支付机构互联网支付业务管理办法(征求意见稿)2010年9月

支付机构互联网支付业务管理办法

（2010年10月稿）

第一章 总 则

第一条 为规范和促进非金融机构互联网支付业务发展，防范支付风险，保护当事人的合法权益，根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》、《非金融机构支付服务管理办法实施细则》等，制定本办法。

第二条 本办法所称互联网支付业务是指非金融支付服务机构（以下简称支付机构）通过互联网为其客户办理货币资金转移的活动。

支付机构是指依据中国人民银行《非金融机构支付服务管理办法》规定取得《支付业务许可证》，具有从事互联网支付业务资质的非金融企业法人及其分支机构。

客户是指通过支付机构发送或转发支付指令，实现货币资金转移的收、付款人，以及通过支付机构获取货币资金的收款人，包括单位和个人。

第三条 支付机构应按照本办法规定，在中华人民共和国境内开展互联网支付业务。

1

第四条 支付机构应当建立健全和执行客户身份识别制度，遵循“了解你的客户”的原则。

第五条 支付机构通过客户的人民币银行结算账户、外汇账户、信用卡（以下统称银行账户），或根据需要为客户开立的交易账户办理支付结算业务。

第六条 支付机构通过银行账户或交易账户办理转账、汇款和代收、代付等业务的，应依据中国人民银行《非金融机构支付服务管理办法》规定取得从事货币汇兑业务资质。

通过外汇账户办理支付结算业务的，应遵守国家外汇管理有关规定。

通过信用卡办理支付结算业务的，应遵守银行卡管理有关规定。

第七条 客户可以通过支付机构，使用其银行账户或交易账户发起支付指令。

第八条 支付机构按照诚实信用原则，为客户提供安全、方便、快捷、高效的互联网支付服务。

第九条 支付机构从事互联网支付业务活动，必须建立有效的业务管理制度、内部控制制度和风险管理措施。

第十条 支付机构开展互联网支付业务，必须拥有并运营独立、安全、可靠的支付业务处理系统，该系统及其备份系统的服务器应设臵在中华人民共和国境内。

第十一条 支付机构开展互联网支付业务应遵守有关法律、

2

法规和规章的规定，不得损害国家和社会利益。

第二章 交易账户

第十二条 交易账户是指客户在支付机构开立的、用于电子商务交易资金结算的账户。

交易账户分为个人交易账户和单位交易账户。

第十三条 支付机构应根据审慎性原则，确定开立交易账户客户的资质及条件。

第十四条 交易账户的开立实行实名制。支付机构对为其客户开立的交易账户的真实性负责。

第十五条 支付机构可以为同一客户开立多个交易账户，但应采取有效措施为这些交易账户建立关联关系，进行统一管理。

第十六条 客户开立交易账户时，必须指定一个或多个银行账户作为该交易账户的关联账户。

第十七条 交易账户的名称应与该客户所关联的银行账户名称一致。支付机构通过有效方式，对交易账户所关联的银行账户进行核验。

第十八条 支付机构应建立统一的交易账户的账号编制规则。通过该规则，能够从账号中反映出客户性质、地区等信息。

第十九条 支付机构为客户开立交易账户的，应与客户签订书面协议。协议内容包括但不限于：

（一）交易账户的开立、止付、撤销和使用的条件；

3

（二）支付机构向客户作出的资金可以在其所关联的银行账户和交易账户之间自主划转的承诺；

（三）交易账户使用规则，以及违规使用的处臵和责任； （四）对账时间和方式； （五）双方的其他权利和义务。

第二十条 个人客户在支付机构开立交易账户的，应向支付机构提供有效身份证件名称、号码和姓名，并同时提供住址、电话、电子邮件等基本信息资料。但单笔收付金额超过1万元或月收付金额累计超过5万元的，支付机构应要求客户提供身份证件影印件，并进行核实。

单位客户开立交易账户的，应向支付机构提供有效注册证明文件的影印件，并提供单位名称、法定代表人姓名及其有效身份证件影印件、联系方式，以及单位地址、联系人、电话等基本信息资料。

第二十一条 支付机构应认真审核、留存客户提交的基本信息资料和其他信息资料，通过合理、有效方式确认客户真实身份，并通知客户后，交易账户方可生效。

第二十二条 任何单位和个人不得利用交易账户，从事违法违规活动。

第二十三条 支付机构应当对交易账户进行有效监控，对发生的可疑和大额交易应及时记录并按规定履行报告义务。

第二十四条 交易账户的资金来源为：

4

（一）从该交易账户所关联的银行账户转入；

（二）交易账户的所有者从其在本支付机构开立的其他交易账户转入；

（三）通过有真实交易关系的同一支付机构的付款人交易账户转入；

（四）通过有真实交易关系的付款人银行账户转入。 交易账户的资金运用为：

（一）向该交易账户所关联的银行账户转出；

（二）该交易账户所有者作为付款人向同一支付机构收款人交易账户转出。

第二十五条 支付机构不得通过交易账户为其客户办理现金存取业务，不得引导、鼓励客户在其交易账户存放资金。

支付机构有义务提醒客户将其交易账户的资金余额保持在合理水平。原则上，个人交易账户资金余额连续10天超过5000元、单位交易账户资金余额连续10天超过2万元的，支付机构及时通知客户减少其资金余额。

第二十六条 除国家法律法规另有规定，以及交易账户所有者外，支付机构不得为其他单位或个人查询交易账户基本信息资料，不得冻结、扣划交易账户内的资金。

第二十七条 客户因自身需要申请交易账户挂失、止付的，支付机构应在确认客户身份后实时办理。

第二十八条 客户要求撤销交易账户的，应由其本人向支付

5

等保密。对客户基本信息资料、交易账户信息等信息的使用，不得超出法律许可和客户授权的范围。

第五十六条 支付机构应采用适当的加密技术和措施，保证支付指令、交易数据传输的真实、完整、不可抵赖和不被窃取。

第五十七条 支付机构应采取必要措施保护交易数据的完整性和可靠性：

（一）制定相应的风险控制策略，防止支付业务处理系统发生有意或无意的危害支付交易数据完整性和可靠性的变化；

（二）制定应急计划和业务连续性计划;

（三）防止交易数据在传送、处理、存储、使用中被非法篡改，且任何非法篡改的企图都能被及时发现并记录；

第五十八条 支付机构应采取必要措施为交易数据保密： （一）对交易数据的访问应经合理授权和确认；

（二）交易数据须以安全方式保存，并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取；

（三）当第三方获取交易数据时，必须符合有关法律法规的规定以及本机构关于数据使用和保护的标准与控制制度；

（四）对交易数据的访问均须登记，并确保该登记不被篡改。 第五十九条 支付机构应确保对互联网支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制：

（一）确保进入交易账户或敏感系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的，而且审计监督应能恰当

11

地反映出这些篡改的企图；

（二）对认证数据进行的任何查询、添加、删除或更改都应得到必要授权，并具有不可篡改的日志记录。日志记录按会计档案的管理要求进行保存，保存期限不少于5年。

第六十条 支付机构采用数字证书或电子签名方式进行客户身份认证和支付交易授权的，应由合法的第三方认证机构提供认证服务。

第六十一条 支付机构应建立互联网支付业务运作重大事项报告制度，及时向所在地中国人民银行分支机构报告业务经营过程中发生的风险事件。

第六十二条 支付机构应制定有效的应急计划和风险处理预案，并定期对该计划和预案进行检测。

第六十三条 支付机构应建立内部审计机制，定期对互联网支付业务、支付业务处理系统进行审计。

第五章 纪律与责任

第六十四条 支付机构未尽交易账户审核责任，为其客户开立非实名交易账户，并由此造成付款人损失的，支付机构承担赔偿责任。

第六十五条 支付机构不得拖延更新客户交易账户资料的请求，不得故意延压客户资金，对差错交易取得的不当得利，负有返还义务。

12

支付机构在约定时间内未及时将款项转入客户交易账户的，应按约定承担相应责任。

第六十六条 支付机构应加强对交易信息、交易资料的保管，不得泄露、破坏客户资料信息。

第六十七条 客户发现交易账户被盗用或遗失，应按与支付机构约定的方式和程序及时通知支付机构，并按双方约定进行处理。

第六十八条 支付机构有下列情形之一、给相关当事人造成损失的，应依法承担民事赔偿责任。中国人民银行责令其限期改正，并给予警告或处1万元以上3万元以下罚款；情节严重的，中国人民银行吊销其《支付业务许可证》。构成犯罪的，依法追究刑事责任。

（一）未按实名制原则为客户开立交易账户的；

（二）未按本办法规定使用、止付、撤销交易账户，或未为交易账户关联同名银行账户的；

（三）未按本办法规定记录、保存、使用客户个人信息、交易信息的；

（四）未建立有效的业务管理制度、内部控制制度和风险管理措施的；

（五）运营的支付业务处理系统及其备份系统的服务器未按规定设臵在中华人民共和国境内的；

（六）未制定有效的应急计划、风险处理预案和内部审计机

13

制的；

（七）未按本办法规定处理互联网支付业务差错、公开披露相关信息的；

（八）未及时向中国人民银行及其分支机构报送信息资料的； （九）违反本办法的其他行为。

第六章 附则

第六十九条 本办法由中国人民银行负责解释和修订。 第七十条 本办法自发布之日起实施。

14

本文来源：https://www.bwwdw.com/article/8n36.html