中國銀監(jiān)會、中國人民銀行關于加強商業(yè)銀行與第三方支付機構合作業(yè)務管理的通知

昵稱37073511 2022-05-16

展開全文

各銀監(jiān)局，中國人民銀行上海總部、各分行、營業(yè)管理部，各省會（首府）城市中心支行，各副省級城市中心支行，各國有商業(yè)銀行、股份制商業(yè)銀行，郵政儲蓄銀行，銀監(jiān)會直接監(jiān)管的信托公司、企業(yè)集團財務公司、金融租賃公司：
  為切實保護商業(yè)銀行客戶信息安全，保障客戶資金和銀行賬戶安全，維護客戶合法權益，加強商業(yè)銀行與第三方支付機構合作業(yè)務管理，現就商業(yè)銀行與第三方支付機構建立業(yè)務關聯提出以下要求：
  一、商業(yè)銀行應按照有關法律法規(guī)要求，做好客戶信息安全與保密工作。商業(yè)銀行與第三方支付機構合作開展各項業(yè)務，對涉及到的客戶金融信息管理，應嚴格遵循有關法律法規(guī)和監(jiān)管制度的規(guī)定，嚴格遵照客戶意愿和指令進行支付，不得違法違規(guī)泄露。
  二、商業(yè)銀行應對客戶的技術風險承受能力進行評估，客戶與第三方支付機構相關的賬戶關聯、業(yè)務類型、交易限額等決策要求應與其技術風險承受能力相匹配。
  三、客戶銀行賬戶與第三方支付機構首次建立業(yè)務關聯時，應經雙重認證，即客戶在通過第三方支付機構認證同時，還需通過商業(yè)銀行的客戶身份鑒別。賬戶所在銀行應通過物理網點、電子渠道或其他有效方式直接驗證客戶身份，明確雙方權利與義務。
  四、商業(yè)銀行通過電子渠道驗證和辨別客戶身份，應采用雙（多）因素驗證方式對客戶身份進行鑒別，對不具備雙（多）因素認證條件的客戶，其任何賬戶不得與第三方支付機構建立業(yè)務關聯。
  五、商業(yè)銀行對賬戶與第三方支付機構建立業(yè)務關聯的客戶，應開通至少一種賬戶變動即時通知技術方式，不具備即時通知條件的客戶，不得通過銀行與第三方支付機構建立一次簽約、多次支付的業(yè)務合作關系。
  六、商業(yè)銀行應設立與客戶技術風險承受能力相匹配的支付限額，包括單筆支付限額和日累計支付限額。
  商業(yè)銀行應向客戶提供臨時調整支付限額的服務，在進行身份驗證和辨別后，按照客戶申請，在臨時期限內可以適當調整單筆支付限額和日累計支付限額。
  七、商業(yè)銀行應對客戶通過第三方支付機構進行大額資金劃轉強化身份認證，確保由客戶本人發(fā)出資金劃轉要求。商業(yè)銀行在與第三方支付機構簽訂業(yè)務合作協(xié)議時，應就非商業(yè)銀行直接進行客戶身份認證的批量扣款或電子支付，與第三方支付機構就賠付責任達成一致。
  八、對預留手機號碼且設定短信通知的客戶，商業(yè)銀行應在客戶進行支付時對第三方支付機構提供的手機號碼和銀行預留的手機號碼進行一致性檢驗，通過后方可進行支付。如果銀行已按照前述要求在業(yè)務關聯時進行了相關信息驗證，確?？蛻羯矸菡鎸嵖煽浚诮灰讜r可以無需再次驗證。
  九、商業(yè)銀行應保留完整的支付信息，在相關法律法規(guī)規(guī)定的期限內妥善保管，并向客戶提供第三方支付機構的簽約查詢和交易查詢功能。
  十、商業(yè)銀行應就大額支付、可疑支付及時通知客戶。對開通短信或其他方式即時通知功能的客戶，應就每一筆支付交易即時通知客戶。通知信息中包含但不限于第三方支付機構名稱、交易金額、交易時間等。
  十一、商業(yè)銀行應明確要求第三方支付機構不得在未經授權的情況下屏蔽本銀行的支付界面與接口。
  十二、從銀行賬戶劃出的支付交易資金，遇到交易終止、失敗應劃回原銀行賬戶。
  十三、商業(yè)銀行接受客戶申請，通過身份驗證后，應當提供可以撤銷客戶賬戶與第三方支付機構業(yè)務合作關聯的服務。
  十四、商業(yè)銀行應將與第三方支付機構的合作業(yè)務納入全行業(yè)務運營風險監(jiān)測系統(tǒng)的監(jiān)控范圍，對其中的商戶和客戶在本行的賬戶資金活動情況進行實時監(jiān)控，達到風險標準的應組織核查。特別是對其中大額、異常的資金收付應做到逐筆監(jiān)測、認真核查、及時預警、及時控制。
  十五、商業(yè)銀行應對客戶通過第三方支付機構進行的交易建立自動化的交易監(jiān)控機制和風險監(jiān)控模型，及時發(fā)現和處置異常行為、套現或欺詐事件。
  十六、商業(yè)銀行應做好數據和操作指令的整理和日志備份，便于事后檢查和審計。商業(yè)銀行與第三方支付機構合作開展的各項業(yè)務，凡涉及備付金存放和資金劃轉的，均應建立每日對賬制度，嚴格執(zhí)行備付金銀行及備付金銀行賬戶相關監(jiān)管要求，不得使用或變相使用銀行內部賬戶以待清算資金等名義為第三方支付機構存放客戶備付金。商業(yè)銀行應就第三方支付機構備付金存管業(yè)務建立統(tǒng)一管理機制，未經總行書面授權，任何分支機構不得直接與第三方支付機構合作開展備付金存管業(yè)務，強化備付金的監(jiān)督管理。
  十七、商業(yè)銀行應采取技術措施保障來自第三方支付機構的傳輸數據（如客戶數據、交易數據等）和操作指令（如支付指令、身份驗證指令等）的完整性、一致性和不可抵賴性。對不具備對等安全保障能力的第三方支付機構，原則上應不予合作。
  十八、銀行應構建安全的網絡通道（如專線連接、VPN通道等），指定安全邊界（如部署防火墻、DMZ隔離區(qū)等），防止第三方支付機構越界訪問。
  十九、商業(yè)銀行應按照本通知各項要求，做好相應的制度及合同修訂工作。相關工作最遲應于2014年6月30日前完成。
  二十、其他銀行業(yè)金融機構開展相關業(yè)務時，參照本通知執(zhí)行。
  特此通知。
中國銀行業(yè)監(jiān)督管理委員會
中國人民銀行
2014年4月3日

備注：

本條例生效時間為：2014.04.03,截至2022年仍然有效

最近更新：2021.12.03