第四章 风险管理
第三十三条银行、支付机构应建立全面风险管理体系和内部控制机制,提升风险识别能力,采取有效措施防范风险,及时发现、处理可疑交易信息及风险事件。
第三十四条银行、支付机构开展条码支付业务,应当评估业务相关的洗钱和恐怖融资风险,采取与风险水平相适应的管控措施。
第三十五条银行、支付机构应建立特约商户风险评级制度,综合考虑特约商户的区域和行业特征、经营规模、财务和资信状况等因素,对特约商户进行风险评级。
第三十六条银行、支付机构应结合特约商户风险等级及交易类型等因素,设置或与其约定单笔及日累计交易限额。
第三十七条银行、支付机构对风险等级较高的特约商户,应通过强化交易监测、建立特约商户风险准备金、延迟清算等风险管理措施,防范交易风险。
第三十八条银行、支付机构应建立特约商户检查、评估制度,根据特约商户的风险等级,制定不同的检查、评估频率和方式,并保留相关记录。
第三十九条银行、支付机构应制定突发事件应急预案,建立灾难备份系统,确保条码支付业务的连续性和业务系统安全运行。
第四十条银行、支付机构应能够有效识别本机构发行的客户端程序和特约商户受理终端,能够确保条码生成和识读过程的安全性。
第四十一条银行、支付机构应确保客户身份或账户信息安全,防止泄露,并根据收付款不同业务场景设置条码有效性和使用次数。
第四十二条银行、支付机构应建立条码支付交易风险监测体系,及时发现可疑交易,并采取阻断交易、联系客户核实交易等方式防范交易风险。
第四十三条银行、支付机构发现特约商户发生疑似套现、洗钱、恐怖融资、欺诈、留存或泄露账户信息等风险事件的,应对特约商户采取延迟资金结算、暂停交易、冻结账户等措施,并承担因未采取措施导致的风险损失责任;发现涉嫌违法犯罪活动的,应及时向公安机关报案。
第四十四条银行、支付机构应持续完善客户服务体系,及时受理和解决条码支付业务中的客户咨询、查询和投诉等问题,自觉维护客户的合法权益。
第四十五条银行、支付机构应充分披露条码支付业务产品类型、办理流程、操作规程、收费标准等信息,明确业务风险点及相关责任承担机制、风险损失赔付方式及操作方式。
第四十六条银行、支付机构应开展对客户的条码支付安全教育,提升其风险防范意识和应对能力。
第四十七条银行、支付机构应向中国支付清算协会、清算机构风险信息管理系统报送其条码支付特约商户风险信息。
银行、支付机构或其外包服务机构、条码支付特约商户发生涉嫌重大支付违法犯罪案件或重大风险事件的,应当于2个工作日内向中国人民银行或其分支机构报告。
第五章 附则
第四十八条采取自定义符号、图形、图像等作为信息载体传递交易信息用于支付服务的,参照本规范进行管理。
第四十九条本规范相关用语含义如下:
移动终端,指客户使用的、具有移动通讯功能,用于展示或识读条码,完成支付的终端设备。如手机、平板电脑等。
特约商户受理终端,指具有条码展示或识读等功能,参与条码支付完成销售收款的特约商户端专用设备。包括具有条码展示功能的显码设备;识读条码并且向后台系统发起支付指令的专用设备,包括但不限于带扫码装置的收银系统、销售点终端(POS)、自助终端等。
支付敏感信息,是指一旦遭到泄露或修改,会对标识的信息主体的信息安全和资金安全造成危害的信息。包括但不限于支付密码、银行卡密码、验证码、卡片有效期、生物特征以及未获客户授权的金融信息。
第五十条本规范自2018年4月1日起实施。
(原标题:中国人民银行关于印发《条码支付业务规范(试行)》的通知)
