为贯彻《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发〔2014〕10号,以下简称《通知》)要求,落实商业银行客户金融信息管理职责,做好客户信息安全与保密工作,现根据《通知》要求形成操作指引,具体内容说明如下:
第一条 商业银行是客户金融信息管理方,客户身份信息与银行账户信息应由商业银行统一管理。商业银行与第三方支付机构合作业务中(包括但不限于网关支付、快捷支付、无磁无密支付、信用卡还款等),应确保业务开展各环节的客户信息和账户信息留存银行,不得违反相关法律法规和监管制度要求泄露信息,并应根据客户实际意愿和操作指令完成账户关联或资金划付。
第二条 第三方支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付和数字电视支付等网络支付业务的非金融机构。
第三条 商业银行应构建客户风险政策管理体系,根据客户个人风险承受能力(包括不限于年龄、学历、职业、消费习惯、是否有网络支付经验、是否了解网络支付风险等) 与业务风险承受能力(包括不限于账户状态、交易类型、交易频次等)综合判断客户是否适宜开展各类合作业务,同时商业银行应根据上述综合风险承受能力建立客户风险评级制度,根据不同风险等级细化客户开展各类业务的条件与适宜开展的业务内容,包括但不限于允许关联第三方支付机构账户数、允许开通的交易种类(如消费(含预授权交易)、代收、代付、缴费、转账等)等。
第四条 商业银行应制定通过第三方支付机构的单笔、日累计交易限额,银行设定或客户主动申请调整该交易限额的,应根据客户实际风险承受能力进行合理评估。建议单笔交易限额初始金额2000元,最高不超过5000元,日累计交易限额初始金额5000元,最高不超过20000元,各商业银行实际执行中可根据业务情况酌情调整。
第五条 确系业务需要,客户银行账户与第三方支付机构账户建立一次签约、多次支付的业务关系的,在两账户首次建立业务关联时,商业银行应要求第三方支付机构以书面协议方式获取客户授权并落实自身客户身份验证工作,协议中应明确第三方支付机构对于客户实名制账户开立、认证的独立责任归属。
第三方支付机构完成自身客户身份验证后,应要求客户跳转至银行界面完成客户银行账户的身份验证与签约,并上送客户姓名与支付账户作为必要信息至银行进行业务关联申请。银行应书面协议方式获取客户同意,对银行账户与第三方支付机构账户建立一次签约、多次支付的业务授权,并落实客户身份验证。对于在银行界面通过身份验证的,允许其银行账户与第三方支付机构账户建立唯一对应关系。
商业银行与第三方支付机构客户身份验证工作应保持独立性,不得互串互验。商业银行不得对于第三方支付机构收集的客户身份验证信息和账户信息进行验证。
商业银行与第三方支付机构应落实各自验证责任,对于未落实验证责任或存在验证错误的一方应承担由此导致的交易参与各方的风险损失。商业银行在落实前述银行账户与第三方支付机构账户关联要求的前提下,后续支付交易中,可根据自身风险控制要求自行选择是否仍需要对客户身份信息进行再次验证。对于未与第三方支付机构账户建立业务关联并直接通过银行账户进行支付的,商业银行应确保客户逐笔交易均跳转银行渠道(含银行界面渠道与银行语音渠道)进行客户身份验证,验证通过的方能进行交易授权。
第六条 商业银行应遵循双(多)因素验证方式进行客户身份验证,身份认证由至少两种身份认证方式组成:一是客户知晓、注册的客户名称及密码(如姓名、用户名、身份证号、信用卡有效期、取现密码等);二是客户持有、特有并用于实现身份认证的信息,包括但不限于物理介质或电子设备等(如手机动态验证码、USB Key等)。如不具备上述要求的,不允许建立与第三方支付机构业务关联。对于通过手机动态验证码进行验证的,应由发卡银行发送并完成验证,不得委由第三方支付机构或其他任何机构代发代验。
第七条 商业银行应开通至少一种账户变动通知方式(如:邮件、短信、微信、图片、语音等)对银行账户与第三方支付机构账户建立关联的客户进行即时告知,如不具备上述要求的,不允许银行账户与第三方支付机构账户之间建立业务关联及进行后续资金划付。
第八条 对于支付类业务,商业银行应要求第三方支付机构落实二级商户编码唯一性,准确标识并完整上送交易信息,至少应包括:直接提供商品或服务的二级商户名称、类别和代码、受理终端(网络支付接口)类型和代码、交易时间和地点(网络特约商户的网络地址)、交易金额、交易类型和渠道、交易发起方式等,网络特约商户的交易信息还应当包括商户订单号和网络交易平台名称。同时银行应制定规范化标准接口实现统一接入,并要求所有合作的第三方支付机构经过监管机构认证的证书对其发起交易签名,保障传输信息的完整性、一致性和不可抵赖性。
第九条 商业银行应加强大额支付、可疑支付资金划转监控与管理,通过短信或其他方式及时通知客户相关信息,包括但不限于第三方支付机构名称、提供直接服务或商品商户名称、交易金额、交易时间等,以确保该支付指令系客户本人真实意愿反映。
第十条 商业银行应提供客户撤销客户银行账户与第三方支付机构账户关联关系的服务,同时应与第三方支付机构同步双方账户解约信息,对于撤销关联关系后的交易将无法适用原有交易验证流程进行授权。对于通过银行发起的撤销关联关系申请,银行应及时在系统中予以记录并通知第三方支付机构且立即对于后续所有借记交易予以拒绝;对于通过第三方支付机构发起的撤销关联关系申请,银行应在获取第三方支付机构解约信息后及时在系统中予以记录,并对于后续所有借记交易予以拒绝。
如客户撤销关联关系后需要重建关联关系的,对于客户通过第三方支付机构发起重建关联关系的申请,银行应要求第三方支付机构按照新建立业务关联要求落实客户身份实名制验证并跳转至银行界面再次进行客户身份验证;对于客户通过银行发起的重建关联关系申请,银行应落实客户身份验证并同步信息到第三方支付机构。
第十一条 商业银行应至少通过一种渠道向客户提供签约查询与交易查询功能,并在法律法规规定期限内妥善保管完整支付信息以备核查,包括客户银行账户与第三方支付机构账户建立关联信息、撤销账户关联信息、客户通过第三方支付机构关联账户完成支付具体交易信息(含提供直接服务或商品商户名称、交易金额、交易时间)等。
第十二条 商业银行应加强支付交易资金管理,严格按照备付金管理办法监管要求与第三方支付机构开展相关业务。
商业银行对于从银行账户中划付的支付交易资金如遇交易终止、失败的,应按照“从哪来回哪去”原则,返回划出的银行账户,不得留存第三方支付机构的支付账户中。
第十三条 商业银行应通过协议等文本形式与第三方支付机构就合作业务中双方权利义务责任达成共识,包括但不限于:第一,落实第三方支付机构因开展一次关联多次支付业务产生的所有风险交易责任归属;第二,落实第三方支付机构通过银行认可模式完整上送交易信息的责任;第三,落实第三方支付机构承担批量扣款类非经商业银行直接进行客户身份认证支付的交易责任(如有);第四,落实第三方支付机构不得未经允许屏蔽银行支付界面和接口的责任;第五,落实因第三方支付机构信息泄露引发各支付渠道风险交易的责任,以确保双方业务开展合规性。
第十四条 商业银行应进一步构建并完善业务风险监控与管理体系,加强与第三方支付机构合作业务管理,做好客户交易资金与可疑商户资金实时监测、核查、预警、控制,有效化解支付业务潜在风险。
第十五条 商业银行应在确保客户信息安全的前提下,要求第三方支付机构通过银行认可模式(如:专网专线等)进行数据信息传输,同时应构建安全防火墙并设定有效隔离区,防止第三方支付机构进行越界访问。
第十六条 商业银行应通过不同渠道尤其是银行自有渠道(包括但不限于短信、账单、微信、邮件等多种方式)加大客户教育力度,强化客户通过第三方支付机构通路进行交易的风险隐患认知,提高自身信息安全与风险防范意识。
第十七条 商业银行应按照本指引要求,做好相应业务梳理与整改工作。制度及合同修订工作应于2014年10月31日前完成,系统改造工作最迟应于2014年12月 31日前完成。自2014年11月1日起,商业银行与第三方支付机构新开展业务合作应按照本指引要求执行,存量业务协议应在2014年10月31日前完成重新签署。
商业银行对于已合作第三方支付机构且已建立业务关系的客户应通过双方数据移植等方式一次性落实双方账户关联,并要求第三方支付机构及时销毁留存所有存量客户涉密信息(包括姓名、卡号、身份证号、信用卡有效期等)。
第十八条 各商业银行应建立自查自纠机制,每年就相关执行情况开展检查,每半年将检查结果及时反馈中国银行业协会银行卡专业委员会,中国银行业协会将就执行情况及时报告监管部门。
第十九条 本指引自下发之日起执行,各项条款解释与修订工作归属中国银行业协会银行卡专业委员会。
附:10号文通知
关于加强商业银行与第三方支付机构合作业务管理的通知
各银监局,中国人民银行上海总部、各分行、营业管理部、各省会(首府)城市中心支行、副省级城市中心支行,各国有商业银行、股份制商业银行,邮政储蓄银行,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
为切实保护商业银行客户信息安全,保障客户资金和银行账户安全,维护客户合法权益,加强商业银行与第三方支付机构合作业务管理,现就商业银行与第三方支付机构建立业务关联提出以下要求:
一、商业银行应按照有关法律法规要求,做好客户信息安全与保密工作。商业银行与第三方支付机构合作开展各项业务,对涉及到的客户金融信息管理,应严格遵循有关法律法规和监管制度的规定,严格遵照客户意愿和指令进行支付,不得违法违规泄露。
二、商业银行应对客户的技术风险承受能力进行评估,客户与第三方支付机构相关的账户关联、业务类型、交易限额等决策要求应与其技术风险承受能力相匹配。
三、客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。
四、商业银行通过电子渠道验证和辨别客户身份,应采取双(多)种因素验证方式对客户身份进行鉴别,对不具备双(多)种因素认证条件的客户,其任何账户不得与第三方支付机构建立业务关联。
五、商业银行对账户与第三方支付机构建立业务关联的客户,应开通至少一种账户变动即时通知技术方式,不具备即时通知条件的客户,不得通过银行与第三方支付机构建立一次签约、多次支付的业务合作关系。
六、商业银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额。
商业银行应向客户提供临时调整支付限额的服务,在进行身份验证和辨别后,按照客户申请,在临时期限内可以适当调整单笔支付限额和日累计支付限额。
七、商业银行应对客户通过第三方支付机构进行大额资金划转强化身份认证,确保由客户本人发出资金划转要求。商业银行在与第三方支付机构签订业务合作协议时,应就商业银行直接进行客户身份认证的批量和扣数或电子支付,与第三方支付机构就赔付问题达成一致。
八、对预留的手机号码且设定短信通知的客户,商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一次检验,通过后方可进行支付。如果银行已按照前述要求在业务关联时进行了相关信息验证,确保客户身份真实可靠,在交易时可以无需再次验证。
九、商业银行应保留完整的支付信息,在相关法律法规规定的期限内妥善保管,并向客户提供第三方支付机构的签约查询和交易查询功能。
十、商业银行应就大额支付、可疑支付要及时通知客户。对开通短信或其他方式即时通知功能的客户,应就每一笔支付交易即时通知客户。通知信息中包含但不限于第三方支付机构名称、交易金额、交易时间等。
十一、商业银行应明确要求第三方支付机构不得在未经授权的情况下屏蔽本银行的支付界面与接口。
十二、从银行账户划出的支付交易资金,遇到交易终止、失败应划回原银行账户。
十三、商业银行接受客户申请,通过身份验证后,应当提供可以撤销客户账户与第三方支付机构业务合作关联的服务。
十四、商业银行应将与第三方支付机构的合作业务纳入全行业务运营风险监测系统的监控范围,对其中的商户和客户在本行的账户资金活动情况进行实时监控,达到风险标准的应组织核查,特别是对其中大额、异常的资金收付应做到逐笔监测、认真核查、及时预警、及时控制。
十五、商业银行对客户通过第三方支付机构进行的交易建立自动化的交易监控机制和风险监控模型,对资金实时监控,及时发现和处置异常行为、套现或欺诈事件。
十六、商业银行应做好数据和操作指令的整理和日志备份,便于事后检查和审计。商业银行与第三方支付机构合作开展各项业务,凡涉及备付金存放和资金划转的,均应建立每日对账制度,不得使用或变相使用银行内部账户以待清算资金等名义为第三方支付机构存放客户备付金。商业银行应就第三方支付机构备付金存管业务建立统一管理机制,未经总行书面授权,任何分支机构不得直接与第三方支付机构合作开展备付金存管业务,强化备付金的监督管理。
十七、商业银行应采取技术措施保障来自第三方支付机构的传输数据(如客户数据、交易数据等)和操作指令(如支付指令、身份验证指令等)的完整性、一致性和不可抵赖性。对不具备对等安全保障能力的第三方支付机构,原则上应不予合作。
十八、银行应构建安全的网络通道(如专线连接、VPN通道等),制定安全边界(如部署防火墙、DMZ隔离区等),防止第三方机构越界访问。
十九、商业银行应按照本通知各项要求,做好相应的制度及合同修订工作。相关工作最迟应于2014年6月30日前完成。
二十、其他银行业金融机构开展相关业务时,参照本通知执行。