人行43号文笔记(六)

图片

人行43号文《非银行支付机构网络支付业务管理办法》。

风险管理与客户权益保护

支付机构应当建立健全风 险准备金制度和交易赔付制度,并对不能 有效证明因客户原因导致的资金损失及时 先行全额赔付,保障客户合法权益。支付机构应于每年 1 月 31 日前,将前 一年度发生的风险事件、客户风险损失发 生和赔付等情况在网站对外公告。支付机构应在年度监管报告中如实反映上述内容 和风险准备金计提、使用及结余等情况。

首先,支付机构需要对无法证明是客户导致的资金损失进行赔付,因此要建立风险准备金和交易费赔付制度。

这个要求实际上是限制支付机构为了追求产品的便捷,而忽视资金的安全,以赔付的责任敦促支付机构关注资金安全和风险管控。

然后,支付机构需要每年向公众披露其前一年发生的风险事件,这是为了增加支付机构的风险管理透明度,也是敦促支付机构重视资金安全的一种手段。

支付机构应当依照中国人 民银行有关客户信息保护的规定,制定有 效的客户信息保护措施和风险控制机制, 履行客户信息保护责任。

这个中国人民银行有关客户信息保护的规定,主要指《中国人民银行 关于银行业金融机构做好个人金融信息保 护工作的通知》(银发〔2011〕17 号)等规定。

支付机构不得存储客户银行卡的磁道 信息或芯片信息、验证码、密码等敏感信 息,原则上不得存储银行卡有效期。因特 殊业务需要,支付机构确需存储客户银行 卡有效期的,应当取得客户和开户银行的 授权,以加密形式存储。

客户的敏感信息支付机构都不可以存储,除了银行卡的有效期,但也需要取得客户和开户银行的授权。

支付机构应当以“最小化”原则采集、 使用、存储和传输客户信息,并告知客户 相关信息的使用目的和范围。支付机构不 得向其他机构或个人提供客户信息,法律 法规另有规定,以及经客户本人逐项确认 并授权的除外。

“最小化”是采集客户信息的原则,需要告知客户信息的使用目的和范围。如果向其他机构提供信息,需要客户逐项确认并授权。

支付机构应根据交易验 证方式的安全级别,按照下列要求对个人 客户使用支付账户余额付款的交易进行限 额管理:(一)支付机构采用包括数字证书或 电子签名在内的两类(含)以上有效要素 进行验证的交易,单日累计限额由支付机 构与客户通过协议自主约定;(二)支付机构采用不包括数字证书、 电子签名在内的两类(含)以上有效要素 进行验证的交易,单个客户所有支付账户 单日累计金额应不超过 5000 元(不包括支付账户向客户本人同名银行账户转账);(三)支付机构采用不足两类有效要 素进行验证的交易,单个客户所有支付账 户单日累计金额应不超过 1000 元(不包括 支付账户向客户本人同名银行账户转账), 且支付机构应当承诺无条件全额承担此类 交易的风险损失赔付责任。

支付机构需要根据不同的验证等级,来对客户使用个人支付账户进行限额。这里面特指在客户在第三方支付机构开设的支付账户。而如果客户使用的是基于银行卡的“银行卡快捷支付”则不受这一条的约束。

  1. 高安全级别交易,客户和支付公司自己定交易限额。高安全级别就是指包括数字证书或电子签名在内的两类及以上有效要素验证的交易。
  2. 中等安全级别的交易,单客户所有支付账户单日累计交易额不能超过5000元。中等安全级别,指不包含数字证书或电子签名的两类以上有效验证的交易。
  3. 低安全级别交易,限额1000。低安全级别指没有不足两类有效要素验证的交易。而且这类交易如果出现问题,支付公司是需要赔偿的。所以支付公司也会尽量避免这一类的交易产品。 

来源:ThinkingLog,本文观点不代表自营销立场,网址:https://www.zyxiao.com/p/115562

发表评论

电子邮件地址不会被公开。 必填项已用*标注

技术服务
技术服务
关注抖音
关注抖音
侵权联系
返回顶部