支付机构互联网支付业务管理办法征求意见稿

1、支付机构互联网支付业务管理办法（2010年10月稿）第一章总则第一条为规范和促进非金融机构互联网支付业务发展，防范支付风险，保护当事人的合法权益，根据中华人民共和国中国人民银行法、非金融机构支付服务管理办法、非金融机构支付服务管理办法实施细则等，制定本办法。第二条本办法所称互联网支付业务是指非金融支付服务机构（以下简称支付机构）通过互联网为其客户办理货币资金转移的活动。支付机构是指依据中国人民银行非金融机构支付服务管理办法规定取得支付业务许可证，具有从事互联网支付业务资质的非金融企业法人及其分支机构。客户是指通过支付机构发送或转发支付指令，实现货币资金转移的收、付款人，以及通过支付机构获取货币

2、资金的收款人，包括单位和个人。第三条支付机构应按照本办法规定，在中华人民共和国境内开展互联网支付业务第四条支付机构应当建立健全和执行客户身份识别制度，遵循“了解你的客户”的原则。第五条支付机构通过客户的人民币银行结算账户、外汇账户、信用卡（以下统称银行账户），或根据需要为客户开立的交易账户办理支付结算业务。第六条支付机构通过银行账户或交易账户办理转账、汇款和代收、代付等业务的，应依据中国人民银行非金融机构支付服务管理办法规定取得从事货币汇兑业务资质。通过外汇账户办理支付结算业务的，应遵守国家外汇管理有关规定。通过信用卡办理支付结算业务的，应遵守银行卡管理有关规人定。第七条客户可以通过支付机构，

3、使用其银行账户或交易账户发起支付指令。第八条支付机构按照诚实信用原则，为客户提供安全、方便、快捷、高效的互联网支付服务。第九条支付机构从事互联网支付业务活动，必须建立有效的业务管理制度、内部控制制度和风险管理措施。第十条支付机构开展互联网支付业务，必须拥有并运营独立、安全、可靠的支付业务处理系统，该系统及其备份系统的服务器应设置在中华人民共和国境内。第十一条支付机构开展互联网支付业务应遵守有关法律、法规和规章的规定，不得损害国家和社会利益。第二章交易账户第十二条交易账户是指客户在支付机构开立的、用于电子商务交易资金结算的账户。交易账户分为个人交易账户和单位交易账户。第十三条支付机构应根据审慎性

4、原则，确定开立交易账户客户的资质及条件。第十四条交易账户的开立实行实名制。支付机构对为其客户开立的交易账户的真实性负责。第十五条支付机构可以为同一客户开立多个交易账户，但应采取有效措施为这些交易账户建立关联关系，进行统一管理。第十六条客户开立交易账户时，必须指定一个或多个银行账户作为该交易账户的关联账户。第十七条交易账户的名称应与该客户所关联的银行账户名称一致。支付机构通过有效方式，对交易账户所关联的银行账户进行核验。第十八条支付机构应建立统一的交易账户的账号编制规则。通过该规则，能够从账号中反映出客户性质、地区等信息。第十九条支付机构为客户开立交易账户的，应与客户签订书面协议。协议内容包括但

5、不限于：（一）交易账户的开立、止付、撤销和使用的条件；（二）支付机构向客户作出的资金可以在其所关联的银行账户和交易账户之间自主划转的承诺；（三）交易账户使用规则，以及违规使用的处置和责任；（四）对账时间和方式；（五）双方的其他权利和义务。第二十条个人客户在支付机构开立交易账户的，应向支付机构提供有效身份证件名称、号码和姓名，并同时提供住址、电话、电子邮件等基本信息资料。但单笔收付金额超过1万元或月收付金额累计超过5万元的，支付机构应要求客户提供身份证件影印件，并进行核实。单位客户开立交易账户的，应向支付机构提供有效注册证明文件的影印件，并提供单位名称、法定代表人姓名及其有效身份证件影印件、联系

6、方式，以及单位地址、联系人、电话等基本信息资料。第二十一条支付机构应认真审核、留存客户提交的基本信息资料和其他信息资料，通过合理、有效方式确认客户真实身份，并通知客户后，交易账户方可生效。第二十二条任何单位和个人不得利用交易账户，从事违法违规活动。第二十三条支付机构应当对交易账户进行有效监控，对发生的可疑和大额交易应及时记录并按规定履行报告义务。第二十四条交易账户的资金来源为：（一）从该交易账户所关联的银行账户转入；（二）交易账户的所有者从其在本支付机构开立的其他交易账户转入；（三）通过有真实交易关系的同一支付机构的付款人交易账户转入；（四）通过有真实交易关系的付款人银行账户转入。交易账户的资

7、金运用为：（一）向该交易账户所关联的银行账户转出；（二）该交易账户所有者作为付款人向同一支付机构收款人交易账户转出。第二十五条支付机构不得通过交易账户为其客户办理现金存取业务，不得引导、鼓励客户在其交易账户存放资金。支付机构有义务提醒客户将其交易账户的资金余额保持在合理水平。原则上，个人交易账户资金余额连续10天超过5000元、单位交易账户资金余额连续10天超过2万元的，支付机构及时通知客户减少其资金余额。第二十六条除国家法律法规另有规定，以及交易账户所有者外，支付机构不得为其他单位或个人查询交易账户基本信息资料，不得冻结、扣划交易账户内的资金。第二十七条客户因自身需要申请交易账户挂失、止付的

8、，支付机构应在确认客户身份后实时办理。第二十八条客户要求撤销交易账户的，应由其本人向支付机构提出申请。支付机构在确认该交易账户项下所有款项均已结清后，为客户办理销户手续。客户申请撤销交易账户的，交易账户资金余额只能转入与该客户关联的银行账户。第二十九条客户交易账户信息资料发生变更的，应及时通知支付机构予以更新。第三章业务管理第三十条支付机构不得为身份不明的客户提供互联网支付业务服务。第三十一条支付机构应审慎选择客户，根据国家法律、法规和有关部门的规章制度等制定客户选择标准、审核流程等。支付机构提供互联网支付业务服务，参照本办法第二十一条规定要求客户提供基本信息资料，并通过有效方式进行核实。第三

9、十二条支付机构不得为其客户办理涉及现金的业务。第三十三条支付机构提供互联网支付业务服务，应与客户签订书面协议。协议内容包括但不限于：（一）互联网支付业务的类型、基本规则、认证方式或交易授权方式、结算时间和方式、收费项目和标准等；（二）客户需提交的用以证明其合法身份的基本信息资料；（三）客户指定的用于收款的银行账户的名称、账号和开户银行名称；（四）支付机构提供交易记录的时间和方式；（五）争议及差错处理和损害赔偿责任；（六）服务终止的情形；（七）双方的其他权利和义务。第三十四条客户用于收款的交易账户名称或银行账户的名称，应与其向支付机构提供的有效身份证件或有效注册证明文件上记载的名称一致。第三十五

10、条支付机构应为客户提供安全可靠的密码、密钥、电子签名等认证方式或交易授权方式，以及确保支付指令被正确传递和执行的支付业务处理系统，保证支付指令的完整性、一致性和不可抵赖性。客户挂失或重置密码、密钥和电子签名，支付机构应实时受理。第三十六条客户发出的支付指令经支付机构确认后产生支付效力第三十七条支付机构执行通过安全程序的电子支付指令后，客户不得要求变更或撤销电子支付指令。第三十八条支付指令中必须记载下列事项：（一）付款人名称、银行账户的账号或交易账户的账号；（二）收款人名称、银行账户的账号或交易账户的账号；（三）确定的金额；（四）付款人与支付约定的密码、密钥或电子签名等；（五）付款人的开户银行名

11、称或支付机构名称；（六）收款人的开户银行名称或支付机构名称；（七）支付指令的发起日期。欠缺记载上列事项之一的，支付指令无效。第三十九条支付机构应采取有效措施，在客户发出支付指令前,提示客户对支付指令的准确性和完整性进行确认。第四十条客户通过支付机构向其开户银行发出支付指令的，支付机构应完整、准确、及时传递该支付指令，记录支付交易信息，并将结果实时通知客户。支付交易信息包括：收付款人名称、收付款金额、收付款人银行账户的账号等。第四十一条客户直接向支付机构发出支付指令的，支付机构应在确认该支付指令真实后，实时调整客户交易账户余额，记录支付交易信息，并同时将结果通知客户。支付交易信息包括：收付款人名

12、称、收付款金额、收付款人交易账户的账号等。第四十二条支付机构应在付款人最终确认付款的当日至迟次日将相应资金转入收款人交易账户或协议中指定的银行账户。支付机构与客户另行约定结算时间的，其所约定的结算时间自支付机构确认收到付款人资金之日起，最长不超过10天。第四十三条支付机构或客户通过支付机构，根据有关业务规则办理退款的，应将相应款项划回原支付指令发起的银行账户或交易账户。第四十四条支付机构应免费为客户提供交易查询服务和对账服务。第四十五条由于交易不成功、超时操作或无响应、系统故障等原因无法正确处理支付指令的，支付机构应实时向客户发出提示。第四十六条支付机构按照据实、准确和及时的原则处理差错交第四

13、十七条支付机构应指定相应部门和人员负责互联网支付业务差错处理，并明确相关人员的操作权限和职责。第四十八条客户发现自身未按规定操作，或由于自身其他原因造成支付指令未执行、未适当执行、延迟执行的，应在协议约定的时间内，按照约定程序和方式通知支付机构。支付机构应积极调查并告知客户调查结果。支付机构发现因客户原因造成支付指令未执行、未适当执行、延迟执行的，应主动通知客户改正或配合客户采取补救措施。第四十九条支付机构从事互联网支付业务活动，应向客户公开披露以下信息：（一）机构名称、营业地址、办理互联网支付业务的网址及联系方式；（二）所提供的互联网支付业务种类、操作规程、收费项目和收费标准等；（三）办理互

14、联网支付业务可能产生的风险，提醒客户妥善保管密码、密钥、电子签名等的警示性信息；（四）争议及差错处理办法；（五）中国人民银行规定的其他需要公示的信息。第五十条支付机构调整收费项目、收费标准时，应通过有效方式，提前30天通知客户。第五十一条支付机构要求客户提供有关资料信息时，应告知客户所提供信息的使用目的和范围、安全保护措施、以及客户未提供或未真实提供相关信息的后果。第五十二条支付机构对客户的基本信息资料和交易信息按会计档案要求，以纸质或电子方式妥善保存，保存期限不低于5年，并方便调阅。第四章风险管理第五十三条支付机构应制定全面的互联网支付风险管理制度，设立风险管理部门或岗位，明确职责分工，建立

15、规范、有效的风险管理体系。第五十四条支付机构应建立自我评估制度，定期对本机构的互联网支付业务开展、支付业务处理系统运营、风险管理等情况进行全面评估，并每年向所在地中国人民银行分支机构提交评估报告。第五十五条支付机构应对客户基本信息资料、交易账户信息等保密。对客户基本信息资料、交易账户信息等信息的使用，不得超出法律许可和客户授权的范围。第五十六条支付机构应采用适当的加密技术和措施，保证支付指令、交易数据传输的真实、完整、不可抵赖和不被窃取。第五十七条支付机构应采取必要措施保护交易数据的完整性和可靠性：（一）制定相应的风险控制策略，防止支付业务处理系统发生有意或无意的危害支付交易数据完整性和可靠性

16、的变化；（二）制定应急计划和业务连续性计划;（三）防止交易数据在传送、处理、存储、使用中被非法篡改，且任何非法篡改的企图都能被及时发现并记录；第五十八条支付机构应采取必要措施为交易数据保密：（一）对交易数据的访问应经合理授权和确认；（二）交易数据须以安全方式保存，并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取；（三）当第三方获取交易数据时，必须符合有关法律法规的规定以及本机构关于数据使用和保护的标准与控制制度；（四）对交易数据的访问均须登记，并确保该登记不被篡改。第五十九条支付机构应确保对互联网支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制：（一）确保进入交易账

17、户或敏感系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的，而且审计监督应能恰当地反映出这些篡改的企图；（二）对认证数据进行的任何查询、添加、删除或更改都应得到必要授权，并具有不可篡改的日志记录。日志记录按会计档案的管理要求进行保存，保存期限不少于5年。第六十条支付机构采用数字证书或电子签名方式进行客户身份认证和支付交易授权的，应由合法的第三方认证机构提供认证服务。第六十一条支付机构应建立互联网支付业务运作重大事项报告制度，及时向所在地中国人民银行分支机构报告业务经营过程中发生的风险事件。第六十二条支付机构应制定有效的应急计划和风险处理预案，并定期对该计划和预案进行检测。第六十三条支付

18、机构应建立内部审计机制，定期对互联网支付业务、支付业务处理系统进行审计。第五章纪律与责任第六十四条支付机构未尽交易账户审核责任，为其客户开立非实名交易账户，并由此造成付款人损失的，支付机构承担赔偿责任。第六十五条支付机构不得拖延更新客户交易账户资料的请求，不得故意延压客户资金，对差错交易取得的不当得利，负有返还义务支付机构在约定时间内未及时将款项转入客户交易账户的，应按约定承担相应责任。第六十六条支付机构应加强对交易信息、交易资料的保管，不得泄露、破坏客户资料信息。第六十七条客户发现交易账户被盗用或遗失，应按与支付机构约定的方式和程序及时通知支付机构，并按双方约定进行处理。第六十八条支付机构有下列情形之一、给相关当事人造成损失的，应依法承担民事赔偿责任。中国人民银行责令其限期改正，并给予警告或处1万元以上3万元以下罚款；情节严重的，中国人民银行吊销其支付业务许可证。构成犯罪的，依法追究刑事责任。（一）未按实名制原则为客户开立交易账户的