《非銀行支付機構網路支付業務管理辦法》是為規範非銀行支付機構(以下簡稱支付機構)網路支付業務,防範支付風險,保護當事人合法權益,根據《中華人民共和國中國人民銀行法》、《非金融機構支付服務管理辦法》等規定製定。由中國人民銀行於2015年12月28日發布,自2016年7月1日起施行。
基本介紹
- 中文名:非銀行支付機構網路支付業務管理辦法
- 外文名:Non bank payment institutions online payment service management approach
- 發布機構:中國人民銀行
- 發布時間:2015年12月28日
- 實施時間:2016年7月1日
發布信息,政策全文,政策解讀,
發布信息
中國人民銀行公告[2015]第43號
為規範非銀行支付機構網路支付業務,防範支付風險,保護當事人合法權益,中國人民銀行制定了《非銀行支付機構網路支付業務管理辦法》,現予發布實施。
中國人民銀行
2015年12月28日
2015年12月28日
政策全文
第一章 總則
第一條 為規範非銀行支付機構[以下簡稱支付機構]網路支付業務,防範支付風險,保護當事人合法權益,根據《中華人民共和國中國人民銀行法》、《非金融機構支付服務管理辦法》[中國人民銀行令〔2010〕第2號發布]等規定,制定本辦法。
第二條 支付機構從事網路支付業務,適用本辦法。本辦法所稱支付機構是指依法取得《支付業務許可證》,獲準辦理網際網路支付、行動電話支付、固定電話支付、數位電視支付等網路支付業務的非銀行機構。本辦法所稱網路支付業務,是指收款人或付款人通過計算機、移動終端等電子設備,依託公共網路信息系統遠程發起支付指令,且付款人電子設備不與收款人特定專屬設備互動,由支付機構為收付款人提供貨幣資金轉移服務的活動。本辦法所稱收款人特定專屬設備,是指專門用於交易收款,在交易過程中與支付機構業務系統互動並參與生成、傳輸、處理支付指令的電子設備。
第三條 支付機構應當遵循主要服務電子商務發展和為社會提供小額、快捷、便民小微支付服務的宗旨,基於客戶的銀行賬戶或者按照本辦法規定為客戶開立支付賬戶提供網路支付服務。本辦法所稱支付賬戶,是指獲得網際網路支付業務許可的支付機構,根據客戶的真實意願為其開立的,用於記錄預付交易資金餘額、客戶憑以發起支付指令、反映交易明細信息的電子簿記。支付賬戶不得透支,不得出借、出租、出售,不得利用支付賬戶從事或者協助他人從事非法活動。
第四條 支付機構基於銀行卡為客戶提供網路支付服務的,應當執行銀行卡業務相關監管規定和銀行卡行業規範。支付機構對特約商戶的拓展與管理、業務與風險管理應當執行《銀行卡收單業務管理辦法》[中國人民銀行公告〔2013〕第9號公布]等相關規定。支付機構網路支付服務涉及跨境人民幣結算和外匯支付的,應當執行中國人民銀行、國家外匯管理局相關規定。支付機構應當依法維護當事人合法權益,遵守反洗錢和反恐怖融資相關規定,履行反洗錢和反恐怖融資義務。
第五條 支付機構依照中國人民銀行有關規定接受分類評價,並執行相應的分類監管措施。
第二條 支付機構從事網路支付業務,適用本辦法。本辦法所稱支付機構是指依法取得《支付業務許可證》,獲準辦理網際網路支付、行動電話支付、固定電話支付、數位電視支付等網路支付業務的非銀行機構。本辦法所稱網路支付業務,是指收款人或付款人通過計算機、移動終端等電子設備,依託公共網路信息系統遠程發起支付指令,且付款人電子設備不與收款人特定專屬設備互動,由支付機構為收付款人提供貨幣資金轉移服務的活動。本辦法所稱收款人特定專屬設備,是指專門用於交易收款,在交易過程中與支付機構業務系統互動並參與生成、傳輸、處理支付指令的電子設備。
第三條 支付機構應當遵循主要服務電子商務發展和為社會提供小額、快捷、便民小微支付服務的宗旨,基於客戶的銀行賬戶或者按照本辦法規定為客戶開立支付賬戶提供網路支付服務。本辦法所稱支付賬戶,是指獲得網際網路支付業務許可的支付機構,根據客戶的真實意願為其開立的,用於記錄預付交易資金餘額、客戶憑以發起支付指令、反映交易明細信息的電子簿記。支付賬戶不得透支,不得出借、出租、出售,不得利用支付賬戶從事或者協助他人從事非法活動。
第四條 支付機構基於銀行卡為客戶提供網路支付服務的,應當執行銀行卡業務相關監管規定和銀行卡行業規範。支付機構對特約商戶的拓展與管理、業務與風險管理應當執行《銀行卡收單業務管理辦法》[中國人民銀行公告〔2013〕第9號公布]等相關規定。支付機構網路支付服務涉及跨境人民幣結算和外匯支付的,應當執行中國人民銀行、國家外匯管理局相關規定。支付機構應當依法維護當事人合法權益,遵守反洗錢和反恐怖融資相關規定,履行反洗錢和反恐怖融資義務。
第五條 支付機構依照中國人民銀行有關規定接受分類評價,並執行相應的分類監管措施。
第二章 客戶管理
第六條 支付機構應當遵循“了解你的客戶”原則,建立健全客戶身份識別機制。支付機構為客戶開立支付賬戶的,應當對客戶實行實名制管理,登記並採取有效措施驗證客戶身份基本信息,按規定核對有效身份證件並留存有效身份證件複印件或者影印件,建立客戶唯一識別編碼,並在與客戶業務關係存續期間採取持續的身份識別措施,確保有效核實客戶身份及其真實意願,不得開立匿名、假名支付賬戶。
第七條 支付機構應當與客戶簽訂服務協定,約定雙方責任、權利和義務,至少明確業務規則[包括但不限於業務功能和流程、身份識別和交易驗證方式、資金結算方式等],收費項目和標準,查詢、差錯爭議及投訴等服務流程和規則,業務風險和非法活動防範及處置措施,客戶損失責任劃分和賠付規則等內容。支付機構為客戶開立支付賬戶的,還應在服務協定中以顯著方式告知客戶,並採取有效方式確認客戶充分知曉並清晰理解下列內容:“支付賬戶所記錄的資金餘額不同於客戶本人的銀行存款,不受《存款保險條例》保護,其實質為客戶委託支付機構保管的、所有權歸屬於客戶的預付價值。該預付價值對應的貨幣資金雖然屬於客戶,但不以客戶本人名義存放在銀行,而是以支付機構名義存放在銀行,並且由支付機構向銀行發起資金調撥指令。”支付機構應當確保協定內容清晰、易懂,並以顯著方式提示客戶注意與其有重大利害關係的事項。
第八條 獲得網際網路支付業務許可的支付機構,經客戶主動提出申請,可為其開立支付賬戶;僅獲得行動電話支付、固定電話支付、數位電視支付業務許可的支付機構,不得為客戶開立支付賬戶。支付機構不得為金融機構,以及從事信貸、融資、理財、擔保、信託、貨幣兌換等金融業務的其他機構開立支付賬戶。
第七條 支付機構應當與客戶簽訂服務協定,約定雙方責任、權利和義務,至少明確業務規則[包括但不限於業務功能和流程、身份識別和交易驗證方式、資金結算方式等],收費項目和標準,查詢、差錯爭議及投訴等服務流程和規則,業務風險和非法活動防範及處置措施,客戶損失責任劃分和賠付規則等內容。支付機構為客戶開立支付賬戶的,還應在服務協定中以顯著方式告知客戶,並採取有效方式確認客戶充分知曉並清晰理解下列內容:“支付賬戶所記錄的資金餘額不同於客戶本人的銀行存款,不受《存款保險條例》保護,其實質為客戶委託支付機構保管的、所有權歸屬於客戶的預付價值。該預付價值對應的貨幣資金雖然屬於客戶,但不以客戶本人名義存放在銀行,而是以支付機構名義存放在銀行,並且由支付機構向銀行發起資金調撥指令。”支付機構應當確保協定內容清晰、易懂,並以顯著方式提示客戶注意與其有重大利害關係的事項。
第八條 獲得網際網路支付業務許可的支付機構,經客戶主動提出申請,可為其開立支付賬戶;僅獲得行動電話支付、固定電話支付、數位電視支付業務許可的支付機構,不得為客戶開立支付賬戶。支付機構不得為金融機構,以及從事信貸、融資、理財、擔保、信託、貨幣兌換等金融業務的其他機構開立支付賬戶。
第三章 業務管理
第九條 支付機構不得經營或者變相經營證券、保險、信貸、融資、理財、擔保、信託、貨幣兌換、現金存取等業務。
第十條 支付機構向客戶開戶銀行傳送支付指令,扣劃客戶銀行賬戶資金的,支付機構和銀行應當執行下列要求:[一]支付機構應當事先或在首筆交易時自主識別客戶身份並分別取得客戶和銀行的協定授權,同意其向客戶的銀行賬戶發起支付指令扣劃資金;[二]銀行應當事先或在首筆交易時自主識別客戶身份並與客戶直接簽訂授權協定,明確約定扣款適用範圍和交易驗證方式,設立與客戶風險承受能力相匹配的單筆和單日累計交易限額,承諾無條件全額承擔此類交易的風險損失先行賠付責任;[三]除單筆金額不超過200元的小額支付業務,公共事業繳費、稅費繳納、信用卡還款等收款人固定並且定期發生的支付業務,以及符合第三十七條規定的情形以外,支付機構不得代替銀行進行交易驗證。
第十一條 支付機構應根據客戶身份對同一客戶在本機構開立的所有支付賬戶進行關聯管理,並按照下列要求對個人支付賬戶進行分類管理:[一]對於以非面對面方式通過至少一個合法安全的外部渠道進行身份基本信息驗證,且為首次在本機構開立支付賬戶的個人客戶,支付機構可以為其開立Ⅰ類支付賬戶,賬戶餘額僅可用於消費和轉賬,餘額付款交易自賬戶開立起累計不超過1000元[包括支付賬戶向客戶本人同名銀行賬戶轉賬];[二]對於支付機構自主或委託合作機構以面對面方式核實身份的個人客戶,或以非面對面方式通過至少三個合法安全的外部渠道進行身份基本信息多重交叉驗證的個人客戶,支付機構可以為其開立Ⅱ類支付賬戶,賬戶餘額僅可用於消費和轉賬,其所有支付賬戶的餘額付款交易年累計不超過10萬元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬];[三]對於支付機構自主或委託合作機構以面對面方式核實身份的個人客戶,或以非面對面方式通過至少五個合法安全的外部渠道進行身份基本信息多重交叉驗證的個人客戶,支付機構可以為其開立Ⅲ類支付賬戶,賬戶餘額可以用於消費、轉賬以及購買投資理財等金融類產品,其所有支付賬戶的餘額付款交易年累計不超過20萬元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬]。客戶身份基本信息外部驗證渠道包括但不限於政府部門資料庫、商業銀行信息系統、商業化資料庫等。其中,通過商業銀行驗證個人客戶身份基本信息的,應為Ⅰ類銀行賬戶或信用卡。
第十二條 支付機構辦理銀行賬戶與支付賬戶之間轉賬業務的,相關銀行賬戶與支付賬戶應屬於同一客戶。支付機構應按照與客戶的約定及時辦理支付賬戶向客戶本人銀行賬戶轉賬業務,不得對Ⅱ類、Ⅲ類支付賬戶向客戶本人銀行賬戶轉賬設定限額。
第十三條 支付機構為客戶辦理本機構發行的預付卡向支付賬戶轉賬的,應當按照《支付機構預付卡業務管理辦法》[中國人民銀行公告〔2012〕第12號公布]相關規定對預付卡轉賬至支付賬戶的餘額單獨管理,僅限其用於消費,不得通過轉賬、購買投資理財等金融類產品等形式進行套現或者變相套現。
第十四條 支付機構應當確保交易信息的真實性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隱匿交易信息。交易信息包括但不限於下列內容:[一]交易渠道、交易終端或接口類型、交易類型、交易金額、交易時間,以及直接向客戶提供商品或者服務的特約商戶名稱、編碼和按照國家與金融行業標準設定的商戶類別碼;[二]收付款客戶名稱,收付款支付賬戶賬號或者銀行賬戶的開戶銀行名稱及賬號;[三]付款客戶的身份驗證和交易授權信息;[四]有效追溯交易的標識;[五]單位客戶單筆超過5萬元的轉賬業務的付款用途和事由。
第十五條 因交易取消[撤銷]、退貨、交易不成功或者投資理財等金融類產品贖回等原因需劃回資金的,相應款項應當劃回原扣款賬戶。
第十六條 對於客戶的網路支付業務操作行為,支付機構應當在確認客戶身份及真實意願後及時辦理,並在操作生效之日起至少五年內,真實、完整保存操作記錄。客戶操作行為包括但不限於登錄和註銷登錄、身份識別和交易驗證、變更身份信息和聯繫方式、調整業務功能、調整交易限額、變更資金收付方式,以及變更或掛失密碼、數字證書、電子簽名等。
第十條 支付機構向客戶開戶銀行傳送支付指令,扣劃客戶銀行賬戶資金的,支付機構和銀行應當執行下列要求:[一]支付機構應當事先或在首筆交易時自主識別客戶身份並分別取得客戶和銀行的協定授權,同意其向客戶的銀行賬戶發起支付指令扣劃資金;[二]銀行應當事先或在首筆交易時自主識別客戶身份並與客戶直接簽訂授權協定,明確約定扣款適用範圍和交易驗證方式,設立與客戶風險承受能力相匹配的單筆和單日累計交易限額,承諾無條件全額承擔此類交易的風險損失先行賠付責任;[三]除單筆金額不超過200元的小額支付業務,公共事業繳費、稅費繳納、信用卡還款等收款人固定並且定期發生的支付業務,以及符合第三十七條規定的情形以外,支付機構不得代替銀行進行交易驗證。
第十一條 支付機構應根據客戶身份對同一客戶在本機構開立的所有支付賬戶進行關聯管理,並按照下列要求對個人支付賬戶進行分類管理:[一]對於以非面對面方式通過至少一個合法安全的外部渠道進行身份基本信息驗證,且為首次在本機構開立支付賬戶的個人客戶,支付機構可以為其開立Ⅰ類支付賬戶,賬戶餘額僅可用於消費和轉賬,餘額付款交易自賬戶開立起累計不超過1000元[包括支付賬戶向客戶本人同名銀行賬戶轉賬];[二]對於支付機構自主或委託合作機構以面對面方式核實身份的個人客戶,或以非面對面方式通過至少三個合法安全的外部渠道進行身份基本信息多重交叉驗證的個人客戶,支付機構可以為其開立Ⅱ類支付賬戶,賬戶餘額僅可用於消費和轉賬,其所有支付賬戶的餘額付款交易年累計不超過10萬元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬];[三]對於支付機構自主或委託合作機構以面對面方式核實身份的個人客戶,或以非面對面方式通過至少五個合法安全的外部渠道進行身份基本信息多重交叉驗證的個人客戶,支付機構可以為其開立Ⅲ類支付賬戶,賬戶餘額可以用於消費、轉賬以及購買投資理財等金融類產品,其所有支付賬戶的餘額付款交易年累計不超過20萬元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬]。客戶身份基本信息外部驗證渠道包括但不限於政府部門資料庫、商業銀行信息系統、商業化資料庫等。其中,通過商業銀行驗證個人客戶身份基本信息的,應為Ⅰ類銀行賬戶或信用卡。
第十二條 支付機構辦理銀行賬戶與支付賬戶之間轉賬業務的,相關銀行賬戶與支付賬戶應屬於同一客戶。支付機構應按照與客戶的約定及時辦理支付賬戶向客戶本人銀行賬戶轉賬業務,不得對Ⅱ類、Ⅲ類支付賬戶向客戶本人銀行賬戶轉賬設定限額。
第十三條 支付機構為客戶辦理本機構發行的預付卡向支付賬戶轉賬的,應當按照《支付機構預付卡業務管理辦法》[中國人民銀行公告〔2012〕第12號公布]相關規定對預付卡轉賬至支付賬戶的餘額單獨管理,僅限其用於消費,不得通過轉賬、購買投資理財等金融類產品等形式進行套現或者變相套現。
第十四條 支付機構應當確保交易信息的真實性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隱匿交易信息。交易信息包括但不限於下列內容:[一]交易渠道、交易終端或接口類型、交易類型、交易金額、交易時間,以及直接向客戶提供商品或者服務的特約商戶名稱、編碼和按照國家與金融行業標準設定的商戶類別碼;[二]收付款客戶名稱,收付款支付賬戶賬號或者銀行賬戶的開戶銀行名稱及賬號;[三]付款客戶的身份驗證和交易授權信息;[四]有效追溯交易的標識;[五]單位客戶單筆超過5萬元的轉賬業務的付款用途和事由。
第十五條 因交易取消[撤銷]、退貨、交易不成功或者投資理財等金融類產品贖回等原因需劃回資金的,相應款項應當劃回原扣款賬戶。
第十六條 對於客戶的網路支付業務操作行為,支付機構應當在確認客戶身份及真實意願後及時辦理,並在操作生效之日起至少五年內,真實、完整保存操作記錄。客戶操作行為包括但不限於登錄和註銷登錄、身份識別和交易驗證、變更身份信息和聯繫方式、調整業務功能、調整交易限額、變更資金收付方式,以及變更或掛失密碼、數字證書、電子簽名等。
第四章 風險管理與客戶權益保護
第十七條 支付機構應當綜合客戶類型、身份核實方式、交易行為特徵、資信狀況等因素,建立客戶風險評級管理制度和機制,並動態調整客戶風險評級及相關風險控制措施。支付機構應當根據客戶風險評級、交易驗證方式、交易渠道、交易終端或接口類型、交易類型、交易金額、交易時間、商戶類別等因素,建立交易風險管理制度和交易監測系統,對疑似欺詐、套現、洗錢、非法融資、恐怖融資等交易,及時採取調查核實、延遲結算、終止服務等措施。
第十八條 支付機構應當向客戶充分提示網路支付業務的潛在風險,及時揭示不法分子新型作案手段,對客戶進行必要的安全教育,並對高風險業務在操作前、操作中進行風險警示。支付機構為客戶購買合作機構的金融類產品提供網路支付服務的,應當確保合作機構為取得相應經營資質並依法開展業務的機構,並在首次購買時向客戶展示合作機構信息和產品信息,充分提示相關責任、權利、義務及潛在風險,協助客戶與合作機構完成協定簽訂。
第十九條 支付機構應當建立健全風險準備金制度和交易賠付制度,並對不能有效證明因客戶原因導致的資金損失及時先行全額賠付,保障客戶合法權益。支付機構應於每年1月31日前,將前一年度發生的風險事件、客戶風險損失發生和賠付等情況在網站對外公告。支付機構應在年度監管報告中如實反映上述內容和風險準備金計提、使用及結餘等情況。
第二十條 支付機構應當依照中國人民銀行有關客戶信息保護的規定,制定有效的客戶信息保護措施和風險控制機制,履行客戶信息保護責任。支付機構不得存儲客戶銀行卡的磁軌信息或晶片信息、驗證碼、密碼等敏感信息,原則上不得存儲銀行卡有效期。因特殊業務需要,支付機構確需存儲客戶銀行卡有效期的,應當取得客戶和開戶銀行的授權,以加密形式存儲。支付機構應當以“最小化”原則採集、使用、存儲和傳輸客戶信息,並告知客戶相關信息的使用目的和範圍。支付機構不得向其他機構或個人提供客戶信息,法律法規另有規定,以及經客戶本人逐項確認並授權的除外。
第二十一條 支付機構應當通過協定約定禁止特約商戶存儲客戶銀行卡的磁軌信息或晶片信息、驗證碼、有效期、密碼等敏感信息,並採取定期檢查、技術監測等必要監督措施。特約商戶違反協定約定存儲上述敏感信息的,支付機構應當立即暫停或者終止為其提供網路支付服務,採取有效措施刪除敏感信息、防止信息泄露,並依法承擔因相關信息泄露造成的損失和責任。
第二十二條 支付機構可以組合選用下列三類要素,對客戶使用支付賬戶餘額付款的交易進行驗證:[一]僅客戶本人知悉的要素,如靜態密碼等;[二]僅客戶本人持有並特有的,不可複製或者不可重複利用的要素,如經過安全認證的數字證書、電子簽名,以及通過安全渠道生成和傳輸的一次性密碼等;[三]客戶本人生理特徵要素,如指紋等。支付機構應當確保採用的要素相互獨立,部分要素的損壞或者泄露不應導致其他要素損壞或者泄露。
第二十三條 支付機構採用數字證書、電子簽名作為驗證要素的,數字證書及生成電子簽名的過程應符合《中華人民共和國電子簽名法》、《金融電子認證規範》[JR/T0118-2015]等有關規定,確保數字證書的唯一性、完整性及交易的不可抵賴性。支付機構採用一次性密碼作為驗證要素的,應當切實防範一次性密碼獲取端與支付指令發起端為相同物理設備而帶來的風險,並將一次性密碼有效期嚴格限制在最短的必要時間內。支付機構採用客戶本人生理特徵作為驗證要素的,應當符合國家、金融行業標準和相關信息安全管理要求,防止被非法存儲、複製或重放。
第二十四條 支付機構應根據交易驗證方式的安全級別,按照下列要求對個人客戶使用支付賬戶餘額付款的交易進行限額管理:[一]支付機構採用包括數字證書或電子簽名在內的兩類[含]以上有效要素進行驗證的交易,單日累計限額由支付機構與客戶通過協定自主約定;[二]支付機構採用不包括數字證書、電子簽名在內的兩類[含]以上有效要素進行驗證的交易,單個客戶所有支付賬戶單日累計金額應不超過5000元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬];[三]支付機構採用不足兩類有效要素進行驗證的交易,單個客戶所有支付賬戶單日累計金額應不超過1000元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬],且支付機構應當承諾無條件全額承擔此類交易的風險損失賠付責任。
第二十五條 支付機構網路支付業務相關係統設施和技術,應當持續符合國家、金融行業標準和相關信息安全管理要求。如未符合相關標準和要求,或者尚未形成國家、金融行業標準,支付機構應當無條件全額承擔客戶直接風險損失的先行賠付責任。
第二十六條 支付機構應當在境內擁有安全、規範的網路支付業務處理系統及其備份系統,制定突發事件應急預案,保障系統安全性和業務連續性。支付機構為境內交易提供服務的,應當通過境內業務處理系統完成交易處理,並在境內完成資金結算。
第二十七條 支付機構應當採取有效措施,確保客戶在執行支付指令前可對收付款客戶名稱和賬號、交易金額等交易信息進行確認,並在支付指令完成後及時將結果通知客戶。因交易逾時、無回響或者系統故障導致支付指令無法正常處理的,支付機構應當及時提示客戶;因客戶原因造成支付指令未執行、未適當執行、延遲執行的,支付機構應當主動通知客戶更改或者協助客戶採取補救措施。
第二十八條 支付機構應當通過具有合法獨立域名的網站和統一的服務電話等渠道,為客戶免費提供至少最近一年以內交易信息查詢服務,並建立健全差錯爭議和糾紛投訴處理制度,配備專業部門和人員據實、準確、及時處理交易差錯和客戶投訴。支付機構應當告知客戶相關服務的正確獲取途徑,指導客戶有效辨識服務渠道的真實性。支付機構應當於每年1月31日前,將前一年度發生的客戶投訴數量和類型、處理完畢的投訴占比、投訴處理速度等情況在網站對外公告。
第二十九條 支付機構應當充分尊重客戶自主選擇權,不得強迫客戶使用本機構提供的支付服務,不得阻礙客戶使用其他機構提供的支付服務。支付機構應當公平展示客戶可選用的各種資金收付方式,不得以任何形式誘導、強迫客戶開立支付賬戶或者通過支付賬戶辦理資金收付,不得附加不合理條件。
第三十條 支付機構因系統升級、調試等原因,需暫停網路支付服務的,應當至少提前5個工作日予以公告。支付機構變更協定條款、提高服務收費標準或者新設收費項目的,應當於實施之前在網站等服務渠道以顯著方式連續公示30日,並於客戶首次辦理相關業務前確認客戶知悉且接受擬調整的全部詳細內容。
第十八條 支付機構應當向客戶充分提示網路支付業務的潛在風險,及時揭示不法分子新型作案手段,對客戶進行必要的安全教育,並對高風險業務在操作前、操作中進行風險警示。支付機構為客戶購買合作機構的金融類產品提供網路支付服務的,應當確保合作機構為取得相應經營資質並依法開展業務的機構,並在首次購買時向客戶展示合作機構信息和產品信息,充分提示相關責任、權利、義務及潛在風險,協助客戶與合作機構完成協定簽訂。
第十九條 支付機構應當建立健全風險準備金制度和交易賠付制度,並對不能有效證明因客戶原因導致的資金損失及時先行全額賠付,保障客戶合法權益。支付機構應於每年1月31日前,將前一年度發生的風險事件、客戶風險損失發生和賠付等情況在網站對外公告。支付機構應在年度監管報告中如實反映上述內容和風險準備金計提、使用及結餘等情況。
第二十條 支付機構應當依照中國人民銀行有關客戶信息保護的規定,制定有效的客戶信息保護措施和風險控制機制,履行客戶信息保護責任。支付機構不得存儲客戶銀行卡的磁軌信息或晶片信息、驗證碼、密碼等敏感信息,原則上不得存儲銀行卡有效期。因特殊業務需要,支付機構確需存儲客戶銀行卡有效期的,應當取得客戶和開戶銀行的授權,以加密形式存儲。支付機構應當以“最小化”原則採集、使用、存儲和傳輸客戶信息,並告知客戶相關信息的使用目的和範圍。支付機構不得向其他機構或個人提供客戶信息,法律法規另有規定,以及經客戶本人逐項確認並授權的除外。
第二十一條 支付機構應當通過協定約定禁止特約商戶存儲客戶銀行卡的磁軌信息或晶片信息、驗證碼、有效期、密碼等敏感信息,並採取定期檢查、技術監測等必要監督措施。特約商戶違反協定約定存儲上述敏感信息的,支付機構應當立即暫停或者終止為其提供網路支付服務,採取有效措施刪除敏感信息、防止信息泄露,並依法承擔因相關信息泄露造成的損失和責任。
第二十二條 支付機構可以組合選用下列三類要素,對客戶使用支付賬戶餘額付款的交易進行驗證:[一]僅客戶本人知悉的要素,如靜態密碼等;[二]僅客戶本人持有並特有的,不可複製或者不可重複利用的要素,如經過安全認證的數字證書、電子簽名,以及通過安全渠道生成和傳輸的一次性密碼等;[三]客戶本人生理特徵要素,如指紋等。支付機構應當確保採用的要素相互獨立,部分要素的損壞或者泄露不應導致其他要素損壞或者泄露。
第二十三條 支付機構採用數字證書、電子簽名作為驗證要素的,數字證書及生成電子簽名的過程應符合《中華人民共和國電子簽名法》、《金融電子認證規範》[JR/T0118-2015]等有關規定,確保數字證書的唯一性、完整性及交易的不可抵賴性。支付機構採用一次性密碼作為驗證要素的,應當切實防範一次性密碼獲取端與支付指令發起端為相同物理設備而帶來的風險,並將一次性密碼有效期嚴格限制在最短的必要時間內。支付機構採用客戶本人生理特徵作為驗證要素的,應當符合國家、金融行業標準和相關信息安全管理要求,防止被非法存儲、複製或重放。
第二十四條 支付機構應根據交易驗證方式的安全級別,按照下列要求對個人客戶使用支付賬戶餘額付款的交易進行限額管理:[一]支付機構採用包括數字證書或電子簽名在內的兩類[含]以上有效要素進行驗證的交易,單日累計限額由支付機構與客戶通過協定自主約定;[二]支付機構採用不包括數字證書、電子簽名在內的兩類[含]以上有效要素進行驗證的交易,單個客戶所有支付賬戶單日累計金額應不超過5000元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬];[三]支付機構採用不足兩類有效要素進行驗證的交易,單個客戶所有支付賬戶單日累計金額應不超過1000元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬],且支付機構應當承諾無條件全額承擔此類交易的風險損失賠付責任。
第二十五條 支付機構網路支付業務相關係統設施和技術,應當持續符合國家、金融行業標準和相關信息安全管理要求。如未符合相關標準和要求,或者尚未形成國家、金融行業標準,支付機構應當無條件全額承擔客戶直接風險損失的先行賠付責任。
第二十六條 支付機構應當在境內擁有安全、規範的網路支付業務處理系統及其備份系統,制定突發事件應急預案,保障系統安全性和業務連續性。支付機構為境內交易提供服務的,應當通過境內業務處理系統完成交易處理,並在境內完成資金結算。
第二十七條 支付機構應當採取有效措施,確保客戶在執行支付指令前可對收付款客戶名稱和賬號、交易金額等交易信息進行確認,並在支付指令完成後及時將結果通知客戶。因交易逾時、無回響或者系統故障導致支付指令無法正常處理的,支付機構應當及時提示客戶;因客戶原因造成支付指令未執行、未適當執行、延遲執行的,支付機構應當主動通知客戶更改或者協助客戶採取補救措施。
第二十八條 支付機構應當通過具有合法獨立域名的網站和統一的服務電話等渠道,為客戶免費提供至少最近一年以內交易信息查詢服務,並建立健全差錯爭議和糾紛投訴處理制度,配備專業部門和人員據實、準確、及時處理交易差錯和客戶投訴。支付機構應當告知客戶相關服務的正確獲取途徑,指導客戶有效辨識服務渠道的真實性。支付機構應當於每年1月31日前,將前一年度發生的客戶投訴數量和類型、處理完畢的投訴占比、投訴處理速度等情況在網站對外公告。
第二十九條 支付機構應當充分尊重客戶自主選擇權,不得強迫客戶使用本機構提供的支付服務,不得阻礙客戶使用其他機構提供的支付服務。支付機構應當公平展示客戶可選用的各種資金收付方式,不得以任何形式誘導、強迫客戶開立支付賬戶或者通過支付賬戶辦理資金收付,不得附加不合理條件。
第三十條 支付機構因系統升級、調試等原因,需暫停網路支付服務的,應當至少提前5個工作日予以公告。支付機構變更協定條款、提高服務收費標準或者新設收費項目的,應當於實施之前在網站等服務渠道以顯著方式連續公示30日,並於客戶首次辦理相關業務前確認客戶知悉且接受擬調整的全部詳細內容。
第五章 監督管理
第三十一條 支付機構提供網路支付創新產品或者服務、停止提供產品或者服務、與境外機構合作在境內開展網路支付業務的,應當至少提前30日向法人所在地中國人民銀行分支機構報告。支付機構發生重大風險事件的,應當及時向法人所在地中國人民銀行分支機構報告;發現涉嫌違法犯罪的,同時報告公安機關。
第三十二條 中國人民銀行可以結合支付機構的企業資質、風險管控特別是客戶備付金管理等因素,確立支付機構分類監管指標體系,建立持續分類評價工作機制,並對支付機構實施動態分類管理。具體辦法由中國人民銀行另行制定。
第三十三條 評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構,可以採用能夠切實落實實名制要求的其他客戶身份核實方法,經法人所在地中國人民銀行分支機構評估認可並向中國人民銀行備案後實施。
第三十四條 評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構,可以對從事電子商務經營活動、不具備工商登記註冊條件且相關法律法規允許不進行工商登記註冊的個人客戶[以下簡稱個人賣家]參照單位客戶管理,但應建立持續監測電子商務經營活動、對個人賣家實施動態管理的有效機制,並向法人所在地中國人民銀行分支機構備案。支付機構參照單位客戶管理的個人賣家,應至少符合下列條件:[一]相關電子商務交易平台已依照相關法律法規對其真實身份信息進行審查和登記,與其簽訂登記協定,建立登記檔案並定期核實更新,核發證明個人身份信息真實合法的標記,載入在其從事電子商務經營活動的主頁面醒目位置;[二]支付機構已按照開立Ⅲ類個人支付賬戶的標準對其完成身份核實;[三]持續從事電子商務經營活動滿6個月,且期間使用支付賬戶收取的經營收入累計超過20萬元。
第三十五條 評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構,對於已經實名確認、達到實名制管理要求的支付賬戶,在辦理第十二條第一款所述轉賬業務時,相關銀行賬戶與支付賬戶可以不屬於同一客戶。但支付機構應在交易中向銀行準確、完整傳送交易渠道、交易終端或接口類型、交易類型、收付款客戶名稱和賬號等交易信息。
第三十六條 評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構,可以將達到實名制管理要求的Ⅱ類、Ⅲ類支付賬戶的餘額付款單日累計限額,提高至第二十四條規定的2倍。評定為“B”類及以上,且Ⅱ類、Ⅲ類支付賬戶實名比例超過90%的支付機構,可以將達到實名制管理要求的Ⅱ類、Ⅲ類支付賬戶的餘額付款單日累計限額,提高至第二十四條規定的1.5倍。
第三十七條 評定為“A”類的支付機構按照第十條規定辦理相關業務時,可以與銀行根據業務需要,通過協定自主約定由支付機構代替進行交易驗證的情形,但支付機構應在交易中向銀行完整、準確傳送交易渠道、交易終端或接口類型、交易類型、商戶名稱、商戶編碼、商戶類別碼、收付款客戶名稱和賬號等交易信息;銀行應核實支付機構驗證手段或渠道的安全性,且對客戶資金安全的管理責任不因支付機構代替驗證而轉移。
第三十八條 對於評定為“C”類及以下、支付賬戶實名比例較低、對零售支付體系或社會公眾非現金支付信心產生重大影響的支付機構,中國人民銀行及其分支機構可以在第十九條、第二十八條等規定的基礎上適度提高公開披露相關信息的要求,並加強非現場監管和現場檢查。
第三十九條 中國人民銀行及其分支機構對照上述分類管理措施相應條件,動態確定支付機構適用的監管規定並持續監管。支付機構分類評定結果和支付賬戶實名比例不符合上述分類管理措施相應條件的,應嚴格按照第十條、第十一條、第十二條及第二十四條等相關規定執行。中國人民銀行及其分支機構可以根據社會經濟發展情況和支付機構分類管理需要,對支付機構網路支付業務範圍、模式、功能、限額及業務創新等相關管理措施進行適時調整。
第四十條 支付機構應當加入中國支付清算協會,接受行業自律組織管理。中國支付清算協會應當根據本辦法制定網路支付業務行業自律規範,建立自律審查機制,向中國人民銀行備案後組織實施。自律規範應包括支付機構與客戶簽訂協定的範本,明確協定應記載和不得記載事項,還應包括支付機構披露有關信息的具體內容和標準格式。中國支付清算協會應當建立信用承諾制度,要求支付機構以標準格式向社會公開承諾依法合規開展網路支付業務、保障客戶信息安全和資金安全、維護客戶合法權益、如違法違規自願接受約束和處罰。
第三十二條 中國人民銀行可以結合支付機構的企業資質、風險管控特別是客戶備付金管理等因素,確立支付機構分類監管指標體系,建立持續分類評價工作機制,並對支付機構實施動態分類管理。具體辦法由中國人民銀行另行制定。
第三十三條 評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構,可以採用能夠切實落實實名制要求的其他客戶身份核實方法,經法人所在地中國人民銀行分支機構評估認可並向中國人民銀行備案後實施。
第三十四條 評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構,可以對從事電子商務經營活動、不具備工商登記註冊條件且相關法律法規允許不進行工商登記註冊的個人客戶[以下簡稱個人賣家]參照單位客戶管理,但應建立持續監測電子商務經營活動、對個人賣家實施動態管理的有效機制,並向法人所在地中國人民銀行分支機構備案。支付機構參照單位客戶管理的個人賣家,應至少符合下列條件:[一]相關電子商務交易平台已依照相關法律法規對其真實身份信息進行審查和登記,與其簽訂登記協定,建立登記檔案並定期核實更新,核發證明個人身份信息真實合法的標記,載入在其從事電子商務經營活動的主頁面醒目位置;[二]支付機構已按照開立Ⅲ類個人支付賬戶的標準對其完成身份核實;[三]持續從事電子商務經營活動滿6個月,且期間使用支付賬戶收取的經營收入累計超過20萬元。
第三十五條 評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構,對於已經實名確認、達到實名制管理要求的支付賬戶,在辦理第十二條第一款所述轉賬業務時,相關銀行賬戶與支付賬戶可以不屬於同一客戶。但支付機構應在交易中向銀行準確、完整傳送交易渠道、交易終端或接口類型、交易類型、收付款客戶名稱和賬號等交易信息。
第三十六條 評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構,可以將達到實名制管理要求的Ⅱ類、Ⅲ類支付賬戶的餘額付款單日累計限額,提高至第二十四條規定的2倍。評定為“B”類及以上,且Ⅱ類、Ⅲ類支付賬戶實名比例超過90%的支付機構,可以將達到實名制管理要求的Ⅱ類、Ⅲ類支付賬戶的餘額付款單日累計限額,提高至第二十四條規定的1.5倍。
第三十七條 評定為“A”類的支付機構按照第十條規定辦理相關業務時,可以與銀行根據業務需要,通過協定自主約定由支付機構代替進行交易驗證的情形,但支付機構應在交易中向銀行完整、準確傳送交易渠道、交易終端或接口類型、交易類型、商戶名稱、商戶編碼、商戶類別碼、收付款客戶名稱和賬號等交易信息;銀行應核實支付機構驗證手段或渠道的安全性,且對客戶資金安全的管理責任不因支付機構代替驗證而轉移。
第三十八條 對於評定為“C”類及以下、支付賬戶實名比例較低、對零售支付體系或社會公眾非現金支付信心產生重大影響的支付機構,中國人民銀行及其分支機構可以在第十九條、第二十八條等規定的基礎上適度提高公開披露相關信息的要求,並加強非現場監管和現場檢查。
第三十九條 中國人民銀行及其分支機構對照上述分類管理措施相應條件,動態確定支付機構適用的監管規定並持續監管。支付機構分類評定結果和支付賬戶實名比例不符合上述分類管理措施相應條件的,應嚴格按照第十條、第十一條、第十二條及第二十四條等相關規定執行。中國人民銀行及其分支機構可以根據社會經濟發展情況和支付機構分類管理需要,對支付機構網路支付業務範圍、模式、功能、限額及業務創新等相關管理措施進行適時調整。
第四十條 支付機構應當加入中國支付清算協會,接受行業自律組織管理。中國支付清算協會應當根據本辦法制定網路支付業務行業自律規範,建立自律審查機制,向中國人民銀行備案後組織實施。自律規範應包括支付機構與客戶簽訂協定的範本,明確協定應記載和不得記載事項,還應包括支付機構披露有關信息的具體內容和標準格式。中國支付清算協會應當建立信用承諾制度,要求支付機構以標準格式向社會公開承諾依法合規開展網路支付業務、保障客戶信息安全和資金安全、維護客戶合法權益、如違法違規自願接受約束和處罰。
第六章 法律責任
第四十一條 支付機構從事網路支付業務有下列情形之一的,中國人民銀行及其分支機構依據《非金融機構支付服務管理辦法》第四十二條的規定進行處理:[一]未按規定建立客戶實名制管理、支付賬戶開立與使用、差錯爭議和糾紛投訴處理、風險準備金和交易賠付、應急預案等管理制度的;[二]未按規定建立客戶風險評級管理、支付賬戶功能與限額管理、客戶支付指令驗證管理、交易和信息安全管理、交易監測系統等風險控制機制的,未按規定對支付業務採取有效風險控制措施的;[三]未按規定進行風險提示、公開披露相關信息的;[四]未按規定履行報告義務的。
第四十二條 支付機構從事網路支付業務有下列情形之一的,中國人民銀行及其分支機構依據《非金融機構支付服務管理辦法》第四十三條的規定進行處理;情節嚴重的,中國人民銀行及其分支機構依據《中華人民共和國中國人民銀行法》第四十六條的規定進行處理:[一]不符合支付機構支付業務系統設施有關要求的;[二]不符合國家、金融行業標準和相關信息安全管理要求的,採用數字證書、電子簽名不符合《中華人民共和國電子簽名法》、《金融電子認證規範》等規定的;[三]為非法交易、虛假交易提供支付服務,發現客戶疑似或者涉嫌違法違規行為未按規定採取有效措施的;[四]未按規定採取客戶支付指令驗證措施的;[五]未真實、完整、準確反映網路支付交易信息,篡改或者隱匿交易信息的;[六]未按規定處理客戶信息,或者未履行客戶信息保密義務,造成信息泄露隱患或者導致信息泄露的;[七]妨礙客戶自主選擇支付服務提供主體或資金收付方式的;[八]公開披露虛假信息的;[九]違規開立支付賬戶,或擅自經營金融業務活動的。
第四十三條 支付機構違反反洗錢和反恐怖融資規定的,依據國家有關法律法規進行處理。
第四十二條 支付機構從事網路支付業務有下列情形之一的,中國人民銀行及其分支機構依據《非金融機構支付服務管理辦法》第四十三條的規定進行處理;情節嚴重的,中國人民銀行及其分支機構依據《中華人民共和國中國人民銀行法》第四十六條的規定進行處理:[一]不符合支付機構支付業務系統設施有關要求的;[二]不符合國家、金融行業標準和相關信息安全管理要求的,採用數字證書、電子簽名不符合《中華人民共和國電子簽名法》、《金融電子認證規範》等規定的;[三]為非法交易、虛假交易提供支付服務,發現客戶疑似或者涉嫌違法違規行為未按規定採取有效措施的;[四]未按規定採取客戶支付指令驗證措施的;[五]未真實、完整、準確反映網路支付交易信息,篡改或者隱匿交易信息的;[六]未按規定處理客戶信息,或者未履行客戶信息保密義務,造成信息泄露隱患或者導致信息泄露的;[七]妨礙客戶自主選擇支付服務提供主體或資金收付方式的;[八]公開披露虛假信息的;[九]違規開立支付賬戶,或擅自經營金融業務活動的。
第四十三條 支付機構違反反洗錢和反恐怖融資規定的,依據國家有關法律法規進行處理。
第七章 附則
第四十四條 本辦法相關用語含義如下:單位客戶,是指接受支付機構支付服務的法人、其他組織或者個體工商戶。個人客戶,是指接受支付機構支付服務的自然人。單位客戶的身份基本信息,包括客戶的名稱、地址、經營範圍、統一社會信用代碼或組織機構代碼;可證明該客戶依法設立或者可依法開展經營、社會活動的執照、證件或者檔案的名稱、號碼和有效期限;法定代表人[負責人]或授權辦理業務人員的姓名、有效身份證件的種類、號碼和有效期限。個人客戶的身份基本信息,包括客戶的姓名、國籍、性別、職業、住址、聯繫方式以及客戶有效身份證件的種類、號碼和有效期限。法人和其他組織客戶的有效身份證件,是指政府有權機關頒發的能夠證明其合法真實身份的證件或檔案,包括但不限於營業執照、事業單位法人證書、稅務登記證、組織機構代碼證;個體工商戶的有效身份證件,包括營業執照、經營者或授權經辦人員的有效身份證件。個人客戶的有效身份證件,包括:在中國境內已登記常住戶口的中國公民為居民身份證,不滿十六周歲的,為居民身份證或戶口簿;香港、澳門特別行政區居民為港澳居民往來內地通行證;台灣地區居民為台灣居民來往大陸通行證;定居國外的中國公民為中國護照;外國公民為護照或者外國人永久居留證[外國邊民,按照邊貿結算的有關規定辦理];法律、行政法規規定的其他身份證明檔案。客戶本人,是指客戶本單位[單位客戶]或者本人[個人客戶]。
第四十五條 本辦法由中國人民銀行負責解釋和修訂。
第四十六條 本辦法自2016年7月1日起施行。
第四十五條 本辦法由中國人民銀行負責解釋和修訂。
第四十六條 本辦法自2016年7月1日起施行。
政策解讀
人民銀行有關負責人就《非銀行支付機構網路支付業務管理辦法》答記者問
問:出台《辦法》的總體背景與考慮是什麼?
答:近年來,支付機構大力發展網路支付服務,促進了電子商務和網際網路金融的快速發展,對支持服務業轉型升級、推動普惠金融縱深發展發揮了積極作用。2015年前三季度,支付機構累計處理網路支付業務562.50億筆,金額32.97萬億元,同比分別增長128.95%和98.80%。
同時,支付機構的網路支付業務也面臨不少問題和風險,必須加以重視和規範:一是客戶身份識別機制不夠完善,為欺詐、套現、洗錢等風險提供了可乘之機;二是以支付賬戶為基礎的跨市場業務快速發展,沉澱了大量客戶資金,加大了資金流動性管理壓力和跨市場交易風險;三是風險意識相對較弱,在客戶資金安全和信息安全保障機制等方面存在欠缺;四是客戶權益保護亟待加強,存在誇大宣傳、虛假承諾、消費者維權難等問題。
人民銀行長期關注網際網路金融的發展問題。為規範網路支付業務,防範支付風險,保護客戶合法權益,同時促進支付服務創新和支付市場健康發展,進一步發揮網路支付對網際網路金融的基礎作用,人民銀行從2010年開始啟動網路支付發展與規範相關研究工作。今年以來,遵循“鼓勵創新、防範風險、趨利避害、健康發展”的總體要求,組織市場機構、行業協會、專家學者開展多輪研討、座談及公開向社會徵求意見,反覆修改完善,最終完成了《辦法》的制定工作。
問:《辦法》的監管思路與主要監管措施是什麼?
答:按照統籌科學把握鼓勵創新、方便民眾和金融安全的原則,結合支付機構網路支付業務發展實際,人民銀行確立了堅持支付賬戶實名制、平衡支付業務安全與效率、保護消費者權益和推動支付創新的監管思路。主要措施包括:
一是清晰界定支付機構定位。堅持小額便民、服務於電子商務的原則,有效隔離跨市場風險,維護市場公平競爭秩序及金融穩定。
二是堅持支付賬戶實名制。賬戶實名制是支付交易順利完成的保障,也是反洗錢、反恐融資和遏制違法犯罪活動的基礎。針對網路支付非面對面開戶的特徵,強化支付機構通過外部多渠道交叉驗證識別客戶身份信息的監管要求。
三是兼顧支付安全與效率。本著小額支付偏重便捷、大額支付偏重安全的管理思路,採用正向激勵機制,根據交易驗證安全程度的不同,對使用支付賬戶餘額付款的交易限額作出了相應安排,引導支付機構採用安全驗證手段來保障客戶資金安全。
四是突出對個人消費者合法權益的保護。基於我國網路支付業務發展的實際和金融消費的現狀,《辦法》引導支付機構建立完善的風險控制機制,健全客戶損失賠付、差錯爭議處理等客戶權益保障機制,有效降低網路支付業務風險,保護消費者的合法權益。
五是實施分類監管推動創新。建立支付機構分類監管工作機制,對支付機構及其相關業務實施差別化管理,引導和推動支付機構在符合基本條件和實質合規的前提下開展技術創新、流程創新和服務創新,在有效提升監管措施彈性和靈活性的同時,激發支付機構活躍支付服務市場的動力。
問:支付賬戶與銀行賬戶有何不同?
答:支付賬戶最初是支付機構為方便客戶網上支付和解決電子商務交易中買賣雙方信任度不高而為其開立的,與銀行賬戶有明顯不同。一是提供賬戶服務的主體不同,支付賬戶由支付機構為客戶開立,主要用於電子商務交易的收付款結算。銀行賬戶由銀行業金融機構為客戶開立,賬戶資金除了用於支付結算外,還具有保值、增值等目的。
二是賬戶資金餘額的性質和保障機制不同。支付賬戶餘額的本質是預付價值,類似於預付費卡中的餘額,該餘額資金雖然所有權歸屬於客戶,卻未以客戶本人名義存放在銀行,而是支付機構以其自身名義存放在銀行,並實際由支付機構支配與控制。同時,該餘額僅代表支付機構的企業信用,法律保障機制上遠低於《人民銀行法》、《商業銀行法》保障下的央行貨幣與商業銀行貨幣,也不受存款保險條例保護。一旦支付機構出現經營風險或信用風險,將可能導致支付賬戶餘額無法使用,不能回提為銀行存款,使客戶遭受財產損失。
因此,《辦法》規定,支付機構應當在客戶清晰理解支付賬戶餘額性質和相關風險的前提下,由客戶本著“自願開立、自擔風險”的原則申請開立支付賬戶。
問:《辦法》禁止支付機構為金融機構和從事金融業務的其他機構開立支付賬戶的主要考慮是什麼?會不會制約網際網路金融發展?
答:鑒於金融機構和從事網路借貸、股權眾籌融資、網際網路基金銷售、網際網路保險、網際網路信託和網際網路消費金融等機構本身存在金融業務經營風險,同時支付機構的資本實力、內控制度和風險管理體系普遍還不夠完善,抵禦外部風險衝擊的能力較弱,為保障有關各方合法權益,有效隔離跨市場風險,切實守住不發生系統性和區域性風險的底線,《辦法》規定支付機構不得為金融機構和從事金融業務的其他機構開立支付賬戶。
《辦法》上述規定並不影響支付機構為金融從業機構提供網路支付服務,還將進一步支持網際網路金融的健康發展:
一是我國國家支付清算體系已經為金融從業機構提供了高效、安全的支付清算及結算安排,並且符合國際支付清算監管慣例和準則,能夠支持網際網路金融的發展需要。
二是支付機構儘管不能為金融從業機構開立支付賬戶,但仍可基於銀行賬戶為其提供網路支付服務,以有效支持網際網路金融的創新需要。
三是人民銀行鼓勵支付機構按照《指導意見》有關原則,與銀行深化合作,實現優勢互補,建立良好的網路支付生態環境與產業鏈,進一步提升業務創新,增強服務實體經濟和風險抵禦能力,共同推動網際網路金融業態多元、持續、健康發展。
問:《辦法》如何對個人支付賬戶進行分類?
答:支付賬戶分類,兼顧支付的安全和效率,能夠滿足不同客戶的多樣化需要,體現了尊重客戶的選擇權。
《辦法》將個人支付賬戶分為三類(詳見附表)。其中,Ⅰ類賬戶只需要一個外部渠道驗證客戶身份信息(例如聯網核查居民身份證信息),賬戶餘額可以用於消費和轉賬,主要適用於客戶小額、臨時支付,身份驗證簡單快捷。為兼顧便捷性和安全性,Ⅰ類賬戶的交易限額相對較低,但支付機構可以通過強化客戶身份驗證,將Ⅰ類賬戶升級為Ⅱ類或Ⅲ類賬戶,提高交易限額。
Ⅱ類和Ⅲ類賬戶的客戶實名驗證強度相對較高,能夠在一定程度上防範假名、匿名支付賬戶問題,防止不法分子冒用他人身份開立支付賬戶並實施犯罪行為,因此具有較高的交易限額。鑒於投資理財業務的風險等級較高,《辦法》規定,僅實名驗證強度最高的Ⅲ類賬戶可以使用餘額購買投資理財等金融類產品,以保障客戶資金安全。
上述分類方式及付款功能、交易限額管理措施僅針對支付賬戶,客戶使用銀行賬戶付款(例如銀行網關支付、銀行卡快捷支付等)不受上述功能和限額的約束。
個人支付賬戶分類附表:
問:為何要強調支付賬戶實名制?
答:《辦法》強調支付賬戶實名制度。《辦法》要求支付機構遵循“了解你的客戶”原則,建立健全客戶身份識別機制,並在與客戶業務關係存續期間,採取持續的客戶身份識別措施,確保有效核實客戶身份及其真實意願,主要考慮如下:
一是支付賬戶體現著消費者資金權益,只有實行實名制,才能更好地保護賬戶所有人的資金安全,才能從法律制度上保護消費者財產權利和明確債權債務關係。
二是賬戶實名制是經濟金融活動和管理的基礎,賬戶是資金出入的起點與終點,只有落實支付賬戶實名制,才能維護正常的經濟金融秩序,從而切實落實反洗錢、反恐怖融資要求,防範和遏制違法犯罪活動。
三是堅持賬戶實名制有利於支付機構在了解自己客戶的基礎上,有針對性地改善服務質量,更好地服務於客戶,為提升和改善經營管理水平奠定基礎。
問:支付賬戶的實名驗證要求會不會影響便捷性?
答:《辦法》要求支付機構在開立Ⅱ類、Ⅲ類支付賬戶時,分別通過至少三個、五個外部渠道驗證客戶身份信息,是為了保障客戶合法權益,防範不法分子開立匿名或假名賬戶從事欺詐、套現、洗錢、恐怖融資等非法活動,是對支付機構提出的監管要求,支付機構負有“了解你的客戶”的義務。
目前,公安、社保、民政、住建、交通、工商、教育、財稅等政府部門,以及商業銀行、保險公司、證券公司、徵信機構、移動運營商、鐵路公司、航空公司、電力公司、自來水公司、燃氣公司等單位,都運營著能夠驗證客戶身份基本信息的資料庫或系統。支付機構可以根據本機構客戶的群體特徵和實際情況,選擇與其中部分單位開展合作,實現多個渠道交叉驗證客戶身份信息。
在身份驗證過程中,客戶只需要按照支付機構的要求在網上填寫並上傳相關信息即可,並不需要本人去相關部門證明“我是我”,而是由支付機構負責與外部資料庫或系統進行連線並驗證客戶身份信息的真實性。支付機構應採用必要技術手段確保客戶操作流程簡便、體驗便捷,這對支付機構的服務能力和服務水平提出了一定要求。
此外,《辦法》還規定,綜合評級較高且實名制落實較好的支付機構在開立Ⅱ類、Ⅲ類支付賬戶時,既可以按照三個、五個外部渠道的方式進行客戶身份核實,也可以運用各種安全、合法的技術手段,更加靈活地制定其他有效的身份核實方法,經人民銀行評估認可後予以採用。這既鼓勵創新,也兼顧了安全與便捷。
問:支付賬戶交易限額的規定會不會影響便捷性?
答:遵循網路支付應始終堅持服務電子商務發展和為社會提供小額、快捷、便民小微支付服務的宗旨,為最大限度地滿足客戶的實際支付需求,兼顧支付便捷性,人民銀行對支付機構開展了全面調研。經統計分析,並結合未來一定時期內的發展需要,Ⅱ類、Ⅲ類個人支付賬戶年累計10萬元、20萬元的限額能夠滿足絕大部分客戶使用支付賬戶“餘額”進行付款的需求。對極少數消費者,或者消費者偶發的大額支付,可以通過支付賬戶餘額支付、銀行卡快捷支付、銀行網關支付等方式組合完成,因此並不會對消費者支付產生實質影響。考慮到Ⅰ類個人支付賬戶在開立過程中對客戶身份驗證的強度較弱,出現假名、匿名賬戶的風險較高,《辦法》對Ⅰ類賬戶的“餘額”付款交易規定了較低的限額。
同時,為引導支付機構提高交易驗證方式的安全性,加強客戶資金安全保護,《辦法》規定,對於交易驗證安全級別較高的支付賬戶“餘額”付款交易,支付機構可以與客戶自主約定單日累計限額;但對於安全級別不足的支付賬戶“餘額”付款交易,《辦法》規定了單日累計限額。《辦法》規定的單日累計1000元、5000元的限額能夠有效滿足絕大部分客戶使用支付賬戶“餘額”進行付款的需求。此外,《辦法》規定,綜合評級較高且實名制落實較好的支付機構單日支付限額最高可提升到現有額度的2倍,以進一步滿足客戶需求。
需要強調的是,10萬元、20萬元的年累計限額,以及1000元、5000元的單日累計限額,都僅針對個人支付賬戶“餘額”付款交易。客戶通過支付機構進行銀行網關支付、銀行卡快捷支付,年累計限額、單日累計限額根據相關規定由支付機構、銀行和客戶自主約定,不受上述限額約束。
問:《辦法》對支付賬戶的轉賬業務有何規定?
答:《辦法》沒有對支付機構辦理銀行賬戶與銀行賬戶之間的轉賬業務進行額外限制,而是由支付機構、銀行和客戶以市場化原則自主協商開展此類業務,並自主約定交易限額等管理措施。
為加強支付賬戶轉賬業務的風險管理,《辦法》對支付賬戶與銀行賬戶之間的轉賬業務提出了具體要求:
一是原則上,支付賬戶餘額僅可回提至客戶本人銀行卡。
二是綜合評級較高且實名制落實較好的支付機構可以擴充支付賬戶轉賬功能,支付賬戶餘額可以回提至他人銀行卡,他人銀行卡也可向支付賬戶充值。
三是支付機構應按照客戶意願足額辦理Ⅱ類或Ⅲ類支付賬戶餘額回提至客戶本人銀行卡的業務,協助客戶及時將支付賬戶餘額回提為銀行存款。
問:《辦法》對快捷支付業務有何規定?
答:快捷支付是支付機構和銀行通過協定與客戶約定,由支付機構代其向銀行傳送支付指令,直接扣劃客戶綁定的銀行賬戶資金的支付方式。快捷支付以其開通簡單、交易驗證便捷的特點深受客戶歡迎,已成為我國電子商務交易的主要支付方式之一。但是,實踐中,由於該業務涉及客戶、支付機構及銀行三方,權責關係相對複雜,一旦發生風險損失,客戶維權困難。為此,《辦法》明確了支付機構和商業銀行合作為客戶提供快捷支付業務時,應當事先或在首筆交易時分別與客戶建立清晰、完整的業務授權,同時明確約定扣款適用範圍、交易驗證方式、交易限額及風險賠付責任。《辦法》同時強調,銀行是客戶資金安全的管理責任主體,在後續交易時無論是由銀行進行交易驗證還是支付機構代為進行交易驗證,銀行均承擔快捷支付資金損失的先行賠付責任。
問:支付機構分類監管的思路是怎樣的?
答:目前,國內支付機構眾多,各機構在合規意識、風控能力、業務規模、服務水平等方面存在明顯差異。為提升監管資源配置的科學性和監管效率,在加強風險防範的同時進一步支持支付機構開展業務創新,促進支付市場持續健康發展,人民銀行按照“依法監管、適度監管、分類監管、協同監管、創新監管”原則,建立支付機構分類監管工作機制。
首先,立足國內支付市場發展實際情況,根據支付機構的財務狀況、經營能力、風險管控,特別是客戶備付金管理等因素,確立分類監管指標體系,並持續組織開展支付機構分類監管工作。
其次,根據支付機構分類評級情況,在業務監管標準、創新扶持力度、監管資源分配等方面,對支付機構實施差別化管理,以扶優限劣的激勵和制約措施充分發揮分類監管對支付機構經營管理的正面引導和推動作用。對於綜合評級較高的支付機構,制定彈性和靈活性較高的監管措施,為其業務和技術創新發展預留充足空間;對於綜合評級較低的支付機構,人民銀行將集中監管資源依法重點監管,以加強風險防範、保障客戶權益,維護市場穩定。
問:《辦法》中明確了哪些分類監管措施?
答:對於綜合評級較高且實名制落實較好的支付機構,《辦法》在客戶身份驗證方式、個人賣家管理方式、支付賬戶轉賬功能、支付賬戶單日交易限額、銀行卡快捷支付驗證方式等方面,提升了監管彈性和靈活性:
一是支付機構在開立Ⅱ類、Ⅲ類支付賬戶時,既可以按照“三個”、“五個”外部渠道的方式進行客戶身份核實,也可以運用各種安全、合法的技術手段靈活制定其他有效的身份核實方法,經評估認可後予以採用。
二是對於從事電子商務經營活動、不具備工商登記註冊條件的個人賣家,支付機構可以參照單位客戶進行管理,以更好滿足個人賣家的支付需求,進一步支持電子商務發展。
三是支付機構可以擴充支付賬戶轉賬交易功能,可以同時辦理支付賬戶與同名銀行賬戶之間、支付賬戶與非同名銀行賬戶之間的轉賬交易。
四是支付機構可以根據客戶實際需要,適度提高支付賬戶餘額付款的單日交易限額。
五是在銀行卡快捷支付交易中,支付機構可以與銀行自主約定由支付機構代替進行交易驗證的具體情形。
同時,《辦法》對綜合評級較低、實名制落實較差、對零售支付體系或社會公眾非現金支付信心產生重大影響的支付機構,增加了信息披露等義務,同時人民銀行將依法對其重點加強監管。
問:《辦法》提出了哪些風險管理措施?
答:網路支付業務因依託公共網路作為信息傳輸通道,不可避免地面臨網路病毒、信息竊取、信息篡改、網路釣魚、網路異常中斷等各種安全隱患,也面臨欺詐、套現、洗錢等業務風險。為加強風險防範,切實保障客戶合法權益,《辦法》從風險管理角度對支付機構提出了明確要求:
一是綜合客戶類型、客戶身份核實方式、交易行為特徵、資信狀況等因素,建立客戶風險評級管理制度和機制,並動態調整客戶風險評級及相關風險控制措施。
二是建立交易風險管理制度和交易監測系統,對疑似風險和非法交易及時採取調查核實、延遲結算、終止服務等必要控制措施。
三是向客戶充分提示網路支付業務潛在風險,及時揭示不法分子新型作案手段,對客戶進行必要的安全教育,在高風險業務操作前、操作中向客戶進行風險警示。
四是以“最小化”原則採集、使用、存儲和傳輸客戶信息,採取有效措施防範信息泄露風險。
五是提高交易驗證方式的安全級別,所採用的數字證書、電子簽名、一次性密碼、生理特徵等驗證要素應符合相關法律法規和技術安全要求。
六是網路支付相關係統設施和技術,應當持續符合國家、金融行業標準和相關信息安全管理要求。
七是確保網路支付業務系統及其備份系統的安全和規範,制定突發事件應急預案,保障系統安全性和業務連續性。
問:《辦法》提出了哪些客戶權益保護措施?
答:鑒於客戶在網路支付業務中可能面臨資金被盜、信息泄露等風險隱患,在維權過程中往往處於相對弱勢的地位,為保障客戶合法權益,《辦法》結合支付機構目前在客戶權益保護方面存在的不足,明確了相關監管要求:
一是知情權方面。要求支付機構以顯著方式提示客戶注意服務協定中與其有重大利害關係的事項,採取有效方式確認客戶充分知曉並清晰理解相關權利、義務和責任;並要求支付機構增加信息透明度,定期公開披露風險事件、客戶投訴等信息,加強客戶和輿論監督。
二是選擇權方面。要求支付機構充分尊重客戶真實意願,由客戶自主選擇提供網路支付服務的機構、資金收付方式等,不得以誘導、強迫等方式侵害客戶自主選擇權;支付機構變更協定條款、提高服務收費標準或者新設收費項目,應以客戶知悉且自願接受相關調整為前提。
三是信息安全方面。要求支付機構制定客戶信息保護措施和風險控制機制,確保自身及特約商戶均不存儲客戶敏感信息,並依法承擔因信息泄露造成的損失和責任。
四是資金安全方面。要求支付機構及時處理客戶提出的差錯爭議和投訴,並建立健全風險準備金和客戶損失賠付機制,對不能有效證明因客戶原因導致的資金損失及時先行賠付;要求支付機構對安全性較低的支付賬戶餘額付款交易設定單日累計限額,並對採用不足兩類要素進行驗證的交易無條件全額承擔客戶風險損失賠付責任。
