華夏互金訊, 2月27日, 中國人民銀行在其官網發佈“關於印發《條碼支付業務規範(試行)》(下文簡稱“規範檔”)的通知”, 用以規範條碼支付業務, 保護消費者合法權益, 維護市場公平競爭環境, 促進移動支付業務健康可持續發展。 《條碼支付業務規範(試行)》自2018年4月1日起實施。
網貸之家注意到, 根據央行的規範檔, 發行條碼的銀行、支付機構應根據風險防範能力等級, 在確保風險可控和儘量滿足用戶需求的前提下科學合理設置相匹配的日累計交易限額。 使用動態條碼進行支付的, 風險防範能力分級見下表。
使用靜態條碼進行支付的, 風險防範能力為D級, 無論使用何種交易驗證方式, 同一客戶單個銀行帳戶或所有支付帳戶、快捷支付單日累計交易金額應不超過500元。
中國人民銀行關於印發《條碼支付業務規範(試行)》的通知:
銀髮〔2017〕296號
中國人民銀行上海總部,各分行、營業管理部,各省會(首府)城市中心支行,各副省級城市中心支行;各國有商業銀行、股份制商業銀行,中國郵政儲蓄銀行;各非銀行支付機構;中國銀聯股份有限公司,中國支付清算協會,網聯清算有限公司:
為規範條碼支付業務, 保護消費者合法權益,
一、嚴格遵循業務資質及清算管理要求
非銀行支付機構(以下簡稱支付機構)向客戶提供基於條碼技術的付款服務的, 應當取得網路支付業務許可;支付機構為實體特約商戶和網路特約商戶提供條碼支付收單服務的, 應當分別取得銀行卡收單業務許可和網路支付業務許可。
銀行業金融機構(以下簡稱銀行)、支付機構開展條碼支付業務涉及跨行交易時, 應當通過人民銀行跨行清算系統或者具備合法資質的清算機構處理。 自本通知發佈之日起,
二、規範條碼支付收單業務管理
條碼支付收單業務, 是指收單機構與特約商戶簽訂受理協議, 在特約商戶按約定受理基於條碼技術的支付方式並與付款人達成交易後, 為特約商戶提供交易資金結算服務的行為。 銀行和支付機構在為特約商戶提供條碼支付收單服務時, 應執行《銀行卡收單業務管理辦法》(中國人民銀行公告〔2013〕第9號公佈)、《中國人民銀行關於加強銀行卡收單業務外包管理的通知》(銀髮〔2015〕199號)等規定。 銀行、支付機構應當加強條碼支付收單業務管理, 嚴格遵守商戶實名制、商戶風險評級、交易風險監測等基本規定。
三、發揮行業自律作用
銀行、支付機構從事條碼支付業務, 應接受中國支付清算協會行業自律管理。 中國支付清算協會應將條碼支付特約商戶納入協會特約商戶資訊管理系統管理;對條碼支付外包服務機構, 一併納入中國支付清算協會銀行卡收單外包服務機構評級體系管理。 對被實名舉報涉嫌違法違規開展條碼支付業務的,中國支付清算協會應按照《支付結算違法違規行為舉報獎勵辦法》(中國人民銀行公告〔2016〕第7號公佈)及其實施細則的相關要求進行處理。
四、加大監督檢查力度
已開展條碼支付業務的銀行、支付機構應當全面梳理自身條碼支付業務情況(含境內、跨境、境外業務)並形成報告,包括但不限於按年度統計的業務量、產品介紹、業務流程、技術方案、風險管理機制、境內外機構合作情況、資金清算模式、收費標準及利潤分配機制、客戶權益保護措施、外包服務機構資訊及外包範圍、以及根據本通知進行自查的情況及整改方案等。2018年1月31日前,全國性銀行將報告報送人民銀行總行,其他銀行和支付機構將報告報送法人所在地人民銀行分支機搆。
銀行、支付機構和清算機構開展條碼支付業務創新,拓展跨境、境外條碼支付業務的,應當至少提前30日向人民銀行總行或法人所在地人民銀行分支機搆報告。
人民銀行分支機搆依法對轄區內銀行、支付機構條碼支付業務進行監督管理,加大檢查力度,對違規行為應按照《非金融機構支付服務管理辦法》(中國人民銀行令〔2010〕第2號發佈)、《銀行卡收單業務管理辦法》、《非銀行支付機構網路支付業務管理辦法》(中國人民銀行公告〔2015〕第43號公佈)等相關規定予以處理;對情節嚴重的,依照《中華人民共和國中國人民銀行法》第四十六條規定予以處罰。
請人民銀行分支機搆將本通知轉發至轄區內城市商業銀行、農村商業銀行、農村合作銀行、農村信用社、村鎮銀行、外資銀行。
中國人民銀行
2017年12月25日
附:《條碼支付業務規範(試行)》全文
第一章 總 則
第一條 為規範條碼(二維碼)支付(以下簡稱條碼支付)業務,保護消費者合法權益,促進條碼支付業務健康發展,根據《電子支付指引(第一號)》(中國人民銀行公告〔2005〕第23號公佈)、《非金融機構支付服務管理辦法》(中國人民銀行公告〔2010〕第2號公佈)、《銀行卡收單業務管理辦法》(中國人民銀行公告〔2013〕第9號公佈)、《非銀行支付機構網路支付業務管理辦法》(中國人民銀行公告〔2015〕第43號公佈)等規定,制定本規範。
第二條 本規範所稱條碼支付業務是指銀行業金融機構(以下簡稱銀行)、非銀行支付機構(以下簡稱支付機構)應用條碼技術,實現收付款人之間貨幣資金轉移的業務活動。
條碼支付業務包括付款掃碼和收款掃碼。付款掃碼是指付款人通過移動終端識讀收款人展示的條碼完成支付的行為。收款掃碼是指收款人通過識讀付款人移動終端展示的條碼完成支付的行為。
第三條 銀行、支付機構開展條碼支付業務應遵循本規範。
第四條 支付機構開展條碼支付業務,應按規定取得相應的業務許可,並按相應管理辦法規範開展業務。
第五條 支付機構不得基於條碼技術,從事或變相從事證券、保險、信貸、融資、理財、擔保、信託、貨幣兌換、現金存取等業務。
第六條 銀行、支付機構開展條碼支付業務應遵守客戶實名制管理規定;遵守反洗錢法律法規要求,履行反洗錢和反恐怖融資義務;依法維護客戶及相關主體的合法權益。
第七條 銀行、支付機構應自覺遵守商業道德,不得以任何形式詆毀其他市場主體的商業信譽,不得採用不正當競爭手段排擠競爭對手、損害其他市場主體利益,破壞市場公平競爭秩序。
第八條 銀行、支付機構應遵守中國人民銀行發佈的相關技術標準與規範要求,保證條碼支付業務的交易安全和資訊安全。
第二章 條碼生成和受理
第九條 銀行、支付機構開展條碼支付業務,應將客戶用於生成條碼的銀行帳戶或支付帳戶、身份證件號碼、手機號碼進行關聯管理。
第十條 銀行、支付機構開展條碼支付業務,可以組合選用下列三種要素,對客戶條碼支付交易進行驗證:
(一)僅客戶本人知悉的要素,如靜態密碼等;
(二)僅客戶本人持有並特有的,不可複製或者不可重複利用的要素,如經過安全認證的數位憑證、電子簽名,以及通過安全管道生成和傳輸的一次性密碼等;
(三)客戶本人生物特徵要素,如指紋等。
銀行、支付機構應當確保採用的要素相互獨立,部分要素的損壞或者洩露不應導致其他要素損壞或者洩露。
第十一條 採用數位憑證、電子簽名作為驗證要素的,數位憑證及生成電子簽名的過程應符合相關規定,應確保數位憑證的唯一性、完整性及交易的不可抵賴性。
採用一次性密碼作為驗證要素的,應當切實防範一次性密碼獲取端與支付指令發起端為相同物理設備而帶來的風險,並將一次性密碼有效期嚴格限制在最短的必要時間內。
採用客戶本人生物特徵作為驗證要素的,應當符合國家、金融行業標準和相關資訊安全管理要求,防止被非法存儲、複製或重放。
第十二條 銀行、支付機構應根據《條碼支付安全技術規範(試行)》(銀辦發〔2017〕242號)關於風險防範能力的分級,對個人客戶的條碼支付業務進行限額管理:
(一)風險防範能力達到A級,即採用包括數位憑證或電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,可與客戶通過協定自主約定單日累計限額;
(二)風險防範能力達到B級,即採用不包括數位憑證、電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過5000元;
(三)風險防範能力達到C級,即採用不足兩類要素對交易進行驗證的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過1000元;
(四)風險防範能力達到D級,即使用靜態條碼的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過500元。
第十三條 支付機構向客戶開戶銀行發送支付指令,扣劃客戶銀行帳戶資金的,同一客戶全部銀行帳戶合計日累計交易限額執行第十二條的規定。
第十四條 銀行、支付機構提供付款掃碼服務的,應具備差異化的風控措施和完善的客戶權益受損解決機制,在條碼生成、識讀、支付等核心業務流程中明確提示客戶支付風險,切實防範不法分子通過在條碼中植入木馬、病毒等方式造成客戶資訊洩露和資金損失。
第十五條 銀行、支付機構提供收款掃碼服務的,應使用動態條碼,設置條碼有效期、使用次數等方式,防止條碼被重複使用導致重複扣款,確保條碼真實有效。
第十六條 銀行、支付機構開展條碼支付業務所涉及的業務系統、用戶端軟體、受理終端(網路支付介面)等,應當持續符合監管部門及行業標準要求,確保條碼生成和識讀過程的安全性、真實性和完整性。
第十七條 銀行、支付機構應按照中國人民銀行相關規定強化支付敏感資訊內控管理和安全防護,強化交易密碼保護機制;通過支付標記化技術應用等手段,從源頭控制資訊洩露和欺詐交易風險。
第十八條 銀行、支付機構應指定專人操作與維護條碼生成相關系統。條碼資訊僅限包含當次支付相關資訊,不應包含任何與客戶及其帳戶相關的支付敏感資訊。
特約商戶展示的條碼,僅限包含與當次支付有關的特約商戶、商品(服務)或商品(服務)訂單等資訊。
移動終端展示的條碼,不得包含未經加密處理的客戶本人帳戶資訊。
第十九條 銀行、支付機構應確保條碼支付交易經客戶確認或授權後發起,支付指令應真實、完整、有效。
移動終端完成條碼掃描後,應正確、完整顯示掃碼內容,供客戶確認。
特約商戶受理終端完成條碼掃描後,應僅顯示掃碼結果並提示下一步操作,不得顯示付款人的支付敏感資訊。
第二十條 銀行、支付機構應根據條碼支付的真實場景,按規定正確選用交易類型,準確標識交易資訊並完整發送,確保交易資訊的完整性、真實性和可追溯性。
交易資訊至少應包括:直接提供商品或服務的特約商戶名稱、類別和代碼,受理終端(網路支付介面)類型和代碼,交易時間和地點(網路特約商戶的網路位址),交易金額,交易類型和管道,交易發起方式等。網路特約商戶的交易資訊還應當包括訂單號和網路交易平臺名稱。
銀行、支付機構應在支付交易報文中通過特定域標識該交易為條碼支付交易,以供報文接收方正確識別並進行授權處理。
第二十一條 支付交易完成後,特約商戶受理終端和移動終端應顯示支付結果;支付失敗的,特約商戶受理終端和移動終端還應顯示失敗原因。
第三章 特約商戶管理
第二十二條 銀行、支付機構拓展條碼支付特約商戶,應遵循“瞭解你的客戶”原則,確保所拓展的是依法設立、合法經營的特約商戶。
第二十三條 中國支付清算協會、清算機構應將條碼支付特約商戶納入特約商戶資訊管理系統及黑名單管理機制。銀行、支付機構拓展特約商戶時,應進行查詢確認,如商戶及其法定代表人或負責人在特約商戶資訊管理系統中存在不良資訊記錄的,應謹慎為該商戶提供條碼支付服務;不得將已納入黑名單的單位和個人,以及由納入黑名單個人擔任法定代表人或者負責人的單位拓展為特約商戶,已經拓展為特約商戶的,應當自該特約商戶被列入黑名單之日起10日內予以清退。
第二十四條 銀行、支付機構拓展特約商戶應落實實名制規定,嚴格審核特約商戶的營業執照等證明檔,以及法定代表人或負責人的有效身份證件等申請材料,確認申請材料的真實性、完整性、有效性,並留存申請材料的影印件或影本。
對依據法律法規和相關監管規定免於辦理工商註冊登記的實體特約商戶(小微商戶),收單機構在遵循“瞭解你的客戶”原則的前提下,可以通過審核商戶主要負責人身份證明檔和輔助證明材料為其提供條碼支付收單服務。輔助證明材料包括但不限於營業場所租賃協議或者產權證明、集中經營場所管理方出具的證明文件等能夠反映小微商戶真實、合法從事商品或服務交易活動的材料。
以同一個身份證件在同一家收單機構辦理的全部小微商戶基於信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元。銀行、支付機構應當結合小微商戶風險等級動態調整交易卡種、交易限額、結算週期等,強化對小微商戶的交易監測。
第二十五條 銀行、支付機構應與特約商戶簽訂條碼支付受理協議,就銀行結算帳戶的設置和變更、資金結算週期、結算手續費標準、差錯和爭議處理等條碼支付服務相關事項進行約定,明確雙方的權利、義務和違約責任。
第二十六條 銀行、支付機構在條碼支付受理協議中,應要求特約商戶基於真實的商品或服務交易背景受理條碼支付;按規定使用受理終端或網路支付介面、銀行結算帳戶,不得利用其從事或協助他人從事非法活動;妥善處理交易資料資訊、保存交易憑證,保障交易資訊安全;不得向客戶收取或變相收取附加費用,或降低服務水準。
第二十七條 銀行、支付機構應建立特約商戶資訊管理系統,記錄特約商戶名稱和經營地址、特約商戶身份資料資訊、特約商戶類別、結算手續費標準、銀行結算帳戶資訊、開通的交易類型和開通時間、受理終端(網路交易介面)類型和安裝位址等資訊,並及時進行更新。
銀行、支付機構應按規定向中國支付清算協會和清算機構特約商戶資訊管理系統報送特約商戶基本資訊。
第二十八條 銀行、支付機構應建立特約商戶檢查制度,明確檢查頻率、檢查內容、檢查記錄等管理要求,落實檢查責任。
第二十九條 銀行、支付機構應當對實體特約商戶條碼收單業務進行當地語系化經營和管理,通過在特約商戶及其分支機搆所在省(區、市)轄內的收單機構或其分支機搆提供收單服務,不得跨省(區、市)開展條碼收單業務。
第三十條 銀行、支付機構應按照《中國人民銀行關於加強銀行卡收單業務外包管理的通知》(銀髮〔2015〕199號)相關要求審慎選擇外包服務機構,嚴格規範與外包服務機構的業務合作,強化收單外包業務的風險管理責任。銀行、支付機構作為條碼支付收單業務主體的管理責任和風險承擔責任不因外包關係而轉移。
銀行、支付機構不得將特約商戶資質審核、受理協議簽訂、資金結算、交易處理、風險監測、受理終端主金鑰生成和管理、網路支付介面管理、差錯和爭議處理工作交由外包服務機構辦理。銀行、支付機構與外包服務機構系統對接開展業務的,應確保外包服務機構無法獲取或者接觸支付敏感資訊、不得從事或者變相從事特約商戶資金結算。
第三十一條 銀行、支付機構應尊重特約商戶的自主選擇權,不得干涉或變相干涉特約商戶與其他機構的合作。
第三十二條 銀行、支付機構開展條碼支付業務應參照銀行卡刷卡手續費定價標準科學合理定價,不得採用交叉補貼、低於成本價格傾銷等不正當手段排擠競爭對手,擾亂市場秩序。
第四章 風險管理
第三十三條 銀行、支付機構應建立全面風險管理體系和內部控制機制,提升風險識別能力,採取有效措施防範風險,及時發現、處理可疑交易資訊及風險事件。
第三十四條 銀行、支付機構開展條碼支付業務,應當評估業務相關的洗錢和恐怖融資風險,採取與風險水準相適應的管控措施。
第三十五條 銀行、支付機構應建立特約商戶風險評級制度,綜合考慮特約商戶的區域和行業特徵、經營規模、財務和資信狀況等因素,對特約商戶進行風險評級。
第三十六條 銀行、支付機構應結合特約商戶風險等級及交易類型等因素,設置或與其約定單筆及日累計交易限額。
第三十七條 銀行、支付機構對風險等級較高的特約商戶,應通過強化交易監測、建立特約商戶風險準備金、延遲清算等風險管理措施,防範交易風險。
第三十八條 銀行、支付機構應建立特約商戶檢查、評估制度,根據特約商戶的風險等級,制定不同的檢查、評估頻率和方式,並保留相關記錄。
第三十九條 銀行、支付機構應制定突發事件應急預案,建立災難備份系統,確保條碼支付業務的連續性和業務系統安全運行。
第四十條 銀行、支付機構應能夠有效識別本機構發行的用戶端程式和特約商戶受理終端,能夠確保條碼生成和識讀過程的安全性。
第四十一條 銀行、支付機構應確保客戶身份或帳戶資訊安全,防止洩露,並根據收付款不同業務場景設置條碼有效性和使用次數。
第四十二條 銀行、支付機構應建立條碼支付交易風險監測體系,及時發現可疑交易,並採取阻斷交易、聯繫客戶核實交易等方式防範交易風險。
第四十三條 銀行、支付機構發現特約商戶發生疑似套現、洗錢、恐怖融資、欺詐、留存或洩露帳戶資訊等風險事件的,應對特約商戶採取延遲資金結算、暫停交易、凍結帳戶等措施,並承擔因未採取措施導致的風險損失責任;發現涉嫌違法犯罪活動的,應及時向公安機關報案。
第四十四條 銀行、支付機構應持續完善客戶服務體系,及時受理和解決條碼支付業務中的客戶諮詢、查詢和投訴等問題,自覺維護客戶的合法權益。
第四十五條 銀行、支付機構應充分披露條碼支付業務產品類型、辦理流程、操作規程、收費標準等資訊,明確業務風險點及相關責任承擔機制、風險損失賠付方式及操作方式。
第四十六條 銀行、支付機構應開展對客戶的條碼支付安全教育,提升其風險防範意識和應對能力。
第四十七條 銀行、支付機構應向中國支付清算協會、清算機構風險資訊管理系統報送其條碼支付特約商戶風險資訊。
銀行、支付機構或其外包服務機構、條碼支付特約商戶發生涉嫌重大支付違法犯罪案件或重大風險事件的,應當於2個工作日內向中國人民銀行或其分支機搆報告。
第五章 附 則
第四十八條 採取自訂符號、圖形、圖像等作為資訊載體傳遞交易資訊用於支付服務的,參照本規範進行管理。
第四十九條 本規範相關用語含義如下:
移動終端,指客戶使用的、具有移動通訊功能,用於展示或識讀條碼,完成支付的終端設備。如手機、平板電腦等。
特約商戶受理終端,指具有條碼展示或識讀等功能,參與條碼支付完成銷售收款的特約商戶端專用設備。包括具有條碼展示功能的顯碼設備;識讀條碼並且向後臺系統發起支付指令的專用設備,包括但不限於帶掃碼裝置的收銀系統、銷售點終端(POS)、自助終端等。
支付敏感資訊,是指一旦遭到洩露或修改,會對標識的資訊主體的資訊安全和資金安全造成危害的資訊。包括但不限於支付密碼、銀行卡密碼、驗證碼、卡片有效期、生物特徵以及未獲客戶授權的金融資訊。
第五十條 本規範自2018年4月1日起實施。
對被實名舉報涉嫌違法違規開展條碼支付業務的,中國支付清算協會應按照《支付結算違法違規行為舉報獎勵辦法》(中國人民銀行公告〔2016〕第7號公佈)及其實施細則的相關要求進行處理。四、加大監督檢查力度
已開展條碼支付業務的銀行、支付機構應當全面梳理自身條碼支付業務情況(含境內、跨境、境外業務)並形成報告,包括但不限於按年度統計的業務量、產品介紹、業務流程、技術方案、風險管理機制、境內外機構合作情況、資金清算模式、收費標準及利潤分配機制、客戶權益保護措施、外包服務機構資訊及外包範圍、以及根據本通知進行自查的情況及整改方案等。2018年1月31日前,全國性銀行將報告報送人民銀行總行,其他銀行和支付機構將報告報送法人所在地人民銀行分支機搆。
銀行、支付機構和清算機構開展條碼支付業務創新,拓展跨境、境外條碼支付業務的,應當至少提前30日向人民銀行總行或法人所在地人民銀行分支機搆報告。
人民銀行分支機搆依法對轄區內銀行、支付機構條碼支付業務進行監督管理,加大檢查力度,對違規行為應按照《非金融機構支付服務管理辦法》(中國人民銀行令〔2010〕第2號發佈)、《銀行卡收單業務管理辦法》、《非銀行支付機構網路支付業務管理辦法》(中國人民銀行公告〔2015〕第43號公佈)等相關規定予以處理;對情節嚴重的,依照《中華人民共和國中國人民銀行法》第四十六條規定予以處罰。
請人民銀行分支機搆將本通知轉發至轄區內城市商業銀行、農村商業銀行、農村合作銀行、農村信用社、村鎮銀行、外資銀行。
中國人民銀行
2017年12月25日
附:《條碼支付業務規範(試行)》全文
第一章 總 則
第一條 為規範條碼(二維碼)支付(以下簡稱條碼支付)業務,保護消費者合法權益,促進條碼支付業務健康發展,根據《電子支付指引(第一號)》(中國人民銀行公告〔2005〕第23號公佈)、《非金融機構支付服務管理辦法》(中國人民銀行公告〔2010〕第2號公佈)、《銀行卡收單業務管理辦法》(中國人民銀行公告〔2013〕第9號公佈)、《非銀行支付機構網路支付業務管理辦法》(中國人民銀行公告〔2015〕第43號公佈)等規定,制定本規範。
第二條 本規範所稱條碼支付業務是指銀行業金融機構(以下簡稱銀行)、非銀行支付機構(以下簡稱支付機構)應用條碼技術,實現收付款人之間貨幣資金轉移的業務活動。
條碼支付業務包括付款掃碼和收款掃碼。付款掃碼是指付款人通過移動終端識讀收款人展示的條碼完成支付的行為。收款掃碼是指收款人通過識讀付款人移動終端展示的條碼完成支付的行為。
第三條 銀行、支付機構開展條碼支付業務應遵循本規範。
第四條 支付機構開展條碼支付業務,應按規定取得相應的業務許可,並按相應管理辦法規範開展業務。
第五條 支付機構不得基於條碼技術,從事或變相從事證券、保險、信貸、融資、理財、擔保、信託、貨幣兌換、現金存取等業務。
第六條 銀行、支付機構開展條碼支付業務應遵守客戶實名制管理規定;遵守反洗錢法律法規要求,履行反洗錢和反恐怖融資義務;依法維護客戶及相關主體的合法權益。
第七條 銀行、支付機構應自覺遵守商業道德,不得以任何形式詆毀其他市場主體的商業信譽,不得採用不正當競爭手段排擠競爭對手、損害其他市場主體利益,破壞市場公平競爭秩序。
第八條 銀行、支付機構應遵守中國人民銀行發佈的相關技術標準與規範要求,保證條碼支付業務的交易安全和資訊安全。
第二章 條碼生成和受理
第九條 銀行、支付機構開展條碼支付業務,應將客戶用於生成條碼的銀行帳戶或支付帳戶、身份證件號碼、手機號碼進行關聯管理。
第十條 銀行、支付機構開展條碼支付業務,可以組合選用下列三種要素,對客戶條碼支付交易進行驗證:
(一)僅客戶本人知悉的要素,如靜態密碼等;
(二)僅客戶本人持有並特有的,不可複製或者不可重複利用的要素,如經過安全認證的數位憑證、電子簽名,以及通過安全管道生成和傳輸的一次性密碼等;
(三)客戶本人生物特徵要素,如指紋等。
銀行、支付機構應當確保採用的要素相互獨立,部分要素的損壞或者洩露不應導致其他要素損壞或者洩露。
第十一條 採用數位憑證、電子簽名作為驗證要素的,數位憑證及生成電子簽名的過程應符合相關規定,應確保數位憑證的唯一性、完整性及交易的不可抵賴性。
採用一次性密碼作為驗證要素的,應當切實防範一次性密碼獲取端與支付指令發起端為相同物理設備而帶來的風險,並將一次性密碼有效期嚴格限制在最短的必要時間內。
採用客戶本人生物特徵作為驗證要素的,應當符合國家、金融行業標準和相關資訊安全管理要求,防止被非法存儲、複製或重放。
第十二條 銀行、支付機構應根據《條碼支付安全技術規範(試行)》(銀辦發〔2017〕242號)關於風險防範能力的分級,對個人客戶的條碼支付業務進行限額管理:
(一)風險防範能力達到A級,即採用包括數位憑證或電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,可與客戶通過協定自主約定單日累計限額;
(二)風險防範能力達到B級,即採用不包括數位憑證、電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過5000元;
(三)風險防範能力達到C級,即採用不足兩類要素對交易進行驗證的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過1000元;
(四)風險防範能力達到D級,即使用靜態條碼的,同一客戶單個銀行帳戶或所有支付帳戶單日累計交易金額應不超過500元。
第十三條 支付機構向客戶開戶銀行發送支付指令,扣劃客戶銀行帳戶資金的,同一客戶全部銀行帳戶合計日累計交易限額執行第十二條的規定。
第十四條 銀行、支付機構提供付款掃碼服務的,應具備差異化的風控措施和完善的客戶權益受損解決機制,在條碼生成、識讀、支付等核心業務流程中明確提示客戶支付風險,切實防範不法分子通過在條碼中植入木馬、病毒等方式造成客戶資訊洩露和資金損失。
第十五條 銀行、支付機構提供收款掃碼服務的,應使用動態條碼,設置條碼有效期、使用次數等方式,防止條碼被重複使用導致重複扣款,確保條碼真實有效。
第十六條 銀行、支付機構開展條碼支付業務所涉及的業務系統、用戶端軟體、受理終端(網路支付介面)等,應當持續符合監管部門及行業標準要求,確保條碼生成和識讀過程的安全性、真實性和完整性。
第十七條 銀行、支付機構應按照中國人民銀行相關規定強化支付敏感資訊內控管理和安全防護,強化交易密碼保護機制;通過支付標記化技術應用等手段,從源頭控制資訊洩露和欺詐交易風險。
第十八條 銀行、支付機構應指定專人操作與維護條碼生成相關系統。條碼資訊僅限包含當次支付相關資訊,不應包含任何與客戶及其帳戶相關的支付敏感資訊。
特約商戶展示的條碼,僅限包含與當次支付有關的特約商戶、商品(服務)或商品(服務)訂單等資訊。
移動終端展示的條碼,不得包含未經加密處理的客戶本人帳戶資訊。
第十九條 銀行、支付機構應確保條碼支付交易經客戶確認或授權後發起,支付指令應真實、完整、有效。
移動終端完成條碼掃描後,應正確、完整顯示掃碼內容,供客戶確認。
特約商戶受理終端完成條碼掃描後,應僅顯示掃碼結果並提示下一步操作,不得顯示付款人的支付敏感資訊。
第二十條 銀行、支付機構應根據條碼支付的真實場景,按規定正確選用交易類型,準確標識交易資訊並完整發送,確保交易資訊的完整性、真實性和可追溯性。
交易資訊至少應包括:直接提供商品或服務的特約商戶名稱、類別和代碼,受理終端(網路支付介面)類型和代碼,交易時間和地點(網路特約商戶的網路位址),交易金額,交易類型和管道,交易發起方式等。網路特約商戶的交易資訊還應當包括訂單號和網路交易平臺名稱。
銀行、支付機構應在支付交易報文中通過特定域標識該交易為條碼支付交易,以供報文接收方正確識別並進行授權處理。
第二十一條 支付交易完成後,特約商戶受理終端和移動終端應顯示支付結果;支付失敗的,特約商戶受理終端和移動終端還應顯示失敗原因。
第三章 特約商戶管理
第二十二條 銀行、支付機構拓展條碼支付特約商戶,應遵循“瞭解你的客戶”原則,確保所拓展的是依法設立、合法經營的特約商戶。
第二十三條 中國支付清算協會、清算機構應將條碼支付特約商戶納入特約商戶資訊管理系統及黑名單管理機制。銀行、支付機構拓展特約商戶時,應進行查詢確認,如商戶及其法定代表人或負責人在特約商戶資訊管理系統中存在不良資訊記錄的,應謹慎為該商戶提供條碼支付服務;不得將已納入黑名單的單位和個人,以及由納入黑名單個人擔任法定代表人或者負責人的單位拓展為特約商戶,已經拓展為特約商戶的,應當自該特約商戶被列入黑名單之日起10日內予以清退。
第二十四條 銀行、支付機構拓展特約商戶應落實實名制規定,嚴格審核特約商戶的營業執照等證明檔,以及法定代表人或負責人的有效身份證件等申請材料,確認申請材料的真實性、完整性、有效性,並留存申請材料的影印件或影本。
對依據法律法規和相關監管規定免於辦理工商註冊登記的實體特約商戶(小微商戶),收單機構在遵循“瞭解你的客戶”原則的前提下,可以通過審核商戶主要負責人身份證明檔和輔助證明材料為其提供條碼支付收單服務。輔助證明材料包括但不限於營業場所租賃協議或者產權證明、集中經營場所管理方出具的證明文件等能夠反映小微商戶真實、合法從事商品或服務交易活動的材料。
以同一個身份證件在同一家收單機構辦理的全部小微商戶基於信用卡的條碼支付收款金額日累計不超過1000元、月累計不超過1萬元。銀行、支付機構應當結合小微商戶風險等級動態調整交易卡種、交易限額、結算週期等,強化對小微商戶的交易監測。
第二十五條 銀行、支付機構應與特約商戶簽訂條碼支付受理協議,就銀行結算帳戶的設置和變更、資金結算週期、結算手續費標準、差錯和爭議處理等條碼支付服務相關事項進行約定,明確雙方的權利、義務和違約責任。
第二十六條 銀行、支付機構在條碼支付受理協議中,應要求特約商戶基於真實的商品或服務交易背景受理條碼支付;按規定使用受理終端或網路支付介面、銀行結算帳戶,不得利用其從事或協助他人從事非法活動;妥善處理交易資料資訊、保存交易憑證,保障交易資訊安全;不得向客戶收取或變相收取附加費用,或降低服務水準。
第二十七條 銀行、支付機構應建立特約商戶資訊管理系統,記錄特約商戶名稱和經營地址、特約商戶身份資料資訊、特約商戶類別、結算手續費標準、銀行結算帳戶資訊、開通的交易類型和開通時間、受理終端(網路交易介面)類型和安裝位址等資訊,並及時進行更新。
銀行、支付機構應按規定向中國支付清算協會和清算機構特約商戶資訊管理系統報送特約商戶基本資訊。
第二十八條 銀行、支付機構應建立特約商戶檢查制度,明確檢查頻率、檢查內容、檢查記錄等管理要求,落實檢查責任。
第二十九條 銀行、支付機構應當對實體特約商戶條碼收單業務進行當地語系化經營和管理,通過在特約商戶及其分支機搆所在省(區、市)轄內的收單機構或其分支機搆提供收單服務,不得跨省(區、市)開展條碼收單業務。
第三十條 銀行、支付機構應按照《中國人民銀行關於加強銀行卡收單業務外包管理的通知》(銀髮〔2015〕199號)相關要求審慎選擇外包服務機構,嚴格規範與外包服務機構的業務合作,強化收單外包業務的風險管理責任。銀行、支付機構作為條碼支付收單業務主體的管理責任和風險承擔責任不因外包關係而轉移。
銀行、支付機構不得將特約商戶資質審核、受理協議簽訂、資金結算、交易處理、風險監測、受理終端主金鑰生成和管理、網路支付介面管理、差錯和爭議處理工作交由外包服務機構辦理。銀行、支付機構與外包服務機構系統對接開展業務的,應確保外包服務機構無法獲取或者接觸支付敏感資訊、不得從事或者變相從事特約商戶資金結算。
第三十一條 銀行、支付機構應尊重特約商戶的自主選擇權,不得干涉或變相干涉特約商戶與其他機構的合作。
第三十二條 銀行、支付機構開展條碼支付業務應參照銀行卡刷卡手續費定價標準科學合理定價,不得採用交叉補貼、低於成本價格傾銷等不正當手段排擠競爭對手,擾亂市場秩序。
第四章 風險管理
第三十三條 銀行、支付機構應建立全面風險管理體系和內部控制機制,提升風險識別能力,採取有效措施防範風險,及時發現、處理可疑交易資訊及風險事件。
第三十四條 銀行、支付機構開展條碼支付業務,應當評估業務相關的洗錢和恐怖融資風險,採取與風險水準相適應的管控措施。
第三十五條 銀行、支付機構應建立特約商戶風險評級制度,綜合考慮特約商戶的區域和行業特徵、經營規模、財務和資信狀況等因素,對特約商戶進行風險評級。
第三十六條 銀行、支付機構應結合特約商戶風險等級及交易類型等因素,設置或與其約定單筆及日累計交易限額。
第三十七條 銀行、支付機構對風險等級較高的特約商戶,應通過強化交易監測、建立特約商戶風險準備金、延遲清算等風險管理措施,防範交易風險。
第三十八條 銀行、支付機構應建立特約商戶檢查、評估制度,根據特約商戶的風險等級,制定不同的檢查、評估頻率和方式,並保留相關記錄。
第三十九條 銀行、支付機構應制定突發事件應急預案,建立災難備份系統,確保條碼支付業務的連續性和業務系統安全運行。
第四十條 銀行、支付機構應能夠有效識別本機構發行的用戶端程式和特約商戶受理終端,能夠確保條碼生成和識讀過程的安全性。
第四十一條 銀行、支付機構應確保客戶身份或帳戶資訊安全,防止洩露,並根據收付款不同業務場景設置條碼有效性和使用次數。
第四十二條 銀行、支付機構應建立條碼支付交易風險監測體系,及時發現可疑交易,並採取阻斷交易、聯繫客戶核實交易等方式防範交易風險。
第四十三條 銀行、支付機構發現特約商戶發生疑似套現、洗錢、恐怖融資、欺詐、留存或洩露帳戶資訊等風險事件的,應對特約商戶採取延遲資金結算、暫停交易、凍結帳戶等措施,並承擔因未採取措施導致的風險損失責任;發現涉嫌違法犯罪活動的,應及時向公安機關報案。
第四十四條 銀行、支付機構應持續完善客戶服務體系,及時受理和解決條碼支付業務中的客戶諮詢、查詢和投訴等問題,自覺維護客戶的合法權益。
第四十五條 銀行、支付機構應充分披露條碼支付業務產品類型、辦理流程、操作規程、收費標準等資訊,明確業務風險點及相關責任承擔機制、風險損失賠付方式及操作方式。
第四十六條 銀行、支付機構應開展對客戶的條碼支付安全教育,提升其風險防範意識和應對能力。
第四十七條 銀行、支付機構應向中國支付清算協會、清算機構風險資訊管理系統報送其條碼支付特約商戶風險資訊。
銀行、支付機構或其外包服務機構、條碼支付特約商戶發生涉嫌重大支付違法犯罪案件或重大風險事件的,應當於2個工作日內向中國人民銀行或其分支機搆報告。
第五章 附 則
第四十八條 採取自訂符號、圖形、圖像等作為資訊載體傳遞交易資訊用於支付服務的,參照本規範進行管理。
第四十九條 本規範相關用語含義如下:
移動終端,指客戶使用的、具有移動通訊功能,用於展示或識讀條碼,完成支付的終端設備。如手機、平板電腦等。
特約商戶受理終端,指具有條碼展示或識讀等功能,參與條碼支付完成銷售收款的特約商戶端專用設備。包括具有條碼展示功能的顯碼設備;識讀條碼並且向後臺系統發起支付指令的專用設備,包括但不限於帶掃碼裝置的收銀系統、銷售點終端(POS)、自助終端等。
支付敏感資訊,是指一旦遭到洩露或修改,會對標識的資訊主體的資訊安全和資金安全造成危害的資訊。包括但不限於支付密碼、銀行卡密碼、驗證碼、卡片有效期、生物特徵以及未獲客戶授權的金融資訊。
第五十條 本規範自2018年4月1日起實施。