電子支付指引（征求意見稿）

　　第一章 總則

　　第一條 為規范和引導電子支付業務的健康發展，保障電子支付業務中當事人的合法權益，防范電子支付業務風險，確保銀行和客戶資金的安全，根據《中華人民共和國電子簽名法》、《支付結算辦法》等法規制度，制定本指引。

　　第二條 在中華人民共和國境內的電子支付活動，適用本指引。

　　本指引所稱電子支付是指單位、個人(以下簡稱客戶)通過電子終端，直接或間接向銀行業金融機構(以下簡稱銀行)發出支付指令，實現貨幣支付與資金轉移。

　　電子支付的業務類型按電子支付指令發起方式分為網上支付、電話支付、移動支付、銷售點終端交易、自動柜員機交易和其他電子支付。

　　第三條 銀行和客戶的電子支付行為應當遵守國家有關法律、行政法規的規定，不得損害他人和社會公共利益。

　　第四條 電子支付指令與紙質支付憑證可以相互轉換，兩者具有同等效力。

　　第五條 客戶辦理電子支付業務應在銀行開立銀行賬戶(以下簡稱賬戶)，賬戶的開立和使用應符合《人民幣銀行結算賬戶管理辦法》、《境內外匯賬戶管理規定》等規定。

　　第六條 本指引下列用語的含義為：

　　(一)"發起行"，是指發起電子支付指令的客戶的開戶銀行；

　　(二)"接收行"，是指電子支付指令接收人的開戶銀行。接收人未在銀行開立賬戶的，指電子支付指令確定的資金匯入銀行；

　　(三)"轉發人"，是指發起行和接收行以外，有資格從事接收、傳送電子支付指令或有關電子支付數據交換的機構；

　　(四)"電子終端"，是指客戶可用以發起電子支付指令的計算機、電話、銷售點終端、自動柜員機和其他電子設備；

　　(五)"電子支付指令"，是指客戶通過電子終端發出的，要求其開戶銀行無條件支付可確定金額的貨幣給確定接收人的命令。

　　第二章 電子支付業務的申請

　　第七條 銀行應根據審慎性原則，確定辦理電子支付業務客戶的條件。

　　第八條 辦理電子支付業務的銀行應公開披露以下信息：

　　(一)銀行名稱、營業地址及聯系方式；

　　(二)所提供的電子支付業務種類和收費標準等；

　　(三)客戶辦理電子支付業務的條件；

　　(四)明示電子支付交易可能產生的風險，提醒客戶妥善保管電子支付交易存取工具(如卡、密碼、密鑰、電子簽名制作數據等)的警示性信息；

　　(五)爭議及差錯處理辦法。

　　第九條 銀行應認真審核客戶申請辦理電子支付業務的基本資料，并以書面或電子方式與客戶簽訂協議。

　　銀行應按會計檔案的管理要求妥善保存客戶的申請資料，保存期限至該客戶撤銷電子支付業務后5年。

　　第十條 銀行為客戶辦理電子支付業務，應根據客戶性質、電子支付業務類型、支付金額等，與客戶約定適當的安全認證方式，如密碼、密鑰、數字證書、電子簽名等。

　　安全認證方式的約定和使用應遵循《中華人民共和國電子簽名法》、《商用密碼管理條例》等法律法規的規定。

　　第十一條 銀行要求客戶提供有關資料信息時，應告知客戶所提供信息的使用目的和范圍、安全保護措施、以及客戶未提供或未真實提供相關資料信息的后果。

　　第十二條 申請辦理電子支付業務的客戶應在其按規定開立的賬戶中，指定辦理電子支付業務的賬戶。該賬戶也可用于辦理其他支付結算業務。

　　客戶未指定的賬戶不得辦理電子支付業務。

　　第十三條 客戶與銀行簽訂的電子支付協議應包括以下內容：

　　(一)客戶指定辦理電子支付業務的賬戶名稱和賬號；

　　(二)客戶應保證辦理電子支付業務賬戶的支付能力；

　　(三) 雙方約定的電子支付業務類型、交易規則、安全認證方式等；

　　(四)銀行對客戶提供的申請資料和其他信息的保密義務；

　　(五)銀行根據客戶要求提供交易記錄的時間和方式；

　　(六)爭議及差錯處理和損害賠償責任；

　　(七)雙方的其他權利和義務。

　　第十四條 有以下情形之一的，客戶應及時向銀行提出電子或書面申請：

　　(一)終止電子支付協議的；

　　(二)客戶基本資料發生變更的；

　　(三)約定的安全認證方式需要變更的；

　　(四)客戶與銀行約定的其他情形。

　　第十五條 客戶利用電子支付方式從事違反國家法律法規活動的，銀行應按照有權部門的規定停止為其辦理電子支付業務。

　　第三章 電子支付指令的發起和接收

　　第十六條 客戶應按照其與發起行或轉發人的協議規定，發起電子支付指令。

　　第十七條 電子支付指令的發起行或轉發人應建立必要的安全程序，對客戶身份和電子支付指令進行確認，并形成日志文件等記錄，按會計檔案的管理要求進行保存，保存期限至該客戶撤銷電子支付業務后5年。

　　第十八條 發起行或轉發人應采取有效措施，保證客戶發出電子支付指令前能夠對指令的準確性和完整性進行充分確認。

　　第十九條 發起行或轉發人應確保正確執行客戶的電子支付指令，對電子支付指令進行確認后，應能夠向客戶提供紙質或電子交易回單供客戶索取。

　　發起行或轉發人對客戶的電子支付指令執行后，客戶不得申請變更或撤銷電子支付指令。

　　第二十條 轉發人、發起行、接收行應確保電子支付指令傳遞的可跟蹤稽核和不可篡改。

　　第二十一條 轉發人、發起行、接收行之間應按照協議規定及時發送、轉發、接收和執行電子支付指令，并回復確認。

　　第二十二條 電子支付指令需轉換為紙質支付憑證的，其紙質支付憑證必須記載以下事項，具體格式由銀行確定：

　　(一) 發起行(或轉發人)名稱和簽章；

　　(二)付款人名稱、賬號；

　　(三)接收行名稱；

　　(四)收款人名稱、賬號；

　　(五)大寫金額和小寫金額；

　　(六)發起日期和交易序列號。

　　第四章 安全控制

　　第二十三條 銀行和轉發人開展電子支付業務采用的信息安全標準、技術標準、業務標準等應當符合有關規定。

　　第二十四條 銀行和轉發人應針對與電子支付業務活動相關的風險，建立有效的管理制度。

　　第二十五條 銀行應針對不同客戶，在電子支付業務類型、單筆支付金額和每日累計支付金額等方面做出合理限制。

　　銀行通過英特網提供網上支付業務，單位客戶與個人客戶之間的支付，其單筆金額不得超過5萬元。

　　第二十六條 銀行和轉發人應確保電子支付業務處理系統的安全性、交易數據的不可抵賴性、數據存儲的真實性、客戶身份的唯一性，并妥善管理在電子支付業務處理系統中使用的密碼、密鑰等安全認證數據。

　　第二十七條 銀行和轉發人使用客戶資料、交易記錄等，不得超出法律許可和客戶授權的范圍。

　　銀行、轉發人應依法對客戶的資料信息、交易記錄等保密。除國家法律、行政法規另有規定外，銀行、轉發人有權拒絕除客戶本人以外的任何單位或個人的查詢。

　　第二十八條 銀行應與客戶約定，及時或定期向客戶提供交易記錄、資金余額和賬戶狀態等信息。

　　第二十九條 銀行和轉發人應采取適當措施保護電子支付交易數據的完整性和可靠性：

　　(一)應制定相應的風險控制策略，防止電子支付業務處理系統發生有意或無意的危害數據完整性和可靠性的變化；應制定應急計劃和業務連續性計劃;

　　(二)電子支付交易與數據記錄程序的設計應保證發生擅自變更時能被有效偵測；

　　(三)電子支付交易數據在傳送、處理、存儲、使用和修改過程中應能有效防止被篡改；任何對電子支付交易數據的篡改都應能通過交易處理、監測和數據記錄功能被偵測；

　　(四)已完成的電子支付交易數據應按會計檔案要求妥善保存，保存期限為5年，并方便調閱。

　　第三十條 銀行和轉發人應采取適當措施為電子支付交易數據保密：

　　(一)對電子支付交易數據的訪問應經合理授權和確認；

　　(二)電子支付交易數據須以安全方式保存，并防止其在公共、私人或內部網絡上傳輸時被擅自查看或非法截取；

　　(三)當第三方通過外部關系獲取電子支付交易數據時，必須符合銀行關于數據使用和保護的標準與控制制度；

　　(四)對電子支付交易數據的訪問均須登記，并確保該登記不被篡改。

　　第三十一條 銀行和轉發人應確保對電子支付業務處理系統的操作人員、管理人員以及系統服務商有合理的授權控制：

　　(一)確保進入電子支付業務賬戶或敏感系統所需的安全認證數據免遭篡改和破壞。任何此類篡改都應是可偵測的，而且審計監督應能恰當地反映出這些篡改的企圖；

　　(二)對安全認證數據進行的任何查詢、添加、刪除或更改都應得到適當授權。

　　第三十二條 銀行和轉發人應采取有效措施保證電子支付業務處理系統中的職責分離：

　　(一)電子支付業務處理系統應經過測試，以確保職責分離；

　　(二)應在開發和管理經營電子支付業務處理系統的人員之間維持分離狀態；

　　(三)交易程序和內控制度的設計應能確保任何單個的雇員和外部服務供應商都無法獨立完成一項交易。

　　第三十三條 銀行可以根據有關規定將其部分電子支付業務外包給合法的專業化服務機構。

　　銀行應與開展電子支付業務相關的專業化服務機構簽訂協議，并確立一套綜合性、持續性的程序，以管理其外包關系。

　　第三十四條 銀行和轉發人采用數字證書或電子簽名方式進行客戶身份認證和交易授權的，應當由合法的第三方認證機構提供認證服務，以保證電子支付交易認證的公正性。

　　第三方認證機構應當依照《中華人民共和國電子簽名法》第二十八條規定承擔相應責任。

　　第三十五條 境內發生的人民幣電子支付交易信息處理及資金清算應在境內完成。

　　第三十六條 銀行和轉發人應具備有效的業務容量、業務連續性以及應急計劃。

　　第三十七條 銀行的電子支付業務處理系統應保證對電子支付交易信息進行完整的記錄和按有關法律法規進行披露。

　　第三十八條 銀行和轉發人應建立電子支付業務運作重大事項報告制度，及時向監管當局報告電子支付業務經營過程中發生的危及安全的事項。

　　第五章 差錯與責任

　　第三十九條 電子支付業務的差錯處理應遵守據實、準確和及時的原則。

　　第四十條 銀行和轉發人應指定相應部門和業務人員負責電子支付業務的差錯處理工作，并明確權限和職責。

　　第四十一條 銀行和轉發人應妥善保管電子支付業務的交易記錄，對電子支付業務的差錯應詳細備案登記，記錄內容應包括差錯時間、差錯記錄與處理部門及人員姓名、客戶資料、差錯影響或損失、差錯原因、處理結果等。

　　第四十二條 由于銀行和轉發人保管使用不當，造成客戶資料信息泄露、破壞，導致客戶資金受到損害，銀行和轉發人應負相應責任。

　　第四十三條 轉發人或銀行因自身系統、內控制度或按協議為其提供服務的第三方服務機構的原因造成電子支付指令無法按約定時間傳遞、傳遞不完整或被篡改的，應承擔相應責任。

　　因第三方服務機構造成損失的，轉發人或銀行可根據與第三方服務機構的協議進行追償。

　　第四十四條 接收行由于自身系統或內控制度等原因對電子支付指令未執行、未適當執行或遲延執行，致使客戶款項無法按協議約定處理時間準確入賬的，應承擔相應責任。

　　第四十五條 非資金所有人盜取他人存取工具發出電子支付指令，并且其身份認證和交易授權通過了發起行或轉發人的安全程序，發起行或轉發人對該指令進行處理所產生的后果不承擔責任，但應積極配合客戶查找原因，盡量減少客戶的損失。但下列情形除外：

　　(一)使用數字證書和電子簽名等作為安全認證方式的；

　　(二)因轉發人或銀行原因造成客戶安全認證數據被盜的。

　　第四十六條 使用數字證書和電子簽名等方式確定客戶身份和交易授權的，非資金所有人盜取他人存取工具發出電子支付指令，并且其身份認證和交易授權通過了發起行或轉發人的安全程序，如果該數字證書由合法的第三方認證服務機構提供，且第三方認證服務機構不能證明自己無過錯的，應承擔相應責任。

　　第四十七條 客戶的有關電子支付業務資料、存取工具被盜或遺失，應按約定方式和程序及時通知轉發人和銀行。

　　由于客戶未妥善保管電子支付交易存取工具，且未及時采取補救措施造成資金損失的，如轉發人或銀行在電子支付交易辦理過程中無過錯的，對此資金損失不承擔賠償責任。

　　第四十八條 客戶發現自身未按規定操作，或由于自身其他原因造成電子支付指令未執行、未適當執行、延遲執行的，應在協議約定的時間內按照約定程序和方式通知銀行或轉發人。銀行或轉發人不承擔責任，但應積極調查并告知客戶調查結果。

　　銀行和轉發人發現因客戶原因造成電子支付指令未執行、未適當執行、延遲執行的，應通知客戶改正或配合客戶采取補救措施。

　　第四十九條 客戶按規定已變更或撤銷指定辦理電子支付業務賬戶的，如銀行已確認該賬戶被變更或撤銷后，仍發生電子支付交易并造成資金損失，銀行應承擔全部責任。

　　第五十條 因不可抗力造成電子支付指令未執行、未適當執行、延遲執行的，銀行和轉發人不對客戶承擔賠償責任，但應當采取積極措施防止損失擴大。因該差錯取得不當得利的，應負有返還義務。

　　第六章 附則

　　第五十一條 本指引由中國人民銀行會同中國銀行業監督管理委員會負責解釋和修改。

　　第五十二條 本指引自發布之日起施行。