為規(guī)范電子支付業(yè)務(wù),防范支付風險���,保證資金安全�,維護銀行及其客戶在電子支付活動中的合法權(quán)益�,促進電子支付業(yè)務(wù)健康發(fā)展�,中國人民銀行制定了《電子支付指引(第一號)》,現(xiàn)予公布�。本公告自公布之日起施行。
中國人民銀行
二○○五年十月二十六日
電子支付指引(第一號)
第一章 總 則
第一條 為規(guī)范和引導(dǎo)電子支付的健康發(fā)展�����,保障當事人的合法權(quán)益����,防范支付風險����,確保銀行和客戶資金的安全,制定本指引�。
第二條 電子支付是指單位、個人(以下簡稱客戶)直接或授權(quán)他人通過電子終端發(fā)出支付指令����,實現(xiàn)貨幣支付與資金轉(zhuǎn)移的行為�����。
電子支付的類型按電子支付指令發(fā)起方式分為網(wǎng)上支付�����、電話支付��、移動支付�����、銷售點終端交易����、自動柜員機交易和其他電子支付��。
境內(nèi)銀行業(yè)金融機構(gòu)(以下簡稱銀行)開展電子支付業(yè)務(wù)��,適用本指引����。
第三條 銀行開展電子支付業(yè)務(wù)應(yīng)當遵守國家有關(guān)法律����、行政法規(guī)的規(guī)定�����,不得損害客戶和社會公共利益���。
銀行與其他機構(gòu)合作開展電子支付業(yè)務(wù)的�,其合作機構(gòu)的資質(zhì)要求應(yīng)符合有關(guān)法規(guī)制度的規(guī)定�,銀行要根據(jù)公平交易的原則,簽訂書面協(xié)議并建立相應(yīng)的監(jiān)督機制��。
第四條 客戶辦理電子支付業(yè)務(wù)應(yīng)在銀行開立銀行結(jié)算賬戶(以下簡稱賬戶)���,賬戶的開立和使用應(yīng)符合《人民幣銀行結(jié)算賬戶管理辦法》、《境內(nèi)外匯賬戶管理規(guī)定》等規(guī)定�����。
第五條 電子支付指令與紙質(zhì)支付憑證可以相互轉(zhuǎn)換��,二者具有同等效力。
第六條 本指引下列用語的含義為:
(一)“發(fā)起行”�,是指接受客戶委托發(fā)出電子支付指令的銀行。
(二)“接收行”���,是指電子支付指令接收人的開戶銀行����;接收人未在銀行開立賬戶的�����,指電子支付指令確定的資金匯入銀行����。
(三)“電子終端”,是指客戶可用以發(fā)起電子支付指令的計算機�、電話、銷售點終端��、自動柜員機��、移動通訊工具或其他電子設(shè)備�。
第二章 電子支付業(yè)務(wù)的申請
第七條 銀行應(yīng)根據(jù)審慎性原則,確定辦理電子支付業(yè)務(wù)客戶的條件����。
第八條 辦理電子支付業(yè)務(wù)的銀行應(yīng)公開披露以下信息:
(一)銀行名稱�����、營業(yè)地址及聯(lián)系方式�����;
(二)客戶辦理電子支付業(yè)務(wù)的條件���;
(三)所提供的電子支付業(yè)務(wù)品種、操作程序和收費標準等���;
(四)電子支付交易品種可能存在的全部風險����,包括該品種的操作風險�、未采取的安全措施、無法采取安全措施的安全漏洞等���;
(五)客戶使用電子支付交易品種可能產(chǎn)生的風險;
(六)提醒客戶妥善保管�����、使用或授權(quán)他人使用電子支付交易存取工具(如卡、密碼�����、密鑰���、電子簽名制作數(shù)據(jù)等)的警示性信息����;
(七)爭議及差錯處理方式�����。
第九條 銀行應(yīng)認真審核客戶申請辦理電子支付業(yè)務(wù)的基本資料���,并以書面或電子方式與客戶簽訂協(xié)議���。
銀行應(yīng)按會計檔案的管理要求妥善保存客戶的申請資料,保存期限至該客戶撤銷電子支付業(yè)務(wù)后5年��。
第十條 銀行為客戶辦理電子支付業(yè)務(wù)����,應(yīng)根據(jù)客戶性質(zhì)���、電子支付類型、支付金額等����,與客戶約定適當?shù)恼J證方式,如密碼�����、密鑰����、數(shù)字證書、電子簽名等�����。
認證方式的約定和使用應(yīng)遵循《中華人民共和國電子簽名法》等法律法規(guī)的規(guī)定��。
第十一條 銀行要求客戶提供有關(guān)資料信息時���,應(yīng)告知客戶所提供信息的使用目的和范圍��、安全保護措施��、以及客戶未提供或未真實提供相關(guān)資料信息的后果���。
第十二條 客戶可以在其已開立的銀行結(jié)算賬戶中指定辦理電子支付業(yè)務(wù)的賬戶。該賬戶也可用于辦理其他支付結(jié)算業(yè)務(wù)����。
客戶未指定的銀行結(jié)算賬戶不得辦理電子支付業(yè)務(wù)。
第十三條 客戶與銀行簽訂的電子支付協(xié)議應(yīng)包括以下內(nèi)容:
(一)客戶指定辦理電子支付業(yè)務(wù)的賬戶名稱和賬號���;
(二)客戶應(yīng)保證辦理電子支付業(yè)務(wù)賬戶的支付能力����;
(三)雙方約定的電子支付類型����、交易規(guī)則、認證方式等�;
(四)銀行對客戶提供的申請資料和其他信息的保密義務(wù);
(五)銀行根據(jù)客戶要求提供交易記錄的時間和方式�;
(六)爭議、差錯處理和損害賠償責任�����。
第十四條 有以下情形之一的,客戶應(yīng)及時向銀行提出電子或書面申請:
(一)終止電子支付協(xié)議的�����;
(二)客戶基本資料發(fā)生變更的����;
(三)約定的認證方式需要變更的;
(四)有關(guān)電子支付業(yè)務(wù)資料��、存取工具被盜或遺失的���;
(五)客戶與銀行約定的其他情形���。
第十五條 客戶利用電子支付方式從事違反國家法律法規(guī)活動的,銀行應(yīng)按照有權(quán)部門的要求停止為其辦理電子支付業(yè)務(wù)��。
第三章 電子支付指令的發(fā)起和接收
第十六條 客戶應(yīng)按照其與發(fā)起行的協(xié)議規(guī)定����,發(fā)起電子支付指令。
第十七條 電子支付指令的發(fā)起行應(yīng)建立必要的安全程序,對客戶身份和電子支付指令進行確認���,并形成日志文件等記錄�,保存至交易后5年�。
第十八條 發(fā)起行應(yīng)采取有效措施���,在客戶發(fā)出電子支付指令前�����,提示客戶對指令的準確性和完整性進行確認��。
第十九條 發(fā)起行應(yīng)確保正確執(zhí)行客戶的電子支付指令���,對電子支付指令進行確認后,應(yīng)能夠向客戶提供紙質(zhì)或電子交易回單�。
發(fā)起行執(zhí)行通過安全程序的電子支付指令后,客戶不得要求變更或撤銷電子支付指令��。
第二十條 發(fā)起行�、接收行應(yīng)確保電子支付指令傳遞的可跟蹤稽核和不可篡改。
第二十一條 發(fā)起行��、接收行之間應(yīng)按照協(xié)議規(guī)定及時發(fā)送���、接收和執(zhí)行電子支付指令���,并回復(fù)確認��。
第二十二條 電子支付指令需轉(zhuǎn)換為紙質(zhì)支付憑證的�,其紙質(zhì)支付憑證必須記載以下事項(具體格式由銀行確定):
(一)付款人開戶行名稱和簽章���;
(二)付款人名稱��、賬號���;
(三)接收行名稱;
(四)收款人名稱����、賬號;
(五)大寫金額和小寫金額����;
(六)發(fā)起日期和交易序列號��。
第四章 安全控制
第二十三條 銀行開展電子支付業(yè)務(wù)采用的信息安全標準、技術(shù)標準�、業(yè)務(wù)標準等應(yīng)當符合有關(guān)規(guī)定��。
第二十四條 銀行應(yīng)針對與電子支付業(yè)務(wù)活動相關(guān)的風險��,建立有效的管理制度�。
第二十五條 銀行應(yīng)根據(jù)審慎性原則并針對不同客戶�����,在電子支付類型���、單筆支付金額和每日累計支付金額等方面做出合理限制����。
銀行通過互聯(lián)網(wǎng)為個人客戶辦理電子支付業(yè)務(wù),除采用數(shù)字證書����、電子簽名等安全認證方式外��,單筆金額不應(yīng)超過1000元人民幣,每日累計金額不應(yīng)超過5000元人民幣��。
銀行為客戶辦理電子支付業(yè)務(wù)���,單位客戶從其銀行結(jié)算賬戶支付給個人銀行結(jié)算賬戶的款項,其單筆金額不得超過5萬元人民幣�,但銀行與客戶通過協(xié)議約定��,能夠事先提供有效付款依據(jù)的除外�����。
銀行應(yīng)在客戶的信用卡授信額度內(nèi)�����,設(shè)定用于網(wǎng)上支付交易的額度供客戶選擇���,但該額度不得超過信用卡的預(yù)借現(xiàn)金額度。
第二十六條 銀行應(yīng)確保電子支付業(yè)務(wù)處理系統(tǒng)的安全性��,保證重要交易數(shù)據(jù)的不可抵賴性�、數(shù)據(jù)存儲的完整性、客戶身份的真實性�����,并妥善管理在電子支付業(yè)務(wù)處理系統(tǒng)中使用的密碼���、密鑰等認證數(shù)據(jù)。
第二十七條 銀行使用客戶資料�����、交易記錄等�,不得超出法律法規(guī)許可和客戶授權(quán)的范圍���。
銀行應(yīng)依法對客戶的資料信息����、交易記錄等保密。除國家法律��、行政法規(guī)另有規(guī)定外��,銀行應(yīng)當拒絕除客戶本人以外的任何單位或個人的查詢�����。
第二十八條 銀行應(yīng)與客戶約定���,及時或定期向客戶提供交易記錄����、資金余額和賬戶狀態(tài)等信息����。
第二十九條 銀行應(yīng)采取必要措施保護電子支付交易數(shù)據(jù)的完整性和可靠性:
(一)制定相應(yīng)的風險控制策略,防止電子支付業(yè)務(wù)處理系統(tǒng)發(fā)生有意或無意的危害數(shù)據(jù)完整性和可靠性的變化�����,并具備有效的業(yè)務(wù)容量��、業(yè)務(wù)連續(xù)性計劃和應(yīng)急計劃;
(二)保證電子支付交易與數(shù)據(jù)記錄程序的設(shè)計發(fā)生擅自變更時能被有效偵測��;
(三)有效防止電子支付交易數(shù)據(jù)在傳送�、處理、存儲�����、使用和修改過程中被篡改,任何對電子支付交易數(shù)據(jù)的篡改能通過交易處理��、監(jiān)測和數(shù)據(jù)記錄功能被偵測�����;
(四)按照會計檔案管理的要求�����,對電子支付交易數(shù)據(jù),以紙介質(zhì)或磁性介質(zhì)的方式進行妥善保存����,保存期限為5年,并方便調(diào)閱���。
第三十條 銀行應(yīng)采取必要措施為電子支付交易數(shù)據(jù)保密:
(一)對電子支付交易數(shù)據(jù)的訪問須經(jīng)合理授權(quán)和確認����;
(二)電子支付交易數(shù)據(jù)須以安全方式保存,并防止其在公共���、私人或內(nèi)部網(wǎng)絡(luò)上傳輸時被擅自查看或非法截�����;
(三)第三方獲取電子支付交易數(shù)據(jù)必須符合有關(guān)法律法規(guī)的規(guī)定以及銀行關(guān)于數(shù)據(jù)使用和保護的標準與控制制度�����;
(四)對電子支付交易數(shù)據(jù)的訪問均須登記��,并確保該登記不被篡改�����。
第三十一條 銀行應(yīng)確保對電子支付業(yè)務(wù)處理系統(tǒng)的操作人員、管理人員以及系統(tǒng)服務(wù)商有合理的授權(quán)控制:
(一)確保進入電子支付業(yè)務(wù)賬戶或敏感系統(tǒng)所需的認證數(shù)據(jù)免遭篡改和破壞�����。對此類篡改都應(yīng)是可偵測的��,而且審計監(jiān)督應(yīng)能恰當?shù)胤从吵鲞@些篡改的企圖��。
(二)對認證數(shù)據(jù)進行的任何查詢�、添加���、刪除或更改都應(yīng)得到必要授權(quán)�,并具有不可篡改的日志記錄�����。
第三十二條 銀行應(yīng)采取有效措施保證電子支付業(yè)務(wù)處理系統(tǒng)中的職責分離:
(一)對電子支付業(yè)務(wù)處理系統(tǒng)進行測試�����,確保職責分離���;
(二)開發(fā)和管理經(jīng)營電子支付業(yè)務(wù)處理系統(tǒng)的人員維持分離狀態(tài);
(三)交易程序和內(nèi)控制度的設(shè)計確保任何單個的雇員和外部服務(wù)供應(yīng)商都無法獨立完成一項交易����。
第三十三條 銀行可以根據(jù)有關(guān)規(guī)定將其部分電子支付業(yè)務(wù)外包給合法的專業(yè)化服務(wù)機構(gòu)����,但銀行對客戶的義務(wù)及相應(yīng)責任不因外包關(guān)系的確立而轉(zhuǎn)移���。
銀行應(yīng)與開展電子支付業(yè)務(wù)相關(guān)的專業(yè)化服務(wù)機構(gòu)簽訂協(xié)議,并確立一套綜合性�、持續(xù)性的程序,以管理其外包關(guān)系����。
第三十四條 銀行采用數(shù)字證書或電子簽名方式進行客戶身份認證和交易授權(quán)的,提倡由合法的第三方認證機構(gòu)提供認證服務(wù)�����。如客戶因依據(jù)該認證服務(wù)進行交易遭受損失��,認證服務(wù)機構(gòu)不能證明自己無過錯�,應(yīng)依法承擔相應(yīng)責任。
第三十五條 境內(nèi)發(fā)生的人民幣電子支付交易信息處理及資金清算應(yīng)在境內(nèi)完成����。
第三十六條 銀行的電子支付業(yè)務(wù)處理系統(tǒng)應(yīng)保證對電子支付交易信息進行完整的記錄和按有關(guān)法律法規(guī)進行披露。
第三十七條 銀行應(yīng)建立電子支付業(yè)務(wù)運作重大事項報告制度�����,及時向監(jiān)管部門報告電子支付業(yè)務(wù)經(jīng)營過程中發(fā)生的危及安全的事項���。
第五章 差錯處理
第三十八條 電子支付業(yè)務(wù)的差錯處理應(yīng)遵守據(jù)實���、準確和及時的原則�����。
第三十九條 銀行應(yīng)指定相應(yīng)部門和業(yè)務(wù)人員負責電子支付業(yè)務(wù)的差錯處理工作��,并明確權(quán)限和職責���。
第四十條 銀行應(yīng)妥善保管電子支付業(yè)務(wù)的交易記錄,對電子支付業(yè)務(wù)的差錯應(yīng)詳細備案登記��,記錄內(nèi)容應(yīng)包括差錯時間����、差錯內(nèi)容與處理部門及人員姓名�����、客戶資料���、差錯影響或損失���、差錯原因�����、處理結(jié)果等�。
第四十一條 由于銀行保管�����、使用不當,導(dǎo)致客戶資料信息被泄露或篡改的���,銀行應(yīng)采取有效措施防止因此造成客戶損失���,并及時通知和協(xié)助客戶補救。
第四十二條 因銀行自身系統(tǒng)�����、內(nèi)控制度或為其提供服務(wù)的第三方服務(wù)機構(gòu)的原因��,造成電子支付指令無法按約定時間傳遞���、傳遞不完整或被篡改����,并造成客戶損失的,銀行應(yīng)按約定予以賠償�����。
因第三方服務(wù)機構(gòu)的原因造成客戶損失的�,銀行應(yīng)予賠償���,再根據(jù)與第三方服務(wù)機構(gòu)的協(xié)議進行追償�。
第四十三條 接收行由于自身系統(tǒng)或內(nèi)控制度等原因?qū)﹄娮又Ц吨噶钗磮?zhí)行���、未適當執(zhí)行或遲延執(zhí)行致使客戶款項未準確入賬的,應(yīng)及時糾正���。
第四十四條 客戶應(yīng)妥善保管、使用電子支付交易存取工具��。有關(guān)電子支付業(yè)務(wù)資料����、存取工具被盜或遺失���,應(yīng)按約定方式和程序及時通知銀行。
第四十五條 非資金所有人盜取他人存取工具發(fā)出電子支付指令��,并且其身份認證和交易授權(quán)通過發(fā)起行的安全程序的�,發(fā)起行應(yīng)積極配合客戶查找原因���,盡量減少客戶損失。
第四十六條 客戶發(fā)現(xiàn)自身未按規(guī)定操作���,或由于自身其他原因造成電子支付指令未執(zhí)行���、未適當執(zhí)行、延遲執(zhí)行的�����,應(yīng)在協(xié)議約定的時間內(nèi)��,按照約定程序和方式通知銀行����。銀行應(yīng)積極調(diào)查并告知客戶調(diào)查結(jié)果�。
銀行發(fā)現(xiàn)因客戶原因造成電子支付指令未執(zhí)行����、未適當執(zhí)行����、延遲執(zhí)行的,應(yīng)主動通知客戶改正或配合客戶采取補救措施�����。
第四十七條 因不可抗力造成電子支付指令未執(zhí)行、未適當執(zhí)行�、延遲執(zhí)行的��,銀行應(yīng)當采取積極措施防止損失擴大�。
第六章 附 則
第四十八條 本指引由中國人民銀行負責解釋和修改�。
第四十九條 本指引自發(fā)布之日起施行�����。
來源:中國人民銀行
