取得客戶和銀行的協(xié)議授權，同意其向客戶的銀行賬戶發(fā)起支付指令扣劃資金；二銀行應當事先或在首筆交易時自主識別客戶身份并與客戶直接簽訂授權協(xié)議，明確約定扣款適用范圍和交易驗證方式，設立與客戶風險承受能力相匹配的單筆和單日累計交易限額，承諾無條件全額承擔此類交易的風險損失先行賠付責任；三除單筆金額不超過200元的小額支付

7、業(yè)務，公共事業(yè)繳費、稅費繳納、信用卡還款等收款人固定并且定期發(fā)生的支付業(yè)務，以及符合第三十七條規(guī)定的情形以外，支付機構不得代替銀行進行交易驗證。第十一條支付機構應根據(jù)客戶身份對同一客戶在本機構開立的所有支付賬戶進行關聯(lián)管理，并按照下列要求對個人支付賬戶進行分類管理：一對于以非面對面方式通過至少一個合法安全的外部渠道進行身份基本信息驗證，且為首次在本機構開立支付賬戶的個人客戶，支付機構可以為其開立類支付賬戶，賬戶余額僅可用于消費和轉賬，余額付款交易自賬戶開立起累計不超過1000元包括支付賬戶向客戶本人同名銀行賬戶轉賬；二對于支付機構自主或委托合作機構以面對面方式核實身份的個人客戶，或以非面對面方

8、式通過至少三個合法安全的外部渠道進行身份基本信息多重交叉驗證的個人客戶，支付機構可以為其開立類支付賬戶，賬戶余額僅可用于消費和轉賬，其所有支付賬戶的余額付款交易年累計不超過10萬元不包括支付賬戶向客戶本人同名銀行賬戶轉賬；三對于支付機構自主或委托合作機構以面對面方式核實身份的個人客戶，或以非面對面方式通過至少五個合法安全的外部渠道進行身份基本信息多重交叉驗證的個人客戶，支付機構可以為其開立類支付賬戶，賬戶余額可以用于消費、轉賬以及購買投資理財?shù)冉鹑陬惍a(chǎn)品，其所有支付賬戶的余額付款交易年累計不超過20萬元不包括支付賬戶向客戶本人同名銀行賬戶轉賬?？蛻羯矸莼拘畔⑼獠框炞C渠道包括但不限于政府部門數(shù)

9、據(jù)庫、商業(yè)銀行信息系統(tǒng)、商業(yè)化數(shù)據(jù)庫等。其中，通過商業(yè)銀行驗證個人客戶身份基本信息的，應為類銀行賬戶或信用卡。第十二條支付機構辦理銀行賬戶與支付賬戶之間轉賬業(yè)務的，相關銀行賬戶與支付賬戶應屬于同一客戶。支付機構應按照與客戶的約定及時辦理支付賬戶向客戶本人銀行賬戶轉賬業(yè)務，不得對類、類支付賬戶向客戶本人銀行賬戶轉賬設置限額。第十三條支付機構為客戶辦理本機構發(fā)行的預付卡向支付賬戶轉賬的，應當按照支付機構預付卡業(yè)務管理辦法中國人民銀行公告2012第12號公布相關規(guī)定對預付卡轉賬至支付賬戶的余額單獨管理，僅限其用于消費，不得通過轉賬、購買投資理財?shù)冉鹑陬惍a(chǎn)品等形式進行套現(xiàn)或者變相套現(xiàn)。第十四條支付機構

10、應當確保交易信息的真實性、完整性、可追溯性以及在支付全流程中的一致性，不得篡改或者隱匿交易信息。交易信息包括但不限于下列內容：一交易渠道、交易終端或接口類型、交易類型、交易金額、交易時間，以及直接向客戶提供商品或者服務的特約商戶名稱、編碼和按照國家與金融行業(yè)標準設置的商戶類別碼；二收付款客戶名稱，收付款支付賬戶賬號或者銀行賬戶的開戶銀行名稱及賬號；三付款客戶的身份驗證和交易授權信息；四有效追溯交易的標識；五單位客戶單筆超過5萬元的轉賬業(yè)務的付款用途和事由。第十五條因交易取消撤銷、退貨、交易不成功或者投資理財?shù)冉鹑陬惍a(chǎn)品贖回等原因需劃回資金的，相應款項應當劃回原扣款賬戶。第十六條對于客戶的網(wǎng)絡支

11、付業(yè)務操作行為，支付機構應當在確認客戶身份及真實意愿后及時辦理，并在操作生效之日起至少五年內，真實、完整保存操作記錄?？蛻舨僮餍袨榘ǖ幌抻诘卿浐妥N登錄、身份識別和交易驗證、變更身份信息和聯(lián)系方式、調整業(yè)務功能、調整交易限額、變更資金收付方式，以及變更或掛失密碼、數(shù)字證書、電子簽名等。第四章風險管理與客戶權益保護第十七條支付機構應當綜合客戶類型、身份核實方式、交易行為特征、資信狀況等因素，建立客戶風險評級管理制度和機制，并動態(tài)調整客戶風險評級及相關風險控制措施。支付機構應當根據(jù)客戶風險評級、交易驗證方式、交易渠道、交易終端或接口類型、交易類型、交易金額、交易時間、商戶類別等因素，建立交易風

12、險管理制度和交易監(jiān)測系統(tǒng)，對疑似欺詐、套現(xiàn)、洗錢、非法融資、恐怖融資等交易，及時采取調查核實、延遲結算、終止服務等措施。第十八條支付機構應當向客戶充分提示網(wǎng)絡支付業(yè)務的潛在風險，及時揭示不法分子新型作案手段，對客戶進行必要的安全教育，并對高風險業(yè)務在操作前、操作中進行風險警示。支付機構為客戶購買合作機構的金融類產(chǎn)品提供網(wǎng)絡支付服務的，應當確保合作機構為取得相應經(jīng)營資質并依法開展業(yè)務的機構，并在首次購買時向客戶展示合作機構信息和產(chǎn)品信息，充分提示相關責任、權利、義務及潛在風險，協(xié)助客戶與合作機構完成協(xié)議簽訂。第十九條支付機構應當建立健全風險準備金制度和交易賠付制度，并對不能有效證明因客戶原因導致

13、的資金損失及時先行全額賠付，保障客戶合法權益。支付機構應于每年1月31日前，將前一年度發(fā)生的風險事件、客戶風險損失發(fā)生和賠付等情況在網(wǎng)站對外公告。支付機構應在年度監(jiān)管報告中如實反映上述內容和風險準備金計提、使用及結余等情況。第二十條支付機構應當依照中國人民銀行有關客戶信息保護的規(guī)定，制定有效的客戶信息保護措施和風險控制機制，履行客戶信息保護責任。支付機構不得存儲客戶銀行卡的磁道信息或芯片信息、驗證碼、密碼等敏感信息，原則上不得存儲銀行卡有效期。因特殊業(yè)務需要，支付機構確需存儲客戶銀行卡有效期的，應當取得客戶和開戶銀行的授權，以加密形式存儲。支付機構應當以“最小化”原則采集、使用、存儲和傳輸客戶

14、信息，并告知客戶相關信息的使用目的和范圍。支付機構不得向其他機構或個人提供客戶信息，法律法規(guī)另有規(guī)定，以及經(jīng)客戶本人逐項確認并授權的除外。第二十一條支付機構應當通過協(xié)議約定禁止特約商戶存儲客戶銀行卡的磁道信息或芯片信息、驗證碼、有效期、密碼等敏感信息，并采取定期檢查、技術監(jiān)測等必要監(jiān)督措施。特約商戶違反協(xié)議約定存儲上述敏感信息的，支付機構應當立即暫?；蛘呓K止為其提供網(wǎng)絡支付服務，采取有效措施刪除敏感信息、防止信息泄露，并依法承擔因相關信息泄露造成的損失和責任。第二十二條支付機構可以組合選用下列三類要素，對客戶使用支付賬戶余額付款的交易進行驗證：一僅客戶本人知悉的要素，如靜態(tài)密碼等；二僅客戶本人

15、持有并特有的，不可復制或者不可重復利用的要素，如經(jīng)過安全認證的數(shù)字證書、電子簽名，以及通過安全渠道生成和傳輸?shù)囊淮涡悦艽a等；三客戶本人生理特征要素，如指紋等。支付機構應當確保采用的要素相互獨立，部分要素的損壞或者泄露不應導致其他要素損壞或者泄露。第二十三條支付機構采用數(shù)字證書、電子簽名作為驗證要素的，數(shù)字證書及生成電子簽名的過程應符合中華人民共和國電子簽名法、金融電子認證規(guī)范JR/T0118-2015等有關規(guī)定，確保數(shù)字證書的唯一性、完整性及交易的不可抵賴性。支付機構采用一次性密碼作為驗證要素的，應當切實防范一次性密碼獲取端與支付指令發(fā)起端為相同物理設備而帶來的風險，并將一次性密碼有效期嚴格限

16、制在最短的必要時間內。支付機構采用客戶本人生理特征作為驗證要素的，應當符合國家、金融行業(yè)標準和相關信息安全管理要求，防止被非法存儲、復制或重放。第二十四條支付機構應根據(jù)交易驗證方式的安全級別，按照下列要求對個人客戶使用支付賬戶余額付款的交易進行限額管理：一支付機構采用包括數(shù)字證書或電子簽名在內的兩類含以上有效要素進行驗證的交易，單日累計限額由支付機構與客戶通過協(xié)議自主約定；二支付機構采用不包括數(shù)字證書、電子簽名在內的兩類含以上有效要素進行驗證的交易，單個客戶所有支付賬戶單日累計金額應不超過5000元不包括支付賬戶向客戶本人同名銀行賬戶轉賬；三支付機構采用不足兩類有效要素進行驗證的交易，單個客戶

17、所有支付賬戶單日累計金額應不超過1000元不包括支付賬戶向客戶本人同名銀行賬戶轉賬，且支付機構應當承諾無條件全額承擔此類交易的風險損失賠付責任。第二十五條支付機構網(wǎng)絡支付業(yè)務相關系統(tǒng)設施和技術，應當持續(xù)符合國家、金融行業(yè)標準和相關信息安全管理要求。如未符合相關標準和要求，或者尚未形成國家、金融行業(yè)標準，支付機構應當無條件全額承擔客戶直接風險損失的先行賠付責任。第二十六條支付機構應當在境內擁有安全、規(guī)范的網(wǎng)絡支付業(yè)務處理系統(tǒng)及其備份系統(tǒng)，制定突發(fā)事件應急預案，保障系統(tǒng)安全性和業(yè)務連續(xù)性。支付機構為境內交易提供服務的，應當通過境內業(yè)務處理系統(tǒng)完成交易處理，并在境內完成資金結算。第二十七條支付機構應

18、當采取有效措施，確保客戶在執(zhí)行支付指令前可對收付款客戶名稱和賬號、交易金額等交易信息進行確認，并在支付指令完成后及時將結果通知客戶。因交易超時、無響應或者系統(tǒng)故障導致支付指令無法正常處理的，支付機構應當及時提示客戶；因客戶原因造成支付指令未執(zhí)行、未適當執(zhí)行、延遲執(zhí)行的，支付機構應當主動通知客戶更改或者協(xié)助客戶采取補救措施。第二十八條支付機構應當通過具有合法獨立域名的網(wǎng)站和統(tǒng)一的服務電話等渠道，為客戶免費提供至少最近一年以內交易信息查詢服務，并建立健全差錯爭議和糾紛投訴處理制度，配備專業(yè)部門和人員據(jù)實、準確、及時處理交易差錯和客戶投訴。支付機構應當告知客戶相關服務的正確獲取途徑，指導客戶有效辨識

19、服務渠道的真實性。支付機構應當于每年1月31日前，將前一年度發(fā)生的客戶投訴數(shù)量和類型、處理完畢的投訴占比、投訴處理速度等情況在網(wǎng)站對外公告。第二十九條支付機構應當充分尊重客戶自主選擇權，不得強迫客戶使用本機構提供的支付服務，不得阻礙客戶使用其他機構提供的支付服務。支付機構應當公平展示客戶可選用的各種資金收付方式，不得以任何形式誘導、強迫客戶開立支付賬戶或者通過支付賬戶辦理資金收付，不得附加不合理條件。第三十條支付機構因系統(tǒng)升級、調試等原因，需暫停網(wǎng)絡支付服務的，應當至少提前5個工作日予以公告。支付機構變更協(xié)議條款、提高服務收費標準或者新設收費項目的，應當于實施之前在網(wǎng)站等服務渠道以顯著方式連續(xù)

20、公示30日，并于客戶首次辦理相關業(yè)務前確認客戶知悉且接受擬調整的全部詳細內容。第五章監(jiān)督管理第三十一條支付機構提供網(wǎng)絡支付創(chuàng)新產(chǎn)品或者服務、停止提供產(chǎn)品或者服務、與境外機構合作在境內開展網(wǎng)絡支付業(yè)務的，應當至少提前30日向法人所在地中國人民銀行分支機構報告。支付機構發(fā)生重大風險事件的，應當及時向法人所在地中國人民銀行分支機構報告；發(fā)現(xiàn)涉嫌違法犯罪的，同時報告公安機關。第三十二條中國人民銀行可以結合支付機構的企業(yè)資質、風險管控特別是客戶備付金管理等因素，確立支付機構分類監(jiān)管指標體系，建立持續(xù)分類評價工作機制，并對支付機構實施動態(tài)分類管理。具體辦法由中國人民銀行另行制定。第三十三條評定為“A”類且

21、類、類支付賬戶實名比例超過95%的支付機構，可以采用能夠切實落實實名制要求的其他客戶身份核實方法，經(jīng)法人所在地中國人民銀行分支機構評估認可并向中國人民銀行備案后實施。第三十四條評定為“A”類且類、類支付賬戶實名比例超過95%的支付機構，可以對從事電子商務經(jīng)營活動、不具備工商登記注冊條件且相關法律法規(guī)允許不進行工商登記注冊的個人客戶以下簡稱個人賣家參照單位客戶管理，但應建立持續(xù)監(jiān)測電子商務經(jīng)營活動、對個人賣家實施動態(tài)管理的有效機制，并向法人所在地中國人民銀行分支機構備案。支付機構參照單位客戶管理的個人賣家，應至少符合下列條件：一相關電子商務交易平臺已依照相關法律法規(guī)對其真實身份信息進行審查和登記

22、，與其簽訂登記協(xié)議，建立登記檔案并定期核實更新，核發(fā)證明個人身份信息真實合法的標記，加載在其從事電子商務經(jīng)營活動的主頁面醒目位置；二支付機構已按照開立類個人支付賬戶的標準對其完成身份核實；三持續(xù)從事電子商務經(jīng)營活動滿6個月，且期間使用支付賬戶收取的經(jīng)營收入累計超過20萬元。第三十五條評定為“A”類且類、類支付賬戶實名比例超過95%的支付機構，對于已經(jīng)實名確認、達到實名制管理要求的支付賬戶，在辦理第十二條第一款所述轉賬業(yè)務時，相關銀行賬戶與支付賬戶可以不屬于同一客戶。但支付機構應在交易中向銀行準確、完整發(fā)送交易渠道、交易終端或接口類型、交易類型、收付款客戶名稱和賬號等交易信息。第三十六條評定為“

23、A”類且類、類支付賬戶實名比例超過95%的支付機構，可以將達到實名制管理要求的類、類支付賬戶的余額付款單日累計限額，提高至第二十四條規(guī)定的2倍。評定為“B”類及以上，且類、類支付賬戶實名比例超過90%的支付機構，可以將達到實名制管理要求的類、類支付賬戶的余額付款單日累計限額，提高至第二十四條規(guī)定的1.5倍。第三十七條評定為“A”類的支付機構按照第十條規(guī)定辦理相關業(yè)務時，可以與銀行根據(jù)業(yè)務需要，通過協(xié)議自主約定由支付機構代替進行交易驗證的情形，但支付機構應在交易中向銀行完整、準確發(fā)送交易渠道、交易終端或接口類型、交易類型、商戶名稱、商戶編碼、商戶類別碼、收付款客戶名稱和賬號等交易信息；銀行應核實

24、支付機構驗證手段或渠道的安全性，且對客戶資金安全的管理責任不因支付機構代替驗證而轉移。第三十八條對于評定為“C”類及以下、支付賬戶實名比例較低、對零售支付體系或社會公眾非現(xiàn)金支付信心產(chǎn)生重大影響的支付機構，中國人民銀行及其分支機構可以在第十九條、第二十八條等規(guī)定的基礎上適度提高公開披露相關信息的要求，并加強非現(xiàn)場監(jiān)管和現(xiàn)場檢查。第三十九條中國人民銀行及其分支機構對照上述分類管理措施相應條件，動態(tài)確定支付機構適用的監(jiān)管規(guī)定并持續(xù)監(jiān)管。支付機構分類評定結果和支付賬戶實名比例不符合上述分類管理措施相應條件的，應嚴格按照第十條、第十一條、第十二條及第二十四條等相關規(guī)定執(zhí)行。中國人民銀行及其分支機構可以

25、根據(jù)社會經(jīng)濟發(fā)展情況和支付機構分類管理需要，對支付機構網(wǎng)絡支付業(yè)務范圍、模式、功能、限額及業(yè)務創(chuàng)新等相關管理措施進行適時調整。第四十條支付機構應當加入中國支付清算協(xié)會，接受行業(yè)自律組織管理。中國支付清算協(xié)會應當根據(jù)本辦法制定網(wǎng)絡支付業(yè)務行業(yè)自律規(guī)范，建立自律審查機制，向中國人民銀行備案后組織實施。自律規(guī)范應包括支付機構與客戶簽訂協(xié)議的范本，明確協(xié)議應記載和不得記載事項，還應包括支付機構披露有關信息的具體內容和標準格式。中國支付清算協(xié)會應當建立信用承諾制度，要求支付機構以標準格式向社會公開承諾依法合規(guī)開展網(wǎng)絡支付業(yè)務、保障客戶信息安全和資金安全、維護客戶合法權益、如違法違規(guī)自愿接受約束和處罰。第

26、六章 法律責任第四十一條支付機構從事網(wǎng)絡支付業(yè)務有下列情形之一的，中國人民銀行及其分支機構依據(jù)非金融機構支付服務管理辦法第四十二條的規(guī)定進行處理：一未按規(guī)定建立客戶實名制管理、支付賬戶開立與使用、差錯爭議和糾紛投訴處理、風險準備金和交易賠付、應急預案等管理制度的；二未按規(guī)定建立客戶風險評級管理、支付賬戶功能與限額管理、客戶支付指令驗證管理、交易和信息安全管理、交易監(jiān)測系統(tǒng)等風險控制機制的，未按規(guī)定對支付業(yè)務采取有效風險控制措施的；三未按規(guī)定進行風險提示、公開披露相關信息的；四未按規(guī)定履行報告義務的。第四十二條支付機構從事網(wǎng)絡支付業(yè)務有下列情形之一的，中國人民銀行及其分支機構依據(jù)非金融機構支付服務管理辦法第四十三條的規(guī)定進行處理；情節(jié)嚴重的，中國人民銀行及其分支機構依據(jù)中華人民共和國中國人民銀行法第四十六條的規(guī)定進行處理：一不符合支付機構支付業(yè)務系統(tǒng)設施有關要求的；二不符合國家、金融行業(yè)標準和相關信息安全管理要求的，采用數(shù)字證書、電子簽名不符合中華人民共和國電子簽名