央行發布259號文：要求建立交易信息分類分級管理，確保安全

10月13日，中國人民銀行發布《中國人民銀行關于加強支付受理終端及相關業務管理的通知》（以下簡稱《通知》）。

《通知》要求，銀行、支付機構、清算機構應當建立交易信息分類分級管理規則，按照依法、審慎、必要和誠信原則處理客戶交易信息，采取必要安全技術措施確保交易信息安全，防止交易信息泄露、被篡改或丟失。明確成員機構使用交易信息的用途，確保信息使用符合法律法規規定，禁止利用交易信息開展不公平競爭。

以下為通知全文：

中國人民銀行關于加強支付受理終端及相關業務管理的通知（銀發〔2021〕259號）

國人民銀行上海總部，各分行、營業管理部，各省會（首府）城市中心支行，各副省級城市中心支行；各國有商業銀行，中國郵政儲蓄銀行，各股份制商業銀行；各非銀行支付機構；中國銀聯股份有限公司、中國支付清算協會、網聯清算有限公司、連通（杭州）技術服務有限公司： 

為加強支付受理終端及相關業務管理，維護支付市場秩序，保護消費者合法權益，現就有關事項通知如下： 

一、支付受理終端業務管理 

（一）銀行卡受理終端及相關業務。

1.銀行卡受理終端生產與登記管理。1臺銀行卡受理終端只能對應1個受理終端序列號。清算機構、收單機構應當按照《中國人民銀行關于強化銀行卡受理終端安全管理的通知》（銀發〔2017〕21號）規定，對銀行卡受理終端采取密碼識別技術等有效手段，確保銀行卡受理終端序列號不被篡改。

清算機構應當建立健全銀行卡受理終端注冊管理平臺（以下簡稱管理平臺），要求銀行卡受理終端合作生產廠商（以下簡稱合作生產廠商）向管理平臺報送銀行卡受理終端序列號及序列號密鑰、對應的銀行業金融機構（以下簡稱銀行）和非銀行支付機構（以下簡稱支付機構）等收單機構名稱。

清算機構應當建立合作生產廠商評估管理機制。對于未按要求生產銀行卡受理終端、報送銀行卡受理終端序列號登記信息，或存在參與違法違規活動等情形的合作生產廠商，清算機構應當采取要求其限期整改、降低評估等級直至停止合作等措施。

清算機構可以自行或委托其他機構建立管理平臺、評估管理合作生產廠商。

2.銀行卡受理終端入網管理。1臺銀行卡受理終端只能對應1個特約商戶。收單機構應當建立銀行卡受理終端序列號與下述5要素信息的關聯對應關系，在辦理銀行卡受理終端入網時將相關信息報送至清算機構，并確保該關聯對應關系在支付全流程中的一致性和不可篡改性：

（1）收單機構代碼；

（2）特約商戶（含小微商戶，即依據法律法規和相關監管規定免于辦理工商注冊登記的實體特約商戶，下同）編碼；

 （3）特約商戶統一社會信用代碼（小微商戶為其主要負責人有效身份證件號碼，下同）；

（4）特約商戶收單結算賬戶；

（5）銀行卡受理終端布放地理位置。

清算機構應當及時核驗收單機構報送的銀行卡受理終端入網信息和合作生產廠商報送的銀行卡受理終端登記信息，核驗不一致的不得入網。

原則上銀行卡受理終端應當具備定位功能。對于不具備定位功能的銀行卡受理終端，收單機構應當確保其被用于特約商戶固定經營場所和合法合規用途。

3.銀行卡受理終端退出管理。因收單機構與特約商戶收單服務協議終止，或特約商戶申請停用銀行卡受理終端的，收單機構應當及時關閉銀行卡受理終端業務功能，并收回銀行卡受理終端。對確實無法收回的，應當確保銀行卡受理終端業務功能持續處于關閉狀態。

收單機構應當在關閉銀行卡受理終端業務功能后2日內，將銀行卡受理終端注銷信息報送至清算機構。清算機構應當自收到銀行卡受理終端注銷信息之日起，停止為該銀行卡受理終端發起的業務提供轉接清算服務，直至該銀行卡受理終端按規定重新入網。

4.存量銀行卡受理終端改造或更換管理。對于本通知發布前已辦理入網，但不符合本通知規定的銀行卡受理終端，收單機構應當按照清算機構規則限期進行改造或更換。

清算機構應當按照審慎原則制定本機構入網銀行卡受理終端改造或更換規則，要求收單機構限期完成對相關銀行卡受理終端的改造或更換；逾期未完成的，應當暫停為相關銀行卡受理終端發起的業務提供轉接清算服務。

（二）條碼支付受理終端及相關業務。

1.條碼支付受理終端管理。對于具備采集多項支付信息和參與發起支付指令等功能的條碼支付受理終端，清算機構、收單機構應當參照銀行卡受理終端相關規定建立健全管理規則，并對不符合規則的存量條碼支付受理終端限期進行改造或更換。收單機構應當按照本通知相關規定建立并報送條碼支付受理終端序列號與相應5要素信息的關聯對應關系，并確保該關聯對應關系在支付全流程中的一致性和不可篡改性。

原則上條碼支付受理終端應當具備定位功能。對于不具備定位功能的條碼支付受理終端，收單機構應當確保其被用于特約商戶固定經營場所和合法合規用途。

2.條碼支付輔助受理終端管理。對于僅具備條碼讀取或展示功能、不參與發起支付指令的條碼支付掃碼設備、顯碼設備和靜態條碼展示介質等條碼支付輔助受理終端，收單機構應當建立特約商戶編碼與下述4要素信息的關聯對應關系，并確保該關聯對應關系在支付全流程中的一致性和不可篡改性：

（1）收單機構代碼；

（2）特約商戶統一社會信用代碼；

（3）特約商戶收單結算賬戶；

（4）條碼支付輔助受理終端布放地理位置。

3.收款條碼管理。對于為個人或特約商戶等收款人生成的，用于付款人識讀并發起支付指令的收款條碼，銀行、支付機構、清算機構等為收款人提供收款條碼相關支付服務的機構（以下統稱條碼支付收款服務機構）應當制定收款條碼分類管理制度，有效區分個人和特約商戶使用收款條碼的場景和用途，防范收款條碼被出租、出借、出售或用于違法違規活動。對于具有明顯經營活動特征的個人，條碼支付收款服務機構應當為其提供特約商戶收款條碼，并參照執行特約商戶有關管理規定，不得通過個人收款條碼為其提供經營活動相關收款服務。

條碼支付收款服務機構應當采取有效措施禁止個人靜態收款條碼被用于遠程非面對面收款。確有必要進行遠程非面對面收款的，條碼支付收款服務機構應當對相應收款人實行白名單管理，并審慎確定白名單準入條件與規模、個人靜態收款條碼的有效期、使用次數和交易限額。對于通過截屏、下載等方式保存的個人動態收款條碼，應當參照執行個人靜態收款條碼有關規定。

 （三）創新支付受理終端等相關業務。收單機構、清算機構采用創新支付受理終端的，應當按照《中國人民銀行關于規范支付創新業務的通知》（銀發〔2017〕281號）規定，至少提前30日向中國人民銀行或其分支機構報告。

鼓勵收單機構為特約商戶提供支持銀行卡支付、條碼支付等多種支付方式的支付受理終端。收單機構不得引導特約商戶拒絕受理任何合法的支付方式。

二、特約商戶管理

（一）信息核實。收單機構應當在初始拓展特約商戶，以及與特約商戶業務存續期間，采取有效方式核實特約商戶身份信息。對于有固定經營場所的實體特約商戶，應當通過現場面對面方式核實。對于無固定經營場所的實體特約商戶和網絡特約商戶，原則上應當通過人工或智能客服同步視頻等方式核實。對于通過電子商務平臺開展經營活動的網絡特約商戶，收單機構在確保履行收單業務管理主體責任的前提下，可以由電子商務平臺輔助核實特約商戶身份信息。

信息核實過程中，收單機構應當以顯著方式向特約商戶法定代表人、負責人或其被授權人提示出租、出借、出售支付受理終端（含條碼支付輔助受理終端，下同）、收款條碼、網絡支付接口和收單結算賬戶的風險及責任。特約商戶收單結算賬戶設置為非同名賬戶的，收單機構應當對特約商戶與非同名賬戶開戶人是否存在同一品牌連鎖經營、集團化管理等合法資金管理關系進行審核，并對非同名賬戶的開戶人進行身份識別和意愿核實。

收單機構應當自本通知發布之日起1年內完成全部存量特約商戶身份信息核實工作，形成工作報告備查。

（二）信息平臺。清算機構應當建立健全本機構入網特約商戶信息平臺，對收單機構與入網特約商戶、支付受理終端的關聯關系和收單交易風險進行必要監測。信息平臺應當遵循最小必要原則采集收單機構代碼、特約商戶名稱、特約商戶統一社會信用代碼、特約商戶編碼、支付受理終端類型及序列號、業務類型、收單結算賬戶、特約商戶經營地址、支付受理終端（網絡支付接口）的布放地理位置、聯系方式等特約商戶核心入網信息。收單機構應當于特約商戶入網、變更、終止服務后2日內向清算機構報送上述信息。

（三）變更管理。特約商戶申請變更收單結算賬戶、支付受理終端布放地理位置等信息的，收單機構應當在辦理變更前重新核實特約商戶身份信息。

清算機構應當對特約商戶入網信息變更情況進行監測，發現同一特約商戶頻繁變更核心入網信息、經不同收單機構報送信息不一致、被收單機構多次清退或與其他特約商戶經營地址和聯系方式相同等可疑情形的，應當要求相關收單機構進行風險排查，并反饋排查結果。對于未按期反饋排查結果的收單機構，清算機構應當采取限期整改、延遲業務清算、降低業務額度、暫停交易等必要風險防范措施。

三、收單業務監測

 （一）交易信息管理。銀行、支付機構、清算機構應當建立交易信息分類分級管理規則，按照依法、審慎、必要和誠信原則處理客戶交易信息，采取必要安全技術措施確保交易信息安全，防止交易信息泄露、被篡改或丟失。

清算機構應當按照規定完善跨機構支付業務報文規則，支持本機構成員機構向客戶提供合理必要的交易信息查詢服務；對于同一交易由不同清算機構參與處理的情形，可由清算機構自行協商或者會同支付行業自律組織建立交易信息關聯和查詢機制；明確成員機構使用交易信息的用途，確保信息使用符合法律法規規定，禁止利用交易信息開展不公平競爭；建立成員機構報文傳輸行為評估機制，對于存在漏報、錯報、偽造交易信息等行為的成員機構，清算機構應當采取限期整改、延遲業務清算、降低業務額度、暫停交易等必要風險防范措施。

（二）交易信息核對。清算機構應當會同收單機構核對交易信息和支付受理終端、特約商戶入網信息的一致性，發現支付受理終端序列號、收單機構代碼、特約商戶編碼、交易位置等信息不一致的，應當要求收單機構進行風險排查，并反饋排查結果。對于未按期反饋排查結果的收單機構，清算機構應當采取限期整改、延遲業務清算、降低業務額度、暫停交易等必要風險防范措施，并將有關情況報告收單機構所在地中國人民銀行分支機構。

（三）支付受理終端位置監測。收單機構應當運用支付受理終端定位技術，或采取與銀行、支付機構、清算機構等為付款人提供付款掃碼相關支付服務的機構（以下統稱條碼支付付款服務機構）開展聯合監測等有效措施，監測實體特約商戶支付受理終端的實際位置，并核驗支付受理終端實際位置與登記布放地理位置（特約商戶經營地址）的一致性。清算機構應當制定聯合監測相關標準和規則，通過條碼支付付款服務機構傳輸的付款人移動終端位置信息，或其他關于支付受理終端實際位置的推算方式，對支付受理終端位置進行核驗。

對于無法確定實際位置，或實際位置與登記布放地理位置（特約商戶經營地址）不符的支付受理終端，收單機構應當暫停支付受理終端業務功能，并立即核實；經查實特約商戶存在風險的，應當暫停為特約商戶提供收單服務；涉嫌違法犯罪的，應當及時向公安機關報案或舉報。

（四）專項監測。收單機構應當針對特約商戶類型、地域、交易特征等建立健全監測機制，并根據中國人民銀行、支付行業自律組織和清算機構發布的風險提示調整監測指標、完善監測模型。對于個人收款條碼、使用個人賬戶作為收單結算賬戶的特約商戶和邊境地區支付受理終端，應當進行專項監測。

（五）資金結算監測。清算機構開展支付機構備付金相關業務的，應當結合備付金風險監測工作，對特約商戶實際收單結算賬戶與入網報送收單結算賬戶信息的一致性、資金結算業務和交易情況的匹配性進行監測。對于特約商戶的實際收單結算賬戶與入網報送收單結算賬戶不一致、同一特約商戶頻繁變更收單結算賬戶、結算資金與交易情況不匹配等可疑情形，清算機構應當要求支付機構進行風險排查，并反饋排查結果。對于未按期反饋排查結果的支付機構，清算機構應當采取限期整改、延遲業務清算、降低業務額度、暫停交易等必要風險防范措施，并將有關情況報告收單機構所在地中國人民銀行分支機構。

四、監督管理

 （一）中國人民銀行分支機構應當切實履行屬地監管職責，將本通知執行情況納入業務檢查重點，加大對違法違規行為的處罰力度。凡是涉及跨境賭博、電信網絡詐騙等重大犯罪案件的，應當倒查銀行、支付機構、清算機構執行本通知規定的情況。

 （二）銀行、支付機構違反本通知規定，情節輕微的，由中國人民銀行責令其限期整改；情節嚴重或逾期未改正的，按照《中華人民共和國中國人民銀行法》有關規定予以處罰，并可以責令清算機構暫停為其提供轉接清算服務。

（三）清算機構違反本通知規定，明知或應知成員機構違反本通知規定但未采取相應管理措施，情節輕微的，由中國人民銀行責令其限期整改；情節嚴重或逾期未改正的，按照《中華人民共和國中國人民銀行法》有關規定予以處罰。

五、附則

（一）本通知自2022年3月1日起施行。

（二）清算機構應當會同成員機構對照本通知要求，制定存量支付受理終端管理、入網特約商戶信息平臺、支付受理終端位置監測等相關實施方案，并向中國人民銀行報告實施方案及進展情況。

（三）中國支付清算協會應當發揮行業自律作用，按照本通知要求，建立健全相關行業自律規則。