1、1支付机构互联网支付业务管理办法(讨论稿)第一章 总 则第一条 为规 范 和 促 进 非 金 融 机 构 互 联 网 支 付 业 务 发 展 , 防 范支 付 风 险 , 保 护 当 事 人 的 合 法 权 益 , 根 据 中 华 人 民 共 和 国 中 国人 民 银 行 法 、 非 金 融 机 构 支 付 服 务 管 理 办 法 、 非 金 融 机 构 支付 服 务 管 理 办 法 实 施 细 则 等 , 制 定 本 办 法 。第二条 本办法所称互联网支付业务是指非金融支付服务机构(以下简称支付机构)通过互联网为其客户办理货币资金转移的活动。支付机构是指依 据 中 国 人 民 银 行 非 金
2、 融 机 构 支 付 服 务 管 理办 法 规 定 取 得 支 付 业 务 许 可 证 , 具 有 从 事 互 联 网 支 付 服 务 资质 的 非 金 融 企 业 法 人 及 其 分 支 机 构 。客户是指通过支付机构发送或转发支付指令,实现货币资金转移的收、付款人,以及通过支付机构获取货币资金的收款人,包括单位和个人。第三条 支付机构应按照本办法规定,在中华人民共和国境内开展互联网支付业务。第四条 支付机构应当建立健全和执行客户身份识别制度,遵循“了解你的客户”的原则。第五条 支付机构通过客户的人民币银行结算账户或外汇账户2(以下统称银行账户) ,或根据需要为客户开立的交易账户办理支付结算
3、业务。第六条 支付机构通过客户外汇账户办理支付结算业务的,应遵守国家外汇管理有关规定。第七条 客户可以通过支付机构,使用其银行账户或交易账户发起支付指令。第八条 支付机构按照诚实信用原则,为客户提供安全、方便、快捷、高效的互联网支付服务。第九条 支付机构从事互联网支付业务活动,必须建立有效的业务管理制度、内部控制制度和风险管理措施。第十条 支付机构开展互联网支付业务,必须拥有并运营独立、安全、可靠的支付业务处理系统,该系统及其备份系统的服务器应设置在中华人民共和国境内。第十一条 支付机构开展互联网支付业务应遵守有关法律、法规和规章的规定,不得损害国家和社会利益。第二章 交易账户第十二条 交易账
4、户是指客户在支付机构开立的、用于电子商务交易资金结算的账户。该账户资金余额不计付利息。交易账户分为个人交易账户和单位交易账户。第十三条 支付机构应根据审慎性原则,确定开立交易账户客户的资质及条件。3第十四条 交易账户的开立实行实名制。支付机构对为其客户开立的交易账户的真实性负责。第十五条 支付机构可以为同一客户开立多个交易账户,但应采取有效措施为这些交易账户建立关联关系,进行统一管理。第十六条 客户开立交易账户时,必须指定一个或多个银行账户作为该交易账户的关联账户。第十七条 交易账户的名称应与该客户所关联的银行账户名称一致。支付机构通过有效方式,对交易账户所关联的银行账户进行核验。第十八条 支
5、付机构应建立统一的交易账户的账号编制规则。通过该规则,能够从账号中反映出客户性质、地区等信息。第十九条 支付机构为客户开立交易账户的,应与客户签订书面协议。协议内容包括但不限于:(一)交易账户的开立、冻结、撤销和使用的条件;(二)支付机构向客户作出的资金可以在其所关联的银行账户和交易账户之间自主划转的承诺;(三)交易账户使用规则,以及违规使用的处置和责任;(四)对账时间和方式;(五)双方的其他权利和义务。第二十条 个人客户在支付机构开立交易账户的,应向支付机构提供有效身份证件名称、号码和姓名,并同时提供住址、电话、电子邮件等基本信息资料。但单笔收付金额超过 1 万元或月收付金4额累计超过 5
6、万元的,支付机构应要求客户提供身份证件影印件,并进行核实。单位客户开立交易账户的,应向支付机构提供有效注册证明文件的影印件,并提供单位名称、法定代表人姓名及其有效身份证件影印件、联系方式,以及单位地址、联系人、电话等。第二十一条 支付机构应认真审核、留存客户提交的基本信息资料和其他信息资料,通过合理、有效方式确认客户真实身份,并通知客户后,交易账户方可生效。第二十二条 任何单位和个人不得利用交易账户,从事违法违规活动。第二十三条 支付机构应当对交易账户进行有效监控,对发生的可疑和大额交易应及时记录并按规定履行报告义务。第二十四条 交易账户的资金来源为:(一)从该交易账户所关联的银行账户转入;
7、(二)交易账户的所有者从其在本支付机构开立的其他交易账户转入;(三)通过有交易关系的同一支付机构的付款人交易账户转入;(四)通过有交易关系的付款人银行账户转入。交易账户的资金运用为:(一)向该交易账户所关联的银行账户转出;(二)该交易账户所有者作为付款人向同一支付机构收款人交5易账户转出。第二十五条 支付机构不得通过交易账户为其客户办理现金存取业务,不得引导、鼓励客户在其交易账户存放资金。支付机构有义务提醒客户将其交易账户的资金余额保持在合理水平。原则上,个人交易账户资金余额连续 10 天超过 5000 元、单位交易账户资金余额连续 10 天超过 2 万元的,支付机构及时通知客户减少其资金余额
8、。第二十六条 除国家法律法规另有规定,以及交易账户所有者外,支付机构不得为任何单位或个人查询交易账户信息,不得冻结、扣划交易账户内的资金。第二十七条 客户因自身需要冻结交易账户的,应及时通知支付机构。支付机构应在确认客户身份后实时冻结交易账户,直至客户申请解冻。交易账户被冻结期间,该账户只收不付。第二十八条 客户要求撤销交易账户的,应由其本人向支付机构提出申请。支付机构在确认该交易账户项下所有款项均已结清后,为客户办理销户手续。客户申请撤销交易账户的,交易账户资金余额只能转入与该客户关联的银行账户。第二十九条 客户交易账户信息资料发生变更的,应及时通知支付机构予以更新。6第三章 业务管理第三十
9、条 支付机构提供互联网支付业务服务,应参照本办法第二十条规定要求客户提供基本信息资料,并通过有效方式进行核实。第三十一条 支付机构提供互联网支付结算服务,不得为其客户办理涉及现金的业务。第三十二条 支付机构提供互联网支付业务服务,应与客户签订书面协议。协议内容包括但不限于:(一)互联网支付业务的类型、基本规则、认证方式或交易授权方式、结算时间和方式、收费项目和标准等;(二)客户需提交的用以证明其合法身份的基本信息资料;(三)客户指定的用于收款的银行账户的名称、账号和开户银行名称;(四)支付机构提供交易记录的时间和方式;(五)争议及差错处理和损害赔偿责任;(六)双方的其他权利和义务。第三十三条
10、客户用于收款的交易账户名称或银行账户的名称,应与其向支付机构提供的有效身份证件或有效注册证明文件上记载的名称一致。第三十四条 支付机构应为客户提供安全可靠的密码、密钥、电子签名等认证方式或交易授权方式,以及确保支付指令被正确传7递和执行的支付业务处理系统,保证支付指令的完整性、一致性和不可抵赖性。客户挂失或重置密码、密钥和电子签名,支付机构应实时受理。第三十五条 客户发出的支付指令只有经过支付机构确认,才能产生支付效力。第 三 十 六 条 支付指令中必须记载下列事项: ( 一 ) 付 款 人 名 称 ; ( 二 ) 收 款 人 名 称 ;( 三 ) 确 定 的 金 额 ;( 四 ) 付 款 人
11、 的 开 户 银 行 名 称 或 支 付 机 构 名 称 ;( 五 ) 收 款 人 的 开 户 银 行 名 称 或 支 付 机 构 名 称 ;( 六 ) 支 付 指 令 的 发 起 日 期 。欠缺记载上列事项之一的,支付指令无效。第三十七条 客户通过支付机构向其开户银行发出支付指令的,支付机构应完整、准确、及时传递该支付指令,记录支付交易信息,并将结果实时通知客户。支付交易信息包括:收付款人名称、收付款金额、收付款人银行账户的账号等。第三十八条 客户直接向支付机构发出支付指令的,支付机构应在确认该支付指令真实后,实时调整客户交易账户余额,记录支付交易信息,并同时将结果通知客户。8支付交易信息包
12、括:收付款人名称、收付款金额、收付款人交易账户的账号等。第三十九条 支付机构应在付款人最终确认付款的当日至迟次日将相应资金转入收款人交易账户或协议中指定的银行账户。支付机构与客户另行约定结算时间的,其所约定的结算时间自支付机构确认收到付款人资金之日起,最长不超过 10 天。第四十条 支付机构应免费为客户提供交易查询服务和对账服务。第四十一条 由于交易不成功、超时操作或无响应、系统故障等原因无法正确处理支付指令的,支付机构应实时向客户发出提示。第四十二条 支付机构按照据实、准确和及时的原则处理差错交易。第四十三条 支付机构应指定相应部门和人员负责互联网支付业务差错处理,并明确相关人员的操作权限和
13、职责。第四十四条 客户发现自身未按规定操作,或由于自身其他原因造成支付指令未执行、未适当执行、延迟执行的,应在协议约定的时间内,按照约定程序和方式通知支付机构。支付机构应积极调查并告知客户调查结果。支付机构发现因客户原因造成支付指令未执行、未适当执行、延迟执行的,应主动通知客户改正或配合客户采取补救措施。第四十五条 支付机构从事互联网支付业务活动,应向客户公开披露以下信息:9(一)机构名称、营业地址、办理互联网支付业务的网址及联系方式;(二)所提供的互联网支付业务种类、操作规程、收费项目和收费标准等;(三)办理互联网支付业务可能产生的风险,提醒客户妥善保管密码、密钥、电子签名等的警示性信息;(
14、四)争议及差错处理办法;(五)中国人民银行规定的其他需要公示的信息。第四十六条 支付机构调整收费项目、收费标准时,应通过有效方式,提前 30 天通知客户。第四十七条 支付机构要求客户提供有关资料信息时,应告知客户所提供信息的使用目的和范围、安全保护措施、以及客户未提供或未真实提供相关信息的后果。第四十八条 支付机构对客户的基本信息资料和交易信息按会计档案要求,以纸质或或电子方式妥善保存,保存期限不低于 5 年,并方便调阅。第四章 风险管理第四十九条 支付机构应制定全面的互联网支付风险管理制度,设立风险管理部门或岗位,明确职责分工,建立规范、有效的风险管理体系。第五十条 支付机构应建立自我评估制
15、度,定期对本机构的10互联网支付业务开展、支付业务处理系统运营、风险管理等情况进行全面评估,并每年向所在地中国人民银行分支机构提交评估报告。第五十一条 支付机构应对客户基本信息资料、交易账户信息、交易信息等保密。对客户基本信息资料、交易账户信息、交易信息等信息的使用,不得超出法律许可和客户授权的范围。除国家法律、行政法规另有规定外,支付机构应当拒绝除客户本人以外的任何单位或个人查询。第五十二条 支付机构应采用适当的加密技术和措施,保证支付指令、交易数据传输的真实、完整、不可抵赖和不被窃取。第五十三条 支付机构应采取必要措施保护交易数据的完整性和可靠性: (一)制定相应的风险控制策略,防止支付业
16、务处理系统发生有意或无意的危害支付交易数据完整性和可靠性的变化;(二)制定应急计划和业务连续性计划;(三)防止交易数据在传送、处理、存储、使用中被非法篡改,且任何非法篡改的企图都能被及时发现并记录;第五十四条 支付机构应采取必要措施为交易数据保密:(一)对交易数据的访问应经合理授权和确认;(二)交易数据须以安全方式保存,并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取;(三)当第三方获取交易数据时,必须符合有关法律法规的规11定以及本机构关于数据使用和保护的标准与控制制度;(四)对交易数据的访问均须登记,并确保该登记不被篡改。 第五十五条 支付机构应确保对互联网支付业务处理系统的操作
17、人员、管理人员以及系统服务商有合理的授权控制:(一)确保进入交易账户或敏感系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的,而且审计监督应能恰当地反映出这些篡改的企图;(二)对认证数据进行的任何查询、添加、删除或更改都应得到必要授权,并具有不可篡改的日志记录。日志记录按会计档案的管理要求进行保存,保存期限不少于 5 年。第五十六条 支付机构采用数字证书或电子签名方式进行客户身份认证和交易授权的,应由合法的第三方认证机构提供认证服务。第五十七条 支付机构应建立互联网支付业务运作重大事项报告制度,及时向所在地中国人民银行分支机构报告业务经营过程中发生的风险事件。第五十八条 支付机构应制定
18、有效的应急计划和风险处理预案,并定期对该计划和预案进行检测。第五十九条 支付机构应建立内部审计机制,定期对互联网支付业务、支付业务处理系统进行审计。第五章 纪律与责任12第六十条 支付机构未尽交易账户审核责任,为其客户开立非实名交易账户,由并由此造成付款人损失的,支付机构承担赔偿责任。第六十一条 支付机构不得拖延更新客户交易账户资料的请求,不得故意延压客户资金,对差错交易取得的不当得利,负有返还义务。支付机构在约定时间内未及时将款项转入客户交易账户的,应按约定承担相应责任。第六十二条 支付机构应加强对交易信息、交易资料的保管,不得泄露、破坏客户资料信息。第六十三条 客户发现交易账户被盗用或遗失
19、,应按与支付机构约定的方式和程序及时通知支付机构,并按双方约定进行处理。第六十四条 支付机构有下列情形之一、给相关当事人造成损失的,应依法承担民事赔偿责任。中国人民银行责令其限期改正,并给予警告或处 1 万元以上 3 万元以下罚款;情节严重的,中国人民银行吊销其支付业务许可证 。构成犯罪的,依法追究刑事责任。(一)未按实名制原则为客户开立交易账户的;(二)未按本办法规定使用、止付、撤销交易账户,或未为交易账户关联同名银行账户的;(三)未按本办法规定记录、保存、使用客户个人信息、交易信息的;13(四)未建立有效的业务管理制度、内部控制制度和风险管理措施的;(五)运营的支付业务处理系统及其备份系统的服务器未按规定设置在中华人民共和国境内的;(六)未制定有效的应急计划、风险处理预案和内部审计机制的;(七)未按本办法规定处理互联网支付业务差错、公开披露相关信息的;(八)未及时向中国人民银行及其分支机构报送信息资料的;(九)违反本办法的其他行为。第六章 附则第六十五条 本办法由中国人民银行负责解释和修订。本办法自发布之日起实施。
