人行43号文笔记（五）

人行43号文，《非银行支付机构网络支付业务管理办法》

业务管理

支付机构应当确保交易信 息的真实性、完整性、可追溯性以及在支 付全流程中的一致性，不得篡改或者隐匿 交易信息。交易信息包括但不限于下列内 容：（一）交易渠道、交易终端或接口类 型、交易类型、交易金额、交易时间，以 及直接向客户提供商品或者服务的特约商 户名称、编码和按照国家与金融行业标准 设置的商户类别码；（二）收付款客户名称，收付款支付 账户账号或者银行账户的开户银行名称及 账号；（三）付款客户的身份验证和交易授 权信息；（四）有效追溯交易的标识；（五）单位客户单笔超过 5 万元的转 账业务的付款用途和事由。

支付公司需要保证交易信息的真实性、完整性、可追溯性和在交易流程中的一致性。

交易信息包括：

1. 交易数据：交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间。为客户提供商品和服务的商户名称和各种行业编码。

2. 收款数据：收款客户名称，收款支付账户账号，银行账户信息。

3. 付款信息：付款客户身份验证信息和交易授权信息。

4. 追溯标识：一些可以帮助还原交易的标识

5. 大额转账信息：单客户单笔超过5万的转账，需要保存付款用途和事由。

第十五条 因交易取消（撤销）、退货、 交易不成功或者投资理财等金融类产品赎 回等原因需划回资金的，相应款项应当划 回原扣款账户。

这个原则就是从哪个账户出的款，因为特殊事由需要回款，也必须回到原账户。这就是防止洗钱，套现。如果A账户付款，然后操纵商户因异常退款，退款可以回到B账户，这就相当于绕开了转账流程而进行了一笔转账。这种无法追溯的交易路径，容易产生很多风险。

而且这个扣款账户，要包括不能划转到同客户的支付账户，以保证支付的可追溯性。

对于客户的网络支付业务 操作行为，支付机构应当在确认客户身份 及真实意愿后及时办理，并在操作生效之 日起至少五年内，真实、完整保存操作记 录。客户操作行为包括但不限于登录和注 销登录、身份识别和交易验证、变更身份信息和联系方式、调整业务功能、调整交 易限额、变更资金收付方式，以及变更或 挂失密码、数字证书、电子签名等。

这要求支付机构完整的保留客户的操作记录至少五年。客户的各种操作基本上涵盖了所有的对于账户的设置操作。

风险管理与客户权益保护

支付机构应当综合客户类 型、身份核实方式、交易行为特征、资信 状况等因素，建立客户风险评级管理制度 和机制，并动态调整客户风险评级及相关 风险控制措施。支付机构应当根据客户风险评级、交 易验证方式、交易渠道、交易终端或接口 类型、交易类型、交易金额、交易时间、 商户类别等因素，建立交易风险管理制度 和交易监测系统，对疑似欺诈、套现、洗 钱、非法融资、恐怖融资等交易，及时采 取调查核实、延迟结算、终止服务等措施。

这里面有两点，首先要求支付机构需要有客户风险评级管理制度和机制，并且要求这个评级需要根据情况动态调整。

第二点，就是支付机构需要有交易风险管理制度和交易监测系统。上面提到的客户风险评级，就会作为一个指标应用在交易风险监测中。

各个支付公司都必须要配有风险监测的团队，他们主要做的就是利用各种维度的信息，识别交易中的诈骗、套现、洗钱、非法融资、恐怖融资等交易。

支付机构应当向客户充分 提示网络支付业务的潜在风险，及时揭示 不法分子新型作案手段，对客户进行必要 的安全教育，并对高风险业务在操作前、 操作中进行风险警示。支付机构为客户购买合作机构的金融 类产品提供网络支付服务的，应当确保合 作机构为取得相应经营资质并依法开展业 务的机构，并在首次购买时向客户展示合 作机构信息和产品信息，充分提示相关责 任、权利、义务及潜在风险，协助客户与 合作机构完成协议签订。

第一，支付机构有向客户提示风险的义务。可能在一些交易场景，使用微信支付的时候，会收到一些提示信息或者短信、面容验证，这就是因为微信监测到了当前交易的风险，给出的风险提示。这些风险提示是《办法》中要求的。

第二，支付机构也有义务充分了解与之合作开展金融产品销售的其他机构。提示客户其中的潜在风险。

其实简单的说，作为一个支付渠道，支付机构对于其上的交易风险都负有一定的管控责任。对于高风险的场景、业务或者商户，都有提醒义务。