第十二條 支付機構(gòu)辦理銀行賬戶與支付賬戶之間轉(zhuǎn)賬業(yè)務的,相關銀行賬戶與支付賬戶應屬于同一客戶�。支付機構(gòu)應按照與客戶的約定及時辦理支付賬戶向客戶本人銀行賬戶轉(zhuǎn)賬業(yè)務,不得對Ⅱ類��、Ⅲ類支付賬戶向客戶本人銀行賬戶轉(zhuǎn)賬設置限額���。
第十三條 支付機構(gòu)為客戶辦理本機構(gòu)發(fā)行的預付卡向支付賬戶轉(zhuǎn)賬的�����,應當按照《支付機構(gòu)預付卡業(yè)務管理辦法》[中國人民銀行公告〔2012〕第12號公布]相關規(guī)定對預付卡轉(zhuǎn)賬至支付賬戶的余額單獨管理�,僅限其用于消費���,不得通過轉(zhuǎn)賬�、購買投資理財?shù)冉鹑陬惍a(chǎn)品等形式進行套現(xiàn)或者變相套現(xiàn)�。
第十四條 支付機構(gòu)應當確保交易信息的真實性、完整性��、可追溯性以及在支付全流程中的一致性����,不得篡改或者隱匿交易信息。交易信息包括但不限于下列內(nèi)容:[一]交易渠道��、交易終端或接口類型����、交易類型、交易金額����、交易時間���,以及直接向客戶提供商品或者服務的特約商戶名稱、編碼和按照國家與金融行業(yè)標準設置的商戶類別碼���;[二]收付款客戶名稱���,收付款支付賬戶賬號或者銀行賬戶的開戶銀行名稱及賬號;[三]付款客戶的身份驗證和交易授權(quán)信息����;[四]有效追溯交易的標識;[五]單位客戶單筆超過5萬元的轉(zhuǎn)賬業(yè)務的付款用途和事由����。
第十五條 因交易取消[撤銷]、退貨���、交易不成功或者投資理財?shù)冉鹑陬惍a(chǎn)品贖回等原因需劃回資金的�����,相應款項應當劃回原扣款賬戶����。
第十六條 對于客戶的網(wǎng)絡支付業(yè)務操作行為,支付機構(gòu)應當在確認客戶身份及真實意愿后及時辦理���,并在操作生效之日起至少五年內(nèi)��,真實、完整保存操作記錄�����??蛻舨僮餍袨榘ǖ幌抻诘卿浐妥N登錄、身份識別和交易驗證��、變更身份信息和聯(lián)系方式���、調(diào)整業(yè)務功能��、調(diào)整交易限額�����、變更資金收付方式�����,以及變更或掛失密碼���、數(shù)字證書�、電子簽名等�。
第四章 風險管理與客戶權(quán)益保護
第十七條 支付機構(gòu)應當綜合客戶類型、身份核實方式�、交易行為特征、資信狀況等因素����,建立客戶風險評級管理制度和機制,并動態(tài)調(diào)整客戶風險評級及相關風險控制措施�����。支付機構(gòu)應當根據(jù)客戶風險評級�����、交易驗證方式�����、交易渠道、交易終端或接口類型�、交易類型、交易金額�����、交易時間����、商戶類別等因素,建立交易風險管理制度和交易監(jiān)測系統(tǒng)�����,對疑似欺詐�、套現(xiàn)�����、洗錢��、非法融資�����、恐怖融資等交易,及時采取調(diào)查核實����、延遲結(jié)算、終止服務等措施���。
第十八條 支付機構(gòu)應當向客戶充分提示網(wǎng)絡支付業(yè)務的潛在風險���,及時揭示不法分子新型作案手段,對客戶進行必要的安全教育���,并對高風險業(yè)務在操作前�、操作中進行風險警示����。支付機構(gòu)為客戶購買合作機構(gòu)的金融類產(chǎn)品提供網(wǎng)絡支付服務的,應當確保合作機構(gòu)為取得相應經(jīng)營資質(zhì)并依法開展業(yè)務的機構(gòu)�����,并在首次購買時向客戶展示合作機構(gòu)信息和產(chǎn)品信息�,充分提示相關責任、權(quán)利、義務及潛在風險�,協(xié)助客戶與合作機構(gòu)完成協(xié)議簽訂。
第十九條 支付機構(gòu)應當建立健全風險準備金制度和交易賠付制度�����,并對不能有效證明因客戶原因?qū)е碌馁Y金損失及時先行全額賠付��,保障客戶合法權(quán)益�����。支付機構(gòu)應于每年1月31日前��,將前一年度發(fā)生的風險事件����、客戶風險損失發(fā)生和賠付等情況在網(wǎng)站對外公告���。支付機構(gòu)應在年度監(jiān)管報告中如實反映上述內(nèi)容和風險準備金計提��、使用及結(jié)余等情況���。
第二十條 支付機構(gòu)應當依照中國人民銀行有關客戶信息保護的規(guī)定,制定有效的客戶信息保護措施和風險控制機制,履行客戶信息保護責任��。支付機構(gòu)不得存儲客戶銀行卡的磁道信息或芯片信息���、驗證碼�����、密碼等敏感信息����,原則上不得存儲銀行卡有效期����。因特殊業(yè)務需要,支付機構(gòu)確需存儲客戶銀行卡有效期的��,應當取得客戶和開戶銀行的授權(quán)�����,以加密形式存儲����。支付機構(gòu)應當以“最小化”原則采集��、使用����、存儲和傳輸客戶信息�����,并告知客戶相關信息的使用目的和范圍����。支付機構(gòu)不得向其他機構(gòu)或個人提供客戶信息,法律法規(guī)另有規(guī)定�,以及經(jīng)客戶本人逐項確認并授權(quán)的除外。
第二十一條 支付機構(gòu)應當通過協(xié)議約定禁止特約商戶存儲客戶銀行卡的磁道信息或芯片信息��、驗證碼�、有效期、密碼等敏感信息�����,并采取定期檢查����、技術監(jiān)測等必要監(jiān)督措施。特約商戶違反協(xié)議約定存儲上述敏感信息的��,支付機構(gòu)應當立即暫?�;蛘呓K止為其提供網(wǎng)絡支付服務�����,采取有效措施刪除敏感信息���、防止信息泄露�,并依法承擔因相關信息泄露造成的損失和責任��。
第二十二條 支付機構(gòu)可以組合選用下列三類要素��,對客戶使用支付賬戶余額付款的交易進行驗證:[一]僅客戶本人知悉的要素���,如靜態(tài)密碼等��;[二]僅客戶本人持有并特有的��,不可復制或者不可重復利用的要素�,如經(jīng)過安全認證的數(shù)字證書���、電子簽名�,以及通過安全渠道生成和傳輸?shù)囊淮涡悦艽a等;[三]客戶本人生理特征要素����,如指紋等。支付機構(gòu)應當確保采用的要素相互獨立�����,部分要素的損壞或者泄露不應導致其他要素損壞或者泄露�����。
第二十三條 支付機構(gòu)采用數(shù)字證書��、電子簽名作為驗證要素的�����,數(shù)字證書及生成電子簽名的過程應符合《中華人民共和國電子簽名法》�����、《金融電子認證規(guī)范》[JR/T0118-2015]等有關規(guī)定���,確保數(shù)字證書的唯一性���、完整性及交易的不可抵賴性。支付機構(gòu)采用一次性密碼作為驗證要素的�����,應當切實防范一次性密碼獲取端與支付指令發(fā)起端為相同物理設備而帶來的風險��,并將一次性密碼有效期嚴格限制在最短的必要時間內(nèi)�����。支付機構(gòu)采用客戶本人生理特征作為驗證要素的�,應當符合國家、金融行業(yè)標準和相關信息安全管理要求��,防止被非法存儲���、復制或重放�����。
第二十四條 支付機構(gòu)應根據(jù)交易驗證方式的安全級別�,按照下列要求對個人客戶使用支付賬戶余額付款的交易進行限額管理:[一]支付機構(gòu)采用包括數(shù)字證書或電子簽名在內(nèi)的兩類[含]以上有效要素進行驗證的交易,單日累計限額由支付機構(gòu)與客戶通過協(xié)議自主約定����;[二]支付機構(gòu)采用不包括數(shù)字證書、電子簽名在內(nèi)的兩類[含]以上有效要素進行驗證的交易����,單個客戶所有支付賬戶單日累計金額應不超過5000元[不包括支付賬戶向客戶本人同名銀行賬戶轉(zhuǎn)賬];[三]支付機構(gòu)采用不足兩類有效要素進行驗證的交易����,單個客戶所有支付賬戶單日累計金額應不超過1000元[不包括支付賬戶向客戶本人同名銀行賬戶轉(zhuǎn)賬],且支付機構(gòu)應當承諾無條件全額承擔此類交易的風險損失賠付責任�����。
第二十五條 支付機構(gòu)網(wǎng)絡支付業(yè)務相關系統(tǒng)設施和技術��,應當持續(xù)符合國家�����、金融行業(yè)標準和相關信息安全管理要求���。如未符合相關標準和要求��,或者尚未形成國家�����、金融行業(yè)標準����,支付機構(gòu)應當無條件全額承擔客戶直接風險損失的先行賠付責任��。
第二十六條 支付機構(gòu)應當在境內(nèi)擁有安全��、規(guī)范的網(wǎng)絡支付業(yè)務處理系統(tǒng)及其備份系統(tǒng)�����,制定突發(fā)事件應急預案���,保障系統(tǒng)安全性和業(yè)務連續(xù)性�����。支付機構(gòu)為境內(nèi)交易提供服務的����,應當通過境內(nèi)業(yè)務處理系統(tǒng)完成交易處理,并在境內(nèi)完成資金結(jié)算��。
