央行:非银支付机构提供条码付款服务应取得许可

时间:2017-12-28来源: 来源:环球商讯网
环球商讯网讯:

  

  中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;各国有商业银行、股份制商业银行,中国邮政储蓄银行;各非银行支付机构;中国银联股份有限公司,中国支付清算协会,网联清算有限公司:

  非银行支付机构(以下简称支付机构)向客户提供基于条码技术的付款服务的,应当取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。

  银行业金融机构(以下简称银行)、支付机构开展条码支付业务涉及跨行交易时,应当通过人民银行跨行清算系统或者具备合法资质的清算机构处理。自本通知发布之日起,银行、支付机构不得新增不同法人机构间直连处理条码支付业务;存量业务应按照人民银行有关规定加快迁移到合法清算机构处理。

  条码支付收单业务,是指收单机构与特约商户签订受理协议,在特约商户按约定受理基于条码技术的支付方式并与付款人达成交易后,为特约商户提供交易资金结算服务的行为。银行和支付机构在为特约商户提供条码支付收单服务时,应执行《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号公布)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发〔2015〕199号)等规定。银行、支付机构应当加强条码支付收单业务管理,严格遵守商户实名制、商户风险评级、交易风险监测等基本规定。为实体特约商户提供收单服务,应履行本地化经营、商户定期巡检责任;为网络特约商户提供收单服务,应强化对网络支付接口的使用管理和交易监测,采取有效的检查措施和技术手段对其经营内容和交易情况进行检查。银行、支付机构与外包服务机构开展条码支付业务合作的,应明确外包服务机构定位,加强管理,防范业务风险。

  银行、支付机构从事条码支付业务,应接受中国支付清算协会行业自律管理。中国支付清算协会应将条码支付特约商户纳入协会特约商户信息管理系统管理;对条码支付外包服务机构,一并纳入中国支付清算协会银行卡收单外包服务机构评级体系管理。对被实名举报涉嫌违法违规开展条码支付业务的,中国支付清算协会应按照《支付结算违法违规行为举报奖励办法》(中国人民银行公告〔2016〕第7号公布)及其实施细则的相关要求进行处理。

  已开展条码支付业务的银行、支付机构应当全面梳理自身条码支付业务情况(含境内、跨境、境外业务)并形成报告,包括但不限于按年度统计的业务量、产品介绍、业务流程、技术方案、风险管理机制、境内外机构合作情况、资金清算模式、收费标准及利润分配机制、客户权益保护措施、外包服务机构信息及外包范围、以及根据本通知进行自查的情况及整改方案等。2018年1月31日前,全国性银行将报告报送人民银行总行,其他银行和支付机构将报告报送法人所在地人民银行分支机构。

  人民银行分支机构依法对辖区内银行、支付机构条码支付业务进行监督管理,加大检查力度,对违规行为应按照《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号发布)、《银行卡收单业务管理办法》、《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号公布)等相关规定予以处理;对情节严重的,依照《中华人民共和国中国人民银行法》第四十六条规定予以处罚。

  第一条 为规范条码(二维码)支付(以下简称条码支付)业务,保护消费者合法权益,促进条码支付业务健康发展,根据《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号公布)、《非金融机构支付服务管理办法》(中国人民银行公告〔2010〕第2号公布)、《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号公布)、《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号公布)等规定,制定本规范。

  第十四条 银行、支付机构提供付款扫码服务的,应具备差异化的风控措施和完善的客户权益受损解决机制,在条码生成、识读、支付等核心业务流程中明确提示客户支付风险,切实防范不法分子通过在条码中植入木马、病毒等方式造成客户信息泄露和资金损失。

  交易信息至少应包括:直接提供商品或服务的特约商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道,交易发起方式等。网络特约商户的交易信息还应当包括订单号和网络交易平台名称。

  第二十三条 中国支付清算协会、清算机构应将条码支付特约商户纳入特约商户信息管理系统及黑名单管理机制。银行、支付机构拓展特约商户时,应进行查询确认,如商户及其法定代表人或负责人在特约商户信息管理系统中存在不良信息记录的,应谨慎为该商户提供条码支付服务;不得将已纳入黑名单的单位和个人,以及由纳入黑名单个人担任法定代表人或者负责人的单位拓展为特约商户,已经拓展为特约商户的,应当自该特约商户被列入黑名单之日起10日内予以清退。

  第二十四条 银行、支付机构拓展特约商户应落实实名制规定,严格审核特约商户的营业执照等证明文件,以及法定代表人或负责人的有效身份证件等申请材料,确认申请材料的真实性、完整性、有效性,并留存申请材料的影印件或复印件。

  对依据法律法规和相关监管规定免于办理工商注册登记的实体特约商户(小微商户),收单机构在遵循“了解你的客户”原则的前提下,可以通过审核商户主要负责人身份证明文件和辅助证明材料为其提供条码支付收单服务。辅助证明材料包括但不限于营业场所租赁协议或者产权证明、集中经营场所管理方出具的证明文件等能够反映小微商户真实、合法从事商品或服务交易活动的材料。

  以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元。银行、支付机构应当结合小微商户风险等级动态调整交易卡种、交易限额、结算周期等,强化对小微商户的交易监测。

  第二十六条银行、支付机构在条码支付受理协议中,应要求特约商户基于真实的商品或服务交易背景受理条码支付;按规定使用受理终端或网络支付接口、银行结算账户,不得利用其从事或协助他人从事非法活动;妥善处理交易数据信息、保存交易凭证,保障交易信息安全;不得向客户收取或变相收取附加费用,或降低服务水平。

  第二十七条 银行、支付机构应建立特约商户信息管理系统,记录特约商户名称和经营地址、特约商户身份资料信息、特约商户类别、结算手续费标准、银行结算账户信息、开通的交易类型和开通时间、受理终端(网络交易接口)类型和安装地址等信息,并及时进行更新。

  第三十条银行、支付机构应按照《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发〔2015〕199号)相关要求审慎选择外包服务机构,严格规范与外包服务机构的业务合作,强化收单外包业务的风险管理责任。银行、支付机构作为条码支付收单业务主体的管理责任和风险承担责任不因外包关系而转移。

  银行、支付机构不得将特约商户资质审核、受理协议签订、资金结算、交易处理、风险监测、受理终端主密钥生成和管理、网络支付接口管理、差错和争议处理工作交由外包服务机构办理。银行、支付机构与外包服务机构系统对接开展业务的,应确保外包服务机构无法获取或者接触支付敏感信息、不得从事或者变相从事特约商户资金结算。

  第四十三条 银行、支付机构发现特约商户发生疑似套现、洗钱、恐怖融资、欺诈、留存或泄露账户信息等风险事件的,应对特约商户采取延迟资金结算、暂停交易、冻结账户等措施,并承担因未采取措施导致的风险损失责任;发现涉嫌违法犯罪活动的,应及时向公安机关报案。

  特约商户受理终端,指具有条码展示或识读等功能,参与条码支付完成销售收款的特约商户端专用设备。包括具有条码展示功能的显码设备;识读条码并且向后台系统发起支付指令的专用设备,包括但不限于带扫码装置的收银系统、销售点终端(POS)、自助终端等。

  为贯彻落实党的十九大精神和第五次全国金融工作会议有关部署,鼓励并规范金融创新,引导信息技术在金融领域正确应用,提升金融服务实体经济能力,人民银行日前发布《中国人民银行关于印发<条码支付业务规范(试行)>的通知》(银发〔2017〕296号),配套印发了《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号发布),自2018年4月1日起实施。

  近日,人民银行发布了《中国人民银行关于印发<条码支付业务规范(试行)>的通知》(银发〔2017〕296号),配套印发《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》(银办发〔2017〕242号发布),自2018年4月1日起实施。日前,人民银行有关负责人就上述通知和规范有关问题回答了记者的提问。

  答:条码支付具有支付便捷、应用门槛低的优势,在推动普惠金融和优化我国非现金支付环境建设方面能够发挥积极作用。对创新支付的监管,人民银行一贯秉承“鼓励创新,防范风险”并重的原则。自本世纪初,国内外各市场主体开始尝试将条码技术运用于移动支付领域,以提升支付便捷性和用户体验。为鼓励市场机构业务创新,2011年,人民银行同意部分非银行支付机构(以下简称支付机构)在限定场景内试点开展条码支付业务,审慎地将条码定位于银行卡支付的补充,并提出严格的风险管理要求。2014年,在未建立有效安全措施、统一的业务规则和消费者权益保护制度的背景下,部分支付机构采取持续补贴的方式广泛推广条码支付业务,人民银行对其采取了暂停线下条码支付业务的监管措施。随着近年来支付标记化(Tokenization)等技术在移动支付中的广泛应用,客观上提高了条码支付的安全标准。但是,囿于缺乏统一的业务规范和技术标准,在条码生成机制和传输过程中仍存在风险隐患,也引发了支付安全的风险案件,市场机构在业务推广过程中还存在不正当竞争等现象。

  为贯彻落实党的十九大和第五次全国金融工作会议精神,鼓励并规范金融创新,促进条码支付健康可持续发展,人民银行指导中国支付清算协会组织会员单位、专家学者进行研究论证,研究制定了条码支付业务规范和技术规范,并通过书面征求意见、召开专题会议等形式充分听取各方意见建议并修改完善,实现了监管与市场的顺畅沟通和有效互动,达成了高度共识。

  答:一是条码支付在降低商户准入门槛的同时,加剧收单市场乱象。由于条码支付设备成本低于传统的银行卡受理终端,还可通过张贴静态条码实现收付款业务,能够满足小微商户的非现金支付受理需求,与银行卡收单互为补充,提升社会整体支付服务水平。但是,部分市场机构利用条码可远程发送、不受专业受理终端限制的特点,在商户拓展过程中未履行“了解你的客户”义务,通过“一证下机”等方式违规发展商户,加剧了套现、二清、外包管理不到位等收单乱象,存在各类安全隐患,对市场可持续发展造成较大的危害。

  二是条码支付在促进移动支付普及发展的同时,出现扰乱市场公平竞争秩序的现象。近年来,条码支付在小额、便民支付领域市场份额持续增加,促进了移动支付的快发展和普惠金融的广覆盖。但是,部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争,扰乱市场秩序。

  三是条码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险。包括:可视化风险,条码在开放互联网环境下以图形化方式进行展示,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金;易携带恶意代码的风险,条码不仅可存储支付要素,也可携带非法链接或程序代码,不法分子可将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息;信息单向交互风险,条码支付只能实现发起方或接收方的单向信息交互,不法分子可利用该弱点实施“中间人攻击”,绕过身份认证机制,造成用户资金损失;扫码设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。

  答:一是强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。

  二是重申清算管理要求。针对部分支付机构与多家银行业金融机构(以下简称银行)或支付机构直连进行商户拓展,进一步强化了支付机构与银行多头直连的现象,明确要求银行、支付机构开展条码支付业务涉及跨行交易时,应当通过人民银行跨行清算系统或者具备合法资质的清算机构处理。

  二是提升条码支付交易安全强度。针对不同条码生成方式,提出加密生成、定期更新、终端唯一标识绑定等具有针对性的安全防护措施。要求银行、支付机构和清算机构运用交易验证强度与交易额度相匹配的技术措施提高条码支付交易的安全性。

  答:支付服务属于金融服务,与社会经济运行和百姓日常生活密切相关,支付安全关乎人民群众财产安全和合法权益,稳健经营关乎产业的健康可持续发展。便捷的使用方式、良好的用户体验是支付创新的生命力,但不能单纯追求无底线的创新;稳定、可持续的投入和运营是支付业务长远发展的保障,不能为了追求短期的市场份额,采取“烧钱”“补贴”等不当竞争手段。通知和规范旨在指导相关单位正确处理安全与发展的关系,在严守安全底线的基础上开展支付创新,维护公平竞争的市场环境,促进行业健康可持续发展,为人民群众提供安全便利的金融服务。通知和规范提出的业务规范要求和安全管理措施非但不会制约支付创新发展,反而能够指引支付业务创新沿着安全规范的方向发展,确保创新业务的质量和效能,保障行业发展的稳健和长远。

  答:业务规范的落地实施要通过构建企业自我管理、行业组织自律、主管部门监管、社会全面监督多位一体的管理体系,保障各项要求落实到位。已开展业务的银行业金融机构、支付机构应当全面梳理自身条码支付业务情况,根据规范要求进行自查和整改。开展条码支付业务创新的,应当履行提前报告义务。银行、支付机构从事条码支付业务,应接受中国支付清算协会行业自律管理,并充分发挥违法违规举报奖励机制的作用,净化市场发展环境。人民银行分支机构依法对辖区内银行、支付机构条码支付业务进行监督管理,加大检查力度,对违规行为,应依法严肃处理。

  技术规范的落地实施需要从产品质量管理、入网管理、专项检查、安全评估等方面多管齐下,切实提升条码支付技术风险防控能力。银行、支付机构要严格落实技术规范提出的各项要求,强化条码支付产品安全管理,健全条码支付风险防控机制,使用符合国家标准及金融行业标准的产品,确保相关业务系统、受理终端等的技术标准符合性。清算机构要强化受理终端入网管理,完善终端定期抽检机制,加强终端抽样检测力度。人民银行分支机构要定期对条码支付相关业务系统、受理终端等组织开展专项抽查,强化条码支付技术管理。

  答:一是采用数字签名、加密传输等措施,加强支付指令真实性。二是在交易报文中准确记录发起方、接收方、网络路由、唯一交易流水号等关键信息,保障交易可追溯性和一致性。三是完善商户、渠道、订单等交易信息,精准刻画交易全貌,确保支付指令完整性。

  答:静态条码易被篡改或变造,易携带木马或病毒,真伪难辨,导致支付风险较高。因此,提出了一系列防范静态条码风险的措施:一是要求静态条码应由后台服务器加密生成,宜采用防伪纸张展示条码,防伪纸张应具备一定防伪特征。二是要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查。三是要求静态条码采用防护罩等物理防护手段避免被覆盖或替换,宜使用防伪标签对防护罩进行标记。四是要求在静态条码介质显著位置明显展示收款方信息,便于用户核对。五是通过风险防范能力分级管理,进一步规范使用静态条码,并鼓励使用风险防范能力较高的收款扫码方式。

  答:条码支付与传统银行卡等支付工具相比在交易安全性上存在一定不足,人民银行坚持条码支付小额、便民的定位,对条码支付风险防范能力进行分级。发行条码的银行、支付机构应根据风险防范能力等级,在确保风险可控和尽量满足用户需求的前提下科学合理设置相匹配的日累计交易限额。

  为引导银行、支付机构提高交易验证方式的安全性,加强客户资金安全保护,对于风险防范能力高、交易验证方式更为安全的,不设定额度上限,市场主体可与客户自行约定交易限额。基于防替换、防盗刷等安全因素角度考虑,要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施,以鼓励市场主体采用更为安全的动态条码提供支付服务。依据主要市场机构条码支付交易数据显示,上述额度已覆盖绝大部分使用条码支付付款客户及商户的需求。

  答:加强对条码支付特约商户管理的目的在于排除风险商户,防范和遏制不法分子利用条码支付业务隐藏木马病毒、进行洗钱、欺诈等犯罪活动,更好地维护条码支付业务参与各方的合法权益。考虑到条码支付业务涉及银行账户和支付账户,且可应用于网络特约商户和实体特约商户,为保持监管制度和标准的一致性,我们遵循银行卡收单业务管理的相关要求,从条码支付特约商户拓展、特约商户审批、特约商户信息留存及管理、黑名单管理、实体商户属地化管理、外包业务管理等方面明确了具体的管理要求。同时,为了兼顾小微商户受理条码支付的需求,促进普惠金融发展,明确在符合相关资质审核和认定的前提下,小微商户可以受理条码支付;同时,为了防范套现等交易风险,对以同一个身份证件在同一家收单机构办理的全部小微商户基于信用卡的条码支付收款金额日累计不超过1000元、月累计不超过1万元,但受理基于借记卡的条码支付不受收款额度的限制。

上一篇:嘉年华2.35亿元抛售金钱豹 多年亏损大幅关店 下一篇:食药监总局约谈饿了么、金拱门等:必须有实体店