支付機(jī)構(gòu)采用一次性密碼作為驗(yàn)證要素的，應(yīng)當(dāng)切實(shí)防范一次性密碼獲取端與支付指令發(fā)起端為相同物理設(shè)備而帶來(lái)的風(fēng)險(xiǎn)，并將一次性密碼有效期嚴(yán)格限制在最短的必要時(shí)間內(nèi)。
　　支付機(jī)構(gòu)采用客戶(hù)本人生理特征作為驗(yàn)證要素的，應(yīng)通過(guò)符合相關(guān)技術(shù)安全標(biāo)準(zhǔn)、具有數(shù)據(jù)安全存儲(chǔ)和運(yùn)算能力的硬件載體進(jìn)行保護(hù)，防止被非法存儲(chǔ)、復(fù)制或重放。

第三十條 支付機(jī)構(gòu)應(yīng)當(dāng)每年對(duì)交易和信息安全管理制度、業(yè)務(wù)處理系統(tǒng)、交易監(jiān)測(cè)系統(tǒng)等風(fēng)險(xiǎn)防控機(jī)制開(kāi)展全面評(píng)估。評(píng)估應(yīng)由不以任何方式參與網(wǎng)絡(luò)支付服務(wù)開(kāi)發(fā)或者運(yùn)營(yíng)的專(zhuān)業(yè)人員進(jìn)行。評(píng)估報(bào)告應(yīng)于每年1月31日前在網(wǎng)站對(duì)外公告。
　　第三十一條 支付機(jī)構(gòu)應(yīng)當(dāng)限制客戶(hù)嘗試登陸或者識(shí)別身份的次數(shù)，制定客戶(hù)訪問(wèn)超時(shí)規(guī)則，設(shè)置身份識(shí)別時(shí)限。
　　第三十二條 支付機(jī)構(gòu)應(yīng)當(dāng)制定突發(fā)事件應(yīng)急預(yù)案，建立災(zāi)備系統(tǒng)，保障業(yè)務(wù)連續(xù)性和系統(tǒng)安全性。

第三十三條 支付機(jī)構(gòu)應(yīng)當(dāng)充分尊重客戶(hù)自主選擇權(quán)，不得強(qiáng)迫客戶(hù)使用本機(jī)構(gòu)提供的網(wǎng)絡(luò)支付服務(wù)，也不得阻礙客戶(hù)使用其他機(jī)構(gòu)提供的網(wǎng)絡(luò)支付服務(wù)。
　　支付機(jī)構(gòu)應(yīng)當(dāng)公平展示客戶(hù)可選用的各種資金收付方式，不得以任何形式誘導(dǎo)、強(qiáng)迫客戶(hù)開(kāi)立支付賬戶(hù)或者通過(guò)支付賬戶(hù)辦理資金收付，不得附加不合理的交易條件。
　　支付機(jī)構(gòu)應(yīng)當(dāng)根據(jù)客戶(hù)意愿辦理網(wǎng)絡(luò)支付服務(wù)或者支付賬戶(hù)功能的暫停、禁用或者注銷(xiāo)。

第三十四條 支付機(jī)構(gòu)應(yīng)當(dāng)參照《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》(銀發(fā)〔2011〕17號(hào))有關(guān)規(guī)定制定有效的客戶(hù)信息保護(hù)措施和風(fēng)險(xiǎn)控制機(jī)制，切實(shí)履行客戶(hù)信息保護(hù)責(zé)任。

第三十五條 支付機(jī)構(gòu)應(yīng)當(dāng)以“最小化”原則采集、使用、存儲(chǔ)和傳輸客戶(hù)信息，并告知客戶(hù)相關(guān)信息的使用目的和范圍。支付機(jī)構(gòu)不得向本機(jī)構(gòu)以外的其他機(jī)構(gòu)和個(gè)人提供客戶(hù)信息，因辦理支付業(yè)務(wù)需要并經(jīng)客戶(hù)逐項(xiàng)確認(rèn)并授權(quán)的，以及法律法規(guī)另有規(guī)定的除外。
　　支付機(jī)構(gòu)不得存儲(chǔ)客戶(hù)銀行賬戶(hù)密碼、銀行卡驗(yàn)證碼和有效期等敏感信息。因特殊業(yè)務(wù)需要，支付機(jī)構(gòu)確需存儲(chǔ)客戶(hù)銀行卡有效期的，應(yīng)當(dāng)取得客戶(hù)和開(kāi)戶(hù)銀行的授權(quán)，以加密形式存儲(chǔ)。

第三十六條 支付機(jī)構(gòu)應(yīng)當(dāng)通過(guò)協(xié)議約定禁止特約商戶(hù)存儲(chǔ)客戶(hù)賬戶(hù)密碼、銀行卡驗(yàn)證碼和有效期等敏感信息，并采取定期檢查、技術(shù)監(jiān)測(cè)等必要監(jiān)督措施。
　　特約商戶(hù)違反協(xié)議約定存儲(chǔ)上述敏感信息的，支付機(jī)構(gòu)應(yīng)當(dāng)立即暫停或者終止為其提供網(wǎng)絡(luò)支付服務(wù)，采取有效措施刪除敏感信息、防止信息泄露，并承擔(dān)因相關(guān)信息泄露造成的損失和責(zé)任。

第三十七條 支付機(jī)構(gòu)應(yīng)當(dāng)建立健全風(fēng)險(xiǎn)準(zhǔn)備金制度和交易賠付制度，并對(duì)不能有效證明因客戶(hù)原因?qū)е碌馁Y金損失使用風(fēng)險(xiǎn)準(zhǔn)備金先行全額賠付，保障客戶(hù)合法權(quán)益。
　　支付機(jī)構(gòu)應(yīng)在年度監(jiān)管報(bào)告中如實(shí)反映客戶(hù)風(fēng)險(xiǎn)損失、客戶(hù)損失賠付、風(fēng)險(xiǎn)準(zhǔn)備金計(jì)提、風(fēng)險(xiǎn)準(zhǔn)備金使用和風(fēng)險(xiǎn)準(zhǔn)備金結(jié)余等情況。

第三十八條 支付機(jī)構(gòu)應(yīng)當(dāng)向客戶(hù)充分提示網(wǎng)絡(luò)支付業(yè)務(wù)的潛在風(fēng)險(xiǎn)，及時(shí)揭示不法分子新型作案手段，對(duì)客戶(hù)進(jìn)行必要的安全教育，并對(duì)高風(fēng)險(xiǎn)業(yè)務(wù)在操作前、操作中進(jìn)行風(fēng)險(xiǎn)警示。
　　支付機(jī)構(gòu)應(yīng)當(dāng)于每年1月31日前，將前一年度發(fā)生的風(fēng)險(xiǎn)事件、客戶(hù)風(fēng)險(xiǎn)損失、客戶(hù)損失賠付等情況在網(wǎng)站對(duì)外公告。

第三十九條 支付機(jī)構(gòu)為客戶(hù)購(gòu)買(mǎi)投資理財(cái)產(chǎn)品或服務(wù)提供網(wǎng)絡(luò)支付服務(wù)的，應(yīng)當(dāng)確保相關(guān)產(chǎn)品或者服務(wù)提供方為取得相應(yīng)經(jīng)營(yíng)資質(zhì)并依法開(kāi)展業(yè)務(wù)的機(jī)構(gòu)，并充分向客戶(hù)提示潛在風(fēng)險(xiǎn)。
　　第四十條 支付機(jī)構(gòu)應(yīng)當(dāng)采取有效措施，確保客戶(hù)在執(zhí)行支付指令前可對(duì)資金收付賬戶(hù)、交易金額等交易信息進(jìn)行確認(rèn)，并在支付指令完成后及時(shí)將結(jié)果通知客戶(hù)。
　　因交易超時(shí)、無(wú)響應(yīng)或者系統(tǒng)故障導(dǎo)致支付指令無(wú)法正常處理的，支付機(jī)構(gòu)應(yīng)當(dāng)及時(shí)提示客戶(hù)；因客戶(hù)原因造成支付指令未執(zhí)行、未適當(dāng)執(zhí)行、延遲執(zhí)行的，支付機(jī)構(gòu)應(yīng)當(dāng)主動(dòng)通知客戶(hù)更改或者協(xié)助客戶(hù)采取補(bǔ)救措施。

第四十一條 支付機(jī)構(gòu)應(yīng)當(dāng)建立健全網(wǎng)絡(luò)支付業(yè)務(wù)差錯(cuò)爭(zhēng)議和糾紛投訴處理制度，向客戶(hù)公告相關(guān)受理機(jī)制和流程，并配備專(zhuān)業(yè)部門(mén)和人員，據(jù)實(shí)、準(zhǔn)確、及時(shí)處理交易差錯(cuò)和客戶(hù)投訴。

第四十二條 支付機(jī)構(gòu)應(yīng)當(dāng)通過(guò)具有合法獨(dú)立域名的網(wǎng)站、統(tǒng)一的24小時(shí)客戶(hù)服務(wù)電話等渠道，為客戶(hù)提供網(wǎng)絡(luò)支付服務(wù)及查詢(xún)、咨詢(xún)、投訴等配套服務(wù)。
　　支付機(jī)構(gòu)應(yīng)當(dāng)告知客戶(hù)相關(guān)服務(wù)的正確獲取途徑，指導(dǎo)客戶(hù)有效辨識(shí)服務(wù)渠道的真實(shí)性，防范不法分子通過(guò)冒充支付機(jī)構(gòu)或者提供虛假服務(wù)渠道實(shí)施網(wǎng)絡(luò)欺詐、盜用賬戶(hù)或者竊取信息。

第四十三條 支付機(jī)構(gòu)應(yīng)當(dāng)為客戶(hù)免費(fèi)提供至少最近一年以?xún)?nèi)交易信息查詢(xún)服務(wù)。
　　第四十四條 支付機(jī)構(gòu)因系統(tǒng)升級(jí)、調(diào)試等原因，需暫停網(wǎng)絡(luò)支付服務(wù)的，應(yīng)當(dāng)至少提前5個(gè)工作日予以公告。

第四十五條 支付機(jī)構(gòu)變更協(xié)議條款、提高網(wǎng)絡(luò)支付服務(wù)收費(fèi)標(biāo)準(zhǔn)或者新設(shè)收費(fèi)項(xiàng)目的，應(yīng)當(dāng)于實(shí)施之前在網(wǎng)站以顯著方式連續(xù)公示30日，并于客戶(hù)首次辦理相關(guān)業(yè)務(wù)前確認(rèn)客戶(hù)知悉且接受擬調(diào)整的全部詳細(xì)內(nèi)容，保障客戶(hù)對(duì)相關(guān)服務(wù)的自主選擇權(quán)。
　　第四十六條 支付機(jī)構(gòu)應(yīng)當(dāng)真實(shí)、完整記錄客戶(hù)各項(xiàng)操作，記錄內(nèi)容應(yīng)當(dāng)包括但不限于登錄、支付指令驗(yàn)證、變更身份信息、變更預(yù)留通訊號(hào)碼、調(diào)整業(yè)務(wù)功能、調(diào)整交易限額、變更資金收付方式，以及重置或者掛失密碼、數(shù)字證書(shū)、電子簽名等。相關(guān)記錄應(yīng)當(dāng)自操作生效之日起至少保存5年。
　　第四十七條 商業(yè)銀行對(duì)涉及本行銀行賬戶(hù)的相關(guān)交易提出查詢(xún)、差錯(cuò)或者投訴處理以及風(fēng)險(xiǎn)控制等合理要求的，支付機(jī)構(gòu)應(yīng)當(dāng)積極配合并及時(shí)處理。

第五章 監(jiān)督管理

 　　第四十八條 中國(guó)人民銀行及其分支機(jī)構(gòu)依法對(duì)支付機(jī)構(gòu)的網(wǎng)絡(luò)支付業(yè)務(wù)活動(dòng)進(jìn)行監(jiān)督和管理。
　　中國(guó)人民銀行可以根據(jù)支付機(jī)構(gòu)的客戶(hù)規(guī)模、交易規(guī)模、風(fēng)險(xiǎn)管理狀況等因素，指定對(duì)零售支付體系或社會(huì)公眾非現(xiàn)金支付信心產(chǎn)生重大影響的支付機(jī)構(gòu)必須聘請(qǐng)獨(dú)立、合格的外部審計(jì)機(jī)構(gòu)，每隔兩年定期持續(xù)審查、評(píng)估該支付機(jī)構(gòu)的業(yè)務(wù)合規(guī)性及其風(fēng)險(xiǎn)管理機(jī)制的有效性、健全性，并將審查結(jié)果同時(shí)報(bào)送中國(guó)人民銀行及其分支機(jī)構(gòu)。

第四十九條 支付機(jī)構(gòu)提供網(wǎng)絡(luò)支付創(chuàng)新產(chǎn)品或者服務(wù)、決定停止提供產(chǎn)品或者服務(wù)、調(diào)高服務(wù)收費(fèi)標(biāo)準(zhǔn)或者新增收費(fèi)項(xiàng)目，以及與境外機(jī)構(gòu)合作在境內(nèi)開(kāi)展網(wǎng)絡(luò)支付業(yè)務(wù)的，應(yīng)當(dāng)至少提前30日向中國(guó)人民銀行及其分支機(jī)構(gòu)報(bào)告。
　　第五十條 支付機(jī)構(gòu)發(fā)生涉嫌違法犯罪案件或者重大風(fēng)險(xiǎn)事件的，應(yīng)當(dāng)及時(shí)向中國(guó)人民銀行及其分支機(jī)構(gòu)報(bào)告。

第五十一條 支付機(jī)構(gòu)應(yīng)當(dāng)加入中國(guó)支付清算協(xié)會(huì)，接受行業(yè)自律組織管理。