“非银行支付机构互联网支付业务管理办法（全文）”

本篇文章8463字，读完约21分钟

第一条非银行支付机构(以下简称支付机构) 为了规范网络支付业务，防止支付风险，保护当事人的合法权益，《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》(中国人民银行令)

第二条支付机构从事互联网支付业务，适用本办法。

本方法所称支付机构是指依法取得“支付业务许可证”，被允许进行互联网支付、手机支付、固定电话支付、数字电视支付等互联网支付业务的非银行机构。

该方法中所说的互联网支付业务是指收款人或付款人通过计算机、移动终端等电子设备，由公众互联网新闻系统远程开始支付命令，且付款人电子设备不与收款人的特定专用设备相互作用，支付机

本方法所称收款人特定专用设备，是指专门用于交易收款，在交易中与支付机构的业务系统对话，参与支付指令的生成、传输、解决的电子设备。

第三条 支付机构按照第一服务电子商务的迅速发展和为社会提供小额、迅速、便民小额支付服务的宗旨，根据顾客的银行账户或根据本法的规定向用户开设支付账户提供互联网支付服务

本方法中所说的支付账户是得到互联网支付业务许可的支付机构根据顾客的真正意愿开设的，用于记录预付交易资金的馀额、顾客开始支付指令、反映交易明细的消息的电子簿记。

支付账户不得透支，不得出借、出租、销售，不得利用支付账户从事或协助他人的非法活动。

第四条支付机构根据银行卡为用户提供互联网支付服务的，应当执行银行卡业务相关监督管理规定和银行卡领域规范。

支付机构必须对特约店的开拓和管理、业务和风险管理执行《银行卡请求业务管理办法》(中国人民银行公告〔〕第9号公布)等相关规定。

支付机构的网络支付服务涉及跨境人民币结算和外汇支付的，应当执行中国人民银行、国家外汇管理局的相关规定。 支付机构必须依法维护当事人的合法权益，遵守反洗钱和反恐融资相关规定，履行反洗钱和反恐融资义务。

第五条支付机构依照中国人民银行的有关规定接受分类评价并实行相应的分类监督管理措施。

第二章顾客管理

第六条 支付机构必须按照“理解你的顾客”，建立基本健全的顾客身份识别机制。 支付机构为用户开立支付账户时，对顾客实行实名制管理，登记，采取比较有效的措施验证顾客的身份基本消息，按规定核对比较有效的身份证复印件或复印件，建立顾客的唯一识别号码，并确认顾客

第七条 支付机构与顾客签订服务合同，约定双方的责任、权利和义务，至少业务规则(包括但不限于业务功能和流程、身份识别和交易验证方法、资金结算方法等)、收款项目和标准、查询、错误

支付机构为用户开设支付账户时，必须在服务合同中以显着的方式通知顾客，以比较有效的方式确认顾客充分知道，明确理解以下复印件:“支付账户中记录的资金馀额是顾客本人的银行。 与该预付价值对应的货币资金属于顾客，但不是以顾客本人的名义保管在银行，而是以支付机构的名义保管在银行，同时支付机构向银行发出筹资指令。 ”。

支付机构必须确保协议书明确易懂，以明确的方式提示顾客观察有重大利害关系的事项。

第八条 获得网络支付业务许可的支付机构，客户可以自主提出申请，并为此开设支付账户。 只有得到手机支付、固定电话支付、数字电视支付业务许可的支付机构，不得为用户开设支付账户。 支付机构不得为金融机构和从事信用、融资、资产管理、保证、信托、货币兑换等金融业务的其他机构开设支付账户。

第三章财务管理

第九条支付机构不得经营或变相从事证券、保险、信用、融资、资产管理、担保、信托、货币换算、现金访问等业务。

第十条支付机构向客户开户银行发送支付指令，提取客户银行账户资金的，支付机构和银行应当执行以下要求。

(1)支付机构必须在事前或第一次交易时自主识别顾客身份，分别取得顾客和银行的协议许可，同意向顾客的银行账户发出支付指令提取资金

(二)银行在事前或首次交易时自主认识顾客身份，与顾客直接签订授权合同，确定约定扣除的适用范围和交易验证方法，设立符合顾客风险承担能力的单笔和单日累积交易限额，无条件地承担这种交易风险损失的先行赔偿责任

(三)除了单一金额不超过200 元的小额支付业务、公用事业缴费、纳税、信用卡还款等受益人固定同时定期发生的支付业务，以及符合第37条规定的情况外，支付机构代替银行进行交易

第十一条支付机构应当根据顾客的身份对同一顾客在本机构开设的所有支付账户进行相关管理，根据以下要求对个人支付账户进行分类管理。

(1)以非面对面方式通过至少一个合法安全的外部渠道进行身份基本新闻验证，对于在本机构首次开设支付账户的个人客户，支付机构可以开设I类支付账户，账户馀额只能用于费用和转账，馀额

(2)支付机构对于自愿或委托合作机构以面对面方式确认身份的个人顾客，或者以非面对面方式通过至少三个合法安全的外部渠道进行身份基本新闻多重交叉验证的个人顾客，支付机构可以开设ii类支付账户。 其所有支付账户的馀额支付交易年累计不超过10 万元(不包括支付账户客户本人向同名银行账户转账)。

(3)对于支付机构自愿或委托合作机构以面对面方式确认身份的个人顾客，或者以非面对面方式通过至少5条合法安全的外部渠道进行身份基本新闻多重交叉验证的个人顾客，支付机构可以开设iii类支付账户， 可用于转账及投资理财等金融类产品的购买，其所有支付账户馀额的支付交易年累计不超过20 万元(支付账户同名银行账户除外)。

顾客id基本新闻外部认证频道包括但不限于政府机构数据库、商业银行新闻系统、商业化数据库等。 其中，在商业银行验证个人顾客身份的基本新闻必须是I类银行账户或信用卡。

第12条 支付机构进行银行账户和支付账户之间的转账业务时，相关银行账户和支付账户属于同一客户。 支付机构必须按照与顾客的约定，迅速进行从支付账户到顾客本人银行账户的转账业务，不得对从ii类、iii类支付账户到顾客本人银行账户的转账设置限额。

第十三条支付机构为用户将本机构发行的预付卡转入支付账户时，根据《支付机构预付卡业务管理方法》(中国人民银行公告〔〕第12 号公布)的相关规定将预付卡转入支付账户的馀额

第十四条 支付机构必须确保交易新闻的真实性、完整性、追溯性以及支付全过程中的一致性，不得篡改或隐匿交易新闻。 交易新闻包括但不限于以下副本。。

(一)按照交易路线、交易终端或接口类型、交易类型、交易金额、交易时间、以及直接向顾客提供商品或服务的特约店的名称、代码、以及国家和金融领域的标准设置的商户类别代码。

(2)收款客户名、收款支付账号或银行账户的开户银行名及账号

(三)支付客户认证和交易授权新闻

(4)比较有效的追溯交易id

(五)公司客户一件超过5万元的转账业务的支付用途和事由。

第十五条因取消(取消)交易、退货、交易不成功或者投资资产管理等金融类产品回购等理由需要收回资金的，相应款项应当返还原扣除账户。

第16条 对于顾客网络支付业务的操作行为，支付机构必须在确认顾客身份和真实意愿后及时处理，从操作生效之日起至少5年内，留下真实、完整的操作记录。

顾客的操作行为包括登录和注销、身份识别和交易验证、身份新闻和联系方式的变更、业务功能的调整、交易限额的调整、资金的领取方法的变更、密码、数字证书、电子签名的变更或丢失等，这是

第四章风险管理与顾客权益保护

第17条 支付机构必须综合顾客类型、身份验证方法、交易行为特征、信用状况等因素，建立顾客风险评价管理制度和机制，动态调整顾客风险评价和相关风险控制措施。 支付机构根据顾客风险评价、交易验证方法、交易路线、交易终端或接口类型、交易类型、交易金额、交易时间、商户类别等因素，建立交易风险管理制度和交易监视系统，进行欺诈、现金清洗、非法融资

第18条 支付机构必须向顾客充分提示网络支付业务的潜在风险，及时揭示不法分子的新型犯罪手段，对顾客进行必要的安全教育，对高风险业务在操作前、操作中进行风险警告。

支付机构为用户购买合作机构的金融类产品提供网络支付服务时，合作机构获得相应的经营资质，确保依法开展业务的机构，首次购买时向顾客展示合作机构的新闻和产品新闻，相关责任、产品新闻

第十九条支付机构应当建立健全的风险准备制度和交易赔偿制度，如果不能比较有效地说明顾客原因造成的资金损失，应当立即全额赔偿，保障顾客的合法权益。

支付机构必须在每年的1月31日31 日前，在网站上对外公告上年度发生的风险事件、顾客风险损失发生、赔偿等。 支付机构必须在年度监督管理报告中如实反映上述复印件和风险准备金的计入、录用和聘任等情况。

第二十条支付机构必须依照中国人民银行关于保护顾客新闻的规定制定比较有效的顾客新闻保护措施和风险控制机制履行顾客新闻保护责任。

支付机构不得记忆顾客银行卡的卡车新闻、小费新闻、验证码、密码等敏感消息，几乎不得记忆银行卡的比较有效期。

由于特殊业务的需要，支付机构需要记忆顾客银行卡的比较有效期的，必须得到顾客和开户银行的授权，以加密形式记忆。 支付机构必须以“最小化”大致收集、录用、记忆、传输顾客新闻，告知顾客相关情况的录用目的和范围。 支付机构不得向其他机构或个人提供顾客新闻。 法律法规另有规定和顾客本人按项目确认授权的除外。

二十一条 支付机构根据协议约定，禁止特约店记忆顾客银行卡卡车新闻或小费新闻、验证码、有效期、密码等敏感消息，必须采取定期检查、技术监视等必要的监督措施

特约店违反协议约定保存上述敏感新闻的，支付机构立即停止或结束提供互联网支付服务，采取比较有效的措施删除敏感新闻，防止新闻泄露，依法泄露相关情况造成的损失和责任

第二十二条支付机构可以组合选择以下三种要素，验证顾客采用支付账户馀额支付的交易。

(1)只有顾客本人知道的要素，例如静态密码等

(2)通过安全认证的数字证书、电子签名、安全路线生成和传输一次不重复的密码等，只要顾客本人拥有、特有，就不得复制或重复使用的要素

(3)顾客本人的生理特征要素，如指纹等。

支付机构必须确保使用的要素相互独立，有些要素的破损或泄露不会导致其他要素的破损或泄露。

第二十三条支付机构以数字证书、电子签名为验证要素时，生成数字证书和电子签名的过程符合《中华人民共和国电子签名法》、《金融电子认证规范》( jr/t0118-)等有关规定，数字证书的唯一性

在支付机构以一次也不重复密码作为验证要素的情况下，必须可靠地防止一次也不重复密码的取得侧和支付指令开始侧给同一物理设备带来的风险，并将一次也不重复密码的比较有效期间严格限制在最短的必要时间内

支付机构使用顾客本人的生理特征作为验证要素时，必须满足国家、金融领域的标准和相关情况的安全管理要求，防止非法记忆、复制或再生。

第二十四条支付机构基于交易验证方法的安全水平，根据下列要求，对个人客户使用支付账户馀额支付的交易进行限额管理。

(1)支付机构使用包括数字证书或电子签名在内的2种(包括)以上的比较有效要素进行验证的交易，一天的累积限额由支付机构和顾客通过协议自愿约定(2)支付机构不包括数字证书、电子签名的2种(包括)以上。 一个客户所有付款账户每天的累计金额不得超过5000 元(不包括付款账户汇款到客户本人的同名银行账户)。

(3)支付机构使用少于两种比较有效的要素进行验证的交易，一个顾客的所有支付账户一天的累计金额在1000 元(不包括支付账户转移到顾客本人的同名银行账户)以下，且支付机构无条件地这样做。

第二十五条 支付机构网络支付业务相关系统的设施和技术应继续满足国家、金融领域的标准和相关情况的安全管理要求。 不符合相关标准和要求或者没有形成国家、金融领域的标准的，支付机构必须无条件承担顾客直接风险损失的先行赔偿责任。

第二十六条支付机构应当在国内具有安全规范的网络支付业务解决系统及其备份系统，制定突发事件应急方案，保障系统的安全性和业务连续性。

支付机构为国内交易提供服务时，必须通过国内业务解决系统完成交易解决，在国内完成资金结算。

第27条 支付机构采取比较有效的措施，确保顾客在执行支付指令前可以确认支付客户名称和账号、交易金额等交易新闻，支付指令完成后，立即将结果发送给顾客，没有交易超时、应答，另外 因顾客原因未执行付款指令、未适当执行、延迟执行的，支付机构必须主动通知顾客变更，或对顾客采取补救措施。

第28条 支付机构通过具有合法独立域名的网站和统一的服务电话等途径，向用户免费提供至少近一年内的交易新闻查询服务，建立健全的错误争议和争议投诉解决制度，专业部门和人 支付机构必须告知顾客相关服务的正确获得途径，指导顾客比较有效地认识服务途径的真实性。

支付机构必须在网站上发表每年1月31日前发生的顾客投诉的数量和类型、已解决的投诉比例、投诉的解决速度等。

第二十九条支付机构必须充分尊重顾客的自主选择权，不得强迫顾客采用本机构提供的支付服务，不得妨碍顾客采用其他机构提供的支付服务。

支付机构必须公平展示顾客可以选择的各种资金的领取方法，不得以任何形式引导、强制或通过支付账户进行资金的领取，不得附加不合理的条件。

第三十条支付机构因系统升级、调试等理由需要暂停互联网支付服务的，必须在至少5 工作日前公告。 支付机构变更协议条款，提高服务的收款标准，新设收款项目时，实施前在网站等服务渠道连续30 天公示，在顾客第一次进行相关业务前确认并调整的所有

第五章监督管理

第三十一条支付机构提供互联网支付创新产品或服务，停止提供产品或服务，与国外机构合作在国内开展互联网支付业务的，必须至少在30 前向法人所在地的中国人民银行分公司报告

发现支付机构发生重大风险事件时，必须立即向法人所在地的中国人民银行分公司报告涉嫌违法犯罪，并向公安机关报告。

第32条 中国人民银行可以结合支付机构的公司资格、风险管理，特别是顾客准备金管理等因素，建立支付机构的分类监督管理指标体系，建立持续的分类评价业务机制，对支付机构实施动态分类管理 具体办法由中国人民银行另行规定。

第三十三条 中“a”类且ii类、iii类支付账户实名比例超过95%的支付机构，使用切实执行实名制要求的其他顾客身份验证方法，经法人所在地中国人民银行分行判断同意，向中国人民银行备案实施

第34条 类且ii类、iii类支付账户的实名比例超过95%的支付机构，对从事电子商务经营活动、没有工商登记条件、没有相关法律法规进行工商登记的个人顾客(以下简称个人卖方)进行单位顾客管理 必须建立对个人卖方实施动态管理的比较有效的机制，提交给中国法人所在地的人民。

支付机构参照公司顾客管理的个人卖方时，至少应满足以下条件。

(一)相关电子商务平台已经按照相关法律法规审查登记其真实身份新闻，与其签订登记协议，建立登记文件，定期验证更新，颁发说明个人身份新闻真实合法性的标志，其电子商务活动

(二)支付机构按照开设iii类个人支付账户的标准完成了身份确认

(三)继续从事电子商务经营活动6个月以上，且期间使用支付账户领取的经营收入累计超过20万元。

第35条被判定为“a”类且ii类、iii类支付账户的实名比例超过95%的支付机构，对于实名确认完成、达到实名制管理要求的支付账户，在进行第12条第1项所述的转账业务时，相关银行账户和支付账户相同 但是，支付机构在交易过程中必须向银行准确和完善交易路线、交易终端或接口类型、交易类型、支付方客户名称和账号等交易新闻。

第36条 中被判定为“a”类且ii类、iii类支付账户的实名比例超过95%的支付机构，将达到实名制管理要求的ii类、iii类支付账户的馀额支付单日累积限额扣除到第24条规定的2 倍。

被评定为“b”类以上，且ii类、iii类支付账户的实名比例超过90%的支付机构，将满足实名制管理要求的ii类、iii类支付账户的馀额作为一天的累计限额，提高到第24条规定的1.5 倍。

第37条 中被认定为“a”类的支付机构按照第10条的规定进行相关业务时，根据银行和业务的需要，可以根据合同约定支付机构自主进行交易验证，但支付机构在交易中可以向银行提供交易渠道、交易终端 必须完整、正确地发送商户代码、商户类别代码、支付客户名及账号等交易新闻。 银行应验证支付机构的验证手段或渠道的安全性，且客户资金安全的管理责任不应通过支付机构的替代验证转移。

第38条 中国人民银行及其子公司根据第19条、第28条等规定对被评定为“c”类以下、支付账户实名比例低、对零售支付系统或社会公众的非现金支付自信有重大影响的支付机构公开

第三十九条 中国人民银行及其子公司对照上述分类管理措施的相应条件，动态明确和继续监督管理支付机构适用的监督管理规定。 支付机构的分类评定结果和支付账户实名的比例不符合上述分类管理措施的相应条件的，必须严格按照第十条、第十一条、第十二条和第二十四条等相关规定执行。

中国人民银行及其子公司可以根据社会经济的快速发展状况和支付机构分类管理的需要及时调整支付机构的网络支付业务范围、模式、功能、限额和业务创新等相关管理措施。

第四十条支付机构必须加入中国支付清算协会接受领域的自律组织管理。

中国支付清算协会应当根据本法制定网络支付业务领域的自律规范，建立自律审查机制，向中国人民银行备案后，组织实施。 自律规范必须包括支付机构与客户签订合同的模板。。 合同中是否记载了一些事项，也必须包含支付机构披露相关新闻的具体复印件和标准样式。

中国支付清算协会建立信用承诺制度，要求支付机构以标准格式，依法遵守网络支付业务，保障顾客的新闻安全和资金安全，维护顾客的合法权益，例如向社会公开承诺违法自主受到制约和处罚

第六章法律责任

第四十一条支付机构从事网络支付业务时，中国人民银行及其子公司依照《非金融机构支付服务管理办法》第四十二条的规定解决。

(一)未按规定建立顾客实名制管理、支付账户开设和采用、错误争议和争议投诉解决、风险准备金和交易赔偿金、应急津贴等管理制度的

(二)未按规定建立顾客风险评价管理、支付账户功能和限额管理、顾客支付指令的验证管理、交易和新闻安全管理、交易监视系统等风险控制机制的，按规定对支付业务采取比较有效的风险控制措施

(三)没有按照规定进行风险提示、披露的情况。

(四)未按规定履行报告义务。

第四十二条 支付机构从事互联网支付业务有下列情形之一，中国人民银行及其分公司依照《非金融机构支付服务管理办法》第四十三条的规定解决。 情节严重的，中国人民银行及其分公司依照《中华人民共和国中国人民银行法》第四十六条的规定解决。

(一)不符合支付机构关于支付业务系统设施的要求

(二)不符合国家、金融领域标准和相关情况安全管理要求，使用数字证书、电子签名不符合《中华人民共和国电子签名法》、《金融电子认证规范》等规定的。

(三)为非法交易、虚假交易提供支付服务，发现顾客涉嫌违法行为或者涉嫌违法行为，未按规定采取比较有效措施的。

(四)没有按照规定采取顾客支付指令的验证措施的

(五)没有真实、完整、正确反映网络支付交易新闻，篡改或者隐匿交易新闻的；

(六)未按规定解决顾客新闻或者未履行顾客新闻保密义务的，引起新闻泄露的风险或者导致新闻泄露

(七)妨碍顾客自主选择支付服务提供主体或者资金的接收方法的

(八)公开虚假消息

(九)开立支付账户，擅自经营金融业务活动。

第四十三条支付机构违反反洗钱和反恐融资规定的，依照国家有关法律法规解决。

第七章附则

第四十四条本法相关用语的含义如下:单位顾客是指接受支付机构支付服务的法人、其他组织或者个体经营者。

个人顾客是接受支付机构支付服务的自然人。 包括顾客的名称、住所、经营范围、统一社会信用代码或组织代码的单位顾客的身份基本消息该顾客可以依法设立或依法开展经营、社会活动的许可证、证明书或文件的名称、号码和比较有效期限。 法定代表人(负责人)或授权处理业务人员的姓名、比较有效身份证种类、号码、比较有效期限。

个人顾客的身份基本新闻包括顾客的姓名、国籍、性别、职业、住所、联系方法、顾客比较有效身份证的种类、号码、比较有效期限。 法人和其他组织的顾客比较有效的身份证是能够说明政府权利机关颁发的合法真实身份的证明书或文件，包括但不限于营业执照、事业单位法人证书、税务登记证、组织机构代码证。 个体经营者比较有效的身份证。 包括营业执照、经营者或授权经营者比较有效的身份证。

个人顾客比较有效的身份证。 在中国境内注册常住户口的中国公民是居民身份证，未满16岁的，作为居民身份证或者户口本的香港， 澳门特别行政区居民为港澳居民往来内地通行证台湾地区居民为台湾居民来往大陆通行证在海外定居的中国公民是中国护照外国公民是护照或外国人永久居留证(在外国边境民、边境贸易结算的有关规定中

顾客本人是指顾客的本公司(单位顾客)或本人(个人顾客)。

第四十五条本办法由中国人民银行负责解释和修订。

第四十六条本法自年7月1日起施行。