查看原文
其他

央行发布259号文:要求建立交易信息分类分级管理,确保安全

安知讯 2022-09-24

前言:央行要求银行、支付机构、清算机构应当建立交易信息分类分级管理规则,采取必要安全技术措施确保交易信息安全,防止交易信息泄露、被篡改或丢失。



10月13日,中国人民银行发布《中国人民银行关于加强支付受理终端及相关业务管理的通知》(以下简称《通知》)。


《通知》要求,银行、支付机构、清算机构应当建立交易信息分类分级管理规则,按照依法、审慎、必要和诚信原则处理客户交易信息,采取必要安全技术措施确保交易信息安全,防止交易信息泄露、被篡改或丢失。明确成员机构使用交易信息的用途,确保信息使用符合法律法规规定,禁止利用交易信息开展不公平竞争。


以下为通知全文:


中国人民银行关于加强支付受理终端及相关业务管理的通知(银发〔2021〕259号)


国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;各国有商业银行,中国邮政储蓄银行,各股份制商业银行;各非银行支付机构;中国银联股份有限公司、中国支付清算协会、网联清算有限公司、连通(杭州)技术服务有限公司: 


为加强支付受理终端及相关业务管理,维护支付市场秩序,保护消费者合法权益,现就有关事项通知如下: 


一、支付受理终端业务管理 


(一)银行卡受理终端及相关业务。


1.银行卡受理终端生产与登记管理。1台银行卡受理终端只能对应1个受理终端序列号。清算机构、收单机构应当按照《中国人民银行关于强化银行卡受理终端安全管理的通知》(银发〔2017〕21号)规定,对银行卡受理终端采取密码识别技术等有效手段,确保银行卡受理终端序列号不被篡改。

清算机构应当建立健全银行卡受理终端注册管理平台(以下简称管理平台),要求银行卡受理终端合作生产厂商(以下简称合作生产厂商)向管理平台报送银行卡受理终端序列号及序列号密钥、对应的银行业金融机构(以下简称银行)和非银行支付机构(以下简称支付机构)等收单机构名称。

清算机构应当建立合作生产厂商评估管理机制。对于未按要求生产银行卡受理终端、报送银行卡受理终端序列号登记信息,或存在参与违法违规活动等情形的合作生产厂商,清算机构应当采取要求其限期整改、降低评估等级直至停止合作等措施。

清算机构可以自行或委托其他机构建立管理平台、评估管理合作生产厂商。

2.银行卡受理终端入网管理。1台银行卡受理终端只能对应1个特约商户。收单机构应当建立银行卡受理终端序列号与下述5要素信息的关联对应关系,在办理银行卡受理终端入网时将相关信息报送至清算机构,并确保该关联对应关系在支付全流程中的一致性和不可篡改性:

(1)收单机构代码;
(2)特约商户(含小微商户,即依据法律法规和相关监管规定免于办理工商注册登记的实体特约商户,下同)编码;
 (3)特约商户统一社会信用代码(小微商户为其主要负责人有效身份证件号码,下同);
(4)特约商户收单结算账户;
(5)银行卡受理终端布放地理位置。

清算机构应当及时核验收单机构报送的银行卡受理终端入网信息和合作生产厂商报送的银行卡受理终端登记信息,核验不一致的不得入网。

原则上银行卡受理终端应当具备定位功能。对于不具备定位功能的银行卡受理终端,收单机构应当确保其被用于特约商户固定经营场所和合法合规用途。

3.银行卡受理终端退出管理。因收单机构与特约商户收单服务协议终止,或特约商户申请停用银行卡受理终端的,收单机构应当及时关闭银行卡受理终端业务功能,并收回银行卡受理终端。对确实无法收回的,应当确保银行卡受理终端业务功能持续处于关闭状态。

收单机构应当在关闭银行卡受理终端业务功能后2日内,将银行卡受理终端注销信息报送至清算机构。清算机构应当自收到银行卡受理终端注销信息之日起,停止为该银行卡受理终端发起的业务提供转接清算服务,直至该银行卡受理终端按规定重新入网。

4.存量银行卡受理终端改造或更换管理。对于本通知发布前已办理入网,但不符合本通知规定的银行卡受理终端,收单机构应当按照清算机构规则限期进行改造或更换。

清算机构应当按照审慎原则制定本机构入网银行卡受理终端改造或更换规则,要求收单机构限期完成对相关银行卡受理终端的改造或更换;逾期未完成的,应当暂停为相关银行卡受理终端发起的业务提供转接清算服务。

(二)条码支付受理终端及相关业务。

1.条码支付受理终端管理。对于具备采集多项支付信息和参与发起支付指令等功能的条码支付受理终端,清算机构、收单机构应当参照银行卡受理终端相关规定建立健全管理规则,并对不符合规则的存量条码支付受理终端限期进行改造或更换。收单机构应当按照本通知相关规定建立并报送条码支付受理终端序列号与相应5要素信息的关联对应关系,并确保该关联对应关系在支付全流程中的一致性和不可篡改性。

原则上条码支付受理终端应当具备定位功能。对于不具备定位功能的条码支付受理终端,收单机构应当确保其被用于特约商户固定经营场所和合法合规用途。

2.条码支付辅助受理终端管理。对于仅具备条码读取或展示功能、不参与发起支付指令的条码支付扫码设备、显码设备和静态条码展示介质等条码支付辅助受理终端,收单机构应当建立特约商户编码与下述4要素信息的关联对应关系,并确保该关联对应关系在支付全流程中的一致性和不可篡改性:

(1)收单机构代码;
(2)特约商户统一社会信用代码;
(3)特约商户收单结算账户;
(4)条码支付辅助受理终端布放地理位置。

3.收款条码管理。对于为个人或特约商户等收款人生成的,用于付款人识读并发起支付指令的收款条码,银行、支付机构、清算机构等为收款人提供收款条码相关支付服务的机构(以下统称条码支付收款服务机构)应当制定收款条码分类管理制度,有效区分个人和特约商户使用收款条码的场景和用途,防范收款条码被出租、出借、出售或用于违法违规活动。对于具有明显经营活动特征的个人,条码支付收款服务机构应当为其提供特约商户收款条码,并参照执行特约商户有关管理规定,不得通过个人收款条码为其提供经营活动相关收款服务。

条码支付收款服务机构应当采取有效措施禁止个人静态收款条码被用于远程非面对面收款。确有必要进行远程非面对面收款的,条码支付收款服务机构应当对相应收款人实行白名单管理,并审慎确定白名单准入条件与规模、个人静态收款条码的有效期、使用次数和交易限额。对于通过截屏、下载等方式保存的个人动态收款条码,应当参照执行个人静态收款条码有关规定。

 (三)创新支付受理终端等相关业务。收单机构、清算机构采用创新支付受理终端的,应当按照《中国人民银行关于规范支付创新业务的通知》(银发〔2017〕281号)规定,至少提前30日向中国人民银行或其分支机构报告。

鼓励收单机构为特约商户提供支持银行卡支付、条码支付等多种支付方式的支付受理终端。收单机构不得引导特约商户拒绝受理任何合法的支付方式。

二、特约商户管理

(一)信息核实。收单机构应当在初始拓展特约商户,以及与特约商户业务存续期间,采取有效方式核实特约商户身份信息。对于有固定经营场所的实体特约商户,应当通过现场面对面方式核实。对于无固定经营场所的实体特约商户和网络特约商户,原则上应当通过人工或智能客服同步视频等方式核实。对于通过电子商务平台开展经营活动的网络特约商户,收单机构在确保履行收单业务管理主体责任的前提下,可以由电子商务平台辅助核实特约商户身份信息。

信息核实过程中,收单机构应当以显著方式向特约商户法定代表人、负责人或其被授权人提示出租、出借、出售支付受理终端(含条码支付辅助受理终端,下同)、收款条码、网络支付接口和收单结算账户的风险及责任。特约商户收单结算账户设置为非同名账户的,收单机构应当对特约商户与非同名账户开户人是否存在同一品牌连锁经营、集团化管理等合法资金管理关系进行审核,并对非同名账户的开户人进行身份识别和意愿核实。

收单机构应当自本通知发布之日起1年内完成全部存量特约商户身份信息核实工作,形成工作报告备查。

(二)信息平台。清算机构应当建立健全本机构入网特约商户信息平台,对收单机构与入网特约商户、支付受理终端的关联关系和收单交易风险进行必要监测。信息平台应当遵循最小必要原则采集收单机构代码、特约商户名称、特约商户统一社会信用代码、特约商户编码、支付受理终端类型及序列号、业务类型、收单结算账户、特约商户经营地址、支付受理终端(网络支付接口)的布放地理位置、联系方式等特约商户核心入网信息。收单机构应当于特约商户入网、变更、终止服务后2日内向清算机构报送上述信息。

(三)变更管理。特约商户申请变更收单结算账户、支付受理终端布放地理位置等信息的,收单机构应当在办理变更前重新核实特约商户身份信息。

清算机构应当对特约商户入网信息变更情况进行监测,发现同一特约商户频繁变更核心入网信息、经不同收单机构报送信息不一致、被收单机构多次清退或与其他特约商户经营地址和联系方式相同等可疑情形的,应当要求相关收单机构进行风险排查,并反馈排查结果。对于未按期反馈排查结果的收单机构,清算机构应当采取限期整改、延迟业务清算、降低业务额度、暂停交易等必要风险防范措施。

三、收单业务监测

 (一)交易信息管理。银行、支付机构、清算机构应当建立交易信息分类分级管理规则,按照依法、审慎、必要和诚信原则处理客户交易信息,采取必要安全技术措施确保交易信息安全,防止交易信息泄露、被篡改或丢失。

清算机构应当按照规定完善跨机构支付业务报文规则,支持本机构成员机构向客户提供合理必要的交易信息查询服务;对于同一交易由不同清算机构参与处理的情形,可由清算机构自行协商或者会同支付行业自律组织建立交易信息关联和查询机制;明确成员机构使用交易信息的用途,确保信息使用符合法律法规规定,禁止利用交易信息开展不公平竞争;建立成员机构报文传输行为评估机制,对于存在漏报、错报、伪造交易信息等行为的成员机构,清算机构应当采取限期整改、延迟业务清算、降低业务额度、暂停交易等必要风险防范措施。

(二)交易信息核对。清算机构应当会同收单机构核对交易信息和支付受理终端、特约商户入网信息的一致性,发现支付受理终端序列号、收单机构代码、特约商户编码、交易位置等信息不一致的,应当要求收单机构进行风险排查,并反馈排查结果。对于未按期反馈排查结果的收单机构,清算机构应当采取限期整改、延迟业务清算、降低业务额度、暂停交易等必要风险防范措施,并将有关情况报告收单机构所在地中国人民银行分支机构。

(三)支付受理终端位置监测。收单机构应当运用支付受理终端定位技术,或采取与银行、支付机构、清算机构等为付款人提供付款扫码相关支付服务的机构(以下统称条码支付付款服务机构)开展联合监测等有效措施,监测实体特约商户支付受理终端的实际位置,并核验支付受理终端实际位置与登记布放地理位置(特约商户经营地址)的一致性。清算机构应当制定联合监测相关标准和规则,通过条码支付付款服务机构传输的付款人移动终端位置信息,或其他关于支付受理终端实际位置的推算方式,对支付受理终端位置进行核验。

对于无法确定实际位置,或实际位置与登记布放地理位置(特约商户经营地址)不符的支付受理终端,收单机构应当暂停支付受理终端业务功能,并立即核实;经查实特约商户存在风险的,应当暂停为特约商户提供收单服务;涉嫌违法犯罪的,应当及时向公安机关报案或举报。

(四)专项监测。收单机构应当针对特约商户类型、地域、交易特征等建立健全监测机制,并根据中国人民银行、支付行业自律组织和清算机构发布的风险提示调整监测指标、完善监测模型。对于个人收款条码、使用个人账户作为收单结算账户的特约商户和边境地区支付受理终端,应当进行专项监测。

(五)资金结算监测。清算机构开展支付机构备付金相关业务的,应当结合备付金风险监测工作,对特约商户实际收单结算账户与入网报送收单结算账户信息的一致性、资金结算业务和交易情况的匹配性进行监测。对于特约商户的实际收单结算账户与入网报送收单结算账户不一致、同一特约商户频繁变更收单结算账户、结算资金与交易情况不匹配等可疑情形,清算机构应当要求支付机构进行风险排查,并反馈排查结果。对于未按期反馈排查结果的支付机构,清算机构应当采取限期整改、延迟业务清算、降低业务额度、暂停交易等必要风险防范措施,并将有关情况报告收单机构所在地中国人民银行分支机构。

四、监督管理

 (一)中国人民银行分支机构应当切实履行属地监管职责,将本通知执行情况纳入业务检查重点,加大对违法违规行为的处罚力度。凡是涉及跨境赌博、电信网络诈骗等重大犯罪案件的,应当倒查银行、支付机构、清算机构执行本通知规定的情况。

 (二)银行、支付机构违反本通知规定,情节轻微的,由中国人民银行责令其限期整改;情节严重或逾期未改正的,按照《中华人民共和国中国人民银行法》有关规定予以处罚,并可以责令清算机构暂停为其提供转接清算服务。

(三)清算机构违反本通知规定,明知或应知成员机构违反本通知规定但未采取相应管理措施,情节轻微的,由中国人民银行责令其限期整改;情节严重或逾期未改正的,按照《中华人民共和国中国人民银行法》有关规定予以处罚。

五、附则

 (一)本通知自2022年3月1日起施行。

(二)清算机构应当会同成员机构对照本通知要求,制定存量支付受理终端管理、入网特约商户信息平台、支付受理终端位置监测等相关实施方案,并向中国人民银行报告实施方案及进展情况。

(三)中国支付清算协会应当发挥行业自律作用,按照本通知要求,建立健全相关行业自律规则。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存