電子支付指引

1、要 為規(guī)范和引導電子支付的健康發(fā)展，保障當事人的合法權益，防范支付風險，確保銀行和客戶資金的安全，制定本指引。電子支付是指單位、個人（以下簡稱客戶）直接或授權他人通過電子終端發(fā)出支付指令，實現(xiàn)貨幣支付與資金轉移的行為。第一章總 則 第一條為規(guī)范和引導電子支付的健康發(fā)展，保障當事人的合法權益，防范支付風險，確保銀行和客戶資金的安全，制定本指引。 第二條電子支付是指單位、個人（以下簡稱客戶）直接或授權他人通過電子終端發(fā)出支付指令，實現(xiàn)貨幣支付與資金轉移的行為。 電子支付的類型按電子支付指令發(fā)起方式分為網(wǎng)上支付、電話支付、移動支付、銷售點終端交易、自動柜員機交易和其他電子支付。 境內(nèi)銀行業(yè)金融機構（

2、以下簡稱銀行）開展電子支付業(yè)務，適用本指引。 第三條銀行開展電子支付業(yè)務應當遵守國家有關法律、行政法規(guī)的規(guī)定，不得損害客戶和社會公共利益。 銀行與其他機構合作開展電子支付業(yè)務的，其合作機構的資質要求應符合有關法規(guī)制度的規(guī)定，銀行要根據(jù)公平交易的原則，簽訂書面協(xié)議并建立相應的監(jiān)督機制。 第四條客戶辦理電子支付業(yè)務應在銀行開立銀行結算賬戶（以下簡稱賬戶），賬戶的開立和使用應符合人民幣銀行結算賬戶管理辦法、境內(nèi)外匯賬戶管理規(guī)定等規(guī)定。 第五條電子支付指令與紙質支付憑證可以相互轉換，二者具有同等效力。 第六條本指引下列用語的含義為： （一）“發(fā)起行”，是指接受客戶委托發(fā)出電子支付指令的銀行。 （二）“

3、接收行”，是指電子支付指令接收人的開戶銀行；接收人未在銀行開立賬戶的，指電子支付指令確定的資金匯入銀行。 （三）“電子終端”，是指客戶可用以發(fā)起電子支付指令的計算機、電話、銷售點終端、自動柜員機、移動通訊工具或其他電子設備。 第二章電子支付業(yè)務的申請 第七條銀行應根據(jù)審慎性原則，確定辦理電子支付業(yè)務客戶的條件。 第八條辦理電子支付業(yè)務的銀行應公開披露以下信息： （一）銀行名稱、營業(yè)地址及聯(lián)系方式； （二）客戶辦理電子支付業(yè)務的條件； （三）所提供的電子支付業(yè)務品種、操作程序和收費標準等； （四）電子支付交易品種可能存在的全部風險，包括該品種的操作風險、未采取的安全措施、無法采取安全措施的安全漏

4、洞等； （五）客戶使用電子支付交易品種可能產(chǎn)生的風險； （六）提醒客戶妥善保管、使用或授權他人使用電子支付交易存取工具（如卡、密碼、密鑰、電子簽名制作數(shù)據(jù)等）的警示性信息； （七）爭議及差錯處理方式。 第九條銀行應認真審核客戶申請辦理電子支付業(yè)務的基本資料，并以書面或電子方式與客戶簽訂協(xié)議。 銀行應按會計檔案的管理要求妥善保存客戶的申請資料，保存期限至該客戶撤銷電子支付業(yè)務后5年。 第十條銀行為客戶辦理電子支付業(yè)務，應根據(jù)客戶性質、電子支付類型、支付金額等，與客戶約定適當?shù)恼J證方式，如密碼、密鑰、數(shù)字證書、電子簽名等。 認證方式的約定和使用應遵循中華人民共和國電子簽名法等法律法規(guī)的規(guī)定。 第十

5、一條銀行要求客戶提供有關資料信息時，應告知客戶所提供信息的使用目的和范圍、安全保護措施、以及客戶未提供或未真實提供相關資料信息的后果。 第十二條客戶可以在其已開立的銀行結算賬戶中指定辦理電子支付業(yè)務的賬戶。該賬戶也可用于辦理其他支付結算業(yè)務。 客戶未指定的銀行結算賬戶不得辦理電子支付業(yè)務。 第十三條客戶與銀行簽訂的電子支付協(xié)議應包括以下內(nèi)容： （一）客戶指定辦理電子支付業(yè)務的賬戶名稱和賬號； （二）客戶應保證辦理電子支付業(yè)務賬戶的支付能力； （三）雙方約定的電子支付類型、交易規(guī)則、認證方式等； （四）銀行對客戶提供的申請資料和其他信息的保密義務； （五）銀行根據(jù)客戶要求提供交易記錄的時間和方式

6、； （六）爭議、差錯處理和損害賠償責任。第十四條有以下情形之一的，客戶應及時向銀行提出電子或書面申請： （一）終止電子支付協(xié)議的； （二）客戶基本資料發(fā)生變更的； （三）約定的認證方式需要變更的； （四）有關電子支付業(yè)務資料、存取工具被盜或遺失的； （五）客戶與銀行約定的其他情形。 第十五條客戶利用電子支付方式從事違反國家法律法規(guī)活動的，銀行應按照有權部門的要求停止為其辦理電子支付業(yè)務。 第三章電子支付指令的發(fā)起和接收 第十六條客戶應按照其與發(fā)起行的協(xié)議規(guī)定，發(fā)起電子支付指令。 第十七條電子支付指令的發(fā)起行應建立必要的安全程序，對客戶身份和電子支付指令進行確認，并形成日志文件等記錄，保存至交易

7、后5年。 第十八條發(fā)起行應采取有效措施，在客戶發(fā)出電子支付指令前，提示客戶對指令的準確性和完整性進行確認。 第十九條發(fā)起行應確保正確執(zhí)行客戶的電子支付指令，對電子支付指令進行確認后，應能夠向客戶提供紙質或電子交易回單。 發(fā)起行執(zhí)行通過安全程序的電子支付指令后，客戶不得要求變更或撤銷電子支付指令。 第二十條發(fā)起行、接收行應確保電子支付指令傳遞的可跟蹤稽核和不可篡改。 第二十一條發(fā)起行、接收行之間應按照協(xié)議規(guī)定及時發(fā)送、接收和執(zhí)行電子支付指令，并回復確認。 第二十二條電子支付指令需轉換為紙質支付憑證的，其紙質支付憑證必須記載以下事項(具體格式由銀行確定)： （一）付款人開戶行名稱和簽章； （二）付

8、款人名稱、賬號； （三）接收行名稱； （四）收款人名稱、賬號； （五）大寫金額和小寫金額； （六）發(fā)起日期和交易序列號。 第四章安全控制 第二十三條銀行開展電子支付業(yè)務采用的信息安全標準、技術標準、業(yè)務標準等應當符合有關規(guī)定。 第二十四條銀行應針對與電子支付業(yè)務活動相關的風險，建立有效的管理制度。第二十五條銀行應根據(jù)審慎性原則并針對不同客戶，在電子支付類型、單筆支付金額和每日累計支付金額等方面做出合理限制。 銀行通過互聯(lián)網(wǎng)為個人客戶辦理電子支付業(yè)務，除采用數(shù)字證書、電子簽名等安全認證方式外，單筆金額不應超過1000元人民幣，每日累計金額不應超過5000元人民幣。 銀行為客戶辦理電子支付業(yè)務，單

9、位客戶從其銀行結算賬戶支付給個人銀行結算賬戶的款項，其單筆金額不得超過5萬元人民幣，但銀行與客戶通過協(xié)議約定，能夠事先提供有效付款依據(jù)的除外。 銀行應在客戶的信用卡授信額度內(nèi)，設定用于網(wǎng)上支付交易的額度供客戶選擇，但該額度不得超過信用卡的預借現(xiàn)金額度。 第二十六條銀行應確保電子支付業(yè)務處理系統(tǒng)的安全性，保證重要交易數(shù)據(jù)的不可抵賴性、數(shù)據(jù)存儲的完整性、客戶身份的真實性，并妥善管理在電子支付業(yè)務處理系統(tǒng)中使用的密碼、密鑰等認證數(shù)據(jù)。 第二十七條銀行使用客戶資料、交易記錄等，不得超出法律法規(guī)許可和客戶授權的范圍。 銀行應依法對客戶的資料信息、交易記錄等保密。除國家法律、行政法規(guī)另有規(guī)定外，銀行應當拒

10、絕除客戶本人以外的任何單位或個人的查詢。 第二十八條銀行應與客戶約定，及時或定期向客戶提供交易記錄、資金余額和賬戶狀態(tài)等信息。 第二十九條銀行應采取必要措施保護電子支付交易數(shù)據(jù)的完整性和可靠性： （一）制定相應的風險控制策略，防止電子支付業(yè)務處理系統(tǒng)發(fā)生有意或無意的危害數(shù)據(jù)完整性和可靠性的變化，并具備有效的業(yè)務容量、業(yè)務連續(xù)性計劃和應急計劃; （二）保證電子支付交易與數(shù)據(jù)記錄程序的設計發(fā)生擅自變更時能被有效偵測； （三）有效防止電子支付交易數(shù)據(jù)在傳送、處理、存儲、使用和修改過程中被篡改，任何對電子支付交易數(shù)據(jù)的篡改能通過交易處理、監(jiān)測和數(shù)據(jù)記錄功能被偵測； （四）按照會計檔案管理的要求，對電子

11、支付交易數(shù)據(jù)，以紙介質或磁性介質的方式進行妥善保存，保存期限為5年，并方便調(diào)閱。 第三十條銀行應采取必要措施為電子支付交易數(shù)據(jù)保密： （一）對電子支付交易數(shù)據(jù)的訪問須經(jīng)合理授權和確認； （二）電子支付交易數(shù)據(jù)須以安全方式保存，并防止其在公共、私人或內(nèi)部網(wǎng)絡上傳輸時被擅自查看或非法截??； （三）第三方獲取電子支付交易數(shù)據(jù)必須符合有關法律法規(guī)的規(guī)定以及銀行關于數(shù)據(jù)使用和保護的標準與控制制度； （四）對電子支付交易數(shù)據(jù)的訪問均須登記，并確保該登記不被篡改。 第三十一條銀行應確保對電子支付業(yè)務處理系統(tǒng)的操作人員、管理人員以及系統(tǒng)服務商有合理的授權控制： （一）確保進入電子支付業(yè)務賬戶或敏感系統(tǒng)所需的認

12、證數(shù)據(jù)免遭篡改和破壞。對此類篡改都應是可偵測的，而且審計監(jiān)督應能恰當?shù)胤从吵鲞@些篡改的企圖。 （二）對認證數(shù)據(jù)進行的任何查詢、添加、刪除或更改都應得到必要授權，并具有不可篡改的日志記錄。第三十二條銀行應采取有效措施保證電子支付業(yè)務處理系統(tǒng)中的職責分離： （一）對電子支付業(yè)務處理系統(tǒng)進行測試，確保職責分離； （二）開發(fā)和管理經(jīng)營電子支付業(yè)務處理系統(tǒng)的人員維持分離狀態(tài)； （三）交易程序和內(nèi)控制度的設計確保任何單個的雇員和外部服務供應商都無法獨立完成一項交易。 第三十三條銀行可以根據(jù)有關規(guī)定將其部分電子支付業(yè)務外包給合法的專業(yè)化服務機構，但銀行對客戶的義務及相應責任不因外包關系的確立而轉移。 銀行應

13、與開展電子支付業(yè)務相關的專業(yè)化服務機構簽訂協(xié)議，并確立一套綜合性、持續(xù)性的程序，以管理其外包關系。 第三十四條銀行采用數(shù)字證書或電子簽名方式進行客戶身份認證和交易授權的，提倡由合法的第三方認證機構提供認證服務。如客戶因依據(jù)該認證服務進行交易遭受損失，認證服務機構不能證明自己無過錯，應依法承擔相應責任。 第三十五條境內(nèi)發(fā)生的人民幣電子支付交易信息處理及資金清算應在境內(nèi)完成。 第三十六條銀行的電子支付業(yè)務處理系統(tǒng)應保證對電子支付交易信息進行完整的記錄和按有關法律法規(guī)進行披露。 第三十七條銀行應建立電子支付業(yè)務運作重大事項報告制度，及時向監(jiān)管部門報告電子支付業(yè)務經(jīng)營過程中發(fā)生的危及安全的事項。 第五

14、章差錯處理 第三十八條電子支付業(yè)務的差錯處理應遵守據(jù)實、準確和及時的原則。 第三十九條銀行應指定相應部門和業(yè)務人員負責電子支付業(yè)務的差錯處理工作，并明確權限和職責。 第四十條銀行應妥善保管電子支付業(yè)務的交易記錄，對電子支付業(yè)務的差錯應詳細備案登記，記錄內(nèi)容應包括差錯時間、差錯內(nèi)容與處理部門及人員姓名、客戶資料、差錯影響或損失、差錯原因、處理結果等。 第四十一條由于銀行保管、使用不當，導致客戶資料信息被泄露或篡改的，銀行應采取有效措施防止因此造成客戶損失，并及時通知和協(xié)助客戶補救。 第四十二條因銀行自身系統(tǒng)、內(nèi)控制度或為其提供服務的第三方服務機構的原因，造成電子支付指令無法按約定時間傳遞、傳遞不完整或被篡改，并造成客戶損失的，銀行應按約定予以賠償。 因第三方服務機構的原因造成客戶損失的，銀行應予賠償，再根據(jù)與第三方服務機構的協(xié)議進行追償。 第四十三條接收行由于自身系統(tǒng)或內(nèi)控制度等原因對電子支付指令未執(zhí)行、未適當執(zhí)行或遲延執(zhí)行致使客戶款項未準確入賬的，應及時糾正。 第四十四條客戶應妥善保管、使用電子支付交易存取工具。有關電子支付業(yè)務資料、存取工具被盜或遺失，應按約定方式和程序及時通知銀行。 第四十五條非資金所有人盜取他人存取工具發(fā)出電子支付指令，并且其身份認證和交易授權通過發(fā)起行的安全程序的，發(fā)起行應積極配合客戶查找原因，盡量減少客戶損失。 第四十六條客戶發(fā)現(xiàn)自身未按