条码支付业务规范(试行).docVIP

条码支付业务规范(试行)

中国人民银行关于印发《条码支付业务规范（试行）》的通知

银发〔2017〕296号

中国人民银行上海总部,各分行、营业管理部,各省会（首府）城市中心支行,各副省级城市中心支行；各国有商业银行、股份制商业银行,中国邮政储蓄银行；各非银行支付机构；中国银联股份有限公司,中国支付清算协会,网联清算有限公司：

为规范条码支付业务，保护消费者合法权益，维护市场公平竞争环境，促进移动支付业务健康可持续发展，现将《条码支付业务规范（试行）》（附件）印发给你们，并将有关工作要求通知如下，请一并遵照执行。

一、严格遵循业务资质及清算管理要求

非银行支付机构（以下简称支付机构）向客户提供基于条码技术的付款服务的，应当取得网络支付业务许可；支付机构为实体特约商户和网络特约商户提供条码支付收单服务的，应当分别取得银行卡收单业务许可和网络支付业务许可。

银行业金融机构（以下简称银行）、支付机构开展条码支付业务涉及跨行交易时，应当通过人民银行跨行清算系统或者具备合法资质的清算机构处理。自本通知发布之日起，银行、支付机构不得新增不同法人机构间直连处理条码支付业务；存量业务应按照人民银行有关规定加快迁移到合法清算机构处理。

二、规范条码支付收单业务管理

条码支付收单业务，是指收单机构与特约商户签订受理协议，在特约商户按约定受理基于条码技术的支付方式并与付款人达成交易后，为特约商户提供交易资金结算服务的行为。银行和支付机构在为特约商户提供条码支付收单服务时，应执行《银行卡收单业务管理办法》（中国人民银行公告〔2013〕第9号公布）、《中国人民银行关于加强银行卡收单业务外包管理的通知》（银发〔2015〕199号）等规定。银行、支付机构应当加强条码支付收单业务管理，严格遵守商户实名制、商户风险评级、交易风险监测等基本规定。为实体特约商户提供收单服务，应履行本地化经营、商户定期巡检责任；为网络特约商户提供收单服务，应强化对网络支付接口的使用管理和交易监测，采取有效的检查措施和技术手段对其经营内容和交易情况进行检查。银行、支付机构与外包服务机构开展条码支付业务合作的，应明确外包服务机构定位，加强管理，防范业务风险。

三、发挥行业自律作用

银行、支付机构从事条码支付业务，应接受中国支付清算协会行业自律管理。中国支付清算协会应将条码支付特约商户纳入协会特约商户信息管理系统管理；对条码支付外包服务机构，一并纳入中国支付清算协会银行卡收单外包服务机构评级体系管理。对被实名举报涉嫌违法违规开展条码支付业务的，中国支付清算协会应按照《支付结算违法违规行为举报奖励办法》（中国人民银行公告〔2016〕第7号公布）及其实施细则的相关要求进行处理。

四、加大监督检查力度

采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。

采用客户本人生物特征作为验证要素的，应当符合国家、金融行业标准和相关信息安全管理要求，防止被非法存储、复制或重放。

第十二条银行、支付机构应根据《条码支付安全技术规范（试行）》（银办发〔2017〕242号）关于风险防范能力的分级，对个人客户的条码支付业务进行限额管理：

（一）风险防范能力达到A级，即采用包括数字证书或电子签名在内的两类（含）以上有效要素对交易进行验证的，可与客户通过协议自主约定单日累计限额；

（二）风险防范能力达到B级，即采用不包括数字证书、电子签名在内的两类（含）以上有效要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元；

（三）风险防范能力达到C级，即采用不足两类要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元；

（四）风险防范能力达到D级，即使用静态条码的，同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。

第十三条支付机构向客户开户银行发送支付指令，扣划客户银行账户资金的，同一客户全部银行账户合计日累计交易限额执行第十二条的规定。

第十四条银行、支付机构提供付款扫码服务的，应具备差异化的风控措施和完善的客户权益受损解决机制，在条码生成、识读、支付等核心业务流程中明确提示客户支付风险，切实防范不法分子通过在条码中植入木马、病毒等方式造成客户信息泄露和资金损失。

第十五条银行、支付机构提供收款扫码服务的，应使用动态条码，设置条码有效期、使用次数等方式，防止条码被重复使用导致重复扣款，确保条码真实有效。

第十六条银行、支付机构开展条码支付业务所涉及的业务系统、客户端软件、受理终端(网络支付接口)等，应当持续符合监管部门及行业标准要求，确保条码生成和识读过程的安全性、真实性和完整性。

第十七条银行、支付机构应按照中国人民