支付机构互联网支付业务管理办法征求意见稿

1、支付机构互联网支付业务管理办法（2010 年 10 月稿）第一章 总 则第一条 为规范和促进非金融机构互联网支付业务发展， 防范支付风险，保护当事人的合法权益，根据中华人民共 和国中国人民银行法 、非金融机构支付服务管理办法 、非 金融机构支付服务管理办法实施细则等，制定本办法。第二条 本办法所称互联网支付业务是指非金融支付服务 机构（以下简称支付机构） 通过互联网为其客户办理货币资金转 移的活动。支付机构是指依据中国人民银行 非金融机构支付服务管 理办法规定取得支付业务许可证 ，具有从事互联网支付 业务资质的非金融企业法人及其分支机构。客户是指通过支付机构发送或转发支付指令， 实现货币资金

2、转移的收、付款人，以及通过支付机构获取货币资金的收款人， 包括单位和个人。第三条 支付机构应按照本办法规定， 在中华人民共和国境 内开展互联网支付业务第四条 支付机构应当建立健全和执行客户身份识别制度， 遵循“了解你的客户”的原则。第五条 支付机构通过客户的人民币银行结算账户、外汇账户、信用卡（以下统称银行账户），或根据需要为客户开立的交 易账户办理支付结算业务。第六条 支付机构通过银行账户或交易账户办理转账、汇款和代收、代付等业务的，应依据中国人民银行非金融机构支 付服务管理办法规定取得从事货币汇兑业务资质。通过外汇账户办理支付结算业务的， 应遵守国家外汇管理有 关规定。通过信用卡办理支付结

3、算业务的， 应遵守银行卡管理有关规定。第七条 客户可以通过支付机构，使用其银行账户或交易账 户发起支付指令。第八条 支付机构按照诚实信用原则，为客户提供安全、方便、快捷、高效的互联网支付服务。第九条 支付机构从事互联网支付业务活动， 必须建立有效 的业务管理制度、内部控制制度和风险管理措施。第十条 支付机构开展互联网支付业务， 必须拥有并运营独 立、安全、可靠的支付业务处理系统，该系统及其备份系统的服 务器应设置在中华人民共和国境内。第十一条 支付机构开展互联网支付业务应遵守有关法律、法规和规章的规定，不得损害国家和社会利益。第二章 交易账户第十二条 交易账户是指客户在支付机构开立的、 用于电

4、子 商务交易资金结算的账户。交易账户分为个人交易账户和单位交易账户。第十三条 支付机构应根据审慎性原则， 确定开立交易账户 客户的资质及条件。第十四条 交易账户的开立实行实名制。 支付机构对为其客 户开立的交易账户的真实性负责。第十五条 支付机构可以为同一客户开立多个交易账户， 但 应采取有效措施为这些交易账户建立关联关系，进行统一管理。第十六条 客户开立交易账户时， 必须指定一个或多个银行 账户作为该交易账户的关联账户。第十七条 交易账户的名称应与该客户所关联的银行账户 名称一致。 支付机构通过有效方式， 对交易账户所关联的银行账 户进行核验。第十八条 支付机构应建立统一的交易账户的账号编制

5、规 则。通过该规则，能够从账号中反映出客户性质、地区等信息。第十九条 支付机构为客户开立交易账户的， 应与客户签订 书面协议。协议内容包括但不限于：（一）交易账户的开立、止付、撤销和使用的条件；（二）支付机构向客户作出的资金可以在其所关联的银行账 户和交易账户之间自主划转的承诺；（三）交易账户使用规则，以及违规使用的处置和责任；（四）对账时间和方式；（五）双方的其他权利和义务。第二十条 个人客户在支付机构开立交易账户的，应向支 付机构提供有效身份证件名称、号码和姓名，并同时提供住址、 电话、电子邮件等基本信息资料。 但单笔收付金额超过 1 万元或 月收付金额累计超过 5 万元的，支付机构应要求

6、客户提供身份证 件影印件，并进行核实。单位客户开立交易账户的， 应向支付机构提供有效注册证明 文件的影印件， 并提供单位名称、 法定代表人姓名及其有效身份 证件影印件、联系方式，以及单位地址、联系人、电话等基本信 息资料。第二十一条 支付机构应认真审核、 留存客户提交的基本信 息资料和其他信息资料， 通过合理、有效方式确认客户真实身份， 并通知客户后，交易账户方可生效。第二十二条 任何单位和个人不得利用交易账户， 从事违法 违规活动。第二十三条 支付机构应当对交易账户进行有效监控， 对发 生的可疑和大额交易应及时记录并按规定履行报告义务。第二十四条 交易账户的资金来源为：（一）从该交易账户所关

7、联的银行账户转入；（二）交易账户的所有者从其在本支付机构开立的其他交易 账户转入；（三）通过有真实交易关系的同一支付机构的付款人交易账 户转入；（四）通过有真实交易关系的付款人银行账户转入。 交易账户的资金运用为：（一）向该交易账户所关联的银行账户转出；（二）该交易账户所有者作为付款人向同一支付机构收款人 交易账户转出。第二十五条 支付机构不得通过交易账户为其客户办理现 金存取业务，不得引导、鼓励客户在其交易账户存放资金。支付机构有义务提醒客户将其交易账户的资金余额保持在 合理水平。原则上，个人交易账户资金余额连续 10 天超过 5000 元、单位交易账户资金余额连续 10 天超过 2 万元的

8、，支付机构 及时通知客户减少其资金余额。第二十六条 除国家法律法规另有规定， 以及交易账户所有 者外，支付机构不得为其他单位或个人查询交易账户基本信息资 料，不得冻结、扣划交易账户内的资金。第二十七条 客户因自身需要申请交易账户挂失、止付的， 支付机构应在确认客户身份后实时办理。第二十八条 客户要求撤销交易账户的， 应由其本人向支付 机构提出申请。 支付机构在确认该交易账户项下所有款项均已结 清后，为客户办理销户手续。客户申请撤销交易账户的， 交易账户资金余额只能转入与该 客户关联的银行账户。第二十九条 客户交易账户信息资料发生变更的， 应及时通知 支付机构予以更新。第三章 业务管理第三十条

9、支付机构不得为身份不明的客户提供互联网 支付业务服务。第三十一条 支付机构应审慎选择客户， 根据国家法律、 法 规和有关部门的规章制度等制定客户选择标准、审核流程等。支付机构提供互联网支付业务服务， 参照本办法第二十一条规定要求客户提供基本信息资料，并通过有效方式进行核实。第三十二条 支付机构不得为其客户办理涉及现金的业务。第三十三条 支付机构提供互联网支付业务服务， 应与客户 签订书面协议。协议内容包括但不限于：（一）互联网支付业务的类型、基本规则、认证方式或交易 授权方式、结算时间和方式、收费项目和标准等；（二）客户需提交的用以证明其合法身份的基本信息资料；（三）客户指定的用于收款的银行账

10、户的名称、 账号和开户 银行名称；（四）支付机构提供交易记录的时间和方式；（五）争议及差错处理和损害赔偿责任；（六）服务终止的情形；（七）双方的其他权利和义务。第三十四条 客户用于收款的交易账户名称或银行账户的 名称，应与其向支付机构提供的有效身份证件或有效注册证明文 件上记载的名称一致。第三十五条 支付机构应为客户提供安全可靠的密码、 密钥、 电子签名等认证方式或交易授权方式， 以及确保支付指令被正确 传递和执行的支付业务处理系统， 保证支付指令的完整性、 一致 性和不可抵赖性。客户挂失或重置密码、 密钥和电子签名， 支付机构应实时受 理。第三十六条 客户发出的支付指令经支付机构确认后产生

11、支付效力。第三十七条 支付机构执行通过安全程序的电子支付指令 后，客户不得要求变更或撤销电子支付指令。第三十八条 支付指令中必须记载下列事项：（一）付款人名称、 银行账户的账号或交易账户的账号；（二）收款人名称、 银行账户的账号或交易账户的账号；（三）确定的金额；（四）付款人与支付约定的密码、密钥或电子签名等；（五）付款人的开户银行名称或支付机构名称；（六）收款人的开户银行名称或支付机构名称；（七）支付指令的发起日期。 欠缺记载上列事项之一的，支付指令无效。第三十九条 支付机构应采取有效措施， 在客户发出支付指 令前，提示客户对支付指令的准确性和完整性进行确认。第四十条 客户通过支付机构向其开

12、户银行发出支付指令 的，支付机构应完整、准确、及时传递该支付指令，记录支付交 易信息，并将结果实时通知客户。支付交易信息包括：收付款人名称、收付款金额、收付款人 银行账户的账号等。第四十一条 客户直接向支付机构发出支付指令的， 支付机构 应在确认该支付指令真实后， 实时调整客户交易账户余额， 记录 支付交易信息，并同时将结果通知客户。支付交易信息包括：收付款人名称、收付款金额、收付款人 交易账户的账号等。第四十二条 支付机构应在付款人最终确认付款的当日至 迟次日将相应资金转入收款人交易账户或协议中指定的银行账 户。支付机构与客户另行约定结算时间的， 其所约定的结算时间自支付机构确认收到付款人资

13、金之日起，最长不超过10 天。第四十三条 支付机构或客户通过支付机构， 根据有关业务 规则办理退款的， 应将相应款项划回原支付指令发起的银行账户 或交易账户。第四十四条 支付机构应免费为客户提供交易查询服务和 对账服务。第四十五条 由于交易不成功、 超时操作或无响应、 系统故 障等原因无法正确处理支付指令的， 支付机构应实时向客户发出 提示。第四十六条 支付机构按照据实、 准确和及时的原则处理差 错交易。第四十七条 支付机构应指定相应部门和人员负责互联网 支付业务差错处理，并明确相关人员的操作权限和职责。第四十八条 客户发现自身未按规定操作， 或由于自身其他 原因造成支付指令未执行、未适当执行

14、、延迟执行的，应在协议 约定的时间内， 按照约定程序和方式通知支付机构。 支付机构应 积极调查并告知客户调查结果。支付机构发现因客户原因造成支付指令未执行、 未适当执行、 延迟执行的，应主动通知客户改正或配合客户采取补救措施。第四十九条 支付机构从事互联网支付业务活动， 应向客户 公开披露以下信息：（一）机构名称、营业地址、办理互联网支付业务的网址及 联系方式；（二）所提供的互联网支付业务种类、操作规程、收费项目和收费标准等；（三）办理互联网支付业务可能产生的风险， 提醒客户妥善 保管密码、密钥、电子签名等的警示性信息；（四）争议及差错处理办法；（五）中国人民银行规定的其他需要公示的信息。第五

15、十条 支付机构调整收费项目、 收费标准时， 应通过 有效方式，提前 30 天通知客户。第五十一条 支付机构要求客户提供有关资料信息时， 应告知 客户所提供信息的使用目的和范围、 安全保护措施、 以及客户未 提供或未真实提供相关信息的后果。第五十二条 支付机构对客户的基本信息资料和交易信息按 会计档案要求，以纸质或电子方式妥善保存，保存期限不低于 5 年，并方便调阅。第四章 风险管理第五十三条 支付机构应制定全面的互联网支付风险管理 制度，设立风险管理部门或岗位，明确职责分工，建立规范、有 效的风险管理体系。第五十四条 支付机构应建立自我评估制度， 定期对本机构 的互联网支付业务开展、 支付业务

16、处理系统运营、 风险管理等情 况进行全面评估， 并每年向所在地中国人民银行分支机构提交评 估报告。第五十五条 支付机构应对客户基本信息资料、 交易账户信息等保密。对客户基本信息资料、交易账户信息等信息的使用，不 得超出法律许可和客户授权的范围。第五十六条 支付机构应采用适当的加密技术和措施， 保证 支付指令、交易数据传输的真实、完整、不可抵赖和不被窃取。第五十七条 支付机构应采取必要措施保护交易数据的完 整性和可靠性：（一）制定相应的风险控制策略， 防止支付业务处理系统发 生有意或无意的危害支付交易数据完整性和可靠性的变化；（二）制定应急计划和业务连续性计划 ;（三）防止交易数据在传送、处理、

17、存储、使用中被非法篡 改，且任何非法篡改的企图都能被及时发现并记录；第五十八条 支付机构应采取必要措施为交易数据保密：（一）对交易数据的访问应经合理授权和确认；（二）交易数据须以安全方式保存，并防止其在公共、私人 或内部网络上传输时被擅自查看或非法截取；（三）当第三方获取交易数据时， 必须符合有关法律法规的 规定以及本机构关于数据使用和保护的标准与控制制度；（四）对交易数据的访问均须登记， 并确保该登记不被篡改。 第五十九条 支付机构应确保对互联网支付业务处理系统 的操作人员、管理人员以及系统服务商有合理的授权控制：（一）确保进入交易账户或敏感系统所需的认证数据免遭篡改和破坏。 对此类篡改都应

18、是可侦测的， 而且审计监督应能恰当 地反映出这些篡改的企图；（二）对认证数据进行的任何查询、添加、删除或更改都应 得到必要授权， 并具有不可篡改的日志记录。 日志记录按会计档 案的管理要求进行保存，保存期限不少于 5 年。第六十条 支付机构采用数字证书或电子签名方式进行客 户身份认证和支付交易授权的， 应由合法的第三方认证机构提供 认证服务。第六十一条 支付机构应建立互联网支付业务运作重大事项 报告制度，及时向所在地中国人民银行分支机构报告业务经营过 程中发生的风险事件。第六十二条 支付机构应制定有效的应急计划和风险处理预 案，并定期对该计划和预案进行检测。第六十三条 支付机构应建立内部审计机制， 定期对互联网 支付业务、支付业务处理系统进行审计。第五章 纪律与责任第六十四条 支付机构未尽交易账户审核责任， 为其客户开 立非实名交易账户， 并由此造成付款人损失的， 支付机构承担赔 偿责任。第六十五条 支付机构不得拖延更新客户交易账户资料的请 求，不得故意延压