第一章总则

第一条 为规范非银行支付机构( 以下简称支付机构)网络支付业务，防范支付风险，保护当事人合法权益，根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》(中国人民银行令〔 2010〕第2号发布)等规定，制定本办法

释义：定本办法的目的和依据

第二条 支付机构从事网络支付业务，适用本办法。本办法所称支付机构是指依法取得《支付业务许可证》，获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。本办法所称网络支付业务，是指收款人或付款人通过计算机、移动终端等电子设备，依托公共网络信息系统远程发起支付指令，且付款人电子设备不与收款人特定专属设备交互，由支付机构为收付款人提供货币资金转移服务的活动。本办法所称收款人特定专属设备，是指专门用于交易收款，在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。

释义：一、本办法的适用范围。　二、本办法所称支付机构的含义。三、本办法规范的网络支付业务，应同时具备四个基本特征：　(一)为收付款人提供资金转移服务的主体是支付机构;　(二)支付指令的发起借助于计算机、移动终端等电子设备;(三)电子设备经由公共网络信息系统与相关后台系统交互并传递支付指令。因此，支付指令发起过程中，电子设备不需与后台系统交互的支付业务不属于本办法规范范畴(例如基于手机NFC功能的电子现金脱机消费业务等); (四)支付指令发起过程中，付款人的电子设备不与“收款人特定专属设备”交互。四、“收款人特定专属设备” 是专门用于交易收款的电子设备，其在交易过程

支付机构业务系统交互，并参与完成支付指令的生成、传输及处理。此类设备通常布放在收款人经营场所，付款人需亲临该经营场所完成支付。 收款人特定专属设备”具体包括POS等传统受理终端，以及可生成、读取、识别条码(二维码)、声波、光线等信息传输介质并发起交易的新型受理设备。五、付款人电子设备需要与前述新型受理设备进行交互的业务，目前仍处于研究和探索阶段，相关配套技术和安全标准有待根据业务实践持续检验和完善。本办法暂不将此类支付方式纳入规范范畴，以便为其留出探索和创新发展空间。人民银行将密切关注相关新型支付方式的探索和发展情况，并适时制定配套管理措施

第三条 支付机构应当遵循主要服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨，基于客户的银行账户或者按照本办法规定为客户开立支付账户提供网络支付服务。本办法所称支付账户，是指获得互联网支付业务许可的支付机构，根据客户的真实意愿为其开立的，用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细信息的电子簿记。支付账户不得透支， 不得出借、 出租、出售，不得利用支付账户从事或者协助他人从事非法活动

释义：一、支付机构应遵循《关于促进互联网金融健康发展的指导意见》 (银发 〔 2015〕221号)所明确的网络支付服务宗旨。二、支付机构可以基于银行账户(例如银行网关支付、 银行卡快捷支付等模式)或者支付账户提供网络支付服务。三、需要特别说明的是，实践中，部分支付机构开立的在途资金账户(亦称内部过渡账户、内部记账账户、中间账户等)不属于本办法所称支付账户，一般具有下列特征：(一)记录的余额是支付指令发起之后、执行完毕之前，客户待收或待付的在途资金金额，而不是客户的预付交易资金余额;(二)最多具有查询功能，客户不能凭以发起支付指令。四、支付账户的使用原则

第四条 支付机构基于银行卡为客户供网络支付服务的，应当执行银行卡业务相关监管规定和银行卡行业规范。支付机构对特约商户的拓展与管理、业务与风险管理应当执行《银行卡收单业务管理办法》(中国人民银行公告〔 2013〕第9号公布)等相关规定。支付机构网络支付服务涉及跨境人民币结算和外汇支付的，应当执行中国人民银行、国家外汇管理局相关规定。支付机构应当依法维护当事人合法权益，遵守反洗钱和反恐怖融资相关规定，履行反洗钱和反恐怖融资义务。

第五条 支付机构依照中国人民银行有关规定接受分类评价，并执行相应的分类监管措施。

释义：支付机构接受分类监管的原则性规定。本办法第五章明确了具体分类监管措施

第二章 客户管理

第六条 支付机构应当遵循“了解你的客户”原则，建立健全客户身份识别机制 。支付机构为客户开立支付账户的，应当对客户实行实名制管理，登记并采取有效措施验证客户身份基本信息，按规定核对有效身份证件并留存有效身份证件复印件或者影印件，建立客户唯一识别编码，并在与客户业务关系存续期间采取持续的身份识别措施，确保有效核实客户身份及其真实意愿，不得开立匿名、假名支付账户。

释义：一、无论基于银行账户还是支付账户提供网络支付服务， 支付机构都应遵循 “了解你的客户”原则，建立健全客户身份识别机制。二、本条款明确支付账户应实行实名制管理，并提出核实客户身份的相关要求。

第七条 支付机构应当与客户签订服务协议，约定双方责任、权利和义务，至少明确业务规则(包括但不限于业务功能和流程、身份识别和交易验证方式、资金结算方式等) ，收费项目和标准，查询、差错争议及投诉等服务流程和规则，业务风险和非法活动防范及处置措施，客户损失责任划分和赔付规则等内容。支付机构为客户开立支付账户的，还应在服务协议中以显著方式告知客户，并采取有效方式确认客户充分知晓并清晰理解下列内容： “支付账户所记录的资金余额不同于客户本人的银行存款，不受《存款保险条例》保护，其实质为客户委托支付机构保管的、所有权归属于客户的预付价值。该预付价值对应的货币资金虽然属于客户，但不以客户本人名义存放在银行，而是以支付机构名义存放在银行，并且由支付机构向银行发起资金调拨指令。 ”支付机构应当确保协议内容清晰、易懂，并以显著方式提示客户注意与其有重大利害关系的事项。

释义：一、本条款对服务协议所包含的内容明确具体要求，特别强调支付机构应确保客户在充分知晓并清晰理解相关权利、责任、义务的前提下自愿接受服务协议。二、支付账户所反映余额的本质是预付价值，类似于预付费卡中的余额，与客户的银行存款不同。该余额资金虽然所有权归属于客户，却未以客户本人名义存放在银行，而是支付机构以其自身名义存放在银行，并实际由支付机构支配与控制。同时，该余额仅代表支付机构的企业信用 ，法律保障机制上远低于 《人民银行法》 、《商业银行法》及《存款保险条例》保障下的央行货币与商业银行货币。一旦支付机构出现经营风险或信用风险，将可能导致支付账户余额无法使用，不能回提为银行存款，使客户遭受财产损失。本条款规定支付机构应充分提示支付账户余额的本质属性和相关风险。在此前提下，由客户本着“自愿开立、自担风险 ”的原则申请开立支付账户。

第八条 获得互联网支付业务许可的支付机构，经客户主动提出申请，可为其开立支付账户;仅获得移动电话支付、固定电话支付、数字电视支付业务许可的支付机构，不得为客户开立支付账户。支付机构不得为金融机构，以及从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构开立支付账户。

释义：一、未获得互联网支付业务许可的支付机构，不可为客户开立支付账户;获得互联网支付业务许可的支付机构，如客户未主动提出申请，不可为其开立支付账户。二、本条款基于审慎性原则，规定支付机构为金融机构和从事网络借贷、股权众筹融资、互联网基金销售、互联网保险 、互联网信托和互联网消费金融等业务的机构提供网络支付服务时，不可开立支付账户，各项资金收付均应基于其银行账户办理，以对相关机构进一步明晰资金流向、加强资金监管，有效隔离跨市场风险。

第三章 业务管理

第九条 支付机构不得经营或者变相经营证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。

释义：基于支付机构业务许可范围、业务专营性和审慎监管原则，本条款对支付机构的业务范围提出禁止性规定。

第十条 支付机构向客户开户银行发送支付指令，扣划客户银行账户资金的，支付机构和银行应当执行下列要求：(一)支付机构应当事先或在首笔交易时自主识别客户身份并分别取得客户和银行的协议授权，同意其向客户的银行账户发起支付指令扣划资金;(二)银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议，明确约定扣款适用范围和交易验证方式，设立与客户风险承受能力相匹配的单笔和单日累计交易限额，承诺无条件全额承担此类交易的风险损失先行赔付责任;(三)除单笔金额不超过 200 元的小额支付业务，公共事业缴费、税费缴纳、信用卡还款等收款人固定并且定期发生的支付业务，以及符合第三十七条规定的情形以外，支付机构不得代替银行进行交易验证。

释义：一、 “银行卡快捷支付”及类似业务 ，涉及客户、支付机构及银行三方，权责关系相对复杂，应以清晰、完整的业务授权为前提：一是支付机构要获得客户和银行的授权;二是银行要通过与客户直接签订协议的方式，直接获取客户授权。二、银行作为客户资金安全的管理责任主体，事先或首笔交易时应自主识别客户身份并与客户直接签订授权协议，后续交易扣款时原则上应自主完成交易验证。银行“自主识别客户身份” 、 “与客户直接签订授权协议” 、 “自主完成交易验证” ，并不意味着客户必须跳转到银行的网页或通过银行开发的手机软件完成签约授权或者交易付款。支付机构和银行可以采用安全 、有效的技术手段，以便在银行落实上述责任的同时，确保客户操作体验流畅和便捷。三、本办法允许符合条件的支付机构与银行自主约定由支付机构代替验证的具体情形，在坚持银行承担资金管理责任、保障客户权益的基础上，适度提高监管措施的灵活性(详见第三十七条) 。

第十一条 支付机构应根据客户身份对同一客户在本机构开立的所有支付账户进行关联管理，并按照下列要求对个人支付账户进行分类管理：(一)对于以非面对面方式通过至少一个合法安全的外部渠道进行身份基本信息验证，且为首次在本机构开立支付账户的个人客户，支付机构可以为其开立Ⅰ类支付账户，账户余额仅可用于消费和转账 ，余额付款交易自账户开立起累计不超过1000 元(包括支付账户向客户本人同名银行账户转账) ;(二)对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户，或以非面对面方式通过至少三个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户，支付机构可以为其开立Ⅱ类支付账户，账户余额仅可用于消费和转账，其所有支付账户的余额付款交易年累计不超过 10 万元(不包括支付账户向客户本人同名银行账户转账) ;(三)对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户，或以非面对面方式通过至少五个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户，支付机构可以为其开立Ⅲ类支付账户，账户余额可以用于消费、转账以及购买投资理财等金融类产品，其所有支付账户的余额付款交易年累计不超过20 万元(不包括支付账户向客户本人同名银行账户转账) 。客户身份基本信息外部验证渠道包括但不限于政府部门数据库、商业银行信息系统、商业化数据库等。其中，通过商业银行验证个人客户身份基本信息的，应为Ⅰ类银行账户或信用卡。

释义：一、个人支付账户分为三类。其中，Ⅰ类账户的开立仅需通过一个外部渠道验证客户身份(例如联网核查客户的身份证信息) ，开户过程最为便捷。客户如果只需要进行小额、临时支付，或者可用的网上验证身份手段较少，可以快速开立Ⅰ类账户并完成支付。二、鉴于网络支付主要服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨，本条款对支付账户“余额”付款规定了交易限额。客户使用银行账户付款(例如银行网关支付、银行卡快捷支付等)不属于本条款规范范畴，也不受本条款的功能和限额约束。为兼顾便捷性和安全性，Ⅰ类账户的交易限额相对较低，但支付机构可以通过强化客户身份验证，将Ⅰ类账户升级为Ⅱ类或Ⅲ类账户，提高交易限额。支付机构所提供的交易数据表明，Ⅱ类、Ⅲ类账户的交易限额可以有效满足大部分客户使用“余额”付款的日常需求。三、客户身份信息验证渠道包括但不限于公安、社保、民政、住建、交通、工商、教育、财税等管理部门，以及商业银行、保险公司、证券公司、征信机构、移动运营商、铁路公司、航空公司、电力公司、自来水公司、燃气公司等单位所运营的，能够切实有效验证客户身份基本信息的数据库或系统。客户一般只需要按照支付机构的要求在网上填写并上传身份信息，由支付机构负责与相关外部数据库或系统进行连接并验证身份信息的真实性，应采用必要技术手段确保客户操作流程简便、客户体验便捷。四、本办法允许符合条件的支付机构运用各种安全、合法的技术手段灵活制定其他有效的身份核实方法，经人民银行评估认可后予以采用，以兼顾监管原则性和灵活性(详见第三十三条) 。

第十二条 支付机构办理银行账户与支付账户之间转账业务的，相关银行账户与支付账户应属于同一客户。支付机构应按照与客户的约定及时办理支付账户向客户本人银行账户转账业务，不得对Ⅱ类、Ⅲ类支付账户向客户本人银行账户转账设置限额。

释义：一、原则上，支付账户与非同名的银行账户之间不可以相互转账。但符合条件的支付机构除外(即支付账户充值和余额回提交易，既可以发生在支付账户与同名的银行账户之间，也可以发生在支付账户与非同名的银行账户之间) ，以便提高监管灵活性，并进一步满足客户支付需求(详见第三十五条) 。二、客户要求将支付账户余额回提为本人银行存款时，支付机构应按照客户意愿及时、足额办理。

第十三条 支付机构为客户办理本机构发行的预付卡向支付账户转账的，应当按照《支付机构预付卡业务管理办法》 (中国人民银行公告〔2012〕第 12 号公布)相关规定对预付卡转账至支付账户的余额单独管理，仅限其用于消费，不得通过转账 、购买投资理财等金融类产品等形式进行套现或者变相套现。

释义：本条款明确支付机构基于预付卡办理网络支付业务的相关要求，对利用支付账户进行预付卡资金套现作出禁止性规定。

第十四条 支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性，不得篡改或者隐匿交易信息。交易信息包括但不限于下列内容：(一)交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间，以及直接向客户提供商品或者服务的特约商户名称、编码和按照国家与金融行业标准设置的商户类别码;(二)收付款客户名称，收付款支付账户账号或者银行账户的开户银行名称及账号;(三)付款客户的身份验证和交易授权信息;(四)有效追溯交易的标识;(五)单位客户单笔超过 5 万元的转账业务的付款用途和事由。

释义：交易信息的真实性、完整性、可追溯性及一致性是有效识别客户支付行为、开展风险防控、保障交易安全及维护客户权益的重要基础。本条款要求支付机构真实反映和详尽记载交易信息，并在基于银行卡的支付业务中向相关银行真实、完整、准确提供交易信息，这与《银行卡收单业务管理办法》 、 《中国人民银行关于加强银行卡业务管理的通知》 (银发〔2014〕5 号 )有关规定是一脉相承的。

第十五条 因交易取消(撤销) 、退货 、交易不成功或者投资理财等金融类产品赎回等原因需划回资金的，相应款项应当划回原扣款账户。

释义：交易资金的“原路返回”规定。特别地，客户购买投资理财产品需要赎回本金和收益时，支付机构应当将资金划回原扣款账户，而不可默认划至支付账户，以保证交易的可追溯性。

第十六条 对于客户的网络支付业务操作行为，支付机构应当在确认客户身份及真实意愿后及时办理，并在操作生效之日起至少五年内，真实、完整保存操作记录。客户操作行为包括但不限于登录和注销登录、身份识别和交易验证、变更身份信息和联系方式、调整业务功能、调整交易限额、变更资金收付方式，以及变更或挂失密码、数字证书、电子签名等。

释义：支付机构记录并保存客户各项操作的要求。

第十七条 支付机构应当综合客户类型、身份核实方式、交易行为特征、资信状况等因素，建立客户风险评级管理制度和机制，并动态调整客户风险评级及相关风险控制措施。支付机构应当根据客户风险评级、交易验证方式、交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间、商户类别等因素，建立交易风险管理制度和交易监测系统，对疑似欺诈、套现、洗钱、非法融资、恐怖融资等交易，及时采取调查核实、延迟结算、终止服务等措施。

释义：支付机构实施客户风险评级管理，以及建立交易风险管理制度和交易监测系统的要求。

第十八条 支付机构应当向客户充分提示网络支付业务的潜在风险，及时揭示不法分子新型作案手段，对客户进行必要的安全教育，并对高风险业务在操作前、操作中进行风险警示。支付机构为客户购买合作机构的金融类产品提供网络支付服务的，应当确保合作机构为取得相应经营资质并依法开展业务的机构，并在首次购买时向客户展示合作机构信息和产品信息，充分提示相关责任、权利、义务及潜在风险，协助客户与合作机构完成协议签订。

释义：一、支付机构向客户及时提示风险、作好安全教育的义务。二、支付机构与其他机构合作开展金融类产品销售前，必须充分了解合作机构的经营资质和产品具体信息，并本着对客户负责的态度充分提示潜在风险。

第十九条 支付机构应当建立健全风险准备金制度和交易赔付制度，并对不能有效证明因客户原因导致的资金损失及时先行全额赔付，保障客户合法权益。支付机构应于每年 1 月 31 日前，将前一年度发生的风险事件、客户风险损失发生和赔付等情况在网站对外公告。支付机构应在年度监管报告中如实反映上述内容和风险准备金计提、使用及结余等情况。

释义：一、方便、快捷的支付服务必须以保护客户权益为前提，以完善的风险准备金制度和交易赔付制度为保障。为防范支付机构盲目追求“便捷”而忽视“安全” ，本条款规定了支付机构对客户资金损失的先行赔付责任。二、为增加支付机构信息透明度，加强社会公众和舆论监督，本条款要求支付机构定期公开披露风险信息。

第二十条 支付机构应当依照中国人民银行有关客户信息保护的规定，制定有效的客户信息保护措施和风险控制机制，履行客户信息保护责任。支付机构不得存储客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息，原则上不得存储银行卡有效期。因特殊业务需要，支付机构确需存储客户银行卡有效期的，应当取得客户和开户银行的授权，以加密形式存储。支付机构应当以“最小化”原则采集 、使用、存储和传输客户信息，并告知客户相关信息的使用目的和范围。支付机构不得向其他机构或个人提供客户信息，法律法规另有规定，以及经客户本人逐项确认并授权的除外。

释义：一、支付机构应参照《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》 (银发〔2011〕17 号)等规定，切实做好客户信息安全保护工作。二、除银行卡有效期之外的其他敏感信息，支付机构在任何情况下都不得存储 ;支付机构确因业务需要而存储银行卡有效期的，必须同时获得客户本人和银行的授权。

第二十一条 支付机构应当通过协议约定禁止特约商户存储客户银行卡的磁道信息或芯片信息、验证码、有效期、密码等敏感信息，并采取定期检查、技术监测等必要监督措施。特约商户违反协议约定存储上述敏感信息的，支付机构应当立即暂停或者终止为其提供网络支付服务，采取有效措施删除敏感信息、防止信息泄露，并依法承担因相关信息泄露造成的损失和责任。

释义：在《银行卡收单业务管理办法》的基础上，本条款进一步明确商户不得存储客户敏感信息。特别强调支付机构应对商户采取有效措施进行检查和监督，切实防范因商户违规存储敏感信息而导致客户信息泄露或资金损失。

第二十二条 支付机构可以组合选用下列三类要素，对客户使用支付账户余额付款的交易进行验证：(一)仅客户本人知悉的要素，如静态密码等;(二)仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等;(三)客户本人生理特征要素，如指纹等。支付机构应当确保采用的要素相互独立，部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。

释义：为降低业务风险、保障客户资金安全 ，支付机构可以选择采用“静态密码+数字证书” 、 “一次性密码+指纹” 、 “静态密码+指纹”等多种验证要素组合方式，对支付账户余额付款交易进行验证。

第二十三条 支付机构采用数字证书 、电子签名作为验证要素的，数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》 、 《金融电子认证规范 》(JR/T 0118-2015)等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖性。支付机构采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。支付机构采用客户本人生理特征作为验证要素的，应当符合国家、金融行业标准和相关信息安全管理要求，防止被非法存储、复制或重放。

释义：一、支付机构采用的数字证书、电子签名应符合相关法律法规和技术标准。二、部分支付场景下，一次性密码(例如短信动态验证码)和支付指令通过同一个物理设备(例如同一部手机)处理。在设备被植入恶意程序或被盗用情况下，易造成一次性密码和支付指令同时被拦截、窃取、伪造或篡改，大大增加了交易风险 。支付机构应采取有效措施对此类风险予以防范，保障客户资金安全。三、客户的指纹等生理特征一般相对固定，基本不发生变化，因此存在被非法窃取、存储、复制或重放的风险。支付机构采用生理特征验证交易时，应符合有关技术安全标准和要求，切实防范相关风险。