电子支付指引
为
和引导电子支付业务的健康发展,保障电子支付
业务中当事人的合法权益,防范电子支付业务风险,确保银行和客户
资金的安全,根据《中华人民共和国电子签名法》、《支付结算办法》
等法规制度,制定本指引。
在中华人民共和国境内的电子支付活动,适用本指引。
本指引所称电子支付是指单位、个人(以下简称客户)通过电子
终端,直接或间接向银行业金融机构(以下简称银行)发出支付指令,
实现货币支付与资金转移。
电子支付的业务类型按电子支付指令发起方式分为网上支付、电
话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支
付。
银行和客户的电子支付行为应当遵守国家有关法律、行
政法规的规定,不得损害他人和社会公共利益。
电子支付指令与纸质支付凭证可以相互转换,两者具有
同等效力。
客户办理电子支付业务应在银行开立银行账户(以下简
称账户),账户的开立和使用应符合《人民币银行结算账户管理办法》、
《境内外汇账户管理规定》等规定。
本指引下列用语的含义为:
1
(一)“发起行”,是指发起电子支付指令的客户的开户银行;
(二)“接收行”,是指电子支付指令接收人的开户银行。接收
人未在银行开立账户的,指电子支付指令确定的资金汇入银行;
(三)“转发人”,是指发起行和接收行以外,有资格从事接收、
传送电子支付指令或有关电子支付数据交换的机构;
(四)“电子终端”,是指客户可用以发起电子支付指令的计算
机、电话、销售点终端、自动柜员机和其他电子设备;
(五)“电子支付指令”,是指客户通过电子终端发出的,要求
其开户银行无条件支付可确定金额的货币给确定接收人的命令。
银行应根据审慎性原则,确定办理电子支付业务客户的
条件。
办理电子支付业务的银行应公开披露以下信息:
(一)银行名称、营业地址及联系方式;
(二)所提供的电子支付业务种类和收费
等;
(三)客户办理电子支付业务的条件;
(四)明示电子支付交易可能产生的风险,提醒客户妥善保管电
子支付交易存取工具(如卡、密码、密钥、电子签名制作数据等)的
警示性信息;
(五)争议及差错处理办法。
银行应认真审核客户申请办理电子支付业务的基本资
料,并以书面或电子方式与客户签订
。
2
银行应按会计档案的管理要求妥善保存客户的申请资料,保存期
限至该客户撤销电子支付业务后5年。
银行为客户办理电子支付业务,应根据客户性质、电子
支付业务类型、支付金额等,与客户约定适当的安全认证方式,如密
码、密钥、数字证书、电子签名等。
安全认证方式的约定和使用应遵循《中华人民共和国电子签名
法》、《商用密码管理条例》等法律法规的规定。
银行要求客户提供有关资料信息时,应告知客户所提
供信息的使用目的和范围、安全保护措施、以及客户未提供或未真实
提供相关资料信息的后果。
申请办理电子支付业务的客户应在其按规定开立的
账户中,指定办理电子支付业务的账户。该账户也可用于办理其他支
付结算业务。
客户未指定的账户不得办理电子支付业务。
客户与银行签订的电子支付协议应包括以下内容:
(一)客户指定办理电子支付业务的账户名称和账号;
(二)客户应保证办理电子支付业务账户的支付能力;
(三) 双方约定的电子支付业务类型、交易规则、安全认证方
式等;
(四)银行对客户提供的申请资料和其他信息的保密义务;
(五)银行根据客户要求提供交易
的时间和方式;
(六)争议及差错处理和损害赔偿责任;
3
(七)双方的其他权利和义务。
有以下情形之一的,客户应及时向银行提出电子或书
面申请:
(一)终止电子支付协议的;
(二)客户基本资料发生变更的;
(三)约定的安全认证方式需要变更的;
(四)客户与银行约定的其他情形。
客户利用电子支付方式从事违反国家法律法规活动
的,银行应按照有权部门的规定停止为其办理电子支付业务。
客户应按照其与发起行或转发人的协议规定,发起电
子支付指令。
电子支付指令的发起行或转发人应建立必要的安全
程序,对客户身份和电子支付指令进行确认,并形成日志文件等记录,
按会计档案的管理要求进行保存,保存期限至该客户撤销电子支付业
务后5年。
发起行或转发人应采取有效措施,保证客户发出电子
支付指令前能够对指令的准确性和完整性进行充分确认。
发起行或转发人应确保正确执行客户的电子支付指
令,对电子支付指令进行确认后,应能够向客户提供纸质或电子交易
回单供客户索取。
发起行或转发人对客户的电子支付指令执行后,客户不得申请变
4
更或撤销电子支付指令。
转发人、发起行、接收行应确保电子支付指令传递的
可跟踪稽核和不可篡改。
转发人、发起行、接收行之间应按照协议规定及时
发送、转发、接收和执行电子支付指令,并回复确认。
电子支付指令需转换为纸质支付凭证的,其纸质支
付凭证必须记载以下事项,具体格式由银行确定:
(一) 发起行(或转发人)名称和签章;
(二)付款人名称、账号;
(三)接收行名称;
(四)收款人名称、账号;
(五)大写金额和小写金额;
(六)发起日期和交易序列号。
银行和转发人开展电子支付业务采用的信息安全
标准、技术标准、业务标准等应当符合有关规定。
银行和转发人应针对与电子支付业务活动相关的
风险,建立有效的
。
银行应针对不同客户,在电子支付业务类型、单笔
支付金额和每日累计支付金额等方面做出合理限制。
银行通过英特网提供网上支付业务,单位客户与个人客户之间的
支付,其单笔金额不得超过5万元。
5
银行和转发人应确保电子支付业务处理系统的安
全性、交易数据的不可抵赖性、数据存储的真实性、客户身份的唯一
性,并妥善管理在电子支付业务处理系统中使用的密码、密钥等安全
认证数据。
银行和转发人使用客户资料、交易记录等,不得超
出法律许可和客户授权的范围。
银行、转发人应依法对客户的资料信息、交易记录等保密。除国
家法律、行政法规另有规定外,银行、转发人有权拒绝除客户本人以
外的任何单位或个人的查询。
银行应与客户约定,及时或定期向客户提供交易记
录、资金余额和账户状态等信息。
银行和转发人应采取适当措施保护电子支付交易
数据的完整性和可靠性:
(一)应制定相应的风险控制策略,防止电子支付业务处理系统
发生有意或无意的危害数据完整性和可靠性的变化;应制定应急计划
和业务连续性计划;
(二)电子支付交易与数据记录程序的设计应保证发生擅自变更
时能被有效侦测;
(三)电子支付交易数据在传送、处理、存储、使用和修改过程
中应能有效防止被篡改;任何对电子支付交易数据的篡改都应能通过
交易处理、监测和数据记录功能被侦测;
(四)已完成的电子支付交易数据应按会计档案要求妥善保存,
6
保存期限为5年,并方便调阅。
银行和转发人应采取适当措施为电子支付交易数据
保密:
(一)对电子支付交易数据的访问应经合理授权和确认;
(二)电子支付交易数据须以安全方式保存,并防止其在公共、
私人或内部网络上传输时被擅自查看或非法截取;
(三)当第三方通过外部关系获取电子支付交易数据时,必须符
合银行关于数据使用和保护的标准与控制制度;
(四)对电子支付交易数据的访问均须登记,并确保该登记不被
篡改。
银行和转发人应确保对电子支付业务处理系统的
操作人员、管理人员以及系统服务商有合理的授权控制:
(一)确保进入电子支付业务账户或敏感系统所需的安全认证数
据免遭篡改和破坏。任何此类篡改都应是可侦测的,而且审计监督应
能恰当地反映出这些篡改的企图;
(二)对安全认证数据进行的任何查询、添加、删除或更改都应
得到适当授权。
银行和转发人应采取有效措施保证电子支付业务
处理系统中的职责分离:
(一)电子支付业务处理系统应经过测试,以确保职责分离;
(二)应在开发和管理经营电子支付业务处理系统的人员之间维
持分离状态;
7
(三)交易程序和内控制度的设计应能确保任何单个的雇员和外
部服务供应商都无法独立完成一项交易。
银行可以根据有关规定将其部分电子支付业务外
包给合法的专业化服务机构。
银行应与开展电子支付业务相关的专业化服务机构签订协议,并
确立一套综合性、持续性的程序,以管理其外包关系。
银行和转发人采用数字证书或电子签名方式进行
客户身份认证和交易授权的,应当由合法的第三方认证机构提供认证
服务,以保证电子支付交易认证的公正性。
第三方认证机构应当依照《中华人民共和国电子签名法》第二十
八条规定承担相应责任。
境内发生的人民币电子支付交易信息处理及资金
清算应在境内完成。
银行和转发人应具备有效的业务容量、业务连续性
以及应急计划。
银行的电子支付业务处理系统应保证对电子支付
交易信息进行完整的记录和按有关法律法规进行披露。
银行和转发人应建立电子支付业务运作重大事项
报告制度,及时向监管当局报告电子支付业务经营过程中发生的危及
安全的事项。
电子支付业务的差错处理应遵守据实、准确和及时
8
的原则。
银行和转发人应指定相应部门和业务人员负责电子
支付业务的差错处理工作,并明确权限和职责。
银行和转发人应妥善保管电子支付业务的交易记
录,对电子支付业务的差错应详细备案登记,记录内容应包括差错时
间、差错记录与处理部门及人员姓名、客户资料、差错影响或损失、
差错原因、处理结果等。
由于银行和转发人保管使用不当,造成客户资料信
息泄露、破坏,导致客户资金受到损害,银行和转发人应负相应责任。
转发人或银行因自身系统、内控制度或按协议为其
提供服务的第三方服务机构的原因造成电子支付指令无法按约定时
间传递、传递不完整或被篡改的,应承担相应责任。
因第三方服务机构造成损失的,转发人或银行可根据与第三方服
务机构的协议进行追偿。
接收行由于自身系统或内控制度等原因对电子支
付指令未执行、未适当执行或迟延执行,致使客户款项无法按协议约
定处理时间准确入账的,应承担相应责任。
非资金所有人盗取他人存取工具发出电子支付指
令,并且其身份认证和交易授权通过了发起行或转发人的安全程序,
发起行或转发人对该指令进行处理所产生的后果不承担责任,但应积
极配合客户查找原因,尽量减少客户的损失。但下列情形除外:
(一)使用数字证书和电子签名等作为安全认证方式的;
9
(二)因转发人或银行原因造成客户安全认证数据被盗的。
使用数字证书和电子签名等方式确定客户身份和
交易授权的,非资金所有人盗取他人存取工具发出电子支付指令,并
且其身份认证和交易授权通过了发起行或转发人的安全程序,如果该
数字证书由合法的第三方认证服务机构提供,且第三方认证服务机构
不能证明自己无过错的,应承担相应责任。
客户的有关电子支付业务资料、存取工具被盗或遗
失,应按约定方式和程序及时通知转发人和银行。
由于客户未妥善保管电子支付交易存取工具,且未及时采取补救
措施造成资金损失的,如转发人或银行在电子支付交易办理过程中无
过错的,对此资金损失不承担赔偿责任。
客户发现自身未按规定操作,或由于自身其他原因
造成电子支付指令未执行、未适当执行、延迟执行的,应在协议约定
的时间内按照约定程序和方式通知银行或转发人。银行或转发人不承
担责任,但应积极调查并告知客户调查结果。
银行和转发人发现因客户原因造成电子支付指令未执行、未适当
执行、延迟执行的,应通知客户改正或配合客户采取补救措施。
客户按规定已变更或撤销指定办理电子支付业务
账户的,如银行已确认该账户被变更或撤销后,仍发生电子支付交易
并造成资金损失,银行应承担全部责任。
因不可抗力造成电子支付指令未执行、未适当执行、
延迟执行的,银行和转发人不对客户承担赔偿责任,但应当采取积极
10
措施防止损失扩大。因该差错取得不当得利的,应负有返还义务。
本指引由中国人民银行会同中国银行业监督管理
委员会负责解释和修改。
本指引自发布之日起施行。
11