央行:个人静态收款条码原则上禁止用于远程非面对面收款
IT之家 10 月 14 日消息,10 月 13 日,央行发布《关于加强支付受理终端及相关业务管理的通知》(以下简称《通知》),就支付受理终端业务管理、特约商户管理、收单业务监测等方面提出具体要求,并自 2022 年 3 月 1 日起施行。
针对近年来得到广泛运用的个人收款条码,《通知》明确,对具有明显经营特征的个人收款条码用户参照特约商户管理,要求为此类个人用户提供商户收款条码。另外,个人静态收款条码原则上禁止用于远程非面对面收款,确有必要的实行白名单管理,以防止个人静态收款条码被出售、出租、出借用于搭建赌博活动线上充值通道。
央行表示,《通知》总体上有助于更好保护消费者合法权益。长远来看,《通知》关于规范个人收款码的相关要求将进一步提升对个人经营者和小微商户的收单服务质量。
IT之家附通知全文:
中国人民银行关于加强支付受理终端及相关业务管理的通知(银发〔2021〕259 号)
中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;各国有商业银行,中国邮政储蓄银行,各股份制商业银行;各非银行支付机构;中国银联股份有限公司、中国支付清算协会、网联清算有限公司、连通(杭州)技术服务有限公司:
为加强支付受理终端及相关业务管理,维护支付市场秩序,保护消费者合法权益,现就有关事项通知如下:
一、支付受理终端业务管理
(一)银行卡受理终端及相关业务。
1.银行卡受理终端生产与登记管理。1 台银行卡受理终端只能对应 1 个受理终端序列号。清算机构、收单机构应当按照《中国人民银行关于强化银行卡受理终端安全管理的通知》(银发〔2017〕21 号)规定,对银行卡受理终端采取密码识别技术等有效手段,确保银行卡受理终端序列号不被篡改。
清算机构应当建立健全银行卡受理终端注册管理平台(以下简称管理平台),要求银行卡受理终端合作生产厂商(以下简称合作生产厂商)向管理平台报送银行卡受理终端序列号及序列号密钥、对应的银行业金融机构(以下简称银行)和非银行支付机构(以下简称支付机构)等收单机构名称。
清算机构应当建立合作生产厂商评估管理机制。对于未按要求生产银行卡受理终端、报送银行卡受理终端序列号登记信息,或存在参与违法违规活动等情形的合作生产厂商,清算机构应当采取要求其限期整改、降低评估等级直至停止合作等措施。
清算机构可以自行或委托其他机构建立管理平台、评估管理合作生产厂商。
2.银行卡受理终端入网管理。1 台银行卡受理终端只能对应 1 个特约商户。收单机构应当建立银行卡受理终端序列号与下述 5 要素信息的关联对应关系,在办理银行卡受理终端入网时将相关信息报送至清算机构,并确保该关联对应关系在支付全流程中的一致性和不可篡改性:
(1)收单机构代码;
(2)特约商户(含小微商户,即依据法律法规和相关监管规定免于办理工商注册登记的实体特约商户,下同)编码;
(3)特约商户统一社会信用代码(小微商户为其主要负责人有效身份证件号码,下同);
(4)特约商户收单结算账户;
(5)银行卡受理终端布放地理位置。
清算机构应当及时核验收单机构报送的银行卡受理终端入网信息和合作生产厂商报送的银行卡受理终端登记信息,核验不一致的不得入网。
原则上银行卡受理终端应当具备定位功能。对于不具备定位功能的银行卡受理终端,收单机构应当确保其被用于特约商户固定经营场所和合法合规用途。
3.银行卡受理终端退出管理。因收单机构与特约商户收单服务协议终止,或特约商户申请停用银行卡受理终端的,收单机构应当及时关闭银行卡受理终端业务功能,并收回银行卡受理终端。对确实无法收回的,应当确保银行卡受理终端业务功能持续处于关闭状态。
收单机构应当在关闭银行卡受理终端业务功能后 2 日内,将银行卡受理终端注销信息报送至清算机构。清算机构应当自收到银行卡受理终端注销信息之日起,停止为该银行卡受理终端发起的业务提供转接清算服务,直至该银行卡受理终端按规定重新入网。
4.存量银行卡受理终端改造或更换管理。对于本通知发布前已办理入网,但不符合本通知规定的银行卡受理终端,收单机构应当按照清算机构规则限期进行改造或更换。
清算机构应当按照审慎原则制定本机构入网银行卡受理终端改造或更换规则,要求收单机构限期完成对相关银行卡受理终端的改造或更换;逾期未完成的,应当暂停为相关银行卡受理终端发起的业务提供转接清算服务。
(二)条码支付受理终端及相关业务。
1.条码支付受理终端管理。对于具备采集多项支付信息和参与发起支付指令等功能的条码支付受理终端,清算机构、收单机构应当参照银行卡受理终端相关规定建立健全管理规则,并对不符合规则的存量条码支付受理终端限期进行改造或更换。收单机构应当按照本通知相关规定建立并报送条码支付受理终端序列号与相应 5 要素信息的关联对应关系,并确保该关联对应关系在支付全流程中的一致性和不可篡改性。
原则上条码支付受理终端应当具备定位功能。对于不具备定位功能的条码支付受理终端,收单机构应当确保其被用于特约商户固定经营场所和合法合规用途。
2.条码支付辅助受理终端管理。对于仅具备条码读取或展示功能、不参与发起支付指令的条码支付扫码设备、显码设备和静态条码展示介质等条码支付辅助受理终端,收单机构应当建立特约商户编码与下述 4 要素信息的关联对应关系,并确保该关联对应关系在支付全流程中的一致性和不可篡改性:
(1)收单机构代码;
(2)特约商户统一社会信用代码;
(3)特约商户收单结算账户;
(4)条码支付辅助受理终端布放地理位置。
3.收款条码管理。对于为个人或特约商户等收款人生成的,用于付款人识读并发起支付指令的收款条码,银行、支付机构、清算机构等为收款人提供收款条码相关支付服务的机构(以下统称条码支付收款服务机构)应当制定收款条码分类管理制度,有效区分个人和特约商户使用收款条码的场景和用途,防范收款条码被出租、出借、出售或用于违法违规活动。对于具有明显经营活动特征的个人,条码支付收款服务机构应当为其提供特约商户收款条码,并参照执行特约商户有关管理规定,不得通过个人收款条码为其提供经营活动相关收款服务。
条码支付收款服务机构应当采取有效措施禁止个人静态收款条码被用于远程非面对面收款。确有必要进行远程非面对面收款的,条码支付收款服务机构应当对相应收款人实行白名单管理,并审慎确定白名单准入条件与规模、个人静态收款条码的有效期、使用次数和交易限额。对于通过截屏、下载等方式保存的个人动态收款条码,应当参照执行个人静态收款条码有关规定。
(三)创新支付受理终端等相关业务。收单机构、清算机构采用创新支付受理终端的,应当按照《中国人民银行关于规范支付创新业务的通知》(银发〔2017〕281 号)规定,至少提前 30 日向中国人民银行或其分支机构报告。
鼓励收单机构为特约商户提供支持银行卡支付、条码支付等多种支付方式的支付受理终端。收单机构不得引导特约商户拒绝受理任何合法的支付方式。
二、特约商户管理
(一)信息核实。收单机构应当在初始拓展特约商户,以及与特约商户业务存续期间,采取有效方式核实特约商户身份信息。对于有固定经营场所的实体特约商户,应当通过现场面对面方式核实。对于无固定经营场所的实体特约商户和网络特约商户,原则上应当通过人工或智能客服同步视频等方式核实。对于通过电子商务平台开展经营活动的网络特约商户,收单机构在确保履行收单业务管理主体责任的前提下,可以由电子商务平台辅助核实特约商户身份信息。
信息核实过程中,收单机构应当以显著方式向特约商户法定代表人、负责人或其被授权人提示出租、出借、出售支付受理终端(含条码支付辅助受理终端,下同)、收款条码、网络支付接口和收单结算账户的风险及责任。特约商户收单结算账户设置为非同名账户的,收单机构应当对特约商户与非同名账户开户人是否存在同一品牌连锁经营、集团化管理等合法资金管理关系进行审核,并对非同名账户的开户人进行身份识别和意愿核实。
收单机构应当自本通知发布之日起 1 年内完成全部存量特约商户身份信息核实工作,形成工作报告备查。
(二)信息平台。清算机构应当建立健全本机构入网特约商户信息平台,对收单机构与入网特约商户、支付受理终端的关联关系和收单交易风险进行必要监测。信息平台应当遵循最小必要原则采集收单机构代码、特约商户名称、特约商户统一社会信用代码、特约商户编码、支付受理终端类型及序列号、业务类型、收单结算账户、特约商户经营地址、支付受理终端(网络支付接口)的布放地理位置、联系方式等特约商户核心入网信息。收单机构应当于特约商户入网、变更、终止服务后 2 日内向清算机构报送上述信息。
(三)变更管理。特约商户申请变更收单结算账户、支付受理终端布放地理位置等信息的,收单机构应当在办理变更前重新核实特约商户身份信息。
清算机构应当对特约商户入网信息变更情况进行监测,发现同一特约商户频繁变更核心入网信息、经不同收单机构报送信息不一致、被收单机构多次清退或与其他特约商户经营地址和联系方式相同等可疑情形的,应当要求相关收单机构进行风险排查,并反馈排查结果。对于未按期反馈排查结果的收单机构,清算机构应当采取限期整改、延迟业务清算、降低业务额度、暂停交易等必要风险防范措施。
三、收单业务监测
(一)交易信息管理。银行、支付机构、清算机构应当建立交易信息分类分级管理规则,按照依法、审慎、必要和诚信原则处理客户交易信息,采取必要安全技术措施确保交易信息安全,防止交易信息泄露、被篡改或丢失。
清算机构应当按照规定完善跨机构支付业务报文规则,支持本机构成员机构向客户提供合理必要的交易信息查询服务;对于同一交易由不同清算机构参与处理的情形,可由清算机构自行协商或者会同支付行业自律组织建立交易信息关联和查询机制;明确成员机构使用交易信息的用途,确保信息使用符合法律法规规定,禁止利用交易信息开展不公平竞争;建立成员机构报文传输行为评估机制,对于存在漏报、错报、伪造交易信息等行为的成员机构,清算机构应当采取限期整改、延迟业务清算、降低业务额度、暂停交易等必要风险防范措施。
(二)交易信息核对。清算机构应当会同收单机构核对交易信息和支付受理终端、特约商户入网信息的一致性,发现支付受理终端序列号、收单机构代码、特约商户编码、交易位置等信息不一致的,应当要求收单机构进行风险排查,并反馈排查结果。对于未按期反馈排查结果的收单机构,清算机构应当采取限期整改、延迟业务清算、降低业务额度、暂停交易等必要风险防范措施,并将有关情况报告收单机构所在地中国人民银行分支机构。
(三)支付受理终端位置监测。收单机构应当运用支付受理终端定位技术,或采取与银行、支付机构、清算机构等为付款人提供付款扫码相关支付服务的机构(以下统称条码支付付款服务机构)开展联合监测等有效措施,监测实体特约商户支付受理终端的实际位置,并核验支付受理终端实际位置与登记布放地理位置(特约商户经营地址)的一致性。清算机构应当制定联合监测相关标准和规则,通过条码支付付款服务机构传输的付款人移动终端位置信息,或其他关于支付受理终端实际位置的推算方式,对支付受理终端位置进行核验。
对于无法确定实际位置,或实际位置与登记布放地理位置(特约商户经营地址)不符的支付受理终端,收单机构应当暂停支付受理终端业务功能,并立即核实;经查实特约商户存在风险的,应当暂停为特约商户提供收单服务;涉嫌违法犯罪的,应当及时向公安机关报案或举报。
(四)专项监测。收单机构应当针对特约商户类型、地域、交易特征等建立健全监测机制,并根据中国人民银行、支付行业自律组织和清算机构发布的风险提示调整监测指标、完善监测模型。对于个人收款条码、使用个人账户作为收单结算账户的特约商户和边境地区支付受理终端,应当进行专项监测。
(五)资金结算监测。清算机构开展支付机构备付金相关业务的,应当结合备付金风险监测工作,对特约商户实际收单结算账户与入网报送收单结算账户信息的一致性、资金结算业务和交易情况的匹配性进行监测。对于特约商户的实际收单结算账户与入网报送收单结算账户不一致、同一特约商户频繁变更收单结算账户、结算资金与交易情况不匹配等可疑情形,清算机构应当要求支付机构进行风险排查,并反馈排查结果。对于未按期反馈排查结果的支付机构,清算机构应当采取限期整改、延迟业务清算、降低业务额度、暂停交易等必要风险防范措施,并将有关情况报告收单机构所在地中国人民银行分支机构。
四、监督管理
(一)中国人民银行分支机构应当切实履行属地监管职责,将本通知执行情况纳入业务检查重点,加大对违法违规行为的处罚力度。凡是涉及跨境赌博、电信网络诈骗等重大犯罪案件的,应当倒查银行、支付机构、清算机构执行本通知规定的情况。
(二)银行、支付机构违反本通知规定,情节轻微的,由中国人民银行责令其限期整改;情节严重或逾期未改正的,按照《中华人民共和国中国人民银行法》有关规定予以处罚,并可以责令清算机构暂停为其提供转接清算服务。
(三)清算机构违反本通知规定,明知或应知成员机构违反本通知规定但未采取相应管理措施,情节轻微的,由中国人民银行责令其限期整改;情节严重或逾期未改正的,按照《中华人民共和国中国人民银行法》有关规定予以处罚。
五、附则
(一)本通知自 2022 年 3 月 1 日起施行。
(二)清算机构应当会同成员机构对照本通知要求,制定存量支付受理终端管理、入网特约商户信息平台、支付受理终端位置监测等相关实施方案,并向中国人民银行报告实施方案及进展情况。
(三)中国支付清算协会应当发挥行业自律作用,按照本通知要求,建立健全相关行业自律规则。
中国人民银行
2021 年 10 月 13 日
【 更多阅读】
中国人民银行有关部门负责人就《中国人民银行关于加强支付受理终端及相关业务管理的通知》答记者问
日前,中国人民银行发布了《中国人民银行关于加强支付受理终端及相关业务管理的通知》(以下简称《通知》)。中国人民银行有关部门负责人就《通知》回答了记者提问。
Q:《通知》出台的背景是什么?
A:支付受理终端涉及支付信息的读取、采集和支付指令的生成,其安全性和合规性对保障支付信息与资金安全具有重要意义。人民银行高度重视支付受理终端相关风险防范工作,先后发布银行卡收单业务、受理终端安全、条码支付业务等系列制度,对维护收单市场秩序、保护社会公众信息与资金安全发挥了积极作用。
与此同时,支付受理终端及相关业务管理也面临一些新问题、新挑战。例如,部分市场主体变造交易的手段不断翻新,通过擅自更改终端交易路由、商户编码、商户名称、交易地址等方式隐藏违规交易,导致交易信息难以还原真实消费场景,不仅侵犯消费者合法权益、引发投诉纠纷,还为不法分子借道转移违法犯罪资金带来可乘之机。还有一些不法分子利用收款条码转移赌资,为跨境赌博活动提供支付通道。为有效提升支付受理终端及相关业务风险管理水平,有力斩断跨境赌博等犯罪“资金链”,保障社会公众利益,人民银行在深入调研、广泛征求各方意见的基础上制定了《通知》。
Q:《通知》对银行卡受理终端有哪些管理要求?收单机构、清算机构为什么均需对受理终端进行管理?
A:《通知》围绕银行卡受理终端全生命周期管理,要求收单机构建立终端序列号与收单机构代码、特约商户编码、特约商户统一社会信用代码、特约商户收单结算账户、银行卡受理终端布放地理位置等五要素关联对应关系,并确保该关联对应关系在支付全流程的一致性和不可篡改性。围绕上述要求,立足支付市场主体不同职责,建立多层次规范机制,形成各司其职、多方共治的管理体系。
一方面,秉承“谁的终端谁负责”,压实收单机构关于收单业务的主体责任。收单机构应建立终端序列号与五要素关联对应关系,受理终端使用期间变更任一要素的,应重新履行相关审核手续。收单机构应采用具备密码识别技术的银行卡受理终端,确保终端发起交易可被准确追溯。
另一方面,秉承“谁的网络谁负责”,压实清算机构关于本网络秩序的维护责任。清算机构应组织成员机构对本网络入网终端进行全面梳理、评估,对不符合通知要求的终端按照风险评级限期清退或升级改造。同时,建立入网银行卡受理终端注册管理平台,会同成员收单机构在终端入网、变更、监测、退出等环节,对终端序列号与五要素关联对应关系进行全生命周期管理。一旦监测发现相关要素与原绑定关系不一致的,清算机构、收单机构应采取风险核查与处置措施,有效防范“移机”“套码”等风险。考虑同一终端可能入网多家清算机构,为避免重复建设,清算机构可自建或委托其他机构代为建立管理平台,但其主体责任不因委托关系而转移。被委托机构范围包括其他清算机构、行业自律组织、第三方专业机构等,具体对象及模式由清算机构自主确定。
Q:《通知》对条码支付受理终端提出了哪些管理要求?
A:《通知》遵循同类业务同等标准的原则,结合条码支付受理终端与传统银行卡受理终端的异同点,对特约商户的条码支付受理终端实施分类管理。对于与传统银行卡受理终端类似,可采集主要支付信息、参与发起支付指令的条码支付受理终端,如卡码复合智能终端等,执行与银行卡受理终端同等的监管要求。对于仅具备条码读取或展示功能、不参与发起支付指令的条码支付辅助受理终端,如扫码枪或盒子、显码设备、静态码牌等,考虑条码支付的普惠性,要求通过建立商户与收单核心要素对应关联关系、加强监测手段等方式强化风险防控。此外,对于不具备定位功能的条码支付辅助受理终端,要求通过付款人的交易位置或其他关于移动终端实际位置的推算方式进行终端交易位置监测,防范终端滥用风险。考虑实施前述监测需收单侧、账户侧机构进行合作衔接,要求由清算机构会同收单侧、账户侧成员机构建立终端位置联合监测标准和规则,在采取加密、去标识化等必要安全技术措施确保信息安全的前提下,共同确定核验频率、标准、模式等操作路径。
Q:《通知》如何规范个人收款条码?
A:近年来,个人收款条码得到广泛运用,有效满足了社会公众的个性化、多样化支付需求,提高了小微经济、地摊经济的资金收付效率。但与此同时,个人收款条码也存在一些风险隐患。例如,部分机构使用个人收款条码转账业务办理大量生产经营、生活消费交易,既混淆了交易性质,导致交易信息失真,影响风险监测效果,也不利于借助支付服务为经营活动赋能增值。还有一些不法分子利用“跑分平台”,以高额收益为饵吸引大量人员使用个人静态收款条码与赌客“点对点”线上远程转移赌资,将赌资分拆隐藏于众多正常交易场景,扰乱了条码支付业务正常秩序,影响了涉赌“资金链”追溯机制的实效。
为在防范风险的前提下更好发挥收款条码的普惠性、便利性,《通知》提出以下针对性要求。一是对具有明显经营特征的个人收款条码用户参照特约商户管理,要求为此类个人用户提供商户收款条码,提升对个人经营者的收单服务质量。二是要求个人静态收款条码原则上禁止用于远程非面对面收款,确有必要的实行白名单管理,以防止个人静态收款条码被出售、出租、出借用于搭建赌博活动线上充值通道。三是对通过截屏、下载等方式保存的个人动态收款条码参照执行个人静态收款条码有关要求,以防止不法分子借助个人动态收款条码规避政策要求。四是要求审慎确定个人静态收款条码白名单准入条件与规模、个人静态收款条码的有效期、使用次数和交易限额,防范白名单滥用风险。
为了确保个人收款条码相关要求有效落地、业务平稳过渡,《通知》设置了过渡期,要求支付服务主体全面、充分评估客户正常支付需求,制定配套服务解决方案,做好客户引导和服务工作,确保服务成本不升、质量不降。
Q:《通知》对特约商户管理提出了哪些要求?收单机构、清算机构为什么均需对特约商户进行管理?
A:特约商户实名制是收单业务的基础性制度,是确保交易真实性、维护收单市场秩序、防范违法犯罪活动的重要保障。《通知》秉承“谁的商户谁负责”,收单机构作为特约商户管理的第一责任主体,应加强对特约商户经营活动合法性、申请收单服务真实意愿的实质性审核,落实对特约商户的持续性管理义务,并进一步明确了商户身份审核方式:对于具有固定经营场所的实体特约商户,要求收单机构应现场核实商户身份;对于网络特约商户、无固定经营场所实体特约商户,考虑到其现场核实难度大、成本高,要求收单机构原则上通过人工或智能客服同步视频等方式核实商户身份。
同时,《通知》立足“谁的网络谁负责”,要求清算机构建立入网特约商户信息平台,并遵循最小必要原则采集特约商户核心入网信息,对成员机构接入本网络的特约商户的真实性、安全性和合法合规性进行必要审慎管理,对成员机构与入网特约商户、支付受理终端的关联关系和收单交易风险进行持续监测。清算机构收集和使用的商户信息限于上述特定目的范围,不得过度收集或使用信息。
Q:《通知》对消费者和小微商户有哪些影响?
A:《通知》总体上有助于更好保护消费者合法权益。一方面,《通知》从多主体、多维度进一步规范支付受理终端与特约商户管理,有利于防范不法分子通过改造支付受理终端、申请虚假商户等手段盗取消费者个人信息,甚至盗用账户资金;另一方面,《通知》要求清算机构完善支付业务报文规则,支持本机构成员机构满足客户必要合理的交易信息查询需求,有利于提升银行、支付机构的对账单、交易信息查询等服务质量,充分保障消费者知情权,减少相关纠纷和投诉。
长远来看,《通知》关于规范个人收款码的相关要求将进一步提升对个人经营者和小微商户的收单服务质量。对于具有明显经营活动特征的个人收款码用户,《通知》要求收单机构参照特约商户管理。个人经营者和小微商户配合收单机构完成商户入网程序之后,收单机构应当按照商户服务标准提供支付服务,按规定建立商户与收单结算账户等要素信息关联对应关系,这有助于从源头防范外包机构挪用资金、大商户“二清”等风险,有助于更好地保障个人经营者和小微商户的资金安全和服务体验。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。