第一章 总则
第一条 为加强支付清算行业风险信息共享,提高会员单位支付业务风险防控水平,强化同业间风险联防与合作,保护会员单位和客户合法权益,根据人民银行相关监管制度要求及《中国支付清算协会章程》、《中国支付清算行业自律公约》等自律制度,制定本办法。
第二条 行业风险信息共享是指通过构建行业风险联合防范机制,实现行业风险信息在会员单位间的传输和使用,提升会员单位支付清算业务风险防控能力,促进行业健康发展。
第三条 行业风险信息共享主要覆盖会员单位以下业务经营活动中的风险信息:
(一)网络支付业务(包括互联网支付、移动电话支付、固定电话支付和数字电视支付等);
(二)票据支付业务;
(三)银行卡收单业务;
(四)预付卡发行与受理业务;
(五)其他需要进行信息共享的支付业务。
第四条 “风险信息”包括但不限于:
(一)会员单位在日常业务经营过程中发现的欺诈交易、违法违规交易及其相关具体信息;
(二)会员单位在业务拓展与合作中发现的从事违法违规经营行为的个人、商户、外包服务供应商及其他机构信息;
(三)监管机构提供或通报的典型风险案例信息;
(四)监管机构或协会有关行业风险形势的判断和风险提示信息;
(五)其他旨在提升行业风险防范水平而进行共享的信息。
第五条 风险信息共享的渠道和方式包括但不限于:
(一)协会将风险信息通过行业风险信息共享系统(以下简称“系统”)在会员单位间实现共享;
(二)监管机构通过协会组织的案件通报会、信息沟通会;
(三)协会定期或不定期组织的风险交流合作会议;
(四)监管机构或会员单位向协会提供风险案件、防范建议以及协会基于这类信息发布的风险提示。
第六条 行业风险信息共享遵循联合互助、权利与义务对等、严格保密的基本原则。
联合互助是指会员单位在风险防控合作中的地位平等,在风险信息共享工作中互通有无,形成合力,共同提供风险信息与其他形式的支持,防范行业整体风险。
权利与义务对等是指会员单位在风险信息共享中担负相同的权利与义务,在履行个体风险信息上报义务的同时获得查询行业风险信息的权利。
严格保密是指所有用于共享的风险信息均属于保密信息,未经信息提供方授权,协会及会员单位不得对外提供、披露,或将共享信息用于本单位风险防范工作以外的其他用途,已经公开发布的除外。
第七条 所有参与行业风险信息共享的会员单位应遵守本办法。
第二章 共享管理
第八条 协会作为行业风险信息共享工作的组织者,负责统一协调行业风险信息共享工作;负责组织建设、运维和管理行业风险信息共享系统。
第九条 会员单位参与行业风险信息共享机制,应符合下列条件:
(一)同意并遵守本《办法》的相关规定;
(二)具备健全完善的行业风险信息内部管理制度与岗位操作规程;
(三)能够积极提供行业风险信息,落实信息报送义务;
(四)具备必要的行业风险信息传输和处理能力;
(五)协会规定的其他要求。
第十条 会员单位可根据自身风险管理需要,向协会申请参与行业风险信息共享,并由协会开通相应的系统使用权限。
第十一条 会员单位应向协会提供风险信息,并保证信息的真实性、完整性、准确性、及时性和有效性。
第十二条 协会负责风险信息的采集、汇总、统计、分析并及时共享。会员单位应根据自身业务发展情况与协会共同约定信息共享方式,并选择适当的系统接入方式,配合协会做好系统运维工作。
第三章 保密管理
第十三条 行业风险信息共享工作涉及的全部风险信息均为保密信息,协会和会员单位应严格执行本《办法》中关于信息资料保密管理的规定,做好保密管理工作。
第十四条 会员单位应认真执行本办法及相关制度的要求,杜绝泄密、不当牟利等违规事项的发生;积极参加协会组织的行业风险信息保密及共享会议,配合协会做好相关管理工作。
第十五条 会员单位应将风险信息保密事宜纳入本单位保密工作范围统一管理,明确数据信息收集、报送、使用、保管的保密管理要求并定期检查,及时消除保密工作隐患,防止数据信息泄密或被用于其他未经许可的用途。
第十六条 协会应监督本办法的落实情况,采取检查、走访等手段,检查参与机构信息保密工作的执行情况。
第十七条 协会应将行业风险信息保密工作纳入协会保密管理工作范围,建立严格的数据信息采集、汇总、整理和分析权限管理制度,从严控制有关风险信息的知悉范围。
第十八条 未经信息提供方许可,协会和会员单位不得以口头、书面或电子信息等形式直接、间接地对外提供或发布用于共享的风险信息。
第十九条 协会和会员单位均应加强对以下风险信息载体的管理和维护:
(一)记录、登载风险信息的纸质载体;
(二)记载、收录风险信息的电子文件;
(三)处理、存储风险信息的计算机;
(四)存储风险信息的磁介质、电子介质或光介质等储存介质;
(五)其他需要进行保密管理的设备和载体。
第二十条 保密管理内容不适用于以下信息:
(一)已经对外公开发布的信息;
(二)国家有权机关要求获取或披露的信息;
(三)法律法规要求披露的信息。
第四章 权利与义务
第二十一条 协会在行业风险信息共享工作中享有以下权利:
(一)调解会员单位因风险信息共享产生的纠纷;
(二)审核、批准会员单位提出的加入、退出行业风险信息共享机制的申请;
(三)组织行业风险信息共享工作的评比、奖惩。
第二十二条 协会在行业风险信息共享工作中应承担以下义务:
(一)定期或不定期组织会员单位就风险信息共享的有关问题进行会商,根据实际情况,对行业风险信息共享相关规定进行制订、修改和完善;
(二)提供风险信息共享交流平台和沟通渠道,保障系统处理中心稳定运行;
(三)收集、维护、管理会员单位提供的风险信息,监督会员单位落实风险信息共享义务;
(四)对共享风险信息进行汇总分析,并形成相关材料供会员单位和监管部门参考使用;
(五)落实保密工作要求,采取相应的防范和管理手段保证信息安全,监督会员单位落实保密工作要求,防范信息泄露。
第二十三条 会员单位在行业风险信息共享机制中享有以下权利:
(一)通过协会提供的风险信息共享渠道,获取行业风险信息;
(二)信息获取方对共享信息产生疑问时,可通过协会向信息提供方请求复查;
(三)信息提供单位不承担其他会员单位因使用共享风险信息而导致的任何直接或间接责任。
第二十四条 会员单位在行业风险信息共享工作中应承担以下义务:
(一)按照要求真实、完整、准确、及时和有效地提供本机构在经营业务过程中收集的风险信息并及时维护;
(二)根据自身经营情况、风控水平自主决定是否采纳、如何使用共享风险信息,并承担可能由此产生的风险;
(三)及时响应并处理协会提出的信息复查请求;
(四)积极参加协会组织的行业风险信息共享工作会议及其他活动,配合协会在行业风险信息共享方面的相关工作;
(五)与其他单位因风险信息共享产生纠纷时,应优先向协会申请协调解决,对协调有异议或协调未能解决的,可再诉诸其他途径;
(六)严格履行信息保密义务,防止失密、泄密事件发生。
第五章 奖励与惩戒
第二十五条 协会定期或不定期根据会员单位行业风险信息共享工作开展情况,对有下列表现之一的会员单位及工作人员,给予书面表扬、公开表彰及其他形式的奖励:
(一)在提高报送共享风险信息数量、质量方面,表现突出的;
(二)在保障风险信息共享工作高效性、及时性及完备性等方面,表现优异的;
(三)积极履行风险信息报送义务,及时报送发现的风险信息,并为客户、其他会员单位挽回损失的;
(四)在推广现代化风险防范技术,提高风险处置能力方面,成绩显著的;
(五)协会认为需要奖励的其他行为。
第二十六条 会员单位出现以下情形之一且经沟通无效的,可对其使用协会提供的行业风险信息共享渠道加以限制,包括但不限于调减其系统查询流量、暂停其参加行业风险交流会议资格等,情节严重的,还将对其采取警告、行业通报批评等其他形式的处分:
(一)未按约定及时报送风险信息的;
(二)未认真履行信息审核义务的;
(三)未积极响应协会提出的信息复查请求的;
(四)未积极参与协会组织的风险信息案件通报会、信息沟通会等风险交流活动。
第二十七条 会员单位参与行业风险信息共享机制从未履行风险信息报送和共享义务,经反复沟通无效的,协会将关闭其信息查询权限。
第二十八条 会员单位出现以下情形之一,并经查实的,协会将终止向其提供风险信息共享服务和渠道,情节严重的,将采取行业通报批评等其他形式的处分:
(一)恶意伪造、变造并报送虚假数据信息的;
(二)擅自公布或故意泄露行业风险数据及信息,危害其他会员单位;
(三)干扰行业风险信息共享工作正常开展,影响系统正常运行的。
第二十九条 协会工作人员因以下行为违反本办法保密管理条款相关要求的,协会将依据内部保密管理规定,视情节轻重给予相应程度的处分:
(一)对信息保密不当造成严重失泄密的;
(二)对发现窃密或重大泄密行为不制止,不报告的;
(三)利用保密数据和信息牟取利益或从事非法活动的。
第六章 附则
第三十条 本办法由协会负责制订、解释和修改。
第三十一条 本办法经协会常务理事会审议通过后生效。
第三十二条 本办法自发布之日起实施。
第一章 总则
第一条 为规范中国支付清算协会(以下简称“协会”)支付清算综合服务平台行业风险信息共享系统(以下简称“系统”)的业务处理,确保系统快速、高效、安全、稳定运行,依据《中国支付清算协会行业风险信息共享管理办法》,制定本办法。
第二条 系统参与机构包括但不限于协会和经协会批准使用系统的会员单位及其他相关机构。
第三条 系统实行7*24小时不间断运行。协会根据管理、运维需求可以调整运行工作时间。
第四条 协会对系统及其运行实行统一管理。
第二章 系统管理
第五条 各参与机构应遵循“单点接入”的原则。
第六条 系统处理下列业务:
(一)个人和企业风险信息的录入,录入方式分为人工录入和系统接口导入;
(二)个人和企业风险信息的变更,包括补录和失效等变更操作;
(三)个人和企业风险信息的审核,包括录入审核和变更审核;
(四)个人和企业风险信息的查询,包括单要素查询、批量查询、组合查询;
(五)风险信息查询结果导出;
(六)风险信息统计,包括汇总统计、分类统计。
第七条 系统和参与机构间发送和接收风险信息,应采取联机方式。
第八条 参与机构向系统发起信息录入和查询申请时,系统应即时进行响应并处理。当录入和查询并发量超出系统的信息最高处理能力时,系统将进行限流处理。
第九条 经协会批准接入的非会员单位参与者,可根据实际情况,享有使用风险信息的上传、查询、导出或其他的功能权限。
第十条 协会可对系统参与机构用户开立控制关系、权限控制关系、用户角色管理以及其他用户管理业务参数进行维护。
第十一条 系统因不可抗力原因造成无法正常运行的,参与机构应积极采取补救措施,做好应急处理,尽快恢复系统正常运行。
第三章 用户管理
第十二条 本办法所称参与机构用户,分为协会管理员,协会操作员,机构系统管理员,机构管理员,机构操作员。参与机构应根据需要设置适当数量的管理员和操作员。各角色主要权限如下:
(一)协会管理员:用户管理、角色管理、资源管理、机构管理,业务参数维护、公告管理、通知管理、日志管理;
(二)协会操作员:个人风险信息管理、企业风险信息管理、风险信息查询、风险信息统计、操作日志管理;
(三)机构系统管理员:用户管理、日志管理;
(四)机构管理员:信息查询、信息审核;
(五)机构操作员:信息录入、信息查询、信息变更。
第十三条 协会管理员和协会操作员,两种角色不得互相兼任。机构系统管理员,机构管理员和机构操作员,三种角色两两之间不得互相兼任。
第十四条 机构系统管理员用户由协会负责管理,机构其他用户由机构负责管理。
第十五条 协会管理员和协会操作员的开立、变更、撤销申请,及时由系统管理部门领导审批并处理。
第十六条 机构系统管理员用户的开立、变更、撤销,应当由机构以书面、网络或磁介质等方式向协会提交申请。
第十七条 参与机构申请开立机构系统管理员用户,协会应根据机构提交申请材料,包括用户名、用户密码、用户姓名、手机号、邮箱、所属机构、用户类型、生效日期、用户权限、启用时间等信息,人工核对无误后,录入系统处理。
第十八条 机构管理员用户和机构操作员用户的开立由机构系统管理员审核通过后录入系统处理,完成用户的设置、开立。
第十九条 参与机构按照本办法第十七条、第十八条的规定提交信息后,发现提交的用户信息与在线查询得到的相关信息不一致的,应依据提交申请信息进行核对。提交信息有误的,可按照本办法第二十条、第二十一条的规定做相应变更。
第二十条 已开立机构系统管理员用户的机构需变更用户姓名、手机号、邮箱、用户类型、用户权限等信息的,应向协会提出申请。协会核对相关申请资料后,人工将变更信息录入系统处理。
第二十一条 已开立机构管理员用户和机构操作员用户的机构需变更用户姓名、手机号、邮箱、用户类型、用户权限等信息的,应向本机构系统管理员提出申请。机构系统管理员完成相应审核、信息核对后录入系统处理,完成用户信息的变更。
第二十二条 参与机构按照本办法第二十条、第二十一条的规定提交用户变更申请信息后,发现提交的用户变更申请信息与在线查询得到的相关信息不一致的,应依据提交用户变更申请信息进行核对。提交信息有误的,可按照本办法第二十条、第二十一条的规定再次提起变更申请。
第二十三条 已开立机构系统管理员用户的机构需撤销该用户的,协会应根据机构提交申请材料,包括用户名、用户姓名、所属机构、生效时间等信息,人工核对无误后,录入系统处理,完成机构系统管理员用户的撤销。
第二十四条 已开立机构管理员用户和机构操作员用户的机构需撤销相应用户的,应向本机构系统管理员提出申请。申请信息包括用户名,用户姓名等信息,机构系统管理员完成相应审核、信息核对无误后录入系统处理,完成用户的撤销。
第二十五条 参与机构按照本办法第二十三条、第二十四条的规定提交用户撤销申请信息后,发现提交的用户撤销申请信息与在线查询得到的相关信息不一致的,应依据提交用户撤销申请信息进行核对。提交信息有误的,可按照本办法第二十三条、第二十四条的规定再次提起撤销申请,并根据本办法第十七条、第十八条的规定重新对误撤销的用户做开立操作。
第二十六条 协会应在国家法定工作日通过系统办理参与机构用户的开立、变更、撤销业务。
第四章 信息管理
第二十七条 系统处理的风险信息业务,从参与机构发起,经系统至原发起参与机构止。
第二十八条 风险信息经过参与机构确认,上传至系统后才产生效力。参与机构发起风险信息至协会,应符合系统规定的信息格式,并按照规定加密、加签。
第二十九条 风险信息的来源包括但不限于:
(一)会员单位在日常业务经营过程中发现的欺诈交易、违法违规交易及其相关具体信息;
(二)会员单位在业务拓展与合作中发现的从事违法违规经营行为的个人、商户、外包服务供应商及其他机构信息;
(三)非会员单位参与机构提供或通报的典型风险案例信息;
(四)非会员单位参与机构或协会有关近期行业风险形势的判断和风险提示信息。
第三十条 行业风险信息数据标准由协会和会员单位共同协商制定,并根据管理需要进行调整。
第三十一条 系统处理的风险信息主要包括:
(一)个人风险信息:
1.盗用虚拟账户:行为人被确认存在盗用他人虚拟账户的情况,包括转移他人账户资金造成损失,或以盗用资金为目的修改账户信息等情况;
2.盗用银行卡:行为人被确认存在盗用他人银行卡账户的情况,并通过恶意转账或消费造成持卡人损失;
3.欺诈:行为人通过发送恶意链接、木马等方式,欺骗或诱导客户对自身账户进行操作。
(二)企业风险信息:
1.违规经营:商户存在发布违反国家法律法规的商品信息,包括发布涉黄、涉赌、涉毒、传销信息等行为;
2.商户欺诈:商户存在欺诈行为,如收款不发货或不及时提供相应服务,以及通过修改商品信息骗取客户资金的行为;
3.商户套现:商户存在以虚构交易、虚开价格、现金退货等方式从事套现行为的情况;
4.高危商户:商户存在大量直接或间接为不法分子提供销赃渠道,如大宗虚拟商品买卖等情况。
第三十二条 风险信息存在“有效”和“失效”两种状态。有效信息是指,该信息在有效期内,可供全体用户查询使用。失效信息不具有效力,仅对协会和信息提供方可见。
第三十三条 信息失效包括两种情况:信息有效期届满;参与机构对其报送的有效信息主动设置失效变更,该信息失效。
第三十四条 已录入并审核通过的风险信息不可删除,但可做失效处理,并可对信息要素进行补录。
第三十五条 已录入但未审核通过的信息可进行修改和删除。
第三十六条 行业风险信息仅限会员单位用于风险防范管理工作,会员单位应根据自身经营情况、风控水平自主决定是否采纳和使用共享的风险信息,并自行承担相应风险。
第五章 保密管理
第三十七条 参与机构应严格遵守本办法及其他有关规定,做好行业风险信息的保密管理及共享工作。
第三十八条 参与机构应将行业风险信息保密及共享工作作为本单位保密管理工作的重点内容,建立完善的信息收集、报送、使用、保管等制度。
第三十九条 参与机构应重点做好载有行业风险信息的纸质文件、磁介质、电子介质、光介质及其他储存介质的保密管理工作。
第四十条 参与机构未经协会和信息提供方授权,不得以任何形式对外提供或发布行业风险信息,不得违规利用所掌握的共享信息从事其他商业活动牟利。
第四十一条 各参与机构应做好数字签名证书的管理工作,妥善保管好本单位的公钥证书和私钥证书,如出现丢失、损坏等情况,应及时与协会进行沟通,并配合协会做好数字证书的补发和换发工作。
第六章 附则
第四十二条 本办法由协会负责发布、解释和修订。
第四十三条 本办法自发布之日起实行。