《支付机构互联网支付业务管理办法》.doc

1、支付机构互联网支付业务管理办法（征求意见稿）第一章 总则第一条 为规范与促进互联网支付业务发展,防范支付风险，保护当事人得合法权益，根据中华人民共与国中国人民银行法、非金融机构支付服务管理办法等法律制度，制定本办法。第二条 支付机构提供互联网支付服务,适用本办法。本办法所称支付机构就是指依据中国人民银行非金融机构支付服务管理办法规定,取得支付业务许可证，获准办理互联网支付业务得非金融机构。本办法所称互联网支付就是指客户为购买特定商品或服务，通过计算机等设备，依托互联网发起支付指令，实现货币资金转移得行为.第三条 按照支付机构提供得支付服务方式不同，互联网支付分为银行账户模式与支付账户模式。银行

2、账户模式就是指付款人通过支付机构向开户银行提交支付指令，直接将银行账户内得货币资金转入收款人指定账户得支付方式。支付账户模式就是指付款人直接向支付机构提交支付指令，将支付账户内得货币资金转入收款人指定账户得支付方式。第四条 支付机构开展互联网支付业务,应拥有并运营独立、安全、可靠得支付业务处理系统，该系统及其备份系统得服务器应设置在中华人民共与国境内。第五条 支付机构应当遵循“了解您得客户”原则,建立健全与执行客户身份识别制度.第六条 支付机构不得为客户提供账户透支、现金存取与融资服务.第七条 支付机构应按照中国人民银行相关规定，履行反洗钱与反恐怖融资义务。第八条 支付机构应遵循安全、效率、诚

3、信与公平竞争得原则，为客户提供可靠、便捷得互联网支付服务,对提供互联网支付服务中获取得客户身份信息与交易信息予以保密。第九条 支付机构开展互联网支付业务,应建立有效得业务管理制度、内部控制制度与风险管理制度.第十条 支付机构开展互联网支付业务，应遵守相关法律制度,不得损害国家利益、社会公共利益与客户合法权益。第二章 支付账户管理第十一条 支付账户就是指支付机构根据客户申请,为客户开立得具有记录客户资金交易与资金余额功能得电子账簿.根据账户开立主体不同，支付账户分为单位支付账户与个人支付账户。单位支付账户就是指客户凭机关、团体、部队、企业、事业单位、其她组织等组织资质以单位名称开立得支付账户；个

4、人支付账户就是指客户凭个人身份证件以自然人名称开立得支付账户.个体工商户凭营业执照以字号或经营者姓名开立得支付账户纳入单位支付账户管理。第十二条 支付机构应根据审慎性原则,确定开立支付账户客户得资质.第十三条 支付账户得开立实行实名制。支付机构对客户身份信息得真实性负责。支付机构不得为客户开立匿名、假名支付账户。第十四条 个人客户申请开立支付账户时,支付机构应登记客户得姓名、性别、国籍、职业、住址、联系方式以及客户有效身份证件得种类、号码与有效期限等身份信息，并对客户姓名、性别、有效身份证件得种类与号码等基本身份信息得真实性进行审核。个人支付账户单笔收付金额超过万元,个人客户开立得所有支付账户

5、月收付金额累计超过万元或资金余额连续0天超过5000元得,支付机构还应留存个人客户得有效身份证件得复印件或者影印件。第十五条 客户申请开立单位支付账户时，支付机构应登记以下基本信息:（一）单位名称、地址、经营范围、税务登记证号码、组织机构代码（按规定无须取得税务登记证或无法取得组织机构代码证得除外)；（二）可证明该客户依法设立或者依法开展经营、社会活动得执照、证件或者文件得名称、号码与有效期限；(三)法定代表人（负责人）与授权办理业务人员得姓名、有效身份证件得种类、号码与有效期限.支付机构应核对单位及其法定代表人（负责人)与授权办理业务人员得有效身份证件信息，并留存其复印件或者影印件。第十六条

6、 支付机构为客户开立支付账户,应与客户签订书面协议.协议内容包括但不限于:(一）支付账户得开立、使用、挂失、止付与撤销得条件;(二)身份验证与支付授权方式;(三)客户对支付机构核验其银行账户信息与身份信息真实性得授权；(四）支付账户使用规则,以及违规使用得处置与责任;（五）支付账户资金变动通知方式； （六）发现支付账户被盗用后得通知与处置方式;（七）客户身份信息与交易信息得保密责任；（八)双方得其她权利与义务。第十七条 同一客户在同一支付机构开立多个支付账户得,支付机构应采取有效措施确保多个支付账户为同名账户，且多个支付账户中登记得客户基本身份信息一致。支付机构应为同一客户建立唯一得客户身份识

7、别号，对该客户开立得所有支付账户进行统一管理。第十八条 客户在同一支付机构开立得所有支付账户须关联本客户银行账户,支付账户得名称应与该客户所关联得银行账户名称一致.支付机构应通过有效方式,对支付账户所关联得银行账户信息与客户身份信息进行核验。个人客户向在同一支付机构开立得所有支付账户月累计充值金额合计小于100元得，可不关联银行账户.未关联银行账户得支付账户可用于付款、接受交易退款，但不得用于收款。第十九条 支付机构通过合理、有效方式确认客户真实身份并履行通知义务后,支付账户方可生效。按规定应关联银行账户得支付账户,支付机构应在采取有效方式验证该支付账户与银行账户为同一客户持有并至少完成一个银

8、行账户关联后方可生效。第二十条 客户应通过关联银行账户为支付账户充值。未关联银行账户得,可通过非关联银行账户或经中国人民银行批准得“仅限线上实名支付账户充值”得同一支付机构预付卡为支付账户充值.通过非关联银行账户或同一支付机构预付卡充值得,同一客户得充值金额月累计不得超过100元。通过同一支付机构预付卡充值得资金仅限用于互联网支付，不得赎回。客户不得利用信用卡透支为支付账户充值.第二十一条 支付机构可提供银行账户模式与支付账户模式服务。（一） 银行账户模式下，付款人银行账户向收款人银行账户或支付账户转出;（二） 支付账户模式下，付款人支付账户向收款人银行账户或支付账户转出。第二十二条 同一客户

9、在同一支付机构开立多个支付账户得，支付账户内得资金可互相划转。不同支付机构得支付账户内得资金不得互相划转。第二十三条 客户办理充值资金退回业务时,应将支付账户内得充值未用资金按照后充先退原则，原路退回至银行账户.第二十四条 除电子商务交易付款、公用事业缴费、信用卡还款、购买特定金融产品及交易退款外,客户支付账户内得资金应通过划转关联银行账户得方式实现资金转出支付机构。第二十五条 支付机构应提醒客户将支付账户得资金余额保持在合理水平，不得以任何形式引导、鼓励客户在支付账户存放资金。个人客户在同一支付机构开立得所有支付账户日终资金合计余额连续10天超过5000元、单位客户在同一支付机构开立得所有支

10、付账户日终资金合计余额连续10天超过5万元得，支付机构应及时提醒客户降低支付账户资金余额。第二十六条 支付机构不得为任何单位或个人查询支付账户信息资料，不得随意冻结、扣划支付账户内得资金.国家法律法规另有规定或与客户另有约定得除外。第二十七条 客户申请支付账户查询、挂失、止付、撤销得，应由本人向支付机构提出申请。支付机构应在确认客户身份后予以及时办理。客户申请撤销支付账户得,应确认该支付账户项下所有款项均已结清。第二十八条 客户得基本身份信息发生变更得,应及时通知支付机构，支付机构应在核实客户身份后予以更新.客户身份证件逾有效期得,支付机构应要求客户重新提供有效得身份证件信息,支付机构应予以核

11、验，并按本办法规定留存有效身份证件得复印件或影印件。第二十九条 客户或支付机构发现支付账户被盗用得，应按双方约定得方式与程序及时通知对方,并按约定进行处理.第三十条 客户未遵守支付账户管理规定得,支付机构应按双方协议对支付账户得使用采取限制措施.第三十一条 支付账户只能由本人使用,不得出租、出借支付账户。第三章 业务管理第三十二条 支付机构为客户提供银行账户模式服务，单笔资金金额在人民币1万元以上得，应在提供服务前要求客户登记本人得姓名、有效身份证件种类、号码与有效期限，并通过合理手段核对客户有效身份证件信息得真实性。第三十三条 支付机构应为支付账户提供安全可靠得密码、密钥或电子签名等身份验证

12、与支付授权方式。客户挂失或重置密码、密钥或数字证书，支付机构应在确认客户身份后予以及时办理。第三十四条 支付机构只能为电子商务交易、公用事业缴费、信用卡还款、购买特定金融产品或经中国人民银行批准得其她业务提供互联网支付服务.第三十五条 支付机构要求客户提供有关资料信息时，应告知客户所提供信息得使用目得与范围、安全保护措施、以及客户未提供信息或提供虚假信息得后果.第三十六条 支付机构提供互联网支付服务，应与客户签订书面协议。协议内容包括但不限于:(一）互联网支付业务得类型与基本规则;（二)身份验证方式与支付授权方式；(三）资金结算时间与方式；（四）向客户提供交易记录得时间与方式;（五）收费项目与

13、标准；（六)争议及差错处理与损害赔偿责任；(七）服务终止得情形；（八）双方得其她权利与义务。第三十七条 互联网支付指令应记载下列事项： (一）付款人名称,银行账户账号或支付账户账号;（二）收款人名称，银行账户账号或支付账户账号；（三）确定得金额;（四)付款人与支付机构约定得身份验证与支付授权信息；（五)支付指令得发起时间;（六）业务类型;(七)付款人得开户银行名称或开户支付机构名称;(八)收款人得开户银行名称或开户支付机构名称；（九）客户有效身份证件种类与号码。欠缺记载上述前五项事项之一得,支付指令无效。第三十八条 在支付账户模式下,支付机构应采取有效措施,在客户发出支付指令前，提示客户对支付

14、指令得准确性进行确认.第三十九条 客户发出得支付指令经支付机构确认后产生支付效力。第四十条 在银行账户模式下，支付机构应及时传递、记录支付指令信息，并将结果及时通知客户.在支付账户模式下，支付机构应在确认客户真实身份与该支付指令真实后，借记客户支付账户，记录支付指令信息,并及时将结果通知客户.第四十一条 支付机构应建立确保支付指令被正确传递与执行得支付业务处理系统，保证支付指令得完整性、一致性与不可抵赖性.第四十二条 由于超时、无响应或系统故障等原因无法正常处理支付指令得,支付机构应及时向客户发出提示.第四十三条 客户发现自身未按规定操作,或由于自身其她原因造成支付指令未执行、未适当执行、延迟

15、执行得，应在协议约定得时间内,按照约定程序与方式通知支付机构。支付机构应积极调查并告知客户调查结果.支付机构发现因客户原因造成支付指令未执行、未适当执行、延迟执行得,应主动通知客户改正或配合客户采取补救措施.第四十四条 支付机构应按照据实、准确与及时得原则处理差错交易，指定相应部门与人员负责互联网支付业务差错处理,并明确相关人员得操作权限与职责。第四十五条 客户根据有关业务规则办理退款得，支付机构应将相应款项划回原发出支付指令得付款人账户。因付款人销户等原因而无法退回原账户得,可根据有关规定退回到付款人得同名银行账户或付款人在同一支付机构得同名支付账户。第四十六条 支付机构应免费为客户提供上溯

16、一年得支付信息查询服务。第四十七条 支付机构调整互联网支付服务得收费项目、收费标准时,应通过有效方式提前0天通知客户。第四十八条 支付机构提供互联网支付服务,应向客户公开披露以下信息:（一）支付机构名称、营业地址与联系方式；(二）所提供得互联网支付业务类型、操作规程、收费项目与收费标准；（三)办理互联网支付业务可能产生得风险,提醒客户妥善保管密码、密钥、数字证书等警示性信息；（四）退款规则及处理流程；（五)争议及差错处理方法；（六）中国人民银行规定得其她需要公开披露得信息。第四十九条 支付机构对客户得基本信息与支付指令信息应按会计档案要求，以纸质或电子方式妥善保存,并便于调阅。第四章 特约商户

17、管理第五十条 支付机构只能发展互联网特约商户。互联网特约商户(以下简称特约商户）就是指基于互联网信息系统直接向消费者销售商品或提供服务,并接受支付机构互联网支付服务完成资金结算得法人、其她组织或自然人.第五十一条 支付机构负责发展特约商户、发放支付插件、处理相关交易并承担相关支付风险。第五十二条 支付机构应在付款人确认付款得当日至迟下一工作日将相应资金转入特约商户得银行账户或支付账户.支付机构与特约商户另行约定结算时间得,从其约定.第五十三条 支付机构不得发展以下特约商户：（一)非法设立得；（二)从事非法经营活动得；（三)商户或其法定代表人、负责人已被列入中国人民银行指定得不良信息系统得.第五

18、十四条 支付机构应制定特约商户审批流程与审批制度，明确审批权限，指定专人负责特约商户审批工作。特约商户审批岗位不得与特约商户拓展等相关岗位兼岗。第五十五条 支付机构发展特约商户要落实实名制,要严格审核特约商户申请材料得真实性、完整性、有效性，并留存特约商户有效身份证件影印件或复印件。对于申请材料虚假、缺失、要素不全或不合规得,不得审批通过。对企业单位及个体工商户应至少核验营业执照、税务登记证、单位银行结算账户开户许可证、法定代表人或负责人有效身份证件。无税务登记证得企业单位及个体工商户，应出示无需办理税务登记证得证明文件或经营期间得完税证明材料。行政事业单位与社会团体,应至少核验组织机构代码证

19、或事业单位法人证书、法定代表人或负责人有效身份证件。月累计销售金额高于5万元得个人商户,支付机构应予以重点关注，必要时应采取实地调查、核验个人有效身份证件原件等更严格得风险管理措施。第五十六条 支付机构应与特约商户直接签订收款服务协议,并将款项直接结算至双方在收款服务协议中约定得账户。支付机构与特约商户不得委托她人代理签约、代理结算。第五十七条 支付机构应测试特约商户网店网络统一资源定位符（U)及网络通讯地址(IP地址）得有效性与安全性，检查站点提供得商品及服务内容、服务条款就是否符合国家相关法律法规规定.第五十八条 支付机构应尊重特约商户对支付机构得自由选择权，不得干涉或变相干涉特约商户与其

20、她支付机构得合作。第五十九条 支付机构应按照金融零售业务商户类别代码(GB/T 08200）正确设置商户类别码。对同时销售多种商品与服务得特约商户,支付机构应区分经营业务得类别分别设置商户类别码。对经营业务类别相互不独立、无法严格区分得特约商户，应按照其主营业务设置特约商户类别码.不同特约商户不得共用同一商户编码。在银行账户模式下,支付机构应在客户通过其向银行机构发出得支付指令后，准确附上标识特约商户得商户名称、商户类别码（MCC）、商户编码等特约商户基本信息.第六十条 除自然人外得特约商户应使用单位账户作为收款账户。对使用个人支付账户与个人银行结算账户作为收款账户得特约商户,信用卡交易受理、

21、额度与使用频率等由发卡行与支付机构根据审慎原则确定。第六十一条 支付机构应按照收款服务协议约定为特约商户提供资金结算及对账服务,妥善、及时处理互联网支付业务产生得差错与争议，保障客户资金安全。支付机构应将交易得差错、退货资金,退回至原支付账户或银行账户,不得截留或退至其她账户。原账户已销户时，支付机构应主动联系客户或发卡机构，确保将相关款项退回本人账户。第六十二条 支付机构应建立特约商户风险评级制度，划分商户风险等级。对风险等级较高得商户，应通过设置特约商户单笔或当日交易限额、强化交易监测、建立商户风险准备金、延迟清算等风险管理措施,防范交易风险。第六十三条 支付机构应建立特约商户检查、评估制

22、度.根据特约商户得风险等级，制定不同得检查、评估频率与方式，并保留相关记录。第六十四条 支付机构不得以任何形式存储客户银行卡卡片验证码、个人标识代码（PIN）、卡片有效期以及银行交易密码,并应采取有效措施防止特约商户与外包服务机构存储银行卡卡片验证码、个人标识代码(I）及卡片有效期等交易验证信息.第六十五条 支付机构为公用事业缴费、信用卡还款业务、购买特定金融产品提供货币资金代收服务得,适用本章对特约商户得管理。第五章 风险管理第六十六条 支付机构开展互联网支付业务采用得信息安全标准、技术标准等应符合中国人民银行关于信息安全与技术标准得有关规定。第六十七条 支付机构为客户开立支付账户接受得备付

23、金得存放、划转与监督,应符合支付机构客户备付金存管暂行办法得规定。第六十八条 支付机构应制定全面得互联网支付风险管理制度，设立风险管理部门或岗位,明确职责分工,建立规范、有效得风险管理体系。第六十九条 支付机构应制定有效得应急计划、业务连续性计划与风险处理预案,并定期进行演练.第七十条 支付机构应建立内部审计机制，定期对互联网支付业务及相关系统进行审计。第七十一条 支付机构应采取有效安全措施保护支付指令及所附信息得安全传输,防止客户信息泄露、支付指令被篡改。第七十二条 支付机构应采取必要措施确保支付信息得完整性与可靠性:（一)制定相应得风险控制策略，防止支付业务处理系统发生危害支付交易数据完整

24、性与可靠性得变化；（二）防止支付信息在传送、处理、存储、使用中被非法篡改，且任何非法篡改得行为都能被及时发现并记录.第七十三条 支付机构对客户身份信息与支付信息等信息得使用,不得超出法律许可与客户授权得范围,并应采取必要措施为客户信息保密：(一)客户信息须以安全方式保存与传输,并防止其被擅自查瞧或非法截取； （二）对客户信息得访问应经合法授权与确认，并须登记且确保该登记不被篡改。第七十四条 除法律法规另有规定或客户书面同意外,支付机构不得向其她机构与个人提供客户信息。第七十五条 支付机构应确保对互联网支付业务处理系统得操作人员、管理人员以及系统服务商有合理得授权控制:（一)确保进入账户系统等核

25、心系统所需得认证数据免遭篡改与破坏.对此类篡改都应就是可侦测得,而且审计监督应能恰当地反映出这些篡改行为；(二）对认证数据进行得任何查询、添加、删除或更改都应得到必要授权,并具有不可篡改得日志记录。日志记录按会计档案得管理要求进行保存。第七十六条 支付机构采用电子签名方式进行客户身份认证与支付交易授权得,应由合法得第三方认证机构提供认证服务。第七十七条 支付机构可根据有关规定将互联网支付业务得账户管理与业务处理等核心业务以外得业务外包给合法得专业化服务机构，但其对客户得义务及相应责任不因外包关系得确立而转移。支付机构应与开展互联网支付外包业务得专业化服务机构签订协议，并确立一套综合性、持续性得

26、程序，以管理其外包关系.支付机构应确保与其签约得专业化服务机构不得从事或变相从事支付业务,但该机构取得相应支付业务许可得除外。第七十八条 客户提供得身份信息与银行账户信息经多次验证仍未通过得,支付机构应予以重点关注,并暂停相关业务处理；支付机构发现银行账户信息或支付账户信息被盗取、欺诈、洗钱等风险事件得，应对客户采取暂停交易、限制账户使用等相关措施;对于涉嫌犯罪得,应立即向当地公安机关报案,同时向所在地中国人民银行分支机构报告。第六章监督管理第七十九条 中国人民银行依法对支付机构互联网支付业务活动、内部控制、信息安全、风险状况等进行定期或不定期现场检查与非现场检查。第八十条 支付机构应协助配合

27、中国人民银行及其分支机构开展现场检查及非现场检查,定期报送互联网支付业务统计报表与相关信息。第八十一条 互联网支付业务自律组织应制定业务自律规范,通过现场检查与非现场检查等手段,督促支付机构遵守自律规范,维护市场秩序、促进公平竞争.第八十二条 支付机构应提前15日向所在地中国人民银行分支机构报告如下事项:（一)向客户提供新得互联网支付业务产品与服务;(二)新增、变更收费项目、收费标准；(三)对客户服务规则得变更；（四)互联网支付业务系统停运、升级换版;（五）其她可能对客户、互联网支付市场产生重要影响得事项。第八十三条 支付机构应建立互联网支付业务运作重大事项报告制度，及时向所在地中国人民银行分

28、支机构报告业务经营过程中发生得风险事件.重大事项包括但不限于：（一)发现业务系统安全存在重大隐患或发现互联网支付业务系统被恶意攻击并出现10户(含）以上客户损失；（二)发生因支付机构原因导致客户或交易信息泄露等信息安全事件得,涉及客户数量在0户（含）以上;（三）发现客户利用互联网支付进行洗钱、套现且涉嫌金额较大、客户较多或已移交司法机关得;(四)因突发事件导致业务中止超过1小时得;（五）产生司法纠纷或舆论风波可能影响声誉得。重大事项报告不得超出案件与事件发生后4小时.第八十四条 支付机构应建立自我评估制度，定期对本机构得互联网支付业务开展、支付业务处理系统运营、风险管理、业务外包等情况进行全面

29、评估，并每年向所在地中国人民银行分支机构提交评估报告。第八十五条 支付机构因机构解散、依法被撤销、被宣告破产,或经中国人民银行批准终止业务得，应自解散、被撤销、被宣告破产或被批准终止业务之日起，在大众媒体、支付机构营业场所及其网站显著位置至少公告30日以下事项:（一）互联网支付业务终止原因;(二）互联网支付业务终止时间；（三）客户债权债务清算事项;（四）中国人民银行要求公告得其她事项。第七章 纪律与责任第八十六条 任何单位与个人不得使用虚假资料开立支付账户，不得利用互联网支付业务从事洗钱、信用卡套现等违法犯罪活动。第八十七条 客户应妥善保管与正确使用支付账户及其密码、密钥或数字证书。第八十八条

30、 支付机构应及时为客户办理互联网支付业务,不得延压客户资金。第八十九条 支付机构未尽审核责任，为其客户开立非实名账户，并由此造成付款人损失得,由支付机构承担相应赔偿责任.第九十条 客户有下列情形之一得，支付机构应当停止为其提供互联网支付服务：（一）使用虚假资料开立支付账户得;（二）利用互联网支付从事违法犯罪活动得；（三)中国人民银行规定得其她违规情况。第九十一条 支付机构有下列情形之一得，由中国人民银行分支机构依据非金融机构支付服务管理办法第四十二条予以处罚：（一）未建立有效得业务管理制度、内部控制制度与风险管理制度得；（二）未制定有效得应急计划、风险处理预案与内部审计机制得;（三)未公开披露

31、相关信息得；(四）未及时向中国人民银行及其分支机构报送信息资料得。第九十二条 支付机构有下列情形之一得,由中国人民银行及其分支机构依据非金融机构支付服务管理办法第四十三条予以处罚:(一）未按本办法规定使用、止付、撤销支付账户或为支付账户关联非本人银行账户得;（二）未经客户授权擅自将客户信息发送银行验证得;（三)运营得支付业务处理系统及其备份系统得服务器未按规定设置在中华人民共与国境内得;（四）未按本办法规定记录、保存、使用客户身份信息与支付信息得；（五)未按本办法规定处理互联网支付业务差错得；（六）违反本办法得其她行为。第九十三条 支付机构未按实名制原则为客户开立支付账户与发展特约商户得，由中国人民银行及其分支机构依据非金融机构支付服务管理办法第四十四条予以处罚。未取得互联网支付相关业务资质，擅自或变相开展互联网支付业务得，由中国人民银行及其分支机构责令终止其互联网支付业务;涉嫌犯罪得,依法移送公安机关立案侦查;构成犯罪得，依法追究刑事责任.第八章 附则第九十四条 本办法由中国人民银行负责解释与修订。第九十五条 本办法自发布之日起实施.