支付機(jī)構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險(xiǎn)防范指引

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)支付機(jī)構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險(xiǎn)防范指引第一部分總則1.1編寫目的為引導(dǎo)成員單位提高互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險(xiǎn)防范意識(shí)，有效識(shí)別、防范互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險(xiǎn)，保護(hù)成員單位及消費(fèi)者的合法權(quán)益，促進(jìn)互聯(lián)網(wǎng)支付業(yè)務(wù)的健康發(fā)展，根據(jù)國(guó)家法律法規(guī)及相關(guān)規(guī)定，制定本指引。1.2適用范圍支付機(jī)構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中的風(fēng)險(xiǎn)識(shí)別、防范及處置,應(yīng)遵循本指引。支付機(jī)構(gòu)是指根據(jù)中國(guó)人民銀行《非金融機(jī)構(gòu)支付服務(wù)管理辦法》規(guī)定，取得《支付業(yè)務(wù)許可證》，獲準(zhǔn)辦理互聯(lián)網(wǎng)支付業(yè)務(wù)的非金融機(jī)構(gòu)?；ヂ?lián)網(wǎng)支付業(yè)務(wù)是指客戶通過(guò)計(jì)算機(jī)等設(shè)備，依托互聯(lián)網(wǎng)發(fā)起支付指令，實(shí)現(xiàn)貨幣資金轉(zhuǎn)移的行為。1.3基本要求支付機(jī)構(gòu)開展互聯(lián)網(wǎng)支付業(yè)務(wù)活動(dòng)時(shí)，應(yīng)遵循平等競(jìng)爭(zhēng)、誠(chéng)實(shí)守信、安全可靠、風(fēng)險(xiǎn)可控的原則。支付機(jī)構(gòu)應(yīng)建立與本機(jī)構(gòu)支付業(yè)務(wù)規(guī)模、模式相適應(yīng)的2風(fēng)險(xiǎn)防范管理體系。在業(yè)務(wù)開展過(guò)程中，應(yīng)根據(jù)風(fēng)險(xiǎn)狀況不斷完善防范措施，有效防范用戶端與商戶端風(fēng)險(xiǎn)。同時(shí)應(yīng)依照有關(guān)法律、法規(guī)和監(jiān)管部門規(guī)章、規(guī)范性文件的規(guī)定加強(qiáng)對(duì)資金和客戶信息安全的管理，嚴(yán)格履行反洗錢、反恐怖融資義務(wù)，規(guī)范外包業(yè)務(wù)管理，實(shí)現(xiàn)行業(yè)內(nèi)風(fēng)險(xiǎn)信息共享，確保有效識(shí)別、評(píng)估、監(jiān)測(cè)、控制和處置互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險(xiǎn)。第二部分風(fēng)險(xiǎn)管理體系2.1組織架構(gòu)支付機(jī)構(gòu)應(yīng)建立與本機(jī)構(gòu)支付業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度相適應(yīng)的風(fēng)險(xiǎn)管理組織架構(gòu)，以有效識(shí)別、評(píng)估、監(jiān)測(cè)、控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理組織架構(gòu)至少應(yīng)包括以下基本要素：a.董事會(huì)及其職責(zé)；b.高級(jí)管理層及其職責(zé)；c.風(fēng)險(xiǎn)管理部門及其職責(zé)；d.其它相關(guān)部門職責(zé)等。2.1.1董事會(huì)職責(zé)董事會(huì)對(duì)本機(jī)構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險(xiǎn)的管理負(fù)最終責(zé)任，主要職責(zé)包括：a.制定與本機(jī)構(gòu)戰(zhàn)略目標(biāo)相一致且適用于本機(jī)構(gòu)的風(fēng)險(xiǎn)管理戰(zhàn)略和總體政策；b.通過(guò)審批及檢查高級(jí)管理層的風(fēng)險(xiǎn)管理職責(zé)、權(quán)限及報(bào)告制度，確保本機(jī)構(gòu)風(fēng)險(xiǎn)管理決策體系的有效性，盡可能確保將本機(jī)構(gòu)各項(xiàng)業(yè)務(wù)面臨的風(fēng)險(xiǎn)控制在可以承受的范圍內(nèi)；c.定期審閱高級(jí)管理層提交的風(fēng)險(xiǎn)報(bào)告，充分了解本機(jī)構(gòu)風(fēng)險(xiǎn)管理的總體情況、高級(jí)管理層處理重大風(fēng)險(xiǎn)事件的有效性以及監(jiān)控和評(píng)價(jià)日常風(fēng)險(xiǎn)管理的有效性；d.確保高級(jí)管理層采取必要的措施有效地識(shí)別、評(píng)估、監(jiān)測(cè)和控制風(fēng)險(xiǎn)；e.批準(zhǔn)內(nèi)部審計(jì)部門提交的風(fēng)險(xiǎn)管理體系運(yùn)行效果的審計(jì)報(bào)告，確保本機(jī)構(gòu)風(fēng)險(xiǎn)管理體系接受內(nèi)審部門的有效審查與監(jiān)督；f.制定適當(dāng)?shù)莫?jiǎng)懲制度，有效推動(dòng)本機(jī)構(gòu)風(fēng)險(xiǎn)管理體系的建立完善。g.風(fēng)險(xiǎn)管理其他重大事項(xiàng)。未設(shè)董事會(huì)的支付機(jī)構(gòu)由執(zhí)行董事或高級(jí)管理層履行相關(guān)職責(zé)。2.1.2高級(jí)管理層職責(zé)高級(jí)管理層負(fù)責(zé)執(zhí)行董事會(huì)批準(zhǔn)的風(fēng)險(xiǎn)管理戰(zhàn)略及政策。主要職責(zé)包括：a.在風(fēng)險(xiǎn)的日常管理方面，對(duì)董事會(huì)負(fù)責(zé)；b.負(fù)責(zé)制定、定期審查和監(jiān)督執(zhí)行風(fēng)險(xiǎn)管理的政策、程序和操作規(guī)程，并定期向董事會(huì)提交風(fēng)險(xiǎn)總體情況的報(bào)告；4c.審閱風(fēng)險(xiǎn)管理職能部門提交的風(fēng)險(xiǎn)管理報(bào)告，充分了解機(jī)構(gòu)風(fēng)險(xiǎn)管理的總體情況，重大風(fēng)險(xiǎn)事件處理機(jī)制及日常風(fēng)險(xiǎn)監(jiān)控、評(píng)價(jià)的有效性；d.界定各部門風(fēng)險(xiǎn)管理職責(zé)及風(fēng)險(xiǎn)管理報(bào)告的路徑、頻率、內(nèi)容，督促各部門切實(shí)履行風(fēng)險(xiǎn)管理職責(zé)，以確保風(fēng)險(xiǎn)管理體系的正常運(yùn)行；e.為風(fēng)險(xiǎn)管理配備適當(dāng)?shù)馁Y源，包括但不限于提供必要的經(jīng)費(fèi)、設(shè)置必要的崗位、配備合格的人員、開展風(fēng)險(xiǎn)管理培訓(xùn)等；f.及時(shí)對(duì)風(fēng)險(xiǎn)管理體系進(jìn)行檢查和修訂，以便有效地應(yīng)對(duì)因內(nèi)部程序、產(chǎn)品、業(yè)務(wù)活動(dòng)、信息技術(shù)系統(tǒng)、員工及外部事件和其他因素發(fā)生變化造成的風(fēng)險(xiǎn)損失事件。高級(jí)管理人員，包括總經(jīng)理、副總經(jīng)理、財(cái)務(wù)負(fù)責(zé)人、技術(shù)負(fù)責(zé)人或?qū)嶋H履行上述職責(zé)的人員。2.1.3風(fēng)險(xiǎn)管理部門職責(zé)支付機(jī)構(gòu)應(yīng)設(shè)立或指定專門部門負(fù)責(zé)風(fēng)險(xiǎn)管理體系的建立和實(shí)施，及風(fēng)控措施的審批和執(zhí)行。專職部門應(yīng)直接對(duì)高級(jí)管理層負(fù)責(zé)并與其他部門保持相對(duì)獨(dú)立，以保證風(fēng)險(xiǎn)管理的一致性和有效性。主要職責(zé)包括：a.具體指導(dǎo)和協(xié)調(diào)本機(jī)構(gòu)的風(fēng)險(xiǎn)管理工作；b.擬定本機(jī)構(gòu)風(fēng)險(xiǎn)管理制度、程序和操作規(guī)程，提交高級(jí)管理層審批；c.建立風(fēng)險(xiǎn)識(shí)別、評(píng)估、監(jiān)測(cè)、控制方法及報(bào)告程序，并組5織實(shí)施；d.建立跨部門聯(lián)合工作機(jī)制，協(xié)調(diào)、解決風(fēng)險(xiǎn)管理工作中的重大問(wèn)題，組織跨部門的應(yīng)急聯(lián)動(dòng)機(jī)制和應(yīng)急預(yù)案的演練工作；e.定期檢查、分析相關(guān)部門風(fēng)險(xiǎn)管理情況，確保風(fēng)險(xiǎn)管理制度和措施得到有效落實(shí)；f.定期向高級(jí)管理層提交風(fēng)險(xiǎn)管理報(bào)告；g.為各相關(guān)部門提供風(fēng)險(xiǎn)管理培訓(xùn)，協(xié)助其履行風(fēng)險(xiǎn)管理職責(zé)、提高風(fēng)險(xiǎn)管理水平。2.1.4其他相關(guān)部門職責(zé)風(fēng)險(xiǎn)管理相關(guān)部門包括：業(yè)務(wù)部門、信息科技部門、內(nèi)審部門、合規(guī)部門、客服部門等。上述部門根據(jù)職責(zé)分工對(duì)所負(fù)責(zé)的風(fēng)險(xiǎn)管理工作負(fù)直接責(zé)任。主要職責(zé)包括：a.執(zhí)行風(fēng)險(xiǎn)管理的政策、程序和操作規(guī)程；b.依據(jù)本機(jī)構(gòu)風(fēng)險(xiǎn)管理和內(nèi)部控制的要求，制定本部門的業(yè)務(wù)制度、流程和應(yīng)急預(yù)案，確保與風(fēng)險(xiǎn)管理總體政策的一致性；c.監(jiān)測(cè)重點(diǎn)風(fēng)險(xiǎn)，定期向風(fēng)險(xiǎn)管理職能部門通報(bào)本部門風(fēng)險(xiǎn)管理的總體狀況，并及時(shí)報(bào)告風(fēng)險(xiǎn)事件。內(nèi)審部門不直接負(fù)責(zé)或參與其他部門的風(fēng)險(xiǎn)管理，但應(yīng)定期審計(jì)本機(jī)構(gòu)的風(fēng)險(xiǎn)管理體系運(yùn)作情況，監(jiān)督檢查風(fēng)險(xiǎn)管理政策的執(zhí)行情況，對(duì)新出臺(tái)的風(fēng)險(xiǎn)管理政策、程序和具體的操作規(guī)程進(jìn)行獨(dú)立評(píng)估，并向董事會(huì)和高級(jí)管理層報(bào)告風(fēng)險(xiǎn)管理體系運(yùn)行效6果的審計(jì)報(bào)告，跟蹤、督導(dǎo)審計(jì)發(fā)現(xiàn)問(wèn)題的整改工作。2.2風(fēng)險(xiǎn)管理制度與內(nèi)部控制支付機(jī)構(gòu)應(yīng)依據(jù)國(guó)家相關(guān)法律法規(guī)，按照審慎經(jīng)營(yíng)的原則，建立健全風(fēng)險(xiǎn)管理制度和內(nèi)部控制機(jī)制。2.2.1風(fēng)險(xiǎn)管理制度支付機(jī)構(gòu)風(fēng)險(xiǎn)管理制度應(yīng)滿足全面性、有效性原則，包括但不限于以下方面：a.業(yè)務(wù)管理；b.用戶管理；c.商戶管理；d.資金安全管理；e.系統(tǒng)信息安全管理；f.反洗錢和反恐怖融資管理；g.風(fēng)險(xiǎn)事件及應(yīng)急管理。2.2.2內(nèi)部控制內(nèi)部控制應(yīng)當(dāng)體現(xiàn)全面、審慎、有效、獨(dú)立的原則，主要內(nèi)容包括：a.內(nèi)部控制應(yīng)當(dāng)貫穿本機(jī)構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)全過(guò)程和全部操作環(huán)節(jié)，覆蓋所有的部門和崗位，并由全體人員參與，所有決策或操作均應(yīng)有案可查。b.內(nèi)部控制應(yīng)以防范風(fēng)險(xiǎn)、審慎經(jīng)營(yíng)為出發(fā)點(diǎn)，本機(jī)構(gòu)業(yè)務(wù)經(jīng)營(yíng)管理中應(yīng)體現(xiàn)“內(nèi)控優(yōu)先”的要求。7c.內(nèi)部控制應(yīng)具有高度的權(quán)威性，任何人不得擁有不受內(nèi)部控制約束的權(quán)力，內(nèi)部控制存在的問(wèn)題應(yīng)能夠得到及時(shí)反饋和糾正。d.內(nèi)部控制的監(jiān)督、評(píng)價(jià)部門應(yīng)當(dāng)獨(dú)立于內(nèi)部控制的建設(shè)、執(zhí)行部門，并有直接向董事會(huì)、監(jiān)事會(huì)和高級(jí)管理層報(bào)告的渠道。支付機(jī)構(gòu)內(nèi)部控制應(yīng)當(dāng)包括以下要素：a.內(nèi)部控制環(huán)境。b.風(fēng)險(xiǎn)識(shí)別與評(píng)估。c.內(nèi)部控制措施。d.信息交流與反饋。e.監(jiān)督評(píng)價(jià)與糾正。2.3風(fēng)險(xiǎn)管理方法支付機(jī)構(gòu)應(yīng)按照風(fēng)險(xiǎn)的類型和特點(diǎn)采用有效的、具有針對(duì)性的方法對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)、分析、評(píng)估和處置，對(duì)風(fēng)險(xiǎn)事件進(jìn)行分析、評(píng)估和報(bào)告。包括：制定有效的風(fēng)險(xiǎn)防范措施，監(jiān)測(cè)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，測(cè)試和審查內(nèi)部控制有效性，開展風(fēng)險(xiǎn)評(píng)估，進(jìn)行風(fēng)險(xiǎn)報(bào)告，聘請(qǐng)外部中介機(jī)構(gòu)對(duì)風(fēng)險(xiǎn)管理體系進(jìn)行審計(jì)和評(píng)價(jià)等。支付機(jī)構(gòu)應(yīng)建立風(fēng)險(xiǎn)預(yù)警機(jī)制，以降低風(fēng)險(xiǎn)事件的發(fā)生頻率；及時(shí)采取有效控制措施，減少風(fēng)險(xiǎn)事件損失；制定適當(dāng)?shù)某绦驁?bào)告風(fēng)險(xiǎn)狀況和重大風(fēng)險(xiǎn)事件，重大風(fēng)險(xiǎn)事件應(yīng)及時(shí)向董事會(huì)和高級(jí)管理層報(bào)告。82.4風(fēng)險(xiǎn)管理系統(tǒng)支付機(jī)構(gòu)應(yīng)當(dāng)建立完善風(fēng)險(xiǎn)管理系統(tǒng)，以有效識(shí)別、評(píng)估、監(jiān)測(cè)、控制和報(bào)告風(fēng)險(xiǎn)。該系統(tǒng)應(yīng)記錄和存儲(chǔ)與風(fēng)險(xiǎn)損失相關(guān)的數(shù)據(jù)和風(fēng)險(xiǎn)事件信息，支持風(fēng)險(xiǎn)防范和控制措施，監(jiān)測(cè)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，并可提供風(fēng)險(xiǎn)報(bào)告的有關(guān)內(nèi)容。具備條件的支付機(jī)構(gòu)應(yīng)建立實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，用以控制交易風(fēng)險(xiǎn)。業(yè)務(wù)類型復(fù)雜、經(jīng)營(yíng)規(guī)模較大的支付機(jī)構(gòu)，應(yīng)建立功能更加全面的風(fēng)險(xiǎn)管理系統(tǒng)，針對(duì)各項(xiàng)業(yè)務(wù)的風(fēng)險(xiǎn)特點(diǎn)實(shí)施有效管理。第三部分用戶風(fēng)險(xiǎn)及防范3.1用戶注冊(cè)審查3.1.1實(shí)名制要求支付機(jī)構(gòu)應(yīng)根據(jù)審慎原則，實(shí)名開立用戶支付賬戶，對(duì)用戶身份信息的真實(shí)性負(fù)責(zé)，不得為用戶開立匿名、假名支付賬戶。支付機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)用戶支付賬戶的管理，為同一用戶建立唯一的用戶身份識(shí)別號(hào)，對(duì)該用戶開立的所有支付賬戶進(jìn)行關(guān)聯(lián)、統(tǒng)一管理；對(duì)同一用戶在同一支付機(jī)構(gòu)開立多個(gè)支付賬戶的，應(yīng)采取有效措施確保支付賬戶為同名賬戶且多個(gè)支付賬戶中登記的用戶基本身份信息一致。3.1.2用戶身份信息審核支付機(jī)構(gòu)在為用戶開立賬戶時(shí)，根據(jù)賬戶開立主體不同，分9為個(gè)人支付賬戶和單位支付賬戶。個(gè)人用戶申請(qǐng)開立支付賬戶時(shí)，支付機(jī)構(gòu)應(yīng)登記其姓名、性別、國(guó)籍、職業(yè)、住址、聯(lián)系方式以及有效身份證件的種類、號(hào)碼和有效期限等身份信息，并對(duì)用戶姓名、性別、有效身份證件的種類和號(hào)碼等基本身份信息的真實(shí)性進(jìn)行有效審核。個(gè)人用戶存在以下情形的，支付機(jī)構(gòu)應(yīng)核對(duì)其有效身份證件，并留存有效身份證件的復(fù)印件或者影印件。a.個(gè)人用戶辦理單筆收付金額人民幣1萬(wàn)元以上或者外幣等值1000美元以上支付業(yè)務(wù)的；b.個(gè)人用戶全部賬戶30天內(nèi)資金雙邊收付金額累計(jì)人民幣5萬(wàn)元以上或外幣等值1萬(wàn)美元以上的；c.個(gè)人用戶全部賬戶資金余額連續(xù)10天超過(guò)人民幣5000元或外幣等值1000美元的；d.通過(guò)取得網(wǎng)上金融產(chǎn)品銷售資質(zhì)的支付機(jī)構(gòu)買賣金融產(chǎn)品的；e.中國(guó)人民銀行規(guī)定的其他情形。單位用戶申請(qǐng)開立支付賬戶時(shí)，支付機(jī)構(gòu)應(yīng)登記以下基本信息：a.單位名稱、地址、經(jīng)營(yíng)范圍、稅務(wù)登記證號(hào)碼、組織機(jī)構(gòu)代碼（按規(guī)定無(wú)須取得稅務(wù)登記證或無(wú)法取得組織機(jī)構(gòu)代碼證的除外）；b.可證明該客戶依法設(shè)立或者依法開展經(jīng)營(yíng)、社會(huì)活動(dòng)的執(zhí)10照、證件或者文件的名稱、號(hào)碼和有效期限；c.法定代表人（負(fù)責(zé)人）和授權(quán)辦理業(yè)務(wù)人員的姓名、有效身份證件的種類、號(hào)碼和有效期限。支付機(jī)構(gòu)應(yīng)核對(duì)單位及其法定代表人（負(fù)責(zé)人）和授權(quán)辦理業(yè)務(wù)人員的有效身份證件信息，并留存其復(fù)印件或者影印件。有效身份證件是指能夠證明用戶身份的相關(guān)證件。個(gè)人用戶的有效身份證件，包括：居住在境內(nèi)的中國(guó)公民，為居民身份證或者臨時(shí)居民身份證；居住在境內(nèi)的16周歲以下的中國(guó)公民，為戶口簿；中國(guó)人民解放軍軍人，為軍人身份證件或居民身份證；中國(guó)人民武裝警察，為武裝警察身份證件或居民身份證；香港、澳門居民，為港澳居民往來(lái)內(nèi)地通行證；臺(tái)灣居民，為臺(tái)灣居民來(lái)往大陸通行證或者其他有效旅行證件；外國(guó)公民，為護(hù)照；政府有權(quán)機(jī)關(guān)出具的能夠證明其真實(shí)身份的證明文件。法人和其他組織用戶的有效身份證件，是指政府有權(quán)機(jī)關(guān)頒發(fā)的能夠證明其合法真實(shí)身份的證件或文件，包括但不限于營(yíng)業(yè)執(zhí)照、事業(yè)單位法人證書、稅務(wù)登記證、組織機(jī)構(gòu)代碼證。個(gè)體工商戶的有效身份證件，包括營(yíng)業(yè)執(zhí)照、經(jīng)營(yíng)者或授權(quán)經(jīng)辦人員的有效身份證件。支付機(jī)構(gòu)可通過(guò)與公安機(jī)關(guān)、工商機(jī)關(guān)及稅務(wù)機(jī)關(guān)等機(jī)構(gòu)的合作，對(duì)個(gè)人用戶及單位用戶基本身份信息的真實(shí)性進(jìn)行有效審核。113.1.3用戶申請(qǐng)資料保存支付機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)用戶身份信息等資料的管理與保存，建立用戶身份信息資料的分類、保管、查閱和銷毀等管理制度，保證其妥善保管、有序存放、方便查閱，嚴(yán)防滅失、損毀和泄露。支付機(jī)構(gòu)不得以任何形式對(duì)外提供用戶身份信息等資料，法律法規(guī)另有規(guī)定或與用戶另有約定的除外。用戶身份信息等資料，應(yīng)當(dāng)由支付機(jī)構(gòu)按照歸檔要求，以紙質(zhì)或電子方式妥善保存，保管期限自業(yè)務(wù)關(guān)系結(jié)束當(dāng)年至少保存5年。紙質(zhì)資料應(yīng)整理立卷，裝訂成冊(cè)，編制會(huì)計(jì)檔案保管清冊(cè)，電子方式的資料應(yīng)進(jìn)行備份，按照系統(tǒng)信息安全管理相關(guān)制度的要求妥善保管。對(duì)于司法部門正在調(diào)查的可疑交易或違法犯罪行為活動(dòng)涉及用戶身份信息等資料，且相關(guān)調(diào)查工作在前款規(guī)定的最低保存期屆滿時(shí)仍未結(jié)束的，支付機(jī)構(gòu)應(yīng)當(dāng)將其保存至相關(guān)調(diào)查工作結(jié)束。3.2用戶服務(wù)協(xié)議3.2.1服務(wù)協(xié)議基本內(nèi)容支付機(jī)構(gòu)為用戶開立支付賬戶的，應(yīng)在用戶申請(qǐng)開立支付賬戶時(shí)簽訂服務(wù)協(xié)議。協(xié)議內(nèi)容包括但不限于：a.支付賬戶的開立、使用、掛失、止付和撤銷的條件；b.身份驗(yàn)證和支付授權(quán)方式；c.用戶對(duì)支付機(jī)構(gòu)核驗(yàn)其銀行賬戶信息和身份信息真實(shí)性12的授權(quán)；d.支付賬戶使用規(guī)則，以及違規(guī)使用的處置和責(zé)任；e.支付賬戶資金變動(dòng)的通知方式；f.發(fā)現(xiàn)支付賬戶被盜用后的通知、處置方式和責(zé)任劃分；g.用戶身份信息和交易信息的保密責(zé)任；h.支付機(jī)構(gòu)所提供的支付服務(wù)，包括具體的服務(wù)種類及產(chǎn)品功能等，及其支付服務(wù)的使用限制；i.交易風(fēng)險(xiǎn)提示，包括提示用戶注意交易過(guò)程中可能存在的風(fēng)險(xiǎn)及風(fēng)險(xiǎn)發(fā)生后的相關(guān)處理措施；j.知識(shí)產(chǎn)權(quán)的保護(hù)，說(shuō)明支付機(jī)構(gòu)所享有的知識(shí)產(chǎn)權(quán)及相關(guān)侵權(quán)責(zé)任;k.業(yè)務(wù)爭(zhēng)議解決方式及免責(zé)條款；l.雙方的其他權(quán)利和義務(wù)。3.2.2風(fēng)險(xiǎn)防范內(nèi)容支付機(jī)構(gòu)與用戶簽訂服務(wù)協(xié)議時(shí)，應(yīng)告知用戶可能存在的風(fēng)險(xiǎn)及相關(guān)的注意事項(xiàng)。協(xié)議的風(fēng)險(xiǎn)條款應(yīng)包含但不限于以下內(nèi)容：a.支付機(jī)構(gòu)提供的各項(xiàng)支付服務(wù)中可能存在的風(fēng)險(xiǎn)，以及用戶的注意事項(xiàng)；b.用戶注冊(cè)支付賬戶時(shí)可能存在的風(fēng)險(xiǎn)，如未及時(shí)更新身份資料可能引發(fā)的風(fēng)險(xiǎn)等，以及用戶的注意事項(xiàng)；c.用戶使用支付賬戶時(shí)，如賬號(hào)登錄、密碼設(shè)置、交易操作13等，可能存在的風(fēng)險(xiǎn)，以及用戶的注意事項(xiàng)；d.用戶停止使用支付賬戶時(shí)可能存在的風(fēng)險(xiǎn)，以及用戶的注意事項(xiàng)；e.其他風(fēng)險(xiǎn)防范內(nèi)容。3.2.3法律責(zé)任條款支付機(jī)構(gòu)與用戶簽訂服務(wù)協(xié)議時(shí)，應(yīng)明確與用戶之間的權(quán)利與義務(wù)，并對(duì)各自承擔(dān)的法律后果及法律責(zé)任進(jìn)行約定。協(xié)議的法律責(zé)任條款應(yīng)包含但不限于以下內(nèi)容：a.注冊(cè)支付賬戶時(shí)，雙方所承擔(dān)的權(quán)利義務(wù)與責(zé)任；b.使用支付賬戶服務(wù)時(shí)，雙方所承擔(dān)的權(quán)利義務(wù)與責(zé)任；c.暫停、拒絕或終止支付賬戶服務(wù)時(shí)，雙方所承擔(dān)的權(quán)利義務(wù)與責(zé)任；d.支付系統(tǒng)服務(wù)中斷或故障時(shí)，雙方所承擔(dān)的權(quán)利義務(wù)與責(zé)任；e.用戶使用支付賬戶及交易過(guò)程中產(chǎn)生風(fēng)險(xiǎn)損失時(shí)，雙方所承擔(dān)的權(quán)利義務(wù)與責(zé)任；f.用戶隱私權(quán)的法律責(zé)任條款；g.支付機(jī)構(gòu)知識(shí)產(chǎn)權(quán)的法律責(zé)任條款；h.其他法律責(zé)任條款。3.2.4協(xié)議變更告知支付機(jī)構(gòu)擬變更支付服務(wù)協(xié)議格式條款、收費(fèi)項(xiàng)目、收費(fèi)標(biāo)準(zhǔn)等主要內(nèi)容的，應(yīng)當(dāng)在變更前30日告知用戶，并提示需要變14更的內(nèi)容，未向用戶履行告知義務(wù)的，變更后的條款對(duì)該用戶不具有約束力。變更協(xié)議涉及新增收費(fèi)項(xiàng)目、提高收費(fèi)標(biāo)準(zhǔn)、降低優(yōu)惠條件等不利于原客戶權(quán)益內(nèi)容的，未經(jīng)原用戶同意，仍應(yīng)當(dāng)按照原協(xié)議執(zhí)行。3.3用戶交易身份認(rèn)證3.3.1基本要求為保障用戶身份信息及交易信息的安全，保證用戶支付指令的完整性、一致性和不可抵賴性，支付機(jī)構(gòu)應(yīng)為支付賬戶提供安全可靠的身份驗(yàn)證和支付授權(quán)方式，并采取有效措施，在用戶發(fā)出支付指令前，提示用戶對(duì)支付指令的準(zhǔn)確性進(jìn)行確認(rèn)。3.3.2技術(shù)手段支付機(jī)構(gòu)可通過(guò)密碼、令牌、動(dòng)態(tài)口令、安全證書、手機(jī)校驗(yàn)碼等技術(shù)手段對(duì)用戶交易身份進(jìn)行認(rèn)證，確保用戶的交易指令由用戶本人發(fā)出。支付機(jī)構(gòu)可根據(jù)用戶使用的不同身份認(rèn)證方式設(shè)置支付限額，以保護(hù)用戶的資金安全。用戶提交的身份認(rèn)證信息經(jīng)多次驗(yàn)證或在限定時(shí)間內(nèi)仍未通過(guò)的，支付機(jī)構(gòu)應(yīng)暫停其部分或全部業(yè)務(wù)的處理，并以適當(dāng)方式通知用戶。支付機(jī)構(gòu)應(yīng)持續(xù)更新交易身份認(rèn)證技術(shù)手段，保證用戶交易安全。153.4用戶賬戶與交易監(jiān)控3.4.1基本要求支付機(jī)構(gòu)應(yīng)建立賬戶與交易監(jiān)控系統(tǒng)，制定賬戶及交易安全監(jiān)控、風(fēng)險(xiǎn)處置與報(bào)告制度，并指定專門部門、設(shè)置專職崗位或人員對(duì)用戶賬戶及交易安全進(jìn)行監(jiān)控。3.4.2監(jiān)控范圍支付機(jī)構(gòu)應(yīng)當(dāng)對(duì)用戶簽約、登錄、交易、付款、查詢、退款以及涉及賬戶變動(dòng)的全過(guò)程實(shí)施7X24小時(shí)監(jiān)控，以及時(shí)發(fā)現(xiàn)賬戶盜用、欺詐交易等風(fēng)險(xiǎn)，保障用戶資金及信息安全。3.4.3監(jiān)控指標(biāo)為強(qiáng)化對(duì)賬戶及交易的監(jiān)控效果，提升監(jiān)控效率，支付機(jī)構(gòu)應(yīng)對(duì)以下指標(biāo)實(shí)施重點(diǎn)監(jiān)控：a.訂單信息，包括交易雙方名稱或賬號(hào)、商戶編號(hào)、交易內(nèi)容、交易金額、訂單編號(hào)、交易日期和時(shí)間等；b.交易頻率；c.交易額度及限額；d.商戶交易集中度；e.其他。3.4.4異常交易識(shí)別、調(diào)查與處置異常交易是指用戶在辦理互聯(lián)網(wǎng)支付業(yè)務(wù)或支付機(jī)構(gòu)在提供互聯(lián)網(wǎng)支付服務(wù)過(guò)程中因自身或外來(lái)原因產(chǎn)生的非正常交易。異常交易包含但不限于以下情形：16a.用戶利用互聯(lián)網(wǎng)支付服務(wù)從事套現(xiàn)、詐騙、洗錢等違法犯罪活動(dòng)而產(chǎn)生的非正常交易；b.不法分子通過(guò)采取惡意程序、網(wǎng)絡(luò)釣魚等欺詐手段，盜用用戶賬戶或銀行卡而產(chǎn)生的非正常交易；c.因支付業(yè)務(wù)系統(tǒng)及設(shè)施遭到自然或人為因素破壞，支付機(jī)構(gòu)無(wú)法準(zhǔn)確、及時(shí)地傳送業(yè)務(wù)信息，或因網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪活動(dòng)導(dǎo)致互聯(lián)網(wǎng)支付服務(wù)異常而產(chǎn)生的非正常交易。支付機(jī)構(gòu)應(yīng)在其網(wǎng)站上公布異常交易投訴渠道及調(diào)查處理流程，結(jié)合交易監(jiān)控系統(tǒng)及投訴信息，對(duì)異常交易進(jìn)行比對(duì)分析，并啟動(dòng)調(diào)查程序。支付機(jī)構(gòu)應(yīng)根據(jù)異常交易調(diào)查結(jié)果，采取暫?；蚶^續(xù)交易、賬戶恢復(fù)原狀、限制賬戶使用、凍結(jié)賬戶操作等措施。同時(shí)，根據(jù)異常交易種類、數(shù)量、后果及影響范圍依照相關(guān)規(guī)定向業(yè)務(wù)監(jiān)管部門進(jìn)行報(bào)告。異常交易調(diào)查結(jié)果符合可疑交易報(bào)告標(biāo)準(zhǔn)的，支付機(jī)構(gòu)應(yīng)按相關(guān)要求向中國(guó)反洗錢監(jiān)測(cè)分析中心履行報(bào)告義務(wù)。支付機(jī)構(gòu)應(yīng)建立用戶黑名單數(shù)據(jù)庫(kù)，依據(jù)異常交易監(jiān)測(cè)和調(diào)查結(jié)果，將確認(rèn)存在違法或嚴(yán)重違規(guī)行為的用戶列入該名單，并終止繼續(xù)向其提供互聯(lián)網(wǎng)支付服務(wù)。3.5用戶賬戶及交易信息安全3.5.1用戶信息安全管理支付機(jī)構(gòu)應(yīng)設(shè)立或指定專門部門負(fù)責(zé)用戶信息保護(hù)工作，并17與所有接觸用戶賬戶信息及交易數(shù)據(jù)等敏感信息的員工簽署保密協(xié)議，明確員工需要承擔(dān)的保密責(zé)任以及員工離職時(shí)的脫密期。支付機(jī)構(gòu)應(yīng)嚴(yán)格控制員工對(duì)用戶賬戶信息及交易數(shù)據(jù)等敏感信息的訪問(wèn)權(quán)限，訪問(wèn)權(quán)限的分配應(yīng)遵循分級(jí)授權(quán)的原則，訪問(wèn)記錄應(yīng)當(dāng)留存?zhèn)洳椋苊鈫蝹€(gè)員工對(duì)用戶賬戶信息及交易數(shù)據(jù)等敏感信息的完全控制。未經(jīng)用戶授權(quán)，支付機(jī)構(gòu)不得為任何單位或個(gè)人查詢用戶身份信息及交易信息資料，不得將用戶身份信息及交易信息向任何第三方提供，法律法規(guī)另有規(guī)定的除外。3.5.2信息變更管理支付機(jī)構(gòu)應(yīng)制定用戶信息變更操作制度及流程，用戶申請(qǐng)變更身份信息的，支付機(jī)構(gòu)應(yīng)在核實(shí)用戶身份后予以更新。在用戶業(yè)務(wù)關(guān)系存續(xù)期內(nèi)，支付機(jī)構(gòu)應(yīng)當(dāng)及時(shí)提示用戶更新身份信息。對(duì)于有效身份證件將超過(guò)有效期的用戶，支付機(jī)構(gòu)應(yīng)當(dāng)在失效前60天通知其及時(shí)更新，并予以有效核驗(yàn)。單位用戶應(yīng)按相關(guān)規(guī)定留存其有效身份證件的復(fù)印件或者影印件；個(gè)人用戶存在3.1.2有關(guān)要求情形的，應(yīng)留存其有效身份證件的復(fù)印件或者影印件。對(duì)于有效身份證件已過(guò)有效期的用戶，支付機(jī)構(gòu)為其辦理首筆業(yè)務(wù)時(shí)，應(yīng)要求重新提供有效身份證件信息，并予以有效核驗(yàn)。單位用戶應(yīng)按相關(guān)規(guī)定留存其有效身份證件的復(fù)印件或者影印18件；個(gè)人用戶存在3.1.2有關(guān)要求情形的，應(yīng)留存其有效身份證件的復(fù)印件或者影印件。3.5.3賬戶掛失管理支付機(jī)構(gòu)應(yīng)當(dāng)制定并公布用戶賬戶掛失操作制度及流程，用戶因密碼丟失或遺忘申請(qǐng)賬戶掛失的，支付機(jī)構(gòu)應(yīng)首先引導(dǎo)其通過(guò)自助或人工方式找回密碼；用戶因賬戶盜用等異常情況申請(qǐng)賬戶掛失的，支付機(jī)構(gòu)應(yīng)根據(jù)用戶申請(qǐng)，在核實(shí)用戶身份后對(duì)掛失賬戶進(jìn)行限制賬戶使用、凍結(jié)賬戶操作等處理。3.6用戶安全教育服務(wù)3.6.1用戶安全提示支付機(jī)構(gòu)對(duì)用戶的安全提示應(yīng)覆蓋其使用互聯(lián)網(wǎng)支付產(chǎn)品完成支付活動(dòng)的全過(guò)程和所有環(huán)節(jié)，提示用戶注意賬戶、銀行卡使用及個(gè)人信息安全，并提供相應(yīng)的安全防范措施。支付機(jī)構(gòu)還應(yīng)當(dāng)以適當(dāng)?shù)姆绞?，包括但不限于公告、郵件、短信、站內(nèi)信等向用戶提示當(dāng)前主要支付安全風(fēng)險(xiǎn)。3.6.2日常安全教育支付機(jī)構(gòu)應(yīng)當(dāng)建立用戶日常安全教育制度及流程，設(shè)立專門客服渠道解答用戶安全問(wèn)題，在網(wǎng)站頁(yè)面應(yīng)當(dāng)設(shè)置安全教育板塊。支付機(jī)構(gòu)在設(shè)計(jì)相關(guān)產(chǎn)品時(shí)應(yīng)包含對(duì)用戶進(jìn)行安全提示或安全教育的內(nèi)容，培育用戶良好的支付安全習(xí)慣。支付機(jī)構(gòu)可定期或不定期開展互聯(lián)網(wǎng)支付安全宣傳培訓(xùn)活19動(dòng)，對(duì)用戶進(jìn)行安全教育。3.7業(yè)務(wù)投訴、差錯(cuò)及爭(zhēng)議管理支付機(jī)構(gòu)應(yīng)當(dāng)建立業(yè)務(wù)爭(zhēng)議、投訴處理機(jī)制，在網(wǎng)站公布爭(zhēng)議受理渠道及流程，成立或指定經(jīng)專業(yè)培訓(xùn)的爭(zhēng)議、投訴處理部門，設(shè)置專崗，提供至少5x8小時(shí)的服務(wù)。支付機(jī)構(gòu)應(yīng)在5個(gè)工作日內(nèi)處理相關(guān)爭(zhēng)議或投訴，并及時(shí)將處理結(jié)果告知用戶。第四部分商戶風(fēng)險(xiǎn)及防范4.1商戶拓展4.1.1禁止發(fā)展的商戶a.非法設(shè)立的經(jīng)營(yíng)組織；b.特殊行業(yè)商戶，包括本國(guó)法律禁止的賭博及博彩類、色情服務(wù)類、出售違禁藥品、毒品、黃色出版物、軍火彈藥等以及其他與本國(guó)法律、法規(guī)相抵觸的商戶；c.以返利為名招徠客戶實(shí)現(xiàn)傳銷或非法集資目的的商戶或經(jīng)營(yíng)組織。4.1.2謹(jǐn)慎發(fā)展的商戶a.虛擬商品銷售（包括充值卡、游戲點(diǎn)卡）等易發(fā)生套現(xiàn)、偽冒交易的商戶；b.提供中介咨詢服務(wù)類商戶；c.接受用戶預(yù)付款的商戶；d.以個(gè)人賬戶作為結(jié)算賬戶、注冊(cè)資本低或成立時(shí)間短、無(wú)20實(shí)體店面的商戶；e.注冊(cè)地或經(jīng)營(yíng)場(chǎng)所在境外的商戶；f.代購(gòu)類商戶；g.從事民間融資、貸款等類型業(yè)務(wù)的商戶;h.商戶或其法定代表人、負(fù)責(zé)人已被列入中國(guó)人民銀行指定的不良信息系統(tǒng)的商戶。4.2商戶資質(zhì)審核4.2.1基本要求支付機(jī)構(gòu)應(yīng)對(duì)商戶的基本信息、資信記錄、經(jīng)營(yíng)狀況等進(jìn)行全面審核與調(diào)查，以核實(shí)商戶基本信息的真實(shí)性，并判斷其是否滿足商戶準(zhǔn)入的基本條件。商戶資質(zhì)審核應(yīng)由專人負(fù)責(zé)，不得與商戶拓展等崗位兼崗，審核渠道包括但不限于電話調(diào)查、現(xiàn)場(chǎng)調(diào)查和間接調(diào)查等。4.2.2審核內(nèi)容支付機(jī)構(gòu)與商戶簽約前，為防范風(fēng)險(xiǎn)可對(duì)以下內(nèi)容進(jìn)行審核：a.營(yíng)業(yè)執(zhí)照、稅務(wù)登記證、組織機(jī)構(gòu)代碼證，法人代表或商戶負(fù)責(zé)人身份證等；b.商戶網(wǎng)站域名是否可以正常訪問(wèn)，網(wǎng)站信息是否定時(shí)更新；c.是否取得ICP證或有ICP備案；d.系統(tǒng)數(shù)據(jù)安全和人員配置是否有保障，業(yè)務(wù)制度體系是否21完備；e.商戶提供的商品及服務(wù)內(nèi)容是否合法合規(guī)；f.服務(wù)條款、客戶隱私聲明、安全管理聲明是否完整,有關(guān)退貨、退款、送貨和交易取消政策是否齊全;g.客戶服務(wù)體系是否健全；h.網(wǎng)站內(nèi)容。對(duì)平臺(tái)類商戶應(yīng)增加以下審核內(nèi)容：a.二級(jí)商戶實(shí)名制落實(shí)情況；b.平臺(tái)類商戶的信用評(píng)價(jià)體系和風(fēng)險(xiǎn)控制措施；c.平臺(tái)類商戶對(duì)二級(jí)商戶交易信息上送和保管能力。4.2.3風(fēng)險(xiǎn)評(píng)級(jí)與分類管理支付機(jī)構(gòu)在審核商戶基本情況的基礎(chǔ)上，應(yīng)對(duì)其進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分。通過(guò)對(duì)商戶的信用風(fēng)險(xiǎn)、欺詐風(fēng)險(xiǎn)和合規(guī)風(fēng)險(xiǎn)等各項(xiàng)基本要素進(jìn)行評(píng)分，形成反映商戶整體風(fēng)險(xiǎn)水平的評(píng)價(jià)分值，作為與商戶簽約的決策依據(jù)，并根據(jù)分值不同對(duì)商戶采取差異化的風(fēng)險(xiǎn)管理措施。對(duì)風(fēng)險(xiǎn)等級(jí)較高的商戶，應(yīng)采取的交易風(fēng)險(xiǎn)管理措施包括但不限于：：設(shè)置商戶單筆或當(dāng)日交易限額、交易監(jiān)測(cè)、物流審查、現(xiàn)場(chǎng)檢查、繳存風(fēng)險(xiǎn)準(zhǔn)備金、延遲清算等。商戶簽約后，支付機(jī)構(gòu)應(yīng)結(jié)合商戶的日常交易行為和風(fēng)險(xiǎn)管理狀況，動(dòng)態(tài)調(diào)整商戶風(fēng)險(xiǎn)等級(jí)和相關(guān)管理措施。4.2.4未通過(guò)審批商戶的記錄對(duì)于未能通過(guò)審批的商戶，支付機(jī)構(gòu)應(yīng)建立內(nèi)部的登記留存22制度，對(duì)商戶基本信息和拒絕原因進(jìn)行詳細(xì)記錄，并及時(shí)進(jìn)行更新匯總，為后續(xù)新商戶的審批查詢提供參考，防止不良商戶多次提交欺詐申請(qǐng)。4.2.5申請(qǐng)資料保存管理支付機(jī)構(gòu)應(yīng)妥善保存下列資料的影印件或掃描件備查：a.商戶營(yíng)業(yè)執(zhí)照b.稅務(wù)登記證c.組織機(jī)構(gòu)代碼證d.法定代表人或商戶負(fù)責(zé)人有效身份證件e.商戶ICP證f.商戶信息調(diào)查表g.商戶受理協(xié)議書h.對(duì)商戶日常風(fēng)險(xiǎn)管理的相關(guān)表格，如商戶日常檢查表、《特約商戶風(fēng)險(xiǎn)管理自查問(wèn)卷》等。支付機(jī)構(gòu)與商戶解約時(shí)，從協(xié)議終止日起，商戶相關(guān)資料至少應(yīng)保存五年以上。4.3服務(wù)協(xié)議4.3.1基本要求支付機(jī)構(gòu)應(yīng)與商戶簽訂標(biāo)準(zhǔn)的受理協(xié)議書，明確雙方權(quán)利與義務(wù)。4.3.2風(fēng)險(xiǎn)防范條款支付機(jī)構(gòu)在與商戶簽訂的協(xié)議文本中，應(yīng)明確包含以下風(fēng)險(xiǎn)23條款：禁止性規(guī)定：a.商戶不得將相關(guān)網(wǎng)關(guān)接口、標(biāo)識(shí)等用于受理協(xié)議許可范圍以外的用途，也不得供受理協(xié)議許可范圍以外的第三方進(jìn)行交易的使用。對(duì)于違反該條款的，支付機(jī)構(gòu)保留向商戶追索損失及要求額外罰款的權(quán)利。b.未經(jīng)支付機(jī)構(gòu)書面允許，商戶不得將受理業(yè)務(wù)委托或轉(zhuǎn)讓給第三方。經(jīng)營(yíng)義務(wù)：a.商戶應(yīng)對(duì)所提供資料的真實(shí)性負(fù)責(zé)，保證其經(jīng)營(yíng)活動(dòng)和范圍的合法性；b.信息資料、業(yè)務(wù)狀況或商戶基本情況發(fā)生變更時(shí)，商戶應(yīng)及時(shí)通知支付機(jī)構(gòu)：i.信息資料變更包括：商戶注冊(cè)信息、服務(wù)器及網(wǎng)站地址（URL及IP）、網(wǎng)站名稱、聯(lián)系方式、開戶銀行及收款賬戶等發(fā)生變更；ii.業(yè)務(wù)狀況變更包括：經(jīng)營(yíng)變化（如中斷或終止）、商品和服務(wù)以及提供方式（如主營(yíng)業(yè)務(wù)范圍，送、退貨方式）等發(fā)生變更；iii.商戶基本情況變更包括：商戶資本及所有權(quán)變更（如注冊(cè)資本的增減、重大的債務(wù)變化）。c.商戶需確保有關(guān)商品和服務(wù)描述完整，有關(guān)退貨、退款、24送貨和交易取消政策齊全，有關(guān)客戶服務(wù)體系健全。d.商戶要妥善、及時(shí)處理互聯(lián)網(wǎng)支付業(yè)務(wù)產(chǎn)生的差錯(cuò)和爭(zhēng)議，維護(hù)消費(fèi)者合法權(quán)益。e.商戶應(yīng)加強(qiáng)對(duì)相關(guān)網(wǎng)站、支付設(shè)備及軟件的日常維護(hù)和管理，保證系統(tǒng)的安全穩(wěn)定性，并遵守國(guó)家有關(guān)互聯(lián)網(wǎng)支付安全的法律法規(guī)規(guī)定，確保交易以及賬戶信息的安全，否則支付機(jī)構(gòu)有權(quán)限定商戶的支付金額或中止合作，并要求商戶承擔(dān)相應(yīng)的違約責(zé)任。f.商戶存在篡改交易數(shù)據(jù)、未按要求上送交易驗(yàn)證信息、為洗錢、套現(xiàn)提供便利等違規(guī)操作，應(yīng)承擔(dān)相應(yīng)責(zé)任。g.在發(fā)生欺詐交易后，商戶應(yīng)履行配合相關(guān)機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)事件協(xié)查的義務(wù)，包括但不限于提供商戶或二級(jí)商戶簽約時(shí)留存的基本信息、支付交易信息、客戶信用記錄、持卡人基本信息等。h.平臺(tái)類商戶應(yīng)配備相應(yīng)的系統(tǒng)、人員和完善的制度，對(duì)其二級(jí)商戶的交易實(shí)施有效識(shí)別、追溯及在必要時(shí)暫停業(yè)務(wù)的管理。同時(shí)，須承擔(dān)因二級(jí)商戶發(fā)展和管理不善造成的風(fēng)險(xiǎn)損失，下設(shè)的二級(jí)商戶不得再發(fā)展下一級(jí)商戶。i.交易訂單保存條款。商戶應(yīng)對(duì)交易訂單保存至少1年。因保存不當(dāng)或遺失訂單而造成的經(jīng)濟(jì)損失由商戶承擔(dān)。保密條款：a.商戶不得存儲(chǔ)除基本的交易信息以外的其它數(shù)據(jù)（如網(wǎng)上支付密碼、卡片有效期、CVN2等）。25b.除了交易需要或法律要求，商戶不得將賬戶及交易數(shù)據(jù)信息披露給第三方。c.商戶必須將包含賬戶及交易數(shù)據(jù)信息的所有載體保存在安全區(qū)域，并確保只有被授權(quán)人員才能接觸；包含賬戶及交易數(shù)據(jù)信息的所有載體在失效后應(yīng)立即銷毀，不得留存。d.業(yè)務(wù)處理流程應(yīng)當(dāng)確保信息安全。風(fēng)險(xiǎn)控制措施條款：a.經(jīng)風(fēng)險(xiǎn)狀況評(píng)估確認(rèn)為高風(fēng)險(xiǎn)商戶的，支付機(jī)構(gòu)有權(quán)調(diào)整商戶交易款結(jié)算時(shí)限和方式。若商戶違反協(xié)議，或從事欺詐交易的，支付機(jī)構(gòu)可延遲對(duì)商戶款項(xiàng)的結(jié)算。b.根據(jù)商戶風(fēng)險(xiǎn)屬性或風(fēng)險(xiǎn)評(píng)級(jí)，支付機(jī)構(gòu)可要求商戶繳納一定額度的保證金，用于對(duì)商戶違約造成的損失進(jìn)行賠付。c.因商戶違規(guī)操作、出現(xiàn)風(fēng)險(xiǎn)事件、違反協(xié)議規(guī)定等情況，支付機(jī)構(gòu)可立即終止商戶服務(wù)協(xié)議。d.調(diào)查商戶疑似欺詐交易期間，支付機(jī)構(gòu)可暫時(shí)扣留有關(guān)交易的結(jié)算資金，并須及時(shí)告知商戶。e.商戶出現(xiàn)以下情況且經(jīng)通知、協(xié)商未做出改進(jìn)的，支付機(jī)構(gòu)有權(quán)終止對(duì)該商戶的服務(wù)：i.在正式運(yùn)行3個(gè)月內(nèi)無(wú)交易；ii.因商品質(zhì)量、配送問(wèn)題而遭客戶多次投訴；iii.商戶因經(jīng)營(yíng)不善，已破產(chǎn)或停業(yè)的；iv.被監(jiān)管機(jī)構(gòu)和司法機(jī)關(guān)認(rèn)定為需要關(guān)閉的；26v.違反保密義務(wù)的；vi.有其他嚴(yán)重影響雙方合作行為的。其他條款：a.商戶風(fēng)險(xiǎn)信息使用條款。在正常業(yè)務(wù)范圍內(nèi)，商戶同意支付機(jī)構(gòu)使用其風(fēng)險(xiǎn)信息（包含但不限于商戶基本信息、商戶經(jīng)營(yíng)及其風(fēng)險(xiǎn)情況等）。b.交易查詢及追索規(guī)定。協(xié)議終止后，支付機(jī)構(gòu)對(duì)協(xié)議終止前的交易仍有查詢及追索權(quán)。c.支付機(jī)構(gòu)的債權(quán)保證。在商戶宣布破產(chǎn)時(shí)，應(yīng)保證支付機(jī)構(gòu)的債權(quán)人地位。4.4商戶日常管理與監(jiān)控4.4.1商戶日常風(fēng)險(xiǎn)教育支付機(jī)構(gòu)與商戶建立業(yè)務(wù)關(guān)系前，應(yīng)對(duì)商戶進(jìn)行至少一次包括風(fēng)險(xiǎn)防范要求及技能的培訓(xùn)。業(yè)務(wù)存續(xù)期間內(nèi)，支付機(jī)構(gòu)應(yīng)根據(jù)業(yè)務(wù)發(fā)展和風(fēng)險(xiǎn)控制需要，對(duì)商戶進(jìn)行定期或不定期的培訓(xùn)，可采用現(xiàn)場(chǎng)或遠(yuǎn)程方式，原則上一年內(nèi)不得少于一次，并保留培訓(xùn)記錄，以備查核。4.4.2商戶風(fēng)險(xiǎn)檢查與管理支付機(jī)構(gòu)應(yīng)根據(jù)業(yè)務(wù)發(fā)展和風(fēng)險(xiǎn)控制的需要，定期對(duì)商戶風(fēng)險(xiǎn)情況進(jìn)行檢查，并保留回訪和培訓(xùn)的記錄。檢查的方式可以采用商戶自查、支付機(jī)構(gòu)檢查以及委托專門機(jī)構(gòu)代查相結(jié)合的方式，檢查內(nèi)容包括業(yè)務(wù)檢查及技術(shù)安全檢查。27發(fā)現(xiàn)異?；蜻`規(guī)情況，應(yīng)要求商戶及時(shí)整改并提出有效的風(fēng)險(xiǎn)防范措施，必要時(shí)按照相關(guān)規(guī)定及時(shí)中止與商戶的協(xié)議。支付機(jī)構(gòu)應(yīng)采取必要的技術(shù)手段保證商戶賬戶資金安全，具體手段包括但不限于：Usbkey、Token、數(shù)字證書、手機(jī)短信驗(yàn)證碼等。支付機(jī)構(gòu)應(yīng)以電話或網(wǎng)絡(luò)方式為商戶提供業(yè)務(wù)及風(fēng)險(xiǎn)咨詢服務(wù)，并明確告知商戶。4.4.3日常交易監(jiān)控支付機(jī)構(gòu)應(yīng)建立對(duì)互聯(lián)網(wǎng)支付業(yè)務(wù)的交易監(jiān)控機(jī)制，配備專門人員，對(duì)商戶日常交易進(jìn)行監(jiān)控，并對(duì)可疑交易進(jìn)行調(diào)查處理。依托風(fēng)險(xiǎn)管理系統(tǒng)，運(yùn)用信息化手段來(lái)加強(qiáng)商戶的風(fēng)險(xiǎn)監(jiān)控和管理。支付機(jī)構(gòu)應(yīng)根據(jù)自身風(fēng)險(xiǎn)策略，在風(fēng)險(xiǎn)管理系統(tǒng)中對(duì)互聯(lián)網(wǎng)支付業(yè)務(wù)設(shè)置相應(yīng)的商戶風(fēng)險(xiǎn)監(jiān)控指標(biāo)。支付機(jī)構(gòu)可根據(jù)商戶的風(fēng)險(xiǎn)等級(jí)，建立動(dòng)態(tài)的商戶交易限額控制機(jī)制，細(xì)化針對(duì)不同類型商戶的交易限額標(biāo)準(zhǔn)。4.4.4交易信息上送及保管支付機(jī)構(gòu)應(yīng)要求商戶上送完整的交易信息，確保支付機(jī)構(gòu)保存詳細(xì)的交易記錄數(shù)據(jù)，應(yīng)包括如下信息：a.交易發(fā)起方IP地址；b.商品或服務(wù)內(nèi)容描述、物流配送信息；c.二級(jí)商戶名稱、商戶服務(wù)類別碼等。28支付機(jī)構(gòu)應(yīng)對(duì)上送交易數(shù)據(jù)至少保存五年，以便追溯。4.4.5商戶調(diào)查與處置日常交易監(jiān)控與商戶檢查中，發(fā)現(xiàn)商戶存在違規(guī)跡象時(shí),支付機(jī)構(gòu)應(yīng)立即進(jìn)行調(diào)查。調(diào)查疑似套現(xiàn)等商戶欺詐時(shí)，應(yīng)綜合采取如下措施進(jìn)行處理，以及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，阻止商戶欺詐行為，避免更大損失：a.向商戶索取單據(jù)及相關(guān)憑證；b.向銀行等有關(guān)機(jī)構(gòu)證實(shí)交易；c.暫時(shí)扣留結(jié)算資金；d.前往商戶實(shí)施現(xiàn)場(chǎng)調(diào)查；e.對(duì)有嫌疑商戶實(shí)施后續(xù)監(jiān)控和調(diào)查。當(dāng)確認(rèn)商戶存在違法、違規(guī)、欺詐行為且情節(jié)嚴(yán)重，或?qū)ι虘舨扇【妗⒄?、暫停交易等處罰措施無(wú)效的，應(yīng)立即終止商戶協(xié)議、及時(shí)清退,并于協(xié)議終止后十個(gè)工作日內(nèi)，將商戶信息錄入人民銀行指定的不良信息系統(tǒng)。支付機(jī)構(gòu)應(yīng)積極協(xié)助公安司法機(jī)關(guān)、相關(guān)主管單位及合作銀行對(duì)商戶違規(guī)違法事件進(jìn)行調(diào)查，配合采取相應(yīng)措施。4.5商戶風(fēng)險(xiǎn)類型及防范4.5.1信息泄露風(fēng)險(xiǎn)描述商戶違反保密條款，違規(guī)保存或?qū)⒔灰字胁杉你y行賬戶信息、支付賬戶信息和交易數(shù)據(jù)等信息，泄露給無(wú)關(guān)第三方，被泄29露的信息具體包括:銀行賬戶信息：涉及銀行卡號(hào)、有效期、CVN2、與支付相關(guān)的各類密碼等；涉及持卡人姓名、身份證號(hào)、聯(lián)系方式、其他證件號(hào)碼等身份信息；支付賬戶信息：涉及支付賬戶用戶、密碼和聯(lián)系方式等；交易數(shù)據(jù)信息：涉及交易金額、交易商品等。防范手段在合作協(xié)議中明確支付機(jī)構(gòu)與商戶的責(zé)任與義務(wù)。要求商戶遵循本指引的信息安全管理要求，切實(shí)了解商戶對(duì)于信息泄露等風(fēng)險(xiǎn)的防范措施，加強(qiáng)對(duì)商戶相關(guān)人員的風(fēng)險(xiǎn)培訓(xùn)與日常管理。采用各類安全支付手段，防止信息泄露，提升支付的安全性。4.5.2套現(xiàn)風(fēng)險(xiǎn)描述商戶與消費(fèi)者或其他第三方勾結(jié)，或商戶自身開立買賣雙方的賬戶，進(jìn)行無(wú)商品交付的虛假交易以此套取現(xiàn)金的行為。防范手段嚴(yán)格執(zhí)行實(shí)名審核制度，充分利用聯(lián)網(wǎng)核查身份信息系統(tǒng)、公安部戶籍查詢系統(tǒng)，并多方了解特約商戶的經(jīng)營(yíng)背景、營(yíng)業(yè)場(chǎng)所、經(jīng)營(yíng)范圍、財(cái)務(wù)狀況等信息。在商戶入網(wǎng)協(xié)議中明確商戶有防范套現(xiàn)風(fēng)險(xiǎn)的義務(wù)，一旦發(fā)生套現(xiàn)行為，應(yīng)采取暫停該商戶交易或關(guān)閉商戶等措施，并由商戶承擔(dān)可能出現(xiàn)的損失；在商戶協(xié)議中，明確規(guī)范退貨渠道，不30得進(jìn)行現(xiàn)金退貨或采用預(yù)付費(fèi)卡等易引發(fā)套現(xiàn)的形式退返現(xiàn)金；將疑似有套現(xiàn)嫌疑的商戶負(fù)責(zé)人信息、營(yíng)業(yè)執(zhí)照等相關(guān)證件信息加入黑名單或灰名單，作為入網(wǎng)審核時(shí)的參考依據(jù)。按照商戶服務(wù)類型制定單筆、當(dāng)日累計(jì)交易限額，并根據(jù)互聯(lián)網(wǎng)欺詐形勢(shì)對(duì)限額進(jìn)行動(dòng)態(tài)調(diào)整。建立商戶交易監(jiān)控機(jī)制，針對(duì)套現(xiàn)商戶交易特征制定相應(yīng)的偵測(cè)規(guī)則。4.5.3惡意倒閉風(fēng)險(xiǎn)描述以欺詐為目的，發(fā)生商戶負(fù)責(zé)人卷款潛逃、商戶倒閉等風(fēng)險(xiǎn)事件，引發(fā)繳納預(yù)付款的用戶投訴，給支付機(jī)構(gòu)帶來(lái)退款損失的情形。防范手段為商戶提供互聯(lián)網(wǎng)支付服務(wù)前應(yīng)首先查詢?nèi)嗣胥y行指定的不良信息系統(tǒng)，防止惡意倒閉商戶在被某一支付機(jī)構(gòu)發(fā)現(xiàn)后轉(zhuǎn)移重復(fù)申請(qǐng)；對(duì)易發(fā)生惡意倒閉商戶要求其繳納風(fēng)險(xiǎn)保證金，并采取延遲結(jié)算的措施。加強(qiáng)交易監(jiān)控，及時(shí)發(fā)現(xiàn)有惡意倒閉嫌疑的商戶，并采取風(fēng)險(xiǎn)控制措施。4.5.4非法頁(yè)面信息風(fēng)險(xiǎn)描述商戶在其網(wǎng)站頁(yè)面發(fā)布或登載諸如提供套現(xiàn)、賭博服務(wù)等信息招徠客戶，通過(guò)互聯(lián)網(wǎng)從事違法違規(guī)交易，給支付機(jī)構(gòu)帶來(lái)?yè)p31失。防范手段支付機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)簽約商戶的日常檢查，運(yùn)用“網(wǎng)絡(luò)爬蟲”等相關(guān)技術(shù)，對(duì)商戶的網(wǎng)站內(nèi)容進(jìn)行掃描，掃描頻率不得低于每周一次。在掃描中通過(guò)對(duì)敏感字段的過(guò)濾，篩查出發(fā)布違規(guī)信息的商戶，并根據(jù)商戶日常管理要求進(jìn)行調(diào)查處置，對(duì)存在違規(guī)經(jīng)營(yíng)的商戶應(yīng)根據(jù)情節(jié)輕重采取口頭警告、暫時(shí)關(guān)閉、錄入黑名單、清退等手段進(jìn)行處置。對(duì)平臺(tái)類商戶，應(yīng)要求其對(duì)下轄二級(jí)商戶采取同樣的風(fēng)險(xiǎn)管控措施，要求其將所轄商戶頁(yè)面內(nèi)容定期進(jìn)行檢查，并向支付機(jī)構(gòu)反饋檢查結(jié)果。4.5.5網(wǎng)絡(luò)釣魚風(fēng)險(xiǎn)描述網(wǎng)絡(luò)釣魚指不法分子利用公共網(wǎng)絡(luò)環(huán)境的漏洞，通過(guò)偽造交易鏈接將客戶引導(dǎo)到虛假的支付頁(yè)面；或向客戶支付交易終端植入木馬病毒等惡意程序，誘使客戶將交易訂單款項(xiàng)支付至指定賬戶或盜用其賬戶資金。防范手段加強(qiáng)對(duì)互聯(lián)網(wǎng)支付用戶安全意識(shí)的教育，提示常用的欺詐手段，并在交易過(guò)程中提示客戶注意不明鏈接及文件的接收，如發(fā)現(xiàn)異常情況應(yīng)及時(shí)與銀行或支付機(jī)構(gòu)聯(lián)系；要求商戶注意交易環(huán)境的安全維護(hù)，防止網(wǎng)站被攻擊或惡意利用，在網(wǎng)站安裝安全控32件、殺毒軟件，并定期對(duì)虛假鏈接進(jìn)行安全掃描。在客戶支付訂單之前，及時(shí)向客戶發(fā)起訂單確認(rèn)，確認(rèn)信息包括但不限于：發(fā)起人、發(fā)起時(shí)間、收款人、支付金額、商戶名稱、購(gòu)買商品類型等；對(duì)虛擬充值、游戲通訊類商戶設(shè)置特殊的單日、單筆交易限額；針對(duì)商戶被釣魚網(wǎng)站利用引發(fā)的訂單替換，可在站內(nèi)及站間采用具備防釣魚功能的技術(shù)接口進(jìn)行防范。加強(qiáng)交易監(jiān)控，關(guān)注短時(shí)間內(nèi)發(fā)起訂單和訂單支付不在同一終端的連續(xù)多筆交易、發(fā)起訂單和訂單支付時(shí)間間隔過(guò)長(zhǎng)、同一終端短時(shí)間內(nèi)連續(xù)發(fā)起多筆訂單等異常交易行為。4.5.6其他欺詐除上述主要風(fēng)險(xiǎn)類型以外，商戶存在經(jīng)營(yíng)情況與注冊(cè)信息不符,從事違反國(guó)家法律、法規(guī)和政策規(guī)定的業(yè)務(wù)（如賭博或者其他非法活動(dòng)）等，給支付機(jī)構(gòu)和客戶造成損失的情形。支付機(jī)構(gòu)應(yīng)通過(guò)加強(qiáng)交易監(jiān)控、加大商戶檢查力度或嚴(yán)格商戶協(xié)議約定等方式約束商戶違法違規(guī)行為。第五部分資金安全管理支付機(jī)構(gòu)應(yīng)嚴(yán)格按照業(yè)務(wù)監(jiān)管部門相關(guān)支付結(jié)算管理制度和規(guī)定,依據(jù)與客戶簽訂的服務(wù)協(xié)議，辦理資金的結(jié)算業(yè)務(wù),確?？蛻糍Y金及時(shí)、準(zhǔn)確劃轉(zhuǎn)及核算。支付機(jī)構(gòu)應(yīng)遵循《支付機(jī)構(gòu)客戶備付金存管暫行辦法》相關(guān)規(guī)定，確定備付金存管銀行，簽訂備付金存管協(xié)議，加強(qiáng)備付金33管理，保障客戶備付金資金安全。5.1備付金銀行賬戶5.1.1賬戶的開立和撤銷支付機(jī)構(gòu)應(yīng)設(shè)立或指定資金結(jié)算部門，或?qū)嶋H履行資金結(jié)算職能的部門負(fù)責(zé)備付金銀行賬戶的開立、變更、撤銷，網(wǎng)上銀行等功能的開通、變更、關(guān)閉以及相應(yīng)操作權(quán)限的配置管理工作。支付機(jī)構(gòu)對(duì)備付金銀行賬戶的開立、使用情況、賬戶權(quán)限建立審核和監(jiān)督機(jī)制，對(duì)賬戶密碼泄露、賬戶盜用以及越級(jí)操作等異常情況應(yīng)及時(shí)通報(bào)風(fēng)險(xiǎn)管理部門并采取相應(yīng)處理措施。支付機(jī)構(gòu)開立備付金銀行賬戶時(shí)，資金結(jié)算部門應(yīng)對(duì)擬開立的備付金銀行賬戶名稱、性質(zhì)以及數(shù)量的合規(guī)性進(jìn)行審核，并及時(shí)與開戶行核實(shí)賬戶開立信息。備付金銀行賬戶撤銷前，資金結(jié)算部門應(yīng)核實(shí)以下事項(xiàng)：a.待銷賬戶已無(wú)任何交易、退款等業(yè)務(wù)發(fā)生，無(wú)結(jié)余資金；b.賬戶內(nèi)存在余額的，已將余額劃轉(zhuǎn)至承接賬戶。承接賬戶應(yīng)符合《支付機(jī)構(gòu)客戶備付金存管暫行辦法》要求；c.已有確定的方法或途徑保障該賬戶銷戶后不會(huì)影響原支付訂單的退款。備付金銀行賬戶開立或銷戶后，資金結(jié)算部門應(yīng)確保將開戶或銷戶信息及時(shí)通知財(cái)務(wù)等相關(guān)部門。開戶信息包括賬戶名稱、開戶行、賬號(hào)、開戶日期、賬戶性質(zhì)（匯繳賬戶、收付賬戶）等。銷戶信息包括賬戶名稱、開戶行、賬號(hào)、銷戶日期等。345.1.2網(wǎng)銀安全管理開通備付金銀行賬戶網(wǎng)銀功能時(shí)，資金結(jié)算部門應(yīng)及時(shí)設(shè)置、登記并轉(zhuǎn)交網(wǎng)銀USBKey數(shù)字證書管理、使用權(quán)限。關(guān)閉網(wǎng)銀功能時(shí)，應(yīng)收回該賬戶的網(wǎng)銀USBKey數(shù)字證書，并及時(shí)登記、統(tǒng)一保管。資金結(jié)算部門應(yīng)按照逐級(jí)授權(quán)、職責(zé)分離的原則設(shè)置、修改、取消網(wǎng)銀操作權(quán)限。網(wǎng)銀權(quán)限名單應(yīng)定期清理，確保授權(quán)合理。網(wǎng)銀證書應(yīng)按照分級(jí)授權(quán)由專人保管，不得帶離操作崗位。營(yíng)業(yè)終了，應(yīng)將操作證書放入保險(xiǎn)柜保管，并做好出入記錄。網(wǎng)銀密碼應(yīng)定期更換，當(dāng)有密碼使用者離職或者換崗后，應(yīng)立即更改密碼;資金結(jié)算部門應(yīng)不定期檢查網(wǎng)銀證書或密碼的出入庫(kù)記錄和交接記錄。支付機(jī)構(gòu)應(yīng)定期對(duì)使用USBKey數(shù)字證書的計(jì)算機(jī)進(jìn)行殺毒，防止病毒或者木馬非法獲取USBKey數(shù)字證書信息、損壞USBKey數(shù)字證書硬件。5.2崗位設(shè)置與權(quán)限支付機(jī)構(gòu)應(yīng)遵循職責(zé)分離、相互制約的原則，合理設(shè)置資金結(jié)算、資金管理及財(cái)務(wù)稽核等崗位，嚴(yán)格分離資金支付的審批與執(zhí)行、資金的保管、記錄與盤點(diǎn)清查、資金的會(huì)計(jì)記錄與審計(jì)監(jiān)督等職能；嚴(yán)禁一人兼任非相容的崗位或獨(dú)自完成結(jié)算全過(guò)程的業(yè)務(wù)操作，做到結(jié)算操作與結(jié)算對(duì)賬、業(yè)務(wù)經(jīng)辦與會(huì)計(jì)賬務(wù)處理、業(yè)務(wù)操作與風(fēng)險(xiǎn)監(jiān)控、經(jīng)辦與復(fù)核及授權(quán)相分離。35支付機(jī)構(gòu)應(yīng)遵循“最小授權(quán)”及“按需使用”的原則，設(shè)置結(jié)算業(yè)務(wù)操作權(quán)限。對(duì)提取、修改資金結(jié)算及會(huì)計(jì)核算數(shù)據(jù)等操作應(yīng)建立嚴(yán)格的審批、審計(jì)和監(jiān)督檢查機(jī)制。對(duì)涉及交易資金、客戶賬戶資金變動(dòng)的操作，包括但不限于商戶結(jié)算、支付賬戶提現(xiàn)、商戶退款、調(diào)賬等行為，應(yīng)至少實(shí)行雙人、雙權(quán)限操作。5.3商戶資金結(jié)算支付機(jī)構(gòu)應(yīng)確保備付金賬戶可用、余額充足；頭寸不足的，支付機(jī)構(gòu)應(yīng)按相關(guān)規(guī)定，及時(shí)調(diào)整備付金專用存款賬戶間頭寸。支付機(jī)構(gòu)應(yīng)準(zhǔn)確核算商戶待結(jié)算資金，并依據(jù)與商戶簽訂的支付服務(wù)協(xié)議，將款項(xiàng)直接結(jié)算至協(xié)議約定賬戶。支付機(jī)構(gòu)不得委托他人代理結(jié)算。商戶結(jié)算規(guī)則、結(jié)算銀行賬戶發(fā)生變更的，支付機(jī)構(gòu)應(yīng)取得商戶的變更申請(qǐng)函件，并確認(rèn)商戶身份后予以及時(shí)辦理。支付機(jī)構(gòu)結(jié)算時(shí)發(fā)現(xiàn)存在可能導(dǎo)致資金差錯(cuò)的情況時(shí)，應(yīng)立即終止相關(guān)的付款操作，并及時(shí)查詢、核實(shí)，確認(rèn)無(wú)誤后再安排付款。支付機(jī)構(gòu)在監(jiān)控中發(fā)現(xiàn)異常交易或存在爭(zhēng)議交易時(shí),應(yīng)及時(shí)采取暫扣、延遲結(jié)算等措施加以防范，或通過(guò)收取保證金等方式規(guī)避風(fēng)險(xiǎn)。支付機(jī)構(gòu)應(yīng)按業(yè)務(wù)監(jiān)管部門相關(guān)規(guī)定保留重要憑證、操作記錄和操作日志，以便審計(jì)和查驗(yàn)。365.4資金退回及交易退款支付機(jī)構(gòu)為客戶辦理充值資金退回、退款業(yè)務(wù),或支付機(jī)構(gòu)辦理差錯(cuò)資金退回，應(yīng)遵循原路退回的原則，退回至原支付賬戶或銀行賬戶，不得截留或退至其他賬戶；原賬戶已銷戶的，支付機(jī)構(gòu)應(yīng)主動(dòng)聯(lián)系客戶或發(fā)卡機(jī)構(gòu)，確保將相關(guān)款項(xiàng)退回客戶本人賬戶。5.5手續(xù)費(fèi)支付機(jī)構(gòu)與商戶、合作方（如銀行）應(yīng)簽訂協(xié)議約定收費(fèi)標(biāo)準(zhǔn)；如需變更，應(yīng)辦理書面變更手續(xù)。支付機(jī)構(gòu)發(fā)現(xiàn)計(jì)費(fèi)數(shù)據(jù)處理異?；蛞伤飘惓５模瑧?yīng)及時(shí)審核確認(rèn)；計(jì)費(fèi)數(shù)據(jù)存在差錯(cuò)的，應(yīng)及時(shí)進(jìn)行調(diào)整、修正。支付機(jī)構(gòu)應(yīng)指定專門部門負(fù)責(zé)手續(xù)費(fèi)核算、制表、收付款、開票等工作，按期收取、結(jié)轉(zhuǎn)費(fèi)用；當(dāng)期未收、未付款應(yīng)累計(jì)至下一結(jié)算期結(jié)算。5.6資金對(duì)賬支付機(jī)構(gòu)應(yīng)每日對(duì)其業(yè)務(wù)系統(tǒng)的交易記錄及相關(guān)賬表進(jìn)行對(duì)賬，對(duì)賬應(yīng)包括以下內(nèi)容：a.系統(tǒng)日切時(shí)匯總交易賬戶流水，將交易賬戶的明細(xì)賬與總賬進(jìn)行核對(duì)；b.系統(tǒng)日切時(shí)將各銀行電子對(duì)賬單與系統(tǒng)中的交易明細(xì)進(jìn)行核對(duì)。37與銀行對(duì)賬周期另有約定的，按照約定周期對(duì)賬。資金結(jié)算部門應(yīng)設(shè)立專崗定期對(duì)所有備付金銀行賬戶收付款情況及交易流水、結(jié)存余額進(jìn)行核對(duì)，核對(duì)的內(nèi)容應(yīng)包括：a.該備付金銀行應(yīng)入賬金額與實(shí)際入賬金額是否一致；b．該備付金銀行手續(xù)費(fèi)收取方式和實(shí)際收取的手續(xù)費(fèi)用是否與系統(tǒng)中的計(jì)費(fèi)信息或與銀行協(xié)議約定的一致；c．實(shí)際退款、回提金額與系統(tǒng)中的退款、回提金額是否一致；d．資金調(diào)撥是否及時(shí)足額到賬；e.其他應(yīng)核對(duì)賬務(wù)。5.7資金差錯(cuò)處理支付機(jī)構(gòu)完成資金結(jié)算后，應(yīng)及時(shí)檢查支付指令是否有效、交易狀態(tài)是否相符。當(dāng)銀行反饋付款或退款資金的狀態(tài)可疑時(shí)，支付機(jī)構(gòu)應(yīng)遵循謹(jǐn)慎性原則，在查明原因后，再進(jìn)行相關(guān)處理。業(yè)務(wù)系統(tǒng)顯示扣款成功，銀行顯示未扣款的，應(yīng)根據(jù)銀行對(duì)賬單進(jìn)行調(diào)賬，并及時(shí)通知客戶；銀行顯示扣款成功，業(yè)務(wù)系統(tǒng)中未劃賬成功的交易，應(yīng)按照銀行扣款記錄標(biāo)記扣款成功狀態(tài)。支付機(jī)構(gòu)應(yīng)確保賬實(shí)相符，對(duì)未達(dá)賬項(xiàng)、賬款差錯(cuò)應(yīng)盡快查明原因，清理掛賬項(xiàng)目須經(jīng)嚴(yán)格授權(quán)；支付機(jī)構(gòu)應(yīng)留存并妥善保管原始記錄資料及處理結(jié)果資料。385.8風(fēng)險(xiǎn)準(zhǔn)備金計(jì)提支付機(jī)構(gòu)應(yīng)該按照業(yè)務(wù)監(jiān)管部門要求的計(jì)提比例計(jì)提風(fēng)險(xiǎn)準(zhǔn)備金，開立風(fēng)險(xiǎn)準(zhǔn)備金專用存款賬戶，并對(duì)計(jì)提比例進(jìn)行及時(shí)調(diào)整。第六部分系統(tǒng)信息安全管理6.1組織機(jī)構(gòu)及管理制度6.1.1組織機(jī)構(gòu)支付機(jī)構(gòu)應(yīng)設(shè)立或指定專門部門負(fù)責(zé)本機(jī)構(gòu)系統(tǒng)信息安全管理，組織制定、發(fā)布相關(guān)制度、規(guī)范，協(xié)調(diào)處理系統(tǒng)信息安全管理工作中的關(guān)鍵事項(xiàng)，對(duì)涉及重大風(fēng)險(xiǎn)事宜進(jìn)行決策，明確各相關(guān)部門系統(tǒng)安全保障職責(zé)及人員配置，組織跨部門應(yīng)急演練等。負(fù)責(zé)本機(jī)構(gòu)系統(tǒng)信息安全管理的部門應(yīng)配備專職人員，實(shí)行A、B崗制度，專職人員不可兼任其他崗位。6.1.2管理制度系統(tǒng)信息安全管理制度應(yīng)貫穿業(yè)務(wù)運(yùn)作、系統(tǒng)設(shè)計(jì)、編碼、測(cè)試、集成、運(yùn)行維護(hù)以及評(píng)估、應(yīng)急處置全過(guò)程，包括安全制度、安全規(guī)范、安全操作規(guī)程和操作記錄手冊(cè)等。安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制。支付機(jī)構(gòu)應(yīng)定期組織相關(guān)部門和人員對(duì)安全管理制度體系的適用性和有效性進(jìn)行審計(jì)，針對(duì)不足及時(shí)進(jìn)行修訂完善。396.2網(wǎng)絡(luò)安全管理6.2.1網(wǎng)絡(luò)結(jié)構(gòu)安全要求a.應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；b.應(yīng)繪制、維護(hù)與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，區(qū)分可信區(qū)域和不可信區(qū)域；c.應(yīng)保證防火墻、交換機(jī)等主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；d.應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期及業(yè)務(wù)發(fā)展需要；e.應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。f.應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制，建立安全的訪問(wèn)路徑；g.采用IP偽裝技術(shù)隱藏內(nèi)部IP，防止內(nèi)部網(wǎng)絡(luò)被非法訪問(wèn)。6.2.2訪問(wèn)控制要求a.應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；b.應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；40c.應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET等協(xié)議命令級(jí)的控制；d.應(yīng)在會(huì)話處于非活躍狀態(tài)達(dá)到一定時(shí)間，或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；e.應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)并發(fā)連接數(shù)；f.重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；g.應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；h.應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。6.2.3安全審計(jì)要求a.應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄，并至少保存6個(gè)月；b.審計(jì)記錄至少應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；c.應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；d.應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。6.2.4入侵防范a.應(yīng)部署入侵檢測(cè)/防御系統(tǒng)，并在網(wǎng)絡(luò)邊界處監(jiān)視和記錄以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；b.當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊41目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。6.2.5惡意代碼防范a.應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；b.應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。6.2.6網(wǎng)絡(luò)設(shè)備防護(hù)a.網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；b.應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；c.主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；d.身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；e.當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽；f.應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；g.應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離;h.應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；i.應(yīng)定期檢查網(wǎng)絡(luò)設(shè)備運(yùn)行狀況和軟件版本信息，定期對(duì)網(wǎng)絡(luò)設(shè)備配置文件進(jìn)行備份。6.2.7身份鑒別a.應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，嚴(yán)禁匿名登錄；42b.操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；c.應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)、鎖定賬戶和自動(dòng)退出等措施；d.當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽；e.應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。f.應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份識(shí)別，并且身份鑒別信息至少有一種是不可偽造的。6.2.8邊界完整性檢查a.應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；b.應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。6.3系統(tǒng)運(yùn)維管理6.3.1物理環(huán)境管理a.各系統(tǒng)運(yùn)行部門應(yīng)按照國(guó)家計(jì)算機(jī)房安全管理的有關(guān)規(guī)定加強(qiáng)管理，并保持機(jī)房清潔、整齊、有序，制定相應(yīng)的制度和規(guī)則，做好機(jī)房的安全工作。b.禁止將易燃、易爆、易腐蝕和磁性物品等可能影響運(yùn)行的危險(xiǎn)品帶入機(jī)房；禁止將食物、飲料帶入機(jī)房。43c.支付各環(huán)節(jié)涉及的機(jī)器、網(wǎng)絡(luò)設(shè)備等需專網(wǎng)專用，不得與其他業(yè)務(wù)的開展重合。d.支付系統(tǒng)設(shè)備（包括計(jì)算機(jī)軟硬件、網(wǎng)絡(luò)、安全設(shè)備等）應(yīng)實(shí)行專人管理。禁止將支付系統(tǒng)設(shè)備挪作他用。e.支付系統(tǒng)網(wǎng)絡(luò)設(shè)備、各直接參與者的前置機(jī)設(shè)備由網(wǎng)絡(luò)部門統(tǒng)一負(fù)責(zé)安全管理。f.任何人員進(jìn)出數(shù)據(jù)中心機(jī)房需登記、涉及重要數(shù)據(jù)的區(qū)域需提前申請(qǐng)并由相關(guān)責(zé)任人陪同方可進(jìn)入、參觀人員僅可訪問(wèn)指定授權(quán)區(qū)域。g.支付系統(tǒng)使用的存儲(chǔ)介質(zhì)，應(yīng)進(jìn)行嚴(yán)格的病毒檢查，防止計(jì)算機(jī)病毒侵入。h.未經(jīng)批準(zhǔn)，支付系統(tǒng)設(shè)備不得與其它設(shè)備、網(wǎng)絡(luò)連接。i.當(dāng)遇到重大故障(如支付中斷超過(guò)2小時(shí)以上時(shí))或需停機(jī)維護(hù)時(shí)，及時(shí)將故障情況或維護(hù)申請(qǐng)上報(bào)給所在地中國(guó)人民銀行分支機(jī)構(gòu)，并書面報(bào)告故障原因、影響及補(bǔ)救措施。6.3.2設(shè)備管理a.應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理。b.應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過(guò)程的監(jiān)督控制等。44c.應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作。d.應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理。e.應(yīng)做好設(shè)備登記工作，制定設(shè)備管理規(guī)范，落實(shí)設(shè)備使用者的安全保護(hù)責(zé)任。f.需要廢止的設(shè)備，應(yīng)由指定專門部門使用專用工具進(jìn)行數(shù)據(jù)信息消除處理，如廢止設(shè)備不再使用或調(diào)配到其他單位，應(yīng)備案并對(duì)其數(shù)據(jù)信息存儲(chǔ)設(shè)備進(jìn)行消磁或物理粉碎等不可恢復(fù)性銷毀處理，同時(shí)備案。g.設(shè)備確需送外單位維修時(shí)，應(yīng)指定專門部門徹底清除所存的工作相關(guān)信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議，與密碼設(shè)備配套使用的設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息，并派專人在場(chǎng)監(jiān)督。h.制定規(guī)范化的設(shè)備故障處理流程，建立詳細(xì)的故障日志(包括故障發(fā)生的時(shí)間、范圍、現(xiàn)象、處理結(jié)果和處理人員等內(nèi)容)。i.應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。j.應(yīng)對(duì)設(shè)備進(jìn)行分類和標(biāo)識(shí),建立標(biāo)準(zhǔn)化的設(shè)備配置文檔。45k.新購(gòu)置的設(shè)備應(yīng)經(jīng)過(guò)測(cè)試，測(cè)試合格后方能投入使用。l.應(yīng)做好設(shè)備登記工作，制定設(shè)備管理規(guī)范，落實(shí)設(shè)備使用者的安全保護(hù)責(zé)任。6.3.3數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)的存儲(chǔ)和傳輸a.支付機(jī)構(gòu)應(yīng)采取有效措施，保障系統(tǒng)數(shù)據(jù)信息的完整性和安全性。b.支付機(jī)構(gòu)應(yīng)能夠監(jiān)測(cè)到系統(tǒng)管理數(shù)據(jù)、客戶身份信息、支付業(yè)務(wù)信息等重要數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。c.支付機(jī)構(gòu)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、客戶身份信息、支付業(yè)務(wù)信息、會(huì)計(jì)檔案信息等的保密性。支付機(jī)構(gòu)應(yīng)采取相應(yīng)技術(shù)措施，在數(shù)據(jù)傳輸過(guò)程中確保支付指令的完整性、一致性和不可抵賴性。數(shù)據(jù)備份和恢復(fù)a.應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；b.應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，對(duì)備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)范；c.應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ǎ?6d.應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過(guò)程的程序，對(duì)備份過(guò)程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存；e.應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。6.4應(yīng)急管理支付機(jī)構(gòu)應(yīng)制定與其業(yè)務(wù)規(guī)模、復(fù)雜程度相適應(yīng)的應(yīng)急和業(yè)務(wù)連續(xù)方案，建立恢復(fù)服務(wù)和業(yè)務(wù)連續(xù)運(yùn)行保障機(jī)制，并定期檢查、測(cè)試，確保有效性。應(yīng)急管理要求包括：a.在統(tǒng)一的應(yīng)急管理框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；b.從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；c.對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)至少每年舉辦一次培訓(xùn)；d.定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，并根據(jù)實(shí)際情況進(jìn)行修訂調(diào)整。第七部分支付機(jī)構(gòu)反洗錢和反恐怖融資管理要求非金融支付機(jī)構(gòu)應(yīng)切實(shí)遵守《中華人民共和國(guó)反洗錢法》、《支付機(jī)構(gòu)反洗錢和反恐怖融資管理辦法》等法律法規(guī)，全面履行反洗錢及反恐怖融資義務(wù)。7.1基本要求支付機(jī)構(gòu)應(yīng)建立內(nèi)部的反洗錢和反恐怖融資的管理組織架構(gòu)，建立和完善反洗錢和反恐怖融資的內(nèi)控制度體系，制定反洗錢和反恐怖融資操作規(guī)程，全面履行反洗錢及反恐怖融資義務(wù)。7.2組織架構(gòu)及職責(zé)要求7.2.1領(lǐng)導(dǎo)機(jī)構(gòu)及職責(zé)支付機(jī)構(gòu)應(yīng)設(shè)立以機(jī)構(gòu)負(fù)責(zé)人為組長(zhǎng)、職能部門負(fù)責(zé)人為副組長(zhǎng)，各相關(guān)部門負(fù)責(zé)人為組員的反洗錢和反恐怖融資領(lǐng)導(dǎo)機(jī)構(gòu)，全面負(fù)責(zé)反洗錢和反恐怖融資工作，主要職責(zé)包括：a.反洗錢和反恐怖融資工作的整體協(xié)調(diào)、規(guī)劃;b.建立、健全反洗錢和反恐怖融資工作管理機(jī)制，組織、安排相關(guān)制度和流程的建設(shè)；c.組織相關(guān)部門和人員履行可疑交易報(bào)告義務(wù)，配合監(jiān)管機(jī)關(guān)和司法機(jī)關(guān)開展對(duì)可疑交易的調(diào)查；d.建立與業(yè)務(wù)監(jiān)管部門、司法機(jī)關(guān)的報(bào)告與溝通機(jī)制。7.2.2職能部門及職責(zé)支付機(jī)構(gòu)應(yīng)設(shè)立或指定專門部門負(fù)責(zé)具體開展反洗錢和反恐怖融資工作，督促和指導(dǎo)各相關(guān)部門執(zhí)行各項(xiàng)法律、法規(guī)、制度，并設(shè)置反洗錢和反恐怖融資專門崗位，主要職責(zé)包括：a.根據(jù)領(lǐng)導(dǎo)機(jī)構(gòu)要求，建立、健全反洗錢和反恐怖融資工作機(jī)制，制定和修訂有關(guān)制度、規(guī)章及操作規(guī)程，并組織實(shí)施；b.匯總反洗錢和反恐怖融資數(shù)據(jù)及可疑交易信息報(bào)表，并報(bào)領(lǐng)導(dǎo)機(jī)構(gòu)審批后，及時(shí)上報(bào)中國(guó)反洗錢分析監(jiān)測(cè)中心；c.協(xié)助業(yè)務(wù)監(jiān)管部門和司法機(jī)關(guān)開展反洗錢和反恐怖融資調(diào)查；d.組織、推動(dòng)內(nèi)部開展反洗錢和反恐怖融資預(yù)防、監(jiān)控、協(xié)查和報(bào)告，并定期進(jìn)行監(jiān)督檢查；建立內(nèi)部報(bào)告制度，定期提交領(lǐng)導(dǎo)機(jī)構(gòu)；e.定期組織內(nèi)部的反洗錢和反恐怖融資培訓(xùn)、宣傳工作；f.履行法律、法規(guī)規(guī)定的支付機(jī)構(gòu)其它反洗錢和反恐怖融資的工作職責(zé)。7.2.3相關(guān)部門職責(zé)相關(guān)部門負(fù)責(zé)人職責(zé)各相關(guān)部門、分支機(jī)構(gòu)、外派機(jī)構(gòu)負(fù)責(zé)人對(duì)本部門或本分支機(jī)構(gòu)反洗錢和反恐怖融資工作負(fù)責(zé)，主要職責(zé)包括：a.在開展業(yè)務(wù)過(guò)程中嚴(yán)格落實(shí)反洗錢和反恐怖融資相關(guān)規(guī)定,推動(dòng)本部門內(nèi)控制度的完善；b.對(duì)可疑交易信息進(jìn)行匯總分析并報(bào)告職能部門；c.組織部門內(nèi)員工的反洗錢和反恐怖融資宣傳、培訓(xùn)，對(duì)用戶或商戶進(jìn)行反洗錢和反恐怖融資宣傳、教育；d.配合機(jī)構(gòu)反洗錢和反恐怖融資職能部門的工作，履行相關(guān)職責(zé)。聯(lián)絡(luò)員職責(zé)支付機(jī)構(gòu)各部門、分支機(jī)構(gòu)、外派機(jī)構(gòu)應(yīng)指定專人作為反洗錢和反恐怖融資聯(lián)絡(luò)員，協(xié)助部門負(fù)責(zé)人開展反洗錢和反恐怖融資日常工作。主要職責(zé)包括：a.及時(shí)全面地向本部門員工傳遞反洗錢和反恐怖融資工作信息，督促本部門完成各項(xiàng)反洗錢和反恐怖融資工作；b.具體落實(shí)本部門反洗錢和反恐怖融資宣傳、培訓(xùn)工作；c.組織本部門的反洗錢和反恐怖融資相關(guān)制度的內(nèi)部審計(jì)工作，定期檢查工作開展情況，跟進(jìn)整改和完善情況；d.記錄報(bào)告可疑交易信息，及時(shí)向部門負(fù)責(zé)人和職能部門報(bào)告本部門反洗錢和反恐怖融資工作中存在的問(wèn)題，提出工作建議。e.履行其他反洗錢和反恐怖融資工作職責(zé)。各部門聯(lián)絡(luò)員與職能部門專門崗位人員組成反洗錢和反恐怖融資工作小組，負(fù)責(zé)反洗錢和反恐怖融資執(zhí)行及研討反洗錢工作問(wèn)題。7.3客戶身份驗(yàn)證及資料保存支付機(jī)構(gòu)應(yīng)當(dāng)勤勉盡責(zé)，建立健全客戶身份識(shí)別制度，遵循“了解你的客戶”原則，針對(duì)具有不同洗錢和恐怖融資風(fēng)險(xiǎn)特征的客戶、業(yè)務(wù)關(guān)系或者交易應(yīng)采取相應(yīng)合理的措施，了解客戶及其交易目的和交易性質(zhì)，了解實(shí)際控制客戶的自然人和交易的實(shí)際受益人。7.3.1客戶身份識(shí)別要求支付機(jī)構(gòu)在開展以下業(yè)務(wù)時(shí)，應(yīng)遵循用戶及商戶發(fā)展策略相關(guān)要求，嚴(yán)格落實(shí)客戶身份識(shí)別制度,留存相關(guān)資料并履行保密義務(wù)：a.支付機(jī)構(gòu)為用戶開立支付賬戶；b.同一客戶的多個(gè)支付賬戶建立關(guān)聯(lián)；c.商戶拓展及資質(zhì)審查；d.用戶及商戶身份信息變更。7.3.2重新識(shí)別客戶要求支付機(jī)構(gòu)應(yīng)根據(jù)規(guī)定在出現(xiàn)以下情形時(shí)，重新識(shí)別客戶：a.客戶要求變更姓名或者名稱、有效身份證件種類、身份證件號(hào)碼、注冊(cè)資本、經(jīng)營(yíng)范圍、法定代表人或者負(fù)責(zé)人等的；b.客戶行為或者交易情況出現(xiàn)異常的；c.先前獲得的客戶身份資料存在疑點(diǎn)的；d.支付機(jī)構(gòu)認(rèn)為應(yīng)重新識(shí)別客戶身份的其他情形。7.3.3客戶信息留存支付機(jī)構(gòu)應(yīng)按照人民銀行規(guī)定內(nèi)容妥善保存客戶身份資料和交易記錄，保證能夠完整準(zhǔn)確重現(xiàn)每筆交易。客戶身份資料包括各種記載客戶身份信息的資料、輔助證明客戶身份的資料和反映支付機(jī)構(gòu)開展客戶身份識(shí)別工作情況的資料支付機(jī)構(gòu)保存的交易記錄應(yīng)當(dāng)包括反映以下信息的數(shù)據(jù)、業(yè)務(wù)憑證、賬簿和其他資料：a.交易雙方名稱；b.交易金額；c.交易時(shí)間；d.交易雙方的開戶銀行或支付機(jī)構(gòu)名稱；e.交易雙方的銀行賬戶號(hào)碼、支付賬戶號(hào)碼、預(yù)付卡號(hào)碼、特約商戶編號(hào)或者其他記錄資金來(lái)源和去向的號(hào)碼。支付機(jī)構(gòu)在開展客戶身份識(shí)別的業(yè)務(wù)時(shí)，應(yīng)按照保證完整準(zhǔn)確重現(xiàn)每筆交易的原則保存交易記錄。7.3.4客戶身份資料和交易記錄保存系統(tǒng)支付機(jī)構(gòu)應(yīng)當(dāng)建立客戶身份資料和交易記錄保存系統(tǒng)，實(shí)時(shí)記載操作記錄，防止客戶身份信息和交易記錄的泄露、損毀和缺失，保證客戶信息和交易數(shù)據(jù)不被篡改，及時(shí)發(fā)現(xiàn)并記錄任何篡改或企圖篡改的操作。支付機(jī)構(gòu)應(yīng)當(dāng)完善客戶身份資料和交易記錄保存系統(tǒng)的查詢和分析功能，便于反洗錢和反恐怖融資的調(diào)查和監(jiān)督管理。并按照監(jiān)管部門規(guī)定的格式及期限保存客戶身份資料和交易記錄。在出現(xiàn)支付機(jī)構(gòu)終止支付業(yè)務(wù)時(shí)，應(yīng)當(dāng)按照中國(guó)人民銀行有關(guān)規(guī)定處理客戶身份資料和交易記錄。7.4可疑交易報(bào)告a.支付機(jī)構(gòu)應(yīng)對(duì)本機(jī)構(gòu)的全部交易開展監(jiān)測(cè)和分析，及時(shí)報(bào)告可疑交易；b.根據(jù)客戶特征和交易特點(diǎn)，支付機(jī)構(gòu)應(yīng)制定和完善符合本機(jī)構(gòu)業(yè)務(wù)特點(diǎn)的可疑交易標(biāo)準(zhǔn)，向中國(guó)人民銀行、總部所在地的中國(guó)人民銀行分支機(jī)構(gòu)和中國(guó)反洗錢監(jiān)測(cè)分析中心備案；c.支付機(jī)構(gòu)應(yīng)建立完善有效的可疑交易監(jiān)測(cè)分析體系，明確內(nèi)部可疑交易處理程序和人員職責(zé)，并指定專門人員，負(fù)責(zé)分析判斷是否報(bào)告可疑交易；d.支付機(jī)構(gòu)應(yīng)結(jié)合客戶身份信息和交易背景，對(duì)客戶行為或交易進(jìn)行識(shí)別、分析，有合理理由判斷與洗錢、恐怖融資或其他犯罪活動(dòng)相關(guān)的，應(yīng)在發(fā)現(xiàn)可疑交易之日起10個(gè)工作日內(nèi)，由其總部以電子方式向中國(guó)反洗錢監(jiān)測(cè)分析中心提交可疑交易報(bào)告?？梢山灰讏?bào)告的具體格式參照中國(guó)人民銀行規(guī)定。支付機(jī)構(gòu)應(yīng)將已上報(bào)可疑交易報(bào)告的客戶列為高風(fēng)險(xiǎn)客戶，持續(xù)開展交易監(jiān)測(cè)，仍不能排除洗錢、恐怖融資或其他犯罪活動(dòng)嫌疑的，應(yīng)在10個(gè)工作日內(nèi)向中國(guó)反洗錢監(jiān)測(cè)分析中心提交可疑交易報(bào)告，同時(shí)以書面方式將有關(guān)情況報(bào)告總部所在地的中國(guó)人民銀行分支機(jī)構(gòu)。支付機(jī)構(gòu)應(yīng)完整保存對(duì)客戶行為或交易進(jìn)行識(shí)別、分析和判斷的工作記錄及是否上報(bào)的理由和證據(jù)材料；e.支付機(jī)構(gòu)在履行反洗錢和反恐怖融資義務(wù)過(guò)程中，發(fā)現(xiàn)涉嫌犯罪的，應(yīng)立即報(bào)告當(dāng)?shù)毓矙C(jī)關(guān)和中國(guó)人民銀行當(dāng)?shù)胤种C(jī)構(gòu)，并以電子方式報(bào)告中國(guó)反洗錢監(jiān)測(cè)分析中心；f.支付機(jī)構(gòu)懷疑客戶、資金、交易或者試圖進(jìn)行的交易與恐怖主義、