非银行支付机构网络支付业务管理办法(2016网络支付新规全文讲解

《非银行支付机构网络支付业务管理办法(2016网络支付新规全文讲解》由会员分享，可在线阅读，更多相关《非银行支付机构网络支付业务管理办法(2016网络支付新规全文讲解（13页珍藏版）》请在装配图网上搜索。

1、目录第一章总则第二章客户管理第三章业务管理第四章风险管理与客户权益保护第五章监督管理第六章法律责任第七章附则非银行支付机构网络支付业务管理办法是为规范非银行支付机构似下简 称支付机构网络支付业务，防范支付风险,保护当事人合法权益，根据中华人民共 和国中国人民银行法、非金融机构支付服务管理办法等规定制定。由中国人 民银行于2015年12月28日发布，自2016年7月1日起施行。| w-t 层X第一条为规范非银行支付机构以下简称支付机构网络支付业务，防范支付风 险,保护当事人合法权益，根据中华人民共和国中国人民银行法、非金融机构 支付服务管理办法冲国人民银行令2010第2号发布等规定，制定本办法。

2、第二条支付机构从事网络支付业务，适用本办法。本办法所称支付机构是指依 法取得支付业务许可证，获准办理互联网支付、移动电话支付、固定电话支 付、数字电视支付等网络支付业务的非银行机构。本办法所称网络支付业务，是指 收款人或付款人通过计算机、移动终端等电子设备，依托公共网络信息系统远程发 起支付指令，且付款人电子设备不与收款人特定专属设备交互，由支付机构为收付款 人提供货币资金转移服务的活动。本办法所称收款人特定专属设备,是指专门用于 交易收款，在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指 令的电子设备。第三条支付机构应当遵循主要服务电子商务发展和为社会提供小额、快捷、 便民小微

3、支付服务的宗旨,基于客户的银行账户或者按照本办法规定为客户开立支 付账户提供网络支付服务。本办法所称支付账户，是指获得互联网支付业务许可的 支付机构，根据客户的真实意愿为其开立的，用于记录预付交易资金余额、客户凭以 发起支付指令、反映交易明细信息的电子簿记。支付账户不得透支，不得出借、出 租、出售，不得利用支付账户从事或者协助他人从事非法活动。第四条支付机构基于银行卡为客户提供网络支付服务的，应当执行银行卡业务 相关监管规定和银行卡行业规范。支付机构对特约商户的拓展与管理、业务与风险 管理应当执行银行卡收单业务管理办法中国人民银行公告2013第9号公 布等相关规定。支付机构网络支付服务涉及跨境

4、人民币结算和外汇支付的,应当执 行中国人民银行、国家外汇管理局相关规定。支付机构应当依法维护当事人合法 权益,遵守反洗钱和反恐怖融资相关规定，履行反洗钱和反恐怖融资义务。第五条支付机构依照中国人民银行有关规定接受分类评价，并执行相应的分类 监管措施。|期一章息X第六条支付机构应当遵循“了解你的客户”原则，建立健全客户身份识别机制。 支付机构为客户开立支付账户的，应当对客户实行实名制管理,登记并采取有效措施 验证客户身份基本信息，按规定核对有效身份证件并留存有效身份证件复印件或者 影印件，建立客户唯一识别编码，并在与客户业务关系存续期间采取持续的身份识别 措施，确保有效核实客户身份及其真实意愿,

5、不得开立匿名、假名支付账户。第七条支付机构应当与客户签订服务协议，约定双方责任、权利和义务，至少明 确业务规则包括但不限于业务功能和流程、身份识别和交易验证方式、资金结算 方式等，收费项目和标准，查询、差错争议及投诉等服务流程和规则,业务风险和非 法活动防范及处置措施，客户损失责任划分和赔付规则等内容。支付机构为客户开 立支付账户的，还应在服务协议中以显著方式告知客户，并采取有效方式确认客户 充分知晓并清晰理解下列内容:“支付账户所记录的资金余额不同于客户本人的银行 存款，不受存款保险条例保护,其实质为客户委托支付机构保管的、所有权归属 于客户的预付价值。该预付价值对应的货币资金虽然属于客户，

6、但不以客户本人名 义存放在银行，而是以支付机构名义存放在银行，并且由支付机构向银行发起资金调 拨指令。”支付机构应当确保协议内容清晰、易懂，并以显著方式提示客户注意与 其有重大利害关系的事项。第八条获得互联网支付业务许可的支付机构，经客户主 动提出申请,可为其开立支付账户；仅获得移动电话支付、固定电话支付、数字电 视支付业务许可的支付机构，不得为客户开立支付账户。支付机构不得为金融机构, 以及从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构开立支 付账户。I w-t 忌X第九条支付机构不得经营或者变相经营证券、保险、信贷、融资、理财、担 保、信托、货币兑换、现金存取等业务。第十条

7、支付机构向客户开户银行发送支付指令，扣划客户银行账户资金的，支付 机构和银行应当执行下列要求:支付机构应当事先或在首笔交易时自主识别客 户身份并分别取得客户和银行的协议授权，同意其向客户的银行账户发起支付指令 扣划资金;二 银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订 授权协议，明确约定扣款适用范围和交易验证方式，设立与客户风险承受能力相匹配 的单笔和单日累计交易限额，承诺无条件全额承担此类交易的风险损失先行赔付责 任;三除单笔金额不超过200元的小额支付业务,公共事业缴费、税费缴纳、信用 卡还款等收款人固定并且定期发生的支付业务,以及符合第三十七条规定的情形以 外，支付机构不得

8、代替银行进行交易验证。第条支付机构应根据客户身份对同一客户在本机构开立的所有支付账户进行关联管理，并按照下列要求对个人支付账户进行分类管理:一对于以非面对面 方式通过至少一个合法安全的外部渠道进行身份基本信息验证, 且为首次在本机构 开立支付账户的个人客户，支付机构可以为其开立I类支付账户，账户余额仅可用于 消费和转账,余额付款交易自账户开立起累计不超过 1000元 包括支付账户向客户 本人同名银行账户转账 ;二 对于支付机构自主或委托合作机构以面对面方式核实 身份的个人客 户，或以非面对面方式通过至少三个合法安全的外部渠道进行身份基 本信息多重交叉验证的个人客户，支付机构可以为其开立II类支

9、付账户，账户余额仅 可用于消费和转账，其所有支付账户的余额付款交易年累计不超过 10万元 不包括 支付账户向客户本人同名银行账户转账 ;三 对于支付机构自主或委托合作机构以 面对面方式核实身份的个人 客户，或以非面对面方式通过至少五个合法安全的外部 渠道进行身份基本信息多重交叉验证的个人客户，支付机构可以为其开立III类支付 账户，账户余额可以用于消费、转账以及购买投资理财等金融类产品，其所有支付 账户的余额付款交易年累计不超过 20万元 不包括支付账户向客户本人同名银行 账户转账 。客户身份基本信息外部验证渠道包括但不限于政府部门数据库、商业 银行信息系统、商业化数据库等。其中，通过商业银行

10、验证个人客户身份基本信息 的，应为I类银行账户或信用卡。第十二条 支付机构办理银行账户与支付账户之间转账业务的，相关银行账户与 支付账户应属于同一客户。支付机构应按照与客户的约定及时办理支付账户向客户 本人银行账户转账业务,不得对II类、III类支付账户向客户本人银行账户转账设置 限额。第十三条支付机构为客户办理本机构发行的预付卡向支付账户转账的，应当按 照支付机构预付卡业务管理办法 中国人民银行公告 2012第 12号公布 相 关 规定对预付卡转账至支付账户的余额单独管理，仅限其用于消费，不得通过转账、 购买投资理财等金融类产品等形式进行套现或者变相套现。第十四条 支付机构应当确保交易信息的

11、真实性、完整性、可追溯性以及在支 付全流程中的一致性，不得篡改或者隐匿交易信息。交易信息包括但不限于下列内 容: 一 交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间，以及直 接向客户提供商品或者服务的特约商户名称、编码和按照国家与金融行业标准设置 的商户类别码；二收付款客户名称，收付款支付账户账号或者银行账户的开户银 行名称及账号;三付款客户的身份验证和交易授权信息；四有效追溯交易的标 识;五单位客户单笔超过5万元的转账业务的付款用途和事由。第十五条因交易取消撤销、退货、交易不成功或者投资理财等金融类产品 赎回等原因需划回资金的，相应款项应当划回原扣款账户。第十六条对于客户的网络支

12、付业务操作行为，支付机构应当在确认客户身份及 真实意愿后及时办理，并在操作生效之日起至少五年内，真实、完整保存操作记录。 客户操作行为包括但不限于登录和注销登录、身份识别和交易验证、变更身份信息 和联系方式、调整业务功能、调整交易限额、变更资金收付方式，以及变更或挂失 密码、数字证书、电子签名等。0第十七条支付机构应当综合客户类型、身份核实方式、交易行为特征、资信 状况等因素，建立客户风险评级管理制度和机制,并动态调整客户风险评级及相关风 险控制措施。支付机构应当根据客户风险评级、交易验证方式、交易渠道、交易终 端或接口类型、交易类型、交易金额、交易时间、商户类别等因素,建立交易风险 管理制度

13、和交易监测系统，对疑似欺诈、套现、洗钱、非法融资、恐怖融资等交易, 及时采取调查核实、延迟结算、终止服务等措施。第十八条支付机构应当向客户充分提示网络支付业务的潜在风险，及时揭示不 法分子新型作案手段，对客户进行必要的安全教育，并对高风险业务在操作前、操作 中进行风险警示。支付机构为客户购买合作机构的金融类产品提供网络支付服务 的,应当确保合作机构为取得相应经营资质并依法开展业务的机构，并在首次购买时 向客户展示合作机构信息和产品信息，充分提示相关责任、权利、义务及潜在风险, 协助客户与合作机构完成协议签订。第十九条支付机构应当建立健全风险准备金制度和交易赔付制度，并对不能有 效证明因客户原因

14、导致的资金损失及时先行全额赔付，保障客户合法权益。支付机 构应于每年 1月 31日前,将前一年度发生的风险事件、 客户风险损失发生和赔付 等情况在网站对外公告。 支付机构应在年度监管报告中如实反映上述内容和风险 准备金计提、 使用及结余等情况。第二十条 支付机构应当依照中国人民银行有关客户信息保护的规定,制定有效 的客户信息保护措施和风险控制机制,履行客户信息保护责任。支付机构不得存储 客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息,原则上不得存储银 行卡有效期。因特殊业务需要,支付机构确需存储客户银行卡有效期的,应当取得客 户和开 户银行的授权,以加密形式存储。支付机构应当以“最小化

15、”原则采集、使 用、存储和传输客户信息,并告知客户相关信息的使用目的和范围。支付机构不得 向其他机构或个 人提供客户信息,法律法规另有规定,以及经客户本人逐项确认并授 权的除外。第二十一条 支付机构应当通过协议约定禁止特约商户存储客户银行卡的磁道 信息或芯片信息、验证码、有效期、密码等敏感信息,并采取定期检查、技术监测 等 必要监督措施。特约商户违反协议约定存储上述敏感信息的 ,支付机构应当立即 暂停或者终止为其提供网络支付服务,采取有效措施删除敏感信息、防止信息泄露, 并依法承 担因相关信息泄露造成的损失和责任。第二十二条 支付机构可以组合选用下列三类要素,对客户使用支付账户余额付 款的交易

16、进行验证:一 仅客户本人知悉的要素, 如静态密码等 ;二 仅客户本人持 有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子 签名,以及通过安全渠道生成和传输的一次性密码等 ;三 客户本人生理特征要素,如 指 纹等。支付机构应当确保采用的要素相互独立 ,部分要素的损坏或者泄露不应导 致其他要素损坏或者泄露。第二十三条 支付机构采用数字证书、电子签名作为验证要素的,数字证书及生 成电子签名的过程应符合中华人民共和国电子签名法、金融电子认证规范 JR/T0118-2015等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖 性。支付机构采用一次性密码作为验证要素的,应当切

17、实防范一次性密码获取端与 支付指令发起端为相同物理设备而带来的风险, 并将一次性密码有效期严格限制在 最短的必要时间内。 支付机构采用客户本人生理特征作为验证要素的, 应当符合国 家、金融行业标准 和相关信息安全管理要求,防止被非法存储、复制或重放。第二十四条 支付机构应根据交易验证方式的安全级别,按照下列要求对个人客 户使用支付账户余额付款的交易进行限额管理:一 支付机构采用包括数字证书或 电子签名在内的两类 含 以上有效要素进行验证的交易,单日累计限额由支付机构 与客户通过协议自主约定 ;二 支付机构采用不包括数字证书、电子签名在内的两 类 含 以 上有效要素进行验证的交易, 单个客户所有

18、支付账户单日累计金额应不超 过 5000 元 不包括支付账户向客户本人同名银行账户转账 ;三 支付机构采用不足 两类有效要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过 1000 元 不包括支付账户向客户本人同名银行账户转账 ,且支付机构应当承诺无条件全 额承担此类交易的风险损 失赔付责任。第二十五条 支付机构网络支付业务相关系统设施和技术,应当持续符合国家、 金融行业标准和相关信息安全管理要求。如未符合相关标准和要求,或者尚未形成 国家、金融行业标准,支付机构应当无条件全额承担客户直接风险损失的先行赔付 责任。第二十六条 支付机构应当在境内拥有安全、规范的网络支付业务处理系统及

19、其备份系统,制定突发事件应急预案,保障系统安全性和业务连续性。支付机构为境 内交易提供服务的,应当通过境内业务处理系统完成交易处理,并在境内完成资金结 算。第二十七条 支付机构应当采取有效措施,确保客户在执行支付指令前可对收付 款客户名称和账号、交易金额等交易信息进行确认,并在支付指令完成后及时将结 果通知客户。因交易超时、无响应或者系统故障导致支付指令无法正常处理的,支 付机构应当及时提示客户 ; 因客户原因造成支付指令未执行、未适当执行、延迟执 行的,支 付机构应当主动通知客户更改或者协助客户采取补救措施。第二十八条支付机构应当通过具有合法独立域名的网站和统一的服务电话等 渠道，为客户免费

20、提供至少最近一年以内交易信息查询服务，并建立健全差错争议和 纠纷投诉处理制度,配备专业部门和人员据实、准确、及时处理交易差错和客户投 诉。支付机构应当告知客户相关服务的正确获取途径，指导客户有效辨识服务渠道 的真实性。支付机构应当于每年1月31日前，将前一年度发生的客户投诉数量和类 型、处理完毕的投诉占比、投诉处理速度等情况在网站对外公告。第二十九条支付机构应当充分尊重客户自主选择权，不得强迫客户使用本机构 提供的支付服务，不得阻碍客户使用其他机构提供的支付服务。支付机构应当公平 展示客户可选用的各种资金收付方式，不得以任何形式诱导、强迫客户开立支付账 户或者通过支付账户办理资金收付，不得附加

21、不合理条件。第三十条支付机构因系统升级、调试等原因，需暂停网络支付服务的，应当至少 提前5个工作日予以公告。支付机构变更协议条款、提高服务收费标准或者新设 收费项目的,应当于实施之前在网站等服务渠道以显著方式连续公示30日，并于客户 首次办理相关业务前确认客户知悉且接受拟调整的全部详细内容。第三十一条支付机构提供网络支付创新产品或者服务、停止提供产品或者服 务、与境外机构合作在境内开展网络支付业务的,应当至少提前30日向法人所在地 中国人民银行分支机构报告。支付机构发生重大风险事件的,应当及时向法人所在 地中国人民银行分支机构报告;发现涉嫌违法犯罪的，同时报告公安机关。第三十二条中国人民银行可

22、以结合支付机构的企业资质、风险管控特别是客 户备付金管理等因素，确立支付机构分类监管指标体系，建立持续分类评价工作机制, 并对支付机构实施动态分类管理。具体办法由中国人民银行另行制定。第三十三条评定为“A类且II类、III类支付账户实名比例超过95%的支付机构, 可以采用能够切实落实实名制要求的其他客户身份核实方法,经法人所在地中国人 民银行分支机构评估认可并向中国人民银行备案后实施。第三十四条评定为“A”类且II类、III类支付账户实名比例超过95%的支付机构, 可以对从事电子商务经营活动、不具备工商登记注册条件且相关法律法规允许不 进行工商登记注册的个人客户 以下简称个人卖家 参照单位客户

23、管理,但应建立持 续监测电子商务经营活动、 对个人卖家实施动态管理的有效机制,并向法人所在地 中国人民银行分支机构备案。支付机构参照单位客户管理的个人卖家,应至少符合下列 条件:一 相关电子商务交易平台已依照相关法律法规对其真实身份信息进行审查 和登记, 与其 签订登记协议,建立登记档案并定期核实更新,核发证明个人身份信息 真实合法的标记,加载在其从事电子商务经营活动的主页面醒目位置 ;二 支付机构 已按照开立III类个人支付账户的标准对其完成身份核实；三持续从事电子商务经 营活动满 6个月,且期间使用支付账户收取的经营收入累计超过 20万元。第三十五条评定为“A”类且II类、III类支付账户

24、实名比例超过95%的支付机构, 对于已经实名确认、达到实名制管理要求的支付账户,在办理第十二条第一款所 述 转账业务时,相关银行账户与支付账户可以不属于同一客户。但支付机构应在交易 中向银行准确、完整发送交易渠道、交易终端或接口类型、交易类型、收付款客户 名称和 账号等交易信息。第三十六条评定为“A”类且II类、I类支付账户实名比例超过95%的支付机构, 可以将达到实名制管理要求的II类、I类支付账户的余额付款单日累计限额，提高 至第二十四条规定的2倍。评定为“B”类及以上，且II类、III类支付账户实名比例超 过90%的支付机构，可以将达到实名制管理要求的II类、I类支付账户的余额付款 单

25、日累计限额,提高至第二十四条规定的 1.5倍。第三十七条评定为“A”类的支付机构按照第十条规定办理相关业务时,可以与 银行根据业务需要,通过协议自主约定由支付机构代替进行交易验证的情形,但支付 机构应在交易中向银行完整、准确发送交易渠道、交易终端或接口类型、交易类 型、商户名称、商户编码、商户类别码、收付款客户名称和账号等交易信息 ；银行应核实支付机构验证手段或渠道的安全性，且对客户资金安全的管理责任不因支付 机构代替验证而转移。第三十八条对于评定为“C”及以下、支付账户实名比例较低、对零售支付 体系或社会公众非现金支付信心产生重大影响的支付机构，中国人民银行及其分支 机构可以在第十九条、第二

26、十八条等规定的基础上适度提高公开披露相关信息的 要求，并加强非现场监管和现场检查。第三十九条中国人民银行及其分支机构对照上述分类管理措施相应条件，动态 确定支付机构适用的监管规定并持续监管。支付机构分类评定结果和支付账户实名 比例不符合上述分类管理措施相应条件的，应严格按照第十条、第十一条、第十二 条及第二十四条等相关规定执行。中国人民银行及其分支机构可以根据社会经济 发展情况和支付机构分类管理需要，对支付机构网络支付业务范围、模式、功能、 限额及业务创新等相关管理措施进行适时调整。第四十条支付机构应当加入中国支付清算协会，接受行业自律组织管理。中国 支付清算协会应当根据本办法制定网络支付业务

27、行业自律规范，建立自律审查机制， 向中国人民银行备案后组织实施。自律规范应包括支付机构与客户签订协议的范 本，明确协议应记载和不得记载事项，还应包括支付机构披露有关信息的具体内容和 标准格式。中国支付清算协会应当建立信用承诺制度，要求支付机构以标准格式向 社会公开承诺依法合规开展网络支付业务、保障客户信息安全和资金安全、维护 客户合法权益、如违法违规自愿接受约束和处罚。第六章法律责任。第四条支付机构从事网络支付业务有下列情形之一的，中国人民银行及其 分支机构依据非金融机构支付服务管理办法第四十二条的规定进行处理: 未按规定建立客户实名制管理、支付账户开立与使用、差错争议和纠纷投诉处理、 风险准

28、备金和交易赔付、应急预案等管理制度的；二未按规定建立客户风险评级 管理、支付账户功能与限额管理、客户支付指令验证管理、交易和信息安全管 理、交易监测系统等风险控制机制的，未按规定对支付业务采取有效风险控制措施 的；三未按规定进行风险提示、公开披露相关信息的；四未按规定履行报告义 务的。第四十二条支付机构从事网络支付业务有下列情形之一的，中国人民银行及其 分支机构依据非金融机构支付服务管理办法第四十三条的规定进行处理;情 节严重的，中国人民银行及其分支机构依据中华人民共和国中国人民银行法 第四十六条的规定进行处理:不符合支付机构支付业务系统设施有关要求 的;二 不符合国家、金融行业标准和相关信息

29、安全管理要求的，采用数字证书、电 子签名不符合中华人民共和国电子签名法、金融电子认证规范等规定 的；三为非法交易、虚假交易提供支付服务,发现客户疑似或者涉嫌违法违规行 为未按规定采取有效措施的；四未按规定采取客户支付指令验证措施的；五未真 实、完整、准确反映网络支付交易信息，篡改或者隐匿交易信息的；六未按规定 处理客户信息，或者未履行客户信息保密义务，造成信息泄露隐患或者导致信息泄露 的；七 妨碍客户自主选择支付服务提供主体或资金收付方式的；八 公开披露虚 假信息的；九违规开立支付账户，或擅自经营金融业务活动的。第四十三条支付机构违反反洗钱和反恐怖融资规定的，依据国家有关法律法规 进行处理。I

30、第丸电曲芳旺第四十四条本办法相关用语含义如下:单位客户，是指接受支付机构支付服务的 法人、其他组织或者个体工商户。个人客户,是指接受支付机构支付服务的自然 人。单位客户的身份基本信息，包括客户的名称、地址、经营范围、统一社会信用 代码或组织机构代码；可证明该客户依法设立或者可依法开展经营、社会活动的执 照、证件或者文件的名称、号码和有效期限；法定代表人负责人或授权办理业 务人员的姓名、有效身份证件的种类、号码和有效期限。个人客户的身份基本信息, 包括客户的姓名、国籍、性别、职业、住址、联系方式以及客户有效身份证件的种类、号码和有效期限。法人和其他组织客户的有效身份证件,是指政府有权机关 颁发的

31、能够证明其合法真实身份的证件或文件,包括但不限于营业执照、事业单位法人证书、税务登记证、 组织机构代码证 ; 个体工商户的有效身份证件,包括营业执照、经营者或授权经办 人员的有效身 份证件。个人客户的有效身份证件,包括:在中国境内已登记常住户口 的中国公民为居民身份证,不满十六周岁的,为居民身份证或户口簿 ; 香港、澳门特 别行政区居民为港澳居民往来内地通行证 ; 台湾地区居民为台湾居民来往大陆通 行证 ; 定居国外的中国公民为中国护照 ; 外国公民为护照或者外国人永久居留证 外国边民, 按照边贸结算的有关规定办理 ;法律、行政法规规定的其他身份证明文 件。客户本人,是指客户本单位 单位客户 或者本人 个人客户 。第四十五条 本办法由中国人民银行负责解释和修订。第四十六条本办法自 2016年 7月 1日起施行。