条码支付业务规范（试行）-移动支付网.PDF

条码支付业务规范（试行） 第一章 总 则 第一条 为规范条码（二维码）支付（以下简称条码支付）业务，保护消费者合法权益，促 进条码支付业务健康发展，根据《电子支付指引(第一号)》（中国人民银行公告〔2005 〕第 23 号公布）、《非金融机构支付服务管理办法》（中国人民银行公告〔2010 〕第2 号公布）、《银 行卡收单业务管理办法》（中国人民银行公告〔2013 〕第9 号公布）、《非银行支付机构网络 支付业务管理办法》（中国人民银行公告〔2015 〕第43 号公布）等规定，制定本规范。 第二条 本规范所称条码支付业务是指银行业金融机构（以下简称银行）、非银行支付机构（以 下简称支付机构）应用条码技术，实现收付款人之间货币资金转移的业务活动。 条码支付业务包括付款扫码和收款扫码。付款扫码是指付款人通过移动终端识读收款人展示 的条码完成支付的行为。收款扫码是指收款人通过识读付款人移动终端展示的条码完成支付 的行为。 第三条 银行、支付机构开展条码支付业务应遵循本规范。 第四条 支付机构开展条码支付业务，应按规定取得相应的业务许可,并按相应管理办法规范 开展业务。 第五条 支付机构不得基于条码技术，从事或变相从事证券、保险、信贷、融资、理财、担 保、信托、货币兑换、现金存取等业务。 第六条 银行、支付机构开展条码支付业务应遵守客户实名制管理规定；遵守反洗钱法律法 规要求，履行反洗钱和反恐怖融资义务；依法维护客户及相关主体的合法权益。 第七条 银行、支付机构应自觉遵守商业道德，不得以任何形式诋毁其他市场主体的商业信 誉，不得采用不正当竞争手段排挤竞争对手、损害其他市场主体利益，破坏市场公平竞争秩 序。 第八条 银行、支付机构应遵守中国人民银行发布的相关技术标准与规范要求，保证条码支 付业务的交易安全和信息安全。 第二章 条码生成和受理 第九条 银行、支付机构开展条码支付业务，应将客户用于生成条码的银行账户或支付账户、 身份证件号码、手机号码进行关联管理。 第十条 银行、支付机构开展条码支付业务,可以组合选用下列三种要素，对客户条码支付交 易进行验证： （一）仅客户本人知悉的要素，如静态密码等； （二）仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数 字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等； （三）客户本人生物特征要素，如指纹等。 银行、支付机构应当确保采用的要素相互独立，部分要素的损坏或者泄露不应导致其他要 素损坏或者泄露。 第十一条 采用数字证书、电子签名作为验证要素的，数字证书及生成电子签名的过程应符 合相关规定，应确保数字证书的唯一性、完整性及交易的不可抵赖性。 采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同 物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。 采用客户本人生物特征作为验证要素的，应当符合国家、金融行业标准和相关信息安全管理 要求，防止被非法存储、复制或重放。 第十二条 银行、支付机构应根据《条码支付安全技术规范（试行）》（银办发〔2017 〕242 号）关于风险防范能力的分级，对个人客户的条码支付业务进行限额管理： （一）风险防范能力达到A 级，即采用包括数字证书或电子签名在内的两类（含）以上有 效要素对交易进行验证的，可与客户通过协议自主约定单日累计限额； （二）风险防范能力达到B 级，即采用不包括数字证书、电子签名在内的两类（含）以上有 效要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超 过5000 元； （三）风险防范能力达到C 级，即采用不足两类要素对交易进行验证的，同一客户单个银行 账户或所有支付账户单日累计交易金额应不超过1000 元； （四）风险防范能力达到D 级，即使用静态条码的，同一客户单个银行账户或所有支付账 户单日累计交易金额应不超过500 元。 第十三条 支付机构向客户开户银行发送支付指令，扣划客户银行账户资金的，同一客户全 部银行账户合计日累计交易限额执行第十二条的规定。 第十四条 银行、支付机构提供付款扫码服务的，应具备差异化的风控措施和完善的客户权 益受损解决机制，在条码生成、识读、支付等核心业务流程中明确提示客户支付风险，切实 防范不法分子通过在条码中植入木马、病毒等方式造成客户信息泄露和资金损失。 第十五条 银行、支付机构提供收款扫码服务的，应使用动态条码，设置条码有效期、使用 次数等方式，防止条码被重复使用导致重复扣款，确保条码真实有效。