12月28日消息,人民银行今日公告发布《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号,以下简称《办法》),于2016年7月1日起施行。《办法》从起草到发布,经过多次公开征求意见,引发了社会各方的广泛讨论,经历几载,最终尘埃落定,对在新形势下我国新兴支付市场的发展具有重要意义。
十六条干货,帮你读懂央行最严网络支付新规
1、第三方支付机构定位为主要服务电子商务发展和为社会提供小额、快捷、便民小微支付,基于客户的银行账户或支付账户提供网络支付服务。第三方支付只能选择辅助银行,或服务于电商和小额支付。
2、第三方支付机构提供基于客户银行账户的支付服务(包括银行网关支付、银行卡快捷支付等)时,受银行卡相关业务和行业规范监管。第三方支付机构提供基于支付账户的支付服务时,受本办法约束。两种支付机理,两套监管框架,做到无缝隙、无真空。
3、支付账户是指第三方支付机构根据客户的真实意愿为其开立的,用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细的电子簿记。支付账户不得透支,不得出借、出租、出售,更不得从事洗钱等非法活动。
4、支付账户不同于客户的银行存款账户,虽然所有权属于客户,但不是以客户名义而是以第三方支付机构名义存放在银行,不受存款保险制度保护。
5、支付账户实行实名制管理,不得开立匿名、假名支付账户。支付机构需要留存客户身份证复印件或影印件,并有责任及时、持续更新客户信息。
6、第三方支付机构不得为金融机构,以及从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构开立支付账户,但可以基于其银行账户提供资金收付服务。
7、第三方支付机构开展银行卡快捷支付业务,单笔金额低于200元(含),以及公共事业缴费、税费缴纳、信用卡还款等收款人固定或定期发生的支付业务,只需要在事先或首笔交易时与客户、银行签署授权协议,之后可代替银行进行交易验证。其他快捷支付仍需银行进行验证。
8、个人在一家支付机构开立的全部支付账户必须进行关联,个人的支付账户分为Ⅰ、Ⅱ、Ⅲ三类。Ⅰ类账户开立可以不用面签,但至少需要通过一项身份验证,其余额付款限额只有累计1000元(包括向本人银行卡转账)。Ⅱ类账户开立需要面签或通过三个以上身份验证,余额支付限额年累计10万元(不包括向本人银行卡转账)。Ⅲ类账户开立需要面签或通过五个以上身份验证,余额支付限额年累计20万元(不包括向本人银行卡转账),可以进行投资理财。
9、身份验证渠道包括公安、社保、民政、住建、交通、工商、教育、财税等政府部门,以及银行、保险、证券、铁路、航空、电力、自来水、燃气、征信机构和移动运营商等数据库或系统。验证工作应由第三方支付机构负责和承担,而不是客户本人。
10、支付验证方法可以是静态密码、数字证书、电子签名、短信动态验证码或指纹等生理特征验证,第三方支付机构必须妥善保管,防止损坏和泄露等。
11、采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易,单日累计限额由支付机构与客户自主约定。采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易,单日累计限额不超过5000元。不足两类要素的,单日累计限额不超过1000元,此类交易如发生支付损失由支付机构全额承担。允许符合条件的支付机构适度提高交易限额。
12、根据企业资质,风险管控特别是客户备付金管理等因素,将第三方支付机构分为A、B、C三类。A类且Ⅱ类和Ⅲ类支付账户实名比例超过95%的支付机构,允许其采用经央行认可的其他方式核实客户身份,其支付账户和非同名银行账户之间可以相互转账,单日支付限额可以由5000元提高至1万元,可以替银行验证快捷支付验证,符合条件的电商平台在其开立的支付账户可参照单位客户管理。B类以上且Ⅱ类和Ⅲ类支付账户实名比例超过90%的支付机构,单日支付限额可以由5000元提高至7500元。C类或实名制落实不好的支付机构,需增加每年公开披露相关信息的内容和频率,并加强监管和检查。
13、向支付账户充值、从支付账户提现,只能使用本人同名银行账户。部分高级别支付机构的高级别支付账户除外。
14、因交易取消(撤销)、退货、交易不成功或者投资赎回等原因需划回资金的,相应款项应划回原付款账户,保证交易的可追溯性和原路返回规定。
15、支付机构以“最小化”原则采集、使用、存储和传输客户信息,不得存储客户银行卡的磁道或芯片信息及有效期,确保客户的信息安全与隐私保护。
16、单位客户单笔超过5万元的转账业务,需要明确说明付款用途和事由。