统筹把握鼓励创新 方便群众和金融安全
促进非银行支付机构网络支付业务健康发展
为鼓励支付创新,防范系统性风险,规范支付服务市场秩序,切实保障消费者合法权益,促进网络支付业务健康发展,中国人民银行日前公告发布《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号,以下简称《办法》),于2016年7月1日起施行。
《办法》作为中国人民银行等十部门《关于促进互联网金融健康发展的指导意见》(以下简称《指导意见》)的配套制度,按照“鼓励创新、防范风险、趋利避害、健康发展”的互联网金融发展总体要求,对非银行支付机构(下称支付机构)网络支付业务进行了规范,旨在促进其健康发展。《办法》依据互联网支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨,充分考虑支付服务市场创新和发展需要,清晰界定支付机构网络支付业务的内涵和边界,明确了监管标准和规则,从业务和风险管理、系统和信息安全、信息披露和风险提示、客户权益保护和法律责任等方面作出系统性制度安排,对互联网金融跨市场风险建立了必要的隔离机制,统筹把握现阶段便捷和安全的合理均衡。
《办法》建立了支付机构网络支付业务分类监管机制。根据支付机构的分类评级情况和支付账户实名制落实情况,对支付机构实施差别化管理,采用扶优限劣的激励和制约措施,引导和推动支付机构在符合基本要求和实质合规的前提下开展技术创新、流程创新和服务创新,将在有效提升监管措施弹性和灵活性的同时,进一步激发支付机构活跃支付服务市场的动力。
《办法》坚持支付账户实名制底线,要求支付机构遵循“了解你的客户”原则,建立健全客户身份识别机制,切实落实反洗钱、反恐怖融资要求,防范和遏制违法犯罪活动。同时,《办法》着重突出对客户权益的保护,在客户资金安全、信息安全、自主选择权、知情权等方面提出了一系列管理规定,并要求支付机构健全客户投诉处理、客户损失赔付等机制,提升客户服务水平。对于权责关系相对较为复杂的银行卡快捷支付业务,《办法》还明确了业务授权等相关要求,在确保支付便捷性的同时充分保障客户合法权益。
《办法》作为《指导意见》的配套监管制度,是进一步建立健全互联网金融监管法规制度体系的重要举措,对规范我国支付服务市场、维护公平有序竞争、平衡支付安全与效率、保障消费者合法权益、促进支付服务创新和互联网金融健康发展具有重要意义。
互联网支付是互联网金融发展的基础。今后,人民银行将进一步研究改革客户备付金集中存管制度,整顿支付机构参与银行间资金清算和各类跨业经营活动,切实保障客户资金和信息安全,坚定维护支付市场秩序。同时,针对互联网金融领域的其他问题,人民银行将在党中央、国务院领导下,牵头会同其他金融监管部门加快转变监管理念,抓紧开展互联网金融领域专项整治,强化风险监测,加强警示教育,并着手建立长效机制,实现新型金融业态监管全覆盖,有效防范和化解互联网金融风险,推动互联网金融规范有序发展,切实维护金融稳定。(完)
人民银行有关负责人就《非银行支付机构网络支付业务管理办法》答记者问
近日,人民银行发布了《非银行支付机构网络支付业务管理办法》(以下简称《办法》),自2016年7月1日起实施。日前,人民银行有关负责人就《办法》有关问题回答了记者的提问。
问:出台《办法》的总体背景与考虑是什么?
答:近年来,支付机构大力发展网络支付服务,促进了电子商务和互联网金融的快速发展,对支持服务业转型升级、推动普惠金融纵深发展发挥了积极作用。2015年前三季度,支付机构累计处理网络支付业务562.50亿笔,金额32.97万亿元,同比分别增长128.95%和98.80%。
同时,支付机构的网络支付业务也面临不少问题和风险,必须加以重视和规范:一是客户身份识别机制不够完善,为欺诈、套现、洗钱等风险提供了可乘之机;二是以支付账户为基础的跨市场业务快速发展,沉淀了大量客户资金,加大了资金流动性管理压力和跨市场交易风险;三是风险意识相对较弱,在客户资金安全和信息安全保障机制等方面存在欠缺;四是客户权益保护亟待加强,存在夸大宣传、虚假承诺、消费者维权难等问题。
人民银行长期关注互联网金融的发展问题。为规范网络支付业务,防范支付风险,保护客户合法权益,同时促进支付服务创新和支付市场健康发展,进一步发挥网络支付对互联网金融的基础作用,人民银行从2010年开始启动网络支付发展与规范相关研究工作。今年以来,遵循“鼓励创新、防范风险、趋利避害、健康发展”的总体要求,组织市场机构、行业协会、专家学者开展多轮研讨、座谈及公开向社会征求意见,反复修改完善,最终完成了《办法》的制定工作。
问:《办法》的监管思路与主要监管措施是什么?
答:按照统筹科学把握鼓励创新、方便群众和金融安全的原则,结合支付机构网络支付业务发展实际,人民银行确立了坚持支付账户实名制、平衡支付业务安全与效率、保护消费者权益和推动支付创新的监管思路。主要措施包括:
一是清晰界定支付机构定位。坚持小额便民、服务于电子商务的原则,有效隔离跨市场风险,维护市场公平竞争秩序及金融稳定。
二是坚持支付账户实名制。账户实名制是支付交易顺利完成的保障,也是反洗钱、反恐融资和遏制违法犯罪活动的基础。针对网络支付非面对面开户的特征,强化支付机构通过外部多渠道交叉验证识别客户身份信息的监管要求。
三是兼顾支付安全与效率。本着小额支付偏重便捷、大额支付偏重安全的管理思路,采用正向激励机制,根据交易验证安全程度的不同,对使用支付账户余额付款的交易限额作出了相应安排,引导支付机构采用安全验证手段来保障客户资金安全。
四是突出对个人消费者合法权益的保护。基于我国网络支付业务发展的实际和金融消费的现状,《办法》引导支付机构建立完善的风险控制机制,健全客户损失赔付、差错争议处理等客户权益保障机制,有效降低网络支付业务风险,保护消费者的合法权益。
五是实施分类监管推动创新。建立支付机构分类监管工作机制,对支付机构及其相关业务实施差别化管理,引导和推动支付机构在符合基本条件和实质合规的前提下开展技术创新、流程创新和服务创新,在有效提升监管措施弹性和灵活性的同时,激发支付机构活跃支付服务市场的动力。
问:支付账户与银行账户有何不同?
答:支付账户最初是支付机构为方便客户网上支付和解决电子商务交易中买卖双方信任度不高而为其开立的,与银行账户有明显不同。一是提供账户服务的主体不同,支付账户由支付机构为客户开立,主要用于电子商务交易的收付款结算。银行账户由银行业金融机构为客户开立,账户资金除了用于支付结算外,还具有保值、增值等目的。
二是账户资金余额的性质和保障机制不同。支付账户余额的本质是预付价值,类似于预付费卡中的余额,该余额资金虽然所有权归属于客户,却未以客户本人名义存放在银行,而是支付机构以其自身名义存放在银行,并实际由支付机构支配与控制。同时,该余额仅代表支付机构的企业信用,法律保障机制上远低于《人民银行法》、《商业银行法》保障下的央行货币与商业银行货币,也不受存款保险条例保护。一旦支付机构出现经营风险或信用风险,将可能导致支付账户余额无法使用,不能回提为银行存款,使客户遭受财产损失。
因此,《办法》规定,支付机构应当在客户清晰理解支付账户余额性质和相关风险的前提下,由客户本着“自愿开立、自担风险”的原则申请开立支付账户。
问:《办法》禁止支付机构为金融机构和从事金融业务的其他机构开立支付账户的主要考虑是什么?会不会制约互联网金融发展?
答:鉴于金融机构和从事网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等机构本身存在金融业务经营风险,同时支付机构的资本实力、内控制度和风险管理体系普遍还不够完善,抵御外部风险冲击的能力较弱,为保障有关各方合法权益,有效隔离跨市场风险,切实守住不发生系统性和区域性风险的底线,《办法》规定支付机构不得为金融机构和从事金融业务的其他机构开立支付账户。
《办法》上述规定并不影响支付机构为金融从业机构提供网络支付服务,还将进一步支持互联网金融的健康发展:
一是我国国家支付清算体系已经为金融从业机构提供了高效、安全的支付清算及结算安排,并且符合国际支付清算监管惯例和准则,能够支持互联网金融的发展需要。
二是支付机构尽管不能为金融从业机构开立支付账户,但仍可基于银行账户为其提供网络支付服务,以有效支持互联网金融的创新需要。
三是人民银行鼓励支付机构按照《指导意见》有关原则,与银行深化合作,实现优势互补,建立良好的网络支付生态环境与产业链,进一步提升业务创新,增强服务实体经济和风险抵御能力,共同推动互联网金融业态多元、持续、健康发展。
问:《办法》如何对个人支付账户进行分类?
答:支付账户分类,兼顾支付的安全和效率,能够满足不同客户的多样化需要,体现了尊重客户的选择权。
《办法》将个人支付账户分为三类(详见附表)。其中,Ⅰ类账户只需要一个外部渠道验证客户身份信息(例如联网核查居民身份证信息),账户余额可以用于消费和转账,主要适用于客户小额、临时支付,身份验证简单快捷。为兼顾便捷性和安全性,Ⅰ类账户的交易限额相对较低,但支付机构可以通过强化客户身份验证,将Ⅰ类账户升级为Ⅱ类或Ⅲ类账户,提高交易限额。
Ⅱ类和Ⅲ类账户的客户实名验证强度相对较高,能够在一定程度上防范假名、匿名支付账户问题,防止不法分子冒用他人身份开立支付账户并实施犯罪行为,因此具有较高的交易限额。鉴于投资理财业务的风险等级较高,《办法》规定,仅实名验证强度最高的Ⅲ类账户可以使用余额购买投资理财等金融类产品,以保障客户资金安全。
上述分类方式及付款功能、交易限额管理措施仅针对支付账户,客户使用银行账户付款(例如银行网关支付、银行卡快捷支付等)不受上述功能和限额的约束。
个人支付账户分类附表:
账户类别
余额付款功能
余额付款限额
身份核实方式
Ⅰ类账户
消费、转账
自账户开立起
累计1000元
以非面对面方式,通过至少一个外部渠道验证身份
Ⅱ类账户
消费、转账
年累计10万元
面对面验证身份,或以非面对面方式,通过至少三个外部渠道验证身份
Ⅲ类账户
消费、转账、
投资理财
年累计20万元
面对面验证身份,或以非面对面方式,通过至少五个外部渠道验证身份
问:为何要强调支付账户实名制?
答:《办法》强调支付账户实名制度。《办法》要求支付机构遵循“了解你的客户”原则,建立健全客户身份识别机制,并在与客户业务关系存续期间,采取持续的客户身份识别措施,确保有效核实客户身份及其真实意愿,主要考虑如下:
一是支付账户体现着消费者资金权益,只有实行实名制,才能更好地保护账户所有人的资金安全,才能从法律制度上保护消费者财产权利和明确债权债务关系。
二是账户实名制是经济金融活动和管理的基础,账户是资金出入的起点与终点,只有落实支付账户实名制,才能维护正常的经济金融秩序,从而切实落实反洗钱、反恐怖融资要求,防范和遏制违法犯罪活动。
三是坚持账户实名制有利于支付机构在了解自己客户的基础上,有针对性地改善服务质量,更好地服务于客户,为提升和改善经营管理水平奠定基础。
问:支付账户的实名验证要求会不会影响便捷性?
答:《办法》要求支付机构在开立Ⅱ类、Ⅲ类支付账户时,分别通过至少三个、五个外部渠道验证客户身份信息,是为了保障客户合法权益,防范不法分子开立匿名或假名账户从事欺诈、套现、洗钱、恐怖融资等非法活动,是对支付机构提出的监管要求,支付机构负有“了解你的客户”的义务。
目前,公安、社保、民政、住建、交通、工商、教育、财税等政府部门,以及商业银行、保险公司、证券公司、征信机构、移动运营商、铁路公司、航空公司、电力公司、自来水公司、燃气公司等单位,都运营着能够验证客户身份基本信息的数据库或系统。支付机构可以根据本机构客户的群体特征和实际情况,选择与其中部分单位开展合作,实现多个渠道交叉验证客户身份信息。
在身份验证过程中,客户只需要按照支付机构的要求在网上填写并上传相关信息即可,并不需要本人去相关部门证明“我是我”,而是由支付机构负责与外部数据库或系统进行连接并验证客户身份信息的真实性。支付机构应采用必要技术手段确保客户操作流程简便、体验便捷,这对支付机构的服务能力和服务水平提出了一定要求。
此外,《办法》还规定,综合评级较高且实名制落实较好的支付机构在开立Ⅱ类、Ⅲ类支付账户时,既可以按照三个、五个外部渠道的方式进行客户身份核实,也可以运用各种安全、合法的技术手段,更加灵活地制定其他有效的身份核实方法,经人民银行评估认可后予以采用。这既鼓励创新,也兼顾了安全与便捷。
问:支付账户交易限额的规定会不会影响便捷性?
答:遵循网络支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨,为最大限度地满足客户的实际支付需求,兼顾支付便捷性,人民银行对支付机构开展了全面调研。经统计分析,并结合未来一定时期内的发展需要,Ⅱ类、Ⅲ类个人支付账户年累计10万元、20万元的限额能够满足绝大部分客户使用支付账户“余额”进行付款的需求。对极少数消费者,或者消费者偶发的大额支付,可以通过支付账户余额支付、银行卡快捷支付、银行网关支付等方式组合完成,因此并不会对消费者支付产生实质影响。考虑到Ⅰ类个人支付账户在开立过程中对客户身份验证的强度较弱,出现假名、匿名账户的风险较高,《办法》对Ⅰ类账户的“余额”付款交易规定了较低的限额。
同时,为引导支付机构提高交易验证方式的安全性,加强客户资金安全保护,《办法》规定,对于交易验证安全级别较高的支付账户“余额”付款交易,支付机构可以与客户自主约定单日累计限额;但对于安全级别不足的支付账户“余额”付款交易,《办法》规定了单日累计限额。《办法》规定的单日累计1000元、5000元的限额能够有效满足绝大部分客户使用支付账户“余额”进行付款的需求。此外,《办法》规定,综合评级较高且实名制落实较好的支付机构单日支付限额最高可提升到现有额度的2倍,以进一步满足客户需求。
需要强调的是,10万元、20万元的年累计限额,以及1000元、5000元的单日累计限额,都仅针对个人支付账户“余额”付款交易。客户通过支付机构进行银行网关支付、银行卡快捷支付,年累计限额、单日累计限额根据相关规定由支付机构、银行和客户自主约定,不受上述限额约束。
问:《办法》对支付账户的转账业务有何规定?
答:《办法》没有对支付机构办理银行账户与银行账户之间的转账业务进行额外限制,而是由支付机构、银行和客户以市场化原则自主协商开展此类业务,并自主约定交易限额等管理措施。
为加强支付账户转账业务的风险管理,《办法》对支付账户与银行账户之间的转账业务提出了具体要求:
一是原则上,支付账户余额仅可回提至客户本人银行卡。
二是综合评级较高且实名制落实较好的支付机构可以扩充支付账户转账功能,支付账户余额可以回提至他人银行卡,他人银行卡也可向支付账户充值。
三是支付机构应按照客户意愿足额办理Ⅱ类或Ⅲ类支付账户余额回提至客户本人银行卡的业务,协助客户及时将支付账户余额回提为银行存款。
问:《办法》对快捷支付业务有何规定?
答:快捷支付是支付机构和银行通过协议与客户约定,由支付机构代其向银行发送支付指令,直接扣划客户绑定的银行账户资金的支付方式。快捷支付以其开通简单、交易验证便捷的特点深受客户欢迎,已成为我国电子商务交易的主要支付方式之一。但是,实践中,由于该业务涉及客户、支付机构及银行三方,权责关系相对复杂,一旦发生风险损失,客户维权困难。为此,《办法》明确了支付机构和商业银行合作为客户提供快捷支付业务时,应当事先或在首笔交易时分别与客户建立清晰、完整的业务授权,同时明确约定扣款适用范围、交易验证方式、交易限额及风险赔付责任。《办法》同时强调,银行是客户资金安全的管理责任主体,在后续交易时无论是由银行进行交易验证还是支付机构代为进行交易验证,银行均承担快捷支付资金损失的先行赔付责任。
问:支付机构分类监管的思路是怎样的?
答:目前,国内支付机构众多,各机构在合规意识、风控能力、业务规模、服务水平等方面存在明显差异。为提升监管资源配置的科学性和监管效率,在加强风险防范的同时进一步支持支付机构开展业务创新,促进支付市场持续健康发展,人民银行按照“依法监管、适度监管、分类监管、协同监管、创新监管”原则,建立支付机构分类监管工作机制。
首先,立足国内支付市场发展实际情况,根据支付机构的财务状况、经营能力、风险管控,特别是客户备付金管理等因素,确立分类监管指标体系,并持续组织开展支付机构分类监管工作。
其次,根据支付机构分类评级情况,在业务监管标准、创新扶持力度、监管资源分配等方面,对支付机构实施差别化管理,以扶优限劣的激励和制约措施充分发挥分类监管对支付机构经营管理的正面引导和推动作用。对于综合评级较高的支付机构,制定弹性和灵活性较高的监管措施,为其业务和技术创新发展预留充足空间;对于综合评级较低的支付机构,人民银行将集中监管资源依法重点监管,以加强风险防范、保障客户权益,维护市场稳定。
问:《办法》中明确了哪些分类监管措施?
答:对于综合评级较高且实名制落实较好的支付机构,《办法》在客户身份验证方式、个人卖家管理方式、支付账户转账功能、支付账户单日交易限额、银行卡快捷支付验证方式等方面,提升了监管弹性和灵活性:
一是支付机构在开立Ⅱ类、Ⅲ类支付账户时,既可以按照“三个”、“五个”外部渠道的方式进行客户身份核实,也可以运用各种安全、合法的技术手段灵活制定其他有效的身份核实方法,经评估认可后予以采用。
二是对于从事电子商务经营活动、不具备工商登记注册条件的个人卖家,支付机构可以参照单位客户进行管理,以更好满足个人卖家的支付需求,进一步支持电子商务发展。
三是支付机构可以扩充支付账户转账交易功能,可以同时办理支付账户与同名银行账户之间、支付账户与非同名银行账户之间的转账交易。
四是支付机构可以根据客户实际需要,适度提高支付账户余额付款的单日交易限额。
五是在银行卡快捷支付交易中,支付机构可以与银行自主约定由支付机构代替进行交易验证的具体情形。
同时,《办法》对综合评级较低、实名制落实较差、对零售支付体系或社会公众非现金支付信心产生重大影响的支付机构,增加了信息披露等义务,同时人民银行将依法对其重点加强监管。
问:《办法》提出了哪些风险管理措施?
答:网络支付业务因依托公共网络作为信息传输通道,不可避免地面临网络病毒、信息窃取、信息篡改、网络钓鱼、网络异常中断等各种安全隐患,也面临欺诈、套现、洗钱等业务风险。为加强风险防范,切实保障客户合法权益,《办法》从风险管理角度对支付机构提出了明确要求:
一是综合客户类型、客户身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度和机制,并动态调整客户风险评级及相关风险控制措施。
二是建立交易风险管理制度和交易监测系统,对疑似风险和非法交易及时采取调查核实、延迟结算、终止服务等必要控制措施。
三是向客户充分提示网络支付业务潜在风险,及时揭示不法分子新型作案手段,对客户进行必要的安全教育,在高风险业务操作前、操作中向客户进行风险警示。
四是以“最小化”原则采集、使用、存储和传输客户信息,采取有效措施防范信息泄露风险。
五是提高交易验证方式的安全级别,所采用的数字证书、电子签名、一次性密码、生理特征等验证要素应符合相关法律法规和技术安全要求。
六是网络支付相关系统设施和技术,应当持续符合国家、金融行业标准和相关信息安全管理要求。
七是确保网络支付业务系统及其备份系统的安全和规范,制定突发事件应急预案,保障系统安全性和业务连续性。
问:《办法》提出了哪些客户权益保护措施?
答:鉴于客户在网络支付业务中可能面临资金被盗、信息泄露等风险隐患,在维权过程中往往处于相对弱势的地位,为保障客户合法权益,《办法》结合支付机构目前在客户权益保护方面存在的不足,明确了相关监管要求:
一是知情权方面。要求支付机构以显著方式提示客户注意服务协议中与其有重大利害关系的事项,采取有效方式确认客户充分知晓并清晰理解相关权利、义务和责任;并要求支付机构增加信息透明度,定期公开披露风险事件、客户投诉等信息,加强客户和舆论监督。
二是选择权方面。要求支付机构充分尊重客户真实意愿,由客户自主选择提供网络支付服务的机构、资金收付方式等,不得以诱导、强迫等方式侵害客户自主选择权;支付机构变更协议条款、提高服务收费标准或者新设收费项目,应以客户知悉且自愿接受相关调整为前提。
三是信息安全方面。要求支付机构制定客户信息保护措施和风险控制机制,确保自身及特约商户均不存储客户敏感信息,并依法承担因信息泄露造成的损失和责任。
四是资金安全方面。要求支付机构及时处理客户提出的差错争议和投诉,并建立健全风险准备金和客户损失赔付机制,对不能有效证明因客户原因导致的资金损失及时先行赔付;要求支付机构对安全性较低的支付账户余额付款交易设置单日累计限额,并对采用不足两类要素进行验证的交易无条件全额承担客户风险损失赔付责任。
非银行支付机构网络支付业务管理办法
第一章 总 则
第一条 为规范非银行支付机构(以下简称支付机构)
网络支付业务,防范支付风险,保护当事人合法权益,根据
《中华人民共和国中国人民银行法》、《非金融机构支付服务
管理办法》(中国人民银行令〔2010〕第2 号发布)等规定,
制定本办法。
第二条 支付机构从事网络支付业务,适用本办法。
本办法所称支付机构是指依法取得《支付业务许可证》,
获准办理互联网支付、移动电话支付、固定电话支付、数字
电视支付等网络支付业务的非银行机构。
本办法所称网络支付业务,是指收款人或付款人通过计
算机、移动终端等电子设备,依托公共网络信息系统远程发
起支付指令,且付款人电子设备不与收款人特定专属设备交
互,由支付机构为收付款人提供货币资金转移服务的活动。
本办法所称收款人特定专属设备,是指专门用于交易收
款,在交易过程中与支付机构业务系统交互并参与生成、传
输、处理支付指令的电子设备。
2
第三条 支付机构应当遵循主要服务电子商务发展和为
社会提供小额、快捷、便民小微支付服务的宗旨,基于客户
的银行账户或者按照本办法规定为客户开立支付账户提供
网络支付服务。
本办法所称支付账户,是指获得互联网支付业务许可的
支付机构,根据客户的真实意愿为其开立的,用于记录预付
交易资金余额、客户凭以发起支付指令、反映交易明细信息
的电子簿记。
支付账户不得透支,不得出借、出租、出售,不得利用
支付账户从事或者协助他人从事非法活动。
第四条 支付机构基于银行卡为客户提供网络支付服务
的,应当执行银行卡业务相关监管规定和银行卡行业规范。
支付机构对特约商户的拓展与管理、业务与风险管理应
当执行《银行卡收单业务管理办法》(中国人民银行公告
〔2013〕第9 号公布)等相关规定。
支付机构网络支付服务涉及跨境人民币结算和外汇支
付的,应当执行中国人民银行、国家外汇管理局相关规定。
支付机构应当依法维护当事人合法权益,遵守反洗钱和
反恐怖融资相关规定,履行反洗钱和反恐怖融资义务。
第五条 支付机构依照中国人民银行有关规定接受分类
评价,并执行相应的分类监管措施。
3
第二章 客户管理
第六条 支付机构应当遵循“了解你的客户”原则,建
立健全客户身份识别机制。支付机构为客户开立支付账户
的,应当对客户实行实名制管理,登记并采取有效措施验证
客户身份基本信息,按规定核对有效身份证件并留存有效身
份证件复印件或者影印件,建立客户唯一识别编码,并在与
客户业务关系存续期间采取持续的身份识别措施,确保有效
核实客户身份及其真实意愿,不得开立匿名、假名支付账户。
第七条 支付机构应当与客户签订服务协议,约定双方
责任、权利和义务,至少明确业务规则(包括但不限于业务
功能和流程、身份识别和交易验证方式、资金结算方式等),
收费项目和标准,查询、差错争议及投诉等服务流程和规则,
业务风险和非法活动防范及处置措施,客户损失责任划分和
赔付规则等内容。
支付机构为客户开立支付账户的,还应在服务协议中以
显著方式告知客户,并采取有效方式确认客户充分知晓并清
晰理解下列内容:“支付账户所记录的资金余额不同于客户
本人的银行存款,不受《存款保险条例》保护,其实质为客
户委托支付机构保管的、所有权归属于客户的预付价值。该
预付价值对应的货币资金虽然属于客户,但不以客户本人名
义存放在银行,而是以支付机构名义存放在银行,并且由支
付机构向银行发起资金调拨指令。”
4
支付机构应当确保协议内容清晰、易懂,并以显著方式
提示客户注意与其有重大利害关系的事项。
第八条 获得互联网支付业务许可的支付机构,经客户
主动提出申请,可为其开立支付账户;仅获得移动电话支付、
固定电话支付、数字电视支付业务许可的支付机构,不得为
客户开立支付账户。
支付机构不得为金融机构,以及从事信贷、融资、理财、
担保、信托、货币兑换等金融业务的其他机构开立支付账户。
第三章 业务管理
第九条 支付机构不得经营或者变相经营证券、保险、
信贷、融资、理财、担保、信托、货币兑换、现金存取等业
务。
第十条 支付机构向客户开户银行发送支付指令,扣划
客户银行账户资金的,支付机构和银行应当执行下列要求:
(一)支付机构应当事先或在首笔交易时自主识别客户
身份并分别取得客户和银行的协议授权,同意其向客户的银
行账户发起支付指令扣划资金;
(二)银行应当事先或在首笔交易时自主识别客户身份
并与客户直接签订授权协议,明确约定扣款适用范围和交易
验证方式,设立与客户风险承受能力相匹配的单笔和单日累
计交易限额,承诺无条件全额承担此类交易的风险损失先行
5
赔付责任;
(三)除单笔金额不超过200 元的小额支付业务,公共
事业缴费、税费缴纳、信用卡还款等收款人固定并且定期发
生的支付业务,以及符合第三十七条规定的情形以外,支付
机构不得代替银行进行交易验证。
第十一条 支付机构应根据客户身份对同一客户在本机
构开立的所有支付账户进行关联管理,并按照下列要求对个
人支付账户进行分类管理:
(一)对于以非面对面方式通过至少一个合法安全的外
部渠道进行身份基本信息验证,且为首次在本机构开立支付
账户的个人客户,支付机构可以为其开立Ⅰ类支付账户,账
户余额仅可用于消费和转账,余额付款交易自账户开立起累
计不超过1000 元(包括支付账户向客户本人同名银行账户
转账);
(二)对于支付机构自主或委托合作机构以面对面方式
核实身份的个人客户,或以非面对面方式通过至少三个合法
安全的外部渠道进行身份基本信息多重交叉验证的个人客
户,支付机构可以为其开立Ⅱ类支付账户,账户余额仅可用
于消费和转账,其所有支付账户的余额付款交易年累计不超
过10 万元(不包括支付账户向客户本人同名银行账户转账);
(三)对于支付机构自主或委托合作机构以面对面方式
核实身份的个人客户,或以非面对面方式通过至少五个合法
安全的外部渠道进行身份基本信息多重交叉验证的个人客
6
户,支付机构可以为其开立Ⅲ类支付账户,账户余额可以用
于消费、转账以及购买投资理财等金融类产品,其所有支付
账户的余额付款交易年累计不超过20 万元(不包括支付账
户向客户本人同名银行账户转账)。
客户身份基本信息外部验证渠道包括但不限于政府部
门数据库、商业银行信息系统、商业化数据库等。其中,通
过商业银行验证个人客户身份基本信息的,应为Ⅰ类银行账
户或信用卡。
第十二条 支付机构办理银行账户与支付账户之间转账
业务的,相关银行账户与支付账户应属于同一客户。
支付机构应按照与客户的约定及时办理支付账户向客
户本人银行账户转账业务,不得对Ⅱ类、Ⅲ类支付账户向客
户本人银行账户转账设置限额。
第十三条 支付机构为客户办理本机构发行的预付卡向
支付账户转账的,应当按照《支付机构预付卡业务管理办法》
(中国人民银行公告〔2012〕第12 号公布)相关规定对预
付卡转账至支付账户的余额单独管理,仅限其用于消费,不
得通过转账、购买投资理财等金融类产品等形式进行套现或
者变相套现。
第十四条 支付机构应当确保交易信息的真实性、完整
性、可追溯性以及在支付全流程中的一致性,不得篡改或者
隐匿交易信息。交易信息包括但不限于下列内容:
(一)交易渠道、交易终端或接口类型、交易类型、交
7
易金额、交易时间,以及直接向客户提供商品或者服务的特
约商户名称、编码和按照国家与金融行业标准设置的商户类
别码;
(二)收付款客户名称,收付款支付账户账号或者银行
账户的开户银行名称及账号;
(三)付款客户的身份验证和交易授权信息;
(四)有效追溯交易的标识;
(五)单位客户单笔超过5 万元的转账业务的付款用途
和事由。
第十五条 因交易取消(撤销)、退货、交易不成功或者
投资理财等金融类产品赎回等原因需划回资金的,相应款项
应当划回原扣款账户。
第十六条 对于客户的网络支付业务操作行为,支付机
构应当在确认客户身份及真实意愿后及时办理,并在操作生
效之日起至少五年内,真实、完整保存操作记录。
客户操作行为包括但不限于登录和注销登录、身份识别
和交易验证、变更身份信息和联系方式、调整业务功能、调
整交易限额、变更资金收付方式,以及变更或挂失密码、数
字证书、电子签名等。
第四章 风险管理与客户权益保护
第十七条 支付机构应当综合客户类型、身份核实方式、
8
交易行为特征、资信状况等因素,建立客户风险评级管理制
度和机制,并动态调整客户风险评级及相关风险控制措施。
支付机构应当根据客户风险评级、交易验证方式、交易
渠道、交易终端或接口类型、交易类型、交易金额、交易时
间、商户类别等因素,建立交易风险管理制度和交易监测系
统,对疑似欺诈、套现、洗钱、非法融资、恐怖融资等交易,
及时采取调查核实、延迟结算、终止服务等措施。
第十八条 支付机构应当向客户充分提示网络支付业务
的潜在风险,及时揭示不法分子新型作案手段,对客户进行
必要的安全教育,并对高风险业务在操作前、操作中进行风
险警示。
支付机构为客户购买合作机构的金融类产品提供网络
支付服务的,应当确保合作机构为取得相应经营资质并依法
开展业务的机构,并在首次购买时向客户展示合作机构信息
和产品信息,充分提示相关责任、权利、义务及潜在风险,
协助客户与合作机构完成协议签订。
第十九条 支付机构应当建立健全风险准备金制度和交
易赔付制度,并对不能有效证明因客户原因导致的资金损失
及时先行全额赔付,保障客户合法权益。
支付机构应于每年1 月31 日前,将前一年度发生的风
险事件、客户风险损失发生和赔付等情况在网站对外公告。
支付机构应在年度监管报告中如实反映上述内容和风险准
备金计提、使用及结余等情况。
9
第二十条 支付机构应当依照中国人民银行有关客户信
息保护的规定,制定有效的客户信息保护措施和风险控制机
制,履行客户信息保护责任。
支付机构不得存储客户银行卡的磁道信息或芯片信息、
验证码、密码等敏感信息,原则上不得存储银行卡有效期。
因特殊业务需要,支付机构确需存储客户银行卡有效期的,
应当取得客户和开户银行的授权,以加密形式存储。
支付机构应当以“最小化”原则采集、使用、存储和传
输客户信息,并告知客户相关信息的使用目的和范围。支付
机构不得向其他机构或个人提供客户信息,法律法规另有规
定,以及经客户本人逐项确认并授权的除外。
第二十一条 支付机构应当通过协议约定禁止特约商户
存储客户银行卡的磁道信息或芯片信息、验证码、有效期、
密码等敏感信息,并采取定期检查、技术监测等必要监督措
施。
特约商户违反协议约定存储上述敏感信息的,支付机构
应当立即暂停或者终止为其提供网络支付服务,采取有效措
施删除敏感信息、防止信息泄露,并依法承担因相关信息泄
露造成的损失和责任。
第二十二条 支付机构可以组合选用下列三类要素,对
客户使用支付账户余额付款的交易进行验证:
(一)仅客户本人知悉的要素,如静态密码等;
(二)仅客户本人持有并特有的,不可复制或者不可重
10
复利用的要素,如经过安全认证的数字证书、电子签名,以
及通过安全渠道生成和传输的一次性密码等;
(三)客户本人生理特征要素,如指纹等。
支付机构应当确保采用的要素相互独立,部分要素的损
坏或者泄露不应导致其他要素损坏或者泄露。
第二十三条 支付机构采用数字证书、电子签名作为验
证要素的,数字证书及生成电子签名的过程应符合《中华人
民共和国电子签名法》、《金融电子认证规范》( JR/T
0118-2015)等有关规定,确保数字证书的唯一性、完整性
及交易的不可抵赖性。
支付机构采用一次性密码作为验证要素的,应当切实防
范一次性密码获取端与支付指令发起端为相同物理设备而
带来的风险,并将一次性密码有效期严格限制在最短的必要
时间内。
支付机构采用客户本人生理特征作为验证要素的,应当
符合国家、金融行业标准和相关信息安全管理要求,防止被
非法存储、复制或重放。
第二十四条 支付机构应根据交易验证方式的安全级
别,按照下列要求对个人客户使用支付账户余额付款的交易
进行限额管理:
(一)支付机构采用包括数字证书或电子签名在内的两
类(含)以上有效要素进行验证的交易,单日累计限额由支
付机构与客户通过协议自主约定;
11
(二)支付机构采用不包括数字证书、电子签名在内的
两类(含)以上有效要素进行验证的交易,单个客户所有支
付账户单日累计金额应不超过5000 元(不包括支付账户向
客户本人同名银行账户转账);
(三)支付机构采用不足两类有效要素进行验证的交
易,单个客户所有支付账户单日累计金额应不超过1000 元
(不包括支付账户向客户本人同名银行账户转账),且支付
机构应当承诺无条件全额承担此类交易的风险损失赔付责
任。
第二十五条 支付机构网络支付业务相关系统设施和技
术,应当持续符合国家、金融行业标准和相关信息安全管理
要求。如未符合相关标准和要求,或者尚未形成国家、金融
行业标准,支付机构应当无条件全额承担客户直接风险损失
的先行赔付责任。
第二十六条 支付机构应当在境内拥有安全、规范的网
络支付业务处理系统及其备份系统,制定突发事件应急预
案,保障系统安全性和业务连续性。
支付机构为境内交易提供服务的,应当通过境内业务处
理系统完成交易处理,并在境内完成资金结算。
第二十七条 支付机构应当采取有效措施,确保客户在
执行支付指令前可对收付款客户名称和账号、交易金额等交
易信息进行确认,并在支付指令完成后及时将结果通知客
户。
12
因交易超时、无响应或者系统故障导致支付指令无法正
常处理的,支付机构应当及时提示客户;因客户原因造成支
付指令未执行、未适当执行、延迟执行的,支付机构应当主
动通知客户更改或者协助客户采取补救措施。
第二十八条 支付机构应当通过具有合法独立域名的网
站和统一的服务电话等渠道,为客户免费提供至少最近一年
以内交易信息查询服务,并建立健全差错争议和纠纷投诉处
理制度,配备专业部门和人员据实、准确、及时处理交易差
错和客户投诉。支付机构应当告知客户相关服务的正确获取
途径,指导客户有效辨识服务渠道的真实性。
支付机构应当于每年1 月31 日前,将前一年度发生的
客户投诉数量和类型、处理完毕的投诉占比、投诉处理速度
等情况在网站对外公告。
第二十九条 支付机构应当充分尊重客户自主选择权,
不得强迫客户使用本机构提供的支付服务,不得阻碍客户使
用其他机构提供的支付服务。
支付机构应当公平展示客户可选用的各种资金收付方
式,不得以任何形式诱导、强迫客户开立支付账户或者通过
支付账户办理资金收付,不得附加不合理条件。
第三十条 支付机构因系统升级、调试等原因,需暂停
网络支付服务的,应当至少提前5 个工作日予以公告。
支付机构变更协议条款、提高服务收费标准或者新设收
费项目的,应当于实施之前在网站等服务渠道以显著方式连
13
续公示30 日,并于客户首次办理相关业务前确认客户知悉
且接受拟调整的全部详细内容。
第五章 监督管理
第三十一条 支付机构提供网络支付创新产品或者服
务、停止提供产品或者服务、与境外机构合作在境内开展网
络支付业务的,应当至少提前30 日向法人所在地中国人民
银行分支机构报告。
支付机构发生重大风险事件的,应当及时向法人所在地
中国人民银行分支机构报告;发现涉嫌违法犯罪的,同时报
告公安机关。
第三十二条 中国人民银行可以结合支付机构的企业资
质、风险管控特别是客户备付金管理等因素,确立支付机构
分类监管指标体系,建立持续分类评价工作机制,并对支付
机构实施动态分类管理。具体办法由中国人民银行另行制
定。
第三十三条 评定为“A”类且Ⅱ类、Ⅲ类支付账户实名
比例超过95%的支付机构,可以采用能够切实落实实名制要
求的其他客户身份核实方法,经法人所在地中国人民银行分
支机构评估认可并向中国人民银行备案后实施。
第三十四条 评定为“A”类且Ⅱ类、Ⅲ类支付账户实名
比例超过95%的支付机构,可以对从事电子商务经营活动、
14
不具备工商登记注册条件且相关法律法规允许不进行工商
登记注册的个人客户(以下简称个人卖家)参照单位客户管
理,但应建立持续监测电子商务经营活动、对个人卖家实施
动态管理的有效机制,并向法人所在地中国人民银行分支机
构备案。
支付机构参照单位客户管理的个人卖家,应至少符合下
列条件:
(一)相关电子商务交易平台已依照相关法律法规对其
真实身份信息进行审查和登记,与其签订登记协议,建立登
记档案并定期核实更新,核发证明个人身份信息真实合法的
标记,加载在其从事电子商务经营活动的主页面醒目位置;
(二)支付机构已按照开立Ⅲ类个人支付账户的标准对
其完成身份核实;
(三)持续从事电子商务经营活动满6 个月,且期间使
用支付账户收取的经营收入累计超过20 万元。
第三十五条 评定为“A”类且Ⅱ类、Ⅲ类支付账户实名
比例超过95%的支付机构,对于已经实名确认、达到实名制
管理要求的支付账户,在办理第十二条第一款所述转账业务
时,相关银行账户与支付账户可以不属于同一客户。但支付
机构应在交易中向银行准确、完整发送交易渠道、交易终端
或接口类型、交易类型、收付款客户名称和账号等交易信息。
第三十六条 评定为“A”类且Ⅱ类、Ⅲ类支付账户实名
比例超过95%的支付机构,可以将达到实名制管理要求的Ⅱ
15
类、Ⅲ类支付账户的余额付款单日累计限额,提高至第二十
四条规定的2 倍。
评定为“B”类及以上,且Ⅱ类、Ⅲ类支付账户实名比
例超过90%的支付机构,可以将达到实名制管理要求的Ⅱ类、
Ⅲ类支付账户的余额付款单日累计限额,提高至第二十四条
规定的1.5 倍。
第三十七条 评定为“A”类的支付机构按照第十条规定
办理相关业务时,可以与银行根据业务需要,通过协议自主
约定由支付机构代替进行交易验证的情形,但支付机构应在
交易中向银行完整、准确发送交易渠道、交易终端或接口类
型、交易类型、商户名称、商户编码、商户类别码、收付款
客户名称和账号等交易信息;银行应核实支付机构验证手段
或渠道的安全性,且对客户资金安全的管理责任不因支付机
构代替验证而转移。
第三十八条 对于评定为“C”类及以下、支付账户实名
比例较低、对零售支付体系或社会公众非现金支付信心产生
重大影响的支付机构,中国人民银行及其分支机构可以在第
十九条、第二十八条等规定的基础上适度提高公开披露相关
信息的要求,并加强非现场监管和现场检查。
第三十九条 中国人民银行及其分支机构对照上述分类
管理措施相应条件,动态确定支付机构适用的监管规定并持
续监管。支付机构分类评定结果和支付账户实名比例不符合
上述分类管理措施相应条件的,应严格按照第十条、第十一
16
条、第十二条及第二十四条等相关规定执行。
中国人民银行及其分支机构可以根据社会经济发展情
况和支付机构分类管理需要,对支付机构网络支付业务范
围、模式、功能、限额及业务创新等相关管理措施进行适时
调整。
第四十条 支付机构应当加入中国支付清算协会,接受
行业自律组织管理。
中国支付清算协会应当根据本办法制定网络支付业务
行业自律规范,建立自律审查机制,向中国人民银行备案后
组织实施。自律规范应包括支付机构与客户签订协议的范
本,明确协议应记载和不得记载事项,还应包括支付机构披
露有关信息的具体内容和标准格式。
中国支付清算协会应当建立信用承诺制度,要求支付机
构以标准格式向社会公开承诺依法合规开展网络支付业务、
保障客户信息安全和资金安全、维护客户合法权益、如违法
违规自愿接受约束和处罚。
第六章 法律责任
第四十一条 支付机构从事网络支付业务有下列情形之
一的,中国人民银行及其分支机构依据《非金融机构支付服
务管理办法》第四十二条的规定进行处理:
(一)未按规定建立客户实名制管理、支付账户开立与
17
使用、差错争议和纠纷投诉处理、风险准备金和交易赔付、
应急预案等管理制度的;
(二)未按规定建立客户风险评级管理、支付账户功能
与限额管理、客户支付指令验证管理、交易和信息安全管理、
交易监测系统等风险控制机制的,未按规定对支付业务采取
有效风险控制措施的;
(三)未按规定进行风险提示、公开披露相关信息的;
(四)未按规定履行报告义务的。
第四十二条 支付机构从事网络支付业务有下列情形之
一的,中国人民银行及其分支机构依据《非金融机构支付服
务管理办法》第四十三条的规定进行处理;情节严重的,中
国人民银行及其分支机构依据《中华人民共和国中国人民银
行法》第四十六条的规定进行处理:
(一)不符合支付机构支付业务系统设施有关要求的;
(二)不符合国家、金融行业标准和相关信息安全管理
要求的,采用数字证书、电子签名不符合《中华人民共和国
电子签名法》、《金融电子认证规范》等规定的;
(三)为非法交易、虚假交易提供支付服务,发现客户
疑似或者涉嫌违法违规行为未按规定采取有效措施的;
(四)未按规定采取客户支付指令验证措施的;
(五)未真实、完整、准确反映网络支付交易信息,篡
改或者隐匿交易信息的;
(六)未按规定处理客户信息,或者未履行客户信息保
18
密义务,造成信息泄露隐患或者导致信息泄露的;
(七)妨碍客户自主选择支付服务提供主体或资金收付
方式的;
(八)公开披露虚假信息的;
(九)违规开立支付账户,或擅自经营金融业务活动的。
第四十三条 支付机构违反反洗钱和反恐怖融资规定
的,依据国家有关法律法规进行处理。
第七章 附 则
第四十四条 本办法相关用语含义如下:
单位客户,是指接受支付机构支付服务的法人、其他组
织或者个体工商户。
个人客户,是指接受支付机构支付服务的自然人。
单位客户的身份基本信息,包括客户的名称、地址、经
营范围、统一社会信用代码或组织机构代码;可证明该客户
依法设立或者可依法开展经营、社会活动的执照、证件或者
文件的名称、号码和有效期限;法定代表人(负责人)或授
权办理业务人员的姓名、有效身份证件的种类、号码和有效
期限。
个人客户的身份基本信息,包括客户的姓名、国籍、性
别、职业、住址、联系方式以及客户有效身份证件的种类、
号码和有效期限。
19
法人和其他组织客户的有效身份证件,是指政府有权机
关颁发的能够证明其合法真实身份的证件或文件,包括但不
限于营业执照、事业单位法人证书、税务登记证、组织机构
代码证;个体工商户的有效身份证件,包括营业执照、经营
者或授权经办人员的有效身份证件。
个人客户的有效身份证件,包括:在中国境内已登记常
住户口的中国公民为居民身份证,不满十六周岁的,为居民
身份证或户口簿;香港、澳门特别行政区居民为港澳居民往
来内地通行证;台湾地区居民为台湾居民来往大陆通行证;
定居国外的中国公民为中国护照;外国公民为护照或者外国
人永久居留证(外国边民,按照边贸结算的有关规定办理);
法律、行政法规规定的其他身份证明文件。
客户本人,是指客户本单位(单位客户)或者本人(个
人客户)。
第四十五条 本办法由中国人民银行负责解释和修订。
第四十六条 本办法自 2016 年 7 月 1日起施行。
欢迎关注全球金融网微信公众平台
|
