《支付机构网络支付业务管理办法》起草说明
为规范支付机构网络支付业务发展,防范网络支付业务风险,根据《非金融机构支付服务管理办法》(中国人民银行令„2010‟第2号,以下简称“2号令”)及其实施细则,我们研究起草了《支付机构网络支付业务管理办法》(以下简称《办法》)。有关情况说明如下:
一、《办法》起草背景与过程
“2号令”发布后,社会各界期盼人民银行及时制定发布相关业务管理制度,以更好地引导支付机构的业务创新与规范发展,防范支付风险,保障客户权益。我司深入研究网络支付市场的发展现状和存在的问题,在明确《办法》的指导思想和制定原则的基础上,组织草拟了《办法》初稿。经反复征求行内相关司局、人民银行分支机构、中国银联、商业银行和支付机构的意见,我司对《办法》进行了修改完善,形成了《办法》(征求意见稿),并于2012年1月上网公开征求意见。经整理分析与研究论证,《办法》采纳、吸收了部分合理意见。2014年1月,我司再次召集部分人民银行分支机构和部分市场机构的业务骨干,结合网络支付业务的最新发展情况,对《办法》进行了新一轮的研究论证、补充、修改和完善。在此过程中,结合互联网支付、移动电话远程支付、固定电话支付和数字电视支付等网络支付业务的特征
和发展趋势,从业务实质的角度出发,将《办法》规范范畴由上网公开征求意见稿的互联网支付调整为网络支付,其名称也相应由《支付机构互联网支付业务管理办法》调整为《支付机构网络支付业务管理办法》,以更好地适应支付机构的业务规范与发展。
二、制定《办法》的基本原则
(一)鼓励创新与规范发展并重。支付机构网络支付业务以其方便、快捷的特性,拓展了传统银行业支付服务的广度和深度,在促进电子商务发展、便利民生消费、推进金融普惠等方面发挥了积极作用。但同时也存在客户资金结算最终性未得到有效保障、客户身份识别与交易验证存在漏洞、交易信息透明度低、风险控制措施不完善、客户权益保护不健全等问题。对此,《办法》基于支付机构网络支付在市场中的定位,兼顾鼓励创新与规范发展,清晰界定网络支付的内涵与边界,抓住风险管理关键环节,尽量平衡支付的便捷性和安全性,明确风险管理的原则性监管要求,引导支付机构健康、持续、稳步发展。
(二)切实保护客户权益。支付机构网络支付的创新在带来零售支付便捷与高效的同时,也存在一些安全隐患,客户权益保障机制有待加强。为此,《办法》结合网络支付的特性,紧扣客户权益保障的薄弱环节,在结算最终性、客户知情权、选择权、信息安全和欺诈损失赔偿等方面做出了明
确规定,引导支付机构建立完善的客户权益保障机制和风险控制机制。
(三)坚持市场化发展方向。作为支付服务市场的参与者,商业银行和支付机构地位平等,既竞争又合作,双方依据平等的民事协议协商确定各自的权利和义务,并遵循从事相同的业务执行统一的业务规则与监管规定。本着市场主导、契约自由、标准一致、公平竞争的原则,《办法》没有以行政手段干预支付机构与商业银行在实名制落实、交易流程、客户权益保护等方面的合作模式。支付机构可根据自身发展需要,合理选择与商业银行、银行卡清算机构或其他机构进行业务合作,以创造公平有序的市场发展环境。
三、《办法》的总体框架和主要内容
《办法》共分七章,六十四条。主要内容如下:
第一章 总则,明确了立法依据、适用范围、网络支付的定义和业务开展基本原则。
第二章 业务开通与客户管理,明确了支付机构为客户开办各类支付业务的要求,规定了支付账户的定义及功能,明确了支付账户实名制管理等具体要求。
第三章 业务管理,明确了支付机构网络支付的业务类型和各类业务的办理要求,以及交易信息记载、网络特约商户资金结算等方面规定。
第四章 风险管理与客户权益保护,包括支付机构的客户风险评级管理、突发事件应急管理、风险准备金与交易赔付、交易和信息安全管理、年度风险评估等方面的风险控制责任,以及相关客户权益保护措施。
第五章 监督管理,业务检查、报告与备案义务。
第六章 罚则,支付机构违反《办法》规定应承担的责任。
第七章 附则,用语解释、《办法》修订主体和实施日期。
四、需要重点说明的几个问题
(一)关于网络支付业务的界定。《办法》将“网络支付业务”界定为客户通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,由支付机构为付款人和网络特约商户之间的电子商务交易实现货币资金转移的活动。规范范畴涵盖互联网支付、移动电话远程支付、固定电话支付和数字电视支付等各类网络支付业务。
《办法》征求意见稿中仅规范了支付机构通过互联网渠道开展的支付业务。征求意见过程中,一些支付机构认为互联网支付与移动电话远程支付、数字电视支付、固定电话支付虽然在受理终端和传输渠道等形式上有所不同,但均通过受理终端远程发起支付指令,依托公共网络信息系统传输支付指令以实现货币资金转移,其业务实质是相同的。同时,考虑到受理终端和信息传输渠道将日益多样化,且将随着技术进步日益创新升级。为提升监管制度的前瞻性,不宜再按
业务表面形态分类制定监管制度。因此,《办法》从各类网络支付业务模式中抽炼出具有共通性的业务本质,并以应用范围最广、最具代表性的互联网支付业务为切入点制定了普适的原则性监管要求,力使《办法》在现在和未来一段时间内,能普适性地适用于规范各类新兴形态的网络支付业务。 (二)关于支付机构网络支付业务的市场定位和业务边界。商业银行和支付机构都是网络支付服务的提供主体。支付机构所提供的支付服务是支付服务市场的有益延伸与补充,拓展了支付服务的广度和深度。本着尊重现实、鼓励创新、防范风险、发展共赢的原则,《办法》将支付机构开展的网络支付业务定位于服务电子商务发展,主要为付款人和网络特约商户之间的电子商务交易实现货币资金转移,不得为付款人和实体特约商户之间的交易提供网络支付服务。网络支付涵盖的电子商务交易活动包括商品或服务购买、税费缴纳、信用卡还款、购买特定金融产品等。考虑到缴纳税费、信用卡还款和购买特定金融产品等业务的资金流向国家机关、公用事业单位和金融机构,业务风险较低、交易真实性高,《办法》允许支付机构开展此类业务。基于支付机构业务许可范围和审慎性监管原则,《办法》要求支付机构不得为客户办理账户透支、现金存取、融资和担保等服务。
(三)关于支付账户的功能定位。《办法》规定,获得互联网支付业务资质的支付机构可根据客户意愿,为其开立
不具备电子商务交易收款功能,仅可用于电子商务交易付款和记录资金余额信息的支付账户,交易收款必须及时结算至特约商户指定的银行结算账户。主要基于以下考虑:
1.保障商户的资金安全和资产权益。支付账户所反映的余额仅代表支付机构的企业信用,法律保障机制上远低于商业银行货币,一旦支付机构出现经营风险或信用风险,将可能导致支付账户余额不能回兑为商业银行货币。只有将商户的收入资金全部结算至其银行结算账户,体现为商户可自由支取的商业银行货币,才能充分保障商户对其收入资金的实际控制权和财产权益。
2.明晰资金流向,防范违法犯罪活动。如果支付账户同时具有收付款功能,则支付账户之间的收付款交易完全脱离了强实名认证的银行账户体系,在支付机构内部形成了资金转移的“黑箱”。由于目前支付账户客户身份识别、交易真实性等方面存在薄弱环节,难以透过“黑箱”跟踪和监管洗钱、非法跨境转移资金等违法犯罪行为,因此,《办法》规定支付机构只能将网络商户收入的资金结算至其制指定的银行账户,即支付账户的每笔交易均与强实名制的银行账户相对应,打破了支付机构内部支付账户之间资金转移“黑箱”运行的封闭模式,有利于监测资金流向、提升监管成效、防范风险。
3.有利于备付金管理。支付账户收款资金强制结算至银行账户,有利于减少客户备付金的沉淀,降低备付金管理风险。
4.保持监管的一致性。《支付机构预付卡业务管理办法》、《银行卡收单业务管理办法》均规定商户应以银行结算账户作为收款账户,《办法》相关规定与预付卡、银行卡业务的商户收款结算的规定保持一致,有利于平衡产业发展,减少监管套利。
此外,考虑到目前一些消费者已习惯通过支付账户进行个人间的如“AA收款”等类似无交易背景的小额转账业务,如果禁止个人支付账户之间的小额资金转入、转出功能,可能给消费者带来操作上的不便。因此,《办法》适度把握监管的灵活性,允许个人客户的支付账户在交易付款之外,还同时具备小额转账转出和转账收款功能,但单位客户的支付账户则严禁无交易背景的转账功能。并针对个人支付账户转账业务,提出转账单笔金额不得超过1000元、同一个人客户所有支付账户转账年累计金额不得超过1万元,以及转入资金只能用于消费和转账转出、不得回提银行账户等管理要求。在交易限额、资金流向双重管理下,个人支付账户之间无交易背景的转账业务主要应用于小额、便民,业务风险可控。
(四)关于网络支付业务类型细分管理。为便于管理,《办法》根据网络支付业务交易资金流向或用途,将支付机构网络支付业务交易类型细分为充值、消费和转账等。
充值是指客户将本人同名银行借记账户或同一支付机构发行的预付卡中资金转入本人支付账户。充值业务强调支付账户资金来源于同名银行借记账户,以确保银行账户至支付账户全部为同一单位或个人的资金流入,明晰支付账户资金流入路径。为了避免信用卡套现、信用卡透支购买金融产品等问题,并且考虑到支付宝、财付通等大型支付机构已于《办法》公开征求意见后停止了信用卡向支付账户充值业务,且客户接受度、风险控制效果均较好,《办法》继续坚持了征求意见稿中支付账户的资金不得来源于信用卡的规定。支付账户未用充值资金退回时,应转回原银行账户或原预付卡。
消费是指客户因商品或服务购买、税费缴纳、信用卡还款、购买特定金融产品等电子商务交易活动,将付款人的银行账户或支付账户资金划转至网络特约商户的银行账户。因交易取消(撤销)、退货、交易不成功等原因需退款的,退回款项应转回原银行账户或支付账户。立足支付账户小额、便民功能特性,基于审慎性原则,《办法》规定了个人客户支付账户单笔消费金额不得超过5000元、同一个人客户所有支付账户月累计消费金额不得超过1万元的限额管理;超
过限额的,应通过银行账户办理,力求平衡支付的便捷性和安全性。
转账是指个人客户支付账户间无电子商务交易背景的资金划转。基于支付机构小额、便民的业务定位,及无交易背景的转账业务容易被不法分子所利用的特点,《办法》对转账业务做出了较为谨慎的控制,规定个人客户的支付账户可用于转账转出和转账收款,但须遵守限额管理、资金流向管理等规定,单位客户的支付账户则不得用于转账业务,只能用于电子商务交易付款。
(五)关于网络支付不得为付款人和实体特约商户之间的交易提供服务的问题。《办法》这一规定是基于市场定位明晰业务内涵与监管边界、平衡产业发展的考虑。目前,银行卡、预付卡在线下实体特约商户的使用与受理等相关业务的监管框架、市场规则已经基本成熟,且已形成了一套安全标准严密、业务规则完整的监管体系,市场运作也相对规范。如果支付机构基于付款人关联的银行账户或支付账户为实体特约商户提供支付服务,应当与商业银行一样适用现有线下支付工具的监管规定和金融安全标准,以保持支付机构与商业银行的支付监管标准的一致性,减少监管套利,避免支付机构网络支付业务对线下支付服务市场造成业务及监管的混乱,对线下非现金支付工具的安全造成冲击。鉴于以上考虑,《办法》将网络支付业务限定于为付款人和网络特约
商户之间的电子商务交易的支付活动,体现了支付机构从事相关业务、应当取得相应的业务资质、并与商业银行适用相同的业务规则的对等监管理念,这也是尊重现实、鼓励创新、防范风险和协作共赢原则的具体体现,有利于支付机构的业务规范与支付市场的长远发展。
(六)关于支付账户实名制的管理要求。《办法》对支付机构落实支付账户实名制提出了具体要求:
一是规定支付账户实名制。为贯彻落实“了解你的客户”原则,《办法》规定支付账户的开立实行实名制,支付机构对客户身份信息的真实性负责。支付机构为单位客户与个人客户开立支付账户时,均应对客户基本身份信息的真实性进行识别与审核,登记客户身份信息,并按规定留存客户有效身份证件或者身份证明文件的复印件或影印件。
二是规定支付账户发生充值业务时,资金必须来自同名银行账户,以及网络商户收款的资金结算必须为其本人指定的同名银行账户。通过银行账户与支付账户的交叉验证不仅是落实支付账户实名制的重要措施,还能通过银行账户体系与支付账户体系的对应和连接实现对资金流动的监控,防范支付账户和网络支付业务被滥用。
(七)关于支付机构向客户的开户银行发送支付指令,扣划客户银行账户资金业务的管理要求。为保障客户合法权益,针对目前支付机构扣划客户银行账户资金存在的风险漏
洞,《办法》提出针对性风险管理要求。规定支付机构、客户及其开户银行应事先或在首笔交易时,签订三方协议或两两协议,明确客户身份识别和交易验证的方式,以切实防范支付风险,保障客户权益。具体如下:
1.支付机构应取得客户及其开户银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金;应为客户提供后续交易验证由银行完成的优先选择权,确因业务需要,客户自愿授权并与支付机构和银行约定后续交易由支付机构代为验证的,支付机构应确保验证手段和渠道的安全性,设臵单笔、日累计交易限额,并承担由此所导致的客户信息泄露和资金被盗用风险;应配合客户及银行为控制交易风险而采取的必要措施和手段。
2.银行应最晚于首笔交易时与客户签订协议,明确客户授权支付机构向银行发送的支付指令的交易验证主体、验证手段和渠道;依法履行客户身份识别义务,至少对客户首笔业务进行身份识别和交易验证。
(八)关于客户权益保护的问题。为保障客户合法权益,《办法》结合网络支付业务特点,在维护客户权益方面做出了明确规定。一是在结算最终性方面,要求网络特约商户将电子商务交易收款资金直接结算至本人同名银行账户,确保商户对其资金具有实际控制权。二是在知情权方面,明确规定了支付机构应当向客户公示的信息、章程或协议所包括具
体内容等信息披露和告知义务。。三是在选择权方面,要求支付机构应充分尊重客户意愿,不得干涉或变相干涉客户办理业务的优先选择权利。四是在信息安全方面,要求建立严格的客户信息存储、访问、使用及销毁管理机制,完善信息安全技术防范措施,明确了泄漏客户信息的处罚规定。五是在欺诈损失赔偿方面,要求支付机构建立风险准备金和赔付机制。
(九)关于网络支付风险与安全管理。依托网络作为支付交易信息的传输通道,不可避免地面临网络病毒、信息窃取、信息篡改、网络钓鱼、网络异常中断等各种安全威胁。为保障网络支付业务中客户信息安全和交易安全,《办法》明确支付机构开展网络支付业务应符合国家和金融行业技术标准和相关信息安全管理要求; 要制定业务连续性计划和应急计划,保证网络支付业务处理系统的安全性,以及支付信息的完整性、可靠性、安全性;要求支付机构针对网络支付业务制定风险管理制度,规范客户身份信息与交易验证的流程,建立交易监测系统,完善风险管理体系,并对客户进行必要的认知教育和安全指导;明确支付机构对支付信息的保管责任,不得存储银行交易密码和银行卡片验证码,须以加密形式存储银行卡的卡号和有效期;采用电子签名方式进行客户身份认证和支付交易授权的,应由合法的第三方认证机构提供认证服务。
《支付机构网络支付业务管理办法》起草说明
为规范支付机构网络支付业务发展,防范网络支付业务风险,根据《非金融机构支付服务管理办法》(中国人民银行令„2010‟第2号,以下简称“2号令”)及其实施细则,我们研究起草了《支付机构网络支付业务管理办法》(以下简称《办法》)。有关情况说明如下:
一、《办法》起草背景与过程
“2号令”发布后,社会各界期盼人民银行及时制定发布相关业务管理制度,以更好地引导支付机构的业务创新与规范发展,防范支付风险,保障客户权益。我司深入研究网络支付市场的发展现状和存在的问题,在明确《办法》的指导思想和制定原则的基础上,组织草拟了《办法》初稿。经反复征求行内相关司局、人民银行分支机构、中国银联、商业银行和支付机构的意见,我司对《办法》进行了修改完善,形成了《办法》(征求意见稿),并于2012年1月上网公开征求意见。经整理分析与研究论证,《办法》采纳、吸收了部分合理意见。2014年1月,我司再次召集部分人民银行分支机构和部分市场机构的业务骨干,结合网络支付业务的最新发展情况,对《办法》进行了新一轮的研究论证、补充、修改和完善。在此过程中,结合互联网支付、移动电话远程支付、固定电话支付和数字电视支付等网络支付业务的特征
和发展趋势,从业务实质的角度出发,将《办法》规范范畴由上网公开征求意见稿的互联网支付调整为网络支付,其名称也相应由《支付机构互联网支付业务管理办法》调整为《支付机构网络支付业务管理办法》,以更好地适应支付机构的业务规范与发展。
二、制定《办法》的基本原则
(一)鼓励创新与规范发展并重。支付机构网络支付业务以其方便、快捷的特性,拓展了传统银行业支付服务的广度和深度,在促进电子商务发展、便利民生消费、推进金融普惠等方面发挥了积极作用。但同时也存在客户资金结算最终性未得到有效保障、客户身份识别与交易验证存在漏洞、交易信息透明度低、风险控制措施不完善、客户权益保护不健全等问题。对此,《办法》基于支付机构网络支付在市场中的定位,兼顾鼓励创新与规范发展,清晰界定网络支付的内涵与边界,抓住风险管理关键环节,尽量平衡支付的便捷性和安全性,明确风险管理的原则性监管要求,引导支付机构健康、持续、稳步发展。
(二)切实保护客户权益。支付机构网络支付的创新在带来零售支付便捷与高效的同时,也存在一些安全隐患,客户权益保障机制有待加强。为此,《办法》结合网络支付的特性,紧扣客户权益保障的薄弱环节,在结算最终性、客户知情权、选择权、信息安全和欺诈损失赔偿等方面做出了明
确规定,引导支付机构建立完善的客户权益保障机制和风险控制机制。
(三)坚持市场化发展方向。作为支付服务市场的参与者,商业银行和支付机构地位平等,既竞争又合作,双方依据平等的民事协议协商确定各自的权利和义务,并遵循从事相同的业务执行统一的业务规则与监管规定。本着市场主导、契约自由、标准一致、公平竞争的原则,《办法》没有以行政手段干预支付机构与商业银行在实名制落实、交易流程、客户权益保护等方面的合作模式。支付机构可根据自身发展需要,合理选择与商业银行、银行卡清算机构或其他机构进行业务合作,以创造公平有序的市场发展环境。
三、《办法》的总体框架和主要内容
《办法》共分七章,六十四条。主要内容如下:
第一章 总则,明确了立法依据、适用范围、网络支付的定义和业务开展基本原则。
第二章 业务开通与客户管理,明确了支付机构为客户开办各类支付业务的要求,规定了支付账户的定义及功能,明确了支付账户实名制管理等具体要求。
第三章 业务管理,明确了支付机构网络支付的业务类型和各类业务的办理要求,以及交易信息记载、网络特约商户资金结算等方面规定。
第四章 风险管理与客户权益保护,包括支付机构的客户风险评级管理、突发事件应急管理、风险准备金与交易赔付、交易和信息安全管理、年度风险评估等方面的风险控制责任,以及相关客户权益保护措施。
第五章 监督管理,业务检查、报告与备案义务。
第六章 罚则,支付机构违反《办法》规定应承担的责任。
第七章 附则,用语解释、《办法》修订主体和实施日期。
四、需要重点说明的几个问题
(一)关于网络支付业务的界定。《办法》将“网络支付业务”界定为客户通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,由支付机构为付款人和网络特约商户之间的电子商务交易实现货币资金转移的活动。规范范畴涵盖互联网支付、移动电话远程支付、固定电话支付和数字电视支付等各类网络支付业务。
《办法》征求意见稿中仅规范了支付机构通过互联网渠道开展的支付业务。征求意见过程中,一些支付机构认为互联网支付与移动电话远程支付、数字电视支付、固定电话支付虽然在受理终端和传输渠道等形式上有所不同,但均通过受理终端远程发起支付指令,依托公共网络信息系统传输支付指令以实现货币资金转移,其业务实质是相同的。同时,考虑到受理终端和信息传输渠道将日益多样化,且将随着技术进步日益创新升级。为提升监管制度的前瞻性,不宜再按
业务表面形态分类制定监管制度。因此,《办法》从各类网络支付业务模式中抽炼出具有共通性的业务本质,并以应用范围最广、最具代表性的互联网支付业务为切入点制定了普适的原则性监管要求,力使《办法》在现在和未来一段时间内,能普适性地适用于规范各类新兴形态的网络支付业务。 (二)关于支付机构网络支付业务的市场定位和业务边界。商业银行和支付机构都是网络支付服务的提供主体。支付机构所提供的支付服务是支付服务市场的有益延伸与补充,拓展了支付服务的广度和深度。本着尊重现实、鼓励创新、防范风险、发展共赢的原则,《办法》将支付机构开展的网络支付业务定位于服务电子商务发展,主要为付款人和网络特约商户之间的电子商务交易实现货币资金转移,不得为付款人和实体特约商户之间的交易提供网络支付服务。网络支付涵盖的电子商务交易活动包括商品或服务购买、税费缴纳、信用卡还款、购买特定金融产品等。考虑到缴纳税费、信用卡还款和购买特定金融产品等业务的资金流向国家机关、公用事业单位和金融机构,业务风险较低、交易真实性高,《办法》允许支付机构开展此类业务。基于支付机构业务许可范围和审慎性监管原则,《办法》要求支付机构不得为客户办理账户透支、现金存取、融资和担保等服务。
(三)关于支付账户的功能定位。《办法》规定,获得互联网支付业务资质的支付机构可根据客户意愿,为其开立
不具备电子商务交易收款功能,仅可用于电子商务交易付款和记录资金余额信息的支付账户,交易收款必须及时结算至特约商户指定的银行结算账户。主要基于以下考虑:
1.保障商户的资金安全和资产权益。支付账户所反映的余额仅代表支付机构的企业信用,法律保障机制上远低于商业银行货币,一旦支付机构出现经营风险或信用风险,将可能导致支付账户余额不能回兑为商业银行货币。只有将商户的收入资金全部结算至其银行结算账户,体现为商户可自由支取的商业银行货币,才能充分保障商户对其收入资金的实际控制权和财产权益。
2.明晰资金流向,防范违法犯罪活动。如果支付账户同时具有收付款功能,则支付账户之间的收付款交易完全脱离了强实名认证的银行账户体系,在支付机构内部形成了资金转移的“黑箱”。由于目前支付账户客户身份识别、交易真实性等方面存在薄弱环节,难以透过“黑箱”跟踪和监管洗钱、非法跨境转移资金等违法犯罪行为,因此,《办法》规定支付机构只能将网络商户收入的资金结算至其制指定的银行账户,即支付账户的每笔交易均与强实名制的银行账户相对应,打破了支付机构内部支付账户之间资金转移“黑箱”运行的封闭模式,有利于监测资金流向、提升监管成效、防范风险。
3.有利于备付金管理。支付账户收款资金强制结算至银行账户,有利于减少客户备付金的沉淀,降低备付金管理风险。
4.保持监管的一致性。《支付机构预付卡业务管理办法》、《银行卡收单业务管理办法》均规定商户应以银行结算账户作为收款账户,《办法》相关规定与预付卡、银行卡业务的商户收款结算的规定保持一致,有利于平衡产业发展,减少监管套利。
此外,考虑到目前一些消费者已习惯通过支付账户进行个人间的如“AA收款”等类似无交易背景的小额转账业务,如果禁止个人支付账户之间的小额资金转入、转出功能,可能给消费者带来操作上的不便。因此,《办法》适度把握监管的灵活性,允许个人客户的支付账户在交易付款之外,还同时具备小额转账转出和转账收款功能,但单位客户的支付账户则严禁无交易背景的转账功能。并针对个人支付账户转账业务,提出转账单笔金额不得超过1000元、同一个人客户所有支付账户转账年累计金额不得超过1万元,以及转入资金只能用于消费和转账转出、不得回提银行账户等管理要求。在交易限额、资金流向双重管理下,个人支付账户之间无交易背景的转账业务主要应用于小额、便民,业务风险可控。
(四)关于网络支付业务类型细分管理。为便于管理,《办法》根据网络支付业务交易资金流向或用途,将支付机构网络支付业务交易类型细分为充值、消费和转账等。
充值是指客户将本人同名银行借记账户或同一支付机构发行的预付卡中资金转入本人支付账户。充值业务强调支付账户资金来源于同名银行借记账户,以确保银行账户至支付账户全部为同一单位或个人的资金流入,明晰支付账户资金流入路径。为了避免信用卡套现、信用卡透支购买金融产品等问题,并且考虑到支付宝、财付通等大型支付机构已于《办法》公开征求意见后停止了信用卡向支付账户充值业务,且客户接受度、风险控制效果均较好,《办法》继续坚持了征求意见稿中支付账户的资金不得来源于信用卡的规定。支付账户未用充值资金退回时,应转回原银行账户或原预付卡。
消费是指客户因商品或服务购买、税费缴纳、信用卡还款、购买特定金融产品等电子商务交易活动,将付款人的银行账户或支付账户资金划转至网络特约商户的银行账户。因交易取消(撤销)、退货、交易不成功等原因需退款的,退回款项应转回原银行账户或支付账户。立足支付账户小额、便民功能特性,基于审慎性原则,《办法》规定了个人客户支付账户单笔消费金额不得超过5000元、同一个人客户所有支付账户月累计消费金额不得超过1万元的限额管理;超
过限额的,应通过银行账户办理,力求平衡支付的便捷性和安全性。
转账是指个人客户支付账户间无电子商务交易背景的资金划转。基于支付机构小额、便民的业务定位,及无交易背景的转账业务容易被不法分子所利用的特点,《办法》对转账业务做出了较为谨慎的控制,规定个人客户的支付账户可用于转账转出和转账收款,但须遵守限额管理、资金流向管理等规定,单位客户的支付账户则不得用于转账业务,只能用于电子商务交易付款。
(五)关于网络支付不得为付款人和实体特约商户之间的交易提供服务的问题。《办法》这一规定是基于市场定位明晰业务内涵与监管边界、平衡产业发展的考虑。目前,银行卡、预付卡在线下实体特约商户的使用与受理等相关业务的监管框架、市场规则已经基本成熟,且已形成了一套安全标准严密、业务规则完整的监管体系,市场运作也相对规范。如果支付机构基于付款人关联的银行账户或支付账户为实体特约商户提供支付服务,应当与商业银行一样适用现有线下支付工具的监管规定和金融安全标准,以保持支付机构与商业银行的支付监管标准的一致性,减少监管套利,避免支付机构网络支付业务对线下支付服务市场造成业务及监管的混乱,对线下非现金支付工具的安全造成冲击。鉴于以上考虑,《办法》将网络支付业务限定于为付款人和网络特约
商户之间的电子商务交易的支付活动,体现了支付机构从事相关业务、应当取得相应的业务资质、并与商业银行适用相同的业务规则的对等监管理念,这也是尊重现实、鼓励创新、防范风险和协作共赢原则的具体体现,有利于支付机构的业务规范与支付市场的长远发展。
(六)关于支付账户实名制的管理要求。《办法》对支付机构落实支付账户实名制提出了具体要求:
一是规定支付账户实名制。为贯彻落实“了解你的客户”原则,《办法》规定支付账户的开立实行实名制,支付机构对客户身份信息的真实性负责。支付机构为单位客户与个人客户开立支付账户时,均应对客户基本身份信息的真实性进行识别与审核,登记客户身份信息,并按规定留存客户有效身份证件或者身份证明文件的复印件或影印件。
二是规定支付账户发生充值业务时,资金必须来自同名银行账户,以及网络商户收款的资金结算必须为其本人指定的同名银行账户。通过银行账户与支付账户的交叉验证不仅是落实支付账户实名制的重要措施,还能通过银行账户体系与支付账户体系的对应和连接实现对资金流动的监控,防范支付账户和网络支付业务被滥用。
(七)关于支付机构向客户的开户银行发送支付指令,扣划客户银行账户资金业务的管理要求。为保障客户合法权益,针对目前支付机构扣划客户银行账户资金存在的风险漏
洞,《办法》提出针对性风险管理要求。规定支付机构、客户及其开户银行应事先或在首笔交易时,签订三方协议或两两协议,明确客户身份识别和交易验证的方式,以切实防范支付风险,保障客户权益。具体如下:
1.支付机构应取得客户及其开户银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金;应为客户提供后续交易验证由银行完成的优先选择权,确因业务需要,客户自愿授权并与支付机构和银行约定后续交易由支付机构代为验证的,支付机构应确保验证手段和渠道的安全性,设臵单笔、日累计交易限额,并承担由此所导致的客户信息泄露和资金被盗用风险;应配合客户及银行为控制交易风险而采取的必要措施和手段。
2.银行应最晚于首笔交易时与客户签订协议,明确客户授权支付机构向银行发送的支付指令的交易验证主体、验证手段和渠道;依法履行客户身份识别义务,至少对客户首笔业务进行身份识别和交易验证。
(八)关于客户权益保护的问题。为保障客户合法权益,《办法》结合网络支付业务特点,在维护客户权益方面做出了明确规定。一是在结算最终性方面,要求网络特约商户将电子商务交易收款资金直接结算至本人同名银行账户,确保商户对其资金具有实际控制权。二是在知情权方面,明确规定了支付机构应当向客户公示的信息、章程或协议所包括具
体内容等信息披露和告知义务。。三是在选择权方面,要求支付机构应充分尊重客户意愿,不得干涉或变相干涉客户办理业务的优先选择权利。四是在信息安全方面,要求建立严格的客户信息存储、访问、使用及销毁管理机制,完善信息安全技术防范措施,明确了泄漏客户信息的处罚规定。五是在欺诈损失赔偿方面,要求支付机构建立风险准备金和赔付机制。
(九)关于网络支付风险与安全管理。依托网络作为支付交易信息的传输通道,不可避免地面临网络病毒、信息窃取、信息篡改、网络钓鱼、网络异常中断等各种安全威胁。为保障网络支付业务中客户信息安全和交易安全,《办法》明确支付机构开展网络支付业务应符合国家和金融行业技术标准和相关信息安全管理要求; 要制定业务连续性计划和应急计划,保证网络支付业务处理系统的安全性,以及支付信息的完整性、可靠性、安全性;要求支付机构针对网络支付业务制定风险管理制度,规范客户身份信息与交易验证的流程,建立交易监测系统,完善风险管理体系,并对客户进行必要的认知教育和安全指导;明确支付机构对支付信息的保管责任,不得存储银行交易密码和银行卡片验证码,须以加密形式存储银行卡的卡号和有效期;采用电子签名方式进行客户身份认证和支付交易授权的,应由合法的第三方认证机构提供认证服务。