非银行支付机构网络支付业务管理办法-支付机构网络支付业务管理办法是针对网络借贷的电话吗
导读:为规范非银行支付机构网络支付业务,防范支付风险,保护当事人合法权益,中国人民银行制定了“非银行支付机构网络支付业务管理办法”,并于2015年12月28日发布实施。
非银行支付机构网络支付业务管理办法
第一章总则
第一条为规范非银行支付机构(以下简称支付机构)网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》和《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号),制定本办法。
第二条本办法适用于从事网上支付业务的支付机构。
本办法所称支付机构,是指依法取得支付业务许可证,获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。
本办法所称网络支付业务,是指收款人或付款人依托公共网络信息系统,通过计算机、移动终端等电子设备远程发起支付指令,付款人电子设备不与收款人特定专属设备进行交互,支付机构为收款人提供货币资金转账服务的活动。
本办法所称收款人特定专属设备,是指专门用于交易归集的电子设备,在交易过程中与支付机构的业务系统进行交互,参与支付指令的生成、传输和处理。
第三条支付机构应当遵循以服务电子商务发展为主,向社会提供小额、快捷、便利的小额支付服务的原则,按照本办法规定,提供基于客户银行账户或者通过为客户开立支付账户的在线支付服务。
本办法所称支付账户,是指获得互联网支付业务许可的支付机构根据客户真实意愿开立的,用于记录预付交易资金余额,客户可以发起支付指令,反映交易明细的电子记账。
支付账户不得透支、出借、出租、出售,不得用于从事或者协助他人从事违法活动。
第四条支付机构基于银行卡向客户提供网上支付服务的,应当执行银行卡业务相关监管规定和银行卡行业标准。
支付机构应当执行《银行卡收单业务管理办法》(中国人民银行公告2013年第9号)等有关特约商户拓展管理、业务和风险管理的规定。
支付机构网上支付业务涉及跨境人民币结算和外汇支付的,应当执行中国人民银行和国家外汇管理局的相关规定。支付机构应当依法维护当事人合法权益,遵守反洗钱和反恐怖融资相关规定,履行反洗钱和反恐怖融资义务。
第五条支付机构应当按照中国人民银行的有关规定接受分类评估,并实施相应的分类监管措施。
第二章客户管理
第六条支付机构应当遵守了解你的客户原则,建立和完善客户识别机制。支付机构为客户开立支付账户时,应当对客户实行实名制管理,登记并采取有效措施核实客户身份基本信息,按照规定查验有效身份证件并留存有效身份证件的复印件或者影印件,建立客户唯一识别码,在与客户发生业务关系期间采取持续识别措施,确保有效核实客户身份和真实意愿,不得开立匿名或者假名支付账户。
第七条支付机构应当与客户签订服务协议,约定双方的责任、权利和义务,至少明确业务规则(包括但不限于业务功能和流程、身份识别和交易验证方式、资金结算方式等。)、收费项目和标准、查询等服务流程和规则、差错***和投诉、业务风险和违法行为的防范和处置措施、客户损失责任划分和赔偿规则等。
支付机构为客户开立支付账户的,还应当在服务协议中以显著方式告知客户,并采取有效措施确认客户充分知晓并清楚理解以下内容:支付账户记录的资金余额不同于客户自己的银行存款,不受《存款保险条例》保护。其本质是客户委托支付机构保管的预付价值,所有权属于客户。预付价值对应的货币资金虽然属于客户,但不是以客户自己的名义存入银行,而是以支付机构的名义存入银行,支付机构向银行发起资金划拨指令。
支付机构应当确保协议内容清晰易懂,并以显著方式提示客户关注与其有重大利害关系的事项。
第八条获得《互联网支付业务许可证》的支付机构可以主动为客户开立支付账户;仅取得移动电话支付、固定电话支付和数字电视支付业务许可证的支付机构不得为客户开立支付账户。支付机构不得为金融机构及其他从事信贷、融资、理财、担保、信托、货币兑换等金融业务的机构开立支付账户。
第三章业务管理
第九条支付机构不得从事证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。
第十条支付机构向客户银行发送支付指令扣划客户银行账户资金的,支付机构和银行应当执行以下要求:
(一)支付机构应提前或在首次交易时自主识别客户身份,取得客户与银行的协议授权,同意向客户银行账户发出扣划资金的支付指令;
(二)银行应提前或在首次交易时自主识别客户身份,并直接与客户签订授权协议,明确约定扣款适用范围和交易验证方式,设置与客户风险承受能力相匹配的单笔和单日累计交易限额,并承诺无条件全额承担提前赔付该类交易风险损失的责任;
(3)除单笔金额不超过200元的小额支付业务外,公共事业缴费、纳税、信用卡还款等收款人的固定定期支付业务。,以及符合第三十七条规定的情形,支付机构不得代替银行进行交易验证。
第十一条支付机构应当根据客户身份,对同一客户在本机构开立的所有支付账户进行关联管理,并按照以下要求对个人支付账户进行分类管理:
(一)对通过至少一个合法、安全的外部渠道以非面对面方式验证其基本身份信息并首次在本机构开立支付账户的个人客户,支付机构可为其开立一类支付账户,账户余额只能用于消费和转账。自开户起累计余额支付交易不得超过1000元(包括将支付账户转入客户本人同名银行账户);
(二)对支付机构当面验证身份或合作机构委托验证身份的个人客户,或通过至少三个合法、安全的外部渠道以非当面方式对其基本身份信息进行多重交叉验证的个人客户,支付机构可为其开立ⅱ类支付账户,账户余额只能用于消费和转账。 且所有支付账户年度累计支付交易不超过10万元(不包括支付账户向客户本人同名银行账户转账);
(三)对支付机构当面验证身份或合作机构委托验证身份的个人客户,或通过至少5个合法、安全的外部渠道以非当面方式对其基本身份信息进行多重交叉验证的个人客户,支付机构可为其开立ⅲ类支付账户。账户余额可用于消费、转账、购买投资理财等金融产品,且所有支付账户年度累计支付交易不超过20万元(不包括从支付账户向客户本人同名银行账户转账)。
客户基本信息的外部验证渠道包括但不限于***部门数据库、商业银行信息系统、商业数据库等。其中,个人客户身份基本信息经商业银行核实的,应当是一类银行账户或者信用卡。
第十二条支付机构办理银行账户和支付账户之间的转账业务时,相关银行账户和支付账户应当属于同一客户。支付机构应当按照与客户的约定及时办理支付账户向客户自有银行账户的转账业务,不得对二类、三类支付账户向客户自有银行账户的转账设置限额。
第十三条支付机构为客户办理本机构发行的预付卡转入支付账户时,应当按照《支付机构预付卡业务管理办法》(中国人民银行公告2012年第12号)对转入支付账户的预付卡余额进行单独管理,仅限用于消费,不得通过转账、购买投资理财等金融产品等方式套现或变相套现。
第十四条支付机构应当保证整个支付过程中交易信息的真实性、完整性、可追溯性和一致性,不得篡改或者隐瞒交易信息。交易信息包括但不限于以下内容:
(一)交易渠道、交易终端或接口类型、交易类型、交易金额和交易时间,以及直接向客户提供商品或服务的特约商户名称和代码,根据国家和金融行业标准设定的商户类别代码;
(二)收付款客户名称、收付款账户账号或者开户银行名称和账号;
(三)支付客户的身份验证和交易授权信息;
(4)有效追溯交易的识别;
(5)单位客户支付单笔5万元以上转账业务的目的及原因。
第十五条投资理财等金融产品因撤销(注销)、退回、交易不成功或赎回等原因需要转回资金的,应将相应资金转回原扣款账户。
第十六条对客户的网上支付业务操作,支付机构应当在确认客户身份和真实意愿后及时办理,并真实完整地保存操作记录,自操作生效之日起至少保存五年。
客户操作包括但不限于登录和注销、身份识别和交易验证、变更身份信息和联系方式、调整业务功能、调整交易限额、变更资金收付方式、密码、数字证书、电子签名的变更或挂失等。
第四章风险管理和客户权益保护
第十七条支付机构应当建立客户风险评级管理制度和机制,综合考虑客户类型、身份验证方式、交易行为特征、信用状况等因素,动态调整客户风险评级及相关风险控制措施。支付机构应当根据客户风险评级、交易验证模式、交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间、商户类别等因素,建立交易风险管理制度和交易监控制度,对涉嫌欺诈、套现、洗钱、非法融资、恐怖融资等行为及时采取调查核实、延迟结算、终止服务等措施。
第十八条支付机构应当向客户充分提示网络支付业务的潜在风险,及时揭示犯罪分子新的犯罪手段,对客户进行必要的安全教育,并在经营前和经营中对高风险业务进行风险提示。
支付机构为客户购买合作机构金融产品提供网络支付服务的,应当确保合作机构是取得相应业务资格并依法开展业务的机构,并在首次购买时向客户展示合作机构信息和产品信息,充分提示相关责任、权利、义务和潜在风险,协助客户完成与合作机构的协议签署。
第十九条支付机构应当建立健全风险准备金制度和交易赔偿制度,对无法有效证明的客户造成的资金损失先行全额赔付,保护客户合法权益。
支付机构应当于每年1月31日前,在网站上公告上一年度的风险事件、客户风险损失的发生和支付情况。支付机构应当在年度监管报告中如实反映上述内容以及风险准备金的计提、使用和余额情况。
第二十条支付机构应当按照中国人民银行关于客户信息保护的规定,制定有效的客户信息保护措施和风险控制机制,履行客户信息保护责任。
支付机构不得存储轨迹信息或芯片信息、验证码、密码等敏感信息。顾客的银行卡。原则上不得存储银行卡有效期。
因特殊业务需要,支付机构确需存储客户银行卡有效期的,应当取得客户及开户银行的授权,并以加密形式存储。支付机构应使用最小化原则上收集、使用、存储和传递客户信息,并告知客户相关信息的用途和使用范围。支付机构不得向其他机构或者个人提供客户信息,法律法规另有规定,且经客户本人确认和授权的除外。
第二十一条支付机构应当禁止特约商户通过协议方式存储客户银行卡的轨迹信息或者芯片信息、验证码、有效期、密码等敏感信息,并采取定期检查、技术监控等必要的监管措施。
特约商户违反约定存储上述敏感信息的,支付机构应当立即暂停或者终止提供网络支付服务,采取有效措施删除敏感信息,防止信息泄露,并依法承担因相关信息泄露造成的损失和责任。
第二十二条支付机构可以组合选择以下三种要素对客户支付与支付账户余额进行验证:
(1)只有客户知道的元素,例如静态密码;
(2)仅限于客户持有的不可复制、不可重复使用的独特要素,如通过安全认证的数字证书、电子签名、通过安全通道生成和传输的一次性密码等;
(3)顾客的生理特征,如指纹等。
支付机构应确保所采用的要素相互独立,某些要素的损坏或泄露不会导致其他要素的损坏或泄露。
第二十三条支付机构采用数字证书和电子签名作为验证要素的,数字证书和电子签名的生成过程应符合《中华人民共和国电子签名法》、《金融电子认证标准》(JR/T0118-2015)等相关规定,以确保数字证书的唯一性、完整性和交易的不可否认性。
支付机构采用一次性密码作为验证要素的,应当有效防范一次性密码获取端和支付指令发起端为同一物理设备所带来的风险,并将一次性密码的有效期严格限制在最短的必要时间内。
支付机构采用客户生理特征作为验证因素的,应当符合国家和金融行业标准及相关信息安全管理要求,防止非法存储、复制或者重放。
第二十四条支付机构应当根据交易验证方式的安全等级,对个人客户使用支付账户余额进行支付的交易按照以下要求进行限额管理:
(一)支付机构采用包括数字证书或电子签名在内的两种或两种以上有效要素进行交易验证,一天的累计限额由支付机构与客户通过协议自主约定;(二)支付机构使用除数字证书和电子签名以外的两种及两种以上有效要素验证的交易,单个客户所有支付账户单日累计金额不超过5000元(不包括从支付账户向客户本人同名银行账户转账);
(三)支付机构使用少于两类有效要素验证的交易,单个客户所有支付账户单日累计金额不得超过1000元(不包括从支付账户向客户本人同名银行账户转账),支付机构应无条件全额承担该交易的风险损失补偿责任。
第二十五条支付机构网络支付业务相关的系统设施和技术,应当持续符合国家和金融行业标准以及相关信息安全管理要求。未达到相关标准和要求,或者尚未形成国家和金融行业标准的,支付机构应当无条件全额承担客户直接风险损失的先行赔付责任。
第二十六条支付机构应当在中国境内具备安全规范的网上支付业务处理系统及其备份系统,并制定应急预案,确保系统安全和业务连续性。
支付机构为境内交易提供服务的,应当通过境内业务处理系统完成交易处理,并在境内完成资金结算。
第二十七条支付机构应当采取有效措施,确保客户在执行支付指令前能够确认收付款客户名称、账号、交易金额等交易信息,并在支付指令完成后及时将结果告知客户。因交易超时、无响应或系统故障等原因导致支付指令无法正常处理的,支付机构应及时提示客户;因客户原因导致支付指令未执行、未正确执行或延迟执行的,支付机构应主动通知客户变更或协助客户采取补救措施。
第二十八条支付机构应当通过具有合法独立域名和统一服务电话的网站,免费为客户提供至少最近一年的交易信息查询服务,并建立健全差错***和***投诉处理制度,配备专业部门和人员,真实、准确、及时处理交易差错和客户投诉。支付机构应当告知客户正确获取相关服务的途径,引导客户有效识别服务渠道的真实性。
支付机构应当于每年1月31日前,在网站上公告上一年度客户投诉的数量和类型、投诉处理比例、投诉处理速度等情况。
第二十九条支付机构应当充分尊重客户的自主选择权,不得强制客户使用本机构提供的支付服务或者阻碍客户使用其他机构提供的支付服务。
支付机构应当公平展示客户可以选择的各类资金收付方式,不得以任何形式诱导或者强迫客户开立支付账户或者通过支付账户办理资金收付,不得附加不合理条件。
第三十条支付机构因系统升级、调试等原因,需要暂停网络支付服务的,应当至少提前5个工作日公告。支付机构变更协议条款、提高服务收费标准或者设立新的收费项目的,应当在实施前在网站等服务渠道以显著方式连续公示30日,并在客户首次办理相关业务前确认客户知晓并接受所有需要调整的细节。
第五章监督管理
第三十一条支付机构提供创新型网络支付产品或服务、停止提***品或服务、与境外机构合作在境内开展网络支付业务的,应当至少提前30日向法人所在地中国人民银行分支机构报告。
支付机构发生重大风险事件,应当及时向法人所在地中国人民银行分支机构报告;涉嫌犯罪的,应当同时向公安机关报告。
第三十二条中国人民银行可以结合支付机构的企业资质、风险管控特别是客户备付金管理,建立支付机构分类监管指标体系,建立持续分类评价工作机制,对支付机构实施动态分类管理。具体办法由中国人民银行另行制定。
第三十三条被评为A 二类、三类支付账户实名比例超过95%的支付机构,可以采用能够有效落实实名制要求的其他客户身份验证方式,经法人所在地中国人民银行分支机构评估批准并报中国人民银行备案后实施。
第三十四条评估为A 二类、三类支付账户实名比例超过95%的支付机构,对从事电子商务经营活动、不具备工商登记条件和相关法律法规不允许的个人客户(以下简称个人卖家),可参照公司客户管理。但他们应建立持续监控电子商务经营活动、动态管理个人卖家的有效机制,并向法人所在地中国人民银行分支机构备案。
支付机构参照单位客户管理的个人卖家应至少符合以下条件:
(一)相关电子商务交易平台已按照相关法律法规对其真实身份信息进行审核登记,与其签订登记协议,建立登记档案并定期验证更新,出具证明个人身份信息真实性、合法性的标识,并在其从事电子商务经营活动的主页面显著位置加载;
(二)支付机构已按照第三类个人支付账户开立标准完成身份验证;
(三)从事电子商务经营活动满6个月,且在此期间使用支付账户收取的营业收入累计超过20万元。
第三十五条评级为A 对二类、三类支付账户实名比例超过95%的支付机构,对已实名确认并符合实名管理要求的支付账户,在办理第十二条第一款所述转账业务时,相关银行账户和支付账户不得属于同一客户。但支付机构应在交易过程中准确、完整地向银行发送交易渠道、交易终端或接口类型、交易类型、收付款客户名称及账号等交易信息。
第三十六条评估为A 二类、三类支付账户实名比例超过95%的支付机构,可以将符合实名制管理要求的二类、三类支付账户余额支付日累计限额提高至第二十四条规定的2倍。
评估为B;实名比例超过90%的二类、三类支付账户的支付机构,可以将符合实名制管理要求的二类、三类支付账户的余额支付日累计限额提高至第二十四条规定的1.5倍。
第三十七条评估为A 类支付机构在按照第十条规定办理相关业务时,可根据业务需要自主与银行约定由支付机构代替交易验证,但支付机构应在交易过程中完整、准确地向银行发送交易通道、交易终端或接口类型、交易类型、商户名称、商户代码、商户类别代码、收付款客户名称及账号等交易信息;银行应对支付机构的验证手段或渠道的安全性进行验证,支付机构不得以验证代替客户资金安全的管理责任。
第三十八条被评定为C 人民银行及其分支机构可在第十九条、第二十八条规定的基础上适度提高对相关信息公开披露的要求,对支付账户实名比例较低、对零售支付系统或公众对非现金支付信心影响较大的支付机构加强非现场监管和现场检查。
第三十九条中国人民银行及其分支机构应当根据上述分类管理措施的相应条件,动态确定支付机构适用的监管规定,并实施持续监管。支付机构分类评价结果和支付账户实名比例不符合上述分类管理办法相应条件的,按照第十条、第十一条、第十二条、第二十四条的有关规定严格执行。
中国人民银行及其分支机构可以根据社会经济发展和支付机构分类管理需要,适时调整支付机构网络支付业务范围、模式、功能、限额、业务创新等相关管理措施。
第四十条支付机构应当加入中国支付清算协会,接受行业自律组织的管理。
中国支付清算协会应当根据本办法制定网络支付业务自律标准,建立自律审查机制,并向中国人民银行备案后组织实施。自律应当包括支付机构与客户签订的协议的范本,明确协议中应当记录哪些内容,不应当记录哪些内容,还应当包括支付机构披露信息的具体内容和标准格式。
中国支付清算协会应当建立信用承诺制度,要求支付机构以标准格式向社会公开承诺依法合规开展网络支付业务,保障客户信息和资金安全,维护客户合法权益,违法违规时自愿接受约束和处罚。
第六章法律责任
第四十一条支付机构从事网络支付业务有下列情形之一的,中国人民银行及其分支机构应当按照《非金融机构支付服务管理办法》第四十二条的规定处理:
(一)未建立客户实名制管理、支付账户开立和使用、差错***和争议投诉处理、风险准备金和交易赔偿、应急预案等管理制度的;
(二)未按要求建立客户风险评级管理、支付账户功能和限额管理、客户支付指令验证管理、交易和信息安全管理、交易监控系统等风险控制机制,未按要求对支付业务采取有效的风险控制措施;
(三)未按照要求进行风险提示和公开披露相关信息的;
(四)未按规定履行报告义务的。
第四十二条支付机构从事网络支付业务有下列情形之一的,中国人民银行及其分支机构应当按照《非金融机构支付服务管理办法》第四十三条的规定处理;情节严重的,由中国人民银行及其分支机构根据《中华人民共和国中国人民银行法》第四十六条的规定处理:
(一)不符合支付机构支付系统设施的相关要求;
(二)不符合国家和金融行业标准及相关信息安全管理要求,使用的数字证书、电子签名不符合《中华人民共和国电子签名法》、《金融电子认证标准》等规定;
(三)为违法或者虚假交易提供支付服务,发现客户涉嫌或者涉嫌违法行为时,未按照规定采取有效措施的;
(四)未按照规定采取客户支付指令验证措施的;
(五)未真实、完整、准确反映网上支付交易信息,篡改或者隐瞒交易信息的;
(六)未按照规定处理客户信息,或者未履行客户信息保密义务,造成信息泄露或者信息泄露隐患的;
(七)阻止客户自主选择支付服务提供商或支付方式;
(八)公开披露虚假信息;
(九)违反规定开立支付账户或者擅自从事金融业务活动。
第四十三条支付机构违反反洗钱和反恐怖融资规定的,按照国家相关法律法规处理。
第七章附则
第四十四条本办法相关用语含义如下:单位客户是指接受支付机构支付服务的法人、其他组织或者个体工商户。
客户是指从支付机构接受支付服务的自然人。客户身份基本信息,包括客户名称、地址、经营范围、统一社会信用代码或者组织机构代码;能够证明客户合法成立或者能够依法开展业务和社会活动的执照、证书或者文件的名称、编号和有效期;法定代表人(负责人)或授权办理业务人员的姓名,有效身份证件的种类、号码和有效期。
客户身份的基本信息,包括客户的姓名、国籍、性别、职业、住址、联系方式以及客户有效身份证件的种类、号码和有效期。法人和其他组织的委托人的有效身份证件,是指***主管部门出具的能够证明其合法真实身份的证件或文件,包括但不限于营业执照、事业单位法人证书、税务登记证、组织机构代码证等;个体工商户的有效身份证件,包括营业执照、经营者或者授权经营人的有效身份证件。
委托人的有效个人身份证件,包括:具有中国境内常住户口的中国公民为居民身份证,未满16周岁的为居民身份证或户口簿;香港、澳门特别行政区居民为港澳居民来往内地通行证;台湾省居民持台湾居民来往**通行证;居住在国外的中国公民持中国护照;外国公民为外国人的护照或永久居留证(外国边民按边贸结算的有关规定办理);法律、行政法规规定的其他身份证明文件。
客户是指客户自己的单位(法人客户)或本人(个人客户)。
第四十五条本办法由中国人民银行负责解释和修订。
第四十六条本办法自2016年7月1日起施行。
