8月3日上午消息 近日,支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿),意见稿中明确指出支付机构开展条码业务需要遵循的安全标准。这是央行在2014年叫停二维码支付以后首次官方承认二维码支付地位。
此前,央行曾向支付清算协会、银联发函确认二维码支付地位。央行要求支付清算协会在前期相关工作基础上,按照要求,会同银行卡清算机构、主要商业银行和支付机构出台条码支付行业技术标准和业务规范,并在个人信息保护、资金安全、加密措施、敏感信息存储等方面提出明确要求
下附《条码支付业务规范》(征求意见稿)全文:
第一章总则
第一条 为规范线下条码(二维码)支付(以下简称条码支付)业务经营行为,保护会员单位及消费者合法权益,促进条码支付业务健康发展,根据《电子支付指引(第一号)》、《非金融机构支付服务管理办法》、《非银行支付机构网络支付业务管理办法》等规定,制定本规范。
第二条 本规范所称条码支付业务是指会员单位应用条码技术,向客户提供的、通过手机等移动终端实现收付款人之间货币资金转移的行为。
条码支付业务包括付款扫码和收款扫码。付款扫码是指付款人通过移动终端读取收款人展示的条码完成支付的行为。收款扫码是指收款人通过读取付款人移动终端展示的条码完成支付的行为。
第三条 会员单位开展条码支付业务应遵循本规范。
会员单位开展条码支付业务应遵循依法合规、平等竞争、诚实守信、安全效率、合作共赢的基本原则。
第四条 会员单位开展条码支付业务应取得相应的业务资质,并按照监管部门相关业务管理办法规范开展业务,加强风险防范,保障支付安全。
第五条 会员单位开展条码支付业务应遵守客户实名制管理规定。
第六条 会员单位开展条码支付业务应遵守反洗钱法律法规要求,履行反洗钱和反恐怖融资义务。
第七条 会员单位应依法维护客户及相关主体的合法权益,采取有效措施切实保护消费者利益。
第八条 会员单位应自觉遵守商业道德,不得以任何形式诋毁其他会员单位的商业信誉,不得利用任何不正当手段损害其他会员单位利益、干预或影响正常市场秩序。
第九条 会员单位应遵守监管部门发布的相关技术标准与规范要求,包括但不限于《网上银行系统信息安全通用规范》( JR/T 0068-2012)、《中国金融移动支付技术标准》(JR/T 0088-0098 2012)系列标准、《非金融机构支付业务设施技术要求》( JR/T 0122-2014)等,以及中国支付清算协会(以下简称“协会’’)发布的《条码支付技术安全指引》和《条码支付受理终端技术指引》相关要求,保障条码支付业务的交易安全和信息安全。
第二章条码生成和受理
第十条 会员单位开展条码支付业务,应将客户用于生成条码的银行账户号码或支付账户账号、身份证件号码、手机号码进行关联管理。
第十一条 会员单位开展条码支付业务,应符合监管部门的移动支付技术安全标准,可以组合选用下列三种要素,对客户条码支付交易进行验证:
(一)仅客户本人知悉的要素,如静态密码等;
(二)仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;
(三)客户本人生理特征要素,如指纹等。
会员单位应当确保采用的要素相互独立,部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。
第十二条 会员单位采用数字证书、电子签名作为验证要素的,数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》( JR/T 0118-2015)等有关规定,确保数字证书的唯一性、完整性及交易的不可抵赖性。
会员单位采用一次性密码作为验证要素的,应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险,并将一次性密码有效期严格限制在最短的必要时间内。
会员单位采用客户本人生理特征作为验证要素的,应当符合国家、金融行业标准和相关信息安全管理要求,防止被非法存储、复制或重放。
第十三条 会员单位应根据交易验证方式的安全级别及《条码支付技术安全指引》关于风险防范能力的分级,对个人客户条码支付业务的交易进行限额管理:
(一)风险防范能力达到A级,采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,由会员单位与客户通过协议自主约定单日累计限额;
(二)风险防范能力达到B级,采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计金额应不超过5 0 0 0元;
(三)风险防范能力达到C级,采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计金额应不超过1 000元,且会员单位应当承诺无条件金额承担此类交易的风险损失赔付责任。
第十四条 会员单位应通过设置条码使用效期、使用次数等方式,确保条码有效性和真实性,防止条码被重复使用、重复扣款。
第十五条 会员单位开展条码支付业务所涉及的业务系统、客户端软件、受理终端/机具等,应当持续符合监管部门及行业标准要求,确保条码生成和识读过程的安全性、真实性和完整性。支付机构还应通过协会组织的技术安全检测认证。
第十六条 条码信息不应包含任何与客户及其账户相关的敏感信息,仅限包含当次支付相关信息。
特约商户相关系统生成的条码中,仅限包含与当次支付有关的特约商户、商品(服务)或商品(服务)订单等信息。
移动终端展示的、由相关系统生成的条码中,不应直接包含本人账户信息;账户信息应加密处理。
会员单位应指定专人操作、维护特约商户用于生成条码的相关系统,保障特约商户条码生成的安全和可靠。
第十七条 会员单位应为自身发行的条码提供受理服务。支付机构基于支付账户开展条码支付的,应按照自行发展用户、自行拓展商户的封闭模式在限定场景内开展业务。
支付机构基于银行卡开展条码支付业务的,应遵守《银行卡收单业务管理办法》(中国人民银行公告[2013]第9号)等相关规定。
第十八条 会员单位应确保付款和收款扫码交易经客户确认或授权后发起,支付信息应真实、完整、有效。
移动终端完成条码扫描后,应正确、完整显示扫码内容,供客户确认。对于移动终端间的小额转账业务,付款方完成扫码后,移动终端应回显隐去姓氏的收款方姓名,供付款方确认。
特约商户受理终端完成条码扫描后,应仅显示扫码成功并提示下一步操作,不得向特约商户展示条码中客户相关敏感信息。
第十九条 会员单位应根据付款和收款扫码的真实场景,按照监管规定和相关业务规则与管理制度要求,正确选用交易类型,准确标识交易信息并完整发送,确保交易信息的完整性、真实性和可追溯性。
交易信息至少应包括:直接提供商品或服务的特约商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。
第二十条 支付交易报文中应通过特定域标识该交易为条码支付交易,以供商业银行或支付机构正确识别并进行授权处理。
第二十一条 会员单位应采取技术措施,以保证交易信息传输的安全性、完整性和抗抵赖性。
第二十二条 支付交易完成后,特约商户受理终端和移动终端应展示支付结果;支付失败的,特约商户受理终端和移动终端还应展示失败原因。
第二十三条 会员单位应要求特约商户在支付交易成功后,按照特约商户与客户的约定及时提供相应商品或服务。
第二十四条 会员单位应向特约商户和客户提供条码支付交易明细,便于其办理查询、退货、差错处理等业务。
第二十五条 会员单位应根据交易发生时的原交易信息发起交易差错处理、退货交易,需划回资金的,相应款项应当划回原扣款账户。
第三章条码支付特约商户管理
第二十六条 会员单位拓展条码支付特约商户,应遵循“了解你的客户”原则,确保所拓展的是依法设立、合法经营的特约商户。
第二十七条 特约商户及其法定代表人或负责人在中国人民银行指定的风险信息管理系统中存在不良信息的,会员单位应谨慎或拒绝为该特约商户提供条码支付服务。
中国人民银行指定的风险信息管理系统包括但不限于中国人民银行或行业协会有关信息管理系统、银行卡清算机构建设运营的风险信息共享系统。
第二十八条 会员单位拓展特约商户应落实实名制规定,严格审核特约商户申请材料的真实性、完整性、有效性,并留存特约商户有效证件影印件或复印件。对于申请材料虚假、缺失、要素不全或不合规的,不得审批通过。
第二十九条 会员单位应制定特约商户审批制度和审批流程,明确审批权限,指定专人负责特约商户审批工作。特约商户审批岗位不得与特约商户拓展等相关岗位兼岗。
第三十条会员单位应与特约商户就银行账户的设置和变更、资金结算周期、结算手续费标准、差错和争议处理等条码支付服务相关事项进行约定,明确双方的权利、义务和违约责任。
第三十一条 会员单位应要求特约商户提供真实的商品或服务;按规定使用受理终端(网络支付接口)、银行账户或支付账户,不得利用其从事或协助他人从事非法活动;妥善处理交易数据信息、保存交易凭证,保障交易信息安全;不得向客户收取或变相收取附加费用,或降低服务水平。
第三十二条 会员单位应建立特约商户信息管理系统,记录特约商户名称和经营地址、特约商户身份资料信息、特约商户类别、结算手续费标准、银行结算账户信息、开通的交易类型和开通时间、受理终端(网络支付接口)类型和安装地址等信息,并及时进行更新。
第三十三条 会员单位应通过建立特约商户及链接地址的黑、白名单等方式,控制支付风险。
第三十四条 会员单位应建立特约商户检查制度,明确检查频率、检查内容、检查记录等管理要求,落实检查责任。对特约商户受理终端,不得开通条码支付转账业务功能;对移动终端,不得开通特约商户交易资金结算功能。
第三十五条 会员单位应当对实体特约商户条码受理业务进行本地化经营和管理,通过在特约商户及其分支机构所在省(区、市)域内的受理机构提供受理服务,不得跨省(区、市)域开展条码受理业务。
第三十六条 会员单位基于银行卡(账户)开展条码支付业务的,应按照相关监管制度要求审慎选择外包服务机构,严格规范与外包机构的业务合作,并强化外包业务的风险管理责任。
第三十七条 会员单位应按照相关监管制度要求强化支付敏感信息内控管理和安全防护,强化交易密码保护机制;通过全面应用支付标记化技术等手段,从源头控制信息泄露和欺诈交易风险。
第三十八条 会员单位应对特约商户进行条码支付业务培训,并保存培训记录。
第三十九条 对特约商户申请材料、资质审核材料、受理协议、培训和检查记录、信息变更、终止合作等档案资料,会员单位应至少保存至服务终止后5年。
第四十条 会员单位提供条码支付服务应向特约商户收取结算手续费,不得变相向客户转嫁手续费,不得采取不正当竞争手段损害他人合法权益。
第四十一条 会员单位与特约商户终止条码支付相关服务协议的,应及时关闭支付服务或支付接口(功能),收回布放机具,进行账务清理,妥善处理后续事项。
第四十二条 会员单位应尊重特约商户的自由选择权,不得干涉或变相干涉特约商户与其他机构的合作。
第四章风险管理
第四十三条 会员单位应建立全面风险管理体系和内部控制机制,提升风险识别能力,采取有效措施防范风险,及时发现、处理可疑交易信息及风险事件。
第四十四条 会员单位开展条码支付业务,应当评估业务相关的洗钱和恐怖融资风险,采取与风险水平相适应的风险管控措施。
第四十五条 会员单位应建立特约商户风险评级制度,综合考虑特约商户的区域和行业特征、经营规模、财务和资信状况等因素,对特约商户进行风险评级。
第四十六条 会员单位应结合特约商户风险评级及交易类型等因素,设置或与其约定单笔及日累计交易限额。
第四十七条 对风险等级较高的特约商户,会员单位应通过强化交易监测、建立特约商户风险准备金、延迟清算等风险管理措施,防范交易风险。
第四十八条 会员单位应建立特约商户检查、评估制度,根据特约商户的风险等级,制定不同的检查、评估频率和方式,并保留相关记录。
第四十九条 会员单位应制定突发事件应急预案,建立灾难备份系统,确保条码支付业务的连续性和业务系统安全运行。
第五十条 会员单位应能够有效识别本单位发行的客户端程序和特约商户受理终端,能够确保条码生成和识读过程的安全性。
第五十一条 会员单位应确保相关客户身份或账户信息安全,防止泄露,并根据收付款不同业务场景设置条码有效性和使用次数。
第五十二条 会员单位应建立条码支付交易风险监测体系,及时发现可疑交易,并采取阻断交易、联系客户核实交易等方式防范交易风险。
第五十三条 会员单位发现特约商户发生疑似套现、洗钱、恐怖融资、欺诈、留存或泄漏账户信息等风险事件的,应对特约商户采取延迟资金结算、暂停交易、冻结账户等措施,并承担因未采取措施导致的风险损失责任;发现涉嫌违法犯罪活动的,应及时向公安机关报案。
第五十四条 商业银行和支付机构在条码支付业务中发生关系或开展合作的,应当约定或在合作协议中明确交易验证、信息保护、差错处理、风险赔付等方面的权利、义务和违约责任,切实保障客户资金安全和信息安全。
第五十五条 会员单位应持续完善客户服务体系,及时受理和解决条码支付业务中的客户咨询、查询和投诉等问题,自觉维护客户的合法权益。
第五十六条 会员单位应充分披露条码支付业务产品类型、办理流程、操作规程、收费标准等信息,明确业务风险点及相关责任承担机制、风险损失赔付方式及操作方式。
第五十七条 会员单位应开展对客户的条码支付安全教育,提升其风险防范意识和应对能力。
第五十八条 会员单位应按照要求及时向协会报送条码支付业务统计数据及相关信息资料,数据和信息资料应真实、准确、完整。
第五十九条 会员单位或其外包服务机构、条码支付特约商户发生涉嫌重大银行卡违法犯罪案件或重大风险事件的,会员单位应当于2个工作日内向协会报告。
第五章 纪律与责任
第六十条 会员单位开办条码支付业务,应当提前30天向协会报告,报告内容包括但不限于:
(一)开展条码支付业务的业务方案;
(二)产品详细介绍;
(三)业务管理办法;
(四)风险防范措施;
(五)机构合作情况;
(六)服务费标准及分配机制;
(七)客户权益保护措施;
(八)服务外包范围及外包管理办法。
支付机构还应提供条码支付业务的技术安全检测认证证明。
第六十一条 会员单位终止条码支付业务,应当提前30天向协会报告,报告内容包括但不限于:公司法定代表人签署的书面申请,载明公司名称、条码支付业务开展情况、终止原因、客户合法权益保障方案、支付业务信息处理方案等。
第六十二条 会员单位新增开展条码支付业务,扩大或变更条码支付业务场景、渠道、地域,或对条码支付业务管理制度做出重大调整的,应当按规定至少提前30天向协会报告。
第六十三条 会员单位开展条码支付业务应参照本规范要求构建完善的风险管理体系,落实风险管理措施,积极防范支付业务风险。协会应根据本规范要求会员单位做好风险管理工作,并将条码支付业务纳入自律管理评价和现场检查工作。
第六十四条 因会员单位风险管理制度不完善或未有效落实本规范而导致发生重大风险事件,对行业造成负面影响的,协会将依据《中国支付清算行业自律公约》等有关自律规范对其进行处理。
第六章附则
第六十五条 本规范与国家法律、法规和监管部门规章不一致的,依照有关法律、法规和监管部门规章执行。
第六十六条 会员单位采取自定义符号、图形、图像等作为信息载体传递交易信息用于支付服务的,参照本规范相关条款进行自律管理。
第六十七条 本规范由中国支付清算协会负责修订和解释。
第六十八条 本规范相关用语含义如下:
会员单位,指中国支付清算协会会员单位。
监管部门,包括中国人民银行及其分支机构。
移动终端,指消费者使用的、用于展示或读取条码,完成支付的手机等移动终端设备。
特约商户受理终端,指参与条码支付的特约商户端受理机具,具有条码展示或识读等功能,包括专用的条码支付受理设备,以及在原有POS等设备上进行扩展后能够处理条码展示或识读的设备等。
第六十九条 本规范自发布之日起实施。