支付机构应加强对用户支付账户的管理,为同一用户建立唯一的用户身份识别号,对该用户开立的所有支付账户进行关联、统一管理;对同一用户在同一支付机构开立多个支付账户的,应采取有效措施确保支付账户为同名账户且多个支付账户中登记的用户基本身份信息一致。
3.1.2用户身份信息审核
支付机构在为用户开立账户时,根据账户开立主体不同,分为个人支付账户和单位支付账户。
个人用户申请开立支付账户时,支付机构应登记其姓名、性别、国籍、职业、住址、联系方式以及有效身份证件的种类、号码和有效期限等身份信息,并对用户姓名、性别、有效身份证件的种类和号码等基本身份信息的真实性进行有效审核。个人用户存在以下情形的,支付机构应核对其有效身份证件,并留存有效身份证件的复印件或者影印件。
a.个人用户办理单笔收付金额人民币1万元以上或者外币等值1000美元以上支付业务的;
b.个人用户全部账户30天内资金双边收付金额累计人民币5万元以上或外币等值1万美元以上的;
c.个人用户全部账户资金余额连续10天超过人民币5000元或外币等值1000美元的; d.通过取得网上金融产品销售资质的支付机构买卖金融产品的; e.中国人民银行规定的其他情形。
单位用户申请开立支付账户时,支付机构应登记以下基本信息:
a.单位名称、地址、经营范围、税务登记证号码、组织机构代码(按规定无须取得税务登记证或无法取得组织机构代码证的除外);
b.可证明该客户依法设立或者依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限;
c.法定代表人(负责人)和授权办理业务人员的姓名、有效身份证件的种类、号码和有效期限。
支付机构应核对单位及其法定代表人(负责人)和授权办理业务人员的有效身份证件信息,并留存其复印件或者影印件。
有效身份证件是指能够证明用户身份的相关证件。个人用户的有效身份证件,包括:居住在境内的中国公民,为居民身份证或者临时居民身份证;居住在境内的16周岁以下的中国公民,为户口簿;中国人民解放军军人,为军人身份证件或居民身份证;中国人民武装警察,为武装警察身份证件或居民身份证;香港、澳门居民,为港澳居民往来内地通行证;台湾居民,为台湾居民来往大陆通行证或者其他有效旅行证件;外国公民,为护照;政府有权机关出具的能够证明其真实身份的证明文件。
法人和其他组织用户的有效身份证件,是指政府有权机关颁发的能够证明其合法真实身份的证件或文件,包括但不限于营业执照、事业单位法人证书、税务登记证、组织机构代码证。个体工商户的有效身份证件,包括营业执照、经营者或授权经办人员的有效身份证件。 支付机构可通过与公安机关、工商机关及税务机关等机构的合作,对个人用户及单位用户基本身份信息的真实性进行有效审核。 3.1.3用户申请资料保存
支付机构应加强对用户身份信息等资料的管理与保存,建立用户身份信息资料的分类、保管、查阅和销毁等管理制度,保证其妥善保管、有序存放、方便查阅,严防灭失、损毁和泄露。支付机构不得以任何形式对外提供用户身份信息等资料,法律法规另有规定或与用户另有约定的除外。
用户身份信息等资料,应当由支付机构按照归档要求,以纸质或电子方式妥善保存,保管期限自业务关系结束当年至少保存5年。纸质资料应整理立卷,装订成册,编制会计档案保管清册,电子方式的资料应进行备份,按照系统信息安全管理相关制度的要求妥善保管。 对于司法部门正在调查的可疑交易或违法犯罪行为活动涉及用户身份信息等资料,且相关调查工作在前款规定的最低保存期届满时仍未结束的,支付机构应当将其保存至相关调查工作结束。
3.2用户服务协议 3.2.1服务协议基本内容
支付机构为用户开立支付账户的,应在用户申请开立支付账户时签订服务协议。协议内容包括但不限于:
a.支付账户的开立、使用、挂失、止付和撤销的条件; b.身份验证和支付授权方式;
c.用户对支付机构核验其银行账户信息和身份信息真实性的授权; d.支付账户使用规则,以及违规使用的处置和责任; e.支付账户资金变动的通知方式;
f.发现支付账户被盗用后的通知、处置方式和责任划分; g.用户身份信息和交易信息的保密责任;
h.支付机构所提供的支付服务,包括具体的服务种类及产品功能等,及其支付服务的使用限制;
i.交易风险提示,包括提示用户注意交易过程中可能存在的风险及风险发生后的相关处理措施;
j.知识产权的保护,说明支付机构所享有的知识产权及相关 侵权责任;
k.业务争议解决方式及免责条款; l.双方的其他权利和义务。 3.2.2风险防范内容
支付机构与用户签订服务协议时,应告知用户可能存在的风险及相关的注意事项。 协议的风险条款应包含但不限于以下内容:
a.支付机构提供的各项支付服务中可能存在的风险,以及用户的注意事项;
b.用户注册支付账户时可能存在的风险,如未及时更新身份资料可能引发的风险等,以及用户的注意事项;
c.用户使用支付账户时,如账号登录、密码设置、交易操作等,可能存在的风险,以及用户的注意事项;
d.用户停止使用支付账户时可能存在的风险,以及用户的注意事项; e.其他风险防范内容。
3.2.3法律责任条款
支付机构与用户签订服务协议时,应明确与用户之间的权利与义务,并对各自承担的法律后果及法律责任进行约定。协议的法律责任条款应包含但不限于以下内容: a.注册支付账户时,双方所承担的权利义务与责任; b.使用支付账户服务时,双方所承担的权利义务与责任;
c.暂停、拒绝或终止支付账户服务时,双方所承担的权利义务与责任; d.支付系统服务中断或故障时,双方所承担的权利义务与责任;
e.用户使用支付账户及交易过程中产生风险损失时,双方所承担的权利义务与责任; f.用户隐私权的法律责任条款; g.支付机构知识产权的法律责任条款; h.其他法律责任条款。 3.2.4协议变更告知
支付机构拟变更支付服务协议格式条款、收费项目、收费标准等主要内容的,应当在变更前30日告知用户,并提示需要变更的内容,未向用户履行告知义务的,变更后的条款对该用户不具有约束力。变更协议涉及新增收费项目、提高收费标准、降低优惠条件等不利于原客户权益内容的,未经原用户同意,仍应当按照原协议执行。 3.3用户交易身份认证 3.3.1基本要求
为保障用户身份信息及交易信息的安全,保证用户支付指令的完整性、一致性和不可抵赖性,支付机构应为支付账户提供安全可靠的身份验证和支付授权方式,并采取有效措施,在用户发出支付指令前,提示用户对支付指令的准确性进行确认。 3.3.2技术手段
支付机构可通过密码、令牌、动态口令、安全证书、手机校验码等技术手段对用户交易身份进行认证,确保用户的交易指令由用户本人发出。
支付机构可根据用户使用的不同身份认证方式设置支付限额,以保护用户的资金安全。用户提交的身份认证信息经多次验证或在限定时间内仍未通过的,支付机构应暂停其部分或全部业务的处理,并以适当方式通知用户。
支付机构应持续更新交易身份认证技术手段,保证用户交易安全。 3.4用户账户与交易监控 3.4.1基本要求
支付机构应建立账户与交易监控系统,制定账户及交易安全监控、风险处置与报告制度,并指定专门部门、设置专职岗位或人员对用户账户及交易安全进行监控。 3.4.2监控范围
支付机构应当对用户签约、登录、交易、付款、查询、退款以及涉及账户变动的全过程实施7X24小时监控,以及时发现账户盗用、欺诈交易等风险,保障用户资金及信息安全。 3.4.3监控指标
为强化对账户及交易的监控效果,提升监控效率,支付机构应对以下指标实施重点监控: a.订单信息,包括交易双方名称或账号、商户编号、交易内容、交易金额、订单编号、交易日期和时间等; b.交易频率; c.交易额度及限额; d.商户交易集中度; e.其他。
3.4.4异常交易识别、调查与处置异常交易是指用户在办理互联网支付业务或支付机构在提供互联网支付服务过程中因自身或外来原因产生的非正常交易。 异常交易包含但不限于以下情形:
a.用户利用互联网支付服务从事套现、诈骗、洗钱等违法犯罪活动而产生的非正常交易;