客户资金保护
(1)允许付款人在处理时间前,单方面取消或修改支付交易
1.《中国人民银行关于加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)第二条第(八)款 增加转账方式,调整转账时间。自2016年12月1日起,银行和支付机构提供转账服务时应当执行下列规定:1.向存款人提供实时到账、普通到账、次日到账等多种转账方式选择,存款人在选择后才能办理业务。2.除向本人同行账户转账外,个人通过自助柜员机(含其他具有存取款功能的自助设备,下同)转账的,发卡行在受理24小时后办理资金转账。在发卡行受理后24小时内,个人可以向发卡行申请撤销转账。受理行应当在受理结果界面对转账业务办理时间和可撤销规定作出明确提示。
2.《支付结算办法》(银发〔1997〕393号印发)第一百七十七条 汇款人对汇出银行尚未汇出的款项可以申请撤销。申请撤销时,应出具正式函件或本人身份证件及原信、电汇回单。汇出银行查明确未汇出款项的,收回原信、电汇回单,方可办理撤销。
3.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)第十六条 客户应按照其与发起行的协议规定,发起电子支付指令。
第十八条 发起行应采取有效措施,在客户发出电子支付指令前,提示客户对指令的准确性和完整性进行确认。
第十九条 发起行应确保正确执行客户的电子支付指令,对电子支付指令进行确认后,应能够向客户提供纸质或电子交易回单。发起行执行通过安全程序的电子支付指令后,客户不得要求变更或撤销电子支付指令。
第四十六条第(二)款 银行发现因客户原因造成电子支付指令未执行、未适当执行、延迟执行的,应主动通知客户改正或配合客户采取补救措施。
4.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)第二十七条 支付机构应当采取有效措施,确保客户在执行支付指令前可对收付款客户名称和账号、交易金额等交易信息进行确认,并在支付指令完成后及时将结果通知客户。因交易超时、无响应或者系统故障导致支付指令无法正常处理的,支付机构应当及时提示客户;因客户原因造成支付指令未执行、未适当执行、延迟执行的,支付机构应当主动通知客户更改或者协助客户采取补救措施。
5.《非银行支付机构客户备付金存管办法》(中国人民银行令〔2021〕第1号发布)第二十八条 非银行支付机构应当在收到客户备付金或者客户划转客户备付金不可撤销的支付指令后,办理客户委托的支付业务。
(2)保护非银行PSP持有的客户资金
1.《非银行支付机构监督管理条例》(国务院令第768号)第七条设立非银行支付机构,应当符合《中华人民共和国公司法》的规定,并具备以下条件:(一)有符合本条例规定的注册资本;(二)主要股东、实际控制人财务状况和诚信记录良好,最近3年无重大违法违规记录;主要股东、实际控制人为公司的,其股权结构应当清晰透明,不存在权属纠纷;(三)拟任董事、监事和高级管理人员熟悉相关法律法规,具有履行职责所需的经营管理能力,最近3年无重大违法违规记录;(四)有符合规定的经营场所、安全保障措施以及业务系统、设施和技术;(五)有健全的公司治理结构、内部控制和风险管理制度、退出预案以及用户权益保障机制;(六)法律、行政法规以及中国人民银行规章规定的其他审慎性条件。
第十四条 非银行支付机构拟终止支付业务的,应当向中国人民银行申请注销支付业务许可。非银行支付机构申请注销支付业务许可或者被中国人民银行吊销支付业务许可证、撤销支付业务许可的,应当按照规定制定切实保障用户资金和信息安全的方案,并向用户公告。非银行支付机构解散的,还应当依法进行清算,清算过程接受中国人民银行的监督。
第二十七条 非银行支付机构应当根据用户发起的支付指令划转备付金,用户备付金被依法冻结、扣划的除外。本条例所称备付金,是指非银行支付机构为用户办理支付业务而实际收到的预收待付货币资金。非银行支付机构不得以任何形式挪用、占用、借用备付金,不得以备付金为自己或者他人提供担保。
第二十九条 非银行支付机构应当将备付金存放在中国人民银行或者符合中国人民银行要求的商业银行。任何单位和个人不得对非银行支付机构存放备付金的账户申请冻结或者强制执行,法律另有规定的除外。
第四章 监督管理 明确了对支付机构审慎监督的各类细项要求。
2.《非银行支付机构监督管理条例实施细则》(中国人民银行令〔2024〕第4号)第六条 《条例》所称其他审慎性条件是指具有良好的资本实力、风险管理能力、业务合规能力等符合审慎经营规则的条件。
3.《非银行支付机构客户备付金存管办法》(中国人民银行令〔2021〕第1号)第四条 非银行支付机构接收的客户备付金应当直接全额交存至中国人民银行或者符合要求的商业银行。非银行支付机构因发行预付卡或者为预付卡充值所直接接收的客户备付金应当通过预付卡备付金专用存款账户统一交存至备付金集中存管账户。
第五条 客户备付金只能用于办理客户委托的支付业务和本办法规定的其他情形。任何单位和个人不得挪用、占用、借用客户备付金,不得以客户备付金提供担保。
第七条 非银行支付机构、清算机构和备付金银行应当按照法律法规、本办法以及双方协议约定,开展客户备付金存管业务,保障客户备付金安全完整,维护客户合法权益。
第二十条 非银行支付机构应当确定一个自有资金账户,向住所地中国人民银行分支机构备案,并将账户信息书面告知清算机构。非银行支付机构应当将备案自有资金账户与其预付卡备付金专用存款账户、特定业务待结算资金专用存款账户分户管理。
第二十三条 非银行支付机构开展预付卡发行与受理业务时,应当选择符合以下要求的商业银行作为备付金银行:(一)总资产不得低于1000亿元,有关资本充足率、杠杆率、流动性等风险控制指标符合监管规定;(二)具备监督客户备付金的能力和条件,包括健全的客户备付金业务操作办法和规程,熟悉客户备付金存管业务的管理人员,监测、核对客户备付金信息的技术能力,能够按规定建立客户备付金存管系统;(三)境内分支机构数量和网点分布能够满足非银行支付机构的支付业务需要,并具有与非银行支付机构业务规模相匹配的系统处理能力;(四)具备必要的灾难恢复处理能力和应急处理能力,能够确保业务的连续性;(五)满足中国人民银行基于保护客户备付金安全、维护消费者合法权益所规定的其他要求。
第三十五条 非银行支付机构应当缴纳行业保障基金,用于弥补客户备付金特定损失以及中国人民银行规定的其他用途。行业保障基金管理办法由中国人民银行另行制定。
第四章 监督管理 明确了对支付机构备付金审慎监督的各类细项要求。
4.《存款保险条例》(中华人民共和国国务院令第660号发布)第二条 在中华人民共和国境内设立的商业银行、农村合作银行、农村信用合作社等吸收存款的银行业金融机构(以下统称投保机构),应当依照本条例的规定投保存款保险。
第五条 存款保险实行限额偿付,最高偿付限额为人民币50万元。中国人民银行会同国务院有关部门可以根据经济发展、存款结构变化、金融风险状况等因素调整最高偿付限额,报国务院批准后公布执行。同一存款人在同一家投保机构所有被保险存款账户的存款本金和利息合并计算的资金数额在最高偿付限额以内的,实行全额偿付;超出最高偿付限额的部分,依法从投保机构清算财产中受偿。存款保险基金管理机构偿付存款人的被保险存款后,即在偿付金额范围内取得该存款人对投保机构相同清偿顺序的债权。社会保险基金、住房公积金存款的偿付办法由中国人民银行会同国务院有关部门另行制定,报国务院批准。
(3)关于可疑活动的通知要求
1.《中华人民共和国反电信网络诈骗法》第十八条第(一)款 银行业金融机构、非银行支付机构应当对银行账户、支付账户及支付结算服务加强监测,建立完善符合电信网络诈骗活动特征的异常账户和可疑交易监测机制。
第十八条第(三)款 对监测识别的异常账户和可疑交易,银行业金融机构、非银行支付机构应当根据风险情况,采取核实交易情况、重新核验身份、延迟支付结算、限制或者中止有关业务等必要的防范措施。
2.《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)第四条第(十六)款 加强账户监测。银行和支付机构应当加强对银行账户和支付账户的监测,建立和完善可疑交易监测模型,账户及其资金划转具有集中转入分散转出等可疑交易特征的,应当列入可疑交易。对于列入可疑交易的账户,银行和支付机构应当与相关单位或者个人核实交易情况;经核实后银行和支付机构仍然认定账户可疑的,银行应当暂停账户非柜面业务,支付机构应当暂停账户所有业务,并按照规定报送可疑交易报告或者重点可疑交易报告;涉嫌违法犯罪的,应当及时向当地公安机关报告。
3.《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发 [2019] 85号)第四条第(十五)强化收单业务风险监测。收单机构、清算机构应当强化收单业务风险管理,持续监测和分析交易金额、笔数、类型、时间、频率和收款方、付款方等特征,完善可疑交易监测模型。收单机构发现交易金额、时间、频率与特约商户经营范围、规模不相符等异常情形的,应当对特约商户采取延迟资金结算、设置收款限额、暂停银行卡交易、收回受理终端(关闭网络支付接口)等措施;发现涉嫌电信网络新型违法犯罪的,应当立即向公安机关报告。收单机构应当与特约商户签订受理协议时明确上述规定。
4.《条码支付业务规范(试行)》(银发〔2017〕296号印发)第四十二条 银行、支付机构应建立条码支付交易风险监测体系,及时发现可疑交易,并采取阻断交易、联系客户核实交易等方式防范交易风险。
5.《金融机构大额交易和可疑交易报告管理办法》(中国人民银行令〔2016〕第3号发布)第三条 金融机构应当履行大额交易和可疑交易报告义务,向中国反洗钱监测分析中心报送大额交易 和可疑交易报告,接受中国人民银行及其分支机构的监督、检查。
(4)要求纠正未经授权或执行错误的交易
1.《中华人民共和国电子商务法》第五十五条 用户在发出支付指令前,应当核对支付指令所包含的金额、收款人等完整信息。支付指令发生错误的,电子支付服务提供者应当及时查找原因,并采取相关措施予以纠正。造成用户损失的,电子支付服务提供者应当承担赔偿责任,但能够证明支付错误非自身原因造成的除外。
第五十七条 用户应当妥善保管交易密码、电子签名数据等安全工具。用户发现安全工具遗失、被盗用或者未经授权的支付的,应当及时通知电子支付服务提供者。未经授权的支付造成的损失,由电子支付服务提供者承担;电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任。电子支付服务提供者发现支付指令未经授权,或者收到用户支付指令未经授权的通知时,应当立即采取措施防止损失扩大。电子支付服务提供者未及时采取措施导致损失扩大的,对损失扩大部分承担责任。
2.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)第四十三条 接收行由于自身系统或内控制度等原因对电子支付指令未执行、未适当执行或迟延执行致使客户款项未准确入账的,应及时纠正。
第四十五条 非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过发起行的安全程序的,发起行应积极配合客户查找原因,尽量减少客户损失。
第四十六条 客户发现自身未按规定操作,或由于自身其他原因造成电子支付指令未执行、未适当执行、延迟执行的,应在协议约定的时间内,按照约定程序和方式通知银行。银行应积极调查并告知客户调查结果。银行发现因客户原因造成电子支付指令未执行、未适当执行、延迟执行的,应主动通知客户改正或配合客户采取补救措施。
3.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第二十七条 支付机构应当采取有效措施,确保客户在执行支付指令前可对收付款客户名称和账号、交易金额等交易信息进行确认,并在支付指令完成后及时将结果通知客户。因交易超时、无响应或者系统故障导致支付指令无法正常处理的,支付机构应当及时提示客户;因客户原因造成支付指令未执行、未适当执行、延迟执行的,支付机构应当主动通知客户更改或者协助客户采取补救措施。
(5)关于欺诈责任的一般规定
1.《中华人民共和国反电信网络诈骗法》第六条 国务院建立反电信网络诈骗工作机制,统筹协调打击治理工作。地方各级人民政府组织领导本行政区域内反电信网络诈骗工作,确定反电信网络诈骗目标任务和工作机制,开展综合治理。公安机关牵头负责反电信网络诈骗工作,金融、电信、网信、市场监管等有关部门依照职责履行监管主体责任,负责本行业领域反电信网络诈骗工作。人民法院、人民检察院发挥审判、检察职能作用,依法防范、惩治电信网络诈骗活动。电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,加强新业务涉诈风险安全评估。
第四十条 银行业金融机构、非银行支付机构违反本法规定,有下列情形之一的,由有关主管部门责令改正,情节较轻的,给予警告、通报批评,或者处五万元以上五十万元以下罚款;情节严重的,处五十万元以上五百万元以下罚款,并可以由有关主管部门责令停止新增业务、缩减业务类型或者业务范围、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对其直接负责的主管人员和其他直接责任人员,处一万元以上二十万元以下罚款:(一)未落实国家有关规定确定的反电信网络诈骗内部控制机制的;(二)未履行尽职调查义务和有关风险管理措施的;(三)未履行对异常账户、可疑交易的风险监测和相关处置义务的;(四)未按照规定完整、准确传输有关交易信息的。
2.《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)第一条第(三)款 建立对买卖银行账户和支付账户、冒名开户的惩戒机制。自2017年1月1日起,银行和支付机构对经设区的市级及以上公安机关认定的出租、出借、出售、购买银行账户(含银行卡,下同)或者支付账户的单位和个人及相关组织者,假冒他人身份或者虚构代理关系开立银行账户或者支付账户的单位和个人,5年内暂停其银行账户非柜面业务、支付账户所有业务,3年内不得为其新开立账户。人民银行将上述单位和个人信息移送金融信用信息基础数据库并向社会公布。
3.《关于进一步促进信用卡业务规范健康发展的通知》(银保监规〔2022〕13号)(十六)银行业金融机构、收单机构、清算机构应当建立健全对套现、盗刷等异常用卡行为和非法资金交易的监测分析和拦截机制,对可疑信用卡、可疑交易依法采取管控措施,持续有效防控套现、欺诈风险,防范信用卡被用于违法犯罪活动。
4.《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号)第三十四条 收单机构发现特约商户发生疑似银行卡套现、 洗钱、欺诈、移机、留存或泄漏持卡人账户信息等风险事件的, 应当对特约商户采取延迟资金结算、暂停银行卡交易或收回受理 终端(关闭网络支付接口)等措施,并承担因未采取措施导致的风险损失责任;发现涉嫌违法犯罪活动的,应当及时向公安机关报案。
5.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第十七条 支付机构应当综合客户类型、身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度和机制,并动态调整客户风险评级及相关风险控制措施。支付机构应当根据客户风险评级、交易验证方式、交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间、商户类别等因素,建立交易风险管理制度和交易监测系统,对疑似欺诈、套现、洗钱、非法融资、恐怖融资等交易,及时采取调查核实、延迟结算、终止服务等措施。
(6)PSP对未经授权付款的责任
1.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)第三十四条 银行采用数字证书或电子签名方式进行客户身份认证和交易授权的,提倡由合法的第三方认证机构提供认证服务。如客户因依据该认证服务进行交易遭受损失,认证服务机构不能证明自己无过错,应依法承担相应责任。
第四十五条 非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过发起行的安全程序的,发起行应积极配合客户查找原因,尽量减少客户损失。
2.《电子银行业务管理办法》中国银行业监督管理委员会令(2006年第5号)第八十九条 金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应责任。因客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据服务协议的约定免于承担相应责任,但法律法规另有规定的除外。
3.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第十条 支付机构向客户开户银行发送支付指令,扣划客户银行账户资金的,支付机构和银行应当执行下列要求:(一)支付机构应当事先或在首笔交易时自主识别客户身份并分别取得客户和银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金;(二)银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议,明确约定扣款适用范围和交易验证方式,设立与客户风险承受能力相匹配的单笔和单日累计交易限额,承诺无条件全额承担此类交易的风险损失先行赔付责任;(三)除单笔金额不超过200 元的小额支付业务,公共事业缴费、税费缴纳、信用卡还款等收款人固定并且定期发生的支付业务,以及符合第三十七条规定的情形以外,支付机构不得代替银行进行交易验证。
第十九条 支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失及时先行全额赔付,保障客户合法权益。支付机构应于每年1月31日前,将前一年度发生的风险事件、客户风险损失发生和赔付等情况在网站对外公告。支付机构应在年度监管报告中如实反映上述内容和风险准备金计提、使用及结余等情况。
第二十四条 支付机构应根据交易验证方式的安全级别,按照下列要求对个人客户使用支付账户余额付款的交易进行限额管理:(一)支付机构采用包括数字证书或电子签名在内的两类(含)以上有效要素进行验证的交易,单日累计限额由支付机构与客户通过协议自主约定;(二)支付机构采用不包括数字证书、电子签名在内的两类(含)以上有效要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000 元(不包括支付账户向客户本人同名银行账户转账);(三)支付机构采用不足两类有效要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000 元(不包括支付账户向客户本人同名银行账户转账),且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。
4.《中华人民共和国电子商务法》第五十七条 用户应当妥善保管交易密码、电子签名数据等安全工具。用户发现安全工具遗失、被盗用或者未经授权的支付的,应当及时通知电子支付服务提供者。未经授权的支付造成的损失,由电子支付服务提供者承担;电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任。电子支付服务提供者发现支付指令未经授权,或者收到用户支付指令未经授权的通知时,应当立即采取措施防止损失扩大。电子支付服务提供者未及时采取措施导致损失扩大的,对损失扩大部分承担责任。
- 《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)
- 《支付结算办法》(银发〔1997〕393号印发)
- 《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)
- 《中华人民共和国反电信网络诈骗法》
- 《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)
- 《非银行支付机构客户备付金存管办法》(中国人民银行令〔2021〕第1号)
- 《非银行支付机构监督管理条例》(国务院令第768号)
- 《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发 [2019] 85号)
- 《条码支付业务规范(试行)》(银发〔2017〕296号印发)
- 《电子银行业务管理办法》中国银行业监督管理委员会令(2006年第5号)
- 《中华人民共和国电子商务法》
- 《关于进一步促进信用卡业务规范健康发展的通知》(银保监规〔2022〕13号)
- 《存款保险条例》(中华人民共和国国务院令第660号)
客户资金保护
(1)允许付款人在处理时间前,单方面取消或修改支付交易
1.《中国人民银行关于加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)第二条第(八)款 增加转账方式,调整转账时间。自2016年12月1日起,银行和支付机构提供转账服务时应当执行下列规定:1.向存款人提供实时到账、普通到账、次日到账等多种转账方式选择,存款人在选择后才能办理业务。2.除向本人同行账户转账外,个人通过自助柜员机(含其他具有存取款功能的自助设备,下同)转账的,发卡行在受理24小时后办理资金转账。在发卡行受理后24小时内,个人可以向发卡行申请撤销转账。受理行应当在受理结果界面对转账业务办理时间和可撤销规定作出明确提示。
2.《支付结算办法》(银发〔1997〕393号印发)第一百七十七条 汇款人对汇出银行尚未汇出的款项可以申请撤销。申请撤销时,应出具正式函件或本人身份证件及原信、电汇回单。汇出银行查明确未汇出款项的,收回原信、电汇回单,方可办理撤销。
3.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)第十六条 客户应按照其与发起行的协议规定,发起电子支付指令。
第十八条 发起行应采取有效措施,在客户发出电子支付指令前,提示客户对指令的准确性和完整性进行确认。
第十九条 发起行应确保正确执行客户的电子支付指令,对电子支付指令进行确认后,应能够向客户提供纸质或电子交易回单。发起行执行通过安全程序的电子支付指令后,客户不得要求变更或撤销电子支付指令。
第四十六条第(二)款 银行发现因客户原因造成电子支付指令未执行、未适当执行、延迟执行的,应主动通知客户改正或配合客户采取补救措施。
4.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)第二十七条 支付机构应当采取有效措施,确保客户在执行支付指令前可对收付款客户名称和账号、交易金额等交易信息进行确认,并在支付指令完成后及时将结果通知客户。因交易超时、无响应或者系统故障导致支付指令无法正常处理的,支付机构应当及时提示客户;因客户原因造成支付指令未执行、未适当执行、延迟执行的,支付机构应当主动通知客户更改或者协助客户采取补救措施。
5.《非银行支付机构客户备付金存管办法》(中国人民银行令〔2021〕第1号发布)第二十八条 非银行支付机构应当在收到客户备付金或者客户划转客户备付金不可撤销的支付指令后,办理客户委托的支付业务。
(2)保护非银行PSP持有的客户资金
1.《非银行支付机构监督管理条例》(国务院令第768号)第七条设立非银行支付机构,应当符合《中华人民共和国公司法》的规定,并具备以下条件:(一)有符合本条例规定的注册资本;(二)主要股东、实际控制人财务状况和诚信记录良好,最近3年无重大违法违规记录;主要股东、实际控制人为公司的,其股权结构应当清晰透明,不存在权属纠纷;(三)拟任董事、监事和高级管理人员熟悉相关法律法规,具有履行职责所需的经营管理能力,最近3年无重大违法违规记录;(四)有符合规定的经营场所、安全保障措施以及业务系统、设施和技术;(五)有健全的公司治理结构、内部控制和风险管理制度、退出预案以及用户权益保障机制;(六)法律、行政法规以及中国人民银行规章规定的其他审慎性条件。
第十四条 非银行支付机构拟终止支付业务的,应当向中国人民银行申请注销支付业务许可。非银行支付机构申请注销支付业务许可或者被中国人民银行吊销支付业务许可证、撤销支付业务许可的,应当按照规定制定切实保障用户资金和信息安全的方案,并向用户公告。非银行支付机构解散的,还应当依法进行清算,清算过程接受中国人民银行的监督。
第二十七条 非银行支付机构应当根据用户发起的支付指令划转备付金,用户备付金被依法冻结、扣划的除外。本条例所称备付金,是指非银行支付机构为用户办理支付业务而实际收到的预收待付货币资金。非银行支付机构不得以任何形式挪用、占用、借用备付金,不得以备付金为自己或者他人提供担保。
第二十九条 非银行支付机构应当将备付金存放在中国人民银行或者符合中国人民银行要求的商业银行。任何单位和个人不得对非银行支付机构存放备付金的账户申请冻结或者强制执行,法律另有规定的除外。
第四章 监督管理 明确了对支付机构审慎监督的各类细项要求。
2.《非银行支付机构监督管理条例实施细则》(中国人民银行令〔2024〕第4号)第六条 《条例》所称其他审慎性条件是指具有良好的资本实力、风险管理能力、业务合规能力等符合审慎经营规则的条件。
3.《非银行支付机构客户备付金存管办法》(中国人民银行令〔2021〕第1号)第四条 非银行支付机构接收的客户备付金应当直接全额交存至中国人民银行或者符合要求的商业银行。非银行支付机构因发行预付卡或者为预付卡充值所直接接收的客户备付金应当通过预付卡备付金专用存款账户统一交存至备付金集中存管账户。
第五条 客户备付金只能用于办理客户委托的支付业务和本办法规定的其他情形。任何单位和个人不得挪用、占用、借用客户备付金,不得以客户备付金提供担保。
第七条 非银行支付机构、清算机构和备付金银行应当按照法律法规、本办法以及双方协议约定,开展客户备付金存管业务,保障客户备付金安全完整,维护客户合法权益。
第二十条 非银行支付机构应当确定一个自有资金账户,向住所地中国人民银行分支机构备案,并将账户信息书面告知清算机构。非银行支付机构应当将备案自有资金账户与其预付卡备付金专用存款账户、特定业务待结算资金专用存款账户分户管理。
第二十三条 非银行支付机构开展预付卡发行与受理业务时,应当选择符合以下要求的商业银行作为备付金银行:(一)总资产不得低于1000亿元,有关资本充足率、杠杆率、流动性等风险控制指标符合监管规定;(二)具备监督客户备付金的能力和条件,包括健全的客户备付金业务操作办法和规程,熟悉客户备付金存管业务的管理人员,监测、核对客户备付金信息的技术能力,能够按规定建立客户备付金存管系统;(三)境内分支机构数量和网点分布能够满足非银行支付机构的支付业务需要,并具有与非银行支付机构业务规模相匹配的系统处理能力;(四)具备必要的灾难恢复处理能力和应急处理能力,能够确保业务的连续性;(五)满足中国人民银行基于保护客户备付金安全、维护消费者合法权益所规定的其他要求。
第三十五条 非银行支付机构应当缴纳行业保障基金,用于弥补客户备付金特定损失以及中国人民银行规定的其他用途。行业保障基金管理办法由中国人民银行另行制定。
第四章 监督管理 明确了对支付机构备付金审慎监督的各类细项要求。
4.《存款保险条例》(中华人民共和国国务院令第660号发布)第二条 在中华人民共和国境内设立的商业银行、农村合作银行、农村信用合作社等吸收存款的银行业金融机构(以下统称投保机构),应当依照本条例的规定投保存款保险。
第五条 存款保险实行限额偿付,最高偿付限额为人民币50万元。中国人民银行会同国务院有关部门可以根据经济发展、存款结构变化、金融风险状况等因素调整最高偿付限额,报国务院批准后公布执行。同一存款人在同一家投保机构所有被保险存款账户的存款本金和利息合并计算的资金数额在最高偿付限额以内的,实行全额偿付;超出最高偿付限额的部分,依法从投保机构清算财产中受偿。存款保险基金管理机构偿付存款人的被保险存款后,即在偿付金额范围内取得该存款人对投保机构相同清偿顺序的债权。社会保险基金、住房公积金存款的偿付办法由中国人民银行会同国务院有关部门另行制定,报国务院批准。
(3)关于可疑活动的通知要求
1.《中华人民共和国反电信网络诈骗法》第十八条第(一)款 银行业金融机构、非银行支付机构应当对银行账户、支付账户及支付结算服务加强监测,建立完善符合电信网络诈骗活动特征的异常账户和可疑交易监测机制。
第十八条第(三)款 对监测识别的异常账户和可疑交易,银行业金融机构、非银行支付机构应当根据风险情况,采取核实交易情况、重新核验身份、延迟支付结算、限制或者中止有关业务等必要的防范措施。
2.《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)第四条第(十六)款 加强账户监测。银行和支付机构应当加强对银行账户和支付账户的监测,建立和完善可疑交易监测模型,账户及其资金划转具有集中转入分散转出等可疑交易特征的,应当列入可疑交易。对于列入可疑交易的账户,银行和支付机构应当与相关单位或者个人核实交易情况;经核实后银行和支付机构仍然认定账户可疑的,银行应当暂停账户非柜面业务,支付机构应当暂停账户所有业务,并按照规定报送可疑交易报告或者重点可疑交易报告;涉嫌违法犯罪的,应当及时向当地公安机关报告。
3.《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发 [2019] 85号)第四条第(十五)强化收单业务风险监测。收单机构、清算机构应当强化收单业务风险管理,持续监测和分析交易金额、笔数、类型、时间、频率和收款方、付款方等特征,完善可疑交易监测模型。收单机构发现交易金额、时间、频率与特约商户经营范围、规模不相符等异常情形的,应当对特约商户采取延迟资金结算、设置收款限额、暂停银行卡交易、收回受理终端(关闭网络支付接口)等措施;发现涉嫌电信网络新型违法犯罪的,应当立即向公安机关报告。收单机构应当与特约商户签订受理协议时明确上述规定。
4.《条码支付业务规范(试行)》(银发〔2017〕296号印发)第四十二条 银行、支付机构应建立条码支付交易风险监测体系,及时发现可疑交易,并采取阻断交易、联系客户核实交易等方式防范交易风险。
5.《金融机构大额交易和可疑交易报告管理办法》(中国人民银行令〔2016〕第3号发布)第三条 金融机构应当履行大额交易和可疑交易报告义务,向中国反洗钱监测分析中心报送大额交易 和可疑交易报告,接受中国人民银行及其分支机构的监督、检查。
(4)要求纠正未经授权或执行错误的交易
1.《中华人民共和国电子商务法》第五十五条 用户在发出支付指令前,应当核对支付指令所包含的金额、收款人等完整信息。支付指令发生错误的,电子支付服务提供者应当及时查找原因,并采取相关措施予以纠正。造成用户损失的,电子支付服务提供者应当承担赔偿责任,但能够证明支付错误非自身原因造成的除外。
第五十七条 用户应当妥善保管交易密码、电子签名数据等安全工具。用户发现安全工具遗失、被盗用或者未经授权的支付的,应当及时通知电子支付服务提供者。未经授权的支付造成的损失,由电子支付服务提供者承担;电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任。电子支付服务提供者发现支付指令未经授权,或者收到用户支付指令未经授权的通知时,应当立即采取措施防止损失扩大。电子支付服务提供者未及时采取措施导致损失扩大的,对损失扩大部分承担责任。
2.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)第四十三条 接收行由于自身系统或内控制度等原因对电子支付指令未执行、未适当执行或迟延执行致使客户款项未准确入账的,应及时纠正。
第四十五条 非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过发起行的安全程序的,发起行应积极配合客户查找原因,尽量减少客户损失。
第四十六条 客户发现自身未按规定操作,或由于自身其他原因造成电子支付指令未执行、未适当执行、延迟执行的,应在协议约定的时间内,按照约定程序和方式通知银行。银行应积极调查并告知客户调查结果。银行发现因客户原因造成电子支付指令未执行、未适当执行、延迟执行的,应主动通知客户改正或配合客户采取补救措施。
3.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第二十七条 支付机构应当采取有效措施,确保客户在执行支付指令前可对收付款客户名称和账号、交易金额等交易信息进行确认,并在支付指令完成后及时将结果通知客户。因交易超时、无响应或者系统故障导致支付指令无法正常处理的,支付机构应当及时提示客户;因客户原因造成支付指令未执行、未适当执行、延迟执行的,支付机构应当主动通知客户更改或者协助客户采取补救措施。
(5)关于欺诈责任的一般规定
1.《中华人民共和国反电信网络诈骗法》第六条 国务院建立反电信网络诈骗工作机制,统筹协调打击治理工作。地方各级人民政府组织领导本行政区域内反电信网络诈骗工作,确定反电信网络诈骗目标任务和工作机制,开展综合治理。公安机关牵头负责反电信网络诈骗工作,金融、电信、网信、市场监管等有关部门依照职责履行监管主体责任,负责本行业领域反电信网络诈骗工作。人民法院、人民检察院发挥审判、检察职能作用,依法防范、惩治电信网络诈骗活动。电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,加强新业务涉诈风险安全评估。
第四十条 银行业金融机构、非银行支付机构违反本法规定,有下列情形之一的,由有关主管部门责令改正,情节较轻的,给予警告、通报批评,或者处五万元以上五十万元以下罚款;情节严重的,处五十万元以上五百万元以下罚款,并可以由有关主管部门责令停止新增业务、缩减业务类型或者业务范围、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对其直接负责的主管人员和其他直接责任人员,处一万元以上二十万元以下罚款:(一)未落实国家有关规定确定的反电信网络诈骗内部控制机制的;(二)未履行尽职调查义务和有关风险管理措施的;(三)未履行对异常账户、可疑交易的风险监测和相关处置义务的;(四)未按照规定完整、准确传输有关交易信息的。
2.《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)第一条第(三)款 建立对买卖银行账户和支付账户、冒名开户的惩戒机制。自2017年1月1日起,银行和支付机构对经设区的市级及以上公安机关认定的出租、出借、出售、购买银行账户(含银行卡,下同)或者支付账户的单位和个人及相关组织者,假冒他人身份或者虚构代理关系开立银行账户或者支付账户的单位和个人,5年内暂停其银行账户非柜面业务、支付账户所有业务,3年内不得为其新开立账户。人民银行将上述单位和个人信息移送金融信用信息基础数据库并向社会公布。
3.《关于进一步促进信用卡业务规范健康发展的通知》(银保监规〔2022〕13号)(十六)银行业金融机构、收单机构、清算机构应当建立健全对套现、盗刷等异常用卡行为和非法资金交易的监测分析和拦截机制,对可疑信用卡、可疑交易依法采取管控措施,持续有效防控套现、欺诈风险,防范信用卡被用于违法犯罪活动。
4.《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号)第三十四条 收单机构发现特约商户发生疑似银行卡套现、 洗钱、欺诈、移机、留存或泄漏持卡人账户信息等风险事件的, 应当对特约商户采取延迟资金结算、暂停银行卡交易或收回受理 终端(关闭网络支付接口)等措施,并承担因未采取措施导致的风险损失责任;发现涉嫌违法犯罪活动的,应当及时向公安机关报案。
5.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第十七条 支付机构应当综合客户类型、身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度和机制,并动态调整客户风险评级及相关风险控制措施。支付机构应当根据客户风险评级、交易验证方式、交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间、商户类别等因素,建立交易风险管理制度和交易监测系统,对疑似欺诈、套现、洗钱、非法融资、恐怖融资等交易,及时采取调查核实、延迟结算、终止服务等措施。
(6)PSP对未经授权付款的责任
1.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)第三十四条 银行采用数字证书或电子签名方式进行客户身份认证和交易授权的,提倡由合法的第三方认证机构提供认证服务。如客户因依据该认证服务进行交易遭受损失,认证服务机构不能证明自己无过错,应依法承担相应责任。
第四十五条 非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过发起行的安全程序的,发起行应积极配合客户查找原因,尽量减少客户损失。
2.《电子银行业务管理办法》中国银行业监督管理委员会令(2006年第5号)第八十九条 金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应责任。因客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据服务协议的约定免于承担相应责任,但法律法规另有规定的除外。
3.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第十条 支付机构向客户开户银行发送支付指令,扣划客户银行账户资金的,支付机构和银行应当执行下列要求:(一)支付机构应当事先或在首笔交易时自主识别客户身份并分别取得客户和银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金;(二)银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议,明确约定扣款适用范围和交易验证方式,设立与客户风险承受能力相匹配的单笔和单日累计交易限额,承诺无条件全额承担此类交易的风险损失先行赔付责任;(三)除单笔金额不超过200 元的小额支付业务,公共事业缴费、税费缴纳、信用卡还款等收款人固定并且定期发生的支付业务,以及符合第三十七条规定的情形以外,支付机构不得代替银行进行交易验证。
第十九条 支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失及时先行全额赔付,保障客户合法权益。支付机构应于每年1月31日前,将前一年度发生的风险事件、客户风险损失发生和赔付等情况在网站对外公告。支付机构应在年度监管报告中如实反映上述内容和风险准备金计提、使用及结余等情况。
第二十四条 支付机构应根据交易验证方式的安全级别,按照下列要求对个人客户使用支付账户余额付款的交易进行限额管理:(一)支付机构采用包括数字证书或电子签名在内的两类(含)以上有效要素进行验证的交易,单日累计限额由支付机构与客户通过协议自主约定;(二)支付机构采用不包括数字证书、电子签名在内的两类(含)以上有效要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000 元(不包括支付账户向客户本人同名银行账户转账);(三)支付机构采用不足两类有效要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000 元(不包括支付账户向客户本人同名银行账户转账),且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。
4.《中华人民共和国电子商务法》第五十七条 用户应当妥善保管交易密码、电子签名数据等安全工具。用户发现安全工具遗失、被盗用或者未经授权的支付的,应当及时通知电子支付服务提供者。未经授权的支付造成的损失,由电子支付服务提供者承担;电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任。电子支付服务提供者发现支付指令未经授权,或者收到用户支付指令未经授权的通知时,应当立即采取措施防止损失扩大。电子支付服务提供者未及时采取措施导致损失扩大的,对损失扩大部分承担责任。
- 《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)
- 《支付结算办法》(银发〔1997〕393号印发)
- 《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)
- 《中华人民共和国反电信网络诈骗法》
- 《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)
- 《非银行支付机构客户备付金存管办法》(中国人民银行令〔2021〕第1号)
- 《非银行支付机构监督管理条例》(国务院令第768号)
- 《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发 [2019] 85号)
- 《条码支付业务规范(试行)》(银发〔2017〕296号印发)
- 《电子银行业务管理办法》中国银行业监督管理委员会令(2006年第5号)
- 《中华人民共和国电子商务法》
- 《关于进一步促进信用卡业务规范健康发展的通知》(银保监规〔2022〕13号)
- 《存款保险条例》(中华人民共和国国务院令第660号)