非银行支付机构网络支付业务治理方法.docx

1、非银行支付机构网络支付业务治理方法非银行支付机构网络支付业务治理方法中国人民银行公告2021第43号第一章 总 那么第一条 为标准非银行支付机构（以下简称支付机构） 网络支付业务，防范支付风险，爱惜当事人合法权益，依照中华人民共和国中国人民银行法、非金融机构支付效劳治理方法（中国人民银行令2020第2 号发布）等规定，制定本方法。第二条 支付机构从事网络支付业务，适用本方法。本方法所称支付机构是指依法取得支付业务许可证，获准办理互联网支付、移动支付、固定支付、数字电视支付等网络支付业务的非银行机构。本方法所称网络支付业务，是指收款人或付款人通过运算机、移动终端等电子设备，依托公共网络信息系统远

2、程发起支付指令，且付款人电子设备不与收款人特定专属设备交互，由支付机构为收付款人提供货币资金转移效劳的活动。本方法所称收款人特定专属设备，是指专门用于交易收款，在交易进程中与支付机构业务系统交互并参与生成、传输、处置支付指令的电子设备。第三条 支付机构应当遵循要紧效劳电子商务进展和为社会提供小额、快捷、便民小微支付效劳的宗旨，基于客户的银行账户或依照本方法规定为客户开立支付账户提供网络支付效劳。本方法所称支付账户，是指取得互联网支付业务许可的支付机构，依照客户的真实意愿为其开立的，用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细信息的电子簿记。支付账户不得透支，不得出借、出租、出售

3、，不得利用支付账户从事或协助他人从事非法活动。第四条 支付机构基于银行卡为客户提供网络支付效劳的，应当执行银行卡业务相关监管规定和银行卡行业标准。支付机构对特约商户的拓展与治理、业务与风险治理应当执行银行卡收单业务治理方法（中国人民银行公告2021第9 号发布）等相关规定。支付机构网络支付效劳涉及跨境人民币结算和外汇支付的，应当执行中国人民银行、国家外汇治理局相关规定。支付机构应当依法保护当事人合法权益，遵守反洗钱和反恐怖融资相关规定，履行反洗钱和反恐怖融资义务。第五条 支付机构依照中国人民银行有关规定同意分类评判，并执行相应的分类监管方法。第二章 客户治理第六条 支付机构应当遵循“了解你的客

4、户”原那么，成立健全客户身份识别机制。支付机构为客户开立支付账户的，应当对客户实行实名制治理，记录并采取有效方法验证客户身份大体信息，按规定查对有效身份证件并留存有效身份证件复印件或影印件，成立客户唯一识别编码，并在与客户业务关系存续期间采取持续的身份识别方法，确保有效核实客户身份及其真实意愿，不得开立匿名、化名支付账户。第七条 支付机构应当与客户签定效劳协议，约定两边责任、权利和义务，至少明确业务规那么（包括但不限于业务功能和流程、身份识别和交易验证方式、资金结算方式等），收费项目和标准，查询、过失争议及投诉等效劳流程和规那么，业务风险和非法活动防范及处置方法，客户损失责任划分和赔付规那么等

5、内容。支付机构为客户开立支付账户的，还应在效劳协议中以显著方式告知客户，并采取有效方式确认客户充分知晓并清楚明白得以下内容：“支付账户所记录的资金余额不同于客户本人的银行存款，不受存款保险条例爱惜，其实质为客户委托支付机构保管的、所有权归属于客户的预付价值。该预付价值对应的货币资金尽管属于客户，但不以客户本人名义寄存在银行，而是以支付机构名义寄存在银行，而且由支付机构向银行发起资金挑唆指令。”支付机构应当确保协议内容清楚、易懂，并以显著方式提示客户注意与其有重大利害关系的事项。第八条 取得互联网支付业务许可的支付机构，经客户主动提出申请，可为其开立支付账户；仅取得移动支付、固定支付、数字电视支

6、付业务许可的支付机构，不得为客户开立支付账户。支付机构不得为金融机构，和从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构开立支付账户。第三章 业务治理第九条 支付机构不得经营或变相经营证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。第十条 支付机构向客户开户银行发送支付指令，扣划客户银行账户资金的，支付机构和银行应当执行以下要求：（一）支付机构应当事前或在首笔交易时自主识别客户身份并别离取得客户和银行的协议授权，同意其向客户的银行账户发起支付指令扣划资金；（二）银行应当事前或在首笔交易时自主识别客户身份并与客户直接签定授权协议，明确约定扣款适用范围和交易验证方

7、式，设立与客户风险经受能力相匹配的单笔和单日累计交易限额，许诺无条件全额承担此类交易的风险损失先行赔付责任；（三）除单笔金额不超过200 元的小额支付业务，公共事业缴费、税费缴纳、信誉卡还款等收款人固定而且按期发生的支付业务，和符合第三十七条规定的情形之外，支付机构不得代替银行进行交易验证。第十一条 支付机构应依照客户身份对同一客户在本机构开立的所有支付账户进行关联治理，并依照以下要求对个人支付账户进行分类治理：（一）关于以非面对面方式通过至少一个合法平安的外部渠道进行身份大体信息验证，且为第一次在本机构开立支付账户的个人客户，支付机构能够为其开立类支付账户，账户余额仅可用于消费和转账，余额付

8、款交易自账户开立起累计不超过1000 元（包括支付账户向客户本人同名银行账户转账）；（二）关于支付机构自主或委托合作机构以面对面方式核实身份的个人客户，或以非面对面方式通过至少三个合法平安的外部渠道进行身份大体信息多重交叉验证的个人客户，支付机构能够为其开立类支付账户，账户余额仅可用于消费和转账，其所有支付账户的余额付款交易年累计不超过10 万元（不包括支付账户向客户本人同名银行账户转账）；（三）关于支付机构自主或委托合作机构以面对面方式核实身份的个人客户，或以非面对面方式通过至少五个合法平安的外部渠道进行身份大体信息多重交叉验证的个人客户，支付机构能够为其开立类支付账户，账户余额能够用于消费

9、、转账和购买投资理财等金融类产品，其所有支付账户的余额付款交易年累计不超过20 万元（不包括支付账户向客户本人同名银行账户转账）。客户身份大体信息外部验证渠道包括但不限于政府部门数据库、商业银行信息系统、商业化数据库等。其中，通过商业银行验证个人客户身份大体信息的，应为类银行账户或信誉卡。第十二条 支付机构办理银行账户与支付账户之间转账业务的，相关银行账户与支付账户应属于同一客户。支付机构应依照与客户的约定及时办理支付账户向客户本人银行账户转账业务，不得对类、类支付账户向客户本人银行账户转账设置限额。第十三条 支付机构为客户办理本机构发行的预付卡向支付账户转账的，应当依照支付机构预付卡业务治理

10、方法（中国人民银行公告2021第12 号发布）相关规定对预付卡转账至支付账户的余额单独治理，仅限其用于消费，不得通过转账、购买投资理财等金融类产品等形式进行套现或变相套现。第十四条 支付机构应当确保交易信息的真实性、完整性、可追溯性和在支付全流程中的一致性，不得窜改或隐匿交易信息。交易信息包括但不限于以下内容：（一）交易渠道、交易终端或接口类型、交易类型、交易金额、交易时刻，和直接向客户提供商品或效劳的特约商户名称、编码和依照国家与金融行业标准设置的商户类别码；（二）收付款客户名称，收付款支付账户账号或银行账户的开户银行名称及账号；（三）付款客户的身份验证和交易授权信息；（四）有效追溯交易的标

11、识；（五）单位客户单笔超过5 万元的转账业务的付款用途和事由。第十五条 因交易取消（撤销）、退货、交易不成功或投资理财等金融类产品赎回等缘故需划回资金的，相应款项应当划回原扣款账户。第十六条 关于客户的网络支付业务操作行为，支付机构应当在确认客户身份及真实意愿后及时办理，并在操作生效之日起至少五年内，真实、完整保留操作记录。客户操作行为包括但不限于登录和注销登录、身份识别和交易验证、变更身份信息和联系方式、调整业务功能、调整交易限额、变更资金收付方式，和变更或挂失密码、数字证书、电子签名等。第四章 风险治理与客户权益爱惜第十七条 支付机构应当综合客户类型、身份核实方式、交易行为特点、资信状况等

12、因素，成立客户风险评级治理制度和机制，并动态调整客户风险评级及相关风险操纵方法。支付机构应当依照客户风险评级、交易验证方式、交易渠道、交易终端或接口类型、交易类型、交易金额、交易时刻、商户类别等因素，成立交易风险治理制度和交易监测系统，对疑似讹诈、套现、洗钱、非法融资、恐怖融资等交易，及时采取调查核实、延迟结算、终止效劳等方法。第十八条 支付机构应当向客户充分提示网络支付业务的潜在风险，及时揭露非法分子新型作案手腕，对客户进行必要的平安教育，并对高风险业务在操作前、操作中进行风险警示。支付机构为客户购买合作机构的金融类产品提供网络支付效劳的，应当确保合作机构为取得相应经营资质并依法开展业务的机

13、构，并在第一次购买时向客户展现合作机构信息和产品信息，充分提示相关责任、权利、义务及潜在风险，协助客户与合作机构完成协议签定。第十九条 支付机构应当做立健全风险预备金制度和交易赔付制度，并对不能有效证明因客户缘故致使的资金损失及时先行全额赔付，保障客户合法权益。支付机构应于每一年1 月31 日前，将前一年度发生的风险事件、客户风险损失发生和赔付等情形在网站对外公告。支付机构应在年度监管报告中如实反映上述内容和风险预备金计提、利用及节余等情形。第二十条 支付机构应当依照中国人民银行有关客户信息爱惜的规定，制定有效的客户信息爱惜方法和风险操纵机制，履行客户信息爱惜责任。支付机构不得存储客户银行卡的

14、磁道信息或芯片信息、验证码、密码等灵敏信息，原那么上不得存储银行卡有效期。因特殊业务需要，支付机构确需存储客户银行卡有效期的，应当取得客户和开户银行的授权，以加密形式存储。支付机构应当以“最小化”原那么搜集、利用、存储和传输客户信息，并告知客户相关信息的利用目的和范围。支付机构不得向其他机构或个人提供客户信息，法律法规还有规定，和经客户本人逐项确认并授权的除外。第二十一条 支付机构应当通过协议约定禁止特约商户存储客户银行卡的磁道信息或芯片信息、验证码、有效期、密码等灵敏信息，并采取按期检查、技术监测等必要监督方法。特约商户违背协议约定存储上述灵敏信息的，支付机构应当当即暂停或终止为其提供网络支

15、付效劳，采取有效方法删除灵敏信息、避免信息泄露，并依法承担因相关信息泄露造成的损失和责任。第二十二条 支付机构能够组合选用以下三类要素，对客户利用支付账户余额付款的交易进行验证：（一）仅客户本人知悉的要素，如静态密码等；（二）仅客户本人持有并特有的，不可复制或不可重复利用的要素，如通过平安认证的数字证书、电子签名，和通过平安渠道生成和传输的一次性密码等；（三）客户本人一辈子理特点要素，如指纹等。支付机构应当确保采纳的要素彼此独立，部份要素的损坏或泄露不该致使其他要素损坏或泄露。第二十三条 支付机构采纳数字证书、电子签名作为验证要素的，数字证书及生成电子签名的进程应符合中华人民共和国电子签名法、

16、金融电子认证标准（ JR/T0118-2021）等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖性。支付机构采纳一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时刻内。支付机构采纳客户本人一辈子理特点作为验证要素的，应当符合国家、金融行业标准和相关信息平安治理要求，避免被非法存储、复制或重放。第二十四条 支付机构应依照交易验证方式的平安级别，依照以下要求对个人客户利用支付账户余额付款的交易进行限额治理：（一）支付机构采纳包括数字证书或电子签名在内的两类（含）以上有效要素进行验证的交易，单日累计限额

17、由支付机构与客户通过协议自主约定；（二）支付机构采纳不包括数字证书、电子签名在内的两类（含）以上有效要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过5000 元（不包括支付账户向客户本人同名银行账户转账）；（三）支付机构采纳不足两类有效要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过1000 元（不包括支付账户向客户本人同名银行账户转账），且支付机构应当许诺无条件全额承担此类交易的风险损失赔付责任。第二十五条 支付机构网络支付业务相关系统设施和技术，应当持续符合国家、金融行业标准和相关信息平安治理要求。如未符合相关标准和要求，或尚未形成国家、金融行业标准，支付机构应当无

18、条件全额承担客户直接风险损失的先行赔付责任。第二十六条 支付机构应当在境内拥有平安、标准的网络支付业务处置系统及其备份系统，制定突发事件应急预案，保障系统平安性和业务持续性。支付机构为境内交易提供效劳的，应当通过境内业务处置系统完成交易处置，并在境内完成资金结算。第二十七条 支付机构应当采取有效方法，确保客户在执行支付指令前可对收付款客户名称和账号、交易金额等交易信息进行确认，并在支付指令完成后及时将结果通知客因交易超时、无响应或系统故障致使支付指令无法正常处置的，支付机构应当及时提示客户；因客户缘故造成支付指令未执行、未适当执行、延迟执行的，支付机构应当主动通知客户更改或协助客户采取补救方法

19、。第二十八条 支付机构应当通过具有合法独立域名的网站和统一的效劳等渠道，为客户免费提供至少最近一年之内交易信息查询效劳，并成立健全过失争议和纠纷投诉处置制度，配备专业部门和人员据实、准确、及时处置交易过失和客户投诉。支付机构应当告知客户相关效劳的正确获取途径，指导客户有效辨识效劳渠道的真实性。支付机构应当于每一年1 月31 日前，将前一年度发生的客户投诉数量和类型、处置完毕的投诉占比、投诉处置速度等情形在网站对外公告。第二十九条 支付机构应当充分尊重客户自主选择权，不得强迫客户利用本机构提供的支付效劳，不得阻碍客户利用其他机构提供的支付效劳。支付机构应当公平展现客户可选用的各类资金收付方式，不

20、得以任何形式诱导、强迫客户开立支付账户或通过支付账户办理资金收付，不得附加不合理条件。第三十条 支付机构因系统升级、调试等缘故，需暂停网络支付效劳的，应当至少提早5 个工作日予以公告。支付机构变更协议条款、提高效劳收费标准或新设收费项目的，应当于实施之前在网站等效劳渠道以显著方式持续公示30 日，并于客户第一次办理相关业务前确认客户知悉且同意拟调整的全数详细内容。第五章 监督治理第三十一条 支付机构提供网络支付创新产品或效劳、停止提供产品或效劳、与境外机构合作在境内开展网络支付业务的，应当至少提早30 日向法人所在地中国人民银行分支机构报告。支付机构发生重大风险事件的，应当及时向法人所在地中国

21、人民银行分支机构报告；发觉涉嫌违法犯法的，同时报告公安机关。第三十二条 中国人民银行能够结合支付机构的企业资质、风险管控专门是客户备付金治理等因素，确立支付机构分类监管指标体系，成立持续分类评判工作机制，并对支付机构实施动态分类治理。具体方法由中国人民银行另行制定。第三十三条 评定为“A”类且类、类支付账户实名比例超过95%的支付机构，能够采纳能够切实落实实名制要求的其他客户身份核实方式，经法人所在地中国人民银行分支机构评估认可并向中国人民银行备案后实施。第三十四条 评定为“A”类且类、类支付账户实名比例超过95%的支付机构，能够对从事电子商务经营活动、不具有工商记录注册条件且相关法律法规许诺

22、不进行工商记录注册的个人客户（以下简称个人卖家）参照单位客户治理，但应成立持续监测电子商务经营活动、对个人卖家实施动态治理的有效机制，并向法人所在地中国人民银行分支机构备案。支付机构参照单位客户治理的个人卖家，应至少符合以下条件：（一）相关电子商务交易平台已依照相关法律法规对其真实身份信息进行审查和记录，与其签定记录协议，成立记录档案并按期核实更新，核发证明个人身份信息真实合法的标记，加载在其从事电子商务经营活动的主页面夺目位置；（二）支付机构已依照开立类个人支付账户的标准对其完成身份核实；（三）持续从事电子商务经营活动满6 个月，且期间利用支付账户收取的经营收入累计超过20 万元。第三十五条

23、 评定为“A”类且类、类支付账户实名比例超过95%的支付机构，关于已经实名确认、达到实名制治理要求的支付账户，在办理第十二条第一款所述转账业务时，相关银行账户与支付账户能够不属于同一客户。但支付机构应在交易中向银行准确、完整发送交易渠道、交易终端或接口类型、交易类型、收付款客户名称和账号等交易信息。第三十六条 评定为“A”类且类、类支付账户实名比例超过95%的支付机构，能够将达到实名制治理要求的类、类支付账户的余额付款单日累计限额，提高至第二十四条规定的2 倍。评定为“B”类及以上，且类、类支付账户实名比例超过90%的支付机构，能够将达到实名制治理要求的类、类支付账户的余额付款单日累计限额，提

24、高至第二十四条规定的 倍。第三十七条 评定为“A”类的支付机构依照第十条规定办理相关业务时，能够与银行依照业务需要，通过协议自主约定由支付机构代替进行交易验证的情形，但支付机构应在交易中向银行完整、准确发送交易渠道、交易终端或接口类型、交易类型、商户名称、商户编码、商户类别码、收付款客户名称和账号等交易信息；银行应核实支付机构验证手腕或渠道的平安性，且对客户资金平安的治理责任不因支付机构代替验证而转移。第三十八条 关于评定为“C”类及以下、支付账户实名比例较低、对零售支付体系或社会公众非现金支付信心产生重大阻碍的支付机构，中国人民银行及其分支机构能够在第十九条、第二十八条等规定的基础上适度提高

25、公布披露相关信息的要求，并增强非现场监管和现场检查。第三十九条 中国人民银行及其分支机构对照上述分类治理方法相应条件，动态确信支付机构适用的监管规定并持续监管。支付机构分类评定结果和支付账户实名比例不符合上述分类治理方法相应条件的，应严格依照第十条、第十一条、第十二条及第二十四条等相关规定执行。中国人民银行及其分支机构能够依照社会经济进展情形和支付机构分类治理需要，对支付机构网络支付业务范围、模式、功能、限额及业务创新等相关治理方法进行适时调整。第四十条 支付机构应当加入中国支付清算协会，同意行业自律组织治理。中国支付清算协会应当依照本方法制定网络支付业务行业自律标准，成立自律审查机制，向中国

26、人民银行备案后组织实施。自律标准应包括支付机构与客户签定协议的范本，明确协议应记载和不得记载事项，还应包括支付机构披露有关信息的具体内容和标准格式。中国支付清算协会应当做立信誉许诺制度，要求支付机构以标准格式向社会公布许诺依法合规开展网络支付业务、保障客户信息平安和资金平安、保护客户合法权益、如违法违规志愿同意约束和惩罚。第六章 法律责任第四十一条 支付机构从事网络支付业务有以下情形之一的，中国人民银行及其分支机构依据非金融机构支付效劳治理方法第四十二条的规定进行处置：（一）未按规定成立客户实名制治理、支付账户开立与利用、过失争议和纠纷投诉处置、风险预备金和交易赔付、应急预案等治理制度的；（二

27、）未按规定成立客户风险评级治理、支付账户功能与限额治理、客户支付指令验证治理、交易和信息平安治理、交易监测系统等风险操纵机制的，未按规定对支付业务采取有效风险操纵方法的；（三）未按规定进行风险提示、公布披露相关信息的；（四）未按规定履行报告义务的。第四十二条 支付机构从事网络支付业务有以下情形之一的，中国人民银行及其分支机构依据非金融机构支付效劳治理方法第四十三条的规定进行处置；情节严峻的，中国人民银行及其分支机构依据中华人民共和国中国人民银行法第四十六条的规定进行处置：（一）不符合支付机构支付业务系统设施有关要求的；（二）不符合国家、金融行业标准和相关信息平安治理要求的，采纳数字证书、电子签

28、名不符合中华人民共和国电子签名法、金融电子认证标准等规定的；（三）为非法交易、虚假交易提供支付效劳，发觉客户疑似或涉嫌违法违规行为未按规定采取有效方法的；（四）未按规定采取客户支付指令验证方法的；（五）未真实、完整、准确反映网络支付交易信息，窜改或隐匿交易信息的；（六）未按规定处置客户信息，或未履行客户信息保密义务，造成信息泄露隐患或致使信息泄露的；（七）妨碍客户自主选择支付效劳提供主体或资金收付方式的；（八）公布披露虚假信息的；（九）违规开立支付账户，或擅自经营金融业务活动的。第四十三条 支付机构违背反洗钱和反恐怖融资规定的，依据国家有关法律法规进行处置。第七章 附 那么第四十四条 本方法相

29、关用语含义如下：单位客户，是指同意支付机构支付效劳的法人、其他组织或个体工商户。个人客户，是指同意支付机构支付效劳的自然人。单位客户的身份大体信息，包括客户的名称、地址、经营范围、统一社会信誉代码或组织机构代码；可证明该客户依法设立或可依法开展经营、社会活动的执照、证件或文件的名称、号码和有效期限；法定代表人（负责人）或授权办理业务人员的姓名、有效身份证件的种类、号码和有效期限。个人客户的身份大体信息，包括客户的姓名、国籍、性别、职业、住址、联系方式和客户有效身份证件的种类、号码和有效期限。法人和其他组织客户的有效身份证件，是指政府有权机关颁发的能够证明其合法真实身份的证件或文件，包括但不限于

30、营业执照、事业单位法人证书、税务记录证、组织机构代码证；个体工商户的有效身份证件，包括营业执照、经营者或授权经办人员的有效身份证件。个人客户的有效身份证件，包括：在中国境内已记录常住户口的中国公民为居民身份证，不满十六周岁的，为居民身份证或户口簿；香港、澳门专门行政区居民为港澳居民往来内地通行证；台湾地域居民为台湾居民来往大陆通行证；居住国外的中国公民为中国护照；外国公民为护照或外国人永久居留证（外国边民，依照边贸结算的有关规定办理）；法律、行政法规规定的其他身份证明文件。客户本人，是指客户本单位（单位客户）或本人（个人客户）。第四十五条 本方法由中国人民银行负责说明和修订。第四十六条 本方法自 2016 年 7 月 1日起实施。