“以后网购每天只能花5000？非也”

本篇文章9246字，读完约23分钟

7月31日晚，央行在官网发布《非银行支付机构网络支付业务管理办法》征求意见稿。 意见对第三方支付账户的开立、费用限额、转账、金融资产管理等方面施加了严格的限制。

对于外界盛传的意见稿，个人每日支付金额不超过5000元的限制实际上是有前提条件的。 意见草案对支付机构使用包括数字证书或电子签名在内的两种或多种要素进行验证的交易没有限额限制。

如果没有使用包括数字证书和电子签名在内的两种以上要素进行验证的交易，例如只通过输入密码、手机、面部识别、手势识别等方法进行验证的交易，一个顾客全部支付到账户一天的累计金额不超过5000元

这项规定最终实施后，一般客户的网上支付相关的购物等业务将受到影响。 如果涉及到奢侈品网站等客单价高的电商，会受到很大的冲击。 与此相反，一位网民表示，今后很多客户都想在网上买iphone 6。 意见征集稿首次将支付账户分为综合账户和费用账户两大类。 综合账户是指支付账户的余额可以用于购买费用、转账、投资财产技术商品和服务的账户，费用账户是指支付账户的余额只能用于费用和客户本人同名的银行账户。

意见稿对客户通过互联网支付的年度费用金额有限制。

1、个人客户持有综合支付账户的，其所有支付账户的余额支付交易(支付账户转到客户本人同名银行账户除外。 下同) )年累计不得超过20万元。

2、个人客户只有支出类支付账户的，其所有支付账户的余额支付交易的年累计不得超过10万元。 超过限额的付款交易必须通过顾客的银行账户处理。

另外，意见稿还要求综合账户面对面确认身份，或使用5种以上的验证方法进行交叉验证； 必须通过三种以上的方法对账户进行交叉检查。 这将大大提高准入门槛，提高获得顾客的价格。

意见书指出，支付机构应当根据支付指令验证方法的安全水平，对个人客户支付账户余额支付的交易进行限额管理。 对此，意见稿将安全分为三类:

1、支付机构使用数字证书或电子签名等2种以上要素进行验证的交易，每日累计限额由支付机构和客户通过协议自主约定；

2、支付机构使用不含数字证书、电子签名的两种(含)以上要素进行验证的交易，一个客户的所有支付账户一天的累计金额不超过5000元(不含从支付账户转账到客户本人同名的银行账户。 以下相同) )；

3、支付机构使用少于两种因素进行验证的交易，单一客户全部向账户支付的每日累计金额不得超过1000元，且支付机构应当无条件全额承担此类交易的风险损失赔偿责任。

综上所述，未来大部分客户通过第三方支付账户上网费用，每日累计费用合计不得超过5000元，每年不得超过20万元。

更残酷的是，意见稿还对第三方支付从事互联网金融资产管理业务施加了限制。 支付机构不得在金融机构和从事信用、融资、资产管理、担保、货币兑换等金融业务的其他机构开设支付账户。

这意味着支付宝( Alipay )、财付通等第三方支付机构将无法从事互联网金融业务。 一位业内人士认为，此次意见稿的发表，将对第三方的支付产生巨大的冲击。

以下是《银行以外支付机构网络支付业务管理办法(意见征集稿)》全文。

第一章总则

第一条为了规范非银行支付机构(以下简称支付机构)的网络支付业务，防范支付风险，保护当事人的合法权益，根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》等规定，制定本办法。

第二条支付机构从事互联网支付业务，适用本办法。

本法所称支付机构，是指依法取得《支付业务许可证》，准予网络结算、手机结算、固定电话结算、数字电视结算等网络结算业务的非银行机构。

本办法所称网络结算业务，是指顾客经由计算机、移动终端等电子设备，通过公共网络新闻系统远程发出结算指令，且结算顾客的电子设备不与收款顾客的特定专用设备相互作用，结算机构向收款顾客提供货币资金转移服务的活动

本法所称收款客户特定专用设备，是指专门从事收款交易，在交易中与支付机构的业务系统对话，参与支付指令的生成、传输、解决的电子设备。

第三条支付机构为电子商务提供最重要服务的大体情况下，应当基于客户的银行账户或者依照本法规定为用户开设支付账户提供网络支付服务。

本法所称支付账户是指经网络支付业务许可的支付机构根据顾客的真实意图开设的，是用于记录预付交易资金的余额，并据此发出支付指令，反映支付交易明细新闻的电子簿记。

第四条支付机构应当依法维护当事人的合法权益，保障顾客的新闻安全和资金安全。

第五条支付机构开展网络支付业务，应当执行实名制管理要求，遵守反洗钱和反恐融资相关规定，履行反洗钱和反恐融资义务。 涉及跨境人民币结算和外汇支付业务的，应当按照中国人民银行、国家外汇管理局的相关规定执行。

第二章顾客管理

第六条支付机构应当了解您客户的大致情况，采取比较有效的措施核实客户身份的基本新闻，依法保留，建立客户唯一的识别码。

第七条支付机构向用户提供网络支付服务，应当与顾客签订服务合同，并至少约定以下复印件

(一)支付机构名称、营业地址、网站地址和联系方法；

(二)支付机构提供的网络支付业务类型和业务规则；

(三)支付机构对顾客支付指令的验证方法；

(四)收款项目和收款标准；

(五)客户资金结算方法和支付机构为此有义务提供相关支付便利；

(六)支付机构为防止诈骗等业务风险以及洗钱、恐怖主义融资等非法活动，对支付服务可以采取的限制措施；

(七)支付机构与顾客的相关责任、权利、义务。

支付机构应当观察顾客在服务合同中与顾客有重大利害关系的核心几个事项，并以明确的方式出示按照顾客的要求解释或者证明。

第八条获得网络结算业务许可的支付机构，应当经顾客自愿申请，由当事人为此开立支付账户； 只有获得手机支付、固定电话支付、数字电视支付业务许可的支付机构，不得为用户开设支付账户。

支付机构不得为金融机构和从事信用、融资、资产管理、担保、货币兑换等金融业务的其他机构开设支付账户。

第九条支付机构为用户开立支付账户时，应对客户实施实名制管理，登记客户身份基本新闻，核实客户有效身份证件，并按规定保留有效身份证件复印件或复印件，通过三个以上合法安全的外部渠道发布客户身份基本新闻 要确保比较有效地验证顾客的身份及其真实意愿，不得开立匿名、冒名支付账户。

外部认证途径包括但不限于政府部门数据库、商业银行账户新闻系统、商业化数据库等能够比较有效验证客户身份的基本新闻数据库和系统。

第十条支付机构为用户开立支付账户时，服务合同至少应当包括以下复印件:

(一)付款账户记录的资金余额与客户本人商业银行的货币存款不同，实质上是用户从支付机构购买的、所有权归于客户、由支付机构保管的预付价值，不受《存款保险条例》保护的明显方法 与该预付价值对应的货币资金的所有权归于顾客，但以支付机构的名义保管在商业银行，支付机构可以向其开户银行发出支付指令进行调整。 支付机构应当采用比较有效的方法，要求顾客充分了解并明确了解上述复印件和相关风险；

(二)开立、录用、挂失、停止支付、注销支付账户的规则；

(三)对违规开立或采用支付账户的处置方法；

(四)支付账户资金变动的通知方法和异常交易的处理方法；

(五)支付机构对风险损失承担先行赔偿责任的条件，以及顾客承担风险损失的个别、累计最高限额及其条件。

第十一条支付账户不得借贷、借贷、出售，不得利用支付账户从事和协助他人非法活动。

第十二条客户变更身份信息新闻，重置或者丢失密码、数字证书或者电子签名，办理停止支付账户、注销业务的，支付机构应当在确认客户身份和真实意愿后及时办理。

第三章财务管理

第十三条支付机构不得为用户办理现金存取、信贷、融资、资产管理、担保、货币兑换业务。

第十四条支付机构基于银行卡向用户提供网络支付服务，应当执行银行卡业务相关的监管规定以及银行卡领域的规范。

第十五条支付机构根据客户授权向客户开户银行发送支付指令，扣划客户银行账户资金时，支付机构、客户和银行在事前或首次交易时，应当按照以下规则确定相关授权并遵循执行。

(一)支付机构应当经客户和银行授权，向客户的银行账户发出支付指令，同意划转资金。

(二)银行应当与客户直接签订授权协议，确定约定的客户身份和交易验证方法，以及交易限额等必要的风险管理措施。

(三)除一项金额不足200元的小额支付业务，以及公用事业费、税款缴纳等收款人固定同时定期发生的支付业务外，支付机构不得代替银行进行客户身份和交易验证。 银行对客户资金安全的管理责任，支付机构不会转移而代替验证。

支付机构应当提供银行验证顾客身份和交易所需的技术支持，不得人为设置障碍。

第十六条支付机构为个人客户开立支付账户，根据支付账户结余办理互联网支付业务，应当根据以下要求，根据客户身份确认方法对个人支付账户结余的支付功能和交易限额进行分类管理。

(一)支付机构主动或委托合作机构以面对面方式进行身份验证的个人客户，以及支付机构以非面对面方式只进行身份验证，但通过5条以上合法安全的外部渠道对身份基本新闻进行多次相互验证的个人客户，支付机构为此进行了总

(二)对于支付机构仅通过非面对面的方法确认身份，并通过3个以上、5个以下合法安全的外部渠道多次相互验证身份基本新闻的个人客户，支付机构可以为此开设费用类支付账户，支付账户的余额与费用和客户本人同名。

(三)支付机构应当根据顾客的身份，关联管理同一顾客开立的所有支付账户。 个人客户持有综合支付账户的，其所有支付账户的余额支付交易(不包括支付账户转入客户本人同名银行账户，下同) )年累计不得超过20万元。 个人只有支出类支付账户的，其所有支付账户的余额支付交易的年累计不得超过10万元。 超过限额的付款交易必须通过顾客的银行账户处理。

第十七条支付机构为用户将银行账户转账至支付账户时，账户转账应仅限于支付账户客户本人同名的银行转账账户。 从支付账户转账到银行提款账户时，汇款账户仅限于客户事先指定的本人同名银行提款账户。

支付机构不得对从支付账户向顾客本人同名银行的账户转账业务设定限额。

支付机构应当建立顾客本人同名的银行账户审查制度和措施，在比较有效地确认审查结果的基础上办理相关业务。 支付机构应当在网站上公告客户本人同名银行账户的具体审核方法。

第十八条支付机构向公司客户提供转账服务时，对一件超过五万元的转账业务，应当要求公司客户注明支付用途和事由，并提供支付依据或者相关文件。 公司的支付账户转到同名公司的银行结算账户的除外。

第十九条支付机构为用户将本机构发行的预付卡转入支付账户时，应当按照《支付机构预付卡业务管理办法》的相关规定，分别管理预付卡转入支付账户的余额，仅限于其费用

第二十条因取消交易、退货、交易不成功或者投资财产技术商品清偿等原因需要收回资金的，相应的金额应当收回原抵扣账户。

第二十一条支付机构应当确保交易新闻的真实性、完整性、可追溯性和支付全过程的一致性，不得篡改和隐匿交易新闻。 交易新闻包括但不限于以下副本:。

(一)交易渠道、受理终端类型、交易类型、交易金额、交易时间、直接向顾客提供商品或服务的特约店铺名称，以及按照国家和金融领域标准设置的店铺类别代码；

(二)收款人的客户名称、收款人的支付账号或者银行账户的开户银行名称和账号；

(三)支付客户的认证和交易批准新闻；

(四)比较有效的上溯及交易的标志

(五)公司客户每件超过5万元的转账业务的支付用途和事由，以及支付依据或相关文件。

第二十二条支付机构扩大和管理特约商户、业务和风险管理措施应当按照《银行卡收据业务管理办法》等相关规定执行。

第四章风险管理和顾客权益保护

第二十三条支付机构网络支付业务相关系统设施和同一产品运用的具体技术，应当继续符合国家、金融领域标准和相关情况的安全管理要求。 网络支付业务使用同一产品的技术未形成国家、金融领域标准的，支付机构应当全额承担与该产品相关的风险损失。

第二十四条支付机构应当在国内拥有和运营独立、安全、规范的网络支付业务解决系统及其备份系统。

支付机构为境内交易提供服务的，应当通过境内业务解决系统办理互联网支付业务，并在境内完成资金结算。

第二十五条支付机构应当综合客户身份确认方法、交易行为特征、信用状况等因素，建立客户风险评估管理制度，动态调整客户风险评估。

第二十六条支付机构根据客户支付指令的验证方法、客户风险评估、交易类型、交易金额、交易渠道、受理终端类型、商户类别等要素，建立交易风险管理制度和交易监控系统，实行现金化、诈骗、非法融资、洗钱 涉嫌违法犯罪的，应当及时向公安机关举报，并向中国人民银行及其分支机构报告。

第二十七条支付机构可以选择以下三种要素组合，验证客户采用支付账户结余的支付指令。

(一)静态密码等只有顾客本人知道的要素；

(二)仅客户本人持有且特有的、不可复制或重复使用的要素，如通过安全认证的数字证书、数字签名、安全渠道生成和传输的不重复密码等

(三)指纹等顾客本人的生理特征因素。

支付机构必须确保所使用的要素是相互独立的，即，一些要素的损坏或泄露不应该导致其它要素的损坏或泄露。

第二十八条支付机构应当根据支付指令验证方法的安全等级，对个人客户支付账户余额的交易进行限额管理。 支付机构使用包括数字证书或电子签名在内的两种以上要素进行验证的交易，每日累计限额由支付机构和顾客通过协议自主约定； 对于支付机构使用不含数字证书、电子签名的2种(含)以上要素进行验证的交易，单个客户的所有支付账户每天累计金额不超过5000元(不包括从支付账户转账到客户本人同名银行账户。 以下相同) )； 支付机构使用少于两种因素进行验证的交易，单一客户全部支付至账户的每日累计金额不得超过1000元，支付机构应当无条件全额承担此类交易的风险损失赔偿责任。

第二十九条支付机构使用数字证书、数字签名作为验证要素，应当符合相关技术安全标准，保护通过数据安全保管和运算能力的硬件载体生成数字证书和数字签名的过程，确保数字证书的唯一性、完整性和交易的不可否认性

在支付机构使用一次也不重复的密码作为认证要素的情况下，必须可靠地防止一次也不重复的密码获取方和支付指令发行方是相同的物理设备所带来的风险，将一次也不重复的密码的有效期严格限制为最小限度的所需时间。

支付机构使用顾客本人的生理特征作为验证要素时，必须符合相关技术的安全标准，通过具有数据安全保存和运算能力的硬件载体加以保护，防止非法保存、复制或再生。

第三十条支付机构应当每年对交易和新闻安全管理制度、业务解决体系、交易监控体系等风险防范机制进行全面判断。 判断应以任何方式由不参与网络结算服务开发或运营的专家作出。 判断报告必须在每年1月31日前在网站上对外公告。

第三十一条支付机构应当限制顾客尝试登录、识别身份的次数，制定顾客访问超时规则，制定身份识别期限。

第三十二条支付机构应当制定突发事件应急预案，建立备灾系统，保障业务连续性和系统安全性。

第三十三条支付机构应当充分尊重顾客的自主选择权，不得强制顾客采用本机构提供的互联网支付服务，也不得妨碍其他机构提供的互联网支付服务。

支付机构应当公平展示顾客可以选择的各种资金收付方式，不得以任何形式让顾客开立支付账户或通过支付账户办理资金收付，不得附加不合理的交易条件。

支付机构应当根据顾客的意愿办理互联网支付服务或者支付账户功能的暂停、作废或者注销。

第三十四条支付机构应当参照《中国人民银行银领域金融机构关于个人金融新闻保护工作的通知》(银发( 17号) )的有关规定，制定较为有效的顾客新闻保护措施和风险控制机制，切实履行顾客新闻保护责任。

第三十五条支付机构应当最大限度地收集、录用、保存、传输顾客的新闻，并告知顾客相关情况的录用目的和范围。 支付机构不得向本机构以外的其他机构和个人提供顾客的新闻。 办理支付业务所需的，经客户逐项确认、授权的，以及法律法规另有规定的除外。

支付机构不得记住顾客银行账户的密码、银行卡、比较有效期等敏感消息。 由于特殊业务需要，支付机构确实需要记忆客户银行卡有效期的，应当经客户和开户银行授权，以加密形式记忆。

第三十六条支付机构应当经过协商，禁止特约商户保存客户账户密码、银行卡、比较有效期等敏感新闻，并采取定期检查、技术监控等必要的监督措施。

特约商户违反合同约定保存上述机密新闻的，支付机构应当立即暂停或者中止提供网络支付服务，采取比较有效的措施删除机密新闻，防止新闻泄露，承担相关情况泄露造成的损失和责任。

第三十七条支付机构应当建立健全风险准备金制度和交易赔偿制度，不能比较有效地解释客户原因造成的资金损失时，支付机构应当使用风险准备金全额先行赔偿，保障客户的合法权益。

支付机构应当在年度监管报告中如实反映客户风险损失、客户损失赔偿、风险准备金的计提、风险准备金的采用和风险准备金的结余等情况。

第三十八条支付机构应当向顾客充分提示网络支付业务的潜在风险，及时查明不法分子的新型犯罪手段，对顾客进行必要的安全教育，并对高风险业务在操作前、操作中进行风险警示。

支付机构应当在每年1月31日前在网站上对外公告上一年度发生的风险事件、客户风险损失、客户损失赔偿等情况。

第三十九条支付机构为用户购买投资财产技术商品或者服务提供网络支付服务的，同一产品或者服务提供者应当取得相应的经营资格，并依法开展业务，向顾客充分提示潜在风险。

第四十条支付机构应当采取比较有效的措施，确保顾客在执行支付指令前确认资金收付账户、交易金额等交易消息，并在支付指令完成后及时通知顾客结果。

交易超时、无响应或者系统故障导致支付指令不能正常解决的，支付机构应当及时向顾客提示； 因客户原因支付指令未执行、未妥善执行、执行滞后的，支付机构应当自行通知客户变更，或者协助客户实施补救措施。

第四十一条支付机构应当建立网络结算业务整体差错纠纷和纠纷投诉解决制度，向顾客公告相关受理机制和流程，配备专业部门和人员，处理真实、准确、及时的交易差错和顾客投诉。

第四十二条支付机构应当通过具有合法独立域名的网站、统一的全天候客服电话等渠道向用户提供网络支付服务及咨询、咨询、投诉等辅助服务。

支付机构告知顾客正确获取相关服务的途径，指导顾客更有效地认识服务途径的真实性，不法分子冒充支付机构、提供虚假服务途径实施网络诈骗、窃取新闻账户。

第四十三条支付机构应当向用户免费提供至少最近一年内的交易新闻查询服务

第四十四条支付机构因系统升级、调整等原因，需要暂停网络支付服务的，应当至少提前五个工作日公告。

第四十五条支付机构变更合同条款，提高网络支付服务收款标准或者新建收款项目的，在实施前在网站上按明显方法连续公示30天，并在客户首次办理相关业务前确认并调阅的所有详细复印件

第四十六条支付机构应当真实、完整地记录顾客的各项操作。 记录复印件应包括但不限于登记、验证支付指令、更改身份新闻、更改预约通信号码、调整业务功能、调整交易限额、更改资金领取方式、重置或丢失密码、数字证书、电子签名等 相关记录应当自操作生效之日起保持至少五年。

第四十七条商业银行对与本银行账户有关的关联交易提出查询、解决错误或者投诉以及风险控制等合理要求的，支付机构应当积极配合及时处理。

第五章监督管理

第四十八条中国人民银行及其分支机构依法监督和管理支付机构的网络支付业务活动。

中国人民银行根据支付机构的客户规模、交易规模、风险管理情况等因素，指定对零售支付体系或社会公众非现金支付信心有重大影响的支付机构，聘请独立、合格的外部审计机构，每两年定期对该支付机构的业务合规及其

第四十九条支付机构决定提供网络结算创新产品或者服务，停止提供产品或者服务，提高服务收款标准或者新增收款项目，与境外机构合作在境内开展网络结算业务的，至少提前30天与中国人民银行及其

第五十条支付机构发生违法犯罪案件或者涉嫌重大风险的案件，应当及时向中国人民银行及其分支机构报告。

第五十一条支付机构应当加入中国支付清算协会，接受领域自律的组织管理。

中国支付清算协会应当根据本法制定网络支付业务领域的自律规范，建立自律审查机制，并报中国人民银行备案后组织实施。 自律规范包括支付机构与顾客协商的模板，协议确定应当记载和不得记载若干事项，还应当包括支付机构披露相关新闻的具体复印件和标准格式。

中国支付清算协会应当建立信用承诺制度，要求支付机构承诺以标准格式向社会公开，依法开展互联网支付业务，保障顾客新闻安全和资金安全，维护顾客合法权益。 如果有违法行为，将自主拘留和处罚。

第六章法律责任

第五十二条支付机构从事网络支付业务有下列情形之一的，由中国人民银行及其分支机构按照《非金融机构支付服务管理办法》第四十二条的规定解决:

(一)未按规定建立客户实名制管理、开立和聘用支付账户、解决差错争议和纠纷投诉、风险准备金和交易赔偿、年度风险判断、应急预案等管理制度的。

(二)未按规定建立客户风险评估管理、支付账户功能和限额管理、客户支付指令验证管理、交易和新闻安全管理、交易监控系统等风险控制机制的，未按规定对支付工作采取较为有效的风险控制措施

(三)未按规定进行风险提示或者公开披露相关情况的；

(四)未按规定向中国人民银行及其分支机构报送新闻的。

第五十三条支付机构从事网络支付业务，有下列情形之一的，由中国人民银行及其分支机构按照《非金融机构支付服务管理办法》第四十三条的规定解决: 情节特别严重，造成严重后果，扰乱支付清算市场秩序的，由中国人民银行及其分支机构依据《中国人民银行法》第四十六条规定解决。

(一)不符合支付机构支付业务系统设施要求的；

(二)不符合国家、金融领域标准和相关情况安全管理要求的，使用数字证书、电子签名没有比较有效的认证证书的。

(三)对非法交易、假冒交易提供支付服务，发现顾客涉嫌违法行为或者未按规定采取有效措施的。

(四)未按照规定采取客户支付指令验证措施的；

(五)未真实、完整、准确反映网络结算交易新闻，篡改或者隐匿交易新闻的；

(六)未按规定解决顾客新闻或者未履行顾客新闻保密义务，造成新闻泄露危险或者新闻泄露的。

(七)妨碍顾客自主选择支付服务提供主体或者资金的领取方式的。

第五十四条支付机构违反反洗钱和反恐融资规定的，按照国家有关法律法规解决。

第七章附则

第五十五条本法相关用语的含义如下。

客户是指接受支付机构支付服务的企业事业单位、个体经营者或者其他组织。

个人客户是指接受支付机构支付服务的自然人。

顾客是指顾客的本公司(公司顾客)或本人)个人顾客)。

第五十六条本办法由中国人民银行负责解释和修改。

第五十七条本法自年月日起施行。

在本法施行前从事网络支付业务的支付机构，相关业务不符合本法规定的，应当在本法施行之日起六个月内完成整改。

来源：UI科技日报