中國人民銀行公告【2005】第23號
為規範電子支付業務,防範支付風險,保證資金安全,維護銀行及其客戶在電子支付活動中的合法權益,促進電子支付業務健康發展,中國人民銀行制定了《電子支付指引(第一號)》,現予公布。本公告自公布之日起施行。
中國人民銀行
二○○五年十月二十六日
第一章 總則
第一條 為規範和引導電子支付的健康發展,保障當事人的合法權益,防範支付風險,確保銀行和客戶資金的安全,制定本指引。
第二條 電子支付是指單位、個人(以下簡稱客戶)直接或授權他人通過電子終端發出支付指令,實現貨幣支付與資金轉移的行為。
電子支付的類型按電子支付指令發起方式分為網上支付、電話支付、移動支付、銷售點終端交易、自動櫃員機交易和其他電子支付。
境內銀行業金融機構(以下簡稱銀行)開展電子支付業務,適用本指引。
第三條 銀行開展電子支付業務應當遵守國家有關法律、行政法規的規定,不得損害客戶和社會公共利益。
銀行與其他機構合作開展電子支付業務的,其合作機構的資質要求應符合有關法規制度的規定,銀行要根據公平交易的原則,簽訂書面協定並建立相應的監督機制。
第四條 客戶辦理電子支付業務應在銀行開立銀行結算賬戶(以下簡稱賬戶),賬戶的開立和使用應符合《人民幣銀行結算賬戶管理辦法》、《境內外匯賬戶管理規定》等規定。
第五條 電子支付指令與紙質支付憑證可以相互轉換,二者具有同等效力。
第六條 本指引下列用語的含義為:
(一)“發起行”,是指接受客戶委託發出電子支付指令的銀行。
(二)“接收行”,是指電子支付指令接收人的開戶銀行;接收人未在銀行開立賬戶的,指電子支付指令確定的資金匯入銀行。
(三)“電子終端”,是指客戶可用以發起電子支付指令的計算機、電話、銷售點終端、自動櫃員機、移動通訊工具或其他電子設備。
第二章 電子支付業務的申請
第七條 銀行應根據審慎性原則,確定辦理電子支付業務客戶的條件。
第八條 辦理電子支付業務的銀行應公開披露以下信息:
(一)銀行名稱、營業地址及聯繫方式;
(二)客戶辦理電子支付業務的條件;
(三)所提供的電子支付業務品種、操作程式和收費標準等;
(四)電子支付交易品種可能存在的全部風險,包括該品種的操作風險、未採取的安全措施、無法採取安全措施的安全漏洞等;
(五)客戶使用電子支付交易品種可能產生的風險;
(六)提醒客戶妥善保管、使用或授權他人使用電子支付交易存取工具(如卡、密碼、密鑰、電子簽名製作數據等)的警示性信息;
(七)爭議及差錯處理方式。
第九條 銀行應認真審核客戶申請辦理電子支付業務的基本資料,並以書面或電子方式與客戶簽訂協定。
銀行應按會計檔案的管理要求妥善保存客戶的申請資料,保存期限至該客戶撤銷電子支付業務後5年。
第十條 銀行為客戶辦理電子支付業務,應根據客戶性質、電子支付類型、支付金額等,與客戶約定適當的認證方式,如密碼、密鑰、數字證書、電子簽名等。
認證方式的約定和使用應遵循《中華人民共和國電子簽名法》等法律法規的規定。
第十一條 銀行要求客戶提供有關資料信息時,應告知客戶所提供信息的使用目的和範圍、安全保護措施、以及客戶未提供或未真實提供相關資料信息的後果。
第十二條 客戶可以在其已開立的銀行結算賬戶中指定辦理電子支付業務的賬戶。該賬戶也可用於辦理其他支付結算業務。
客戶未指定的銀行結算賬戶不得辦理電子支付業務。
第十三條 客戶與銀行簽訂的電子支付協定應包括以下內容:
(一)客戶指定辦理電子支付業務的賬戶名稱和賬號;
(二)客戶應保證辦理電子支付業務賬戶的支付能力;
(三)雙方約定的電子支付類型、交易規則、認證方式等;
(四)銀行對客戶提供的申請資料和其他信息的保密義務;
(五)銀行根據客戶要求提供交易記錄的時間和方式;
(六)爭議、差錯處理和損害賠償責任。
第十四條 有以下情形之一的,客戶應及時向銀行提出電子或書面申請:
(一)終止電子支付協定的;
(二)客戶基本資料發生變更的;
(三)約定的認證方式需要變更的;
(四)有關電子支付業務資料、存取工具被盜或遺失的;
(五)客戶與銀行約定的其他情形。
第十五條 客戶利用電子支付方式從事違反國家法律法規活動的,銀行應按照有權部門的要求停止為其辦理電子支付業務。
第三章 電子支付指令的發起和接收
第十六條 客戶應按照其與發起行的協定規定,發起電子支付指令。
第十七條 電子支付指令的發起行應建立必要的安全程式,對客戶身份和電子支付指令進行確認,並形成日誌檔案等記錄,保存至交易後5年。
第十八條 發起行應採取有效措施,在客戶發出電子支付指令前,提示客戶對指令的準確性和完整性進行確認。
第十九條 發起行應確保正確執行客戶的電子支付指令,對電子支付指令進行確認後,應能夠向客戶提供紙質或電子交易回單。
發起行執行通過安全程式的電子支付指令後,客戶不得要求變更或撤銷電子支付指令。
第二十條 發起行、接收行應確保電子支付指令傳遞的可跟蹤稽核和不可篡改。
第二十一條 發起行、接收行之間應按照協定規定及時傳送、接收和執行電子支付指令,並回復確認。
第二十二條 電子支付指令需轉換為紙質支付憑證的,其紙質支付憑證必須記載以下事項(具體格式由銀行確定):
(一)付款人開戶行名稱和簽章;
(二)付款人名稱、賬號;
(三)接收行名稱;
(四)收款人名稱、賬號;
(五)大寫金額和小寫金額;
(六)發起日期和交易序列號。
第四章 安全控制
第二十三條 銀行開展電子支付業務採用的信息安全標準、技術標準、業務標準等應當符合有關規定。
第二十四條 銀行應針對與電子支付業務活動相關的風險,建立有效的管理制度。
第二十五條 銀行應根據審慎性原則並針對不同客戶,在電子支付類型、單筆支付金額和每日累計支付金額等方面做出合理限制。
銀行通過網際網路為個人客戶辦理電子支付業務,除採用數字證書、電子簽名等安全認證方式外,單筆金額不應超過1000元人民幣,每日累計金額不應超過5000元人民幣。
銀行為客戶辦理電子支付業務,單位客戶從其銀行結算賬戶支付給個人銀行結算賬戶的款項,其單筆金額不得超過5萬元人民幣,但銀行與客戶通過協定約定,能夠事先提供有效付款依據的除外。
銀行應在客戶的信用卡授信額度內,設定用於網上支付交易的額度供客戶選擇,但該額度不得超過信用卡的預借現金額度。
第二十六條 銀行應確保電子支付業務處理系統的安全性,保證重要交易數據的不可抵賴性、數據存儲的完整性、客戶身份的真實性,並妥善管理在電子支付業務處理系統中使用的密碼、密鑰等認證數據。
第二十七條 銀行使用客戶資料、交易記錄等,不得超出法律法規許可和客戶授權的範圍。
銀行應依法對客戶的資料信息、交易記錄等保密。除國家法律、行政法規另有規定外,銀行應當拒絕除客戶本人以外的任何單位或個人的查詢。
第二十八條 銀行應與客戶約定,及時或定期向客戶提供交易記錄、資金餘額和賬戶狀態等信息。
第二十九條 銀行應採取必要措施保護電子支付交易數據的完整性和可靠性:
(一)制定相應的風險控制策略,防止電子支付業務處理系統發生有意或無意的危害數據完整性和可靠性的變化,並具備有效的業務容量、業務連續性計畫和應急計畫;
(二)保證電子支付交易與數據記錄程式的設計發生擅自變更時能被有效偵測;
(三)有效防止電子支付交易數據在傳送、處理、存儲、使用和修改過程中被篡改,任何對電子支付交易數據的篡改能通過交易處理、監測和數據記錄功能被偵測;
(四)按照會計檔案管理的要求,對電子支付交易數據,以紙介質或磁性介質的方式進行妥善保存,保存期限為5年,並方便調閱。
第三十條 銀行應採取必要措施為電子支付交易數據保密:
(一)對電子支付交易數據的訪問須經合理授權和確認;
(二)電子支付交易數據須以安全方式保存,並防止其在公共、私人或內部網路上傳輸時被擅自查看或非法截取;
(三)第三方獲取電子支付交易數據必須符合有關法律法規的規定以及銀行關於數據使用和保護的標準與控制制度;
(四)對電子支付交易數據的訪問均須登記,並確保該登記不被篡改。
第三十一條 銀行應確保對電子支付業務處理系統的操作人員、管理人員以及系統服務商有合理的授權控制:
(一)確保進入電子支付業務賬戶或敏感系統所需的認證數據免遭篡改和破壞。對此類篡改都應是可偵測的,而且審計監督應能恰當地反映出這些篡改的企圖。
(二)對認證數據進行的任何查詢、添加、刪除或更改都應得到必要授權,並具有不可篡改的日誌記錄。
第三十二條 銀行應採取有效措施保證電子支付業務處理系統中的職責分離:
(一)對電子支付業務處理系統進行測試,確保職責分離;
(二)開發和管理經營電子支付業務處理系統的人員維持分離狀態;
(三)交易程式和內控制度的設計確保任何單個的雇員和外部服務供應商都無法獨立完成一項交易。
第三十三條 銀行可以根據有關規定將其部分電子支付業務外包給合法的專業化服務機構,但銀行對客戶的義務及相應責任不因外包關係的確立而轉移。
銀行應與開展電子支付業務相關的專業化服務機構簽訂協定,並確立一套綜合性、持續性的程式,以管理其外包關係。
第三十四條 銀行採用數字證書或電子簽名方式進行客戶身份認證和交易授權的,提倡由合法的第三方認證機構提供認證服務。如客戶因依據該認證服務進行交易遭受損失,認證服務機構不能證明自己無過錯,應依法承擔相應責任。
第三十五條 境內發生的人民幣電子支付交易信息處理及資金清算應在境內完成。
第三十六條 銀行的電子支付業務處理系統應保證對電子支付交易信息進行完整的記錄和按有關法律法規進行披露。
第三十七條 銀行應建立電子支付業務運作重大事項報告制度,及時向監管部門報告電子支付業務經營過程中發生的危及安全的事項。
第五章 差錯處理
第三十八條 電子支付業務的差錯處理應遵守據實、準確和及時的原則。
第三十九條 銀行應指定相應部門和業務人員負責電子支付業務的差錯處理工作,並明確許可權和職責。
第四十條 銀行應妥善保管電子支付業務的交易記錄,對電子支付業務的差錯應詳細備案登記,記錄內容應包括差錯時間、差錯內容與處理部門及人員姓名、客戶資料、差錯影響或損失、差錯原因、處理結果等。
第四十一條 由於銀行保管、使用不當,導致客戶資料信息被泄露或篡改的,銀行應採取有效措施防止因此造成客戶損失,並及時通知和協助客戶補救。
第四十二條 因銀行自身系統、內控制度或為其提供服務的第三方服務機構的原因,造成電子支付指令無法按約定時間傳遞、傳遞不完整或被篡改,並造成客戶損失的,銀行應按約定予以賠償。
因第三方服務機構的原因造成客戶損失的,銀行應予賠償,再根據與第三方服務機構的協定進行追償。
第四十三條 接收行由於自身系統或內控制度等原因對電子支付指令未執行、未適當執行或遲延執行致使客戶款項未準確入賬的,應及時糾正。
第四十四條 客戶應妥善保管、使用電子支付交易存取工具。有關電子支付業務資料、存取工具被盜或遺失,應按約定方式和程式及時通知銀行。
第四十五條 非資金所有人盜取他人存取工具發出電子支付指令,並且其身份認證和交易授權通過發起行的安全程式的,發起行應積極配合客戶查找原因,儘量減少客戶損失。
第四十六條 客戶發現自身未按規定操作,或由於自身其他原因造成電子支付指令未執行、未適當執行、延遲執行的,應在協定約定的時間內,按照約定程式和方式通知銀行。銀行應積極調查並告知客戶調查結果。
銀行發現因客戶原因造成電子支付指令未執行、未適當執行、延遲執行的,應主動通知客戶改正或配合客戶採取補救措施。
第四十七條 因不可抗力造成電子支付指令未執行、未適當執行、延遲執行的,銀行應當採取積極措施防止損失擴大。
第六章 附則
第四十八條 本指引由中國人民銀行負責解釋和修改。
第四十九條 本指引自發布之日起施行。