- 政策解读
- 经济发展
- 社会发展
- 减贫救灾
- 法治中国
- 天下人物
- 发展报告
- 项目中心
第五章 风险管理
第六十六条 支付机构开展互联网支付业务采用的信息安全标准、技术标准等应符合中国人民银行关于信息安全和技术标准的有关规定。
第六十七条 支付机构为客户开立支付账户接受的备付金的存放、划转和监督,应符合《支付机构客户备付金存管暂行办法》的规定。
第六十八条 支付机构应制定全面的互联网支付风险管理制度,设立风险管理部门或岗位,明确职责分工,建立规范、有效的风险管理体系。
第六十九条 支付机构应制定有效的应急计划、业务连续性计划和风险处理预案,并定期进行演练。
第七十条 支付机构应建立内部审计机制,定期对互联网支付业务及相关系统进行审计。
第七十一条 支付机构应采取有效安全措施保护支付指令及所附信息的安全传输,防止客户信息泄露、支付指令被篡改。
第七十二条 支付机构应采取必要措施确保支付信息的完整性和可靠性:
(一)制定相应的风险控制策略,防止支付业务处理系统发生危害支付交易数据完整性和可靠性的变化;
(二)防止支付信息在传送、处理、存储、使用中被非法篡改,且任何非法篡改的行为都能被及时发现并记录。
第七十三条 支付机构对客户身份信息和支付信息等信息的使用,不得超出法律许可和客户授权的范围,并应采取必要措施为客户信息保密:
(一)客户信息须以安全方式保存和传输,并防止其被擅自查看或非法截取;
(二)对客户信息的访问应经合法授权和确认,并须登记且确保该登记不被篡改。
第七十四条 除法律法规另有规定或客户书面同意外,支付机构不得向其他机构和个人提供客户信息。
第七十五条 支付机构应确保对互联网支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制:
(一)确保进入账户系统等核心系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的,而且审计监督应能恰当地反映出这些篡改行为;
(二)对认证数据进行的任何查询、添加、删除或更改都应得到必要授权,并具有不可篡改的日志记录。日志记录按会计档案的管理要求进行保存。
第七十六条 支付机构采用电子签名方式进行客户身份认证和支付交易授权的,应由合法的第三方认证机构提供认证服务。
第七十七条 支付机构可根据有关规定将互联网支付业务的账户管理和业务处理等核心业务以外的业务外包给合法的专业化服务机构,但其对客户的义务及相应责任不因外包关系的确立而转移。
支付机构应与开展互联网支付外包业务的专业化服务机构签订协议,并确立一套综合性、持续性的程序,以管理其外包关系。
支付机构应确保与其签约的专业化服务机构不得从事或变相从事支付业务,但该机构取得相应支付业务许可的除外。
第七十八条 客户提供的身份信息和银行账户信息经多次验证仍未通过的,支付机构应予以重点关注,并暂停相关业务处理;支付机构发现银行账户信息或支付账户信息被盗取、欺诈、洗钱等风险事件的,应对客户采取暂停交易、限制账户使用等相关措施;对于涉嫌犯罪的,应立即向当地公安机关报案,同时向所在地中国人民银行分支机构报告。
第六章 监督管理
第七十九条 中国人民银行依法对支付机构互联网支付业务活动、内部控制、信息安全、风险状况等进行定期或不定期现场检查和非现场检查。
第八十条 支付机构应协助配合中国人民银行及其分支机构开展现场检查及非现场检查,定期报送互联网支付业务统计报表和相关信息。
第八十一条 互联网支付业务自律组织应制定业务自律规范,通过现场检查和非现场检查等手段,督促支付机构遵守自律规范,维护市场秩序、促进公平竞争。
第八十二条 支付机构应提前15日向所在地中国人民银行分支机构报告如下事项:
(一)向客户提供新的互联网支付业务产品和服务;
(二)新增、变更收费项目、收费标准;
(三)对客户服务规则的变更;
(四)互联网支付业务系统停运、升级换版;
(五)其他可能对客户、互联网支付市场产生重要影响的事项。
第八十三条 支付机构应建立互联网支付业务运作重大事项报告制度,及时向所在地中国人民银行分支机构报告业务经营过程中发生的风险事件。重大事项包括但不限于:
(一)发现业务系统安全存在重大隐患或发现互联网支付业务系统被恶意攻击并出现10户(含)以上客户损失;
(二)发生因支付机构原因导致客户或交易信息泄露等信息安全事件的,涉及客户数量在20户(含)以上;
(三)发现客户利用互联网支付进行洗钱、套现且涉嫌金额较大、客户较多或已移交司法机关的;
(四)因突发事件导致业务中止超过1小时的;
(五)产生司法纠纷或舆论风波可能影响声誉的。
重大事项报告不得超出案件和事件发生后48小时。
第八十四条 支付机构应建立自我评估制度,定期对本机构的互联网支付业务开展、支付业务处理系统运营、风险管理、业务外包等情况进行全面评估,并每年向所在地中国人民银行分支机构提交评估报告。
第八十五条 支付机构因机构解散、依法被撤销、被宣告破产,或经中国人民银行批准终止业务的,应自解散、被撤销、被宣告破产或被批准终止业务之日起,在大众媒体、支付机构营业场所及其网站显著位置至少公告30日以下事项:
(一)互联网支付业务终止原因;
(二)互联网支付业务终止时间;
(三)客户债权债务清算事项;
(四)中国人民银行要求公告的其他事项。