支付機構業務合規發展自律指引來了!
2023-02-03 17:32:23
·
支付界
非銀行支付機構業務合規發展自律指引(暫行)
第一條 爲加强非銀行支付機構(以下簡稱支付機構)合規管理,防範支付業務風險,促進非銀行支付服務健康發展,根據有關法律法規、《非金融機構支付服務管理辦法》(中國人民銀 行令匚2010〕第2號)等規章制度和中國支付清算協會(以下簡 稱協會)相關業務指引、規範等制定本指引。
第二條 本指引適用于加入協會的支付機構,未加入協會的支付機構可參考執行。
第三條 支付機構應有健全的組織機構、內部控制制度和風險管理措施。
(條款出處:《非金融機構支付服務管理辦法》(中國人民銀行令 〔2010〕第2號)第八條。)
上款所稱組織機構,包括具有合規管理、風險管理、資金管理和系統運行維護職能的部門。
(條款出處:《非金融機構支付服務管理辦法實施細則》(中國人民 銀行公告〔2010〕第17號)第六條。)
第四條 支付機構應按照《反電信網絡詐騙法》《數據安全法》《個人信息保護法》《反洗錢法》等法律法規、人民銀行有關規定以及本指引要求,準確、及時、安全提供貨幣資金轉移服務,保障支付業務活動的正常進行。
第五條 支付機構應按照《銀行卡收單業務管理辦法》等監管制度要求,建立特約商戶信息管理系統,詳細記錄特約商戶基本信息、服務狀態及合規風險狀况等信息,幷向協會報送。
(條款出處:《特約商戶信息管理辦法》(中支協發〔2020)113號) 第四條。)
第六條 支付機構向協會商戶信息系統報送特約商戶信息, 應符合《商戶基本信息要素與數據格式》要求,幷確保報送信息的真實性、準確性和完整性。
支付機構可自行設置報送頻次及時間,但原則上每月不少于 一次。支付機構首次向協會商戶信息系統報送全部存量特約商戶信息後,新增、變更、注銷特約商戶的,應在服務協議生效或終止後的1個月內向商戶信息系統報送相關信息。
(條款出處:《特約商戶信息管理辦法》(中支協發〔2020〕113號) 第七條、第八條。)
第七條 支付機構拓展特約商戶時,應當通過商戶信息系統 查詢其簽約、更換收單機構情况和黑名單信息。對于同一特約商戶或者同一個人擔任法定代表人(負責人)的特約商戶存在頻繁更換收單機構、被收單機構多次清退或同時簽約多個收單機構等异常情形的,支付機構應當謹慎將其拓展爲特約商戶。
(條款出處:《特約商戶信息管理辦法》(中支協發〔2020〕113號) 第二十一條。)
第八條 支付機構不得將黑名單內的單位以及由相關個人擔任法定代表人或者負責人的單位拓展爲特約商戶;已經拓展爲特約商戶的,應當自該特約商戶被列入黑名單之日起10日內予以清退,幷及時在協會商戶信息系統更新相應的特約商戶信息。
(條款出處:《特約商戶信息管理辦法》(中支協發〔2020〕113 號) 第二十二條。)
第九條 支付機構應當綜合考慮特約商戶的區域和行業特徵、經營規模、財務和資信狀况等因素,對實體特約商戶、網絡特約商戶分別進行風險評級。
對于風險等級較高的特約商戶,收單機構應當對其開通的受理卡種和交易類型進行限制,幷釆取强化交易監測、設置交易限額、延退結算、增加檢查頻率、建立特約商戶風險準備金等風險 管理措施。
(條款出處:《銀行卡收單業務管理辦法》(中國人民銀行公告 [2013]第9號)第十九條。)
第十條 支付機構應當根據特約商戶受理銀行卡交易的真實場景,按照相關銀行卡清算機構和發卡銀行的業務規則和管理要求,正確選用交易類型,準確標識交易信息幷完整發送,確保 交易信息的完整性、真實性和可追溯性。
交易信息至少應包括:直接提供商品或服務的商戶名稱、類別和代碼,受理終端(網絡支付接口)類型和代碼,交易時間和地點(網絡特約商戶的網絡地址),交易金額,交易類型和渠道, 交易發起方式等。網絡特約商戶的交易信息還應當包括商品訂單號和網絡交易平臺名稱。
特約商戶和受理終端(網絡支付接口)的編碼應當具有唯一性。
(條款出處:《銀行卡收單業務管理辦法》(中國人民銀行公告〔2013〕 第9號)第二十五條。
第十一條(銀行卡受理終端生産與登記管理)1台銀行卡 受理終端只能對應1個受理終端序列號。支付機構應當按照《中 國人民銀行關于强化銀行卡受理終端安全管理的通知》(銀髮 〔2017〕21號)規定,對銀行卡受理終端釆取密碼識別技術等 有效手段,確保銀行卡受理終端序列號不被篡改。
(條款出處:《中國人民銀行關于加强支付受理終端及相關業務管理的通知》(銀髮〔2021〕259號)。)
第十二條(銀行卡受理終端入網管理)1台銀行卡受理終端只能對應1個特約商戶。支付機構應當建立銀行卡受理終端序 列號與下述5要素信息的關聯對應關係,在辦理銀行卡受理終端 入網時將相關信息報送至清算機構,幷確保該關聯對應關係在支 付全流程中的一致性和不可篡改性:
(2)特約商戶(含小微商戶,即依據法律法規和相關監管 規定免于辦理工商注册登記的實體特約商戶,下同)編碼;
(3)特約商戶統一社會信用代碼(小微商戶爲其主要負責
原則上銀行卡受理終端應當具備定位功能。對于不具備定位功能的銀行卡受理終端,支付機構應當確保其被用于特約商戶固定經營場所和合法合規用途。
(條款出處:《中國人民銀行關于加强支付受理終端及相關業務管理的通知》(銀髮〔2021〕259號)。)
第十三條(銀行卡受理終端退出管理)因支付機構與特約商戶收單服務協議終止,或特約商戶申請停用銀行卡受理終端的,支付機構應當及時關閉銀行卡受理終端業務功能,幷收回銀 行卡受理終端。對確實無法收回的,應當確保銀行卡受理終端業務功能持續處于關閉狀態。
支付機構應當在關閉銀行卡受理終端業務功能後2日內,將銀行卡受理終端注銷信息報送至清算機構。
(條款岀處:《中國人民銀行關于加强支付受理終端及相關業務管理 的通知》(銀髮〔2021〕259號)。)
第十四條(條碼支付受理終端管理)對于具備釆集多項支付信息和參與發起支付指令等功能的條碼支付受理終端,支付機 構應當參照銀行卡受理終端相關規定建立健全管理規則,幷對不符合規則的存量條碼支付受理終端限期進行改造或更換。支付機 構應當按照《中國人民銀行關于加强支付受理終端及相關業務管理的通知》(銀髮〔 2021〕259號)相關規定,建立幷報送條碼支付受理終端序列號與相應5要素信息的關聯對應關係,幷確保 該關聯對應關係在支付全流程中的一致性和不可篡改性。
原則上條碼支付受理終端應當具備定位功能。對于不具備定 位功能的條碼支付受理終端,支付機構應當確保其被用于特約商 戶固定經營場所和合法合規用途。
(條款出處:《中國人民銀行關于加强支付受理終端及相關業務管理的通知》(銀髮〔2021〕259號)。)
第十五條(條碼支付輔助受理終端管理)對于僅具備條碼讀取或展示功能、不參與發起支付指令的條碼支付掃碼設備、顯碼設備和靜態條碼展示介質等條碼支付輔助受理終端,支付機構應當建立特約商戶編碼與下述4要素信息的關聯對應關係,幷確保該關聯對應關係在支付全流程中的一致性和不可篡改性:
(條款出處:《中國人民銀行關于加强支付受理終端及相關業務管理 的通知》(銀髮〔2021〕259號)。)
第十六條(收款條碼管理)對于爲個人或特約商戶等收款 人生成的,用于付款人識讀幷發起支付指令的收款條碼,支付機 構爲收款人提供收款條碼相關支付服務的機構(以下統稱條碼支付收款服務機構)應當制定收款條碼分類管理制度,有效區分個人和特約商戶使用收款條碼的場景和用途,防範收款條碼被出租、出借、出售或用于違法違規活動。對于具有明顯經營活動特 征的個人,條碼支付收款服務機構應當爲其提供特約商戶收款條 碼,幷參照執行特約商戶有關管理規定,不得通過個人收款條碼 爲其提供經營活動相關收款服務。
支付機構應當釆取有效措施禁止個人靜態收款條碼被用于 遠程非面對面收款。確有必要進行遠程非面對面收款的,條碼支 付收款服務機構應當對相應收款人實行白名單管理,幷申慎確定 白名單准入條件與規模、個人靜態收款條碼的有效期、使用次數 和交易限額。對于通過截屏、下載等方式保存的個人動態收款條 碼,應當參照執行個人靜態收款條碼有關規定。
(條款出處:《中國人民銀行關于加强支付受理終端及相關業務管理 的通知》(銀髮〔2021〕259號)。)
第十七條 支付機構釆用創新支付受理終端的,應當按照 《中國人民銀行關于規範支付創新業務的通知》(銀髮〔2017〕 281號)規定,至少提前30日向中國人民銀行或其分支機構報告。
(條款出處:《中國人民銀行關于加强支付受理終端及相關業務管理的通知》(銀髮〔2021〕259號)。)
第十八條 支付機構應當建立特約商戶檢查制度,明確檢查 頻率、檢查內容、檢查記錄等管理要求,落實檢查責任。對于實體特約商戶,支付機構應當進行現場檢查;對于網絡特約商戶, 支付機構應當采取有效的檢查措施和技術手段對其經營內容和 交易情况進行檢查。
(條款出處:《銀行卡收單業務管理辦法》(中國人民銀行公告 〔2013〕第9號)第二十條。)
第十九條 支付機構應當對實體特約商戶收單業務進行本地化經營和管理,通過在特約商戶及其分支機構所在省(區、市) 域內的支付機構或其分支機構提供收單服務,不得跨省(區'市) 域開展收單業務。
對于連鎖式經營或集團化管理的特約商戶,支付機構或經其 授權的特約商戶所在地的分支機構可與特約商戶簽訂總對總銀 行卡受理協議,幷按照前款規定落實本地化服務和管理責任。
(條款出處:《銀行卡收單業務管理辦法〉〉(中國人民銀行公告 〔2013〕第9號)第十六條。)
第二十條 支付機構應當建立特約商戶收單銀行結算賬戶 設置和變更審核制度,嚴格審核設置和變更申請材料的真實性、有效性。
特約商戶的收單銀行結算賬戶應當爲其同名単位銀行結算 賬戶,或其指定的、與其存在合法資金管理關係的單位銀行結算 賬戶°特約商戶爲個體工商戶和自然人的,可使用其同名個人銀 行結算賬戶作爲收單銀行結算賬戶。
(條款出處:《銀行卡收單業務管理辦法》(中國人民銀行公告 〔2013〕第9號)第二十九條。)
第二十一條 支付機構應按協議約定及時將交易資金結算 到特約商戶的收單銀行結算賬戶,資金結算時限最遲不得超過持卡人確認可直接向特約商戶付款的支付指令生效之日起30個自 然日,因涉嫌違法違規等風險交易需延遲結算的除外。
(條款出處:《銀行卡收單業務管理辦法》(中國人民銀行公告[2013]第9號)第三十條。)
第二十二條 支付機構應當建立資金結算風險管理制度,不 得挪用特約商戶待結算資金。
(條款出處:《銀行卡收單業務管理辦法》(中國人民銀行公告〔2013〕第9號)第三十一條。)
第二十三條 支付機構爲客戶提供支付賬戶服務,進行特約商戶拓展與管理,應當實行實名制管理,執行《非銀行支付機構 網絡支付業務管理辦法》(中國人民銀行公告〔20技〕第43號) 關于客戶管理的相關規定;按照《支付機構互聯網支付業務風險 防範指引》(中支協網絡支付發〔2013〕2號)“用戶注册審查” 的相關要求,對客戶身份信息進行審核,留存有效身份證明信息, 不得爲客戶開立匿名、假名支付賬戶。
(條款出處:《非銀行支付機構網絡支付業務自律規範〉〉(中支協發 [2016] 69號)第七條。)
第二十四條 支付機構應根據客戶身份對同一客戶在本機構開立的所有支付賬戶進行關聯管理,幷按照下列要求對個人支 付帳戶進行分類管理:
(一)對于以非面對面方式通過至少1個合法安全的外部渠道進行身份基本信息驗證,且爲首次在本機構開立支付賬戶的個 人客戶,支付機構可以爲其開立I類支付賬戶,賬戶餘額僅可用 于消費和轉帳,餘額付款交易自賬戶開立起累計不超過1000元(包括支付賬戶向客戶本人同名銀行賬戶轉帳);
(二)對于支付機構自主或委托合作機構以面對面方式核實 身份的個人客戶,或以非面對面方式通過至少3個合法安全的外 部渠道進行身份基本信息多重交叉驗證的個人客戶,支付機構可 以爲其開立II類支付賬戶,賬戶餘額僅可用于消費和轉帳,其所 有支付賬戶的餘額付款交易年累計不超過10萬元(不包括支付 賬戶向客戶本人同名銀行賬戶轉帳);
(三)對于支付機構自主或委托合作機構以面對面方式核實身份的個人客戶,或以非面對面方式通過至少5個合法安全的外部渠道進行身份基本信息多重交叉驗證的個人客戶,支付機構可 以爲其開立川類支付賬戶,賬戶餘額可以用于消費、轉帳以及購 買投資理財等金融類産品,其所有支付賬戶的餘額付款交易年累 計不超過20萬元(不包括支付賬戶向客戶本人同名銀行賬戶轉帳)。
客戶身份基本信息外部驗證渠道包括但不限于政府部門數據庫、商業銀行信息系統、商業化數據庫等。其中,通過商業銀 行驗證個人客戶身份基本信息的,應爲I類銀行賬戶或信用卡。
(條款出處:《非銀行支付機構網絡支付業務管理辦法》(中國人民 銀行公告〔2015〕第43號)第十一條。)
第二十五條 支付機構應根據交易驗證方式的安全級別,按照下列要求對個人客戶使用支付賬戶餘額付款的交易進行限額管理:
(一)支付機構采用包括數字證書或電子簽名在內的兩類 (含)以上有效要素進行驗證的交易,単日累計限額由支付機構與客戶通過協議自主約定;
(二)支付機構采用不包括數字證書、電子簽名在內的兩類 (含)以上有效要素進行驗證的交易,單個客戶所有支付賬戶單 日累計金額應不超過5000元(不包括支付賬戶向客戶本人同名 銀行賬戶轉帳);
(三)支付機構采用不足兩類有效要素進行驗證的交易,單 個客戶所有支付賬戶単日累計金額應不超過1000元(不包括支 付帳戶向客戶本人同名銀行賬戶轉帳),且支付機構應當承諾無 條件全額承擔此類交易的風險損失賠付責任。
(條款出處:《非銀行支付機構網絡支付業務管理辦法》(中國人民 銀行公告〔2015〕第43號)第二十四條。)
第二十六條 支付機構開展條碼支付業務,應將客戶用于生成條碼的銀行賬戶或支付賬戶、身份證件號碼、手機號碼進行關聯管理。
(條款出處:《條碼支付業務規範(試行)》(銀髮〔2017〕296號)第九條。)
第二十七條 支付機構應按照《支付機構互聯網支付業務風 險防範指引》(中支協網絡支付發〔2013〕2號)“商戶拓展”和“商戶資質審核”的相關要求,加强對特約商戶的准入管理。
支付機構應按照《支付機構互聯網支付業務風險防範指引》 (中支協網絡支付發〔2013〕2號)“商戶日常管理與監控”的 相關要求,加强對特約商戶的風險管理,建立完備的特約商戶監 督管理機制,落實特約商戶風險教育、定期回訪、交易監控等要求。
(條款出處:《非銀行支付機構網絡支付業務自律規範》(中變協發 [2016] 69號)第九條。)
第二十八條 支付機構應選擇合法安全的合作機構作爲客戶身份基本信息的非面對面驗證渠道,幷通過書面協議方式明確 非面對面核實的標準和流程、雙方的權利和義務。
支付機構與合作機構建立或終止合作關係,應在10個工作 日內將合作機構(數據庫)名稱、驗證內容及方式、合作期限等 信息報送協會。
(條款出處:《非銀行支付機構網絡支付業務自律規範>> (中支協發 〔2016〕69號)第十一條。)
第二十九條 支付機構爲客戶提供網絡支付服務的,應參照 《非銀行支付機構網絡支付客戶服務主協議(垯本)》與客戶簽訂服務協議,約定雙方權利、責任和義務。
支付機構應確保協議內容清晰、易懂,幷以黑體、加粗、小 三號字體等顯著方式提示客戶注意與其有重大利害關係的事項, 支付機構按照自律規範要求制定、變更或調整客戶服務協議的, 應自協議啓用起10個工作日內將標準模板報送協會。
(條款出處:《非銀行支付機構網絡支付業務自律規範》(中支協發 〔2016〕69號)第十七條。)
第三十條 支付機構向客戶開戶銀行發送支付指令,扣劃銀 行賬戶資金或向銀行賬戶劃付資金時,應確保支付指令所包含的 交易信息真實、完整,不得篡改或隱匿交易信息。
(條款出處:《非銀行支付機構網絡支付業務自律規範》(中支協發 〔2016〕69號)第二十條。)
第三十一條 支付機構應建立完善的客戶信息系統和客戶 檔案管理制度,保障客戶基本信息資料和賬戶信息的安全,不得 利用客戶信息從事超出法律許可的、以及未經客戶授權的活動。
支付機構應按照《非銀行支付機構網絡支付業務管理辦法》 (中國人民銀行公告〔2015〕第43號)第十六條要求保存客戶 的網絡支付業務操作記錄。支付機構應保留客戶身份基本信息驗 證的日志記錄,保存期限爲身份信息驗證通過之日起至少5年。
(條款出處:《非銀行支付機構網絡支付業務自律規範》(中支協發 〔2016〕69號)第二十三條。)
第三十二條 支付機構應自覺維護客戶的合法權益,建立長期、穩定、方便、有效的客戶服務體系,及時受理和解决客戶諮 詢、查詢、申告和投訴等方面的問題。
(條款出處:《非銀行支付機構網絡支付業務自律規範》(中支協發 〔2016〕69號)第二十四條。)
第三十三條 支付機構應積極完善交易監控體系,及時發現幷處理可疑交易,采取必要措施防範不法分子利用網絡支付服務進行交易欺詐、網絡賭博、洗錢、違規套現等違法犯罪活動。
(條款出處:《非銀行支付機構網絡支付業務自律規範》(中支協發 〔2016〕69號)第二十六條。)
第三十四條 支付機構應建立健全風險準備金制度和交易 賠付制度,明確交易賠付主體、規則、標準及流程、客服電話等內容,幷在官方渠道進行公示。支付機構應對不能有效證明因客戶原因導致的資金損失及時先行全額賠付,保障客戶合法權益。
(條款出處:《非銀行支付機構網絡變付業務自律規範》(中支協發 〔2016〕69號)第二十九條。)
第三十五條 支付機構應于每年1月31日前,按照標準格 式將前一年度發生的風險事件、客戶風險損失發生和賠付等情况 在網站對外公告。
(條款出處:《非銀行支付機構網絡支付業務自律規範》(中支協發 〔2016〕69號)第三十條。)
第三十六條 支付機構應于每年1月31日前,按照標準格 式將前一年度發生的客戶投訴數量和類型、處理完畢的投訴占 比、投訴處理速度等情况在網站對外公告。
(條款出處:《非銀行支付機構網絡支付業務自律規範》(中支協發 [2016] 69號)第三十一條。)
第三十七條 支付機構因系統升級、調試等原因,需暫停網 絡支付服務的,應按照標準格式至少提前5個工作日在官方網 站、移動客戶端等服務渠道的顯著位置予以公告。
支付機構變更協議條款,提高服務收費標準或者新設收費項目的,應當于實施之前在官方網站、移動客戶端等服務渠道的顯 著位置,按照標準格式連續公示30日,幷于客戶首次辦理相關 業務前確認客戶知悉且接受擬調整的全部詳細內容。
(條款出處:《非銀行支付機構網絡支付業務自律規範》(中支協發 〔2016〕69號)第三十二條。)
第三十八條 支付機構應在按照第三十五條、第三十六條、 第三十七條要求做出信息披露或公告後的10個工作日內,將公 吿情况吿知協會;幷將針對風險問題采取的改進措施以及資金損 失類風險事件的賠付主體同時向協會說明。
(條款出處:《非銀行支付機構網絡支付業務自律規範》(中支協發 〔2016〕69號)第三十三條。)
第三十九條 支付機構應當嚴格按照《支付業務許可證》核 准的業務類型和業務覆蓋範圍從事預付卡業務,不得在未設立省 級分支機構的省(自治區、直轄市、計劃單列市)從事預付卡業務。
(條款出處:《支付機構預付卡業務管理辦法》(中國人民銀行公告 〔2012〕第12號)第四條。)
第四十條 使用實名購買預付卡的,髮卡機構應當登記購卡 人姓名或單位名稱、單位經辦人姓名、有效身份證件名稱和號碼、 聯繫方式、購卡數量、購卡日期、購卡總金額、預付卡卡號及金額等信息。
對于記名預付卡,髮卡機構還應當在預付卡核心業務處理系 統中記載持卡人的有效身份證件信息、預付卡卡號、金額等信息, 幷對持卡人身份信息進行有效驗證,保證信息真實性。
(條款出處:《支付機構預付卡業務管理辦法》(中國人民銀行公告 〔2012〕第12號)第十一條。)
第四十一條 單位一次性購買預付卡5000元以上,個人一 次性購買預付卡5萬元以上的,應當通過銀行轉帳等非現金結算 方式購買,不得使用現金。購卡人不得使用信用卡購買預付卡。
(條款出處:《支付機構預付卡業務管理辦法》(中國人民銀行公告 〔2012〕第12號)第十二條。)
第四十二條 采用銀行轉帳等非現金結算方式購買預付卡 的,付款人銀行賬戶名稱和購卡人名稱應當一致。
髮卡機構應當核對賬戶信息和身份信息的一致性,在預付卡 核心業務處理系統中記載付款人銀行賬戶名稱和賬號、收款人銀 行賬戶名稱和賬號、轉帳金額等信息。
(條款出處:《支付機構預付卡業務管理辦法》(中國人民銀行公告 〔2012〕第12號)第十三條。)
第四十三條 髮卡機構辦理記名預付卡或一次性金額1萬 元以上不記名預付卡充值業務的,應當參照《支付機構預付卡業 務管理辦法》第十條、第十一條的規定辦理。
(條款出處:《支付機構預付卡業務管理辦法》(中國人民銀行公告〔2012〕第12號)第三十一條。)
第四十四條 支付機構應制定完善、便捷的操作規範,按相 關規定爲客戶提供充值、挂失、換卡、過期激活、密碼修改(重置)等服務。
(條款出處:《支付機構預付卡業務客戶權益保護指引》(中支協預 付卡發〔2013〕3號)第十七條。)
第四十五條 支付機構應采用完善的管理制度和安全可靠 的技術手段對預付卡業務流程過程中産生的紙質和電子信息進 行保護,防止客戶信息的滅失、損毀和泄露。
(條款出處:《支付機構預付卡業務客戶權益保護指引》(中支協預 付卡發〔2013〕3號)第二十條。)
第四十六條 預付卡機構發行條碼預付卡或依托條碼技術 受理預付卡支付業務的,應按照《條碼支付安全技術規範(試行)》 《條碼支付受理終端技術規範(試行)》(銀辦發〔2017〕242號 印發)相關要求,强化預付卡條碼支付技術風險防範,加强預付 卡條碼支付産品安全管理。
(條款出處:《非銀行支付機構預付卡業務風險防範指引》(中支協 發〔2020〕137號印發))
第四十七條 預付卡機構開展預付卡條碼支付業務的,應嚴 格按照人民銀行核准的業務類型和地域範圍開展預付卡業務。通 過技術手段確認客戶在核准地域範圍內,不得借助條碼技術超出 核准地域從事預付卡業務。未獲准辦理網絡支付業務的預付卡機 構不得通過條碼技術變相從事網絡支付業務。
(條款出處:《非銀行支付機構預付卡業務風險防範指引》(中支協發〔2020〕137號印發)
第四十八條 預付卡機構擬開展預付卡條碼支付業務的,應 提前向法人所在地人民銀行分支機構報告。
(條款出處:《非銀行支付機構預付卡業務風險防範指引》(中更協 發〔2020〕137號印發)
第四十九條 支付機構接收的客戶備付金應當直接全額交 存至中國人民銀行或者符合要求的商業銀行。
(條款出處:《非銀行支付機構客戶備付金存管辦法》(中國人民銀 行令〔2021〕第1號)第四條。)
第五十條 客戶備付金只能用于辦理客戶委托的支付業務 和規定的其他情形。
任何單位和個人不得挪用、占用、借用客戶備付金,不得以 客戶備付金提供擔保。
(條款出處:《非銀行支付機構客戶備付金存管辦法》(中國人民銀 行令〔2021〕第1號)第五條。)
第五十一條 支付機構應當繳納行業保障基金,用于彌補客 戶備付金特定損失以及中國人民銀行規定的其他用途。
(條款出處:《非銀行支付機構客戶備付金存管辦法》(中國人民銀 行奪[2021]第1號)第三十五條。)
第五十二條 支付機構應當聘請獨立的、具有專業資質的審 計機構,按年對備付金業務進行審計。
(條款出處:《非銀行支付機構客戶備付金存管辦法〉〉(中國人民銀 行令〔2021〕第1號)第四十條。)
第五十三條 支付機構應當與清算機構、備付金銀行建立客 戶備付金信息核對校驗機制,逐日核對客戶備付金的存放、使用、 劃轉等信息,幷至少保存核對記錄5年。支付機構應當與特定 業務銀行定期核對特定業務待結算資金的存放、使用、劃轉等信 息,幷至少保存核對記錄5年。
(條款出處:《非銀行支付機構客戶備付金存管辦法》(中國人民銀 行令〔2021〕第1號)第四十一條。)
第五十四條(嚴格規範與外包服務機構業務合作)支付機 構不得將特約商戶資質審核、受理協議簽訂、收單業務交易處理、 資金結算、風險監測、受理終端主密鑰生成和管理、差錯和爭議 處理工作交由外包服務機構辦理;不得將外包服務機構拓展爲特 約商戶幷接收其發送的銀行卡交易信息;不得將特約商戶的結算 資金劃轉至外包服務機構擁有或實際控制的結算賬戶。支付機構 應通過協議禁止幷采取有效措施防止外包服務機構轉讓或者轉 包業務。
(條款出處:《中國人民銀行關于加强銀行卡收單業務外包管理的通知》(銀髮[2015] 199號)。)
第五十五條(審慎選擇外包服務機構)與外包服務機構開 展業務合作前,支付機構應進行全面盡職調查,審慎選擇合作機 構。支付機構對外包服務機構的調查內容應包括但不限于管理團 隊、經營狀况、財務狀况、信用狀况、內控水平,以及收單業務 外包相關資質專業背景、從業經驗、服務能力、業務合規及風險情况。
(條款出處:《中國人民銀行關于加强銀行卡收單業務外包管理的通 知》(銀髮〔2015〕199號)。)
第五十六條(切實履行特約商戶檢查責任)對于自行拓展 和外包服務機構拓展的所有實體特約商戶,支付機構應每年獨立 開展至少一次現場核實,對特約商戶經營狀况、銀行卡受理機具 安全與維護、相關業務系統安全性以及收單業務風險情况等進行 全面評估,幷形成現場核實及評估報告存檔備查。
(條款出處:《中國人民銀行關于加强銀行卡收單業務外包管理的通 知》(銀髮〔2015〕199號)。)
第五十七條(强化外包業務風險管理責任)外包服務機構 發生經營問題、違法違規行爲和風險事件的,支付機構應及時采 取有效措施,切實保障相關當事人合法權益。因外包服務機構原 因導致特約商戶、持卡人或發卡銀行資金損失的、支付機構應全 額承擔先行賠付責任。
(條款出處:《中國人民銀行關于加强銀行卡收單業務外包管理的通 如》(銀髮〔2015〕199號)。)
第五十八條 從事收單業務的支付機構應對外包機構評分的真實性、準確性負責。
(條款出處:《收単外包服務機構評級指引》(中支協發〔2021〕162 號)第二十九條。)
第五十九條 從事收單業務的支付機構存在瞞報、漏報、誤 報外包機構評級信息或不對外包機構進行評級的,協會將視情况 扣减自律評價得分,視情節輕重進行風險提示或根據《中國支付 清算協會自律懲戒實施辦法》(中國支付清算協會公告〔2019〕 第3號)對其進行自律懲戒,幷抄報監管機構。
(條款出處:《收単外包服務機構評級指引》(中支協發〔2021〕162 號)第三十條。)
第六十條 已開展或擬開展業務的外包機構應按照規定向 協會申請備案。支付機構將收單業務進行外包的,應選擇在協會 規定期限內完成備案的外包機構進行合作。
(條款出處:《收單外包服務機構備案管理辦法(試行)》(中支協發 〔2020〕119號)第三條。)
第六十一條 支付機構擬將收單業務外包的,相關外包機構 應在擬從事外包業務前或在從事外包業務起30個自然日內通過 協會收單外包服務機構備案系統向協會直接提出備案申請,從事 外包業務的起始時間以外包機構與支付機構首次開展合作或簽 訂協議時間爲准。
(條款出處:《收單外邑服務機構備案管理辦法(試行)》(中支協發 [2020] 119號)第七條)
第六十二條 從事金融服務創新的支付機構應按照測試管 理部門要求,嚴格遵守《金融科技創新應用測試規範》(JR/T 0198)等金融行業標準規範,建立健全風險內控制度,落實創新 管理主體責任,完善投訴響應、風險補償、應急處置和服務退出 機制,主動接受行業自律管理,切實保障用戶合法權益。
(條款出處:《金融科技創新自律工作指引(試行)》(中支協發 〔2021〕152號)第四條。)
第六十三條 從事金融服務創新的支付機構應按照JR/T 0198等要求,從技術應用、功能服務、創新性說明、合作關係、 數據流、資金鏈、可持續性等方面對申請測試的金融科技創新應 用進行深入分析和全面梳理,在協會的輔導下,按照JR/T 0198 等要求持續完善包括金融科技創新應用聲明書正文及附件在內 的申請材料,不斷提升創新應用安全合規、惠民利企水平。
(條款出處:《金融科技創新自律工作指引(試行)》(中支協發 〔2021〕152號)第十條、第十二條。)
第六十四條 從事金融服務創新的支付機構應按照《金融科技創新安全通用規範》(JR/T 0199)、《金融科技創新風險監控 規範》(JR/T 0200 )等要求,做好創新應用運行狀况監測工作, 及時定位、跟踪創新應用運營過程中的風險隱患,幷將有關情况 及時報協會。應按照JR/T 0199、JR/T 0200等要求,建立健全風險內控制度,做好創新應用全流程安全管控,切實保障業務安 全穩定運行。應按照JR/T0198、JR/T 0199, JR/T 0200等要求, 建立健全綜合性風險處置與補償機制。對于短期內難以補救的風 險漏洞,及時采取綜合性補償措施;對于存在嚴重安全隱患或發 生重大風險事件的創新應用,應及時報測試管理部門和協會,視情况退出測試。
(條款出處:《金融科技創新自律工作指引(試行)》(中支協發 〔2021〕152號)第十三條、第十四條、第十五條。)
第六十五條 從事金融服務創新的支付機構應按照JR/T 0198等要求,就聲明書的合法合規性、合理性接受公衆監督, 支付機構應與意見反饋方妥善溝通幷達成一致,將公衆意見處理 情况及時報送協會。應按照JR/T 0198等要求,在公示材料中明 確自律投訴受理渠道及處理機制,幷配合協會做好自律投訴處理等相關工作。
(條款出處:《金融科技創新自律工作指引(試行)》(中支協發 〔2021〕152號)第二十條、第二十一條。)
第六十六條 支付機構處理個人信息應當遵循合法、正當、 必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。
(條款出處:《中華人民共和國個人信息保護法》(中華人民共和國主席令第91號)第五條。)
第六十七條 支付機構處理個人信息應當具有明確、合理的 目的,幷應當與處理目的直接相關,釆取對個人權益影響最小的方式。
收集個人信息,應當限于實現處理目的的最小範圍,不得過 度收集個人信息。
(條款出處:《中華人民共和國個人信息保護法》(中華人民共和國 主席令第91號)第六條。)
第六十八條 支付機構處理個人信息應當遵循公開、透明原 則,公開個人信息處理規則,明示處理的目的、方式和範圍。
(條款出處:《中華人民共和國個人信息保護法》(中華人民共和國 主席令第91號)第七條。)
第六十九條 處理個人信息應當保證個人信息的質量,避免 因個人信息不準確、不完整對個人權益造成不利影響。
(條款出處:《中華人民共和國個人信息保護法》(中華人民共和國 主席令第91號)第八條。)
第七十條 支付機構不得非法收集、使用、加工、傳輸他人 個人信息,不得非法買賣、提供或者公開他人個人信息;不得從 事危害國家安全、公共利益的個人信息處理活動。
〈條款出處:《中華人民共和國個人信息保護法》(中華人民共和國 主席令第91號)第十條。)
第七十一條 支付機構應當根據個人信息的處理目的、處理 方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法 規的規定,幷防止未經授權的訪問以及個人信息泄露、篡改、丟失:
(四)合理確定個人信息處理的操作權限,幷定期對從業人 員進行安全教育和培訓;
(條款出處:《中華人民共和國個人信息保護法〉〉(中華人民共和國 主席令第91號)第五十一條。)
第七十二條 支付機構向金融消費者提供金融産品或者服 務,應當遵循自願、平等、公平、誠實信用的原則,切實承擔金 融消費者合法權益保護的主體責任,履行金融消費者權益保護的法定義務。
(條款出處:《中國人民銀行金融消費者權益保護實施辦法》(中國 人民銀行令〔2020〕第5號)第三條。)
第七十三條 支付機構應當落實法律法規和相關監管規定 關于金融消虔者權益保護的相關要求,建立健全金融消費者權益保護的各項內控制度:
(八)金融消費者權益保護工作內部監督和責任追究制度;
(十)中國人民銀行明確規定應當建立的其他金融消費者權 益保護工作制度。
(條款出處:《中國人民銀行金融消費者權益保護實施辦法》(中國人民銀行令〔2020〕第5號)第八條。)
第七十四條 支付機構應當依照中國人民銀行有關客戶信 息保護的規定,制定有效的客戶信息保護措施和風險控制機制, 履行客戶信息保護責任。
支付機構不得存儲客戶銀行卡的磁道信息或芯片信息、驗證 碼、密碼等敏感信息,原則上不得存儲銀行卡有效期。因特殊業 務需要,支付機構確需存儲客戶銀行卡有效期的,應當取得客戶 和開戶銀行的授權,以加密形式存儲。
支付機構應當以“最小化”原則采集、使用、存儲和傳輸客戶 信息,幷告知客戶相關信息的使用目的和範圍。支付機構不得向 其他機構或個人提供客戶信息,法律法規另有規定,以及經客戶 本人逐項確認幷授權的除外。
(條款出處:《非銀行支付機構網絡支付業務管理辦法》(中國人民銀行公告〔2015〕第43號)第二十條。)
第七十五條 支付機構應制定符合本機構總體業務規劃的 信息科技戰略、信息科技運行計劃和信息科技風險評估計劃,確 保配置足够資源,維持穩定、安全的信息科技環境。
(條款出處:《非銀行支付機構信息科技風險管理指引》(中支協技 標發〔2016〕2號)第七條。)
第七十六條 支付機構應設立專門的高級管理職位,統籌負責信息化規劃、建設、運行維護、信息安全、業務連續性等工作, 幷負責協調制定有關信息科技風險管理策略,尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面。
(條款出處:《非銀行支付機構信息科技風險管理指引》(中支協技 標發〔2016〕2號)第八條。)
第七十七條 支付機構應制定全面的信息科技風險管理策略,包括但不限于下述領域:
(條款出處:《非銀行支付機構信息科技風險管理指引》(中支協技 標發〔2016〕2號)第九條。)
第七十八條 支付機構應依據信息科技風險管理策略和風 險評估結果,實施全面的風險防範措施。防範措施應包括但不限于:
(一)制定明確的信息科技風險管理制度、技術標準和操作規 程等,定期進行更新。
(二)確定潜在信息科技風險區域,幷對這些區域進行詳細和 獨立的監控,實現風險最小化。
(條款出處:《非銀行支付機構信息科技風險管理指引》(中支協技 標發〔2016〕2號)第十一條。)
第七十九條 支付機構信息科技部門負責制訂信息安全整體方針、政策、制度、規範、流程、實施方案、實施計劃和監督 機制,支付機構應使所有員工都瞭解信息安全的重要性,幷組織 必要的培訓,讓員工充分瞭解其職責範圍內的信息保護流程及要求。
(條款出處:《非銀行支付機構信息科技秋險管理指引》(中支協技 標發〔2016〕2號)第十四條。)
第八十條 支付機構信息科技部門負責從安全技術和安全 管理角度推動信息安全保護措施落地執行,安全技術要求覆蓋物 理安全、網絡安全、主機安全、終端安全、應用安全和數據安全等方面;安全管理要求覆蓋安全管理制度、安全管理機構、人 員安全管理、系統建設管理、系統運維管理和業務連續性等方 面。
(條款出處:《非銀行支付機構信息科技風險管理指和》(中支協技 標發〔2016〕2號)第十五條。)
第八十一條 支付機構應根據自身業務的性質、規模和複雜 程度制定適當的業務連續性規劃,以確保在出現無法預見的中斷 時,系統仍能持續運行幷提供服務;定期對規劃進行培訓、更新 和演練,以保證其有效性。
(條款出處:《非銀行支付機構信息科技風。險管理指引》(中支協技 標發〔2016〕2號)第四十一條。)
第八十二條 信息科技外包是指支付機構將原本應由自身 負責處理的信息科技活動委托給服務提供商進行處理的行爲,包 含項目外包、人力資源外包等;支付機構不得將其信息科技管理 責任外包,應合理監督信息科技外包職能的履行。
(條款出處:《非銀行支付機構信息科技風險管理指引》(中支協技 標發〔2016〕2號)第四十五條。)
第八十三條 支付機構應根據業務的性質、規模和複雜程 度,對相關系統及其控制的適當性和有效性進行評估。支付機構 應配備足够的資源和具有專業能力的信息科技審計人員,獨立于 本機構的日常活動,具有適當的授權訪問本機構的記錄。
(條款出處:《非銀行支付機構信息科技嵐險管理指引》(中支協技標發[2016] 2號)第五十條。)
第八十四條 支付機構應將符合行業風險信息分類標準的風險信息,經本機構確認核實後按照行業風險信息要素與數據格 式及相關監管規定和自律規範向協會報送,幷保證信息的真實 性、完整性、準確性、及時性和有效性。黑名單信息應于確認核 實後的5個工作日內向協會報送,其他風險信息應于確認核實後 的10個工作日內向協會報送。黑名單信息相關證明材料應妥善 保管。
(條款出處:《中國支付清算協會行業風險信息共享管理辦法》(中 支協發〔2020〕114號)第十二條。)
第八十五條 支付機構對于協會推送的黑名單、風險提示信 息及本單位查得的風險信息,應按照行業風險信息處理反饋標準 于10個工作日內反饋相關處理結果。
(條款出處:《中國支付清算協會行業風險信息共享管理辦法〉〉(中 支協發〔2020〕114號)第二十七條。)
第八十六條 支付機構及時響應幷處理協會提出的信息複 查請求;對于協會推送的風險案件與綫索,應及時排查,幷于 10個工作日內反饋本單位掌握的相關資料和處理結果。
(條款出處:《中國支付清算協會行業風險信息共享管理辦法》(中 支協發〔2020〕114號)第二十七條。)
第八十七條 支付機構與其特約商戶業務合作中,對獲取的商戶黑名單信息存在异議的,可遵循《特約商戶風險信息异議申 訴處理規則(試行)》(中支協發〔2018〕88號)要求提出异議 申訴申請處理。
(條款出處:《特約商戶信息管理辦法〉〉(中支協發〔2020〕113號) 第二十條。)
第八十八條 支付機構應按照《中華人民共和國反電信網絡 詐騙法》和人民銀行有關規定,落實金融業務盡職調查,開戶數 量和開戶風險管理,企業賬戶及登記管理,監測、識別、處置涉 詐异常賬戶和可疑交易,交易信息透傳,配合有關部門建立完善 涉詐資金即時查詢、緊急止付、快速凍結、及時解凍和資金返還 制度,反詐宣傳、提醒和警示義務等要求。
第八十九條 支付機構應研究制定與單位規模、業務性質和 複雜性相適應的反欺詐管理體系框架,有效地識別、評估、監測、 控制欺詐風險。反欺詐管理體系框架應至少包括欺詐風險識別與 防範、監測與預警、處置與反饋等工作,主要內容包括但不限于:
(五)欺詐風險發現、識別、預警和控制的制度。流程;
(六)處置欺詐風險事件的制度流程及重大欺詐風險事項的 應急預案;
(七)反欺詐管理工作的系統、規則、模型以及相關技術工具。
(條款出處:《支付清算行業反欺詐工作指引》(中支協發[2017] 116 號)第四條。)
第九十條 支付機構應針對支付交易欺詐風險的類型及其 特點,采用有效可行的方法或措施進行監測、分析、防範和評估處理,包括風險評估、關鍵指標監測、內部控制有效性的測試和 審查、定期分析報吿等。
(條款出處:《支付清算行業反欺詐工作指引》(中支協發(2017] 116 號)第九條。)
第九十一條 支付機構應加强對客戶的反欺詐安全防範教 育,提高客戶的風險防範意識水平和能力,幷積極參與協會組織 的反欺詐培訓以及安全宣傳等工作。
(條款出處:《支付清算行業反欺詐工作指引》(中支協發(2017] 116 號)第十七條。)
第九十二條 支付機構應按照審慎經營規則建立健全能够 阻斷跨境賭博資金鏈、電信詐騙資金鏈的風險管理和內部控制制度,避免直接或間接參與跨境賭博、電信網絡詐騙等違法違規活 動或被違法違規活動利用。
(條款出處:《中國人民銀行 公安部 銀保監會 國家外匯管理局關 于聯合開展爲跨境賭博、電信網絡詐騙等違法違規活動提供支付結算服務風險排查與整治工作的通知》(銀髮〔2020〕155號)。)
第九十三條 支付機構應參考《涉賭涉詐可疑資金特徵及賬 戶綫索核查要點》,對已有風險防控措施進行查漏補缺,完善關 于客戶、賬戶的盡職調查措施,配備充足人員,開發和運用有效 金融科技和大數據系統,健全資金交易風險監測識別、預警、處 理機制,實現對賭博和電信詐騙“資金鏈”有效治理。
(條款出處:《打擊治理跨境賭博金融監管工作組關于印發〈涉賭涉 詐可疑資金特徵及賬戶綫索核查要點>的通知》(銀支付〔2020〕49號)。)
第九十四條 支付機構應按照“誰的賬戶(客戶)誰負責” 和“誰的機構誰負責”落實貴任制和處罰措施,全面排查存量風 險,嚴密防控增量風險,有效遏制支付市場亂象。
(條款出處:《打擊治理跨境賭博金融監管工作組關于印發〈涉賭涉詐可疑資金特徵及賬戶綫索核查妥點>的通知》(銀支付〔2020〕49號)。) 第九十五條 根據“誰的客戶誰負責”原則,支付機構爲客 戶開立的支付賬戶被用于賭博的,由賬戶機構承擔相應責任。
第九十五條 根據“誰的商戶誰負責”原則,收單機構與之簽訂支付服務 協議,幷爲之提供支付服務的特約商戶參與賭博的,由收單機構 承擔相應責任。特約商戶爲電子商務平臺的,由爲電子商務平臺 提供支付服務的收單機構承擔相應責任。
根據“誰的合作機構誰負責”原則,收單機構的外包服務機 構基于收單機構相關服務參與賭博的,由收單機構承擔相應責 任。
根據“誰的接口誰負責”原則,支付機構的支付業務系統接口被用于賭博的,由接口所有者承擔相應責任。付款條碼或個人 收款條碼被用于賭博的,由發碼機構(賬戶機構)承擔相應責任。
(條款出處:《中國人民銀行辦公廳關于印發<涉賭博資金鏈責任劃 分指引 >的通知》(銀辦發〔2020〕155號")
第九十六條 支付機構應當依法釆取預防、監控措施,建立 健全客戶身份識別制度、客戶身份資料和交易記錄保存制度、大 額交易和可疑交易報告制度,履行反洗錢義務。
(條款出處:《中華人民共和國反洗錢法》(中華人民共和國主席令 第56號)第三條。)
第九十七條 支付機構總部應當依法建立健全統一的反洗 錢和反恐怖融資內部控制制度,幷報總部所在地的中國人民銀行 分支機構備案。反洗錢和反恐怖融資內部控制制度應當包括下列內容:
(四)反洗錢和反恐怖融資內部審計、培訓和宣傳措施;
支付機構及其分支機構的負責人應當對反洗錢和反恐怖融 資內部控制制度的有效實施負責。支付機構應當對其分支機構反 洗錢和反恐怖融資內部控制制度的執行情况進行監督管理。
(條款出處:《支付機構反洗錢和反恐怖融資管理辦法》(銀髮 〔2012〕54號)第五條。)
第九十八條 支付機構應當設立專門機構或者指定內設機 構負責反洗錢和反恐怖融資工作,幷設立專門的反洗錢和反恐怖融資崗位。
(條款出處:《支付機構反洗錢和反恐怖融資管理辦法》(銀髮 〔2012〕54號)第六條。)
第九十九條 支付機構應要求其境外分支機構和附屬機構 在駐在國家(地區)法律規定允許的範圍內,執行有關《支付機 構反洗錢和反恐怖融資管理辦法》客戶身份識別、客戶身份資料 和交易記錄保存工作的要求,駐在國家(地區)有更嚴格要求的, 遵守其規定。如果《支付機構反洗錢和反恐怖融資管理辦法》的 要求比駐在國家(地區)的相關規定更爲嚴格,但駐在國家(地 區)法律禁止或者限制境外分支機構和附屬機構實施《支付機構 反洗錢和反恐怖融資管理辦法》,支付機構應向中國人民銀行報告。
(條款出處:《支付機構反洗錢和反恐怖融資管理辦法》(銀髮 〔2012〕54號)第七條。)
第一百條支付機構與境外機構建立代理業務關係時,應當 充分收集有關境外機構業務、聲譽、內部控制制度、接受監管情况等方面的信息,評估境外機構反洗錢和反恐怖融資措施的健全 性和有效性,幷以書面協議明確本機構與境外機構在反洗錢和反 恐怖融資方面的責任和義務。
(條款出處:《支付機構反洗錢和反恐怖融資管理辦法》(銀髮 〔2012〕54號)第八條。)
第一百零一條 支付機構及其工作人員對依法履行反洗錢 和反恐怖融資義務獲得的客戶身份資料和交易信息應當予以保 密;非依法律規定,不得向任何單位和個人提供。
支付機構及其工作人員應當對報吿可疑交易、配合中國人民 銀行及其分支機構調查可疑交易活動等有關反洗錢和反恐怖融 資工作信息予以保密,不得違反規定向客戶和其他人員提供。
(條款出處:《支付機構反洗錢和反恐怖融資管理辦法》(銀髮 [2012] 54號)第九條。)
第一百零二條 支付機構應配合協會舉報中心對舉報事項 的調查,及時提供相關材料,幷保證材料的真實、準確、完整。
(條款出處:《支付結算違法違規行爲舉報獎勵辦法實施細則》(中 國支付清算協會公告〔2020〕第4號)第十三條。)
第一百零三條 支付機構應配合協會開展的自律監督檢查, 按照協會要求,對檢查發現的問題在規定時間內進行整改,幷將 整改情况報告協會。
(條款出處:《中國支付清算協會自律監督檢查辦法(試行)》(中支協發〔2013〕25 號)。)
第一百零四條 支付機構違反國家法律法規、監管部門的規 範性文件、協會章程、自律規範和其他有關規定,存在支付結算 違法違規行爲的,協會可對其實施警告、約談高級管理人員、强 制性培訓教育、通報批評、公開譴責、暫停會員資格、取消會員 資格等懲戒措施。
協會可根據支付機構違法違規行爲的具體情節,單獨或者合 幷實施以上懲戒措施,幷責令整改。
(條款出處:《中國支付清算協會自律懲戒實施辦法》(中國支付清 算協會公告〔2019〕第3號)第五條。)
第一百零五條 本指引由中國支付清算協會秘書處負責解釋和修訂。
請先 登錄後發表評論 ~