2019年网络支付新规新解读 专家解读网络支付新规

1. 2019年网络支付新规新解读 专家解读网络支付新规

 
  中国人民银行发布《非银行支付机构网络支付业务管理办法》(以下简称《办法》)，自7月1日起实施。《办法》明确提出支付账户实名制管理制度，同时采取支付账户分类监管方法，新规落实后，用户通过第三方支付平台的消费额度会否受限?支付账户向他人银行卡转账需要怎样的条件?快捷支付、微信红包等便捷支付方式还能否使用?
    
  　　支付账户分类管理最高级别账户能干啥?
  　　支付账户“分类管理”理念可谓贯穿《办法》始终，对验证级别越高的账户给予越多的功能。Ⅰ类账户只需要1个外部渠道验证客户身份信息(例如联网核查居民身份证信息)，账户余额可以用于消费和转账，主要适用于客户小额、临时支付，身份验证简单快捷。
  　　Ⅱ类和Ⅲ类账户的客户实名验证强度相对较高，均具有消费和转账的功能，而限额较Ⅰ类账户有明显提升。鉴于投资理财业务的风险等级较高，《办法》规定，仅实名验证强度最高的Ⅲ类账户可以使用余额购买投资理财等金融类产品，以保障客户资金安全。
  　　也就是说，只有第三类支付账户可利用余额购买理财，而其余两类个人支付账户只可以用支付账户余额消费或者转账。值得注意的是，客户使用银行账户在平台上的付款(例如银行网关支付、银行卡快捷支付等)不受此约束。
  　　各类账户有限额用支付宝能否买iphone?
  　　《办法》规定，对于交易验证安全级别较高的支付账户“余额”付款交易，支付机构可以与客户自主约定单日累计限额;但对于安全级别不足的支付账户“余额”付款交易，《办法》规定了单日累计限额。
  　　然而，限额也并非没有“商量”，《办法》规定，综合评级较高且实名制落实较好的支付机构单日支付限额最高可提升到现有额度的2倍，以进一步满足客户需求。
  　　此前，有网友担心限额太低，“一部iphone手机都买不了。”事实上，10万元、20万元的年累计限额，以及1000元、5000元的单日累计限额，都仅针对个人支付账户“余额”付款交易。客户通过支付机构进行银行网关支付、银行卡快捷支付，限额是由支付机构、银行和客户自主约定，不受上述限额约束。
  　　开立账户“实名制”是否需要证明“我是我”?
  　　《办法》第六条明确提出，“支付机构为客户开立支付账户的，应对客户实行实名制管理”，实名制落实的方式一个是“面对面”开立账户，客户可在I-III类账户中自主选择;而通过非面对面方式开立账户时，通过至少1个外部渠道验证身份的，开立I类账户;通过至少3个外部渠道验证身份的，开立II类账户;通过至少5个外部渠道验证身份的，开立III类账户。
  　　央行官方发布的解读显示，3个外部验证渠道可以分别为身份证、手机和银行卡，从目前第三方支付平台的现有客户验证手段来看，普通用户是符合这些条件的，如对理财功能和账户额度无特别需求，现有客户完全可以不用再进行其他验证。
  　　而针对III类账户开设的附加外部交叉验证渠道，并非要客户本人来证明“我是我”，而是在客户提供相关身份信息后，由第三方支付机构与公安、社保、民政、工商、交通等单位开展合作，去验证客户身份信息的真实性证明“你是谁”。
  　　央行官方微博在解读中指出，如果没有上述验证信息，仍可通过再添加2张银行卡的方式获得账户升级。
  　　规范转账业务支付账户能否向他人银行卡转账?
  　　此前有媒体报道称，《办法》对支付平台上的转账业务进行了限制，第三方支付平台上的免费自由转账时代即将终结。
  　　然而，央行有关负责人在答记者问时明确表示，“没有对支付机构办理银行账户与银行账户之间的转账业务进行额外限制，而是由支付机构、银行和客户以市场化原则自主协商开展此类业务，并自主约定交易限额等管理措施。”
  　　中新网记者发现，转账业务可分为三类：支付账户间的转账、银行账户间的转战和支付账户与银行账户间的转账。支付账户间和银行账户间在支付平台上的转账均不受同名限制，支付账户与银行账户间的转账则要求必须同名。
  　　而针对此项限制，《办法》也给出了回旋余地，并非“不能商量”。具体到能否把支付账户余额转至他人银行卡取决于支付机构的评级。新规指出，如果支付机构评定为A类且II类、III类支付账户实名制比例达到95%以上，支付账户余额即可以提至他人银行卡，他人银行卡也可向支付账户余额充值。
  　　微信发红包受限零钱发红包累计不能超1000元?
  　　《办法》规定，只通过一个外部渠道开立的Ⅰ类支付账户，账户余额可用于消费和转账，但限额仅有1000元。通过至少三个外部渠道验证身份，才能成为II类账户。
  　　从目前微信认证的情况来看，一般用户只有银行卡和手机号2种验证方式，因此仅能归类为I类支付账户，根据新规，余额付款交易自账户开立起累计不超过1000元。
  　　由此来看，用户仍可通过微信收发红包，但使用“微信零钱”发红包的金额累计不能超过1000元，如果还想继续用零钱发红包需要额外追加身份验证成为II类、III类账户。
  　　不过，《办法》要自7月1日起才实施，今年春节发红包暂时无须按照新规执行。
  　　此外，新规对于快捷支付的影响也受到网友们的关注。央行在解读中表示，快捷支付仍可正常使用，《办法》规定，快捷支付开通时，银行和支付机构必须都取得客户授权，才能扣除客户银行卡上的钱。在交易操作上，快捷支付并没有变复杂，取得授权后，用户只要通过商业银行或者支付机构的验证就可完成支付。
  

2. 2019年网络支付新规7月1日起正式实施

 
  据了解，7月1日，《非银行支付机构网络支付业务管理办法》将正式生效。该办法采取分类评级、差异化的新监管思路，在保障用户安全的同时，也力求满足行业创新需求，从而维护行业良好的发展环境。
  　　支付平台提醒用户完善个人信息
      
  　　“在个人信息一栏中有‘待认证’字样，点开后提示我去进行身份信息认证。”市民吕先生发现微信理财通的个人信息开始进行实名认证了，按要求填写并上传相关信息即可验证。记者发现，随着央行《非银行支付机构网络支付业务管理办法》即将落地，支付宝、微信支付等纷纷对用户账户进行升级认证提醒。
  　　“自4月11日起，理财通会通过网站提示和指引协助您完成帐户信息完善及升级，因此，为保证您享受到更为全面、安全的服务，特此温馨提醒：如您的账户信息不完整，建议您于7月1日前尽快完善。”该理财平台方面表示，此举可以防范支付风险，保护当事人合法权益。
  　　微信支付方面也发出通知提醒：“4月15日起，对于需要完善信息的用户，在使用微信支付时，系统将逐步进行提示和引导，以帮助用户完善账户信息。用户可根据引导，填写姓名、身份证号码或添加关联银行卡来完善账户信息。暂未受到引导的用户，可通过绑定银行卡的方式完善账户信息。”
  　　根据新规，届时信息不完善的用户有些功能就会受到限制，账户受到一定影响。记者了解到，目前没有进行实名认证的市民不在少数，因此新规对用户影响很大。不过有部分市民表示不太愿意进行实名认证，主要担心个人信息安全问题。
  　　ⅱ类和ⅲ类账户实名认证强度高
  　　根据《非银行支付机构网络支付业务管理办法》规定，支付机构根据客户身份认证情况将个人网络支付账户分为三类，其中，仅实名认证强度最高的iii类账户可以使用余额购买金融类产品。
  　　i类账户只需要一个外部渠道验证客户身份信息，账户余额仅可用于消费和转账，余额付款交易自账户开立起累计不超过1000元。ii类账户需要至少通过三个合法安全的外部渠道验证客户身份信息，账户余额仅可用于消费和转账，其所有支付账户的余额付款交易年累计不超过10万元。iii类账户通过至少五个外部渠道验证客户身份信息，账户余额可以用于消费、转账以及购买投资理财等金融类产品，其所有支付账户的余额付款交易年累计不超过20万元。
  　　链接
  　　哪些情况下的网络支付不受影响?
  　　①余额限额支付、快捷支付、花呗白条不受影响
  　　《办法》规定，对于交易验证安全级别较高的支付账户“余额”付款交易，支付机构可以与客户自主约定单日累计限额。但对于安全级别不足的支付账户“余额”付款交易，《办法》规定了单日累计限额。
  　　支付宝方面表示，《办法》针对网络支付的额度限制仅限于账户余额，银行卡网银支付与快捷支付不受新规影响。同时，“蚂蚁花呗”一类的支付产品，也不受余额支付限额的约束。
  　　比如，在“双11”这样的特殊节点，消费者进行大额消费时，可以用快捷支付或蚂蚁花呗进行付款，不会影响购物体验。根据代表性支付机构所提供的交易数据，全面使用支付账户“余额”付款累计5000元以下的个人客户数量占80.13%，日累计限额管理措施可以满足绝大部分客户的实际需求。
  　　此外，消费者通过支付机构进行银行网关支付、银行卡快捷支付，年累计限额、单日累计限额根据相关规定由支付机构、银行和客户自主约定，也不受上述限额约束。
  　　②淘宝卖家支付不受影响
  　　针对个人卖家这一特殊群体，《非银行支付机构网络支付业务管理办法》规定在满足一定条件的情况下，个人卖家账户可以视同单位账户管理，不受个人账户的余额付款额度限制。
  　　也就是说个体工商户和登记成企业的卖家，在落实实名制的基础上，完全不受影响，按照单位客户管理。而当网络支付平台的评级达到A类且Ⅱ类、Ⅲ类支付账户实名比例超过95%时，没有登记为个体工商户的纯个人卖家，连续经营6个月以上且期间累计收入大于20万的，可以参照单位客户管理，这些卖家也不受限额影响。
  　　经营时间在6个月以内的个人卖家，或经营时间超过6个月但期间累计收入低于20万的个人卖家，收款不受任何影响。在付款时，如果受到累计余额支付金额的限制。不过，由于还可以通过银行卡快捷支付付款，实际上受到的影响极小。
  　　③春节发微信红包暂无变化
  　　用户仍可通过微信收发红包，但使用“微信零钱”发红包的金额累计不能超过1000元，如果还想继续用零钱发红包需要额外追加身份验证成为II类、III类账户。
  　　不过，《办法》要自7月1日起才实施，今年春节发红包暂时未按照新规执行。
  

3. 2019年网络支付新规7月1日起实施

 
  近日，微博上有网友称“没实名制的支付宝不能转账了”。昨日，记者从蚂蚁金服了解到，支付宝为了配合即将于7月1日起执行的网络支付实名认证新规，在部分地区已经先行推出，而剩余没有推行的地区最迟到7月1日也将实行实名认证。据悉，去年12月发布的新规要求支付机构为客户开立支付账户的，应当对客户实行实名制管理。根据蚂蚁金服的要求，未实名注册的支付宝用户需于7月1日前补全身份信息。同时，微信支付方面也表示将会引导用户完善身份信息。
    
  　　不验证身份支付受限
  　　支付宝7月1日后必须要实名认证吗?支付宝相关负责人向记者表示，12月，央行公布了《非银行支付机构网络支付业务管理办法》，称支付机构为客户开立支付账户的，应当对客户实行实名制管理。7月1日《非银行支付机构网络支付业务管理办法》将正式施行。根据要求，支付账户将严格实行实名管理，并按照三类支付账户进行分级管理。“如果用户的身份验证情况未达到办法所规定的标准，将影响支付账户部分功能的使用。”这名负责人说。
  　　针对“个别媒体称支付宝未实名使用，资金将被冻结”的说法，这名负责人称要特别说明一下，支付宝不存在账户冻结的说法，“资金被冻结”和“无法通过账户余额进行付款”完全是两个概念。支付宝并不会冻结账户余额、余额宝。只要根据提示进一步完善身份信息后，就可以继续支配账户余额。
  　　按照《办法》的规定，将不同的用户分为不同的“支付等级”。其中Ⅰ类账户只需要一个外部渠道验证客户身份信息(例如联网核查居民身份证信息)，账户余额可以用于消费和转账，Ⅱ类账户通过至少三个外部渠道验证身份;Ⅲ类账户通过至少五个外部渠道验证身份。记者采访了解到，7月1日后，没有验证身份的用户，将无法使用支付宝和微信的转账功能。以微信为例，未在7月1日前完善账户信息的用户，钱包功能将受到一定程度影响。比如，微信“零钱”发红包将会受限。用户属于I类账户的范畴，但累计发红包的金额也不得超过1000元。
  　　验证身份有多种方式
  　　支付宝相关负责人表示，支付宝实名认证会在7月1日新规实施之前完成。为了尽量减小办法实施对用户体验的影响，支付宝已经提前通过各种方式提示和引导用户对身份信息进行补全和完善，“验证的方式有很多种，除了身份证、银行卡之外，还有手机、社保账户、缴费账户等都可以验证身份。”微信方面也表示，对实名强度未达标的用户在使用微信支付时，系统会有针对性地进行提示和引导。
  　　记者从蚂蚁金服和微信支付方面了解到，根据新规，不论大陆用户还是境外用户，都需要及时完善账户实名信息。目前支付宝已经开展对大陆用户实名制认证的引导工作，境外用户也在同步展开中。蚂蚁金服还提到，支付宝将针对性地推出配套支持措施。对于收到“需要完善身份信息才能继续使用账户余额进行付款”相关通知的用户，支付宝方面建议提交本人的港澳台回乡证或者台胞证、护照信息，并绑定两张不同银行的大陆开户的银行卡，以获得每年10万元人民币的支付宝账户余额支付额度。
  　　个人网络支付账户实行新规定
  　　“7月1日前未经实名认证的支付宝账户，账户内的资金可能会被冻结。”这一说法引发网友广泛关注。实际情况究竟如何呢?
  　　支付宝方面表示，即使未补全信息，用户账户内的资金也不会遭到冻结，但一些功能的使用有可能将在7月1日后受到限制。例如，账户的余额支付功能需要身份信息完善程度达到一定等级才能使用，但如果使用网银或者银行卡快捷支付方式付款，并不会受到影响，这主要取决于用户此前已使用哪些方式进行了身份认证。
  　　实际上，不仅仅是支付宝，所有个人网络支付账户在7月1日后都将“变脸”，这是为了落实央行的新规定。去年12月，《非银行支付机构网络支付业务管理办法》正式公布，这一办法将于今年7月1日起正式生效，其中支付机构为客户开立支付账户的，应当对客户实行实名制管理。此外将个人网络支付账户分为3类，升级账户需追加认证。从该办法的规定来看，个人网络支付账户被分成Ⅰ、Ⅱ、Ⅲ类。Ⅲ类账户需要有1个及以上外部渠道验证身份，付款限额自开设起累计1000元;Ⅱ类账户需要有3个及以上外部渠道验证身份，付款限额每年累计10万元;Ⅰ类账户需要有5个及以上外部渠道验证身份，或线下面对面开设，付款限额每年累计20万元。
  　　今年3月，支付宝发表声明称，为了配合支付新规，支付宝将在《办法》出台后正式启动相关系统升级与改造工作，并且帮助用户进行相关操作。支付宝将陆续邀请非实名用户进行账户信息完善，以完成落实实名制的要求。并表示，“目前实名验证的方式有很多种，除了身份证、银行卡之外，手机、缴费账户和社保账户等都可以作为身份验证的渠道”。
  　　为什么对个人网络支付账户实行这样的新规定呢?民生银行网络金融部专家周勇表示，这主要是从防范金融风险与保护个人用户使用安全两个角度出发。“三类账户从安全等级来说各有不同，Ⅰ类账户是全功能的银行结算账户，可存取现金、理财、转账、缴费、支付等;Ⅱ类账户即部分受限账户，不可存取现金、具有理财功能;而Ⅲ类账户仅能从事限定金额的支付与缴费业务，明确此类账户的限额为当日不超过1000元，相当于一个具有实名身份的受限支付的电子账户”。
  

4. 2019年非银行支付机构网络支付业务管理办法

 第一章　总则
  　　第一条　为规范非银行支付机构[以下简称支付机构]网络支付业务，防范支付风险，保护当事人合法权益，根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》[中国人民银行令〔2010〕第2号发布]等规定，制定本办法。
    
  　　第二条　支付机构从事网络支付业务，适用本办法。本办法所称支付机构是指依法取得《支付业务许可证》，获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。本办法所称网络支付业务，是指收款人或付款人通过计算机、移动终端等电子设备，依托公共网络信息系统远程发起支付指令，且付款人电子设备不与收款人特定专属设备交互，由支付机构为收付款人提供货币资金转移服务的活动。本办法所称收款人特定专属设备，是指专门用于交易收款，在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。
  　　第三条　支付机构应当遵循主要服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨，基于客户的银行账户或者按照本办法规定为客户开立支付账户提供网络支付服务。本办法所称支付账户，是指获得互联网支付业务许可的支付机构，根据客户的真实意愿为其开立的，用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细信息的电子簿记。支付账户不得透支，不得出借、出租、出售，不得利用支付账户从事或者协助他人从事非法活动。
  　　第四条　支付机构基于银行卡为客户提供网络支付服务的，应当执行银行卡业务相关监管规定和银行卡行业规范。支付机构对特约商户的拓展与管理、业务与风险管理应当执行《银行卡收单业务管理办法》[中国人民银行公告〔2013〕第9号公布]等相关规定。支付机构网络支付服务涉及跨境人民币结算和外汇支付的，应当执行中国人民银行、国家外汇管理局相关规定。支付机构应当依法维护当事人合法权益，遵守反洗钱和反恐怖融资相关规定，履行反洗钱和反恐怖融资义务。
  　　第五条　支付机构依照中国人民银行有关规定接受分类评价，并执行相应的分类监管措施。
  　　第二章　客户管理
  　　第六条　支付机构应当遵循“了解你的客户”原则，建立健全客户身份识别机制。支付机构为客户开立支付账户的，应当对客户实行实名制管理，登记并采取有效措施验证客户身份基本信息，按规定核对有效身份证件并留存有效身份证件复印件或者影印件，建立客户唯一识别编码，并在与客户业务关系存续期间采取持续的身份识别措施，确保有效核实客户身份及其真实意愿，不得开立匿名、假名支付账户。
  　　第七条　支付机构应当与客户签订服务协议，约定双方责任、权利和义务，至少明确业务规则[包括但不限于业务功能和流程、身份识别和交易验证方式、资金结算方式等]，收费项目和标准，查询、差错争议及投诉等服务流程和规则，业务风险和非法活动防范及处置措施，客户损失责任划分和赔付规则等内容。支付机构为客户开立支付账户的，还应在服务协议中以显著方式告知客户，并采取有效方式确认客户充分知晓并清晰理解下列内容：“支付账户所记录的资金余额不同于客户本人的银行存款，不受《存款保险条例》保护，其实质为客户委托支付机构保管的、所有权归属于客户的预付价值。该预付价值对应的货币资金虽然属于客户，但不以客户本人名义存放在银行，而是以支付机构名义存放在银行，并且由支付机构向银行发起资金调拨指令。”支付机构应当确保协议内容清晰、易懂，并以显著方式提示客户注意与其有重大利害关系的事项。
  　　第八条　获得互联网支付业务许可的支付机构，经客户主动提出申请，可为其开立支付账户;仅获得移动电话支付、固定电话支付、数字电视支付业务许可的支付机构，不得为客户开立支付账户。支付机构不得为金融机构，以及从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构开立支付账户。
  　　第三章　业务管理
  　　第九条　支付机构不得经营或者变相经营证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。
  　　第十条　支付机构向客户开户银行发送支付指令，扣划客户银行账户资金的，支付机构和银行应当执行下列要求：[一]支付机构应当事先或在首笔交易时自主识别客户身份并分别取得客户和银行的协议授权，同意其向客户的银行账户发起支付指令扣划资金;[二]银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议，明确约定扣款适用范围和交易验证方式，设立与客户风险承受能力相匹配的单笔和单日累计交易限额，承诺无条件全额承担此类交易的风险损失先行赔付责任;[三]除单笔金额不超过200元的小额支付业务，公共事业缴费、税费缴纳、信用卡还款等收款人固定并且定期发生的支付业务，以及符合第三十七条规定的情形以外，支付机构不得代替银行进行交易验证。
  　　第十一条　支付机构应根据客户身份对同一客户在本机构开立的所有支付账户进行关联管理，并按照下列要求对个人支付账户进行分类管理：[一]对于以非面对面方式通过至少一个合法安全的外部渠道进行身份基本信息验证，且为首次在本机构开立支付账户的个人客户，支付机构可以为其开立Ⅰ类支付账户，账户余额仅可用于消费和转账，余额付款交易自账户开立起累计不超过1000元[包括支付账户向客户本人同名银行账户转账];[二]对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户，或以非面对面方式通过至少三个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户，支付机构可以为其开立Ⅱ类支付账户，账户余额仅可用于消费和转账，其所有支付账户的余额付款交易年累计不超过10万元[不包括支付账户向客户本人同名银行账户转账];[三]对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户，或以非面对面方式通过至少五个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户，支付机构可以为其开立Ⅲ类支付账户，账户余额可以用于消费、转账以及购买投资理财等金融类产品，其所有支付账户的余额付款交易年累计不超过20万元[不包括支付账户向客户本人同名银行账户转账]。客户身份基本信息外部验证渠道包括但不限于政府部门数据库、商业银行信息系统、商业化数据库等。其中，通过商业银行验证个人客户身份基本信息的，应为Ⅰ类银行账户或信用卡。
  　　第十二条　支付机构办理银行账户与支付账户之间转账业务的，相关银行账户与支付账户应属于同一客户。支付机构应按照与客户的约定及时办理支付账户向客户本人银行账户转账业务，不得对Ⅱ类、Ⅲ类支付账户向客户本人银行账户转账设置限额。
  　　第十三条　支付机构为客户办理本机构发行的预付卡向支付账户转账的，应当按照《支付机构预付卡业务管理办法》[中国人民银行公告〔2012〕第12号公布]相关规定对预付卡转账至支付账户的余额单独管理，仅限其用于消费，不得通过转账、购买投资理财等金融类产品等形式进行套现或者变相套现。
  　　第十四条　支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性，不得篡改或者隐匿交易信息。交易信息包括但不限于下列内容：[一]交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间，以及直接向客户提供商品或者服务的特约商户名称、编码和按照国家与金融行业标准设置的商户类别码;[二]收付款客户名称，收付款支付账户账号或者银行账户的开户银行名称及账号;[三]付款客户的身份验证和交易授权信息;[四]有效追溯交易的标识;[五]单位客户单笔超过5万元的转账业务的付款用途和事由。
  　　第十五条　因交易取消[撤销]、退货、交易不成功或者投资理财等金融类产品赎回等原因需划回资金的，相应款项应当划回原扣款账户。
  　　第十六条　对于客户的网络支付业务操作行为，支付机构应当在确认客户身份及真实意愿后及时办理，并在操作生效之日起至少五年内，真实、完整保存操作记录。客户操作行为包括但不限于登录和注销登录、身份识别和交易验证、变更身份信息和联系方式、调整业务功能、调整交易限额、变更资金收付方式，以及变更或挂失密码、数字证书、电子签名等。
  　　第四章　风险管理与客户权益保护
  　　第十七条　支付机构应当综合客户类型、身份核实方式、交易行为特征、资信状况等因素，建立客户风险评级管理制度和机制，并动态调整客户风险评级及相关风险控制措施。支付机构应当根据客户风险评级、交易验证方式、交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间、商户类别等因素，建立交易风险管理制度和交易监测系统，对疑似欺诈、套现、洗钱、非法融资、恐怖融资等交易，及时采取调查核实、延迟结算、终止服务等措施。
  　　第十八条　支付机构应当向客户充分提示网络支付业务的潜在风险，及时揭示不法分子新型作案手段，对客户进行必要的安全教育，并对高风险业务在操作前、操作中进行风险警示。支付机构为客户购买合作机构的金融类产品提供网络支付服务的，应当确保合作机构为取得相应经营资质并依法开展业务的机构，并在首次购买时向客户展示合作机构信息和产品信息，充分提示相关责任、权利、义务及潜在风险，协助客户与合作机构完成协议签订。
  　　第十九条　支付机构应当建立健全风险准备金制度和交易赔付制度，并对不能有效证明因客户原因导致的资金损失及时先行全额赔付，保障客户合法权益。支付机构应于每年1月31日前，将前一年度发生的风险事件、客户风险损失发生和赔付等情况在网站对外公告。支付机构应在年度监管报告中如实反映上述内容和风险准备金计提、使用及结余等情况。
  　　第二十条　支付机构应当依照中国人民银行有关客户信息保护的规定，制定有效的客户信息保护措施和风险控制机制，履行客户信息保护责任。支付机构不得存储客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息，原则上不得存储银行卡有效期。因特殊业务需要，支付机构确需存储客户银行卡有效期的，应当取得客户和开户银行的授权，以加密形式存储。支付机构应当以“最小化”原则采集、使用、存储和传输客户信息，并告知客户相关信息的使用目的和范围。支付机构不得向其他机构或个人提供客户信息，法律法规另有规定，以及经客户本人逐项确认并授权的除外。
  　　第二十一条　支付机构应当通过协议约定禁止特约商户存储客户银行卡的磁道信息或芯片信息、验证码、有效期、密码等敏感信息，并采取定期检查、技术监测等必要监督措施。特约商户违反协议约定存储上述敏感信息的，支付机构应当立即暂停或者终止为其提供网络支付服务，采取有效措施删除敏感信息、防止信息泄露，并依法承担因相关信息泄露造成的损失和责任。
  　　第二十二条　支付机构可以组合选用下列三类要素，对客户使用支付账户余额付款的交易进行验证：[一]仅客户本人知悉的要素，如静态密码等;[二]仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等;[三]客户本人生理特征要素，如指纹等。支付机构应当确保采用的要素相互独立，部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。
  　　第二十三条　支付机构采用数字证书、电子签名作为验证要素的，数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》[JR/T0118-2015]等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖性。支付机构采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。支付机构采用客户本人生理特征作为验证要素的，应当符合国家、金融行业标准和相关信息安全管理要求，防止被非法存储、复制或重放。
  　　第二十四条　支付机构应根据交易验证方式的安全级别，按照下列要求对个人客户使用支付账户余额付款的交易进行限额管理：[一]支付机构采用包括数字证书或电子签名在内的两类[含]以上有效要素进行验证的交易，单日累计限额由支付机构与客户通过协议自主约定;[二]支付机构采用不包括数字证书、电子签名在内的两类[含]以上有效要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过5000元[不包括支付账户向客户本人同名银行账户转账];[三]支付机构采用不足两类有效要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过1000元[不包括支付账户向客户本人同名银行账户转账]，且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。
  
  第二十五条　支付机构网络支付业务相关系统设施和技术，应当持续符合国家、金融行业标准和相关信息安全管理要求。如未符合相关标准和要求，或者尚未形成国家、金融行业标准，支付机构应当无条件全额承担客户直接风险损失的先行赔付责任。
  　　第二十六条　支付机构应当在境内拥有安全、规范的网络支付业务处理系统及其备份系统，制定突发事件应急预案，保障系统安全性和业务连续性。支付机构为境内交易提供服务的，应当通过境内业务处理系统完成交易处理，并在境内完成资金结算。
  　　第二十七条　支付机构应当采取有效措施，确保客户在执行支付指令前可对收付款客户名称和账号、交易金额等交易信息进行确认，并在支付指令完成后及时将结果通知客户。因交易超时、无响应或者系统故障导致支付指令无法正常处理的，支付机构应当及时提示客户;因客户原因造成支付指令未执行、未适当执行、延迟执行的，支付机构应当主动通知客户更改或者协助客户采取补救措施。
  　　第二十八条　支付机构应当通过具有合法独立域名的网站和统一的服务电话等渠道，为客户免费提供至少最近一年以内交易信息查询服务，并建立健全差错争议和纠纷投诉处理制度，配备专业部门和人员据实、准确、及时处理交易差错和客户投诉。支付机构应当告知客户相关服务的正确获取途径，指导客户有效辨识服务渠道的真实性。支付机构应当于每年1月31日前，将前一年度发生的客户投诉数量和类型、处理完毕的投诉占比、投诉处理速度等情况在网站对外公告。
  　　第二十九条　支付机构应当充分尊重客户自主选择权，不得强迫客户使用本机构提供的支付服务，不得阻碍客户使用其他机构提供的支付服务。支付机构应当公平展示客户可选用的各种资金收付方式，不得以任何形式诱导、强迫客户开立支付账户或者通过支付账户办理资金收付，不得附加不合理条件。
  　　第三十条　支付机构因系统升级、调试等原因，需暂停网络支付服务的，应当至少提前5个工作日予以公告。支付机构变更协议条款、提高服务收费标准或者新设收费项目的，应当于实施之前在网站等服务渠道以显著方式连续公示30日，并于客户首次办理相关业务前确认客户知悉且接受拟调整的全部详细内容。
  　　第五章　监督管理
  　　第三十一条　支付机构提供网络支付创新产品或者服务、停止提供产品或者服务、与境外机构合作在境内开展网络支付业务的，应当至少提前30日向法人所在地中国人民银行分支机构报告。支付机构发生重大风险事件的，应当及时向法人所在地中国人民银行分支机构报告;发现涉嫌违法犯罪的，同时报告公安机关。
  　　第三十二条　中国人民银行可以结合支付机构的企业资质、风险管控特别是客户备付金管理等因素，确立支付机构分类监管指标体系，建立持续分类评价工作机制，并对支付机构实施动态分类管理。具体办法由中国人民银行另行制定。
  　　第三十三条　评定为“A”类且Ⅱ类、Ⅲ类支付账户实名比例超过95%的支付机构，可以采用能够切实落实实名制要求的其他客户身份核实方法，经法人所在地中国人民银行分支机构评估认可并向中国人民银行备案后实施。
  　　第三十四条　评定为“A”类且Ⅱ类、Ⅲ类支付账户实名比例超过95%的支付机构，可以对从事电子商务经营活动、不具备工商登记注册条件且相关法律法规允许不进行工商登记注册的个人客户[以下简称个人卖家]参照单位客户管理，但应建立持续监测电子商务经营活动、对个人卖家实施动态管理的有效机制，并向法人所在地中国人民银行分支机构备案。支付机构参照单位客户管理的个人卖家，应至少符合下列条件：[一]相关电子商务交易平台已依照相关法律法规对其真实身份信息进行审查和登记，与其签订登记协议，建立登记档案并定期核实更新，核发证明个人身份信息真实合法的标记，加载在其从事电子商务经营活动的主页面醒目位置;[二]支付机构已按照开立Ⅲ类个人支付账户的标准对其完成身份核实;[三]持续从事电子商务经营活动满6个月，且期间使用支付账户收取的经营收入累计超过20万元。
  　　第三十五条　评定为“A”类且Ⅱ类、Ⅲ类支付账户实名比例超过95%的支付机构，对于已经实名确认、达到实名制管理要求的支付账户，在办理第十二条第一款所述转账业务时，相关银行账户与支付账户可以不属于同一客户。但支付机构应在交易中向银行准确、完整发送交易渠道、交易终端或接口类型、交易类型、收付款客户名称和账号等交易信息。
  　　第三十六条　评定为“A”类且Ⅱ类、Ⅲ类支付账户实名比例超过95%的支付机构，可以将达到实名制管理要求的Ⅱ类、Ⅲ类支付账户的余额付款单日累计限额，提高至第二十四条规定的2倍。评定为“B”类及以上，且Ⅱ类、Ⅲ类支付账户实名比例超过90%的支付机构，可以将达到实名制管理要求的Ⅱ类、Ⅲ类支付账户的余额付款单日累计限额，提高至第二十四条规定的1.5倍。
  　　第三十七条　评定为“A”类的支付机构按照第十条规定办理相关业务时，可以与银行根据业务需要，通过协议自主约定由支付机构代替进行交易验证的情形，但支付机构应在交易中向银行完整、准确发送交易渠道、交易终端或接口类型、交易类型、商户名称、商户编码、商户类别码、收付款客户名称和账号等交易信息;银行应核实支付机构验证手段或渠道的安全性，且对客户资金安全的管理责任不因支付机构代替验证而转移。
  　　第三十八条　对于评定为“C”类及以下、支付账户实名比例较低、对零售支付体系或社会公众非现金支付信心产生重大影响的支付机构，中国人民银行及其分支机构可以在第十九条、第二十八条等规定的基础上适度提高公开披露相关信息的要求，并加强非现场监管和现场检查。
  　　第三十九条　中国人民银行及其分支机构对照上述分类管理措施相应条件，动态确定支付机构适用的监管规定并持续监管。支付机构分类评定结果和支付账户实名比例不符合上述分类管理措施相应条件的，应严格按照第十条、第十一条、第十二条及第二十四条等相关规定执行。中国人民银行及其分支机构可以根据社会经济发展情况和支付机构分类管理需要，对支付机构网络支付业务范围、模式、功能、限额及业务创新等相关管理措施进行适时调整。
  　　第四十条　支付机构应当加入中国支付清算协会，接受行业自律组织管理。中国支付清算协会应当根据本办法制定网络支付业务行业自律规范，建立自律审查机制，向中国人民银行备案后组织实施。自律规范应包括支付机构与客户签订协议的范本，明确协议应记载和不得记载事项，还应包括支付机构披露有关信息的具体内容和标准格式。中国支付清算协会应当建立信用承诺制度，要求支付机构以标准格式向社会公开承诺依法合规开展网络支付业务、保障客户信息安全和资金安全、维护客户合法权益、如违法违规自愿接受约束和处罚。第六章法律责任。
  　　第六章法律责任
  　　第四十一条　支付机构从事网络支付业务有下列情形之一的，中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十二条的规定进行处理：[一]未按规定建立客户实名制管理、支付账户开立与使用、差错争议和纠纷投诉处理、风险准备金和交易赔付、应急预案等管理制度的;[二]未按规定建立客户风险评级管理、支付账户功能与限额管理、客户支付指令验证管理、交易和信息安全管理、交易监测系统等风险控制机制的，未按规定对支付业务采取有效风险控制措施的;[三]未按规定进行风险提示、公开披露相关信息的;[四]未按规定履行报告义务的。
  　　第四十二条　支付机构从事网络支付业务有下列情形之一的，中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十三条的规定进行处理;情节严重的，中国人民银行及其分支机构依据《中华人民共和国中国人民银行法》第四十六条的规定进行处理：[一]不符合支付机构支付业务系统设施有关要求的;[二]不符合国家、金融行业标准和相关信息安全管理要求的，采用数字证书、电子签名不符合《中华人民共和国电子签名法》、《金融电子认证规范》等规定的;[三]为非法交易、虚假交易提供支付服务，发现客户疑似或者涉嫌违法违规行为未按规定采取有效措施的;[四]未按规定采取客户支付指令验证措施的;[五]未真实、完整、准确反映网络支付交易信息，篡改或者隐匿交易信息的;[六]未按规定处理客户信息，或者未履行客户信息保密义务，造成信息泄露隐患或者导致信息泄露的;[七]妨碍客户自主选择支付服务提供主体或资金收付方式的;[八]公开披露虚假信息的;[九]违规开立支付账户，或擅自经营金融业务活动的。
  　　第四十三条　支付机构违反反洗钱和反恐怖融资规定的，依据国家有关法律法规进行处理。
  　　第七章　附则
  　　第四十四条　本办法相关用语含义如下：单位客户，是指接受支付机构支付服务的法人、其他组织或者个体工商户。个人客户，是指接受支付机构支付服务的自然人。单位客户的身份基本信息，包括客户的名称、地址、经营范围、统一社会信用代码或组织机构代码;可证明该客户依法设立或者可依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限;法定代表人[负责人]或授权办理业务人员的姓名、有效身份证件的种类、号码和有效期限。个人客户的身份基本信息，包括客户的姓名、国籍、性别、职业、住址、联系方式以及客户有效身份证件的种类、号码和有效期限。法人和其他组织客户的有效身份证件，是指政府有权机关颁发的能够证明其合法真实身份的证件或文件，包括但不限于营业执照、事业单位法人证书、税务登记证、组织机构代码证;个体工商户的有效身份证件，包括营业执照、经营者或授权经办人员的有效身份证件。个人客户的有效身份证件，包括：在中国境内已登记常住户口的中国公民为居民身份证，不满十六周岁的，为居民身份证或户口簿;香港、澳门特别行政区居民为港澳居民往来内地通行证;台湾地区居民为台湾居民来往大陆通行证;定居国外的中国公民为中国护照;外国公民为护照或者外国人永久居留证[外国边民，按照边贸结算的有关规定办理];法律、行政法规规定的其他身份证明文件。客户本人，是指客户本单位[单位客户]或者本人[个人客户]。
  　　第四十五条　本办法由中国人民银行负责解释和修订。
  　　第四十六条　本办法自7月1日起施行。