第一章 总则
第一条 为规范非银行支付机构(以下简称支付机构)网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等规定,制定本办法。
第二条 支付机构从事网络支付业务,适用本办法。
本办法所称支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。
本办法所称网络支付业务,是指客户通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,且付款客户电子设备不与收款客户特定专属设备交互,由支付机构为收付款客户提供货币资金转移服务的活动。
本办法所称收款客户特定专属设备,是指专门用于交易收款,在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。
第三条 支付机构应当遵循主要服务于电子商务交易的原则,基于客户的银行账户或者按照本办法规定为客户开立支付账户提供网络支付服务。
本办法所称支付账户,是指获得互联网支付业务许可的支付机构,根据客户的真实意愿为其开立的,用于记录预付交易资金余额、凭以发起支付指令、反映支付交易明细信息的电子簿记。
第四条 支付机构应当依法维护当事人的合法权益,保障客户信息安全和资金安全。
第五条 支付机构开展网络支付业务,应当落实实名制管理要求,遵守反洗钱和反恐怖融资相关规定,履行反洗钱和反恐怖融资义务;涉及跨境人民币结算和外汇支付业务的,应当按照中国人民银行、国家外汇管理局相关规定执行。
第二章 客户管理
第六条 支付机构应当遵循“了解你的客户”原则,采取有效措施核实并依法留存客户身份基本信息,建立客户唯一识别编码。
第七条 支付机构为客户提供网络支付服务,应当与客户签订服务协议,至少约定下列内容:
(一)支付机构名称、营业地址、网站地址及联系方式;
(二)支付机构提供的网络支付业务类型和业务规则;
(三)支付机构对客户支付指令的验证方式;
(四)收费项目和收费标准;
(五)客户资金结算方式,以及支付机构为此提供相关支付便利的义务;
(六)支付机构为防范欺诈等业务风险及洗钱、恐怖融资等非法活动,可以对支付服务采取的限制性措施;
(七)支付机构与客户的相关责任、权利和义务。
支付机构应当以显著方式提示客户注意服务协议中与客户有重大利害关系的核心事项,并按客户的要求予以解释或说明。
第八条 获得互联网支付业务许可的支付机构,应当经客户主动提出申请,方为其开立支付账户;仅获得移动电话支付、固定电话支付、数字电视支付业务许可的支付机构,不得为客户开立支付账户。
支付机构不得为金融机构,以及从事信贷、融资、理财、担保、货币兑换等金融业务的其他机构开立支付账户。
第九条 支付机构为客户开立支付账户的,应当对客户实行实名制管理,登记客户身份基本信息,核实客户有效身份证件,按规定留存有效身份证件复印件或者影印件,并通过三个(含)以上合法安全的外部渠道对客户身份基本信息进行多重交叉验证,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。
外部验证渠道包括但不限于政府部门数据库、商业银行账户信息系统、商业化数据库等能够有效验证客户身份基本信息的数据库或系统。
第十条 支付机构为客户开立支付账户的,服务协议应当至少包括下列内容:
(一)以显著方式明确告知客户:“支付账户所记录的资金余额不同于客户本人的商业银行货币存款,其实质为客户向支付机构购买的、所有权归属于客户并由支付机构保管的预付价值,不受《存款保险条例》保护。该预付价值对应的货币资金的所有权归属于客户,但以支付机构的名义存放在商业银行,可由支付机构向其开户银行发起支付指令进行调拨。”支付机构应当采取有效方式要求客户确认已充分知晓并清晰理解上述内容及相关风险;
(二)支付账户开立、使用、挂失、止付、注销的规则;
(三)违规开立或者使用支付账户的处置方式;
(四)支付账户资金变动的通知方式和异常交易的处置方式;
(五)支付机构对风险损失承担先行赔付责任的条件,及客户承担风险损失的单笔、累计最高限额及其条件。
第十一条 支付账户不得出借、出租、出售,不得利用支付账户从事或者协助他人从事非法活动。
第十二条 客户变更身份信息,重置或者挂失密码、数字证书或者电子签名,办理支付账户止付、注销业务的,支付机构应当在确认客户身份及真实意愿后及时办理。
第三章 业务管理
第十三条 支付机构不得为客户办理或者变相办理现金存取、信贷、融资、理财、担保、货币兑换业务。
第十四条 支付机构基于银行卡为客户提供网络支付服务的,应当执行银行卡业务相关监管规定,以及银行卡行业规范。
第十五条 支付机构根据客户授权,向客户开户银行发送支付指令,扣划客户银行账户资金的,支付机构、客户和银行在事先或者首笔交易时,应当按照下列规则明确相关授权并依照执行:
(一)支付机构应当取得客户和银行的授权,同意其向客户的银行账户发起支付指令扣划资金;
(二)银行应当与客户直接签订授权协议,明确约定客户身份及交易验证方式,以及交易限额等必要风险管理措施;
(三)除单笔金额不足200元的小额支付业务,以及公共事业费、税费缴纳等收款人固定并且定期发生的支付业务外,支付机构不得代替银行进行客户身份及交易验证。银行对客户资金安全的管理责任不因支付机构代替验证而转移。
支付机构应当为银行对客户的身份及交易验证提供必要技术支持,不得人为设置障碍。
第十六条 支付机构为个人客户开立支付账户并基于支付账户余额办理网络支付业务的,应按照下列要求根据客户身份核实方式对个人支付账户余额的付款功能和交易限额进行分类管理:
(一)对于支付机构自主或委托合作机构以面对面方式完成身份核实的个人客户,以及支付机构仅以非面对面方式核实身份,但通过五个(含)以上合法安全的外部渠道对身份基本信息完成多重交叉验证的个人客户,支付机构可为其开立综合类支付账户,支付账户余额可以用于消费、转账以及购买投资理财产品或服务;
(二)对于支付机构仅以非面对面方式核实身份,且通过三个(含)以上、五个以下合法安全的外部渠道对身份基本信息完成多重交叉验证的个人客户,支付机构可为其开立消费类支付账户,支付账户余额仅可用于消费以及转账至客户本人同名银行账户;
(三)支付机构应根据客户身份对同一客户开立的所有支付账户进行关联管理。个人客户拥有综合类支付账户的,其所有支付账户的余额付款交易(不包括支付账户向客户本人同名银行账户转账,下同)年累计应不超过20万元。个人客户仅拥有消费类支付账户的,其所有支付账户的余额付款交易年累计应不超过10万元。超出限额的付款交易应通过客户的银行账户办理。
第十七条 支付机构为客户办理银行账户向支付账户转账的,转出账户应仅限于支付账户客户本人同名银行借记账户;办理支付账户向银行借记账户转账的,转入账户应仅限于客户预先指定的一个本人同名银行借记账户。
支付机构不得对支付账户向客户本人同名银行借记账户转账业务设置限额。
支付机构应当建立客户本人同名银行账户审核制度和措施,在有效确认审核结果基础上办理相关业务。支付机构应当在网站公告客户本人同名银行账户的具体审核方式。
第十八条 支付机构为单位客户提供转账服务的,对于单笔超过5万元的转账业务,应当要求单位客户注明付款用途和事由,并提供付款依据或者相关证明文件,单位支付账户向同名单位银行结算账户转账的除外。
第十九条 支付机构为客户办理本机构发行的预付卡向支付账户转账的,应当按照《支付机构预付卡业务管理办法》相关规定对预付卡转账至支付账户的余额单独管理,仅限其用于消费,不得通过转账、购买投资理财产品或服务等形式进行套现或者变相套现。
第二十条 因交易取消(撤销)、退货、交易不成功或者投资理财产品赎回等原因需划回资金的,相应款项应当划回原扣款账户。
第二十一条 支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隐匿交易信息。交易信息包括但不限于下列内容:
(一)交易渠道、受理终端类型、交易类型、交易金额、交易时间,以及直接向客户提供商品或者服务的特约商户名称和按照国家与金融行业标准设置的商户类别码;
(二)收付款客户名称,收付款支付账户账号或者银行账户的开户银行名称及账号;
(三)付款客户的身份验证和交易授权信息;
(四)有效追溯交易的标识;
(五)单位客户单笔超过5万元的转账业务的付款用途和事由,及付款依据或者相关证明文件。
第二十二条 支付机构对特约商户的拓展与管理、业务与风险管理措施应当按照《银行卡收单业务管理办法》等相关规定执行。
第四章 风险管理与客户权益保护
第二十三条 支付机构网络支付业务相关系统设施和相关产品运用的具体技术,应当持续符合国家、金融行业标准和相关信息安全管理要求。网络支付业务相关产品运用的技术尚未形成国家、金融行业标准的,支付机构应当全额承担该产品相关风险损失。
第二十四条 支付机构应当在境内拥有并运营独立、安全、规范的网络支付业务处理系统及其备份系统。
支付机构为境内交易提供服务的,应当通过境内业务处理系统为其办理网络支付业务,并在境内完成资金结算。
第二十五条 支付机构应当综合客户身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度,并动态调整客户风险评级。
第二十六条 支付机构应当根据客户支付指令验证方式、客户风险评级、交易类型、交易金额、交易渠道、受理终端类型、商户类别等因素,建立交易风险管理制度和交易监测系统,对疑似套现、欺诈、非法融资、洗钱、恐怖融资等交易,及时采取调查核实、延迟结算、终止服务等风险管理措施;发现涉嫌违法犯罪的,应当及时向公安机关报案,同时向中国人民银行及其分支机构报告。
第二十七条 支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的支付指令进行验证:
(一)仅客户本人知悉的要素,如静态密码等;
(二)仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;
(三)客户本人生理特征要素,如指纹等。
支付机构应当确保采用的要素相互独立,即部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。
第二十八条 支付机构应根据支付指令验证方式的安全级别,对个人客户使用支付账户余额付款的交易进行限额管理。支付机构采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易,单日累计限额由支付机构与客户通过协议自主约定;支付机构采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元(不包括支付账户向客户本人同名银行账户转账,下同);支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。
第二十九条 支付机构采用数字证书、电子签名作为验证要素的,应当通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体对数字证书及生成电子签名的过程进行保护,确保数字证书的唯一性、完整性及交易的不可抵赖性。
支付机构采用一次性密码作为验证要素的,应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险,并将一次性密码有效期严格限制在最短的必要时间内。
支付机构采用客户本人生理特征作为验证要素的,应通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体进行保护,防止被非法存储、复制或重放。
第三十条 支付机构应当每年对交易和信息安全管理制度、业务处理系统、交易监测系统等风险防控机制开展全面评估。评估应由不以任何方式参与网络支付服务开发或者运营的专业人员进行。评估报告应于每年1月31日前在网站对外公告。
第三十一条 支付机构应当限制客户尝试登陆或者识别身份的次数,制定客户访问超时规则,设置身份识别时限。
第三十二条 支付机构应当制定突发事件应急预案,建立灾备系统,保障业务连续性和系统安全性。
第三十三条 支付机构应当充分尊重客户自主选择权,不得强迫客户使用本机构提供的网络支付服务,也不得阻碍客户使用其他机构提供的网络支付服务。
支付机构应当公平展示客户可选用的各种资金收付方式,不得以任何形式诱导、强迫客户开立支付账户或者通过支付账户办理资金收付,不得附加不合理的交易条件。
支付机构应当根据客户意愿办理网络支付服务或者支付账户功能的暂停、禁用或者注销。
第三十四条 支付机构应当参照《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)有关规定制定有效的客户信息保护措施和风险控制机制,切实履行客户信息保护责任。
第三十五条 支付机构应当以“最小化”原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和范围。支付机构不得向本机构以外的其他机构和个人提供客户信息,因办理支付业务需要并经客户逐项确认并授权的,以及法律法规另有规定的除外。
支付机构不得存储客户银行账户密码、银行卡验证码和有效期等敏感信息。因特殊业务需要,支付机构确需存储客户银行卡有效期的,应当取得客户和开户银行的授权,以加密形式存储。
第三十六条 支付机构应当通过协议约定禁止特约商户存储客户账户密码、银行卡验证码和有效期等敏感信息,并采取定期检查、技术监测等必要监督措施。
特约商户违反协议约定存储上述敏感信息的,支付机构应当立即暂停或者终止为其提供网络支付服务,采取有效措施删除敏感信息、防止信息泄露,并承担因相关信息泄露造成的损失和责任。
第三十七条 支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失使用风险准备金先行全额赔付,保障客户合法权益。
支付机构应在年度监管报告中如实反映客户风险损失、客户损失赔付、风险准备金计提、风险准备金使用和风险准备金结余等情况。
第三十八条 支付机构应当向客户充分提示网络支付业务的潜在风险,及时揭示不法分子新型作案手段,对客户进行必要的安全教育,并对高风险业务在操作前、操作中进行风险警示。
支付机构应当于每年1月31日前,将前一年度发生的风险事件、客户风险损失、客户损失赔付等情况在网站对外公告。
第三十九条 支付机构为客户购买投资理财产品或服务提供网络支付服务的,应当确保相关产品或者服务提供方为取得相应经营资质并依法开展业务的机构,并充分向客户提示潜在风险。
第四十条 支付机构应当采取有效措施,确保客户在执行支付指令前可对资金收付账户、交易金额等交易信息进行确认,并在支付指令完成后及时将结果通知客户。
因交易超时、无响应或者系统故障导致支付指令无法正常处理的,支付机构应当及时提示客户;因客户原因造成支付指令未执行、未适当执行、延迟执行的,支付机构应当主动通知客户更改或者协助客户采取补救措施。
第四十一条 支付机构应当建立健全网络支付业务差错争议和纠纷投诉处理制度,向客户公告相关受理机制和流程,并配备专业部门和人员,据实、准确、及时处理交易差错和客户投诉。
第四十二条 支付机构应当通过具有合法独立域名的网站、统一的24小时客户服务电话等渠道,为客户提供网络支付服务及查询、咨询、投诉等配套服务。
支付机构应当告知客户相关服务的正确获取途径,指导客户有效辨识服务渠道的真实性,防范不法分子通过冒充支付机构或者提供虚假服务渠道实施网络欺诈、盗用账户或者窃取信息。
第四十三条 支付机构应当为客户免费提供至少最近一年以内交易信息查询服务。
第四十四条 支付机构因系统升级、调试等原因,需暂停网络支付服务的,应当至少提前5个工作日予以公告。
第四十五条 支付机构变更协议条款、提高网络支付服务收费标准或者新设收费项目的,应当于实施之前在网站以显著方式连续公示30日,并于客户首次办理相关业务前确认客户知悉且接受拟调整的全部详细内容,保障客户对相关服务的自主选择权。
第四十六条 支付机构应当真实、完整记录客户各项操作,记录内容应当包括但不限于登录、支付指令验证、变更身份信息、变更预留通讯号码、调整业务功能、调整交易限额、变更资金收付方式,以及重置或者挂失密码、数字证书、电子签名等。相关记录应当自操作生效之日起至少保存5年。
第四十七条 商业银行对涉及本行银行账户的相关交易提出查询、差错或者投诉处理以及风险控制等合理要求的,支付机构应当积极配合并及时处理。
第五章 监督管理
第四十八条 中国人民银行及其分支机构依法对支付机构的网络支付业务活动进行监督和管理。
中国人民银行可以根据支付机构的客户规模、交易规模、风险管理状况等因素,指定对零售支付体系或社会公众非现金支付信心产生重大影响的支付机构必须聘请独立、合格的外部审计机构,每隔两年定期持续审查、评估该支付机构的业务合规性及其风险管理机制的有效性、健全性,并将审查结果同时报送中国人民银行及其分支机构。
第四十九条 支付机构提供网络支付创新产品或者服务、决定停止提供产品或者服务、调高服务收费标准或者新增收费项目,以及与境外机构合作在境内开展网络支付业务的,应当至少提前30日向中国人民银行及其分支机构报告。
第五十条 支付机构发生涉嫌违法犯罪案件或者重大风险事件的,应当及时向中国人民银行及其分支机构报告。
第五十一条 支付机构应当加入中国支付清算协会,接受行业自律组织管理。
中国支付清算协会应当根据本办法制定网络支付业务行业自律规范,建立自律审查机制,向中国人民银行备案后组织实施。自律规范应包括支付机构与客户签订协议的范本,明确协议应记载和不得记载事项,还应包括支付机构披露有关信息的具体内容和标准格式。
中国支付清算协会应当建立信用承诺制度,要求支付机构以标准格式向社会公开承诺依法合规开展网络支付业务、保障客户信息安全和资金安全、维护客户合法权益,如违法违规将自愿接受约束和处罚。
第六章 法律责任
第五十二条 支付机构从事网络支付业务有下列情形之一的,中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十二条的规定进行处理:
(一)未按规定建立客户实名制管理、支付账户开立与使用、差错争议和纠纷投诉处理、风险准备金和交易赔付、年度风险评估、应急预案等管理制度的;
(二)未按规定建立客户风险评级管理、支付账户功能与限额管理、客户支付指令验证管理、交易和信息安全管理、交易监测系统等风险控制机制的,未按规定对支付业务采取有效风险控制措施的;
(三)未按规定进行风险提示或者公开披露相关信息的;
(四)未按规定向中国人民银行及其分支机构报送信息的。
第五十三条 支付机构从事网络支付业务有下列情形之一的,中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十三条的规定进行处理;情节特别严重,导致严重后果,扰乱支付清算市场秩序的,中国人民银行及其分支机构依据《中国人民银行法》第四十六条的规定进行处理:
(一)不符合支付机构支付业务系统设施有关要求的;
(二)不符合国家、金融行业标准和相关信息安全管理要求的,采用数字证书、电子签名无有效认证证书的;
(三)为非法交易、虚假交易提供支付服务,发现客户疑似或者涉嫌违法违规行为未按规定采取有效措施的;
(四)未按规定采取客户支付指令验证措施的;
(五)未真实、完整、准确反映网络支付交易信息,篡改或者隐匿交易信息的;
(六)未按规定处理客户信息,或者未履行客户信息保密义务,造成信息泄露隐患或者导致信息泄露的;
(七)妨碍客户自主选择支付服务提供主体或资金收付方式的。
第五十四条 支付机构违反反洗钱和反恐怖融资规定的,依据国家有关法律法规进行处理。
第七章 附则
第五十五条 本办法相关用语含义如下:
单位客户,是指接受支付机构支付服务的企事业单位、个体工商户或者其他组织。
个人客户,是指接受支付机构支付服务的自然人。
客户本人,是指客户本单位(单位客户)或者本人(个人客户)。
第五十六条 本办法由中国人民银行负责解释和修订。
第五十七条 本办法自2015年7月1日起施行。
本办法施行之前已从事网络支付业务的支付机构,有关业务不符合本办法规定的,应于本办法施行之日起6个月内完成整改。
— — — — — — — — — —
中国人民银行有关负责人就《非银行支付机构网络支付业务管理办法》答记者问
近日,人民银行发布了《非银行支付机构网络支付业务管理办法》(以下简称《办法》),自2016年7月1日起实施。日前,人民银行有关负责人就《办法》有关问题回答了记者的提问。
问:出台《办法》的总体背景与考虑是什么?
答:近年来,支付机构大力发展网络支付服务,促进了电子商务和互联网金融的快速发展,对支持服务业转型升级、推动普惠金融纵深发展发挥了积极作用。2015年前三季度,支付机构累计处理网络支付业务562.50亿笔,金额32.97万亿元,同比分别增长128.95%和98.80%。
同时,支付机构的网络支付业务也面临不少问题和风险,必须加以重视和规范:一是客户身份识别机制不够完善,为欺诈、套现、洗钱等风险提供了可乘之机;二是以支付账户为基础的跨市场业务快速发展,沉淀了大量客户资金,加大了资金流动性管理压力和跨市场交易风险;三是风险意识相对较弱,在客户资金安全和信息安全保障机制等方面存在欠缺;四是客户权益保护亟待加强,存在夸大宣传、虚假承诺、消费者维权难等问题。
人民银行长期关注互联网金融的发展问题。为规范网络支付业务,防范支付风险,保护客户合法权益,同时促进支付服务创新和支付市场健康发展,进一步发挥网络支付对互联网金融的基础作用,人民银行从2010年开始启动网络支付发展与规范相关研究工作。今年以来,遵循“鼓励创新、防范风险、趋利避害、健康发展”的总体要求,组织市场机构、行业协会、专家学者开展多轮研讨、座谈及公开向社会征求意见,反复修改完善,最终完成了《办法》的制定工作。
问:《办法》的监管思路与主要监管措施是什么?
答:按照统筹科学把握鼓励创新、方便群众和金融安全的原则,结合支付机构网络支付业务发展实际,人民银行确立了坚持支付账户实名制、平衡支付业务安全与效率、保护消费者权益和推动支付创新的监管思路。主要措施包括:
一是清晰界定支付机构定位。坚持小额便民、服务于电子商务的原则,有效隔离跨市场风险,维护市场公平竞争秩序及金融稳定。
二是坚持支付账户实名制。账户实名制是支付交易顺利完成的保障,也是反洗钱、反恐融资和遏制违法犯罪活动的基础。针对网络支付非面对面开户的特征,强化支付机构通过外部多渠道交叉验证识别客户身份信息的监管要求。
三是兼顾支付安全与效率。本着小额支付偏重便捷、大额支付偏重安全的管理思路,采用正向激励机制,根据交易验证安全程度的不同,对使用支付账户余额付款的交易限额作出了相应安排,引导支付机构采用安全验证手段来保障客户资金安全。
四是突出对个人消费者合法权益的保护。基于我国网络支付业务发展的实际和金融消费的现状,《办法》引导支付机构建立完善的风险控制机制,健全客户损失赔付、差错争议处理等客户权益保障机制,有效降低网络支付业务风险,保护消费者的合法权益。
五是实施分类监管推动创新。建立支付机构分类监管工作机制,对支付机构及其相关业务实施差别化管理,引导和推动支付机构在符合基本条件和实质合规的前提下开展技术创新、流程创新和服务创新,在有效提升监管措施弹性和灵活性的同时,激发支付机构活跃支付服务市场的动力。
问:支付账户与银行账户有何不同?
答:支付账户最初是支付机构为方便客户网上支付和解决电子商务交易中买卖双方信任度不高而为其开立的,与银行账户有明显不同。一是提供账户服务的主体不同,支付账户由支付机构为客户开立,主要用于电子商务交易的收付款结算。银行账户由银行业金融机构为客户开立,账户资金除了用于支付结算外,还具有保值、增值等目的。
二是账户资金余额的性质和保障机制不同。支付账户余额的本质是预付价值,类似于预付费卡中的余额,该余额资金虽然所有权归属于客户,却未以客户本人名义存放在银行,而是支付机构以其自身名义存放在银行,并实际由支付机构支配与控制。同时,该余额仅代表支付机构的企业信用,法律保障机制上远低于《人民银行法》、《商业银行法》保障下的央行货币与商业银行货币,也不受存款保险条例保护。一旦支付机构出现经营风险或信用风险,将可能导致支付账户余额无法使用,不能回提为银行存款,使客户遭受财产损失。
因此,《办法》规定,支付机构应当在客户清晰理解支付账户余额性质和相关风险的前提下,由客户本着“自愿开立、自担风险”的原则申请开立支付账户。
问:《办法》禁止支付机构为金融机构和从事金融业务的其他机构开立支付账户的主要考虑是什么?会不会制约互联网金融发展?
答:鉴于金融机构和从事网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等机构本身存在金融业务经营风险,同时支付机构的资本实力、内控制度和风险管理体系普遍还不够完善,抵御外部风险冲击的能力较弱,为保障有关各方合法权益,有效隔离跨市场风险,切实守住不发生系统性和区域性风险的底线,《办法》规定支付机构不得为金融机构和从事金融业务的其他机构开立支付账户。
《办法》上述规定并不影响支付机构为金融从业机构提供网络支付服务,还将进一步支持互联网金融的健康发展:
一是我国国家支付清算体系已经为金融从业机构提供了高效、安全的支付清算及结算安排,并且符合国际支付清算监管惯例和准则,能够支持互联网金融的发展需要。
二是支付机构尽管不能为金融从业机构开立支付账户,但仍可基于银行账户为其提供网络支付服务,以有效支持互联网金融的创新需要。
三是人民银行鼓励支付机构按照《指导意见》有关原则,与银行深化合作,实现优势互补,建立良好的网络支付生态环境与产业链,进一步提升业务创新,增强服务实体经济和风险抵御能力,共同推动互联网金融业态多元、持续、健康发展。
问:《办法》如何对个人支付账户进行分类?
答:支付账户分类,兼顾支付的安全和效率,能够满足不同客户的多样化需要,体现了尊重客户的选择权。
《办法》将个人支付账户分为三类(详见附表)。其中,Ⅰ类账户只需要一个外部渠道验证客户身份信息(例如联网核查居民身份证信息),账户余额可以用于消费和转账,主要适用于客户小额、临时支付,身份验证简单快捷。为兼顾便捷性和安全性,Ⅰ类账户的交易限额相对较低,但支付机构可以通过强化客户身份验证,将Ⅰ类账户升级为Ⅱ类或Ⅲ类账户,提高交易限额。
Ⅱ类和Ⅲ类账户的客户实名验证强度相对较高,能够在一定程度上防范假名、匿名支付账户问题,防止不法分子冒用他人身份开立支付账户并实施犯罪行为,因此具有较高的交易限额。鉴于投资理财业务的风险等级较高,《办法》规定,仅实名验证强度最高的Ⅲ类账户可以使用余额购买投资理财等金融类产品,以保障客户资金安全。
上述分类方式及付款功能、交易限额管理措施仅针对支付账户,客户使用银行账户付款(例如银行网关支付、银行卡快捷支付等)不受上述功能和限额的约束。
个人支付账户分类附表:
问:为何要强调支付账户实名制?
答:《办法》强调支付账户实名制度。《办法》要求支付机构遵循“了解你的客户”原则,建立健全客户身份识别机制,并在与客户业务关系存续期间,采取持续的客户身份识别措施,确保有效核实客户身份及其真实意愿,主要考虑如下:
一是支付账户体现着消费者资金权益,只有实行实名制,才能更好地保护账户所有人的资金安全,才能从法律制度上保护消费者财产权利和明确债权债务关系。
二是账户实名制是经济金融活动和管理的基础,账户是资金出入的起点与终点,只有落实支付账户实名制,才能维护正常的经济金融秩序,从而切实落实反洗钱、反恐怖融资要求,防范和遏制违法犯罪活动。
三是坚持账户实名制有利于支付机构在了解自己客户的基础上,有针对性地改善服务质量,更好地服务于客户,为提升和改善经营管理水平奠定基础。
问:支付账户的实名验证要求会不会影响便捷性?
答:《办法》要求支付机构在开立Ⅱ类、Ⅲ类支付账户时,分别通过至少三个、五个外部渠道验证客户身份信息,是为了保障客户合法权益,防范不法分子开立匿名或假名账户从事欺诈、套现、洗钱、恐怖融资等非法活动,是对支付机构提出的监管要求,支付机构负有“了解你的客户”的义务。
目前,公安、社保、民政、住建、交通、工商、教育、财税等政府部门,以及商业银行、保险公司、证券公司、征信机构、移动运营商、铁路公司、航空公司、电力公司、自来水公司、燃气公司等单位,都运营着能够验证客户身份基本信息的数据库或系统。支付机构可以根据本机构客户的群体特征和实际情况,选择与其中部分单位开展合作,实现多个渠道交叉验证客户身份信息。
在身份验证过程中,客户只需要按照支付机构的要求在网上填写并上传相关信息即可,并不需要本人去相关部门证明“我是我”,而是由支付机构负责与外部数据库或系统进行连接并验证客户身份信息的真实性。支付机构应采用必要技术手段确保客户操作流程简便、体验便捷,这对支付机构的服务能力和服务水平提出了一定要求。
此外,《办法》还规定,综合评级较高且实名制落实较好的支付机构在开立Ⅱ类、Ⅲ类支付账户时,既可以按照三个、五个外部渠道的方式进行客户身份核实,也可以运用各种安全、合法的技术手段,更加灵活地制定其他有效的身份核实方法,经人民银行评估认可后予以采用。这既鼓励创新,也兼顾了安全与便捷。
问:支付账户交易限额的规定会不会影响便捷性?
答:遵循网络支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨,为最大限度地满足客户的实际支付需求,兼顾支付便捷性,人民银行对支付机构开展了全面调研。经统计分析,并结合未来一定时期内的发展需要,Ⅱ类、Ⅲ类个人支付账户年累计10万元、20万元的限额能够满足绝大部分客户使用支付账户“余额”进行付款的需求。对极少数消费者,或者消费者偶发的大额支付,可以通过支付账户余额支付、银行卡快捷支付、银行网关支付等方式组合完成,因此并不会对消费者支付产生实质影响。考虑到Ⅰ类个人支付账户在开立过程中对客户身份验证的强度较弱,出现假名、匿名账户的风险较高,《办法》对Ⅰ类账户的“余额”付款交易规定了较低的限额。
同时,为引导支付机构提高交易验证方式的安全性,加强客户资金安全保护,《办法》规定,对于交易验证安全级别较高的支付账户“余额”付款交易,支付机构可以与客户自主约定单日累计限额;但对于安全级别不足的支付账户“余额”付款交易,《办法》规定了单日累计限额。《办法》规定的单日累计1000元、5000元的限额能够有效满足绝大部分客户使用支付账户“余额”进行付款的需求。此外,《办法》规定,综合评级较高且实名制落实较好的支付机构单日支付限额最高可提升到现有额度的2倍,以进一步满足客户需求。
需要强调的是,10万元、20万元的年累计限额,以及1000元、5000元的单日累计限额,都仅针对个人支付账户“余额”付款交易。客户通过支付机构进行银行网关支付、银行卡快捷支付,年累计限额、单日累计限额根据相关规定由支付机构、银行和客户自主约定,不受上述限额约束。
问:《办法》对支付账户的转账业务有何规定?
答:《办法》没有对支付机构办理银行账户与银行账户之间的转账业务进行额外限制,而是由支付机构、银行和客户以市场化原则自主协商开展此类业务,并自主约定交易限额等管理措施。
为加强支付账户转账业务的风险管理,《办法》对支付账户与银行账户之间的转账业务提出了具体要求:
一是原则上,支付账户余额仅可回提至客户本人银行卡。
二是综合评级较高且实名制落实较好的支付机构可以扩充支付账户转账功能,支付账户余额可以回提至他人银行卡,他人银行卡也可向支付账户充值。
三是支付机构应按照客户意愿足额办理Ⅱ类或Ⅲ类支付账户余额回提至客户本人银行卡的业务,协助客户及时将支付账户余额回提为银行存款。
问:《办法》对快捷支付业务有何规定?
答:快捷支付是支付机构和银行通过协议与客户约定,由支付机构代其向银行发送支付指令,直接扣划客户绑定的银行账户资金的支付方式。快捷支付以其开通简单、交易验证便捷的特点深受客户欢迎,已成为我国电子商务交易的主要支付方式之一。但是,实践中,由于该业务涉及客户、支付机构及银行三方,权责关系相对复杂,一旦发生风险损失,客户维权困难。为此,《办法》明确了支付机构和商业银行合作为客户提供快捷支付业务时,应当事先或在首笔交易时分别与客户建立清晰、完整的业务授权,同时明确约定扣款适用范围、交易验证方式、交易限额及风险赔付责任。《办法》同时强调,银行是客户资金安全的管理责任主体,在后续交易时无论是由银行进行交易验证还是支付机构代为进行交易验证,银行均承担快捷支付资金损失的先行赔付责任。
问:支付机构分类监管的思路是怎样的?
答:目前,国内支付机构众多,各机构在合规意识、风控能力、业务规模、服务水平等方面存在明显差异。为提升监管资源配置的科学性和监管效率,在加强风险防范的同时进一步支持支付机构开展业务创新,促进支付市场持续健康发展,人民银行按照“依法监管、适度监管、分类监管、协同监管、创新监管”原则,建立支付机构分类监管工作机制。
首先,立足国内支付市场发展实际情况,根据支付机构的财务状况、经营能力、风险管控,特别是客户备付金管理等因素,确立分类监管指标体系,并持续组织开展支付机构分类监管工作。
其次,根据支付机构分类评级情况,在业务监管标准、创新扶持力度、监管资源分配等方面,对支付机构实施差别化管理,以扶优限劣的激励和制约措施充分发挥分类监管对支付机构经营管理的正面引导和推动作用。对于综合评级较高的支付机构,制定弹性和灵活性较高的监管措施,为其业务和技术创新发展预留充足空间;对于综合评级较低的支付机构,人民银行将集中监管资源依法重点监管,以加强风险防范、保障客户权益,维护市场稳定。
问:《办法》中明确了哪些分类监管措施?
答:对于综合评级较高且实名制落实较好的支付机构,《办法》在客户身份验证方式、个人卖家管理方式、支付账户转账功能、支付账户单日交易限额、银行卡快捷支付验证方式等方面,提升了监管弹性和灵活性:
一是支付机构在开立Ⅱ类、Ⅲ类支付账户时,既可以按照“三个”、“五个”外部渠道的方式进行客户身份核实,也可以运用各种安全、合法的技术手段灵活制定其他有效的身份核实方法,经评估认可后予以采用。
二是对于从事电子商务经营活动、不具备工商登记注册条件的个人卖家,支付机构可以参照单位客户进行管理,以更好满足个人卖家的支付需求,进一步支持电子商务发展。
三是支付机构可以扩充支付账户转账交易功能,可以同时办理支付账户与同名银行账户之间、支付账户与非同名银行账户之间的转账交易。
四是支付机构可以根据客户实际需要,适度提高支付账户余额付款的单日交易限额。
五是在银行卡快捷支付交易中,支付机构可以与银行自主约定由支付机构代替进行交易验证的具体情形。
同时,《办法》对综合评级较低、实名制落实较差、对零售支付体系或社会公众非现金支付信心产生重大影响的支付机构,增加了信息披露等义务,同时人民银行将依法对其重点加强监管。
问:《办法》提出了哪些风险管理措施?
答:网络支付业务因依托公共网络作为信息传输通道,不可避免地面临网络病毒、信息窃取、信息篡改、网络钓鱼、网络异常中断等各种安全隐患,也面临欺诈、套现、洗钱等业务风险。为加强风险防范,切实保障客户合法权益,《办法》从风险管理角度对支付机构提出了明确要求:
一是综合客户类型、客户身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度和机制,并动态调整客户风险评级及相关风险控制措施。
二是建立交易风险管理制度和交易监测系统,对疑似风险和非法交易及时采取调查核实、延迟结算、终止服务等必要控制措施。
三是向客户充分提示网络支付业务潜在风险,及时揭示不法分子新型作案手段,对客户进行必要的安全教育,在高风险业务操作前、操作中向客户进行风险警示。
四是以“最小化”原则采集、使用、存储和传输客户信息,采取有效措施防范信息泄露风险。
五是提高交易验证方式的安全级别,所采用的数字证书、电子签名、一次性密码、生理特征等验证要素应符合相关法律法规和技术安全要求。
六是网络支付相关系统设施和技术,应当持续符合国家、金融行业标准和相关信息安全管理要求。
七是确保网络支付业务系统及其备份系统的安全和规范,制定突发事件应急预案,保障系统安全性和业务连续性。
问:《办法》提出了哪些客户权益保护措施?
答:鉴于客户在网络支付业务中可能面临资金被盗、信息泄露等风险隐患,在维权过程中往往处于相对弱势的地位,为保障客户合法权益,《办法》结合支付机构目前在客户权益保护方面存在的不足,明确了相关监管要求:
一是知情权方面。要求支付机构以显著方式提示客户注意服务协议中与其有重大利害关系的事项,采取有效方式确认客户充分知晓并清晰理解相关权利、义务和责任;并要求支付机构增加信息透明度,定期公开披露风险事件、客户投诉等信息,加强客户和舆论监督。
二是选择权方面。要求支付机构充分尊重客户真实意愿,由客户自主选择提供网络支付服务的机构、资金收付方式等,不得以诱导、强迫等方式侵害客户自主选择权;支付机构变更协议条款、提高服务收费标准或者新设收费项目,应以客户知悉且自愿接受相关调整为前提。
三是信息安全方面。要求支付机构制定客户信息保护措施和风险控制机制,确保自身及特约商户均不存储客户敏感信息,并依法承担因信息泄露造成的损失和责任。
四是资金安全方面。要求支付机构及时处理客户提出的差错争议和投诉,并建立健全风险准备金和客户损失赔付机制,对不能有效证明因客户原因导致的资金损失及时先行赔付;要求支付机构对安全性较低的支付账户余额付款交易设置单日累计限额,并对采用不足两类要素进行验证的交易无条件全额承担客户风险损失赔付责任。
— — — — — — — — — —
统筹把握鼓励创新,方便群众和金融安全,促进非银行支付机构网络支付业务健康发展
为鼓励支付创新,防范系统性风险,规范支付服务市场秩序,切实保障消费者合法权益,促进网络支付业务健康发展,中国人民银行日前公告发布《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号,以下简称《办法》),于2016年7月1日起施行。
《办法》作为中国人民银行等十部门《关于促进互联网金融健康发展的指导意见》(以下简称《指导意见》)的配套制度,按照“鼓励创新、防范风险、趋利避害、健康发展”的互联网金融发展总体要求,对非银行支付机构(下称支付机构)网络支付业务进行了规范,旨在促进其健康发展。《办法》依据互联网支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨,充分考虑支付服务市场创新和发展需要,清晰界定支付机构网络支付业务的内涵和边界,明确了监管标准和规则,从业务和风险管理、系统和信息安全、信息披露和风险提示、客户权益保护和法律责任等方面作出系统性制度安排,对互联网金融跨市场风险建立了必要的隔离机制,统筹把握现阶段便捷和安全的合理均衡。
《办法》建立了支付机构网络支付业务分类监管机制。根据支付机构的分类评级情况和支付账户实名制落实情况,对支付机构实施差别化管理,采用扶优限劣的激励和制约措施,引导和推动支付机构在符合基本要求和实质合规的前提下开展技术创新、流程创新和服务创新,将在有效提升监管措施弹性和灵活性的同时,进一步激发支付机构活跃支付服务市场的动力。
《办法》坚持支付账户实名制底线,要求支付机构遵循“了解你的客户”原则,建立健全客户身份识别机制,切实落实反洗钱、反恐怖融资要求,防范和遏制违法犯罪活动。同时,《办法》着重突出对客户权益的保护,在客户资金安全、信息安全、自主选择权、知情权等方面提出了一系列管理规定,并要求支付机构健全客户投诉处理、客户损失赔付等机制,提升客户服务水平。对于权责关系相对较为复杂的银行卡快捷支付业务,《办法》还明确了业务授权等相关要求,在确保支付便捷性的同时充分保障客户合法权益。
《办法》作为《指导意见》的配套监管制度,是进一步建立健全互联网金融监管法规制度体系的重要举措,对规范我国支付服务市场、维护公平有序竞争、平衡支付安全与效率、保障消费者合法权益、促进支付服务创新和互联网金融健康发展具有重要意义。
互联网支付是互联网金融发展的基础。今后,人民银行将进一步研究改革客户备付金集中存管制度,整顿支付机构参与银行间资金清算和各类跨业经营活动,切实保障客户资金和信息安全,坚定维护支付市场秩序。同时,针对互联网金融领域的其他问题,人民银行将在党中央、国务院领导下,牵头会同其他金融监管部门加快转变监管理念,抓紧开展互联网金融领域专项整治,强化风险监测,加强警示教育,并着手建立长效机制,实现新型金融业态监管全覆盖,有效防范和化解互联网金融风险,推动互联网金融规范有序发展,切实维护金融稳定。
- 谢谢你浏览本页内容,你的关注与支持是本站不断发展的最大动力!
- 如果你有什么意见或建议,请点击这里告诉我们。
- 本站有部分内容来源于网络,如果发现侵犯了您的权益,请点击这里联系我们,或是发送邮件到stuit#126.com(发送时请将#改为@),我们将及时予以删除或修改。
- 如果你觉得本页内容对你确实有所帮助,请点击页面右边浮窗中的分享按钮,将本页推荐给更多的朋友。本站将努力为你奉献更多有用的内容。
- 转载请注明:本文转载自银行风险管理网(http://stuit.cn/Risk/)谢谢合作!
- 本站刊载的法律法规、监管规定等均来源于相关政府机构的网站,但不能保证100%的准确性和更新的及时性,建议在引用前访问相应政府机构的官方网站,与其原始出处进行核对。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。