客户资金保护

  (1)对使用支付工具和访问支付账户的限制

  1.《中华人民共和国反电信网络诈骗法》第十八条第(三)款 对监测识别的异常账户和可疑交易,银行业金融机构、非银行支付机构应当根据风险情况,采取核实交易情况、重新核验身份、延迟支付结算、限制或者中止有关业务等必要的防范措施。

  2.《电子支付指引(第一号)》(中国人民银行公告[2005]第23号)第二十七条 银行使用客户资料、交易记录等,不得超出法律法规许可和客户授权的范围。银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外,银行应当拒绝除客户本人以外的任何单位或个人的查询。

  第三十一条 银行应确保对电子支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制:(一)确保进入电子支付业务账户或敏感系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的,而且审计监督应能恰当地反映出这些篡改的企图。

  3.《中国人民银行关于加强银行卡业务管理的通知》(银发〔2014〕5号) 对于从事资金借贷、理财服务等投融资经营活动的特约商户,收单机构不得为其开通信用卡受理功能。

  4.《关于进一步促进信用卡业务规范健康发展的通知》(银保监规〔2022〕13号)第四条第(十六)款 银行业金融机构应当采取有效措施及时、准确监测和管控信用卡资金实际用途。信用卡资金不得用于偿还贷款、投资等领域,严禁流入政策限制或者禁止性领域。

  5.《银行卡收单业务管理办法》第十九条 收单机构应当综合考虑特约商户的区域和行业特征、经营规模、财务和资信状况等因素,对实体特约商户、网络特约商户分别进行风险评级。对于风险等级较高的特约商户,收单机构应当对其开通的受理卡种和交易类型进行限制,并采取强化交易监测、设置交易限额、延迟结算、增加检查频率、建立特约商户风险准备金等风险管理措施。

  6.《中国人民银行关于加强支付受理终端及相关业务管理的通知》(银发〔2021〕259号)第一条第(二)款第3目第2段 条码支付收款服务机构应当采取有效措施禁止个人静态收款条码被用于远程非面对面收款。确有必要进行远程非面对面收款的,条码支付收款服务机构应当对相应收款人实行白名单管理,并审慎确定白名单准入条件与规模、个人静态收款条码的有效期、使用次数和交易限额。对于通过截屏、下载等方式保存的个人动态收款条码,应当参照执行个人静态收款条码有关规定。

  第三条第(三)款 支付受理终端位置监测。支付受理终端位置监测。收单机构应当运用支付受理终端定位技术,或采取与银行、支付机构、清算机构等为付款人提供付款扫码相关支付服务的机构(以下统称条码支付付款服务机构)开展联合监测等有效措施,监测实体特约商户支付受理终端的实际位置,并核验支付受理终端实际位置与登记布放地理位置(特约商户经营地址)的一致性。清算机构应当制定联合监测相关标准和规则,通过条码支付付款服务机构传输的付款人移动终端位置信息,或其他关于支付受理终端实际位置的推算方式,对支付受理终端位置进行核验。

  7.《支付机构预付卡业务管理办法》(中国人民银行公告〔2012〕第12号发布)

  第七条发卡机构发行的预付卡应当以人民币计价,单张记名预付卡资金限额不超过5000元,单张不记名预付卡资金限额不超过1000元。中国人民银行可视情况调整预付卡资金限额。

  第十二条单位一次性购买预付卡 5000 元以上 , 个人一次性 购买预付卡 5 万元以上的,应当通过银行转账等非现金结算方式购买,不得使用现金。购卡人不得使用信用卡购买预付卡。。

  第三十条预付卡不得用于网络支付渠道,下列情形除外:(一)缴纳公共事业费;(二)在本发卡机构合法拓展的实体特约商户的网络商店中使用;(三)同时获准办理 “ 互联网支付 ” 业务的发卡机构,其发行的预付卡可向在本发卡机构开立的实名网络支付账户充值,但同一客户的所有网络支付账户的年累计充值金额合计不超过5000 元。以上情形下的预付卡交易,均应当由发卡机构自主受理,不得由受理机构受理。、

  8.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)

  第十一条支付机构应根据客户身份对同一客户在本机构开立的所有支付账户进行关联管理,并按照下列要求对个人支付账户进行分类管理:(一)对于以非面对面方式通过至少一个合法安全的外部渠道进行身份基本信息验证,且为首次在本机构开立支付账户的个人客户,支付机构可以为其开立Ⅰ类支付账户,账户余额仅可用于消费和转账,余额付款交易自账户开立起累计不超过1000元(包括支付账户向客户本人同名银行账户转账);(二)对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户,或以非面对面方式通过至少三个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户,支付机构可以为其开立Ⅱ类支付账户,账户余额仅可用于消费和转账,其所有支付账户的余额付款交易年累计不超过10万元(不包括支付账户向客户本人同名银行账户转账);(三)对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户,或以非面对面方式通过至少五个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户,支付机构可以为其开立Ⅲ类支付账户,账户余额可以用于消费、转账以及购买投资理财等金融类产品,其所有支付账户的余额付款交易年累计不超过20万元(不包括支付账户向客户本人同名银行账户转账)。客户身份基本信息外部验证渠道包括但不限于政府部门数据库、商业银行信息系统、商业化数据库等。其中,通过商业银行验证个人客户身份基本信息的,应为Ⅰ类银行账户或信用卡。

  9.《非银行支付机构监督管理条例》(国务院令第768号)第二十六条 非银行支付机构应当以清算机构、银行业金融机构、其他非银行支付机构认可的安全认证方式访问账户,不得违反规定留存银行账户、支付账户敏感信息。

  第二十七条 非银行支付机构应当根据用户发起的支付指令划转备付金,用户备付金被依法冻结、扣划的除外。

  第三十二条 非银行支付机构应当对用户信息严格保密,采取有效措施防止未经授权的访问以及用户信息泄露、篡改、丢失,不得非法买卖、提供或者公开用户信息。

  (2)用户与支付工具和安全凭证有关的义务

  1.《中华人民共和国电子商务法》第五十七条 用户应当妥善保管交易密码、电子签名数据等安全工具。用户发现安全工具遗失、被盗用或者未经授权的支付的,应当及时通知电子支付服务提供者。

  2.《中华人民共和国电子签名法》 第十五条 电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据;

  第二十七条 电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。

  3.《中华人民共和国反电信网络诈骗法》第三十一条 任何单位和个人不得非法买卖、出租、出借电话卡、物联网卡、电信线路、短信端口、银行账户、支付账户、互联网账号等,不得提供实名核验帮助;不得假冒他人身份或者虚构代理关系开立上述卡、账户、账号等。

  4.《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号发布)第十二条 收单机构(包括银行和支付机构)在银行卡受理协议中,应当要求特约商户履行以下基本义务:(一)基于真实的商品或服务交易背景受理银行卡,并遵守相应银行卡品牌的受理要求,不得歧视和拒绝同一银行卡品牌的不同发卡银行的持卡人;(二)按规定使用受理终端(网络支付接口)和收单银行结算账户,不得利用其从事或协助他人从事非法活动;(三)妥善处理交易数据信息、保存交易凭证,保障交易信息安全;(四)不得因持卡人使用银行卡而向持卡人收取或变相收取附加费用,或降低服务水平。

  5.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)第十三条 客户与银行签订的电子支付协议应包括以下内容:(一)客户指定办理电子支付业务的账户名称和账号;(二)客户应保证办理电子支付业务账户的支付能力;(三)双方约定的电子支付类型、交易规则、认证方式等;(四)银行对客户提供的申请资料和其他信息的保密义务;(五)银行根据客户要求提供交易记录的时间和方式;(六)争议、差错处理和损害赔偿责任。

  第十四条 有以下情形之一的,客户应及时向银行提出电子或书面申请:(一)终止电子支付协议的;(二)客户基本资料发生变更的;(三)约定的认证方式需要变更的;(四)有关电子支付业务资料、存取工具被盗或遗失的;(五)客户与银行约定的其他情形。

  第十六条 客户应按照其与发起行的协议规定,发起电子支付指令。

  第四十四条 客户应妥善保管、使用电子支付交易存取工具。有关电子支付业务资料、存取工具被盗或遗失,应按约定方式和程序及时通知银行。

  6.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第七条 支付机构应当与客户签订服务协议,约定双方责任、权利和义务,至少明确业务规则[包括但不限于业务功能和流程、身份识别和交易验证方式、资金结算方式等],收费项目和标准,查询、差错争议及投诉等服务流程和规则,业务风险和非法活动防范及处置措施,客户损失责任划分和赔付规则等内容。支付机构为客户开立支付账户的,还应在服务协议中以显著方式告知客户,并采取有效方式确认客户充分知晓并清晰理解下列内容:“支付账户所记录的资金余额不同于客户本人的银行存款,不受《存款保险条例》保护,其实质为客户委托支付机构保管的、所有权归属于客户的预付价值。该预付价值对应的货币资金虽然属于客户,但不以客户本人名义存放在银行,而是以支付机构名义存放在银行,并且由支付机构向银行发起资金调拨指令。”支付机构应当确保协议内容清晰、易懂,并以显著方式提示客户注意与其有重大利害关系的事项。

  (3)PSP在执行支付交易之前验证支付服务用户的身份

  1.《中华人民共和国反洗钱法》第十六条 金融机构应当按照规定建立客户身份识别制度。金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记。客户由他人代理办理业务的,金融机构应当同时对代理人和被代理人的身份证件或者其他身份证明文件进行核对并登记。与客户建立人身保险、信托等业务关系,合同的受益人不是客户本人的,金融机构还应当对受益人的身份证件或者其他身份证明文件进行核对并登记。金融机构不得为身份不明的客户提供服务或者与其进行交易,不得为客户开立匿名账户或者假名账户。金融机构对先前获得的客户身份资料的真实性、有效性或者完整性有疑问的,应当重新识别客户身份。任何单位和个人在与金融机构建立业务关系或者要求金融机构为其提供一次性金融服务时,都应当提供真实有效的身份证件或者其他身份证明文件。

  2.《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发〔2014〕10号)第三条 客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。

  3.《电子支付指引》(中国人民银行公告[2005]第23号)第十七条 电子支付指令的发起行应建立必要的安全程序,对客户身份和电子支付指令进行确认,并形成日志文件等记录,保存至交易后5年。

  4.《电子银行业务管理办法》(中国银行业监督管理委员会令2006年第5号)第四十条 规定金融机构应采取适当的措施和采用适当的技术,识别与验证使用电子银行服务客户的真实、有效身份,并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等实施有效管理。

  5.《非银行支付机构监督管理条例》(国务院令第768号)第二十一条 非银行支付机构应当建立持续有效的用户尽职调查制度,按照规定识别并核实用户身份,了解用户交易背景和风险状况,并采取相应的风险管理措施。

  6.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第十条 支付机构向客户开户银行发送支付指令,扣划客户银行账户资金的,支付机构和银行应当执行下列要求:(一)支付机构应当事先或在首笔交易时自主识别客户身份并分别取得客户和银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金;(二)银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议,明确约定扣款适用范围和交易验证方式,设立与客户风险承受能力相匹配的单笔和单日累计交易限额,承诺无条件全额承担此类交易的风险损失先行赔付责任;(三)除单笔金额不超过200 元的小额支付业务,公共事业缴费、税费缴纳、信用卡还款等收款人固定并且定期发生的支付业务,以及符合第三十七条规定的情形以外,支付机构不得代替银行进行交易验证。

客户资金保护

  (1)对使用支付工具和访问支付账户的限制

  1.《中华人民共和国反电信网络诈骗法》第十八条第(三)款 对监测识别的异常账户和可疑交易,银行业金融机构、非银行支付机构应当根据风险情况,采取核实交易情况、重新核验身份、延迟支付结算、限制或者中止有关业务等必要的防范措施。

  2.《电子支付指引(第一号)》(中国人民银行公告[2005]第23号)第二十七条 银行使用客户资料、交易记录等,不得超出法律法规许可和客户授权的范围。银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外,银行应当拒绝除客户本人以外的任何单位或个人的查询。

  第三十一条 银行应确保对电子支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制:(一)确保进入电子支付业务账户或敏感系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的,而且审计监督应能恰当地反映出这些篡改的企图。

  3.《中国人民银行关于加强银行卡业务管理的通知》(银发〔2014〕5号) 对于从事资金借贷、理财服务等投融资经营活动的特约商户,收单机构不得为其开通信用卡受理功能。

  4.《关于进一步促进信用卡业务规范健康发展的通知》(银保监规〔2022〕13号)第四条第(十六)款 银行业金融机构应当采取有效措施及时、准确监测和管控信用卡资金实际用途。信用卡资金不得用于偿还贷款、投资等领域,严禁流入政策限制或者禁止性领域。

  5.《银行卡收单业务管理办法》第十九条 收单机构应当综合考虑特约商户的区域和行业特征、经营规模、财务和资信状况等因素,对实体特约商户、网络特约商户分别进行风险评级。对于风险等级较高的特约商户,收单机构应当对其开通的受理卡种和交易类型进行限制,并采取强化交易监测、设置交易限额、延迟结算、增加检查频率、建立特约商户风险准备金等风险管理措施。

  6.《中国人民银行关于加强支付受理终端及相关业务管理的通知》(银发〔2021〕259号)第一条第(二)款第3目第2段 条码支付收款服务机构应当采取有效措施禁止个人静态收款条码被用于远程非面对面收款。确有必要进行远程非面对面收款的,条码支付收款服务机构应当对相应收款人实行白名单管理,并审慎确定白名单准入条件与规模、个人静态收款条码的有效期、使用次数和交易限额。对于通过截屏、下载等方式保存的个人动态收款条码,应当参照执行个人静态收款条码有关规定。

  第三条第(三)款 支付受理终端位置监测。支付受理终端位置监测。收单机构应当运用支付受理终端定位技术,或采取与银行、支付机构、清算机构等为付款人提供付款扫码相关支付服务的机构(以下统称条码支付付款服务机构)开展联合监测等有效措施,监测实体特约商户支付受理终端的实际位置,并核验支付受理终端实际位置与登记布放地理位置(特约商户经营地址)的一致性。清算机构应当制定联合监测相关标准和规则,通过条码支付付款服务机构传输的付款人移动终端位置信息,或其他关于支付受理终端实际位置的推算方式,对支付受理终端位置进行核验。

  7.《支付机构预付卡业务管理办法》(中国人民银行公告〔2012〕第12号发布)

  第七条发卡机构发行的预付卡应当以人民币计价,单张记名预付卡资金限额不超过5000元,单张不记名预付卡资金限额不超过1000元。中国人民银行可视情况调整预付卡资金限额。

  第十二条单位一次性购买预付卡 5000 元以上 , 个人一次性 购买预付卡 5 万元以上的,应当通过银行转账等非现金结算方式购买,不得使用现金。购卡人不得使用信用卡购买预付卡。。

  第三十条预付卡不得用于网络支付渠道,下列情形除外:(一)缴纳公共事业费;(二)在本发卡机构合法拓展的实体特约商户的网络商店中使用;(三)同时获准办理 “ 互联网支付 ” 业务的发卡机构,其发行的预付卡可向在本发卡机构开立的实名网络支付账户充值,但同一客户的所有网络支付账户的年累计充值金额合计不超过5000 元。以上情形下的预付卡交易,均应当由发卡机构自主受理,不得由受理机构受理。、

  8.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)

  第十一条支付机构应根据客户身份对同一客户在本机构开立的所有支付账户进行关联管理,并按照下列要求对个人支付账户进行分类管理:(一)对于以非面对面方式通过至少一个合法安全的外部渠道进行身份基本信息验证,且为首次在本机构开立支付账户的个人客户,支付机构可以为其开立Ⅰ类支付账户,账户余额仅可用于消费和转账,余额付款交易自账户开立起累计不超过1000元(包括支付账户向客户本人同名银行账户转账);(二)对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户,或以非面对面方式通过至少三个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户,支付机构可以为其开立Ⅱ类支付账户,账户余额仅可用于消费和转账,其所有支付账户的余额付款交易年累计不超过10万元(不包括支付账户向客户本人同名银行账户转账);(三)对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户,或以非面对面方式通过至少五个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户,支付机构可以为其开立Ⅲ类支付账户,账户余额可以用于消费、转账以及购买投资理财等金融类产品,其所有支付账户的余额付款交易年累计不超过20万元(不包括支付账户向客户本人同名银行账户转账)。客户身份基本信息外部验证渠道包括但不限于政府部门数据库、商业银行信息系统、商业化数据库等。其中,通过商业银行验证个人客户身份基本信息的,应为Ⅰ类银行账户或信用卡。

  9.《非银行支付机构监督管理条例》(国务院令第768号)第二十六条 非银行支付机构应当以清算机构、银行业金融机构、其他非银行支付机构认可的安全认证方式访问账户,不得违反规定留存银行账户、支付账户敏感信息。

  第二十七条 非银行支付机构应当根据用户发起的支付指令划转备付金,用户备付金被依法冻结、扣划的除外。

  第三十二条 非银行支付机构应当对用户信息严格保密,采取有效措施防止未经授权的访问以及用户信息泄露、篡改、丢失,不得非法买卖、提供或者公开用户信息。

  (2)用户与支付工具和安全凭证有关的义务

  1.《中华人民共和国电子商务法》第五十七条 用户应当妥善保管交易密码、电子签名数据等安全工具。用户发现安全工具遗失、被盗用或者未经授权的支付的,应当及时通知电子支付服务提供者。

  2.《中华人民共和国电子签名法》 第十五条 电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据;

  第二十七条 电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。

  3.《中华人民共和国反电信网络诈骗法》第三十一条 任何单位和个人不得非法买卖、出租、出借电话卡、物联网卡、电信线路、短信端口、银行账户、支付账户、互联网账号等,不得提供实名核验帮助;不得假冒他人身份或者虚构代理关系开立上述卡、账户、账号等。

  4.《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号发布)第十二条 收单机构(包括银行和支付机构)在银行卡受理协议中,应当要求特约商户履行以下基本义务:(一)基于真实的商品或服务交易背景受理银行卡,并遵守相应银行卡品牌的受理要求,不得歧视和拒绝同一银行卡品牌的不同发卡银行的持卡人;(二)按规定使用受理终端(网络支付接口)和收单银行结算账户,不得利用其从事或协助他人从事非法活动;(三)妥善处理交易数据信息、保存交易凭证,保障交易信息安全;(四)不得因持卡人使用银行卡而向持卡人收取或变相收取附加费用,或降低服务水平。

  5.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)第十三条 客户与银行签订的电子支付协议应包括以下内容:(一)客户指定办理电子支付业务的账户名称和账号;(二)客户应保证办理电子支付业务账户的支付能力;(三)双方约定的电子支付类型、交易规则、认证方式等;(四)银行对客户提供的申请资料和其他信息的保密义务;(五)银行根据客户要求提供交易记录的时间和方式;(六)争议、差错处理和损害赔偿责任。

  第十四条 有以下情形之一的,客户应及时向银行提出电子或书面申请:(一)终止电子支付协议的;(二)客户基本资料发生变更的;(三)约定的认证方式需要变更的;(四)有关电子支付业务资料、存取工具被盗或遗失的;(五)客户与银行约定的其他情形。

  第十六条 客户应按照其与发起行的协议规定,发起电子支付指令。

  第四十四条 客户应妥善保管、使用电子支付交易存取工具。有关电子支付业务资料、存取工具被盗或遗失,应按约定方式和程序及时通知银行。

  6.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第七条 支付机构应当与客户签订服务协议,约定双方责任、权利和义务,至少明确业务规则[包括但不限于业务功能和流程、身份识别和交易验证方式、资金结算方式等],收费项目和标准,查询、差错争议及投诉等服务流程和规则,业务风险和非法活动防范及处置措施,客户损失责任划分和赔付规则等内容。支付机构为客户开立支付账户的,还应在服务协议中以显著方式告知客户,并采取有效方式确认客户充分知晓并清晰理解下列内容:“支付账户所记录的资金余额不同于客户本人的银行存款,不受《存款保险条例》保护,其实质为客户委托支付机构保管的、所有权归属于客户的预付价值。该预付价值对应的货币资金虽然属于客户,但不以客户本人名义存放在银行,而是以支付机构名义存放在银行,并且由支付机构向银行发起资金调拨指令。”支付机构应当确保协议内容清晰、易懂,并以显著方式提示客户注意与其有重大利害关系的事项。

  (3)PSP在执行支付交易之前验证支付服务用户的身份

  1.《中华人民共和国反洗钱法》第十六条 金融机构应当按照规定建立客户身份识别制度。金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记。客户由他人代理办理业务的,金融机构应当同时对代理人和被代理人的身份证件或者其他身份证明文件进行核对并登记。与客户建立人身保险、信托等业务关系,合同的受益人不是客户本人的,金融机构还应当对受益人的身份证件或者其他身份证明文件进行核对并登记。金融机构不得为身份不明的客户提供服务或者与其进行交易,不得为客户开立匿名账户或者假名账户。金融机构对先前获得的客户身份资料的真实性、有效性或者完整性有疑问的,应当重新识别客户身份。任何单位和个人在与金融机构建立业务关系或者要求金融机构为其提供一次性金融服务时,都应当提供真实有效的身份证件或者其他身份证明文件。

  2.《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发〔2014〕10号)第三条 客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。

  3.《电子支付指引》(中国人民银行公告[2005]第23号)第十七条 电子支付指令的发起行应建立必要的安全程序,对客户身份和电子支付指令进行确认,并形成日志文件等记录,保存至交易后5年。

  4.《电子银行业务管理办法》(中国银行业监督管理委员会令2006年第5号)第四十条 规定金融机构应采取适当的措施和采用适当的技术,识别与验证使用电子银行服务客户的真实、有效身份,并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等实施有效管理。

  5.《非银行支付机构监督管理条例》(国务院令第768号)第二十一条 非银行支付机构应当建立持续有效的用户尽职调查制度,按照规定识别并核实用户身份,了解用户交易背景和风险状况,并采取相应的风险管理措施。

  6.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第十条 支付机构向客户开户银行发送支付指令,扣划客户银行账户资金的,支付机构和银行应当执行下列要求:(一)支付机构应当事先或在首笔交易时自主识别客户身份并分别取得客户和银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金;(二)银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议,明确约定扣款适用范围和交易验证方式,设立与客户风险承受能力相匹配的单笔和单日累计交易限额,承诺无条件全额承担此类交易的风险损失先行赔付责任;(三)除单笔金额不超过200 元的小额支付业务,公共事业缴费、税费缴纳、信用卡还款等收款人固定并且定期发生的支付业务,以及符合第三十七条规定的情形以外,支付机构不得代替银行进行交易验证。