支付機(jī)構(gòu)采用一次性密碼作為驗證要素的�����,應(yīng)當(dāng)切實防范一次性密碼獲取端與支付指令發(fā)起端為相同物理設(shè)備而帶來的風(fēng)險���,并將一次性密碼有效期嚴(yán)格限制在最短的必要時間內(nèi)。
支付機(jī)構(gòu)采用客戶本人生理特征作為驗證要素的�,應(yīng)通過符合相關(guān)技術(shù)安全標(biāo)準(zhǔn)、具有數(shù)據(jù)安全存儲和運(yùn)算能力的硬件載體進(jìn)行保護(hù)���,防止被非法存儲�����、復(fù)制或重放���。
第三十條 支付機(jī)構(gòu)應(yīng)當(dāng)每年對交易和信息安全管理制度����、業(yè)務(wù)處理系統(tǒng)����、交易監(jiān)測系統(tǒng)等風(fēng)險防控機(jī)制開展全面評估。評估應(yīng)由不以任何方式參與網(wǎng)絡(luò)支付服務(wù)開發(fā)或者運(yùn)營的專業(yè)人員進(jìn)行�。評估報告應(yīng)于每年1月31日前在網(wǎng)站對外公告。
第三十一條 支付機(jī)構(gòu)應(yīng)當(dāng)限制客戶嘗試登陸或者識別身份的次數(shù)���,制定客戶訪問超時規(guī)則,設(shè)置身份識別時限���。
第三十二條 支付機(jī)構(gòu)應(yīng)當(dāng)制定突發(fā)事件應(yīng)急預(yù)案���,建立災(zāi)備系統(tǒng),保障業(yè)務(wù)連續(xù)性和系統(tǒng)安全性���。
第三十三條 支付機(jī)構(gòu)應(yīng)當(dāng)充分尊重客戶自主選擇權(quán)�����,不得強(qiáng)迫客戶使用本機(jī)構(gòu)提供的網(wǎng)絡(luò)支付服務(wù)���,也不得阻礙客戶使用其他機(jī)構(gòu)提供的網(wǎng)絡(luò)支付服務(wù)����。
支付機(jī)構(gòu)應(yīng)當(dāng)公平展示客戶可選用的各種資金收付方式�����,不得以任何形式誘導(dǎo)����、強(qiáng)迫客戶開立支付賬戶或者通過支付賬戶辦理資金收付,不得附加不合理的交易條件����。
支付機(jī)構(gòu)應(yīng)當(dāng)根據(jù)客戶意愿辦理網(wǎng)絡(luò)支付服務(wù)或者支付賬戶功能的暫停、禁用或者注銷�。
第三十四條 支付機(jī)構(gòu)應(yīng)當(dāng)參照《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》(銀發(fā)〔2011〕17號)有關(guān)規(guī)定制定有效的客戶信息保護(hù)措施和風(fēng)險控制機(jī)制,切實履行客戶信息保護(hù)責(zé)任���。
第三十五條 支付機(jī)構(gòu)應(yīng)當(dāng)以“最小化”原則采集��、使用�����、存儲和傳輸客戶信息��,并告知客戶相關(guān)信息的使用目的和范圍�。支付機(jī)構(gòu)不得向本機(jī)構(gòu)以外的其他機(jī)構(gòu)和個人提供客戶信息,因辦理支付業(yè)務(wù)需要并經(jīng)客戶逐項確認(rèn)并授權(quán)的�,以及法律法規(guī)另有規(guī)定的除外。
支付機(jī)構(gòu)不得存儲客戶銀行賬戶密碼�����、銀行卡驗證碼和有效期等敏感信息��。因特殊業(yè)務(wù)需要����,支付機(jī)構(gòu)確需存儲客戶銀行卡有效期的����,應(yīng)當(dāng)取得客戶和開戶銀行的授權(quán),以加密形式存儲。
第三十六條 支付機(jī)構(gòu)應(yīng)當(dāng)通過協(xié)議約定禁止特約商戶存儲客戶賬戶密碼��、銀行卡驗證碼和有效期等敏感信息����,并采取定期檢查、技術(shù)監(jiān)測等必要監(jiān)督措施�����。
特約商戶違反協(xié)議約定存儲上述敏感信息的��,支付機(jī)構(gòu)應(yīng)當(dāng)立即暫?���;蛘呓K止為其提供網(wǎng)絡(luò)支付服務(wù),采取有效措施刪除敏感信息����、防止信息泄露,并承擔(dān)因相關(guān)信息泄露造成的損失和責(zé)任�。
第三十七條 支付機(jī)構(gòu)應(yīng)當(dāng)建立健全風(fēng)險準(zhǔn)備金制度和交易賠付制度,并對不能有效證明因客戶原因?qū)е碌馁Y金損失使用風(fēng)險準(zhǔn)備金先行全額賠付���,保障客戶合法權(quán)益�����。
支付機(jī)構(gòu)應(yīng)在年度監(jiān)管報告中如實反映客戶風(fēng)險損失���、客戶損失賠付��、風(fēng)險準(zhǔn)備金計提��、風(fēng)險準(zhǔn)備金使用和風(fēng)險準(zhǔn)備金結(jié)余等情況����。
第三十八條 支付機(jī)構(gòu)應(yīng)當(dāng)向客戶充分提示網(wǎng)絡(luò)支付業(yè)務(wù)的潛在風(fēng)險�,及時揭示不法分子新型作案手段,對客戶進(jìn)行必要的安全教育���,并對高風(fēng)險業(yè)務(wù)在操作前���、操作中進(jìn)行風(fēng)險警示。
支付機(jī)構(gòu)應(yīng)當(dāng)于每年1月31日前����,將前一年度發(fā)生的風(fēng)險事件�����、客戶風(fēng)險損失、客戶損失賠付等情況在網(wǎng)站對外公告��。
第三十九條 支付機(jī)構(gòu)為客戶購買投資理財產(chǎn)品或服務(wù)提供網(wǎng)絡(luò)支付服務(wù)的����,應(yīng)當(dāng)確保相關(guān)產(chǎn)品或者服務(wù)提供方為取得相應(yīng)經(jīng)營資質(zhì)并依法開展業(yè)務(wù)的機(jī)構(gòu),并充分向客戶提示潛在風(fēng)險�����。
第四十條 支付機(jī)構(gòu)應(yīng)當(dāng)采取有效措施����,確保客戶在執(zhí)行支付指令前可對資金收付賬戶��、交易金額等交易信息進(jìn)行確認(rèn)����,并在支付指令完成后及時將結(jié)果通知客戶。
因交易超時����、無響應(yīng)或者系統(tǒng)故障導(dǎo)致支付指令無法正常處理的���,支付機(jī)構(gòu)應(yīng)當(dāng)及時提示客戶;因客戶原因造成支付指令未執(zhí)行����、未適當(dāng)執(zhí)行、延遲執(zhí)行的�����,支付機(jī)構(gòu)應(yīng)當(dāng)主動通知客戶更改或者協(xié)助客戶采取補(bǔ)救措施�。
第四十一條 支付機(jī)構(gòu)應(yīng)當(dāng)建立健全網(wǎng)絡(luò)支付業(yè)務(wù)差錯爭議和糾紛投訴處理制度,向客戶公告相關(guān)受理機(jī)制和流程��,并配備專業(yè)部門和人員��,據(jù)實��、準(zhǔn)確��、及時處理交易差錯和客戶投訴�。
第四十二條 支付機(jī)構(gòu)應(yīng)當(dāng)通過具有合法獨立域名的網(wǎng)站、統(tǒng)一的24小時客戶服務(wù)電話等渠道����,為客戶提供網(wǎng)絡(luò)支付服務(wù)及查詢�、咨詢��、投訴等配套服務(wù)�。
支付機(jī)構(gòu)應(yīng)當(dāng)告知客戶相關(guān)服務(wù)的正確獲取途徑���,指導(dǎo)客戶有效辨識服務(wù)渠道的真實性�����,防范不法分子通過冒充支付機(jī)構(gòu)或者提供虛假服務(wù)渠道實施網(wǎng)絡(luò)欺詐����、盜用賬戶或者竊取信息�。
第四十三條 支付機(jī)構(gòu)應(yīng)當(dāng)為客戶免費提供至少最近一年以內(nèi)交易信息查詢服務(wù)。
第四十四條 支付機(jī)構(gòu)因系統(tǒng)升級���、調(diào)試等原因�����,需暫停網(wǎng)絡(luò)支付服務(wù)的�����,應(yīng)當(dāng)至少提前5個工作日予以公告����。
第四十五條 支付機(jī)構(gòu)變更協(xié)議條款、提高網(wǎng)絡(luò)支付服務(wù)收費標(biāo)準(zhǔn)或者新設(shè)收費項目的�����,應(yīng)當(dāng)于實施之前在網(wǎng)站以顯著方式連續(xù)公示30日��,并于客戶首次辦理相關(guān)業(yè)務(wù)前確認(rèn)客戶知悉且接受擬調(diào)整的全部詳細(xì)內(nèi)容���,保障客戶對相關(guān)服務(wù)的自主選擇權(quán)����。
第四十六條 支付機(jī)構(gòu)應(yīng)當(dāng)真實��、完整記錄客戶各項操作���,記錄內(nèi)容應(yīng)當(dāng)包括但不限于登錄��、支付指令驗證��、變更身份信息��、變更預(yù)留通訊號碼�����、調(diào)整業(yè)務(wù)功能�、調(diào)整交易限額�、變更資金收付方式,以及重置或者掛失密碼����、數(shù)字證書、電子簽名等����。相關(guān)記錄應(yīng)當(dāng)自操作生效之日起至少保存5年。
第四十七條 商業(yè)銀行對涉及本行銀行賬戶的相關(guān)交易提出查詢�、差錯或者投訴處理以及風(fēng)險控制等合理要求的,支付機(jī)構(gòu)應(yīng)當(dāng)積極配合并及時處理���。
第五章 監(jiān)督管理
第四十八條 中國人民銀行及其分支機(jī)構(gòu)依法對支付機(jī)構(gòu)的網(wǎng)絡(luò)支付業(yè)務(wù)活動進(jìn)行監(jiān)督和管理��。
中國人民銀行可以根據(jù)支付機(jī)構(gòu)的客戶規(guī)模��、交易規(guī)模�、風(fēng)險管理狀況等因素,指定對零售支付體系或社會公眾非現(xiàn)金支付信心產(chǎn)生重大影響的支付機(jī)構(gòu)必須聘請獨立�、合格的外部審計機(jī)構(gòu),每隔兩年定期持續(xù)審查�����、評估該支付機(jī)構(gòu)的業(yè)務(wù)合規(guī)性及其風(fēng)險管理機(jī)制的有效性����、健全性,并將審查結(jié)果同時報送中國人民銀行及其分支機(jī)構(gòu)�����。
第四十九條 支付機(jī)構(gòu)提供網(wǎng)絡(luò)支付創(chuàng)新產(chǎn)品或者服務(wù)���、決定停止提供產(chǎn)品或者服務(wù)����、調(diào)高服務(wù)收費標(biāo)準(zhǔn)或者新增收費項目����,以及與境外機(jī)構(gòu)合作在境內(nèi)開展網(wǎng)絡(luò)支付業(yè)務(wù)的,應(yīng)當(dāng)至少提前30日向中國人民銀行及其分支機(jī)構(gòu)報告。
第五十條 支付機(jī)構(gòu)發(fā)生涉嫌違法犯罪案件或者重大風(fēng)險事件的���,應(yīng)當(dāng)及時向中國人民銀行及其分支機(jī)構(gòu)報告�����。
第五十一條 支付機(jī)構(gòu)應(yīng)當(dāng)加入中國支付清算協(xié)會���,接受行業(yè)自律組織管理。
