互操作性和促进竞争
1.《国务院办公厅关于加强行政规范性文件制定和监督管理工作的通知》(国办发〔2018〕37号)
第一条 第(一)款 不得违法制定含有排除或者限制公平竞争内容的措施,违法干预或者影响市场主体正常生产经营活动,违法设置市场准入和退出条件等。
2.《优化营商环境条例》(中华人民共和国国务院令第722号发布)
第五条 国家加快建立统一开放、竞争有序的现代市场体系,依法促进各类生产要素自由流动,保障各类市场主体公平参与市场竞争。
第六条 国家鼓励、支持、引导非公有制经济发展,激发非公有制经济活力和创造力。国家进一步扩大对外开放,积极促进外商投资,平等对待内资企业、外商投资企业等各类市场主体。
第十条 国家坚持权利平等、机会平等、规则平等,保障各种所有制经济平等受到法律保护。
第二十条 国家持续放宽市场准入,并实行全国统一的市场准入负面清单制度。市场准入负面清单以外的领域,各类市场主体均可以依法平等进入。各地区、各部门不得另行制定市场准入性质的负面清单。
3.《中共中央 国务院关于促进民营经济发展壮大的意见》
第二条 第(二)款 全面落实公平竞争政策制度。强化竞争政策基础地位,健全公平竞争制度框架和政策实施机制,坚持对各类所有制企业一视同仁、平等对待。强化制止滥用行政权力排除限制竞争的反垄断执法。未经公平竞争不得授予经营者特许经营权,不得限定经营、购买、使用特定经营者提供的商品和服务。定期推出市场干预行为负面清单,及时清理废除含有地方保护、市场分割、指定交易等妨碍统一市场和公平竞争的政策。优化完善产业政策实施方式,建立涉企优惠政策目录清单并及时向社会公开。
4.《公平竞争审查条例》(中华人民共和国国务院令 第783号)
第八条 起草单位起草的政策措施,不得含有下列限制或者变相限制市场准入和退出的内容:(一)对市场准入负面清单以外的行业、领域、业务等违法设置审批程序;(二)违法设置或者授予特许经营权;(三)限定经营、购买或者使用特定经营者提供的商品或者服务(以下统称商品);(四)设置不合理或者歧视性的准入、退出条件;(五)其他限制或者变相限制市场准入和退出的内容。
5.《中华人民共和国商业银行法》《非银行支付机构监督管理条例》《银行卡清算机构管理办法》等电子支付监管框架设定了统一标准的PSP市场准入和监管规则,在未特别区分新旧PSP、工具、产品、商业模式和渠道的监管标准的情况下,新旧参与者同等适用平等市场准入要求。《人民银行关于规范支付创新业务的通知》《电子银行业务管理办法》《非银行支付机构网络支付业务管理办法》《银行卡收单业务管理办法》也对相关业务的工具、产品、商业模式和渠道的平等准入提供了相关标准。
6.《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)
第二条 第(八)款 增加转账方式,调整转账时间。自2016年12月1日起,银行和支付机构提供转账服务时应当执行下列规定:1. 向存款人提供实时到账、普通到账、次日到账等多种转账方式选择,存款人在选择后才能办理业务。2. 除向本人同行账户转账外,个人通过自助柜员机(含其他具有存取款功能的自助设备,下同)转账的,发卡行在受理24小时后办理资金转账。在发卡行受理后24小时内,个人可以向发卡行申请撤销转账。受理行应当在受理结果界面对转账业务办理时间和可撤销规定作出明确提示。3. 银行通过自助柜员机为个人办理转账业务的,应当增加汉语语音提示,并通过文字、标识、弹窗等设置防诈骗提醒;非汉语提示界面应当对资金转出等核心关键字段提供汉语提示,无法提示的,不得提供转账。
7.《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号发布)
第二十四条 收单机构为特约商户提供的受理终端(网络支付接口)应当符合国家、金融行业技术标准和相关信息安全管理要求。
8.《中国人民银行关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号)
第一条 第(二)款 加强支付敏感信息的安全防护。各商业银行、支付机构应在客户端软件与服务器、服务器与服务器之间进行通道加密和双向认证,对重要信息关键字段进行散列或加密存储,保障信息传输、存储、使用安全。开展网络支付业务时,不得委托或授权无支付业务资质的合作机构采集支付敏感信息,应采用具有信息输入安全防护、即时数据加密功能的安全控件,采取有效措施防止合作机构获取、留存支付敏感信息。
第一条 第(三)款 全面应用支付标记化技术。自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术(Tokenization),对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。
第二条 第(二)款 加强业务开通身份认证安全管理。自2016年11月1日起,各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份认证方式,直接鉴别客户身份,并取得客户授权。身份鉴别应采取以下组合方式之一:一是采用符合《金融电子认证规范》(JR/T 0118)的数字证书,并组合交易密码等至少一种认证因素。二是采用符合《动态口令密码应用技术规范》(GM/T 0021)的动态令牌设备,并组合交易密码等至少一种认证因素。三是至少组合两种动态认证因素(如动态验证码、基于客户行为的动态挑战应答等),并采用语音、短信、数据(如手机银行、即时通讯、邮件)等至少两种不同通信渠道。
9.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)
第二十三条 银行开展电子支付业务采用的信息安全标准、技术标准、业务标准等应当符合有关规定。
10.《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)是2019年12月1日实施的一项中国国家标准,归口于全国信息安全标准化技术委员会。《信息安全技术—个人信 息安全规范》(GB/T 35273-2020)是2020年10月1日实施的一项中华人民共和国国家标准,归口于全国信息安全标准化技术委员会。
11.此外,人民银行多次发布信息科技相关金融行业标准,《金融数据中心能力建设指引》(银发〔2023〕148号)、《金融机具接入架构及驱动接口要求》(银发〔2023〕148号)、《数字银行卡技术要求》(银发〔2023〕148号)、《银行电子凭证技术规范》(银发〔2023〕148号)、《金融数字化能力成熟度指引》(银发〔2023〕227号)、《人工智能算法金融应用信息披露指南》(银发〔2023〕227号)、《机器人流程自动化技术金融应用指南》(银发〔2023〕227号)、《银行业软件测试环境管理规范》(银发〔2024〕10号)、《基于数字证书的移动终端金融安全身份认证规范》(银发〔2024〕10号)、《金融业开源技术 术语》(银发〔2024〕10号)、《金融业开源软件应用 管理指南》(银发〔2024〕10号)、《金融业开源软件应用 评估规范》(银发〔2024〕10号)等。
互操作性和促进竞争
1.《国务院办公厅关于加强行政规范性文件制定和监督管理工作的通知》(国办发〔2018〕37号)
第一条 第(一)款 不得违法制定含有排除或者限制公平竞争内容的措施,违法干预或者影响市场主体正常生产经营活动,违法设置市场准入和退出条件等。
2.《优化营商环境条例》(中华人民共和国国务院令第722号发布)
第五条 国家加快建立统一开放、竞争有序的现代市场体系,依法促进各类生产要素自由流动,保障各类市场主体公平参与市场竞争。
第六条 国家鼓励、支持、引导非公有制经济发展,激发非公有制经济活力和创造力。国家进一步扩大对外开放,积极促进外商投资,平等对待内资企业、外商投资企业等各类市场主体。
第十条 国家坚持权利平等、机会平等、规则平等,保障各种所有制经济平等受到法律保护。
第二十条 国家持续放宽市场准入,并实行全国统一的市场准入负面清单制度。市场准入负面清单以外的领域,各类市场主体均可以依法平等进入。各地区、各部门不得另行制定市场准入性质的负面清单。
3.《中共中央 国务院关于促进民营经济发展壮大的意见》
第二条 第(二)款 全面落实公平竞争政策制度。强化竞争政策基础地位,健全公平竞争制度框架和政策实施机制,坚持对各类所有制企业一视同仁、平等对待。强化制止滥用行政权力排除限制竞争的反垄断执法。未经公平竞争不得授予经营者特许经营权,不得限定经营、购买、使用特定经营者提供的商品和服务。定期推出市场干预行为负面清单,及时清理废除含有地方保护、市场分割、指定交易等妨碍统一市场和公平竞争的政策。优化完善产业政策实施方式,建立涉企优惠政策目录清单并及时向社会公开。
4.《公平竞争审查条例》(中华人民共和国国务院令 第783号)
第八条 起草单位起草的政策措施,不得含有下列限制或者变相限制市场准入和退出的内容:(一)对市场准入负面清单以外的行业、领域、业务等违法设置审批程序;(二)违法设置或者授予特许经营权;(三)限定经营、购买或者使用特定经营者提供的商品或者服务(以下统称商品);(四)设置不合理或者歧视性的准入、退出条件;(五)其他限制或者变相限制市场准入和退出的内容。
5.《中华人民共和国商业银行法》《非银行支付机构监督管理条例》《银行卡清算机构管理办法》等电子支付监管框架设定了统一标准的PSP市场准入和监管规则,在未特别区分新旧PSP、工具、产品、商业模式和渠道的监管标准的情况下,新旧参与者同等适用平等市场准入要求。《人民银行关于规范支付创新业务的通知》《电子银行业务管理办法》《非银行支付机构网络支付业务管理办法》《银行卡收单业务管理办法》也对相关业务的工具、产品、商业模式和渠道的平等准入提供了相关标准。
6.《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号)
第二条 第(八)款 增加转账方式,调整转账时间。自2016年12月1日起,银行和支付机构提供转账服务时应当执行下列规定:1. 向存款人提供实时到账、普通到账、次日到账等多种转账方式选择,存款人在选择后才能办理业务。2. 除向本人同行账户转账外,个人通过自助柜员机(含其他具有存取款功能的自助设备,下同)转账的,发卡行在受理24小时后办理资金转账。在发卡行受理后24小时内,个人可以向发卡行申请撤销转账。受理行应当在受理结果界面对转账业务办理时间和可撤销规定作出明确提示。3. 银行通过自助柜员机为个人办理转账业务的,应当增加汉语语音提示,并通过文字、标识、弹窗等设置防诈骗提醒;非汉语提示界面应当对资金转出等核心关键字段提供汉语提示,无法提示的,不得提供转账。
7.《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号发布)
第二十四条 收单机构为特约商户提供的受理终端(网络支付接口)应当符合国家、金融行业技术标准和相关信息安全管理要求。
8.《中国人民银行关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号)
第一条 第(二)款 加强支付敏感信息的安全防护。各商业银行、支付机构应在客户端软件与服务器、服务器与服务器之间进行通道加密和双向认证,对重要信息关键字段进行散列或加密存储,保障信息传输、存储、使用安全。开展网络支付业务时,不得委托或授权无支付业务资质的合作机构采集支付敏感信息,应采用具有信息输入安全防护、即时数据加密功能的安全控件,采取有效措施防止合作机构获取、留存支付敏感信息。
第一条 第(三)款 全面应用支付标记化技术。自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术(Tokenization),对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,并通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性,从源头控制信息泄露和欺诈交易风险。
第二条 第(二)款 加强业务开通身份认证安全管理。自2016年11月1日起,各商业银行基于银行卡与支付机构、商业机构建立关联业务时,应严格采用多因素身份认证方式,直接鉴别客户身份,并取得客户授权。身份鉴别应采取以下组合方式之一:一是采用符合《金融电子认证规范》(JR/T 0118)的数字证书,并组合交易密码等至少一种认证因素。二是采用符合《动态口令密码应用技术规范》(GM/T 0021)的动态令牌设备,并组合交易密码等至少一种认证因素。三是至少组合两种动态认证因素(如动态验证码、基于客户行为的动态挑战应答等),并采用语音、短信、数据(如手机银行、即时通讯、邮件)等至少两种不同通信渠道。
9.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)
第二十三条 银行开展电子支付业务采用的信息安全标准、技术标准、业务标准等应当符合有关规定。
10.《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)是2019年12月1日实施的一项中国国家标准,归口于全国信息安全标准化技术委员会。《信息安全技术—个人信 息安全规范》(GB/T 35273-2020)是2020年10月1日实施的一项中华人民共和国国家标准,归口于全国信息安全标准化技术委员会。
11.此外,人民银行多次发布信息科技相关金融行业标准,《金融数据中心能力建设指引》(银发〔2023〕148号)、《金融机具接入架构及驱动接口要求》(银发〔2023〕148号)、《数字银行卡技术要求》(银发〔2023〕148号)、《银行电子凭证技术规范》(银发〔2023〕148号)、《金融数字化能力成熟度指引》(银发〔2023〕227号)、《人工智能算法金融应用信息披露指南》(银发〔2023〕227号)、《机器人流程自动化技术金融应用指南》(银发〔2023〕227号)、《银行业软件测试环境管理规范》(银发〔2024〕10号)、《基于数字证书的移动终端金融安全身份认证规范》(银发〔2024〕10号)、《金融业开源技术 术语》(银发〔2024〕10号)、《金融业开源软件应用 管理指南》(银发〔2024〕10号)、《金融业开源软件应用 评估规范》(银发〔2024〕10号)等。