非银行支付机构支付业务管理办法总结.docx

1、非银行支付机构支付业务管理办法总结附件1：非银行支付机构网络支付业务管理办法（征求意见稿）第一章 总 则第一条 为规范非银行支付机构（以下简称支付机构）网络支付业务，防范支付风险，保护当事人合法权益，根据中华人民共和国中国人民银行法、非金融机构支付服务管理办法等规定，制定本办法。第二条 支付机构从事网络支付业务，适用本办法。本办法所称支付机构是指依法取得支付业务许可证，获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。本办法所称网络支付业务，是指客户通过计算机、移动终端等电子设备，依托公共网络信息系统远程发起支付指令，且付款客户电子设备不与收款客户特定专属

2、设备交互，由支付机构为收付款客户提供货币资金转移服务的活动。本办法所称收款客户特定专属设备，是指专门用于交易收款，在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。第三条 支付机构应当遵循主要服务于电子商务交易的原则，基于客户的银行账户或者按照本办法规定为客户开立支付账户提供网络支付服务。本办法所称支付账户，是指获得互联网支付业务许可的支付机构，根据客户的真实意愿为其开立的，用于记录预付交易资金余额、凭以发起支付指令、反映支付交易明细信息的电子簿记。第四条 支付机构应当依法维护当事人的合法权益，保障客户信息安全和资金安全。第五条 支付机构开展网络支付业务，应当落实实名

3、制管理要求，遵守反洗钱和反恐怖融资相关规定，履行反洗钱和反恐怖融资义务；涉及跨境人民币结算和外汇支付业务的，应当按照中国人民银行、国家外汇管理局相关规定执行。第二章 客户管理第六条 支付机构应当遵循“了解你的客户”原则，采取有效措施核实并依法留存客户身份基本信息，建立客户唯一识别编码。第七条 支付机构为客户提供网络支付服务，应当与客户签订服务协议，至少约定下列内容：（一）支付机构名称、营业地址、网站地址及联系方式；（二）支付机构提供的网络支付业务类型和业务规则；（三）支付机构对客户支付指令的验证方式；（四）收费项目和收费标准；（五）客户资金结算方式，以及支付机构为此提供相关支付便利的义务；（六

4、）支付机构为防范欺诈等业务风险及洗钱、恐怖融资等非法活动，可以对支付服务采取的限制性措施；（七）支付机构与客户的相关责任、权利和义务。支付机构应当以显著方式提示客户注意服务协议中与客户有重大利害关系的核心事项，并按客户的要求予以解释或说明。第八条 获得互联网支付业务许可的支付机构，应当经客户主动提出申请，方为其开立支付账户；仅获得移动电话支付、固定电话支付、数字电视支付业务许可的支付机构，不得为客户开立支付账户。支付机构不得为金融机构，以及从事信贷、融资、理财、担保、货币兑换等金融业务的其他机构开立支付账户。第九条 支付机构为客户开立支付账户的，应当对客户实行实名制管理，登记客户身份基本信息，

5、核实客户有效身份证件，按规定留存有效身份证件复印件或者影印件，并通过三个（含）以上合法安全的外部渠道对客户身份基本信息进行多重交叉验证，确保有效核实客户身份及其真实意愿，不得开立匿名、假名支付账户。外部验证渠道包括但不限于政府部门数据库、商业银行账户信息系统、商业化数据库等能够有效验证客户身份基本信息的数据库或系统。第十条 支付机构为客户开立支付账户的，服务协议应当至少包括下列内容：（一）以显著方式明确告知客户：“支付账户所记录的资金余额不同于客户本人的商业银行货币存款，其实质为客户向支付机构购买的、所有权归属于客户并由支付机构保管的预付价值，不受存款保险条例保护。该预付价值对应的货币资金的所

6、有权归属于客户，但以支付机构的名义存放在商业银行，可由支付机构向其开户银行发起支付指令进行调拨。”支付机构应当采取有效方式要求客户确认已充分知晓并清晰理解上述内容及相关风险；（二）支付账户开立、使用、挂失、止付、注销的规则；（三）违规开立或者使用支付账户的处置方式；（四）支付账户资金变动的通知方式和异常交易的处置方式；（五）支付机构对风险损失承担先行赔付责任的条件，及客户承担风险损失的单笔、累计最高限额及其条件。第十一条 支付账户不得出借、出租、出售，不得利用支付账户从事或者协助他人从事非法活动。第十二条 客户变更身份信息，重置或者挂失密码、数字证书或者电子签名，办理支付账户止付、注销业务的，

7、支付机构应当在确认客户身份及真实意愿后及时办理。第三章 业务管理第十三条 支付机构不得为客户办理或者变相办理现金存取、信贷、融资、理财、担保、货币兑换业务。第十四条 支付机构基于银行卡为客户提供网络支付服务的，应当执行银行卡业务相关监管规定，以及银行卡行业规范。第十五条 支付机构根据客户授权，向客户开户银行发送支付指令，扣划客户银行账户资金的，支付机构、客户和银行在事先或者首笔交易时，应当按照下列规则明确相关授权并依照执行：（一）支付机构应当取得客户和银行的授权，同意其向客户的银行账户发起支付指令扣划资金；（二）银行应当与客户直接签订授权协议，明确约定客户身份及交易验证方式，以及交易限额等必要

8、风险管理措施；（三）除单笔金额不足200元的小额支付业务，以及公共事业费、税费缴纳等收款人固定并且定期发生的支付业务外，支付机构不得代替银行进行客户身份及交易验证。银行对客户资金安全的管理责任不因支付机构代替验证而转移。支付机构应当为银行对客户的身份及交易验证提供必要技术支持，不得人为设置障碍。第十六条 支付机构为个人客户开立支付账户并基于支付账户余额办理网络支付业务的，应按照下列要求根据客户身份核实方式对个人支付账户余额的付款功能和交易限额进行分类管理：（一）对于支付机构自主或委托合作机构以面对面方式完成身份核实的个人客户，以及支付机构仅以非面对面方式核实身份，但通过五个（含）以上合法安全的

9、外部渠道对身份基本信息完成多重交叉验证的个人客户，支付机构可为其开立综合类支付账户，支付账户余额可以用于消费、转账以及购买投资理财产品或服务；（二）对于支付机构仅以非面对面方式核实身份，且通过三个（含）以上、五个以下合法安全的外部渠道对身份基本信息完成多重交叉验证的个人客户，支付机构可为其开立消费类支付账户，支付账户余额仅可用于消费以及转账至客户本人同名银行账户；（三）支付机构应根据客户身份对同一客户开立的所有支付账户进行关联管理。个人客户拥有综合类支付账户的，其所有支付账户的余额付款交易（不包括支付账户向客户本人同名银行账户转账，下同）年累计应不超过20万元。个人客户仅拥有消费类支付账户的，

10、其所有支付账户的余额付款交易年累计应不超过10万元。超出限额的付款交易应通过客户的银行账户办理。第十七条 支付机构为客户办理银行账户向支付账户转账的，转出账户应仅限于支付账户客户本人同名银行借记账户；办理支付账户向银行借记账户转账的，转入账户应仅限于客户预先指定的一个本人同名银行借记账户。支付机构不得对支付账户向客户本人同名银行借记账户转账业务设置限额。支付机构应当建立客户本人同名银行账户审核制度和措施，在有效确认审核结果基础上办理相关业务。支付机构应当在网站公告客户本人同名银行账户的具体审核方式。第十八条 支付机构为单位客户提供转账服务的，对于单笔超过5万元的转账业务，应当要求单位客户注明付

11、款用途和事由，并提供付款依据或者相关证明文件，单位支付账户向同名单位银行结算账户转账的除外。第十九条 支付机构为客户办理本机构发行的预付卡向支付账户转账的，应当按照支付机构预付卡业务管理办法相关规定对预付卡转账至支付账户的余额单独管理，仅限其用于消费，不得通过转账、购买投资理财产品或服务等形式进行套现或者变相套现。第二十条 因交易取消（撤销）、退货、交易不成功或者投资理财产品赎回等原因需划回资金的，相应款项应当划回原扣款账户。第二十一条 支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性，不得篡改或者隐匿交易信息。交易信息包括但不限于下列内容：（一）交易渠道、受理终端

12、类型、交易类型、交易金额、交易时间，以及直接向客户提供商品或者服务的特约商户名称和按照国家与金融行业标准设置的商户类别码；（二）收付款客户名称，收付款支付账户账号或者银行账户的开户银行名称及账号；（三）付款客户的身份验证和交易授权信息；（四）有效追溯交易的标识；（五）单位客户单笔超过5万元的转账业务的付款用途和事由，及付款依据或者相关证明文件。第二十二条 支付机构对特约商户的拓展与管理、业务与风险管理措施应当按照银行卡收单业务管理办法等相关规定执行。第四章 风险管理与客户权益保护第二十三条 支付机构网络支付业务相关系统设施和相关产品运用的具体技术，应当持续符合国家、金融行业标准和相关信息安全管

13、理要求。网络支付业务相关产品运用的技术尚未形成国家、金融行业标准的，支付机构应当全额承担该产品相关风险损失。第二十四条 支付机构应当在境内拥有并运营独立、安全、规范的网络支付业务处理系统及其备份系统。支付机构为境内交易提供服务的，应当通过境内业务处理系统为其办理网络支付业务，并在境内完成资金结算。第二十五条 支付机构应当综合客户身份核实方式、交易行为特征、资信状况等因素，建立客户风险评级管理制度，并动态调整客户风险评级。第二十六条 支付机构应当根据客户支付指令验证方式、客户风险评级、交易类型、交易金额、交易渠道、受理终端类型、商户类别等因素，建立交易风险管理制度和交易监测系统，对疑似套现、欺诈

14、、非法融资、洗钱、恐怖融资等交易，及时采取调查核实、延迟结算、终止服务等风险管理措施；发现涉嫌违法犯罪的，应当及时向公安机关报案，同时向中国人民银行及其分支机构报告。第二十七条 支付机构可以组合选用下列三类要素，对客户使用支付账户余额付款的支付指令进行验证：（一）仅客户本人知悉的要素，如静态密码等；（二）仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等；（三）客户本人生理特征要素，如指纹等。支付机构应当确保采用的要素相互独立，即部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。第二十八条 支付机构应根据支付指

15、令验证方式的安全级别，对个人客户使用支付账户余额付款的交易进行限额管理。支付机构采用包括数字证书或电子签名在内的两类（含）以上要素进行验证的交易，单日累计限额由支付机构与客户通过协议自主约定；支付机构采用不包括数字证书、电子签名在内的两类（含）以上要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过5000元（不包括支付账户向客户本人同名银行账户转账，下同）；支付机构采用不足两类要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过1000元，且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。第二十九条 支付机构采用数字证书、电子签名作为验证要素的，应当通过符合相关技术

16、安全标准、具有数据安全存储和运算能力的硬件载体对数字证书及生成电子签名的过程进行保护，确保数字证书的唯一性、完整性及交易的不可抵赖性。支付机构采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。支付机构采用客户本人生理特征作为验证要素的，应通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体进行保护，防止被非法存储、复制或重放。第三十条 支付机构应当每年对交易和信息安全管理制度、业务处理系统、交易监测系统等风险防控机制开展全面评估。评估应由不以任何方式参与网络支付服务开发或者运营的专业人员进行。评估报告应于每年1月31日前在网站对外公告。第三十一条