《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发〔2014〕10号)

  中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知

  银监发〔2014〕10号

各银监局,中国人民银行上海总部、各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行,各国有商业银行、股份制商业银行,邮政储蓄银行,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:

  为切实保护商业银行客户信息安全,保障客户资金和银行账户安全,维护客户合法权益,加强商业银行与第三方支付机构合作业务管理,现就商业银行与第三方支付机构建立业务关联提出以下要求:

  一、商业银行应按照有关法律法规要求,做好客户信息安全与保密工作。商业银行与第三方支付机构合作开展各项业务,对涉及到的客户金融信息管理,应严格遵循有关法律法规和监管制度的规定,严格遵照客户意愿和指令进行支付,不得违法违规泄露。

  二、商业银行应对客户的技术风险承受能力进行评估,客户与第三方支付机构相关的账户关联、业务类型、交易限额等决策要求应与其技术风险承受能力相匹配。

  三、客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。

  四、商业银行通过电子渠道验证和辨别客户身份,应采用双(多)因素验证方式对客户身份进行鉴别,对不具备双(多)因素认证条件的客户,其任何账户不得与第三方支付机构建立业务关联。

  五、商业银行对账户与第三方支付机构建立业务关联的客户,应开通至少一种账户变动即时通知技术方式,不具备即时通知条件的客户,不得通过银行与第三方支付机构建立一次签约、多次支付的业务合作关系。

  六、商业银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额。

  商业银行应向客户提供临时调整支付限额的服务,在进行身份验证和辨别后,按照客户申请,在临时期限内可以适当调整单笔支付限额和日累计支付限额。

  七、商业银行应对客户通过第三方支付机构进行大额资金划转强化身份认证,确保由客户本人发出资金划转要求。商业银行在与第三方支付机构签订业务合作协议时,应就非商业银行直接进行客户身份认证的批量扣款或电子支付,与第三方支付机构就赔付责任达成一致。

  八、对预留手机号码且设定短信通知的客户,商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一致性检验,通过后方可进行支付。如果银行已按照前述要求在业务关联时进行了相关信息验证,确保客户身份真实可靠,在交易时可以无需再次验证。

  九、商业银行应保留完整的支付信息,在相关法律法规规定的期限内妥善保管,并向客户提供第三方支付机构的签约查询和交易查询功能。

  十、商业银行应就大额支付、可疑支付及时通知客户。对开通短信或其他方式即时通知功能的客户,应就每一笔支付交易即时通知客户。通知信息中包含但不限于第三方支付机构名称、交易金额、交易时间等。

  十一、商业银行应明确要求第三方支付机构不得在未经授权的情况下屏蔽本银行的支付界面与接口。

  十二、从银行账户划出的支付交易资金,遇到交易终止、失败应划回原银行账户。

  十三、商业银行接受客户申请,通过身份验证后,应当提供可以撤销客户账户与第三方支付机构业务合作关联的服务。

  十四、商业银行应将与第三方支付机构的合作业务纳入全行业务运营风险监测系统的监控范围,对其中的商户和客户在本行的账户资金活动情况进行实时监控,达到风险标准的应组织核查。特别是对其中大额、异常的资金收付应做到逐笔监测、认真核查、及时预警、及时控制。

  十五、商业银行应对客户通过第三方支付机构进行的交易建立自动化的交易监控机制和风险监控模型,及时发现和处置异常行为、套现或欺诈事件。

  十六、商业银行应做好数据和操作指令的整理和日志备份,便于事后检查和审计。商业银行与第三方支付机构合作开展的各项业务,凡涉及备付金存放和资金划转的,均应建立每日对账制度,严格执行备付金银行及备付金银行账户相关监管要求,不得使用或变相使用银行内部账户以待清算资金等名义为第三方支付机构存放客户备付金。商业银行应就第三方支付机构备付金存管业务建立统一管理机制,未经总行书面授权,任何分支机构不得直接与第三方支付机构合作开展备付金存管业务,强化备付金的监督管理。

  十七、商业银行应采取技术措施保障来自第三方支付机构的传输数据(如客户数据、交易数据等)和操作指令(如支付指令、身份验证指令等)的完整性、一致性和不可抵赖性。对不具备对等安全保障能力的第三方支付机构,原则上应不予合作。

  十八、银行应构建安全的网络通道(如专线连接、VPN通道等),指定安全边界(如部署防火墙、DMZ隔离区等),防止第三方支付机构越界访问。

  十九、商业银行应按照本通知各项要求,做好相应的制度及合同修订工作。相关工作最迟应于2014年6月30日前完成。

  二十、其他银行业金融机构开展相关业务时,参照本通知执行。

  特此通知。

  中国银行业监督管理委员会

  中国人民银行

  2014年4月3日