非银行支付机构业务合规发展自律指引(暂行)
第一章 总则
第一条 为加强非银行支付机构(以下简称支付机构)合规管理,防范支付业务风险,促进非银行支付服务健康发展,根据有关法律法规、《非金融机构支付服务管理办法》(中国人民银 行令匚2010〕第2号)等规章制度和中国支付清算协会(以下简 称协会)相关业务指引、规范等制定本指引。
第二条 本指引适用于加入协会的支付机构,未加入协会的支付机构可参考执行。
第三条 支付机构应有健全的组织机构、内部控制制度和风险管理措施。
(条款出处:《非金融机构支付服务管理办法》(中国人民银行令 〔2010〕第2号)第八条。)
上款所称组织机构,包括具有合规管理、风险管理、资金管理和系统运行维护职能的部门。
(条款出处:《非金融机构支付服务管理办法实施细则》(中国人民 银行公告〔2010〕第17号)第六条。)
第四条 支付机构应按照《反电信网络诈骗法》《数据安全法》《个人信息保护法》《反洗钱法》等法律法规、人民银行有关规定以及本指引要求,准确、及时、安全提供货币资金转移服务,保障支付业务活动的正常进行。
第二章 银行卡收单
第五条 支付机构应按照《银行卡收单业务管理办法》等监管制度要求,建立特约商户信息管理系统,详细记录特约商户基本信息、服务状态及合规风险状况等信息,并向协会报送。
(条款出处:《特约商户信息管理办法》(中支协发〔2020)113号) 第四条。)
第六条 支付机构向协会商户信息系统报送特约商户信息, 应符合《商户基本信息要素与数据格式》要求,并确保报送信息的真实性、准确性和完整性。
支付机构可自行设置报送频次及时间,但原则上每月不少于 一次。支付机构首次向协会商户信息系统报送全部存量特约商户信息后,新增、变更、注销特约商户的,应在服务协议生效或终止后的1个月内向商户信息系统报送相关信息。
(条款出处:《特约商户信息管理办法》(中支协发〔2020〕113号) 第七条、第八条。)
第七条 支付机构拓展特约商户时,应当通过商户信息系统 查询其签约、更换收单机构情况和黑名单信息。对于同一特约商户或者同一个人担任法定代表人(负责人)的特约商户存在频繁更换收单机构、被收单机构多次清退或同时签约多个收单机构等异常情形的,支付机构应当谨慎将其拓展为特约商户。
(条款出处:《特约商户信息管理办法》(中支协发〔2020〕113号) 第二十一条。)
第八条 支付机构不得将黑名单内的单位以及由相关个人担任法定代表人或者负责人的单位拓展为特约商户;已经拓展为特约商户的,应当自该特约商户被列入黑名单之日起10日内予以清退,并及时在协会商户信息系统更新相应的特约商户信息。
(条款出处:《特约商户信息管理办法》(中支协发〔2020〕113 号) 第二十二条。)
第九条 支付机构应当综合考虑特约商户的区域和行业特征、经营规模、财务和资信状况等因素,对实体特约商户、网络特约商户分别进行风险评级。
对于风险等级较高的特约商户,收单机构应当对其开通的受理卡种和交易类型进行限制,并釆取强化交易监测、设置交易限额、延退结算、增加检查频率、建立特约商户风险准备金等风险 管理措施。
(条款出处:《银行卡收单业务管理办法》(中国人民银行公告 [2013]第9号)第十九条。)
第十条 支付机构应当根据特约商户受理银行卡交易的真实场景,按照相关银行卡清算机构和发卡银行的业务规则和管理要求,正确选用交易类型,准确标识交易信息并完整发送,确保 交易信息的完整性、真实性和可追溯性。
交易信息至少应包括:直接提供商品或服务的商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道, 交易发起方式等。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。
特约商户和受理终端(网络支付接口)的编码应当具有唯一性。
(条款出处:《银行卡收单业务管理办法》(中国人民银行公告〔2013〕 第9号)第二十五条。
第十一条(银行卡受理终端生产与登记管理)1台银行卡 受理终端只能对应1个受理终端序列号。支付机构应当按照《中 国人民银行关于强化银行卡受理终端安全管理的通知》(银发 〔2017〕21号)规定,对银行卡受理终端釆取密码识别技术等 有效手段,确保银行卡受理终端序列号不被篡改。
(条款出处:《中国人民银行关于加强支付受理终端及相关业务管理的通知》(银发〔2021〕259号)。)
第十二条(银行卡受理终端入网管理)1台银行卡受理终端只能对应1个特约商户。支付机构应当建立银行卡受理终端序 列号与下述5要素信息的关联对应关系,在办理银行卡受理终端 入网时将相关信息报送至清算机构,并确保该关联对应关系在支 付全流程中的一致性和不可篡改性:
(1)支付机构代码;(2)特约商户(含小微商户,即依据法律法规和相关监管 规定免于办理工商注册登记的实体特约商户,下同)编码;(3)特约商户统一社会信用代码(小微商户为其主要负责人有效身份证件号码,下同);(4)特约商户收单结算账户;(5 )银行卡受理终端布放地理位置。
原则上银行卡受理终端应当具备定位功能。对于不具备定位功能的银行卡受理终端,支付机构应当确保其被用于特约商户固定经营场所和合法合规用途。
(条款出处:《中国人民银行关于加强支付受理终端及相关业务管理的通知》(银发〔2021〕259号)。)
第十三条(银行卡受理终端退出管理)因支付机构与特约商户收单服务协议终止,或特约商户申请停用银行卡受理终端的,支付机构应当及时关闭银行卡受理终端业务功能,并收回银 行卡受理终端。对确实无法收回的,应当确保银行卡受理终端业务功能持续处于关闭状态。
支付机构应当在关闭银行卡受理终端业务功能后2日内,将银行卡受理终端注销信息报送至清算机构。
(条款岀处:《中国人民银行关于加强支付受理终端及相关业务管理 的通知》(银发〔2021〕259号)。)
第十四条(条码支付受理终端管理)对于具备釆集多项支付信息和参与发起支付指令等功能的条码支付受理终端,支付机 构应当参照银行卡受理终端相关规定建立健全管理规则,并对不符合规则的存量条码支付受理终端限期进行改造或更换。支付机 构应当按照《中国人民银行关于加强支付受理终端及相关业务管理的通知》(银发〔 2021〕259号)相关规定,建立并报送条码支付受理终端序列号与相应5要素信息的关联对应关系,并确保 该关联对应关系在支付全流程中的一致性和不可篡改性。
原则上条码支付受理终端应当具备定位功能。对于不具备定 位功能的条码支付受理终端,支付机构应当确保其被用于特约商 户固定经营场所和合法合规用途。
(条款出处:《中国人民银行关于加强支付受理终端及相关业务管理的通知》(银发〔2021〕259号)。)
第十五条(条码支付辅助受理终端管理)对于仅具备条码读取或展示功能、不参与发起支付指令的条码支付扫码设备、显码设备和静态条码展示介质等条码支付辅助受理终端,支付机构应当建立特约商户编码与下述4要素信息的关联对应关系,并确保该关联对应关系在支付全流程中的一致性和不可篡改性:
(1)支付机构代码;(2)特约商户统一社会信用代码;(3)特约商户收单结算账户;(4 )条码支付辅助受理终端布放地理位置。
(条款出处:《中国人民银行关于加强支付受理终端及相关业务管理 的通知》(银发〔2021〕259号)。)
第十六条(收款条码管理)对于为个人或特约商户等收款 人生成的,用于付款人识读并发起支付指令的收款条码,支付机 构为收款人提供收款条码相关支付服务的机构(以下统称条码支付收款服务机构)应当制定收款条码分类管理制度,有效区分个人和特约商户使用收款条码的场景和用途,防范收款条码被出租、出借、出售或用于违法违规活动。对于具有明显经营活动特 征的个人,条码支付收款服务机构应当为其提供特约商户收款条 码,并参照执行特约商户有关管理规定,不得通过个人收款条码 为其提供经营活动相关收款服务。
支付机构应当釆取有效措施禁止个人静态收款条码被用于 远程非面对面收款。确有必要进行远程非面对面收款的,条码支 付收款服务机构应当对相应收款人实行白名单管理,并申慎确定 白名单准入条件与规模、个人静态收款条码的有效期、使用次数 和交易限额。对于通过截屏、下载等方式保存的个人动态收款条 码,应当参照执行个人静态收款条码有关规定。
(条款出处:《中国人民银行关于加强支付受理终端及相关业务管理 的通知》(银发〔2021〕259号)。)
第十七条 支付机构釆用创新支付受理终端的,应当按照 《中国人民银行关于规范支付创新业务的通知》(银发〔2017〕 281号)规定,至少提前30日向中国人民银行或其分支机构报告。
(条款出处:《中国人民银行关于加强支付受理终端及相关业务管理的通知》(银发〔2021〕259号)。)
第十八条 支付机构应当建立特约商户检查制度,明确检查 频率、检查内容、检查记录等管理要求,落实检查责任。对于实体特约商户,支付机构应当进行现场检查;对于网络特约商户, 支付机构应当采取有效的检查措施和技术手段对其经营内容和 交易情况进行检查。
(条款出处:《银行卡收单业务管理办法》(中国人民银行公告 〔2013〕第9号)第二十条。)
第十九条 支付机构应当对实体特约商户收单业务进行本地化经营和管理,通过在特约商户及其分支机构所在省(区、市) 域内的支付机构或其分支机构提供收单服务,不得跨省(区'市) 域开展收单业务。
对于连锁式经营或集团化管理的特约商户,支付机构或经其 授权的特约商户所在地的分支机构可与特约商户签订总对总银 行卡受理协议,并按照前款规定落实本地化服务和管理责任。
(条款出处:《银行卡收单业务管理办法〉〉(中国人民银行公告 〔2013〕第9号)第十六条。)
第二十条 支付机构应当建立特约商户收单银行结算账户 设置和变更审核制度,严格审核设置和变更申请材料的真实性、有效性。
特约商户的收单银行结算账户应当为其同名単位银行结算 账户,或其指定的、与其存在合法资金管理关系的单位银行结算 账户°特约商户为个体工商户和自然人的,可使用其同名个人银 行结算账户作为收单银行结算账户。
(条款出处:《银行卡收单业务管理办法》(中国人民银行公告 〔2013〕第9号)第二十九条。)
第二十一条 支付机构应按协议约定及时将交易资金结算 到特约商户的收单银行结算账户,资金结算时限最迟不得超过持卡人确认可直接向特约商户付款的支付指令生效之日起30个自 然日,因涉嫌违法违规等风险交易需延迟结算的除外。
(条款出处:《银行卡收单业务管理办法》(中国人民银行公告[2013]第9号)第三十条。)
第二十二条 支付机构应当建立资金结算风险管理制度,不 得挪用特约商户待结算资金。
(条款出处:《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号)第三十一条。)
第三章 网络支付
第二十三条 支付机构为客户提供支付账户服务,进行特约商户拓展与管理,应当实行实名制管理,执行《非银行支付机构 网络支付业务管理办法》(中国人民银行公告〔20技〕第43号) 关于客户管理的相关规定;按照《支付机构互联网支付业务风险 防范指引》(中支协网络支付发〔2013〕2号)“用户注册审查” 的相关要求,对客户身份信息进行审核,留存有效身份证明信息, 不得为客户开立匿名、假名支付账户。
(条款出处:《非银行支付机构网络支付业务自律规范〉〉(中支协发 [2016] 69号)第七条。)
第二十四条 支付机构应根据客户身份对同一客户在本机构开立的所有支付账户进行关联管理,并按照下列要求对个人支 付账户进行分类管理:
(一)对于以非面对面方式通过至少1个合法安全的外部渠道进行身份基本信息验证,且为首次在本机构开立支付账户的个 人客户,支付机构可以为其开立I类支付账户,账户余额仅可用 于消费和转账,余额付款交易自账户开立起累计不超过1000元(包括支付账户向客户本人同名银行账户转账);
(二)对于支付机构自主或委托合作机构以面对面方式核实 身份的个人客户,或以非面对面方式通过至少3个合法安全的外 部渠道进行身份基本信息多重交叉验证的个人客户,支付机构可 以为其开立II类支付账户,账户余额仅可用于消费和转账,其所 有支付账户的余额付款交易年累计不超过10万元(不包括支付 账户向客户本人同名银行账户转账);
(三)对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户,或以非面对面方式通过至少5个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户,支付机构可 以为其开立川类支付账户,账户余额可以用于消费、转账以及购 买投资理财等金融类产品,其所有支付账户的余额付款交易年累 计不超过20万元(不包括支付账户向客户本人同名银行账户转账)。
客户身份基本信息外部验证渠道包括但不限于政府部门数据库、商业银行信息系统、商业化数据库等。其中,通过商业银 行验证个人客户身份基本信息的,应为I类银行账户或信用卡。
(条款出处:《非银行支付机构网络支付业务管理办法》(中国人民 银行公告〔2015〕第43号)第十一条。)
第二十五条 支付机构应根据交易验证方式的安全级别,按照下列要求对个人客户使用支付账户余额付款的交易进行限额管理:
(一)支付机构采用包括数字证书或电子签名在内的两类 (含)以上有效要素进行验证的交易,単日累计限额由支付机构与客户通过协议自主约定;
(二)支付机构采用不包括数字证书、电子签名在内的两类 (含)以上有效要素进行验证的交易,单个客户所有支付账户单 日累计金额应不超过5000元(不包括支付账户向客户本人同名 银行账户转账);
(三)支付机构采用不足两类有效要素进行验证的交易,单 个客户所有支付账户単日累计金额应不超过1000元(不包括支 付账户向客户本人同名银行账户转账),且支付机构应当承诺无 条件全额承担此类交易的风险损失赔付责任。
(条款出处:《非银行支付机构网络支付业务管理办法》(中国人民 银行公告〔2015〕第43号)第二十四条。)
第二十六条 支付机构开展条码支付业务,应将客户用于生成条码的银行账户或支付账户、身份证件号码、手机号码进行关联管理。
(条款出处:《条码支付业务规范(试行)》(银发〔2017〕296号)第九条。)
第二十七条 支付机构应按照《支付机构互联网支付业务风 险防范指引》(中支协网络支付发〔2013〕2号)“商户拓展”和“商户资质审核”的相关要求,加强对特约商户的准入管理。
支付机构应按照《支付机构互联网支付业务风险防范指引》 (中支协网络支付发〔2013〕2号)“商户日常管理与监控”的 相关要求,加强对特约商户的风险管理,建立完备的特约商户监 督管理机制,落实特约商户风险教育、定期回访、交易监控等要求。
(条款出处:《非银行支付机构网络支付业务自律规范》(中变协发 [2016] 69号)第九条。)
第二十八条 支付机构应选择合法安全的合作机构作为客户身份基本信息的非面对面验证渠道,并通过书面协议方式明确 非面对面核实的标准和流程、双方的权利和义务。
支付机构与合作机构建立或终止合作关系,应在10个工作 日内将合作机构(数据库)名称、验证内容及方式、合作期限等 信息报送协会。
(条款出处:《非银行支付机构网络支付业务自律规范>> (中支协发 〔2016〕69号)第十一条。)
第二十九条 支付机构为客户提供网络支付服务的,应参照 《非银行支付机构网络支付客户服务主协议(范本)》与客户签订服务协议,约定双方权利、责任和义务。
支付机构应确保协议内容清晰、易懂,并以黑体、加粗、小 三号字体等显著方式提示客户注意与其有重大利害关系的事项, 支付机构按照自律规范要求制定、变更或调整客户服务协议的, 应自协议启用起10个工作日内将标准模板报送协会。
(条款出处:《非银行支付机构网络支付业务自律规范》(中支协发 〔2016〕69号)第十七条。)
第三十条 支付机构向客户开户银行发送支付指令,扣划银 行账户资金或向银行账户划付资金时,应确保支付指令所包含的 交易信息真实、完整,不得篡改或隐匿交易信息。
(条款出处:《非银行支付机构网络支付业务自律规范》(中支协发 〔2016〕69号)第二十条。)
第三十一条 支付机构应建立完善的客户信息系统和客户 档案管理制度,保障客户基本信息资料和账户信息的安全,不得 利用客户信息从事超出法律许可的、以及未经客户授权的活动。
支付机构应按照《非银行支付机构网络支付业务管理办法》 (中国人民银行公告〔2015〕第43号)第十六条要求保存客户 的网络支付业务操作记录。支付机构应保留客户身份基本信息验 证的日志记录,保存期限为身份信息验证通过之日起至少5年。
(条款出处:《非银行支付机构网络支付业务自律规范》(中支协发 〔2016〕69号)第二十三条。)
第三十二条 支付机构应自觉维护客户的合法权益,建立长期、稳定、方便、有效的客户服务体系,及时受理和解决客户咨 询、查询、申告和投诉等方面的问题。
(条款出处:《非银行支付机构网络支付业务自律规范》(中支协发 〔2016〕69号)第二十四条。)
第三十三条 支付机构应积极完善交易监控体系,及时发现并处理可疑交易,采取必要措施防范不法分子利用网络支付服务进行交易欺诈、网络赌博、洗钱、违规套现等违法犯罪活动。
(条款出处:《非银行支付机构网络支付业务自律规范》(中支协发 〔2016〕69号)第二十六条。)
第三十四条 支付机构应建立健全风险准备金制度和交易 赔付制度,明确交易赔付主体、规则、标准及流程、客服电话等内容,并在官方渠道进行公示。支付机构应对不能有效证明因客户原因导致的资金损失及时先行全额赔付,保障客户合法权益。
(条款出处:《非银行支付机构网络变付业务自律规范》(中支协发 〔2016〕69号)第二十九条。)
第三十五条 支付机构应于每年1月31日前,按照标准格 式将前一年度发生的风险事件、客户风险损失发生和赔付等情况 在网站对外公告。
(条款出处:《非银行支付机构网络支付业务自律规范》(中支协发 〔2016〕69号)第三十条。)
第三十六条 支付机构应于每年1月31日前,按照标准格 式将前一年度发生的客户投诉数量和类型、处理完毕的投诉占 比、投诉处理速度等情况在网站对外公告。
(条款出处:《非银行支付机构网络支付业务自律规范》(中支协发 [2016] 69号)第三十一条。)
第三十七条 支付机构因系统升级、调试等原因,需暂停网 络支付服务的,应按照标准格式至少提前5个工作日在官方网 站、移动客户端等服务渠道的显著位置予以公告。
支付机构变更协议条款,提高服务收费标准或者新设收费项目的,应当于实施之前在官方网站、移动客户端等服务渠道的显 著位置,按照标准格式连续公示30日,并于客户首次办理相关 业务前确认客户知悉且接受拟调整的全部详细内容。
(条款出处:《非银行支付机构网络支付业务自律规范》(中支协发 〔2016〕69号)第三十二条。)
第三十八条 支付机构应在按照第三十五条、第三十六条、 第三十七条要求做出信息披露或公告后的10个工作日内,将公 吿情况吿知协会;并将针对风险问题采取的改进措施以及资金损 失类风险事件的赔付主体同时向协会说明。
(条款出处:《非银行支付机构网络支付业务自律规范》(中支协发 〔2016〕69号)第三十三条。)
第四章 预付卡发行与受理
第三十九条 支付机构应当严格按照《支付业务许可证》核 准的业务类型和业务覆盖范围从事预付卡业务,不得在未设立省 级分支机构的省(自治区、直辖市、计划单列市)从事预付卡业务。
(条款出处:《支付机构预付卡业务管理办法》(中国人民银行公告 〔2012〕第12号)第四条。)
第四十条 使用实名购买预付卡的,发卡机构应当登记购卡 人姓名或单位名称、单位经办人姓名、有效身份证件名称和号码、 联系方式、购卡数量、购卡日期、购卡总金额、预付卡卡号及金额等信息。
对于记名预付卡,发卡机构还应当在预付卡核心业务处理系 统中记载持卡人的有效身份证件信息、预付卡卡号、金额等信息, 并对持卡人身份信息进行有效验证,保证信息真实性。
(条款出处:《支付机构预付卡业务管理办法》(中国人民银行公告 〔2012〕第12号)第十一条。)
第四十一条 单位一次性购买预付卡5000元以上,个人一 次性购买预付卡5万元以上的,应当通过银行转账等非现金结算 方式购买,不得使用现金。购卡人不得使用信用卡购买预付卡。
(条款出处:《支付机构预付卡业务管理办法》(中国人民银行公告 〔2012〕第12号)第十二条。)
第四十二条 采用银行转账等非现金结算方式购买预付卡 的,付款人银行账户名称和购卡人名称应当一致。
发卡机构应当核对账户信息和身份信息的一致性,在预付卡 核心业务处理系统中记载付款人银行账户名称和账号、收款人银 行账户名称和账号、转账金额等信息。
(条款出处:《支付机构预付卡业务管理办法》(中国人民银行公告 〔2012〕第12号)第十三条。)
第四十三条 发卡机构办理记名预付卡或一次性金额1万 元以上不记名预付卡充值业务的,应当参照《支付机构预付卡业 务管理办法》第十条、第十一条的规定办理。
(条款出处:《支付机构预付卡业务管理办法》(中国人民银行公告〔2012〕第12号)第三十一条。)
第四十四条 支付机构应制定完善、便捷的操作规范,按相 关规定为客户提供充值、挂失、换卡、过期激活、密码修改(重置)等服务。
(条款出处:《支付机构预付卡业务客户权益保护指引》(中支协预 付卡发〔2013〕3号)第十七条。)
第四十五条 支付机构应采用完善的管理制度和安全可靠 的技术手段对预付卡业务流程过程中产生的纸质和电子信息进 行保护,防止客户信息的灭失、损毁和泄露。
(条款出处:《支付机构预付卡业务客户权益保护指引》(中支协预 付卡发〔2013〕3号)第二十条。)
第四十六条 预付卡机构发行条码预付卡或依托条码技术 受理预付卡支付业务的,应按照《条码支付安全技术规范(试行)》 《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号 印发)相关要求,强化预付卡条码支付技术风险防范,加强预付 卡条码支付产品安全管理。
(条款出处:《非银行支付机构预付卡业务风险防范指引》(中支协 发〔2020〕137号印发))
第四十七条 预付卡机构开展预付卡条码支付业务的,应严 格按照人民银行核准的业务类型和地域范围开展预付卡业务。通 过技术手段确认客户在核准地域范围内,不得借助条码技术超出 核准地域从事预付卡业务。未获准办理网络支付业务的预付卡机 构不得通过条码技术变相从事网络支付业务。
(条款出处:《非银行支付机构预付卡业务风险防范指引》(中支协发〔2020〕137号印发)
第四十八条 预付卡机构拟开展预付卡条码支付业务的,应 提前向法人所在地人民银行分支机构报告。
(条款出处:《非银行支付机构预付卡业务风险防范指引》(中更协 发〔2020〕137号印发)
第五章 备付金
第四十九条 支付机构接收的客户备付金应当直接全额交 存至中国人民银行或者符合要求的商业银行。
(条款出处:《非银行支付机构客户备付金存管办法》(中国人民银 行令〔2021〕第1号)第四条。)
第五十条 客户备付金只能用于办理客户委托的支付业务 和规定的其他情形。任何单位和个人不得挪用、占用、借用客户备付金,不得以 客户备付金提供担保。
(条款出处:《非银行支付机构客户备付金存管办法》(中国人民银 行令〔2021〕第1号)第五条。)
第五十一条 支付机构应当缴纳行业保障基金,用于弥补客 户备付金特定损失以及中国人民银行规定的其他用途。
(条款出处:《非银行支付机构客户备付金存管办法》(中国人民银 行夺[2021]第1号)第三十五条。)
第五十二条 支付机构应当聘请独立的、具有专业资质的审 计机构,按年对备付金业务进行审计。
(条款出处:《非银行支付机构客户备付金存管办法〉〉(中国人民银 行令〔2021〕第1号)第四十条。)
第五十三条 支付机构应当与清算机构、备付金银行建立客 户备付金信息核对校验机制,逐日核对客户备付金的存放、使用、 划转等信息,并至少保存核对记录5年。支付机构应当与特定 业务银行定期核对特定业务待结算资金的存放、使用、划转等信 息,并至少保存核对记录5年。
(条款出处:《非银行支付机构客户备付金存管办法》(中国人民银 行令〔2021〕第1号)第四十一条。)
第六章 收单外包服务
第五十四条(严格规范与外包服务机构业务合作)支付机 构不得将特约商户资质审核、受理协议签订、收单业务交易处理、 资金结算、风险监测、受理终端主密钥生成和管理、差错和争议 处理工作交由外包服务机构办理;不得将外包服务机构拓展为特 约商户并接收其发送的银行卡交易信息;不得将特约商户的结算 资金划转至外包服务机构拥有或实际控制的结算账户。支付机构 应通过协议禁止并采取有效措施防止外包服务机构转让或者转 包业务。
(条款出处:《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发[2015] 199号)。)
第五十五条(审慎选择外包服务机构)与外包服务机构开 展业务合作前,支付机构应进行全面尽职调査,审慎选择合作机 构。支付机构对外包服务机构的调查内容应包括但不限于管理团 队、经营状况、财务状况、信用状况、内控水平,以及收单业务 外包相关资质专业背景、从业经验、服务能力、业务合规及风险情况。
(条款出处:《中国人民银行关于加强银行卡收单业务外包管理的通 知》(银发〔2015〕199号)。)
第五十六条(切实履行特约商户检查责任)对于自行拓展 和外包服务机构拓展的所有实体特约商户,支付机构应每年独立 开展至少一次现场核实,对特约商户经营状况、银行卡受理机具 安全与维护、相关业务系统安全性以及收单业务风险情况等进行 全面评估,并形成现场核实及评估报告存档备查。
(条款出处:《中国人民银行关于加强银行卡收单业务外包管理的通 知》(银发〔2015〕199号)。)
第五十七条(强化外包业务风险管理责任)外包服务机构 发生经营问题、违法违规行为和风险事件的,支付机构应及时采 取有效措施,切实保障相关当事人合法权益。因外包服务机构原 因导致特约商户、持卡人或发卡银行资金损失的、支付机构应全 额承担先行赔付责任。
(条款出处:《中国人民银行关于加强银行卡收单业务外包管理的通 如》(银发〔2015〕199号)。)
第五十八条 从事收单业务的支付机构应对外包机构评分的真实性、准确性负责。
(条款出处:《收単外包服务机构评级指引》(中支协发〔2021〕162 号)第二十九条。)
第五十九条 从事收单业务的支付机构存在瞒报、漏报、误 报外包机构评级信息或不对外包机构进行评级的,协会将视情况 扣减自律评价得分,视情节轻重进行风险提示或根据《中国支付 清算协会自律惩戒实施办法》(中国支付清算协会公告〔2019〕 第3号)对其进行自律惩戒,并抄报监管机构。
(条款出处:《收単外包服务机构评级指引》(中支协发〔2021〕162 号)第三十条。)
第六十条 已开展或拟开展业务的外包机构应按照规定向 协会申请备案。支付机构将收单业务进行外包的,应选择在协会 规定期限内完成备案的外包机构进行合作。
(条款出处:《收单外包服务机构备案管理办法(试行)》(中支协发 〔2020〕119号)第三条。)
第六十一条 支付机构拟将收单业务外包的,相关外包机构 应在拟从事外包业务前或在从事外包业务起30个自然日内通过 协会收单外包服务机构备案系统向协会直接提出备案申请,从事 外包业务的起始时间以外包机构与支付机构首次开展合作或签 订协议时间为准。
(条款出处:《收单外邑服务机构备案管理办法(试行)》(中支协发 [2020] 119号)第七条)
第七章 金融服务创新
第六十二条 从事金融服务创新的支付机构应按照测试管 理部门要求,严格遵守《金融科技创新应用测试规范》(JR/T 0198)等金融行业标准规范,建立健全风险内控制度,落实创新 管理主体责任,完善投诉响应、风险补偿、应急处置和服务退出 机制,主动接受行业自律管理,切实保障用户合法权益。
(条款出处:《金融科技创新自律工作指引(试行)》(中支协发 〔2021〕152号)第四条。)
第六十三条 从事金融服务创新的支付机构应按照JR/T 0198等要求,从技术应用、功能服务、创新性说明、合作关系、 数据流、资金链、可持续性等方面对申请测试的金融科技创新应 用进行深入分析和全面梳理,在协会的辅导下,按照JR/T 0198 等要求持续完善包括金融科技创新应用声明书正文及附件在内 的申请材料,不断提升创新应用安全合规、惠民利企水平。
(条款出处:《金融科技创新自律工作指引(试行)》(中支协发 〔2021〕152号)第十条、第十二条。)
第六十四条 从事金融服务创新的支付机构应按照《金融科技创新安全通用规范》(JR/T 0199)、《金融科技创新风险监控 规范》(JR/T 0200 )等要求,做好创新应用运行状况监测工作, 及时定位、跟踪创新应用运营过程中的风险隐患,并将有关情况 及时报协会。应按照JR/T 0199、JR/T 0200等要求,建立健全风险内控制度,做好创新应用全流程安全管控,切实保障业务安 全稳定运行。应按照JR/T0198、JR/T 0199, JR/T 0200等要求, 建立健全综合性风险处置与补偿机制。对于短期内难以补救的风 险漏洞,及时采取综合性补偿措施;对于存在严重安全隐患或发 生重大风险事件的创新应用,应及时报测试管理部门和协会,视情况退出测试。
(条款出处:《金融科技创新自律工作指引(试行)》(中支协发 〔2021〕152号)第十三条、第十四条、第十五条。)
第六十五条 从事金融服务创新的支付机构应按照JR/T 0198等要求,就声明书的合法合规性、合理性接受公众监督, 支付机构应与意见反馈方妥善沟通并达成一致,将公众意见处理 情况及时报送协会。应按照JR/T 0198等要求,在公示材料中明 确自律投诉受理渠道及处理机制,并配合协会做好自律投诉处理等相关工作。
(条款出处:《金融科技创新自律工作指引(试行)》(中支协发 〔2021〕152号)第二十条、第二十一条。)
第八章 消费者权益保护
第六十六条 支付机构处理个人信息应当遵循合法、正当、 必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
(条款出处:《中华人民共和国个人信息保护法》(中华人民共和国主席令第91号)第五条。)
第六十七条 支付机构处理个人信息应当具有明确、合理的 目的,并应当与处理目的直接相关,釆取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过 度收集个人信息。
(条款出处:《中华人民共和国个人信息保护法》(中华人民共和国 主席令第91号)第六条。)
第六十八条 支付机构处理个人信息应当遵循公开、透明原 则,公开个人信息处理规则,明示处理的目的、方式和范围。
(条款出处:《中华人民共和国个人信息保护法》(中华人民共和国 主席令第91号)第七条。)
第六十九条 处理个人信息应当保证个人信息的质量,避免 因个人信息不准确、不完整对个人权益造成不利影响。
(条款出处:《中华人民共和国个人信息保护法》(中华人民共和国 主席令第91号)第八条。)
第七十条 支付机构不得非法收集、使用、加工、传输他人 个人信息,不得非法买卖、提供或者公开他人个人信息;不得从 事危害国家安全、公共利益的个人信息处理活动。
〈条款出处:《中华人民共和国个人信息保护法》(中华人民共和国 主席令第91号)第十条。)
第七十一条 支付机构应当根据个人信息的处理目的、处理 方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法 规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人 员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。
(条款出处:《中华人民共和国个人信息保护法〉〉(中华人民共和国 主席令第91号)第五十一条。)
第七十二条 支付机构向金融消费者提供金融产品或者服 务,应当遵循自愿、平等、公平、诚实信用的原则,切实承担金 融消费者合法权益保护的主体责任,履行金融消费者权益保护的法定义务。
(条款出处:《中国人民银行金融消费者权益保护实施办法》(中国 人民银行令〔2020〕第5号)第三条。)
第七十三条 支付机构应当落实法律法规和相关监管规定 关于金融消虔者权益保护的相关要求,建立健全金融消费者权益保护的各项内控制度:
(一)金融消费者权益保护工作考核评价制度;(二)金融消费者风险等级评估制度;(三)消费者金融信息保护制度;(四)金融产品和服务信息披露、查询制度;(五)金融营销宣传管理制度;(六)金融知识普及和金融消费者教育制度;(七)金融消费者投诉处理制度;(八)金融消费者权益保护工作内部监督和责任追究制度;(九)金融消费者权益保护重大事件应急制度;(十)中国人民银行明确规定应当建立的其他金融消费者权 益保护工作制度。
(条款出处:《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)第八条。)
第七十四条 支付机构应当依照中国人民银行有关客户信 息保护的规定,制定有效的客户信息保护措施和风险控制机制, 履行客户信息保护责任。
支付机构不得存储客户银行卡的磁道信息或芯片信息、验证 码、密码等敏感信息,原则上不得存储银行卡有效期。因特殊业 务需要,支付机构确需存储客户银行卡有效期的,应当取得客户 和开户银行的授权,以加密形式存储。
支付机构应当以“最小化”原则采集、使用、存储和传输客户 信息,并告知客户相关信息的使用目的和范围。支付机构不得向 其他机构或个人提供客户信息,法律法规另有规定,以及经客户 本人逐项确认并授权的除外。
(条款出处:《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第二十条。)
第九章 信息科技
第七十五条 支付机构应制定符合本机构总体业务规划的 信息科技战略、信息科技运行计划和信息科技风险评估计划,确 保配置足够资源,维持稳定、安全的信息科技环境。
(条款出处:《非银行支付机构信息科技风险管理指引》(中支协技 标发〔2016〕2号)第七条。)
第七十六条 支付机构应设立专门的高级管理职位,统筹负责信息化规划、建设、运行维护、信息安全、业务连续性等工作, 并负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面。
(条款出处:《非银行支付机构信息科技风险管理指引》(中支协技 标发〔2016〕2号)第八条。)
第七十七条 支付机构应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一)信息分级与保护;(二)信息系统开发、测试、运行和维护;(三)访问控制;(四)物理安全;(五)人员安全;(六)数据安全;(七)业务连续性计划。
(条款出处:《非银行支付机构信息科技风险管理指引》(中支协技 标发〔2016〕2号)第九条。)
第七十八条 支付机构应依据信息科技风险管理策略和风 险评估结果,实施全面的风险防范措施。防范措施应包括但不限于:
(一)制定明确的信息科技风险管理制度、技术标准和操作规 程等,定期进行更新。(二)确定潜在信息科技风险区域,并对这些区域进行详细和 独立的监控,实现风险最小化。(三)建立适当的控制框架,以便于检查和平衡风险。
(条款出处:《非银行支付机构信息科技风险管理指引》(中支协技 标发〔2016〕2号)第十一条。)
第七十九条 支付机构信息科技部门负责制订信息安全整体方针、政策、制度、规范、流程、实施方案、实施计划和监督 机制,支付机构应使所有员工都了解信息安全的重要性,并组织 必要的培训,让员工充分了解其职责范围内的信息保护流程及要求。
(条款出处:《非银行支付机构信息科技秋险管理指引》(中支协技 标发〔2016〕2号)第十四条。)
第八十条 支付机构信息科技部门负责从安全技术和安全 管理角度推动信息安全保护措施落地执行,安全技术要求覆盖物 理安全、网络安全、主机安全、终端安全、应用安全和数据安全等方面;安全管理要求覆盖安全管理制度、安全管理机构、人 员安全管理、系统建设管理、系统运维管理和业务连续性等方 面。
(条款出处:《非银行支付机构信息科技风险管理指和》(中支协技 标发〔2016〕2号)第十五条。)
第八十一条 支付机构应根据自身业务的性质、规模和复杂 程度制定适当的业务连续性规划,以确保在出现无法预见的中断 时,系统仍能持续运行并提供服务;定期对规划进行培训、更新 和演练,以保证其有效性。
(条款出处:《非银行支付机构信息科技风。险管理指引》(中支协技 标发〔2016〕2号)第四十一条。)
第八十二条 信息科技外包是指支付机构将原本应由自身 负责处理的信息科技活动委托给服务提供商进行处理的行为,包 含项目外包、人力资源外包等;支付机构不得将其信息科技管理 责任外包,应合理监督信息科技外包职能的履行。
(条款出处:《非银行支付机构信息科技风险管理指引》(中支协技 标发〔2016〕2号)第四十五条。)
第八十三条 支付机构应根据业务的性质、规模和复杂程 度,对相关系统及其控制的适当性和有效性进行评估。支付机构 应配备足够的资源和具有专业能力的信息科技审计人员,独立于 本机构的日常活动,具有适当的授权访问本机构的记录。
(条款出处:《非银行支付机构信息科技嵐险管理指引》(中支协技标发[2016] 2号)第五十条。)
第十章 风险信息共享
第八十四条 支付机构应将符合行业风险信息分类标准的风险信息,经本机构确认核实后按照行业风险信息要素与数据格 式及相关监管规定和自律规范向协会报送,并保证信息的真实 性、完整性、准确性、及时性和有效性。黑名单信息应于确认核 实后的5个工作日内向协会报送,其他风险信息应于确认核实后 的10个工作日内向协会报送。黑名单信息相关证明材料应妥善 保管。
(条款出处:《中国支付清算协会行业风险信息共享管理办法》(中 支协发〔2020〕114号)第十二条。)
第八十五条 支付机构对于协会推送的黑名单、风险提示信 息及本单位查得的风险信息,应按照行业风险信息处理反馈标准 于10个工作日内反馈相关处理结果。
(条款出处:《中国支付清算协会行业风险信息共享管理办法〉〉(中 支协发〔2020〕114号)第二十七条。)
第八十六条 支付机构及时响应并处理协会提出的信息复 查请求;对于协会推送的风险案件与线索,应及时排查,并于 10个工作日内反馈本单位掌握的相关资料和处理结果。
(条款出处:《中国支付清算协会行业风险信息共享管理办法》(中 支协发〔2020〕114号)第二十七条。)
第八十七条 支付机构与其特约商户业务合作中,对获取的商户黑名单信息存在异议的,可遵循《特约商户风险信息异议申 诉处理规则(试行)》(中支协发〔2018〕88号)要求提出异议 申诉申请处理。
(条款出处:《特约商户信息管理办法〉〉(中支协发〔2020〕113号) 第二十条。)
第十一章 反诈拒赌
第八十八条 支付机构应按照《中华人民共和国反电信网络 诈骗法》和人民银行有关规定,落实金融业务尽职调查,开户数 量和开户风险管理,企业账户及登记管理,监测、识别、处置涉 诈异常账户和可疑交易,交易信息透传,配合有关部门建立完善 涉诈资金即时查询、紧急止付、快速冻结、及时解冻和资金返还 制度,反诈宣传、提醒和警示义务等要求。
第八十九条 支付机构应研究制定与单位规模、业务性质和 复杂性相适应的反欺诈管理体系框架,有效地识别、评估、监测、 控制欺诈风险。反欺诈管理体系框架应至少包括欺诈风险识别与 防范、监测与预警、处置与反馈等工作,主要内容包括但不限于:
(一)根据自身情况确立本单位反欺诈目标、策略;(二)组建或指定履行反欺诈职能的组织或部门;(三)反欺诈组织或部门的架构和职责;(四)欺诈风险管理中各级管理人员的岗位和职责;(五)欺诈风险发现、识别、预警和控制的制度。流程;(六)处置欺诈风险事件的制度流程及重大欺诈风险事项的 应急预案;(七)反欺诈管理工作的系统、规则、模型以及相关技术工具。
(条款出处:《支付清算行业反欺诈工作指引》(中支协发[2017] 116 号)第四条。)
第九十条 支付机构应针对支付交易欺诈风险的类型及其 特点,采用有效可行的方法或措施进行监测、分析、防范和评估处理,包括风险评估、关键指标监测、内部控制有效性的测试和 审査、定期分析报吿等。
(条款出处:《支付清算行业反欺诈工作指引》(中支协发(2017] 116 号)第九条。)
第九十一条 支付机构应加强对客户的反欺诈安全防范教 育,提高客户的风险防范意识水平和能力,并积极参与协会组织 的反欺诈培训以及安全宣传等工作。
(条款出处:《支付清算行业反欺诈工作指引》(中支协发(2017] 116 号)第十七条。)
第九十二条 支付机构应按照审慎经营规则建立健全能够 阻断跨境赌博资金链、电信诈骗资金链的风险管理和内部控制制度,避免直接或间接参与跨境赌博、电信网络诈骗等违法违规活 动或被违法违规活动利用。
(条款出处:《中国人民银行 公安部 银保监会 国家外汇管理局关 于联合开展为跨境赌博、电信网络诈骗等违法违规活动提供支付结算服务风险排查与整治工作的通知》(银发〔2020〕155号)。)
第九十三条 支付机构应参考《涉赌涉诈可疑资金特征及账 户线索核查要点》,对已有风险防控措施进行查漏补缺,完善关 于客户、账户的尽职调查措施,配备充足人员,开发和运用有效 金融科技和大数据系统,健全资金交易风险监测识别、预警、处 理机制,实现对赌博和电信诈骗“资金链”有效治理。
(条款出处:《打击治理跨境赌博金融监管工作组关于印发〈涉赌涉 诈可疑资金特征及账户线索核查要点>的通知》(银支付〔2020〕49号)。)
第九十四条 支付机构应按照“谁的账户(客户)谁负责” 和“谁的机构谁负责”落实貴任制和处罚措施,全面排查存量风 险,严密防控增量风险,有效遏制支付市场乱象。
(条款出处:《打击治理跨境赌博金融监管工作组关于印发〈涉赌涉诈可疑资金特征及账户线索核查妥点>的通知》(银支付〔2020〕49号)。) 第九十五条 根据“谁的客户谁负责”原则,支付机构为客 户开立的支付账户被用于赌博的,由账户机构承担相应责任。
第九十五条 根据“谁的商户谁负责”原则,收单机构与之签订支付服务 协议,并为之提供支付服务的特约商户参与赌博的,由收单机构 承担相应责任。特约商户为电子商务平台的,由为电子商务平台 提供支付服务的收单机构承担相应责任。
根据“谁的合作机构谁负责”原则,收单机构的外包服务机 构基于收单机构相关服务参与赌博的,由收单机构承担相应责 任。
根据“谁的接口谁负责”原则,支付机构的支付业务系统接口被用于赌博的,由接口所有者承担相应责任。付款条码或个人 收款条码被用于赌博的,由发码机构(账户机构)承担相应责任。
(条款出处:《中国人民银行办公厅关于印发<涉赌博资金链责任划 分指引 >的通知》(银办发〔2020〕155号")
第十二章 反洗钱
第九十六条 支付机构应当依法釆取预防、监控措施,建立 健全客户身份识别制度、客户身份资料和交易记录保存制度、大 额交易和可疑交易报告制度,履行反洗钱义务。
(条款出处:《中华人民共和国反洗钱法》(中华人民共和国主席令 第56号)第三条。)
第九十七条 支付机构总部应当依法建立健全统一的反洗 钱和反恐怖融资内部控制制度,并报总部所在地的中国人民银行 分支机构备案。反洗钱和反恐怖融资内部控制制度应当包括下列内容:
(一)客户身份识别措施;(二)客户身份资料和交易记录保存措施;(三)可疑交易标准和分析报告程序;(四)反洗钱和反恐怖融资内部审计、培训和宣传措施;(五)配合反洗钱和反恐怖融资调查的内部程序;(六)反洗钱和反恐怖融资工作保密措施;(七)其他防范洗钱和恐怖融资风险的措施。
支付机构及其分支机构的负责人应当对反洗钱和反恐怖融 资内部控制制度的有效实施负责。支付机构应当对其分支机构反 洗钱和反恐怖融资内部控制制度的执行情况进行监督管理。
(条款出处:《支付机构反洗钱和反恐怖融资管理办法》(银发 〔2012〕54号)第五条。)
第九十八条 支付机构应当设立专门机构或者指定内设机 构负责反洗钱和反恐怖融资工作,并设立专门的反洗钱和反恐怖融资岗位。
(条款出处:《支付机构反洗钱和反恐怖融资管理办法》(银发 〔2012〕54号)第六条。)
第九十九条 支付机构应要求其境外分支机构和附属机构 在驻在国家(地区)法律规定允许的范围内,执行有关《支付机 构反洗钱和反恐怖融资管理办法》客户身份识别、客户身份资料 和交易记录保存工作的要求,驻在国家(地区)有更严格要求的, 遵守其规定。如果《支付机构反洗钱和反恐怖融资管理办法》的 要求比驻在国家(地区)的相关规定更为严格,但驻在国家(地 区)法律禁止或者限制境外分支机构和附属机构实施《支付机构 反洗钱和反恐怖融资管理办法》,支付机构应向中国人民银行报告。
(条款出处:《支付机构反洗钱和反恐怖融资管理办法》(银发 〔2012〕54号)第七条。)
第一百条支付机构与境外机构建立代理业务关系时,应当 充分收集有关境外机构业务、声誉、内部控制制度、接受监管情况等方面的信息,评估境外机构反洗钱和反恐怖融资措施的健全 性和有效性,并以书面协议明确本机构与境外机构在反洗钱和反 恐怖融资方面的责任和义务。
(条款出处:《支付机构反洗钱和反恐怖融资管理办法》(银发 〔2012〕54号)第八条。)
第一百零一条 支付机构及其工作人员对依法履行反洗钱 和反恐怖融资义务获得的客户身份资料和交易信息应当予以保 密;非依法律规定,不得向任何单位和个人提供。
支付机构及其工作人员应当对报吿可疑交易、配合中国人民 银行及其分支机构调查可疑交易活动等有关反洗钱和反恐怖融 资工作信息予以保密,不得违反规定向客户和其他人员提供。
(条款出处:《支付机构反洗钱和反恐怖融资管理办法》(银发 [2012] 54号)第九条。)
第十三章 自律监督
第一百零二条 支付机构应配合协会举报中心对举报事项 的调查,及时提供相关材料,并保证材料的真实、准确、完整。
(条款出处:《支付结算违法违规行为举报奖励办法实施细则》(中 国支付清算协会公告〔2020〕第4号)第十三条。)
第一百零三条 支付机构应配合协会开展的自律监督检查, 按照协会要求,对检查发现的问题在规定时间内进行整改,并将 整改情况报告协会。
(条款出处:《中国支付清算协会自律监督检查办法(试行)》(中支协发〔2013〕25 号)。)
第一百零四条 支付机构违反国家法律法规、监管部门的规 范性文件、协会章程、自律规范和其他有关规定,存在支付结算 违法违规行为的,协会可对其实施警告、约谈高级管理人员、强 制性培训教育、通报批评、公开谴责、暂停会员资格、取消会员 资格等惩戒措施。
协会可根据支付机构违法违规行为的具体情节,单独或者合 并实施以上惩戒措施,并责令整改。
(条款出处:《中国支付清算协会自律惩戒实施办法》(中国支付清 算协会公告〔2019〕第3号)第五条。)
第十四章 附则
第一百零五条 本指引由中国支付清算协会秘书处负责解释和修订。第一百零六条 本指引自发布之日起施行。