第一章 總 則
第一條 為規(guī)范條碼(二維碼)支付(以下簡稱條碼支付)業(yè)務(wù),保護消費者合法權(quán)益����,促進條碼支付業(yè)務(wù)健康發(fā)展�,根據(jù)《電子支付指引(第一號)》(中國人民銀行公告〔2005〕第23號公布)���、《非金融機構(gòu)支付服務(wù)管理辦法》(中國人民銀行公告〔2010〕第2號公布)�����、《銀行卡收單業(yè)務(wù)管理辦法》(中國人民銀行公告〔2013〕第9號公布)�����、《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》(中國人民銀行公告〔2015〕第43號公布)等規(guī)定�����,制定本規(guī)范。
第二條 本規(guī)范所稱條碼支付業(yè)務(wù)是指銀行業(yè)金融機構(gòu)(以下簡稱銀行)����、非銀行支付機構(gòu)(以下簡稱支付機構(gòu))應(yīng)用條碼技術(shù)����,實現(xiàn)收付款人之間貨幣資金轉(zhuǎn)移的業(yè)務(wù)活動。條碼支付業(yè)務(wù)包括付款掃碼和收款掃碼。付款掃碼是指付款人通過移動終端識讀收款人展示的條碼完成支付的行為����。收款掃碼是指收款人通過識讀付款人移動終端展示的條碼完成支付的行為��。
第三條 銀行、支付機構(gòu)開展條碼支付業(yè)務(wù)應(yīng)遵循本規(guī)范����。
第四條 支付機構(gòu)開展條碼支付業(yè)務(wù)�����,應(yīng)按規(guī)定取得相應(yīng)的業(yè)務(wù)許可,并按相應(yīng)管理辦法規(guī)范開展業(yè)務(wù)����。
第五條 支付機構(gòu)不得基于條碼技術(shù),從事或變相從事證券��、保險��、信貸、融資�、理財�、擔保�����、信托��、貨幣兌換、現(xiàn)金存取等業(yè)務(wù)��。
第六條 銀行、支付機構(gòu)開展條碼支付業(yè)務(wù)應(yīng)遵守客戶實名制管理規(guī)定��;遵守反洗錢法律法規(guī)要求���,履行反洗錢和反恐怖融資義務(wù);依法維護客戶及相關(guān)主體的合法權(quán)益。
第七條 銀行��、支付機構(gòu)應(yīng)自覺遵守商業(yè)道德����,不得以任何形式詆毀其他市場主體的商業(yè)信譽,不得采用不正當競爭手段排擠競爭對手����、損害其他市場主體利益����,破壞市場公平競爭秩序�����。
第八條 銀行、支付機構(gòu)應(yīng)遵守中國人民銀行發(fā)布的相關(guān)技術(shù)標準與規(guī)范要求,保證條碼支付業(yè)務(wù)的交易安全和信息安全�。
第二章 條碼生成和受理
第九條 銀行��、支付機構(gòu)開展條碼支付業(yè)務(wù),應(yīng)將客戶用于生成條碼的銀行賬戶或支付賬戶、身份證件號碼�、手機號碼進行關(guān)聯(lián)管理����。
第十條 銀行、支付機構(gòu)開展條碼支付業(yè)務(wù),可以組合選用下列三種要素�����,對客戶條碼支付交易進行驗證:
(一)僅客戶本人知悉的要素��,如靜態(tài)密碼等�����;
(二)僅客戶本人持有并特有的��,不可復制或者不可重復利用的要素,如經(jīng)過安全認證的數(shù)字證書��、電子簽名,以及通過安全渠道生成和傳輸?shù)囊淮涡悦艽a等;
(三)客戶本人生物特征要素���,如指紋等�。
銀行���、支付機構(gòu)應(yīng)當確保采用的要素相互獨立�,部分要素的損壞或者泄露不應(yīng)導致其他要素損壞或者泄露�����。
第十一條 采用數(shù)字證書��、電子簽名作為驗證要素的����,數(shù)字證書及生成電子簽名的過程應(yīng)符合相關(guān)規(guī)定,應(yīng)確保數(shù)字證書的唯一性����、完整性及交易的不可抵賴性�。
采用一次性密碼作為驗證要素的��,應(yīng)當切實防范一次性密碼獲取端與支付指令發(fā)起端為相同物理設(shè)備而帶來的風險��,并將一次性密碼有效期嚴格限制在最短的必要時間內(nèi)�。
采用客戶本人生物特征作為驗證要素的��,應(yīng)當符合國家、金融行業(yè)標準和相關(guān)信息安全管理要求�����,防止被非法存儲、復制或重放�����。
第十二條 銀行�����、支付機構(gòu)應(yīng)根據(jù)《條碼支付安全技術(shù)規(guī)范(試行)》(銀辦發(fā)〔2017〕242號)關(guān)于風險防范能力的分級���,對個人客戶的條碼支付業(yè)務(wù)進行限額管理:
(一)風險防范能力達到A級,即采用包括數(shù)字證書或電子簽名在內(nèi)的兩類(含)以上有效要素對交易進行驗證的��,可與客戶通過協(xié)議自主約定單日累計限額��;
(二)風險防范能力達到B級��,即采用不包括數(shù)字證書����、電子簽名在內(nèi)的兩類(含)以上有效要素對交易進行驗證的��,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應(yīng)不超過5000元�;
(三)風險防范能力達到C級���,即采用不足兩類要素對交易進行驗證的��,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應(yīng)不超過1000元��;
(四)風險防范能力達到D級,即使用靜態(tài)條碼的����,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應(yīng)不超過500元。
第十三條 支付機構(gòu)向客戶開戶銀行發(fā)送支付指令,扣劃客戶銀行賬戶資金的���,同一客戶全部銀行賬戶合計日累計交易限額執(zhí)行第十二條的規(guī)定。
第十四條 銀行�����、支付機構(gòu)提供付款掃碼服務(wù)的,應(yīng)具備差異化的風控措施和完善的客戶權(quán)益受損解決機制����,在條碼生成�����、識讀、支付等核心業(yè)務(wù)流程中明確提示客戶支付風險�,切實防范不法分子通過在條碼中植入木馬����、病毒等方式造成客戶信息泄露和資金損失。
第十五條 銀行�、支付機構(gòu)提供收款掃碼服務(wù)的��,應(yīng)使用動態(tài)條碼����,設(shè)置條碼有效期、使用次數(shù)等方式����,防止條碼被重復使用導致重復扣款��,確保條碼真實有效�。
第十六條 銀行���、支付機構(gòu)開展條碼支付業(yè)務(wù)所涉及的業(yè)務(wù)系統(tǒng)���、客戶端軟件��、受理終端(網(wǎng)絡(luò)支付接口)等,應(yīng)當持續(xù)符合監(jiān)管部門及行業(yè)標準要求��,確保條碼生成和識讀過程的安全性、真實性和完整性�。
第十七條 銀行���、支付機構(gòu)應(yīng)按照中國人民銀行相關(guān)規(guī)定強化支付敏感信息內(nèi)控管理和安全防護,強化交易密碼保護機制;通過支付標記化技術(shù)應(yīng)用等手段���,從源頭控制信息泄露和欺詐交易風險�����。
第十八條 銀行�、支付機構(gòu)應(yīng)指定專人操作與維護條碼生成相關(guān)系統(tǒng)�。條碼信息僅限包含當次支付相關(guān)信息,不應(yīng)包含任何與客戶及其賬戶相關(guān)的支付敏感信息�����。特約商戶展示的條碼,僅限包含與當次支付有關(guān)的特約商戶��、商品(服務(wù))或商品(服務(wù))訂單等信息。移動終端展示的條碼�����,不得包含未經(jīng)加密處理的客戶本人賬戶信息。
第十九條 銀行���、支付機構(gòu)應(yīng)確保條碼支付交易經(jīng)客戶確認或授權(quán)后發(fā)起,支付指令應(yīng)真實�、完整���、有效��。移動終端完成條碼掃描后����,應(yīng)正確���、完整顯示掃碼內(nèi)容,供客戶確認�����。
特約商戶受理終端完成條碼掃描后,應(yīng)僅顯示掃碼結(jié)果并提示下一步操作,不得顯示付款人的支付敏感信息���。
第二十條 銀行、支付機構(gòu)應(yīng)根據(jù)條碼支付的真實場景��,按規(guī)定正確選用交易類型����,準確標識交易信息并完整發(fā)送�����,確保交易信息的完整性�����、真實性和可追溯性。交易信息至少應(yīng)包括:直接提供商品或服務(wù)的特約商戶名稱�����、類別和代碼,受理終端(網(wǎng)絡(luò)支付接口)類型和代碼���,交易時間和地點(網(wǎng)絡(luò)特約商戶的網(wǎng)絡(luò)地址)��,交易金額����,交易類型和渠道����,交易發(fā)起方式等。網(wǎng)絡(luò)特約商戶的交易信息還應(yīng)當包括訂單號和網(wǎng)絡(luò)交易平臺名稱�����。銀行、支付機構(gòu)應(yīng)在支付交易報文中通過特定域標識該交易為條碼支付交易�,以供報文接收方正確識別并進行授權(quán)處理�����。
第二十一條 支付交易完成后��,特約商戶受理終端和移動終端應(yīng)顯示支付結(jié)果;支付失敗的�����,特約商戶受理終端和移動終端還應(yīng)顯示失敗原因��。
第三章 特約商戶管理
第二十二條 銀行��、支付機構(gòu)拓展條碼支付特約商戶,應(yīng)遵循“了解你的客戶”原則,確保所拓展的是依法設(shè)立���、合法經(jīng)營的特約商戶���。
第二十三條 中國支付清算協(xié)會�����、清算機構(gòu)應(yīng)將條碼支付特約商戶納入特約商戶信息管理系統(tǒng)及黑名單管理機制�����。銀行、支付機構(gòu)拓展特約商戶時����,應(yīng)進行查詢確認,如商戶及其法定代表人或負責人在特約商戶信息管理系統(tǒng)中存在不良信息記錄的�,應(yīng)謹慎為該商戶提供條碼支付服務(wù)�;不得將已納入黑名單的單位和個人����,以及由納入黑名單個人擔任法定代表人或者負責人的單位拓展為特約商戶����,已經(jīng)拓展為特約商戶的��,應(yīng)當自該特約商戶被列入黑名單之日起10日內(nèi)予以清退����。
第二十四條 銀行���、支付機構(gòu)拓展特約商戶應(yīng)落實實名制規(guī)定�����,嚴格審核特約商戶的營業(yè)執(zhí)照等證明文件,以及法定代表人或負責人的有效身份證件等申請材料����,確認申請材料的真實性、完整性��、有效性���,并留存申請材料的影印件或復印件���。對依據(jù)法律法規(guī)和相關(guān)監(jiān)管規(guī)定免于辦理工商注冊登記的實體特約商戶(小微商戶)�,收單機構(gòu)在遵循“了解你的客戶”原則的前提下���,可以通過審核商戶主要負責人身份證明文件和輔助證明材料為其提供條碼支付收單服務(wù)����。輔助證明材料包括但不限于營業(yè)場所租賃協(xié)議或者產(chǎn)權(quán)證明���、集中經(jīng)營場所管理方出具的證明文件等能夠反映小微商戶真實�、合法從事商品或服務(wù)交易活動的材料���。以同一個身份證件在同一家收單機構(gòu)辦理的全部小微商戶基于信用卡的條碼支付收款金額日累計不超過1000元��、月累計不超過1萬元�。銀行���、支付機構(gòu)應(yīng)當結(jié)合小微商戶風險等級動態(tài)調(diào)整交易卡種�、交易限額���、結(jié)算周期等�,強化對小微商戶的交易監(jiān)測�。
第二十五條 銀行��、支付機構(gòu)應(yīng)與特約商戶簽訂條碼支付受理協(xié)議����,就銀行結(jié)算賬戶的設(shè)置和變更��、資金結(jié)算周期����、結(jié)算手續(xù)費標準�����、差錯和爭議處理等條碼支付服務(wù)相關(guān)事項進行約定,明確雙方的權(quán)利���、義務(wù)和違約責任。
第二十六條 銀行、支付機構(gòu)在條碼支付受理協(xié)議中�,應(yīng)要求特約商戶基于真實的商品或服務(wù)交易背景受理條碼支付�����;按規(guī)定使用受理終端或網(wǎng)絡(luò)支付接口�、銀行結(jié)算賬戶,不得利用其從事或協(xié)助他人從事非法活動;妥善處理交易數(shù)據(jù)信息����、保存交易憑證��,保障交易信息安全;不得向客戶收取或變相收取附加費用����,或降低服務(wù)水平����。
第二十七條 銀行��、支付機構(gòu)應(yīng)建立特約商戶信息管理系統(tǒng),記錄特約商戶名稱和經(jīng)營地址����、特約商戶身份資料信息、特約商戶類別、結(jié)算手續(xù)費標準��、銀行結(jié)算賬戶信息���、開通的交易類型和開通時間、受理終端(網(wǎng)絡(luò)交易接口)類型和安裝地址等信息�,并及時進行更新�。銀行����、支付機構(gòu)應(yīng)按規(guī)定向中國支付清算協(xié)會和清算機構(gòu)特約商戶信息管理系統(tǒng)報送特約商戶基本信息��。
第二十八條 銀行���、支付機構(gòu)應(yīng)建立特約商戶檢查制度,明確檢查頻率��、檢查內(nèi)容��、檢查記錄等管理要求���,落實檢查責任����。
第二十九條 銀行��、支付機構(gòu)應(yīng)當對實體特約商戶條碼收單業(yè)務(wù)進行本地化經(jīng)營和管理����,通過在特約商戶及其分支機構(gòu)所在省(區(qū)��、市)轄內(nèi)的收單機構(gòu)或其分支機構(gòu)提供收單服務(wù),不得跨?。▍^(qū)���、市)開展條碼收單業(yè)務(wù)。
第三十條 銀行����、支付機構(gòu)應(yīng)按照《中國人民銀行關(guān)于加強銀行卡收單業(yè)務(wù)外包管理的通知》(銀發(fā)〔2015〕199號)相關(guān)要求審慎選擇外包服務(wù)機構(gòu)���,嚴格規(guī)范與外包服務(wù)機構(gòu)的業(yè)務(wù)合作�,強化收單外包業(yè)務(wù)的風險管理責任�����。銀行、支付機構(gòu)作為條碼支付收單業(yè)務(wù)主體的管理責任和風險承擔責任不因外包關(guān)系而轉(zhuǎn)移���。銀行��、支付機構(gòu)不得將特約商戶資質(zhì)審核����、受理協(xié)議簽訂、資金結(jié)算��、交易處理�、風險監(jiān)測、受理終端主密鑰生成和管理�����、網(wǎng)絡(luò)支付接口管理�、差錯和爭議處理工作交由外包服務(wù)機構(gòu)辦理�����。銀行、支付機構(gòu)與外包服務(wù)機構(gòu)系統(tǒng)對接開展業(yè)務(wù)的����,應(yīng)確保外包服務(wù)機構(gòu)無法獲取或者接觸支付敏感信息、不得從事或者變相從事特約商戶資金結(jié)算����。
第三十一條 銀行���、支付機構(gòu)應(yīng)尊重特約商戶的自主選擇權(quán),不得干涉或變相干涉特約商戶與其他機構(gòu)的合作�。
第三十二條 銀行��、支付機構(gòu)開展條碼支付業(yè)務(wù)應(yīng)參照銀行卡刷卡手續(xù)費定價標準科學合理定價���,不得采用交叉補貼���、低于成本價格傾銷等不正當手段排擠競爭對手,擾亂市場秩序�����。
第四章 風險管理
第三十三條 銀行��、支付機構(gòu)應(yīng)建立全面風險管理體系和內(nèi)部控制機制�����,提升風險識別能力,采取有效措施防范風險�,及時發(fā)現(xiàn)����、處理可疑交易信息及風險事件���。
第三十四條 銀行���、支付機構(gòu)開展條碼支付業(yè)務(wù),應(yīng)當評估業(yè)務(wù)相關(guān)的洗錢和恐怖融資風險����,采取與風險水平相適應(yīng)的管控措施。
第三十五條 銀行�����、支付機構(gòu)應(yīng)建立特約商戶風險評級制度�,綜合考慮特約商戶的區(qū)域和行業(yè)特征����、經(jīng)營規(guī)模、財務(wù)和資信狀況等因素����,對特約商戶進行風險評級����。
第三十六條 銀行����、支付機構(gòu)應(yīng)結(jié)合特約商戶風險等級及交易類型等因素�,設(shè)置或與其約定單筆及日累計交易限額��。
第三十七條 銀行�����、支付機構(gòu)對風險等級較高的特約商戶�,應(yīng)通過強化交易監(jiān)測�、建立特約商戶風險準備金��、延遲清算等風險管理措施�,防范交易風險��。
第三十八條 銀行、支付機構(gòu)應(yīng)建立特約商戶檢查�����、評估制度���,根據(jù)特約商戶的風險等級,制定不同的檢查�����、評估頻率和方式�����,并保留相關(guān)記錄。
第三十九條 銀行���、支付機構(gòu)應(yīng)制定突發(fā)事件應(yīng)急預案����,建立災難備份系統(tǒng)�����,確保條碼支付業(yè)務(wù)的連續(xù)性和業(yè)務(wù)系統(tǒng)安全運行。
第四十條 銀行���、支付機構(gòu)應(yīng)能夠有效識別本機構(gòu)發(fā)行的客戶端程序和特約商戶受理終端���,能夠確保條碼生成和識讀過程的安全性����。
第四十一條 銀行�、支付機構(gòu)應(yīng)確?�?蛻羯矸莼蛸~戶信息安全,防止泄露��,并根據(jù)收付款不同業(yè)務(wù)場景設(shè)置條碼有效性和使用次數(shù)。
第四十二條 銀行��、支付機構(gòu)應(yīng)建立條碼支付交易風險監(jiān)測體系����,及時發(fā)現(xiàn)可疑交易�����,并采取阻斷交易、聯(lián)系客戶核實交易等方式防范交易風險��。
第四十三條 銀行、支付機構(gòu)發(fā)現(xiàn)特約商戶發(fā)生疑似套現(xiàn)��、洗錢��、恐怖融資�、欺詐、留存或泄露賬戶信息等風險事件的����,應(yīng)對特約商戶采取延遲資金結(jié)算��、暫停交易��、凍結(jié)賬戶等措施���,并承擔因未采取措施導致的風險損失責任;發(fā)現(xiàn)涉嫌違法犯罪活動的�����,應(yīng)及時向公安機關(guān)報案��。
第四十四條 銀行�����、支付機構(gòu)應(yīng)持續(xù)完善客戶服務(wù)體系,及時受理和解決條碼支付業(yè)務(wù)中的客戶咨詢�、查詢和投訴等問題�����,自覺維護客戶的合法權(quán)益�����。
第四十五條 銀行、支付機構(gòu)應(yīng)充分披露條碼支付業(yè)務(wù)產(chǎn)品類型���、辦理流程、操作規(guī)程���、收費標準等信息���,明確業(yè)務(wù)風險點及相關(guān)責任承擔機制�����、風險損失賠付方式及操作方式��。
第四十六條 銀行�����、支付機構(gòu)應(yīng)開展對客戶的條碼支付安全教育,提升其風險防范意識和應(yīng)對能力���。
第四十七條 銀行、支付機構(gòu)應(yīng)向中國支付清算協(xié)會、清算機構(gòu)風險信息管理系統(tǒng)報送其條碼支付特約商戶風險信息���。銀行、支付機構(gòu)或其外包服務(wù)機構(gòu)、條碼支付特約商戶發(fā)生涉嫌重大支付違法犯罪案件或重大風險事件的�,應(yīng)當于2個工作日內(nèi)向中國人民銀行或其分支機構(gòu)報告���。
第五章 附 則
第四十八條 采取自定義符號、圖形��、圖像等作為信息載體傳遞交易信息用于支付服務(wù)的��,參照本規(guī)范進行管理���。
第四十九條 本規(guī)范相關(guān)用語含義如下:
移動終端�,指客戶使用的�、具有移動通訊功能,用于展示或識讀條碼���,完成支付的終端設(shè)備��。如手機����、平板電腦等。特約商戶受理終端��,指具有條碼展示或識讀等功能���,參與條碼支付完成銷售收款的特約商戶端專用設(shè)備。包括具有條碼展示功能的顯碼設(shè)備����;識讀條碼并且向后臺系統(tǒng)發(fā)起支付指令的專用設(shè)備�����,包括但不限于帶掃碼裝置的收銀系統(tǒng)、銷售點終端(POS)�����、自助終端等����。支付敏感信息����,是指一旦遭到泄露或修改�,會對標識的信息主體的信息安全和資金安全造成危害的信息��。包括但不限于支付密碼�����、銀行卡密碼、驗證碼���、卡片有效期��、生物特征以及未獲客戶授權(quán)的金融信息����。
第五十條 本規(guī)范自2018年4月1日起實施����。
