第二章 條碼生成和受理

　　第十條會員單位開展條碼支付業(yè)務(wù)，應(yīng)將客戶用于生成條碼的銀行賬戶號碼或支付賬戶賬號、身份證件號碼、手機(jī)號碼進(jìn)行關(guān)聯(lián)管理。

　　第十一條會員單位開展條碼支付業(yè)務(wù)，應(yīng)符合監(jiān)管部門的移動支付技術(shù)安全標(biāo)準(zhǔn)，可以組合選用下列三種要素，對客戶條碼支付交易進(jìn)行驗證：

　　(一)僅客戶本人知悉的要素，如靜態(tài)密碼等；

　　(二)僅客戶本人持有并特有的，不可復(fù)制或者不可重復(fù)利用的要素，如經(jīng)過安全認(rèn)證的數(shù)字證書、電子簽名，以及通過安全渠道生成和傳輸?shù)囊淮涡悦艽a等；

　　(三)客戶本人生理特征要素，如指紋等。

　　會員單位應(yīng)當(dāng)確保采用的要素相互獨立，部分要素的損壞或者泄露不應(yīng)導(dǎo)致其他要素?fù)p壞或者泄露。

　　第十二條會員單位采用數(shù)字證書、電子簽名作為驗證要素的，數(shù)字證書及生成電子簽名的過程應(yīng)符合《中華人民共和國電子簽名法》、《金融電子認(rèn)證規(guī)范》(JR/T0118-2015)等有關(guān)規(guī)定，確保數(shù)字證書的唯一性、完整性及交易的不可抵賴性。

　　會員單位采用一次性密碼作為驗證要素的，應(yīng)當(dāng)切實防范一次性密碼獲取端與支付指令發(fā)起端為相同物理設(shè)備而帶來的風(fēng)險，并將一次性密碼有效期嚴(yán)格限制在最短的必要時間內(nèi)。

　　會員單位采用客戶本人生理特征作為驗證要素的，應(yīng)當(dāng)符合國家、金融行業(yè)標(biāo)準(zhǔn)和相關(guān)信息安全管理要求，防止被非法存儲、復(fù)制或重放。

　　第十三條會員單位應(yīng)根據(jù)交易驗證方式的安全級別及《條碼支付技術(shù)安全指引》關(guān)于風(fēng)險防范能力的分級，對個人客戶條碼支付業(yè)務(wù)的交易進(jìn)行限額管理：

　　(一)風(fēng)險防范能力達(dá)到A級，采用包括數(shù)字證書或電子簽名在內(nèi)的兩類(含)以上有效要素對交易進(jìn)行驗證的，由會員單位與客戶通過協(xié)議自主約定單日累計限額；

　　(二)風(fēng)險防范能力達(dá)到B級，采用不包括數(shù)字證書、電子簽名在內(nèi)的兩類(含)以上有效要素對交易進(jìn)行驗證的，同一客戶單個銀行賬戶或所有支付賬戶單日累計金額應(yīng)不超過5000元；

　　(三)風(fēng)險防范能力達(dá)到C級，采用不足兩類要素對交易進(jìn)行驗證的，同一客戶單個銀行賬戶或所有支付賬戶單日累計金額應(yīng)不超過1000元，且會員單位應(yīng)當(dāng)承諾無條件金額承擔(dān)此類交易的風(fēng)險損失賠付責(zé)任。

　　第十四條會員單位應(yīng)通過設(shè)置條碼使用效期、使用次數(shù)等方式，確保條碼有效性和真實性，防止條碼被重復(fù)使用、重復(fù)扣款。

　　第十五條會員單位開展條碼支付業(yè)務(wù)所涉及的業(yè)務(wù)系統(tǒng)、客戶端軟件、受理終端/機(jī)具等，應(yīng)當(dāng)持續(xù)符合監(jiān)管部門及行業(yè)標(biāo)準(zhǔn)要求，確保條碼生成和識讀過程的安全性、真實性和完整性。支付機(jī)構(gòu)還應(yīng)通過協(xié)會組織的技術(shù)安全檢測認(rèn)證。

　　第十六條條碼信息不應(yīng)包含任何與客戶及其賬戶相關(guān)的敏感信息，僅限包含當(dāng)次支付相關(guān)信息。

　　特約商戶相關(guān)系統(tǒng)生成的條碼中，僅限包含與當(dāng)次支付有關(guān)的特約商戶、商品(服務(wù))或商品(服務(wù))訂單等信息。

　　移動終端展示的、由相關(guān)系統(tǒng)生成的條碼中，不應(yīng)直接包含本人賬戶信息；賬戶信息應(yīng)加密處理。

　　會員單位應(yīng)指定專人操作、維護(hù)特約商戶用于生成條碼的相關(guān)系統(tǒng)，保障特約商戶條碼生成的安全和可靠。

　　第十七條會員單位應(yīng)為自身發(fā)行的條碼提供受理服務(wù)。支付機(jī)構(gòu)基于支付賬戶開展條碼支付的，應(yīng)按照自行發(fā)展用戶、自行拓展商戶的封閉模式在限定場景內(nèi)開展業(yè)務(wù)。

　　支付機(jī)構(gòu)基于銀行卡開展條碼支付業(yè)務(wù)的，應(yīng)遵守《銀行卡收單業(yè)務(wù)管理辦法》(中國人民銀行公告[2013]第9號)等相關(guān)規(guī)定。

　　第十八條會員單位應(yīng)確保付款和收款掃碼交易經(jīng)客戶確認(rèn)或授權(quán)后發(fā)起，支付信息應(yīng)真實、完整、有效。

　　移動終端完成條碼掃描后，應(yīng)正確、完整顯示掃碼內(nèi)容，供客戶確認(rèn)。對于移動終端間的小額轉(zhuǎn)賬業(yè)務(wù)，付款方完成掃碼后，移動終端應(yīng)回顯隱去姓氏的收款方姓名，供付款方確認(rèn)。

　　特約商戶受理終端完成條碼掃描后，應(yīng)僅顯示掃碼成功并提示下一步操作，不得向特約商戶展示條碼中客戶相關(guān)敏感信息。

　　第十九條會員單位應(yīng)根據(jù)付款和收款掃碼的真實場景，按照監(jiān)管規(guī)定和相關(guān)業(yè)務(wù)規(guī)則與管理制度要求，正確選用交易類型，準(zhǔn)確標(biāo)識交易信息并完整發(fā)送，確保交易信息的完整性、真實性和可追溯性。

　　交易信息至少應(yīng)包括：直接提供商品或服務(wù)的特約商戶名稱、類別和代碼，受理終端(網(wǎng)絡(luò)支付接口)類型和代碼，交易時間和地點(網(wǎng)絡(luò)特約商戶的網(wǎng)絡(luò)地址)，交易金額，交易類型和渠道。網(wǎng)絡(luò)特約商戶的交易信息還應(yīng)當(dāng)包括商品訂單號和網(wǎng)絡(luò)交易平臺名稱。

　　第二十條支付交易報文中應(yīng)通過特定域標(biāo)識該交易為條碼支付交易，以供商業(yè)銀行或支付機(jī)構(gòu)正確識別并進(jìn)行授權(quán)處理。

　　第二十一條會員單位應(yīng)采取技術(shù)措施，以保證交易信息傳輸?shù)陌踩�性、完整性和抗抵賴性�?/p>

　　第二十二條支付交易完成后，特約商戶受理終端和移動終端應(yīng)展示支付結(jié)果；支付失敗的，特約商戶受理終端和移動終端還應(yīng)展示失敗原因。

　　第二十三條會員單位應(yīng)要求特約商戶在支付交易成功后，按照特約商戶與客戶的約定及時提供相應(yīng)商品或服務(wù)。

　　第二十四條會員單位應(yīng)向特約商戶和客戶提供條碼支付交易明細(xì)，便于其辦理查詢、退貨、差錯處理等業(yè)務(wù)。

　　第二十五條會員單位應(yīng)根據(jù)交易發(fā)生時的原交易信息發(fā)起交易差錯處理、退貨交易，需劃回資金的，相應(yīng)款項應(yīng)當(dāng)劃回原扣款賬戶。

　　第三章 條碼支付特約商戶管理

　　第二十六條會員單位拓展條碼支付特約商戶，應(yīng)遵循”了解你的客戶“原則，確保所拓展的是依法設(shè)立、合法經(jīng)營的特約商戶。

　　第二十七條特約商戶及其法定代表人或負(fù)責(zé)人在中國人民銀行指定的風(fēng)險信息管理系統(tǒng)中存在不良信息的，會員單位應(yīng)謹(jǐn)慎或拒絕為該特約商戶提供條碼支付服務(wù)。

　　中國人民銀行指定的風(fēng)險信息管理系統(tǒng)包括但不限于中國人民銀行或行業(yè)協(xié)會有關(guān)信息管理系統(tǒng)、銀行卡清算機(jī)構(gòu)建設(shè)運營的風(fēng)險信息共享系統(tǒng)。

　　第二十八條會員單位拓展特約商戶應(yīng)落實實名制規(guī)定，嚴(yán)格審核特約商戶申請材料的真實性、完整性、有效性，并留存特約商戶有效證件影印件或復(fù)印件。對于申請材料虛假、缺失、要素不全或不合規(guī)的，不得審批通過。

　　第二十九條會員單位應(yīng)制定特約商戶審批制度和審批流程，明確審批權(quán)限，指定專人負(fù)責(zé)特約商戶審批工作。特約商戶審批崗位不得與特約商戶拓展等相關(guān)崗位兼崗。

　　第三十條會員單位應(yīng)與特約商戶就銀行賬戶的設(shè)置和變更、資金結(jié)算周期、結(jié)算手續(xù)費標(biāo)準(zhǔn)、差錯和爭議處理等條碼支付服務(wù)相關(guān)事項進(jìn)行約定，明確雙方的權(quán)利、義務(wù)和違約責(zé)任。

　　第三十一條會員單位應(yīng)要求特約商戶提供真實的商品或服務(wù)；按規(guī)定使用受理終端(網(wǎng)絡(luò)支付接口)、銀行賬戶或支付賬戶，不得利用其從事或協(xié)助他人從事非法活動；妥善處理交易數(shù)據(jù)信息、保存交易憑證，保障交易信息安全；不得向客戶收取或變相收取附加費用，或降低服務(wù)水平。

　　第三十二條會員單位應(yīng)建立特約商戶信息管理系統(tǒng)，記錄特約商戶名稱和經(jīng)營地址、特約商戶身份資料信息、特約商戶類別、結(jié)算手續(xù)費標(biāo)準(zhǔn)、銀行結(jié)算賬戶信息、開通的交易類型和開通時間、受理終端(網(wǎng)絡(luò)支付接口)類型和安裝地址等信息，并及時進(jìn)行更新。

　　第三十三條會員單位應(yīng)通過建立特約商戶及鏈接地址的黑、白名單等方式，控制支付風(fēng)險。

　　第三十四條會員單位應(yīng)建立特約商戶檢查制度，明確檢查頻率、檢查內(nèi)容、檢查記錄等管理要求，落實檢查責(zé)任。對特約商戶受理終端，不得開通條碼支付轉(zhuǎn)賬業(yè)務(wù)功能；對移動終端，不得開通特約商戶交易資金結(jié)算功能。

　　第三十五條會員單位應(yīng)當(dāng)對實體特約商戶條碼受理業(yè)務(wù)進(jìn)行本地化經(jīng)營和管理，通過在特約商戶及其分支機(jī)構(gòu)所在省(區(qū)、市)域內(nèi)的受理機(jī)構(gòu)提供受理服務(wù)，不得跨省(區(qū)、市)域開展條碼受理業(yè)務(wù)。

　　第三十六條會員單位基于銀行卡(賬戶)開展條碼支付業(yè)務(wù)的，應(yīng)按照相關(guān)監(jiān)管制度要求審慎選擇外包服務(wù)機(jī)構(gòu)，嚴(yán)格規(guī)范與外包機(jī)構(gòu)的業(yè)務(wù)合作，并強(qiáng)化外包業(yè)務(wù)的風(fēng)險管理責(zé)任。

　　第三十七條會員單位應(yīng)按照相關(guān)監(jiān)管制度要求強(qiáng)化支付敏感信息內(nèi)控管理和安全防護(hù)，強(qiáng)化交易密碼保護(hù)機(jī)制；通過全面應(yīng)用支付標(biāo)記化技術(shù)等手段，從源頭控制信息泄露和欺詐交易風(fēng)險。

　　第三十八條會員單位應(yīng)對特約商戶進(jìn)行條碼支付業(yè)務(wù)培訓(xùn)，并保存培訓(xùn)記錄。

　　第三十九條對特約商戶申請材料、資質(zhì)審核材料、受理協(xié)議、培訓(xùn)和檢查記錄、信息變更、終止合作等檔案資料，會員單位應(yīng)至少保存至服務(wù)終止后5年。

　　第四十條會員單位提供條碼支付服務(wù)應(yīng)向特約商戶收取結(jié)算手續(xù)費，不得變相向客戶轉(zhuǎn)嫁手續(xù)費，不得采取不正當(dāng)競爭手段損害他人合法權(quán)益。

　　第四十一條會員單位與特約商戶終止條碼支付相關(guān)服務(wù)協(xié)議的，應(yīng)及時關(guān)閉支付服務(wù)或支付接口(功能)，收回布放機(jī)具，進(jìn)行賬務(wù)清理，妥善處理后續(xù)事項。

　　第四十二條會員單位應(yīng)尊重特約商戶的自由選擇權(quán)，不得干涉或變相干涉特約商戶與其他機(jī)構(gòu)的合作。