如何评价刚发布的《非银行支付机构网络支付业务管理办法》？

【标题】《非银行支付机构网络支付业务管理办法》

拿易到用车的钱包账户举例，

A.如果并不想申请支付牌照，则不受影响；

B.如果申请支付牌照，则需要参照此规定

第一章 总 则

解读：同标题，阐述办法目的和依据，针对非银机构

第二条 支付机构从事网络支付业务，适用本办法。

本办法所称收款人特定专属设备，是指专门用于交易收款，在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。

（一）为收付款人提供资金转移服务的主体是支付机构；

（二）支付指令的发起借助于计算机、移动终端等电子设备；

收款人特定专属设备是专门用于交易收款的电子设备，其在交易过程中与支付机构业务系统交互，并参与完成支付指令的生成、传输及处理。此类设备通常布放在收款人经营场所，付款人需亲临该经营场所完成支付。

收款人特定专属设备具体包括POS等传统受理终端，以及可生成、读取、识别条码（二维码）、声波、光线等信息传输介质并发起交易的新型受理设备。

本办法所称支付账户，是指获得互联网支付业务许可的支付机构，根据客户的真实意愿为其开立的，用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细信息的电子簿记。

支付账户不得透支，不得出借、出租、出售，不得利用支付账户从事或者协助他人从事非法活动。

第四条 支付机构基于银行卡为客户提供网络支付服务的，应当执行银行卡业务相关监管规定和银行卡行业规范。

支付机构对特约商户的拓展与管理、业务与风险管理应当执行《银行卡收单业务管理办法》（中国人民银行公告〔2013〕第9 号公布）等相关规定。

解读：关于反洗钱范恐怖规定，也明确非银支付机构需要按照【银行卡收单业务管理办法】执行。

第五条 支付机构依照中国人民银行有关规定接受分类评价，并执行相应的分类监管措施。

第二章 客户管理

第七条 支付机构应当与客户签订服务协议，约定双方责任、权利和义务，至少明确业务规则（包括但不限于业务功能和流程、身份识别和交易验证方式、资金结算方式等），收费项目和标准，查询、差错争议及投诉等服务流程和规则，业务风险和非法活动防范及处置措施，客户损失责任划分和赔付规则等内容。

解读：此条款规定需要充分告知用户内容和风险，有客户本着自愿开立、自担风险的原则申请开立支付账户

第三章 业务管理

第九条 支付机构不得经营或者变相经营证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。

解读：业务范围禁止性规定。

（一）支付机构应当事先或在首笔交易时自主识别客户身份并分别取得客户和银行的协议授权，同意其向客户的银行账户发起支付指令扣划资金；

（二）银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议，明确约定扣款适用范围和交易验证方式，设立与客户风险承受能力相匹配的单笔和单日累计交易限额，承诺无条件全额承担此类交易的风险损失先行赔付责任；

三、本办法允许符合条件的支付机构与银行自主约定由支付机构代替验证的具体情形，在坚持银行承担资金管理责任、保障客户权益的基础上，适度提高的灵活性（详见第三十七条）。

（三）对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户，或以非面对面方式通过至少五个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户，支付机构可以为其开立Ⅲ类支付账户，账户余额可以用于消费、转账以及购买投资理财等金融类产品，其所有支付账户的余额付款交易年累计不超过20 万元（不包括支付账户向客户本人同名银行账户转账）。

解读：1。规定了账户分为三类等级和三类等级认证条件、认证方式、账户使用累计额度。

第十二条 支付机构办理银行账户与支付账户之间转账业务的，相关银行账户与支付账户应属于同一客户。

支付机构应按照与客户的约定及时办理支付账户向客户本人银行账户转账业务，不得对Ⅱ类、Ⅲ类支付账户向客户本人银行账户转账设置限额。

解读：本条款明确支付机构基于预付卡办理网络支付业务的相关要求，对利用支付账户进行预付卡资金套现作出禁止性规定。

（二）收付款客户名称，收付款支付账户账号或者银行账户的开户银行名称及账号；

（三）付款客户的身份验证和交易授权信息；

（四）有效追溯交易的标识；

第十五条 因交易取消（撤销）、退货、交易不成功或者投资理财等金融类产品赎回等原因需划回资金的，相应款项应当划回原扣款账户。

解读：支付机构保存客户各项操作的要求。

第四章 风险管理与客户权益保护

支付机构应当根据客户风险评级、交易验证方式、交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间、商户类别等因素，建立交易风险管理制度和交易监测系统，对疑似欺诈、套现、洗钱、非法融资、恐怖融资等交易，及时采取调查核实、延迟结算、终止服务等措施。

第十八条 支付机构应当向客户充分提示网络支付业务的潜在风险，及时揭示不法分子新型作案手段，对客户进行必要的安全教育，并对高风险业务在操作前、操作中进行风险警示。

第十九条 支付机构应当建立健全风险准备金制度和交易赔付制度，并对不能有效证明因客户原因导致的资金损失及时先行全额赔付，保障客户合法权益。

支付机构应于每年1 月31 日前，将前一年度发生的风险事件、客户风险损失发生和赔付等情况在网站对外公告。支付机构应在年度监管报告中如实反映上述内容和风险准备金计提、使用及结余等情况。

解读：一、支付机构应参照《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17 号）等规定，切实做好客户信息安全保护工作。

第二十一条 支付机构应当通过协议约定禁止特约商户存储客户银行卡的磁道信息或芯片信息、验证码、有效期、密码等敏感信息，并采取定期检查、技术监测等必要监督措施。

特约商户违反协议约定存储上述敏感信息的，支付机构应当立即暂停或者终止为其提供网络支付服务，采取有效措施删除敏感信息、防止信息泄露，并依法承担因相关信息泄露造成的损失和责任。

第二十二条 支付机构可以组合选用下列三类要素，对客户使用支付账户余额付款的交易进行验证：

（二）仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等；

（三）客户本人生理特征要素，如指纹等。

解读：明确定义验证方式

第二十三条 支付机构采用数字证书、电子签名作为验证要素的，数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》（JR/T 0118-2015）等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖性。

解读：

一、支付机构采用的数字证书、电子签名应符合相关法律法规和技术标准。

三、生理特征要符合标准。

第二十四条 支付机构应根据交易验证方式的安全级别，按照下列要求对个人客户使用支付账户余额付款的交易进行限额管理：

（一）支付机构采用包括数字证书或电子签名在内的两类（含）以上有效要素进行验证的交易，单日累计限额由支付机构与客户通过协议自主约定；

解读：

一、对于余额账户限额做了单日累计限额规定

第二十五条 支付机构网络支付业务相关系统设施和技术，应当持续符合国家、金融行业标准和相关信息安全管理要求。如未符合相关标准和要求，或者尚未形成国家、金融行业标准，支付机构应当无条件全额承担客户直接风险损失的先行赔付责任。

解读：对于无行业标准领域支付机构要承担责任

第二十六条 支付机构应当在境内拥有安全、规范的网络支付业务处理系统及其备份系统，制定突发事件应急预案，保障系统安全性和业务连续性。

第二十七条 支付机构应当采取有效措施，确保客户在执行支付指令前可对收付款客户名称和账号、交易金额等交易信息进行确认，并在支付指令完成后及时将结果通知客户。

解读：要求在支付指令执行前的相关环节，需要向客户清晰展示交易信息。

第二十八条 支付机构应当通过具有合法独立域名的网站和统一的服务电话等渠道，为客户免费提供至少最近一年以内交易信息查询服务，并建立健全和纠纷投诉处理制度，配备专业部门和人员据实、准确、及时处理交易差错和客户投诉。支付机构应当告知客户相关服务的正确获取途径，指导客户有效辨识服务渠道的真实性。

支付机构应当于每年1 月31 日前，将前一年度发生的客户投诉数量和类型、处理完毕的投诉占比、投诉处理速度等情况在网站对外公告。

解读：

一、规定交易信息查询最低期限和处理渠道

二、要求告知客户渠道途径，避免仿冒

三、定期披露制度。

解读：不得侵害客户自主选择权。

解读：保护客户知情权。

第五章 监督管理

第三十一条 支付机构提供网络支付创新产品或者服务、停止提供产品或者服务、与境外机构合作在境内开展网络支付业务的，应当至少提前30 日向法人所在地中国人民银行分支机构报告。支付机构发生重大风险事件的，应当及时向法人所在地中国人民银行分支机构报告；发现涉嫌违法犯罪的，同时报告公安机关。

解读：支付机构报告义务

解读：央行实行分类监管，为创新预留空间。很重要，如何验证存在突破空间

Ⅰ类账户

消费、转账

累计1000元

以非面对面方式，通过至少一个外部渠道验证身份

Ⅱ类账户

消费、转账

Ⅲ类账户

消费、转账、

投资理财

年累计20万元

面对面验证身份，或以非面对面方式，通过至少五个外部渠道验证身份

第三十三条 评定为A类且Ⅱ类、Ⅲ类支付账户实名比例超过95%的支付机构，可以采用能够切实落实实名制要求的其他客户身份核实方法，经法人所在地中国人民银行分支机构评估认可并向中国人民银行备案后实施。

支付机构参照单位客户管理的个人卖家，应至少符合下列条件：

（二）支付机构已按照开立Ⅲ类个人支付账户的标准对其完成身份核实；

（三）持续从事电子商务经营活动满6个月，且期间使用支付账户收取的经营收入累计超过20 万元

解读：个人卖家可以参照企业管理

解读：在第十二条基础上，适度扩充支付账户转账交易功能。符合条件支付机构可以进行同名银行、非同名银行账户之间转账

解读：

三、银行账户付款也不属于本条规范范畴

解读：在第十条基础上，适度提升验证方式灵活性，规定A类企业协议自主约定代替银行验证

第三十八条 对于评定为C类及以下、支付账户实名比例较低、对零售支付体系或社会公众非现金支付信心产生重大影响的支付机构，中国人民银行及其分支机构可以在第十九条、第二十八条等规定的基础上适度提高公开披露相关信息的要求，并加强非现场监管和现场检查。

第三十九条 中国人民银行及其分支机构对照上述分类管理措施相应条件，动态确定支付机构适用的监管规定并持续监管。支付机构分类评定结果和支付账户实名比例不符合上述分类管理措施相应条件的，应严格按照第十条、第十一条、第十二条及第二十四条等相关规定执行。

中国人民银行及其分支机构可以根据社会经济发展情况和支付机构分类管理需要，对支付机构网络支付业务范围、模式、功能、限额及业务创新等相关管理措施进行适时调整。

第四十条 支付机构应当加入中国支付清算协会，接受行业自律组织管理。

中国支付清算协会应当建立信用承诺制度，要求支付机构以标准格式向社会公开承诺依法合规开展网络支付业务、保障客户信息安全和资金安全、维护客户合法权益、如违法违规自愿接受约束和处罚。

解读：要求加入行业协会、要求披露和接受监督。不允许在组织外进行活动

第六章 法律责任

（一）未按规定建立客户实名制管理、支付账户开立与使用、差错争议和纠纷投诉处理、风险准备金和交易赔付、应急预案等管理制度的；

（二）未按规定建立客户风险评级管理、支付账户功能与限额管理、客户支付指令验证管理、交易和信息安全管理、交易监测系统等风险控制机制的，未按规定对支付业务采取有效风险控制措施的；

（三）未按规定进行风险提示、公开披露相关信息的；

（四）未按规定履行报告义务的。

第四十二条 支付机构从事网络支付业务有下列情形之一的，中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十三条的规定进行处理；情节严重的，中国人民银行及其分支机构依据《中华人民共和国中国人民银行法》第四十六条的规定进行处理：

（一）不符合支付机构支付业务系统设施有关要求的；

（三）为非法交易、虚假交易提供支付服务，发现客户疑似或者涉嫌违法违规行为未按规定采取有效措施的；

（四）未按规定采取客户支付指令验证措施的

（五）未真实、完整、准确反映网络支付交易信息，篡改或者隐匿交易信息的；

（六）未按规定处理客户信息，或者未履行客户信息保密义务，造成信息泄露隐患或者导致信息泄露的；

（七）妨碍客户自主选择支付服务提供主体或资金收付方式的；

（九）违规开立支付账户，或擅自经营金融业务活动的。

解读：违发法律违规场景。

第七章 附 则

第四十四条 本办法相关用语含义如下：

单位客户，是指接受支付机构支付服务的法人、其他组织或者个体工商户。

个人客户，是指接受支付机构支付服务的自然人。

客户本人，是指客户本单位（单位客户）或者本人（个人客户）。

解读：相关用户解释。定义有效证件类型

解读：解释和修订主体

第四十六条 本办法自 2016 年 7 月 1日起施行。

解读：施行日期。