【监管】央⾏发⽂规范扫码⽀付影响⽀付宝(附原⽂)
12⽉27⽇,中国⼈民银⾏在其官⽹发布“关于印发《条码⽀付业务规范(试⾏)》的通知”(下⽂简称“通知”),⽤以规范条码⽀付业务,保护消费者合法权益,维护市场公平竞争环境,促进移动⽀付业务健康可持续发展。
附原⽂:
中国⼈民银⾏关于印发《条码⽀付业务规范(试⾏)》的通知
银发〔2017〕296号
中国⼈民银⾏上海总部,各分⾏、营业管理部,各省会(⾸府)城市中⼼⽀⾏,各副省级城市中⼼⽀⾏;各国有商业银⾏、股份制商业银⾏,中国邮政储蓄银⾏;各⾮银⾏⽀付机构;中国银联股份有限公司,中国⽀付清算协会,⽹联清算有限公司:
为规范条码⽀付业务,保护消费者合法权益,维护市场公平竞争环境,促进移动⽀付业务健康可持续发展,现将《条码⽀付业务规范(试⾏)》(附件)印发给你们,并将有关⼯作要求通知如下,请⼀并遵照执⾏。
⼀、严格遵循业务资质及清算管理要求
⾮银⾏⽀付机构(以下简称⽀付机构)向客户提供基于条码技术的付款服务的,应当取得⽹络⽀付业务许可;⽀付机构为实体特约商户和⽹络特约商户提供条码⽀付收单服务的,应当分别取得银⾏卡收单业务许可和⽹络⽀付业务许可。
银⾏业⾦融机构(以下简称银⾏)、⽀付机构开展条码⽀付业务涉及跨⾏交易时,应当通过⼈民银⾏跨⾏清算系统或者具备合法资质的清算机构处理。⾃本通知发布之⽇起,银⾏、⽀付机构不得新增不
同法⼈机构间直连处理条码⽀付业务;存量业务应按照⼈民银⾏有关规定加快迁移到合法清算机构处理。
⼆、规范条码⽀付收单业务管理
条码⽀付收单业务,是指收单机构与特约商户签订受理协议,在特约商户按约定受理基于条码技术的⽀付⽅式并与付款⼈达成交易后,为特约商户提供交易资⾦结算服务的⾏为。银⾏和⽀付机构在为特约商户提供条码⽀付收单服务时,应执⾏《银⾏卡收单业务管理办法》(中国⼈民银⾏公告〔2013〕第9号公布)、《中国⼈民银⾏关于加强银⾏卡收单业务外包管理的通知》(银发〔2015〕199号)等规定。银⾏、⽀付机构应当加强条码⽀付收单业务管理,严格遵守商户实名制、商户风险评级、交易风险监测等基本规定。为实体特约商户提供收单服务,应履⾏本地化经营、商户定期巡检责任;为⽹络特约商户提供收单服务,应强化对⽹络⽀付接⼝的使⽤管理和交易监测,采取有效的检查措施和技术⼿段对其经营内容和交易情况进⾏检查。银⾏、⽀付机构与外包服务机构开展条码⽀付业务合作的,应明确外包服务机构定位,加强管理,防范业务风险。
三、发挥⾏业⾃律作⽤
银⾏、⽀付机构从事条码⽀付业务,应接受中国⽀付清算协会⾏业⾃律管理。中国⽀付清算协会应将条码⽀付特约商户纳⼊协会特约商户信息管理系统管理;对条码⽀付外包服务机构,⼀并纳⼊中国⽀
付清算协会银⾏卡收单外包服务机构
纳⼊协会特约商户信息管理系统管理;对条码⽀付外包服务机构,⼀并纳⼊中国⽀付清算协会银⾏卡收单外包服务机构评级体系管理。对被实名举报涉嫌违法违规开展条码⽀付业务的,中国⽀付清算协会应按照《⽀付结算违法违规⾏为举报奖励办法》(中国⼈民银⾏公告〔2016〕第7号公布)及其实施细则的相关要求进⾏处理。
四、加⼤监督检查⼒度
已开展条码⽀付业务的银⾏、⽀付机构应当全⾯梳理⾃⾝条码⽀付业务情况(含境内、跨境、业务)并形成报告,包括但不限于按年度统计的业务量、产品介绍、业务流程、技术⽅案、风险管理机制、境内外机构合作情况、资⾦清算模式、收费标准及利润分配机制、客户权益保护措施、外包服务机构信息及外包范围、以及根据本通知进⾏⾃查的情况及整改⽅案等。2018年1⽉31⽇前,全国性银⾏将报告报送⼈民银⾏总⾏,其他银⾏和⽀付机构将报告报送法⼈所在地⼈民银⾏分⽀机构。
银⾏、⽀付机构和清算机构开展条码⽀付业务创新,拓展跨境、条码⽀付业务的,应当⾄少提前30⽇向⼈民银⾏总⾏或法⼈所在地⼈民银⾏分⽀机构报告。
⼈民银⾏分⽀机构依法对辖区内银⾏、⽀付机构条码⽀付业务进⾏监督管理,加⼤检查⼒度,对违规
⾏为应按照《⾮⾦融机构⽀付服务管理办法》(中国⼈民银⾏令〔2010〕第2号发布)、《银⾏卡收单业务管理办法》、《⾮银⾏⽀付机构⽹络⽀付业务管理办法》(中国⼈民银⾏公告〔2015〕第43号公布)等相关规定予以处理;对情节严重的,依照《中华⼈民共和国中国⼈民银⾏法》第四⼗六条规定予以处罚。
请⼈民银⾏分⽀机构将本通知转发⾄辖区内城市商业银⾏、农村商业银⾏、农村合作银⾏、农村信⽤社、村镇银⾏、外资银⾏。
中国⼈民银⾏
2017年12⽉25⽇
附:《条码⽀付业务规范(试⾏)》全⽂
第⼀章总则
第⼀条为规范条码(⼆维码)⽀付(以下简称条码⽀付)业务,保护消费者合法权益,促进条码⽀付业务健康发展,根据《电⼦⽀付指引(第⼀号)》(中国⼈民银⾏公告〔2005〕第23号公布)、《⾮⾦融机构⽀付服务管理办法》(中国⼈民银⾏公告〔2010〕第2号公布)、《银⾏卡收单业务管理办法》(中国⼈民银⾏公告〔2013〕第9号公布)、《⾮银⾏⽀付机构⽹络⽀付业务管理办法》(中国
⼈民银⾏公告〔2015〕第43号公布)等规定,制定本规范。
第⼆条本规范所称条码⽀付业务是指银⾏业⾦融机构(以下简称银⾏)、⾮银⾏⽀付机构(以下简称⽀付机构)应⽤条码技术,实现收付款⼈之间货币资⾦转移的业务活动。
条码⽀付业务包括付款扫码和收款扫码。付款扫码是指付款⼈通过移动终端识读收款⼈展⽰的条码完成⽀付的⾏为。收款扫码是指收款⼈通过识读付款⼈移动终端展⽰的条码完成⽀付的⾏为。
第三条银⾏、⽀付机构开展条码⽀付业务应遵循本规范。
第四条⽀付机构开展条码⽀付业务,应按规定取得相应的业务许可,并按相应管理办法规范开展业务。
第五条⽀付机构不得基于条码技术,从事或变相从事证券、保险、信贷、融资、理财、担保、信托、货币兑换、现⾦存取等业务。
第六条银⾏、⽀付机构开展条码⽀付业务应遵守客户实名制管理规定;遵守反法律法规要求,履⾏反和反恐怖融资义务;依法维护客户及相关主体的合法权益。
第七条银⾏、⽀付机构应⾃觉遵守商业道德,不得以任何形式诋毁其他市场主体的商业信誉,不得采⽤不正当竞争⼿段排挤竞争对⼿、损害其他市场主体利益,破坏市场公平竞争秩序。
第⼋条银⾏、⽀付机构应遵守中国⼈民银⾏发布的相关技术标准与规范要求,保证条码⽀付业务的交易安全和信息安全。
全。
第⼆章条码⽣成和受理
第九条银⾏、⽀付机构开展条码⽀付业务,应将客户⽤于⽣成条码的银⾏账户或⽀付账户、⾝份证件号码、⼿机号码进⾏关联管理。
第⼗条银⾏、⽀付机构开展条码⽀付业务,可以组合选⽤下列三种要素,对客户条码⽀付交易进⾏验证:
(⼀)仅客户本⼈知悉的要素,如静态密码等;
(⼆)仅客户本⼈持有并特有的,不可复制或者不可重复利⽤的要素,如经过安全认证的数字证书、电⼦签名,以及通过安全渠道⽣成和传输的⼀次性密码等;
(三)客户本⼈⽣物特征要素,如指纹等。
银⾏、⽀付机构应当确保采⽤的要素相互独⽴,部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。
第⼗⼀条采⽤数字证书、电⼦签名作为验证要素的,数字证书及⽣成电⼦签名的过程应符合相关规定,应确保数字证书的唯⼀性、完整性及交易的不可抵赖性。
采⽤⼀次性密码作为验证要素的,应当切实防范⼀次性密码获取端与⽀付指令发起端为相同物理设备⽽带来的风险,并将⼀次性密码有效期严格限制在最短的必要时间内。
采⽤客户本⼈⽣物特征作为验证要素的,应当符合国家、⾦融⾏业标准和相关信息安全管理要求,防⽌被⾮法存储、复制或重放。
第⼗⼆条银⾏、⽀付机构应根据《条码⽀付安全技术规范(试⾏)》(银办发〔2017〕242号)关于风险防范能⼒的分级,对个⼈客户的条码⽀付业务进⾏限额管理:
(⼀)风险防范能⼒达到A级,即采⽤包括数字证书或电⼦签名在内的两类(含)以上有效要素对交易进⾏验证的,可与客户通过协议⾃主约定单⽇累计限额;
(⼆)风险防范能⼒达到B级,即采⽤不包括数字证书、电⼦签名在内的两类(含)以上有效要素对交易进⾏验证的,同⼀客户单个银⾏账户或所有⽀付账户单⽇累计交易⾦额应不超过5000元;
(三)风险防范能⼒达到C级,即采⽤不⾜两类要素对交易进⾏验证的,同⼀客户单个银⾏账户或所有⽀付账户单⽇累计交易⾦额应不超过1000元;
(四)风险防范能⼒达到D级,即使⽤静态条码的,同⼀客户单个银⾏账户或所有⽀付账户单⽇累计交易⾦额应不超过500元。
第⼗三条⽀付机构向客户开户银⾏发送⽀付指令,扣划客户银⾏账户资⾦的,同⼀客户全部银⾏账户合计⽇累计交易限额执⾏第⼗⼆条的规定。
第⼗四条银⾏、⽀付机构提供付款扫码服务的,应具备差异化的风控措施和完善的客户权益受损解决机制,在条码⽣成、识读、⽀付等核⼼业务流程中明确提⽰客户⽀付风险,切实防范不法分⼦通过在条码中植⼊⽊马、病毒等⽅式造成客户信息泄露和资⾦损失。
第⼗五条银⾏、⽀付机构提供收款扫码服务的,应使⽤动态条码,设置条码有效期、使⽤次数等⽅式,防⽌条码被重复使⽤导致重复扣款,确保条码真实有效。
第⼗六条银⾏、⽀付机构开展条码⽀付业务所涉及的业务系统、客户端软件、受理终端(⽹络⽀付接⼝)等,应当持续符合监管部门及⾏业标准要求,确保条码⽣成和识读过程的安全性、真实性和完整性。
第⼗七条银⾏、⽀付机构应按照中国⼈民银⾏相关规定强化⽀付敏感信息内控管理和安全防护,强化
交易密码保护机制;通过⽀付标记化技术应⽤等⼿段,从源头控制信息泄露和欺诈交易风险。
制;通过⽀付标记化技术应⽤等⼿段,从源头控制信息泄露和欺诈交易风险。
第⼗⼋条银⾏、⽀付机构应指定专⼈操作与维护条码⽣成相关系统。条码信息仅限包含当次⽀付相关信息,不应包含任何与客户及其账户相关的⽀付敏感信息。
特约商户展⽰的条码,仅限包含与当次⽀付有关的特约商户、商品(服务)或商品(服务)订单等信息。
连不上网移动终端展⽰的条码,不得包含未经加密处理的客户本⼈账户信息。
第⼗九条银⾏、⽀付机构应确保条码⽀付交易经客户确认或授权后发起,⽀付指令应真实、完整、有效。
移动终端完成条码扫描后,应正确、完整显⽰扫码内容,供客户确认。
特约商户受理终端完成条码扫描后,应仅显⽰扫码结果并提⽰下⼀步操作,不得显⽰付款⼈的⽀付敏感信息。
第⼆⼗条银⾏、⽀付机构应根据条码⽀付的真实场景,按规定正确选⽤交易类型,准确标识交易信息并完整发送,确保交易信息的完整性、真实性和可追溯性。
交易信息⾄少应包括:直接提供商品或服务的特约商户名称、类别和代码,受理终端(⽹络⽀付接⼝)类型和代码,交易时间和地点(⽹络特约商户的⽹络地址),交易⾦额,交易类型和渠道,交易发起⽅式等。⽹络特约商户的交易信息还应当包括订单号和⽹络交易平台名称。
银⾏、⽀付机构应在⽀付交易报⽂中通过特定域标识该交易为条码⽀付交易,以供报⽂接收⽅正确识别并进⾏授权处理。
第⼆⼗⼀条⽀付交易完成后,特约商户受理终端和移动终端应显⽰⽀付结果;⽀付失败的,特约商户受理终端和移动终端还应显⽰失败原因。
第三章特约商户管理
第⼆⼗⼆条银⾏、⽀付机构拓展条码⽀付特约商户,应遵循“了解你的客户”原则,确保所拓展的是依法设⽴、合法经营的特约商户。
第⼆⼗三条中国⽀付清算协会、清算机构应将条码⽀付特约商户纳⼊特约商户信息管理系统及⿊名单管理机制。银⾏、⽀付机构拓展特约商户时,应进⾏查询确认,如商户及其法定代表⼈或负责⼈在特
约商户信息管理系统中存在不良信息记录的,应谨慎为该商户提供条码⽀付服务;不得将已纳⼊⿊名单的单位和个⼈,以及由纳⼊⿊名单个⼈担任法定代表⼈或者负责⼈的单位拓展为特约商户,已经拓展为特约商户的,应当⾃该特约商户被列⼊⿊名单之⽇起10⽇内予以清退。
第⼆⼗四条银⾏、⽀付机构拓展特约商户应落实实名制规定,严格审核特约商户的营业执照等证明⽂件,以及法定代表⼈或负责⼈的有效⾝份证件等申请材料,确认申请材料的真实性、完整性、有效性,并留存申请材料的影印件或复印件。
对依据法律法规和相关监管规定免于办理⼯商注册登记的实体特约商户(⼩微商户),收单机构在遵循“了解你的客户”原则的前提下,可以通过审核商户主要负责⼈⾝份证明⽂件和辅助证明材料为其提供条码⽀付收单服务。辅助证明材料包括但不限于营业场所租赁协议或者产权证明、集中经营场所管理⽅出具的证明⽂件等能够反映⼩微商户真实、合法从事商品或服务交易活动的材料。
以同⼀个⾝份证件在同⼀家收单机构办理的全部⼩微商户基于信⽤卡的条码⽀付收款⾦额⽇累计不超过1000元、⽉累计不超过1万元。银⾏、⽀付机构应当结合⼩微商户风险等级动态调整交易卡种、交易限额、结算周期等,强化对⼩微商户的交易监测。
第⼆⼗五条银⾏、⽀付机构应与特约商户签订条码⽀付受理协议,就银⾏结算账户的设置和变更、资⾦结算周期、结算⼿续费标准、差错和争议处理等条码⽀付服务相关事项进⾏约定,明确双⽅的权利
、义务和违约责任。
第⼆⼗六条银⾏、⽀付机构在条码⽀付受理协议中,应要求特约商户基于真实的商品或服务交易背景受理条码⽀付;按规定使⽤受理终端或⽹络⽀付接⼝、银⾏结算账户,不得利⽤其从事或协助他⼈从事⾮法活动;妥善处理交易数据信
规定使⽤受理终端或⽹络⽀付接⼝、银⾏结算账户,不得利⽤其从事或协助他⼈从事⾮法活动;妥善处理交易数据信息、保存交易凭证,保障交易信息安全;不得向客户收取或变相收取附加费⽤,或降低服务⽔平。
第⼆⼗七条银⾏、⽀付机构应建⽴特约商户信息管理系统,记录特约商户名称和经营地址、特约商户⾝份资料信息、特约商户类别、结算⼿续费标准、银⾏结算账户信息、开通的交易类型和开通时间、受理终端(⽹络交易接⼝)类型和安装地址等信息,并及时进⾏更新。
银⾏、⽀付机构应按规定向中国⽀付清算协会和清算机构特约商户信息管理系统报送特约商户基本信息。
第⼆⼗⼋条银⾏、⽀付机构应建⽴特约商户检查制度,明确检查频率、检查内容、检查记录等管理要求,落实检查责任。
第⼆⼗九条银⾏、⽀付机构应当对实体特约商户条码收单业务进⾏本地化经营和管理,通过在特约商户及其分⽀机构所在省(区、市)辖内的收单机构或其分⽀机构提供收单服务,不得跨省(区、市)开展条码收单业务。
第三⼗条银⾏、⽀付机构应按照《中国⼈民银⾏关于加强银⾏卡收单业务外包管理的通知》(银发〔2015〕199号)相关要求审慎选择外包服务机构,严格规范与外包服务机构的业务合作,强化收单外包业务的风险管理责任。银⾏、⽀付机构作为条码⽀付收单业务主体的管理责任和风险承担责任不因外包关系⽽转移。
银⾏、⽀付机构不得将特约商户资质审核、受理协议签订、资⾦结算、交易处理、风险监测、受理终端主密钥⽣成和管理、⽹络⽀付接⼝管理、差错和争议处理⼯作交由外包服务机构办理。银⾏、⽀付机构与外包服务机构系统对接开展业务的,应确保外包服务机构⽆法获取或者接触⽀付敏感信息、不得从事或者变相从事特约商户资⾦结算。
第三⼗⼀条银⾏、⽀付机构应尊重特约商户的⾃主选择权,不得⼲涉或变相⼲涉特约商户与其他机构的合作。
第三⼗⼆条银⾏、⽀付机构开展条码⽀付业务应参照银⾏卡刷卡⼿续费定价标准科学合理定价,不得采⽤交叉补贴、低于成本价格倾销等不正当⼿段排挤竞争对⼿,扰乱市场秩序。
第四章风险管理
第三⼗三条银⾏、⽀付机构应建⽴全⾯风险管理体系和内部控制机制,提升风险识别能⼒,采取有效措施防范风险,及时发现、处理可疑交易信息及风险事件。
第三⼗四条银⾏、⽀付机构开展条码⽀付业务,应当评估业务相关的和恐怖融资风险,采取与风险⽔平相适应的管控措施。
第三⼗五条银⾏、⽀付机构应建⽴特约商户风险评级制度,综合考虑特约商户的区域和⾏业特征、经营规模、财务和资信状况等因素,对特约商户进⾏风险评级。
第三⼗六条银⾏、⽀付机构应结合特约商户风险等级及交易类型等因素,设置或与其约定单笔及⽇累计交易限额。
第三⼗七条银⾏、⽀付机构对风险等级较⾼的特约商户,应通过强化交易监测、建⽴特约商户风险准备⾦、延迟清算等风险管理措施,防范交易风险。
第三⼗⼋条银⾏、⽀付机构应建⽴特约商户检查、评估制度,根据特约商户的风险等级,制定不同的检查、评估频率和⽅式,并保留相关记录。
第三⼗九条银⾏、⽀付机构应制定突发事件应急预案,建⽴灾难备份系统,确保条码⽀付业务的连续性和业务系统安全运⾏。
第四⼗条银⾏、⽀付机构应能够有效识别本机构发⾏的客户端程序和特约商户受理终端,能够确保条码⽣成和识读过程的安全性。
第四⼗⼀条银⾏、⽀付机构应确保客户⾝份或账户信息安全,防⽌泄露,并根据收付款不同业务场景设置条码有效性和使⽤次数。
第四⼗⼆条银⾏、⽀付机构应建⽴条码⽀付交易风险监测体系,及时发现可疑交易,并采取阻断交易、联系客户核实交
发布评论