第十二條 支付機構辦理銀行賬戶與支付賬戶之間轉賬業務的,相關銀行賬戶與支付賬戶應屬于同一客戶�。支付機構應按照與客戶的約定及時辦理支付賬戶向客戶本人銀行賬戶轉賬業務��,不得對Ⅱ類、Ⅲ類支付賬戶向客戶本人銀行賬戶轉賬設置限額�����。
第十三條 支付機構為客戶辦理本機構發行的預付卡向支付賬戶轉賬的���,應當按照《支付機構預付卡業務管理辦法》[中國人民銀行公告〔2012〕第12號公布]相關規定對預付卡轉賬至支付賬戶的余額單獨管理�����,僅限其用于消費,不得通過轉賬�����、購買投資理財等金融類產品等形式進行套現或者變相套現�����。
第十四條 支付機構應當確保交易信息的真實性��、完整性���、可追溯性以及在支付全流程中的一致性�����,不得篡改或者隱匿交易信息。交易信息包括但不限于下列內容:[一]交易渠道�、交易終端或接口類型���、交易類型�����、交易金額、交易時間��,以及直接向客戶提供商品或者服務的特約商戶名稱�、編碼和按照國家與金融行業標準設置的商戶類別碼���;[二]收付款客戶名稱���,收付款支付賬戶賬號或者銀行賬戶的開戶銀行名稱及賬號��;[三]付款客戶的身份驗證和交易授權信息���;[四]有效追溯交易的標識���;[五]單位客戶單筆超過5萬元的轉賬業務的付款用途和事由�����。
第十五條 因交易取消[撤銷]、退貨�����、交易不成功或者投資理財等金融類產品贖回等原因需劃回資金的���,相應款項應當劃回原扣款賬戶���。
第十六條 對于客戶的網絡支付業務操作行為�,支付機構應當在確認客戶身份及真實意愿后及時辦理,并在操作生效之日起至少五年內�,真實��、完整保存操作記錄。客戶操作行為包括但不限于登錄和注銷登錄���、身份識別和交易驗證、變更身份信息和聯系方式、調整業務功能��、調整交易限額��、變更資金收付方式,以及變更或掛失密碼�、數字證書�����、電子簽名等。
第四章 風險管理與客戶權益保護
第十七條 支付機構應當綜合客戶類型��、身份核實方式�、交易行為特征、資信狀況等因素�����,建立客戶風險評級管理制度和機制���,并動態調整客戶風險評級及相關風險控制措施�。支付機構應當根據客戶風險評級、交易驗證方式、交易渠道���、交易終端或接口類型、交易類型、交易金額���、交易時間��、商戶類別等因素,建立交易風險管理制度和交易監測系統,對疑似欺詐、套現�����、洗錢�����、非法融資�����、恐怖融資等交易���,及時采取調查核實��、延遲結算���、終止服務等措施��。
第十八條 支付機構應當向客戶充分提示網絡支付業務的潛在風險,及時揭示不法分子新型作案手段��,對客戶進行必要的安全教育��,并對高風險業務在操作前�����、操作中進行風險警示。支付機構為客戶購買合作機構的金融類產品提供網絡支付服務的���,應當確保合作機構為取得相應經營資質并依法開展業務的機構,并在首次購買時向客戶展示合作機構信息和產品信息���,充分提示相關責任、權利��、義務及潛在風險��,協助客戶與合作機構完成協議簽訂���。
第十九條 支付機構應當建立健全風險準備金制度和交易賠付制度��,并對不能有效證明因客戶原因導致的資金損失及時先行全額賠付,保障客戶合法權益�。支付機構應于每年1月31日前,將前一年度發生的風險事件�����、客戶風險損失發生和賠付等情況在網站對外公告��。支付機構應在年度監管報告中如實反映上述內容和風險準備金計提�、使用及結余等情況���。
第二十條 支付機構應當依照中國人民銀行有關客戶信息保護的規定�����,制定有效的客戶信息保護措施和風險控制機制�,履行客戶信息保護責任��。支付機構不得存儲客戶銀行卡的磁道信息或芯片信息��、驗證碼、密碼等敏感信息��,原則上不得存儲銀行卡有效期���。因特殊業務需要�����,支付機構確需存儲客戶銀行卡有效期的�����,應當取得客戶和開戶銀行的授權�����,以加密形式存儲�。支付機構應當以“最小化”原則采集、使用�����、存儲和傳輸客戶信息��,并告知客戶相關信息的使用目的和范圍��。支付機構不得向其他機構或個人提供客戶信息,法律法規另有規定���,以及經客戶本人逐項確認并授權的除外。
第二十一條 支付機構應當通過協議約定禁止特約商戶存儲客戶銀行卡的磁道信息或芯片信息��、驗證碼�、有效期、密碼等敏感信息�,并采取定期檢查���、技術監測等必要監督措施�。特約商戶違反協議約定存儲上述敏感信息的���,支付機構應當立即暫?��;蛘呓K止為其提供網絡支付服務��,采取有效措施刪除敏感信息���、防止信息泄露�,并依法承擔因相關信息泄露造成的損失和責任��。
第二十二條 支付機構可以組合選用下列三類要素���,對客戶使用支付賬戶余額付款的交易進行驗證:[一]僅客戶本人知悉的要素,如靜態密碼等;[二]僅客戶本人持有并特有的�����,不可復制或者不可重復利用的要素��,如經過安全認證的數字證書��、電子簽名,以及通過安全渠道生成和傳輸的一次性密碼等�����;[三]客戶本人生理特征要素���,如指紋等���。支付機構應當確保采用的要素相互獨立�����,部分要素的損壞或者泄露不應導致其他要素損壞或者泄露�����。
第二十三條 支付機構采用數字證書、電子簽名作為驗證要素的���,數字證書及生成電子簽名的過程應符合《中華人民共和國電子簽名法》、《金融電子認證規范》[JR/T0118-2015]等有關規定,確保數字證書的唯一性�、完整性及交易的不可抵賴性���。支付機構采用一次性密碼作為驗證要素的���,應當切實防范一次性密碼獲取端與支付指令發起端為相同物理設備而帶來的風險�,并將一次性密碼有效期嚴格限制在最短的必要時間內�。支付機構采用客戶本人生理特征作為驗證要素的,應當符合國家��、金融行業標準和相關信息安全管理要求�,防止被非法存儲、復制或重放�。
第二十四條 支付機構應根據交易驗證方式的安全級別�,按照下列要求對個人客戶使用支付賬戶余額付款的交易進行限額管理:[一]支付機構采用包括數字證書或電子簽名在內的兩類[含]以上有效要素進行驗證的交易�,單日累計限額由支付機構與客戶通過協議自主約定;[二]支付機構采用不包括數字證書��、電子簽名在內的兩類[含]以上有效要素進行驗證的交易�����,單個客戶所有支付賬戶單日累計金額應不超過5000元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬]��;[三]支付機構采用不足兩類有效要素進行驗證的交易,單個客戶所有支付賬戶單日累計金額應不超過1000元[不包括支付賬戶向客戶本人同名銀行賬戶轉賬]�,且支付機構應當承諾無條件全額承擔此類交易的風險損失賠付責任�。
第二十五條 支付機構網絡支付業務相關系統設施和技術��,應當持續符合國家�����、金融行業標準和相關信息安全管理要求。如未符合相關標準和要求�����,或者尚未形成國家�、金融行業標準,支付機構應當無條件全額承擔客戶直接風險損失的先行賠付責任�。
第二十六條 支付機構應當在境內擁有安全���、規范的網絡支付業務處理系統及其備份系統�����,制定突發事件應急預案���,保障系統安全性和業務連續性���。支付機構為境內交易提供服務的��,應當通過境內業務處理系統完成交易處理��,并在境內完成資金結算。
