2019年非銀行支付機構網絡支付業務管理辦法

第一章　總則

第一條　為規范非銀行支付機構[以下簡稱支付機構]網絡支付業務，防范支付風險，保護當事人合法權益，根據《中華人民共和國中國人民銀行法》、《非金融機構支付服務管理辦法》[中國人民銀行令〔2010〕第2號發布]等規定，制定本辦法。

第二條　支付機構從事網絡支付業務，適用本辦法。本辦法所稱支付機構是指依法取得《支付業務許可證》，獲準辦理互聯網支付、移動電話支付、固定電話支付、數字電視支付等網絡支付業務的非銀行機構。本辦法所稱網絡支付業務，是指收款人或付款人通過計算機、移動終端等電子設備，依托公共網絡信息系統遠程發起支付指令，且付款人電子設備不與收款人特定專屬設備交互，由支付機構為收付款人提供貨幣資金轉移服務的活動。本辦法所稱收款人特定專屬設備，是指專門用于交易收款，在交易過程中與支付機構業務系統交互并參與生成、傳輸、處理支付指令的電子設備。

第三條　支付機構應當遵循主要服務電子商務發展和為社會提供小額、快捷、便民小微支付服務的宗旨，基于客戶的銀行賬戶或者按照本辦法規定為客戶開立支付賬戶提供網絡支付服務。本辦法所稱支付賬戶，是指獲得互聯網支付業務許可的支付機構，根據客戶的真實意愿為其開立的，用于記錄預付交易資金余額、客戶憑以發起支付指令、反映交易明細信息的電子簿記。支付賬戶不得透支，不得出借、出租、出售，不得利用支付賬戶從事或者協助他人從事非法活動。

第四條　支付機構基于銀行卡為客戶提供網絡支付服務的，應當執行銀行卡業務相關監管規定和銀行卡行業規范。支付機構對特約商戶的拓展與管理、業務與風險管理應當執行《銀行卡收單業務管理辦法》[中國人民銀行公告〔2013〕第9號公布]等相關規定。支付機構網絡支付服務涉及跨境人民幣結算和外匯支付的，應當執行中國人民銀行、國家外匯管理局相關規定。支付機構應當依法維護當事人合法權益，遵守反洗錢和反恐怖融資相關規定，履行反洗錢和反恐怖融資義務。

第五條　支付機構依照中國人民銀行有關規定接受分類評價，并執行相應的分類監管措施。

第二章　客戶管理

第六條　支付機構應當遵循“了解你的客戶”原則，建立健全客戶身份識別機制。支付機構為客戶開立支付賬戶的，應當對客戶實行實名制管理，登記并采取有效措施驗證客戶身份基本信息，按規定核對有效身份證件并留存有效身份證件復印件或者影印件，建立客戶唯一識別編碼，并在與客戶業務關系存續期間采取持續的身份識別措施，確保有效核實客戶身份及其真實意愿，不得開立匿名、假名支付賬戶。

第七條　支付機構應當與客戶簽訂服務協議，約定雙方責任、權利和義務，至少明確業務規則[包括但不限于業務功能和流程、身份識別和交易驗證方式、資金結算方式等]，收費項目和標準，查詢、差錯爭議及投訴等服務流程和規則，業務風險和非法活動防范及處置措施，客戶損失責任劃分和賠付規則等內容。支付機構為客戶開立支付賬戶的，還應在服務協議中以顯著方式告知客戶，并采取有效方式確認客戶充分知曉并清晰理解下列內容：“支付賬戶所記錄的資金余額不同于客戶本人的銀行存款，不受《存款保險條例》保護，其實質為客戶委托支付機構保管的、所有權歸屬于客戶的預付價值。該預付價值對應的貨幣資金雖然屬于客戶，但不以客戶本人名義存放在銀行，而是以支付機構名義存放在銀行，并且由支付機構向銀行發起資金調撥指令。”支付機構應當確保協議內容清晰、易懂，并以顯著方式提示客戶注意與其有重大利害關系的事項。

第八條　獲得互聯網支付業務許可的支付機構，經客戶主動提出申請，可為其開立支付賬戶;僅獲得移動電話支付、固定電話支付、數字電視支付業務許可的支付機構，不得為客戶開立支付賬戶。支付機構不得為金融機構，以及從事信貸、融資、理財、擔保、信托、貨幣兌換等金融業務的其他機構開立支付賬戶。

第三章　業務管理

第九條　支付機構不得經營或者變相經營證券、保險、信貸、融資、理財、擔保、信托、貨幣兌換、現金存取等業務。

第十條　支付機構向客戶開戶銀行發送支付指令，扣劃客戶銀行賬戶資金的，支付機構和銀行應當執行下列要求：[一]支付機構應當事先或在首筆交易時自主識別客戶身份并分別取得客戶和銀行的協議授權，同意其向客戶的銀行賬戶發起支付指令扣劃資金;[二]銀行應當事先或在首筆交易時自主識別客戶身份并與客戶直接簽訂授權協議，明確約定扣款適用范圍和交易驗證方式，設立與客戶風險承受能力相匹配的單筆和單日累計交易限額，承諾無條件全額承擔此類交易的風險損失先行賠付責任;[三]除單筆金額不超過200元的小額支付業務，公共事業繳費、稅費繳納、信用卡還款等收款人固定并且定期發生的支付業務，以及符合第三十七條規定的情形以外，支付機構不得代替銀行進行交易驗證。

第十一條　支付機構應根據客戶身份對同一客戶在本機構開立的所有支付賬戶進行關聯管理，并按照下列要求對個人支付賬戶進行分類管理：[一]對于以非面對面方式通過至少一個合法安全的外部渠道進行身份基本信息驗證，且為首次在本機構開立支付賬戶的個人客戶，支付機構可以為其開立Ⅰ類支付賬戶，賬戶余額僅可用于消費和轉賬，余額付款交易自賬戶開立起累計不超過1000元[包括支付賬戶向客戶本人同名銀行賬戶轉賬];[二]對于支付機構自主或委托合作機構以面對面方式核實身份的個人客戶，或以非面對面方式通過至少三個合法安全的外部渠道進行身份基本信息多重交叉驗證的個人客戶，支付機構可以為其開立Ⅱ類支付賬戶，賬戶余額僅可用于消費和轉賬，其所有支付賬戶的余額付款交易年累計不超過10萬元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬];[三]對于支付機構自主或委托合作機構以面對面方式核實身份的個人客戶，或以非面對面方式通過至少五個合法安全的外部渠道進行身份基本信息多重交叉驗證的個人客戶，支付機構可以為其開立Ⅲ類支付賬戶，賬戶余額可以用于消費、轉賬以及購買投資理財等金融類產品，其所有支付賬戶的余額付款交易年累計不超過20萬元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬]。客戶身份基本信息外部驗證渠道包括但不限于政府部門數據庫、商業銀行信息系統、商業化數據庫等。其中，通過商業銀行驗證個人客戶身份基本信息的，應為Ⅰ類銀行賬戶或信用卡。

第十二條　支付機構辦理銀行賬戶與支付賬戶之間轉賬業務的，相關銀行賬戶與支付賬戶應屬于同一客戶。支付機構應按照與客戶的約定及時辦理支付賬戶向客戶本人銀行賬戶轉賬業務，不得對Ⅱ類、Ⅲ類支付賬戶向客戶本人銀行賬戶轉賬設置限額。

第十三條　支付機構為客戶辦理本機構發行的預付卡向支付賬戶轉賬的，應當按照《支付機構預付卡業務管理辦法》[中國人民銀行公告〔2012〕第12號公布]相關規定對預付卡轉賬至支付賬戶的余額單獨管理，僅限其用于消費，不得通過轉賬、購買投資理財等金融類產品等形式進行套現或者變相套現。

第十四條　支付機構應當確保交易信息的真實性、完整性、可追溯性以及在支付全流程中的一致性，不得篡改或者隱匿交易信息。交易信息包括但不限于下列內容：[一]交易渠道、交易終端或接口類型、交易類型、交易金額、交易時間，以及直接向客戶提供商品或者服務的特約商戶名稱、編碼和按照國家與金融行業標準設置的商戶類別碼;[二]收付款客戶名稱，收付款支付賬戶賬號或者銀行賬戶的開戶銀行名稱及賬號;[三]付款客戶的身份驗證和交易授權信息;[四]有效追溯交易的標識;[五]單位客戶單筆超過5萬元的轉賬業務的付款用途和事由。

第十五條　因交易取消[撤銷]、退貨、交易不成功或者投資理財等金融類產品贖回等原因需劃回資金的，相應款項應當劃回原扣款賬戶。

第十六條　對于客戶的網絡支付業務操作行為，支付機構應當在確認客戶身份及真實意愿后及時辦理，并在操作生效之日起至少五年內，真實、完整保存操作記錄。客戶操作行為包括但不限于登錄和注銷登錄、身份識別和交易驗證、變更身份信息和聯系方式、調整業務功能、調整交易限額、變更資金收付方式，以及變更或掛失密碼、數字證書、電子簽名等。

第四章　風險管理與客戶權益保護

第十七條　支付機構應當綜合客戶類型、身份核實方式、交易行為特征、資信狀況等因素，建立客戶風險評級管理制度和機制，并動態調整客戶風險評級及相關風險控制措施。支付機構應當根據客戶風險評級、交易驗證方式、交易渠道、交易終端或接口類型、交易類型、交易金額、交易時間、商戶類別等因素，建立交易風險管理制度和交易監測系統，對疑似欺詐、套現、洗錢、非法融資、恐怖融資等交易，及時采取調查核實、延遲結算、終止服務等措施。

第十八條　支付機構應當向客戶充分提示網絡支付業務的潛在風險，及時揭示不法分子新型作案手段，對客戶進行必要的安全教育，并對高風險業務在操作前、操作中進行風險警示。支付機構為客戶購買合作機構的金融類產品提供網絡支付服務的，應當確保合作機構為取得相應經營資質并依法開展業務的機構，并在首次購買時向客戶展示合作機構信息和產品信息，充分提示相關責任、權利、義務及潛在風險，協助客戶與合作機構完成協議簽訂。

第十九條　支付機構應當建立健全風險準備金制度和交易賠付制度，并對不能有效證明因客戶原因導致的資金損失及時先行全額賠付，保障客戶合法權益。支付機構應于每年1月31日前，將前一年度發生的風險事件、客戶風險損失發生和賠付等情況在網站對外公告。支付機構應在年度監管報告中如實反映上述內容和風險準備金計提、使用及結余等情況。

第二十條　支付機構應當依照中國人民銀行有關客戶信息保護的規定，制定有效的客戶信息保護措施和風險控制機制，履行客戶信息保護責任。支付機構不得存儲客戶銀行卡的磁道信息或芯片信息、驗證碼、密碼等敏感信息，原則上不得存儲銀行卡有效期。因特殊業務需要，支付機構確需存儲客戶銀行卡有效期的，應當取得客戶和開戶銀行的授權，以加密形式存儲。支付機構應當以“最小化”原則采集、使用、存儲和傳輸客戶信息，并告知客戶相關信息的使用目的和范圍。支付機構不得向其他機構或個人提供客戶信息，法律法規另有規定，以及經客戶本人逐項確認并授權的除外。

第二十一條　支付機構應當通過協議約定禁止特約商戶存儲客戶銀行卡的磁道信息或芯片信息、驗證碼、有效期、密碼等敏感信息，并采取定期檢查、技術監測等必要監督措施。特約商戶違反協議約定存儲上述敏感信息的，支付機構應當立即暫停或者終止為其提供網絡支付服務，采取有效措施刪除敏感信息、防止信息泄露，并依法承擔因相關信息泄露造成的損失和責任。

第二十二條　支付機構可以組合選用下列三類要素，對客戶使用支付賬戶余額付款的交易進行驗證：[一]僅客戶本人知悉的要素，如靜態密碼等;[二]僅客戶本人持有并特有的，不可復制或者不可重復利用的要素，如經過安全認證的數字證書、電子簽名，以及通過安全渠道生成和傳輸的一次性密碼等;[三]客戶本人生理特征要素，如指紋等。支付機構應當確保采用的要素相互獨立，部分要素的損壞或者泄露不應導致其他要素損壞或者泄露。

第二十三條　支付機構采用數字證書、電子簽名作為驗證要素的，數字證書及生成電子簽名的過程應符合《中華人民共和國電子簽名法》、《金融電子認證規范》[JR/T0118-2015]等有關規定，確保數字證書的唯一性、完整性及交易的不可抵賴性。支付機構采用一次性密碼作為驗證要素的，應當切實防范一次性密碼獲取端與支付指令發起端為相同物理設備而帶來的風險，并將一次性密碼有效期嚴格限制在最短的必要時間內。支付機構采用客戶本人生理特征作為驗證要素的，應當符合國家、金融行業標準和相關信息安全管理要求，防止被非法存儲、復制或重放。

第二十四條　支付機構應根據交易驗證方式的安全級別，按照下列要求對個人客戶使用支付賬戶余額付款的交易進行限額管理：[一]支付機構采用包括數字證書或電子簽名在內的兩類[含]以上有效要素進行驗證的交易，單日累計限額由支付機構與客戶通過協議自主約定;[二]支付機構采用不包括數字證書、電子簽名在內的兩類[含]以上有效要素進行驗證的交易，單個客戶所有支付賬戶單日累計金額應不超過5000元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬];[三]支付機構采用不足兩類有效要素進行驗證的交易，單個客戶所有支付賬戶單日累計金額應不超過1000元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬]，且支付機構應當承諾無條件全額承擔此類交易的風險損失賠付責任。

第二十五條　支付機構網絡支付業務相關系統設施和技術，應當持續符合國家、金融行業標準和相關信息安全管理要求。如未符合相關標準和要求，或者尚未形成國家、金融行業標準，支付機構應當無條件全額承擔客戶直接風險損失的先行賠付責任。

第二十六條　支付機構應當在境內擁有安全、規范的網絡支付業務處理系統及其備份系統，制定突發事件應急預案，保障系統安全性和業務連續性。支付機構為境內交易提供服務的，應當通過境內業務處理系統完成交易處理，并在境內完成資金結算。

第二十七條　支付機構應當采取有效措施，確保客戶在執行支付指令前可對收付款客戶名稱和賬號、交易金額等交易信息進行確認，并在支付指令完成后及時將結果通知客戶。因交易超時、無響應或者系統故障導致支付指令無法正常處理的，支付機構應當及時提示客戶;因客戶原因造成支付指令未執行、未適當執行、延遲執行的，支付機構應當主動通知客戶更改或者協助客戶采取補救措施。

第二十八條　支付機構應當通過具有合法獨立域名的網站和統一的服務電話等渠道，為客戶免費提供至少最近一年以內交易信息查詢服務，并建立健全差錯爭議和糾紛投訴處理制度，配備專業部門和人員據實、準確、及時處理交易差錯和客戶投訴。支付機構應當告知客戶相關服務的正確獲取途徑，指導客戶有效辨識服務渠道的真實性。支付機構應當于每年1月31日前，將前一年度發生的客戶投訴數量和類型、處理完畢的投訴占比、投訴處理速度等情況在網站對外公告。

第二十九條　支付機構應當充分尊重客戶自主選擇權，不得強迫客戶使用本機構提供的支付服務，不得阻礙客戶使用其他機構提供的支付服務。支付機構應當公平展示客戶可選用的各種資金收付方式，不得以任何形式誘導、強迫客戶開立支付賬戶或者通過支付賬戶辦理資金收付，不得附加不合理條件。

第三十條　支付機構因系統升級、調試等原因，需暫停網絡支付服務的，應當至少提前5個工作日予以公告。支付機構變更協議條款、提高服務收費標準或者新設收費項目的，應當于實施之前在網站等服務渠道以顯著方式連續公示30日，并于客戶首次辦理相關業務前確認客戶知悉且接受擬調整的全部詳細內容。

第五章　監督管理

第三十一條　支付機構提供網絡支付創新產品或者服務、停止提供產品或者服務、與境外機構合作在境內開展網絡支付業務的，應當至少提前30日向法人所在地中國人民銀行分支機構報告。支付機構發生重大風險事件的，應當及時向法人所在地中國人民銀行分支機構報告;發現涉嫌違法犯罪的，同時報告公安機關。

第三十二條　中國人民銀行可以結合支付機構的企業資質、風險管控特別是客戶備付金管理等因素，確立支付機構分類監管指標體系，建立持續分類評價工作機制，并對支付機構實施動態分類管理。具體辦法由中國人民銀行另行制定。

第三十三條　評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構，可以采用能夠切實落實實名制要求的其他客戶身份核實方法，經法人所在地中國人民銀行分支機構評估認可并向中國人民銀行備案后實施。

第三十四條　評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構，可以對從事電子商務經營活動、不具備工商登記注冊條件且相關法律法規允許不進行工商登記注冊的個人客戶[以下簡稱個人賣家]參照單位客戶管理，但應建立持續監測電子商務經營活動、對個人賣家實施動態管理的有效機制，并向法人所在地中國人民銀行分支機構備案。支付機構參照單位客戶管理的個人賣家，應至少符合下列條件：[一]相關電子商務交易平臺已依照相關法律法規對其真實身份信息進行審查和登記，與其簽訂登記協議，建立登記檔案并定期核實更新，核發證明個人身份信息真實合法的標記，加載在其從事電子商務經營活動的主頁面醒目位置;[二]支付機構已按照開立Ⅲ類個人支付賬戶的標準對其完成身份核實;[三]持續從事電子商務經營活動滿6個月，且期間使用支付賬戶收取的經營收入累計超過20萬元。

第三十五條　評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構，對于已經實名確認、達到實名制管理要求的支付賬戶，在辦理第十二條第一款所述轉賬業務時，相關銀行賬戶與支付賬戶可以不屬于同一客戶。但支付機構應在交易中向銀行準確、完整發送交易渠道、交易終端或接口類型、交易類型、收付款客戶名稱和賬號等交易信息。

第三十六條　評定為“A”類且Ⅱ類、Ⅲ類支付賬戶實名比例超過95%的支付機構，可以將達到實名制管理要求的Ⅱ類、Ⅲ類支付賬戶的余額付款單日累計限額，提高至第二十四條規定的2倍。評定為“B”類及以上，且Ⅱ類、Ⅲ類支付賬戶實名比例超過90%的支付機構，可以將達到實名制管理要求的Ⅱ類、Ⅲ類支付賬戶的余額付款單日累計限額，提高至第二十四條規定的1.5倍。

第三十七條　評定為“A”類的支付機構按照第十條規定辦理相關業務時，可以與銀行根據業務需要，通過協議自主約定由支付機構代替進行交易驗證的情形，但支付機構應在交易中向銀行完整、準確發送交易渠道、交易終端或接口類型、交易類型、商戶名稱、商戶編碼、商戶類別碼、收付款客戶名稱和賬號等交易信息;銀行應核實支付機構驗證手段或渠道的安全性，且對客戶資金安全的管理責任不因支付機構代替驗證而轉移。

第三十八條　對于評定為“C”類及以下、支付賬戶實名比例較低、對零售支付體系或社會公眾非現金支付信心產生重大影響的支付機構，中國人民銀行及其分支機構可以在第十九條、第二十八條等規定的基礎上適度提高公開披露相關信息的要求，并加強非現場監管和現場檢查。

第三十九條　中國人民銀行及其分支機構對照上述分類管理措施相應條件，動態確定支付機構適用的監管規定并持續監管。支付機構分類評定結果和支付賬戶實名比例不符合上述分類管理措施相應條件的，應嚴格按照第十條、第十一條、第十二條及第二十四條等相關規定執行。中國人民銀行及其分支機構可以根據社會經濟發展情況和支付機構分類管理需要，對支付機構網絡支付業務范圍、模式、功能、限額及業務創新等相關管理措施進行適時調整。

第四十條　支付機構應當加入中國支付清算協會，接受行業自律組織管理。中國支付清算協會應當根據本辦法制定網絡支付業務行業自律規范，建立自律審查機制，向中國人民銀行備案后組織實施。自律規范應包括支付機構與客戶簽訂協議的范本，明確協議應記載和不得記載事項，還應包括支付機構披露有關信息的具體內容和標準格式。中國支付清算協會應當建立信用承諾制度，要求支付機構以標準格式向社會公開承諾依法合規開展網絡支付業務、保障客戶信息安全和資金安全、維護客戶合法權益、如違法違規自愿接受約束和處罰。第六章法律責任。

第六章法律責任

第四十一條　支付機構從事網絡支付業務有下列情形之一的，中國人民銀行及其分支機構依據《非金融機構支付服務管理辦法》第四十二條的規定進行處理：[一]未按規定建立客戶實名制管理、支付賬戶開立與使用、差錯爭議和糾紛投訴處理、風險準備金和交易賠付、應急預案等管理制度的;[二]未按規定建立客戶風險評級管理、支付賬戶功能與限額管理、客戶支付指令驗證管理、交易和信息安全管理、交易監測系統等風險控制機制的，未按規定對支付業務采取有效風險控制措施的;[三]未按規定進行風險提示、公開披露相關信息的;[四]未按規定履行報告義務的。

第四十二條　支付機構從事網絡支付業務有下列情形之一的，中國人民銀行及其分支機構依據《非金融機構支付服務管理辦法》第四十三條的規定進行處理;情節嚴重的，中國人民銀行及其分支機構依據《中華人民共和國中國人民銀行法》第四十六條的規定進行處理：[一]不符合支付機構支付業務系統設施有關要求的;[二]不符合國家、金融行業標準和相關信息安全管理要求的，采用數字證書、電子簽名不符合《中華人民共和國電子簽名法》、《金融電子認證規范》等規定的;[三]為非法交易、虛假交易提供支付服務，發現客戶疑似或者涉嫌違法違規行為未按規定采取有效措施的;[四]未按規定采取客戶支付指令驗證措施的;[五]未真實、完整、準確反映網絡支付交易信息，篡改或者隱匿交易信息的;[六]未按規定處理客戶信息，或者未履行客戶信息保密義務，造成信息泄露隱患或者導致信息泄露的;[七]妨礙客戶自主選擇支付服務提供主體或資金收付方式的;[八]公開披露虛假信息的;[九]違規開立支付賬戶，或擅自經營金融業務活動的。

第四十三條　支付機構違反反洗錢和反恐怖融資規定的，依據國家有關法律法規進行處理。

第七章　附則

第四十四條　本辦法相關用語含義如下：單位客戶，是指接受支付機構支付服務的法人、其他組織或者個體工商戶。個人客戶，是指接受支付機構支付服務的自然人。單位客戶的身份基本信息，包括客戶的名稱、地址、經營范圍、統一社會信用代碼或組織機構代碼;可證明該客戶依法設立或者可依法開展經營、社會活動的執照、證件或者文件的名稱、號碼和有效期限;法定代表人[負責人]或授權辦理業務人員的姓名、有效身份證件的種類、號碼和有效期限。個人客戶的身份基本信息，包括客戶的姓名、國籍、性別、職業、住址、聯系方式以及客戶有效身份證件的種類、號碼和有效期限。法人和其他組織客戶的有效身份證件，是指政府有權機關頒發的能夠證明其合法真實身份的證件或文件，包括但不限于營業執照、事業單位法人證書、稅務登記證、組織機構代碼證;個體工商戶的有效身份證件，包括營業執照、經營者或授權經辦人員的有效身份證件。個人客戶的有效身份證件，包括：在中國境內已登記常住戶口的中國公民為居民身份證，不滿十六周歲的，為居民身份證或戶口簿;香港、澳門特別行政區居民為港澳居民往來內地通行證;臺灣地區居民為臺灣居民來往大陸通行證;定居國外的中國公民為中國護照;外國公民為護照或者外國人永久居留證[外國邊民，按照邊貿結算的有關規定辦理];法律、行政法規規定的其他身份證明文件。客戶本人，是指客戶本單位[單位客戶]或者本人[個人客戶]。

第四十五條　本辦法由中國人民銀行負責解釋和修訂。

第四十六條　本辦法自7月1日起施行。

非銀行支付機構網絡支付業務管理辦法

第一條，為規范非銀行支付機構（以下簡稱支付機構）網絡支付業務，防范支付風險，保護當事人合法權益，根據《中華人民共和國中國人民銀行法》、《非金融機構支付服務管理辦法》（中國人民銀行令〔2010〕第2號發布）等規定，制定本辦法。

第二條，支付機構從事網絡支付業務，適用本辦法。本辦法所稱支付機構是指依法取得《支付業務許可證》，獲準辦理互聯網支付、移動電話支付、固定電話支付、數字電視支付等網絡支付業務的非銀行機構。本辦法所稱網絡支付業務，是指收款人或付款人通過計算機、移動終端等電子設備，依托公共網絡信息系統遠程發起支付指令，且付款人電子設備不與收款人特定專屬設備交互，由支付機構為收付款人提供貨幣資金轉移服務的活動。本辦法所稱收款人特定專屬設備，是指專門用于交易收款，在交易過程中與支付機構業務系統交互并參與生成、傳輸、處理支付指令的電子設備。

第三條，支付機構應當遵循主要服務電子商務發展和為社會提供小額、快捷、便民小微支付服務的宗旨，基于客戶的銀行賬戶或者按照本辦法規定為客戶開立支付賬戶提供網絡支付服務。本辦法所稱支付賬戶，是指獲得互聯網支付業務許可的支付機構，根據客戶的真實意愿為其開立的，用于記錄預付交易資金余額、客戶憑以發起支付指令、反映交易明細信息的電子簿記。支付賬戶不得透支，不得出借、出租、出售，不得利用支付賬戶從事或者協助他人從事非法活動。

第四條，支付機構基于銀行卡為客戶提供網絡支付服務的，應當執行銀行卡業務相關監管規定和銀行卡行業規范。支付機構對特約商戶的拓展與管理、業務與風險管理應當執行《銀行卡收單業務管理辦法》（中國人民銀行公告〔2013〕第9號公布）等相關規定。支付機構網絡支付服務涉及跨境人民幣結算和外匯支付的，應當執行中國人民銀行、國家外匯管理局相關規定。支付機構應當依法維護當事人合法權益，遵守反洗錢和反恐怖融資相關規定，履行反洗錢和反恐怖融資義務。

第五條，支付機構依照中國人民銀行有關規定接受分類評價，并執行相應的分類監管措施。

《非銀行支付機構網絡支付業務管理辦法》詳細解讀(2)

《非銀行支付機構網絡支付業務管理辦法》詳細解讀

問：支付賬戶的實名驗證要求會不會影響便捷性?

答：《辦法》要求支付機構在開立Ⅱ類、Ⅲ類支付賬戶時，分別通過至少三個、五個外部渠道驗證客戶身份信息，是為了保障客戶合法權益，防范不法分子開立匿名或假名賬戶從事欺詐、套現、洗錢、恐怖融資等非法活動，是對支付機構提出的監管要求，支付機構負有“了解你的客戶”的義務。

目前，公安、社保、民政、住建、交通、工商、教育、財稅等政府部門，以及商業銀行、保險公司、證券公司、征信機構、移動運營商、鐵路公司、航空公司、電力公司、自來水公司、燃氣公司等單位，都運營著能夠驗證客戶身份基本信息的數據庫或系統。支付機構可以根據本機構客戶的群體特征和實際情況，選擇與其中部分單位開展合作，實現多個渠道交叉驗證客戶身份信息。

在身份驗證過程中，客戶只需要按照支付機構的要求在網上填寫并上傳相關信息即可，并不需要本人去相關部門證明“我是我”，而是由支付機構負責與外部數據庫或系統進行連接并驗證客戶身份信息的真實性。支付機構應采用必要技術手段確保客戶操作流程簡便、體驗便捷，這對支付機構的服務能力和服務水平提出了一定要求。

此外，《辦法》還規定，綜合評級較高且實名制落實較好的支付機構在開立Ⅱ類、Ⅲ類支付賬戶時，既可以按照三個、五個外部渠道的方式進行客戶身份核實，也可以運用各種安全、合法的技術手段，更加靈活地制定其他有效的身份核實方法，經人民銀行評估認可后予以采用。這既鼓勵創新，也兼顧了安全與便捷。

問：支付賬戶交易限額的規定會不會影響便捷性?

答：遵循網絡支付應始終堅持服務電子商務發展和為社會提供小額、快捷、便民小微支付服務的宗旨，為最大限度地滿足客戶的實際支付需求，兼顧支付便捷性，人民銀行對支付機構開展了全面調研。經統計分析，并結合未來一定時期內的發展需要，Ⅱ類、Ⅲ類個人支付賬戶年累計10萬元、20萬元的限額能夠滿足絕大部分客戶使用支付賬戶“余額”進行付款的需求。對極少數消費者，或者消費者偶發的大額支付，可以通過支付賬戶余額支付、銀行卡快捷支付、銀行網關支付等方式組合完成，因此并不會對消費者支付產生實質影響。考慮到Ⅰ類個人支付賬戶在開立過程中對客戶身份驗證的強度較弱，出現假名、匿名賬戶的風險較高，《辦法》對Ⅰ類賬戶的“余額”付款交易規定了較低的.限額。

同時，為引導支付機構提高交易驗證方式的安全性，加強客戶資金安全保護，《辦法》規定，對于交易驗證安全級別較高的支付賬戶“余額”付款交易，支付機構可以與客戶自主約定單日累計限額;但對于安全級別不足的支付賬戶“余額”付款交易，《辦法》規定了單日累計限額。《辦法》規定的單日累計1000元、5000元的限額能夠有效滿足絕大部分客戶使用支付賬戶“余額”進行付款的需求。此外，《辦法》規定，綜合評級較高且實名制落實較好的支付機構單日支付限額最高可提升到現有額度的2倍，以進一步滿足客戶需求。

需要強調的是，10萬元、20萬元的年累計限額，以及1000元、5000元的單日累計限額，都僅針對個人支付賬戶“余額”付款交易。客戶通過支付機構進行銀行網關支付、銀行卡快捷支付，年累計限額、單日累計限額根據相關規定由支付機構、銀行和客戶自主約定，不受上述限額約束。

問：《辦法》對支付賬戶的轉賬業務有何規定?

答：《辦法》沒有對支付機構辦理銀行賬戶與銀行賬戶之間的轉賬業務進行額外限制，而是由支付機構、銀行和客戶以市場化原則自主協商開展此類業務，并自主約定交易限額等管理措施。

為加強支付賬戶轉賬業務的風險管理，《辦法》對支付賬戶與銀行賬戶之間的轉賬業務提出了具體要求：

一是原則上，支付賬戶余額僅可回提至客戶本人銀行卡。

二是綜合評級較高且實名制落實較好的支付機構可以擴充支付賬戶轉賬功能，支付賬戶余額可以回提至他人銀行卡，他人銀行卡也可向支付賬戶充值。

三是支付機構應按照客戶意愿足額辦理Ⅱ類或Ⅲ類支付賬戶余額回提至客戶本人銀行卡的業務，協助客戶及時將支付賬戶余額回提為銀行存款。

問：《辦法》對快捷支付業務有何規定?

答：快捷支付是支付機構和銀行通過協議與客戶約定，由支付機構代其向銀行發送支付指令，直接扣劃客戶綁定的銀行賬戶資金的支付方式。快捷支付以其開通簡單、交易驗證便捷的特點深受客戶歡迎，已成為我國電子商務交易的主要支付方式之一。但是，實踐中，由于該業務涉及客戶、支付機構及銀行三方，權責關系相對復雜，一旦發生風險損失，客戶維權困難。為此，《辦法》明確了支付機構和商業銀行合作為客戶提供快捷支付業務時，應當事先或在首筆交易時分別與客戶建立清晰、完整的業務授權，同時明確約定扣款適用范圍、交易驗證方式、交易限額及風險賠付責任。《辦法》同時強調，銀行是客戶資金安全的管理責任主體，在后續交易時無論是由銀行進行交易驗證還是支付機構代為進行交易驗證，銀行均承擔快捷支付資金損失的先行賠付責任。

問：支付機構分類監管的思路是怎樣的?

答：目前，國內支付機構眾多，各機構在合規意識、風控能力、業務規模、服務水平等方面存在明顯差異。為提升監管資源配置的科學性和監管效率，在加強風險防范的同時進一步支持支付機構開展業務創新，促進支付市場持續健康發展，人民銀行按照“依法監管、適度監管、分類監管、協同監管、創新監管”原則，建立支付機構分類監管工作機制。

首先，立足國內支付市場發展實際情況，根據支付機構的財務狀況、經營能力、風險管控，特別是客戶備付金管理等因素，確立分類監管指標體系，并持續組織開展支付機構分類監管工作。

其次，根據支付機構分類評級情況，在業務監管標準、創新扶持力度、監管資源分配等方面，對支付機構實施差別化管理，以扶優限劣的激勵和制約措施充分發揮分類監管對支付機構經營管理的正面引導和推動作用。對于綜合評級較高的支付機構，制定彈性和靈活性較高的監管措施，為其業務和技術創新發展預留充足空間;對于綜合評級較低的支付機構，人民銀行將集中監管資源依法重點監管，以加強風險防范、保障客戶權益，維護市場穩定。

問：《辦法》中明確了哪些分類監管措施?

答：對于綜合評級較高且實名制落實較好的支付機構，《辦法》在客戶身份驗證方式、個人賣家管理方式、支付賬戶轉賬功能、支付賬戶單日交易限額、銀行卡快捷支付驗證方式等方面，提升了監管彈性和靈活性：

一是支付機構在開立Ⅱ類、Ⅲ類支付賬戶時，既可以按照“三個”、“五個”外部渠道的方式進行客戶身份核實，也可以運用各種安全、合法的技術手段靈活制定其他有效的身份核實方法，經評估認可后予以采用。

二是對于從事電子商務經營活動、不具備工商登記注冊條件的個人賣家，支付機構可以參照單位客戶進行管理，以更好滿足個人賣家的支付需求，進一步支持電子商務發展。

三是支付機構可以擴充支付賬戶轉賬交易功能，可以同時辦理支付賬戶與同名銀行賬戶之間、支付賬戶與非同名銀行賬戶之間的轉賬交易。

四是支付機構可以根據客戶實際需要，適度提高支付賬戶余額付款的單日交易限額。

五是在銀行卡快捷支付交易中，支付機構可以與銀行自主約定由支付機構代替進行交易驗證的具體情形。

同時，《辦法》對綜合評級較低、實名制落實較差、對零售支付體系或社會公眾非現金支付信心產生重大影響的支付機構，增加了信息披露等義務，同時人民銀行將依法對其重點加強監管。

問：《辦法》提出了哪些風險管理措施?

答：網絡支付業務因依托公共網絡作為信息傳輸通道，不可避免地面臨網絡病毒、信息竊取、信息篡改、網絡釣魚、網絡異常中斷等各種安全隱患，也面臨欺詐、套現、洗錢等業務風險。為加強風險防范，切實保障客戶合法權益，《辦法》從風險管理角度對支付機構提出了明確要求：

一是綜合客戶類型、客戶身份核實方式、交易行為特征、資信狀況等因素，建立客戶風險評級管理制度和機制，并動態調整客戶風險評級及相關風險控制措施。

二是建立交易風險管理制度和交易監測系統，對疑似風險和非法交易及時采取調查核實、延遲結算、終止服務等必要控制措施。

三是向客戶充分提示網絡支付業務潛在風險，及時揭示不法分子新型作案手段，對客戶進行必要的安全教育，在高風險業務操作前、操作中向客戶進行風險警示。

四是以“最小化”原則采集、使用、存儲和傳輸客戶信息，采取有效措施防范信息泄露風險。

五是提高交易驗證方式的安全級別，所采用的數字證書、電子簽名、一次性密碼、生理特征等驗證要素應符合相關法律法規和技術安全要求。

六是網絡支付相關系統設施和技術，應當持續符合國家、金融行業標準和相關信息安全管理要求。

七是確保網絡支付業務系統及其備份系統的安全和規范，制定突發事件應急預案，保障系統安全性和業務連續性。

問：《辦法》提出了哪些客戶權益保護措施?

答：鑒于客戶在網絡支付業務中可能面臨資金被盜、信息泄露等風險隱患，在維權過程中往往處于相對弱勢的地位，為保障客戶合法權益，《辦法》結合支付機構目前在客戶權益保護方面存在的不足，明確了相關監管要求：

一是知情權方面。要求支付機構以顯著方式提示客戶注意服務協議中與其有重大利害關系的事項，采取有效方式確認客戶充分知曉并清晰理解相關權利、義務和責任;并要求支付機構增加信息透明度，定期公開披露風險事件、客戶投訴等信息，加強客戶和輿論監督。

二是選擇權方面。要求支付機構充分尊重客戶真實意愿，由客戶自主選擇提供網絡支付服務的機構、資金收付方式等，不得以誘導、強迫等方式侵害客戶自主選擇權;支付機構變更協議條款、提高服務收費標準或者新設收費項目，應以客戶知悉且自愿接受相關調整為前提。

三是信息安全方面。要求支付機構制定客戶信息保護措施和風險控制機制，確保自身及特約商戶均不存儲客戶敏感信息，并依法承擔因信息泄露造成的損失和責任。

四是資金安全方面。要求支付機構及時處理客戶提出的差錯爭議和投訴，并建立健全風險準備金和客戶損失賠付機制，對不能有效證明因客戶原因導致的資金損失及時先行賠付;要求支付機構對安全性較低的支付賬戶余額付款交易設置單日累計限額，并對采用不足兩類要素進行驗證的交易無條件全額承擔客戶風險損失賠付責任。

;

2019年非銀行支付機構網絡支付業務管理辦法7月1日實施

《非銀行支付機構網絡支付業務管理辦法》將于7月1日正式生效，《辦法》的實施有利于建立更安全的風控模型，有效降低網絡支付安全的風險性，實名后盜刷將很難實現。

《非銀行支付機構網絡支付業務管理辦法》(以下簡稱《辦法》)將于7月1日正式生效，支付機構將對客戶實行實名制管理。根據《辦法》要求，7月1日之前，各支付機構實名率需滿足95%。屆時未進行實名登記，支付寶、微信賬戶將受限。

《辦法》要求，支付賬戶將嚴格實行實名管理，并按照三類支付賬戶分級管理。如果用戶身份驗證情況未達到《辦法》所規定標準，會影響支付賬戶部分功能使用。

此外，據《辦法》規定，III類賬戶需要5重實名認證渠道，如身份信息認證、銀行卡認證、電話號碼認證等。

網絡實名支付防范非法消費

此前央行公布的《非銀行支付機構網絡支付業務管理辦法》將于7月1日起施行，根據《辦法》，7月1日之前，各支付機構實名率需滿足95%。屆時未進行實名登記的，網絡支付將受限。

根據《辦法》，支付賬戶將按照三類支付賬戶分級管理。如果用戶身份驗證情況未達到《辦法》所規定標準，會影響支付賬戶部分功能使用。

據介紹，此舉旨在防范不法分子開立匿名或假名賬戶從事欺詐、套現、洗錢、恐怖融資等非法活動。

央行有關負責人也表示，這方面的相關規定并不會過多地增加消費者的負擔，但是對支付機構的能力和要求提高了。消費者只需要按照支付機構的要求提供必需的信息資料，但是并不需要消費者自己去證明“我是我”，支付機構拿到這些資料以后，需要通過不同的渠道和方法去核實真實性。