第十二條　支付機(jī)構(gòu)辦理銀行賬戶與支付賬戶之間轉(zhuǎn)賬業(yè)務(wù)的，相關(guān)銀行賬戶與支付賬戶應(yīng)屬于同一客戶。支付機(jī)構(gòu)應(yīng)按照與客戶的約定及時(shí)辦理支付賬戶向客戶本人銀行賬戶轉(zhuǎn)賬業(yè)務(wù)，不得對(duì)Ⅱ類、Ⅲ類支付賬戶向客戶本人銀行賬戶轉(zhuǎn)賬設(shè)置限額。

    第十三條　支付機(jī)構(gòu)為客戶辦理本機(jī)構(gòu)發(fā)行的預(yù)付卡向支付賬戶轉(zhuǎn)賬的，應(yīng)當(dāng)按照《支付機(jī)構(gòu)預(yù)付卡業(yè)務(wù)管理辦法》[中國(guó)人民銀行公告〔2012〕第12號(hào)公布]相關(guān)規(guī)定對(duì)預(yù)付卡轉(zhuǎn)賬至支付賬戶的余額單獨(dú)管理，僅限其用于消費(fèi)，不得通過(guò)轉(zhuǎn)賬、購(gòu)買投資理財(cái)?shù)冉鹑陬惍a(chǎn)品等形式進(jìn)行套現(xiàn)或者變相套現(xiàn)。

第十四條　支付機(jī)構(gòu)應(yīng)當(dāng)確保交易信息的真實(shí)性、完整性、可追溯性以及在支付全流程中的一致性，不得篡改或者隱匿交易信息。交易信息包括但不限于下列內(nèi)容：[一]交易渠道、交易終端或接口類型、交易類型、交易金額、交易時(shí)間，以及直接向客戶提供商品或者服務(wù)的特約商戶名稱、編碼和按照國(guó)家與金融行業(yè)標(biāo)準(zhǔn)設(shè)置的商戶類別碼；[二]收付款客戶名稱，收付款支付賬戶賬號(hào)或者銀行賬戶的開(kāi)戶銀行名稱及賬號(hào)；[三]付款客戶的身份驗(yàn)證和交易授權(quán)信息；[四]有效追溯交易的標(biāo)識(shí)；[五]單位客戶單筆超過(guò)5萬(wàn)元的轉(zhuǎn)賬業(yè)務(wù)的付款用途和事由。

第十五條　因交易取消[撤銷]、退貨、交易不成功或者投資理財(cái)?shù)冉鹑陬惍a(chǎn)品贖回等原因需劃回資金的，相應(yīng)款項(xiàng)應(yīng)當(dāng)劃回原扣款賬戶。

第十六條　對(duì)于客戶的網(wǎng)絡(luò)支付業(yè)務(wù)操作行為，支付機(jī)構(gòu)應(yīng)當(dāng)在確認(rèn)客戶身份及真實(shí)意愿后及時(shí)辦理，并在操作生效之日起至少五年內(nèi)，真實(shí)、完整保存操作記錄。客戶操作行為包括但不限于登錄和注銷登錄、身份識(shí)別和交易驗(yàn)證、變更身份信息和聯(lián)系方式、調(diào)整業(yè)務(wù)功能、調(diào)整交易限額、變更資金收付方式，以及變更或掛失密碼、數(shù)字證書、電子簽名等。

第四章　風(fēng)險(xiǎn)管理與客戶權(quán)益保護(hù)

第十七條　支付機(jī)構(gòu)應(yīng)當(dāng)綜合客戶類型、身份核實(shí)方式、交易行為特征、資信狀況等因素，建立客戶風(fēng)險(xiǎn)評(píng)級(jí)管理制度和機(jī)制，并動(dòng)態(tài)調(diào)整客戶風(fēng)險(xiǎn)評(píng)級(jí)及相關(guān)風(fēng)險(xiǎn)控制措施。支付機(jī)構(gòu)應(yīng)當(dāng)根據(jù)客戶風(fēng)險(xiǎn)評(píng)級(jí)、交易驗(yàn)證方式、交易渠道、交易終端或接口類型、交易類型、交易金額、交易時(shí)間、商戶類別等因素，建立交易風(fēng)險(xiǎn)管理制度和交易監(jiān)測(cè)系統(tǒng)，對(duì)疑似欺詐、套現(xiàn)、洗錢、非法融資、恐怖融資等交易，及時(shí)采取調(diào)查核實(shí)、延遲結(jié)算、終止服務(wù)等措施。

第十八條　支付機(jī)構(gòu)應(yīng)當(dāng)向客戶充分提示網(wǎng)絡(luò)支付業(yè)務(wù)的潛在風(fēng)險(xiǎn)，及時(shí)揭示不法分子新型作案手段，對(duì)客戶進(jìn)行必要的安全教育，并對(duì)高風(fēng)險(xiǎn)業(yè)務(wù)在操作前、操作中進(jìn)行風(fēng)險(xiǎn)警示。支付機(jī)構(gòu)為客戶購(gòu)買合作機(jī)構(gòu)的金融類產(chǎn)品提供網(wǎng)絡(luò)支付服務(wù)的，應(yīng)當(dāng)確保合作機(jī)構(gòu)為取得相應(yīng)經(jīng)營(yíng)資質(zhì)并依法開(kāi)展業(yè)務(wù)的機(jī)構(gòu)，并在首次購(gòu)買時(shí)向客戶展示合作機(jī)構(gòu)信息和產(chǎn)品信息，充分提示相關(guān)責(zé)任、權(quán)利、義務(wù)及潛在風(fēng)險(xiǎn)，協(xié)助客戶與合作機(jī)構(gòu)完成協(xié)議簽訂。

第十九條　支付機(jī)構(gòu)應(yīng)當(dāng)建立健全風(fēng)險(xiǎn)準(zhǔn)備金制度和交易賠付制度，并對(duì)不能有效證明因客戶原因?qū)е碌馁Y金損失及時(shí)先行全額賠付，保障客戶合法權(quán)益。支付機(jī)構(gòu)應(yīng)于每年1月31日前，將前一年度發(fā)生的風(fēng)險(xiǎn)事件、客戶風(fēng)險(xiǎn)損失發(fā)生和賠付等情況在網(wǎng)站對(duì)外公告。支付機(jī)構(gòu)應(yīng)在年度監(jiān)管報(bào)告中如實(shí)反映上述內(nèi)容和風(fēng)險(xiǎn)準(zhǔn)備金計(jì)提、使用及結(jié)余等情況。

第二十條　支付機(jī)構(gòu)應(yīng)當(dāng)依照中國(guó)人民銀行有關(guān)客戶信息保護(hù)的規(guī)定，制定有效的客戶信息保護(hù)措施和風(fēng)險(xiǎn)控制機(jī)制，履行客戶信息保護(hù)責(zé)任。支付機(jī)構(gòu)不得存儲(chǔ)客戶銀行卡的磁道信息或芯片信息、驗(yàn)證碼、密碼等敏感信息，原則上不得存儲(chǔ)銀行卡有效期。因特殊業(yè)務(wù)需要，支付機(jī)構(gòu)確需存儲(chǔ)客戶銀行卡有效期的，應(yīng)當(dāng)取得客戶和開(kāi)戶銀行的授權(quán)，以加密形式存儲(chǔ)。支付機(jī)構(gòu)應(yīng)當(dāng)以“最小化”原則采集、使用、存儲(chǔ)和傳輸客戶信息，并告知客戶相關(guān)信息的使用目的和范圍。支付機(jī)構(gòu)不得向其他機(jī)構(gòu)或個(gè)人提供客戶信息，法律法規(guī)另有規(guī)定，以及經(jīng)客戶本人逐項(xiàng)確認(rèn)并授權(quán)的除外。

第二十一條　支付機(jī)構(gòu)應(yīng)當(dāng)通過(guò)協(xié)議約定禁止特約商戶存儲(chǔ)客戶銀行卡的磁道信息或芯片信息、驗(yàn)證碼、有效期、密碼等敏感信息，并采取定期檢查、技術(shù)監(jiān)測(cè)等必要監(jiān)督措施。特約商戶違反協(xié)議約定存儲(chǔ)上述敏感信息的，支付機(jī)構(gòu)應(yīng)當(dāng)立即暫停或者終止為其提供網(wǎng)絡(luò)支付服務(wù)，采取有效措施刪除敏感信息、防止信息泄露，并依法承擔(dān)因相關(guān)信息泄露造成的損失和責(zé)任。

第二十二條　支付機(jī)構(gòu)可以組合選用下列三類要素，對(duì)客戶使用支付賬戶余額付款的交易進(jìn)行驗(yàn)證：[一]僅客戶本人知悉的要素，如靜態(tài)密碼等；[二]僅客戶本人持有并特有的，不可復(fù)制或者不可重復(fù)利用的要素，如經(jīng)過(guò)安全認(rèn)證的數(shù)字證書、電子簽名，以及通過(guò)安全渠道生成和傳輸?shù)囊淮涡悦艽a等；[三]客戶本人生理特征要素，如指紋等。支付機(jī)構(gòu)應(yīng)當(dāng)確保采用的要素相互獨(dú)立，部分要素的損壞或者泄露不應(yīng)導(dǎo)致其他要素?fù)p壞或者泄露。

第二十三條　支付機(jī)構(gòu)采用數(shù)字證書、電子簽名作為驗(yàn)證要素的，數(shù)字證書及生成電子簽名的過(guò)程應(yīng)符合《中華人民共和國(guó)電子簽名法》、《金融電子認(rèn)證規(guī)范》[JR/T0118-2015]等有關(guān)規(guī)定，確保數(shù)字證書的唯一性、完整性及交易的不可抵賴性。支付機(jī)構(gòu)采用一次性密碼作為驗(yàn)證要素的，應(yīng)當(dāng)切實(shí)防范一次性密碼獲取端與支付指令發(fā)起端為相同物理設(shè)備而帶來(lái)的風(fēng)險(xiǎn)，并將一次性密碼有效期嚴(yán)格限制在最短的必要時(shí)間內(nèi)。支付機(jī)構(gòu)采用客戶本人生理特征作為驗(yàn)證要素的，應(yīng)當(dāng)符合國(guó)家、金融行業(yè)標(biāo)準(zhǔn)和相關(guān)信息安全管理要求，防止被非法存儲(chǔ)、復(fù)制或重放。

第二十四條　支付機(jī)構(gòu)應(yīng)根據(jù)交易驗(yàn)證方式的安全級(jí)別，按照下列要求對(duì)個(gè)人客戶使用支付賬戶余額付款的交易進(jìn)行限額管理：[一]支付機(jī)構(gòu)采用包括數(shù)字證書或電子簽名在內(nèi)的兩類[含]以上有效要素進(jìn)行驗(yàn)證的交易，單日累計(jì)限額由支付機(jī)構(gòu)與客戶通過(guò)協(xié)議自主約定；[二]支付機(jī)構(gòu)采用不包括數(shù)字證書、電子簽名在內(nèi)的兩類[含]以上有效要素進(jìn)行驗(yàn)證的交易，單個(gè)客戶所有支付賬戶單日累計(jì)金額應(yīng)不超過(guò)5000元[不包括支付賬戶向客戶本人同名銀行賬戶轉(zhuǎn)賬]；[三]支付機(jī)構(gòu)采用不足兩類有效要素進(jìn)行驗(yàn)證的交易，單個(gè)客戶所有支付賬戶單日累計(jì)金額應(yīng)不超過(guò)1000元[不包括支付賬戶向客戶本人同名銀行賬戶轉(zhuǎn)賬]，且支付機(jī)構(gòu)應(yīng)當(dāng)承諾無(wú)條件全額承擔(dān)此類交易的風(fēng)險(xiǎn)損失賠付責(zé)任。

第二十五條　支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)相關(guān)系統(tǒng)設(shè)施和技術(shù)，應(yīng)當(dāng)持續(xù)符合國(guó)家、金融行業(yè)標(biāo)準(zhǔn)和相關(guān)信息安全管理要求。如未符合相關(guān)標(biāo)準(zhǔn)和要求，或者尚未形成國(guó)家、金融行業(yè)標(biāo)準(zhǔn)，支付機(jī)構(gòu)應(yīng)當(dāng)無(wú)條件全額承擔(dān)客戶直接風(fēng)險(xiǎn)損失的先行賠付責(zé)任。

第二十六條　支付機(jī)構(gòu)應(yīng)當(dāng)在境內(nèi)擁有安全、規(guī)范的網(wǎng)絡(luò)支付業(yè)務(wù)處理系統(tǒng)及其備份系統(tǒng)，制定突發(fā)事件應(yīng)急預(yù)案，保障系統(tǒng)安全性和業(yè)務(wù)連續(xù)性。支付機(jī)構(gòu)為境內(nèi)交易提供服務(wù)的，應(yīng)當(dāng)通過(guò)境內(nèi)業(yè)務(wù)處理系統(tǒng)完成交易處理，并在境內(nèi)完成資金結(jié)算。