第二章 條碼生成和受理

　　第十條會員單位開展條碼支付業(yè)務，應將客戶用于生成條碼的銀行賬戶號碼或支付賬戶賬號、身份證件號碼、手機號碼進行關聯(lián)管理。

　　第十一條會員單位開展條碼支付業(yè)務，應符合監(jiān)管部門的移動支付技術安全標準，可以組合選用下列三種要素，對客戶條碼支付交易進行驗證：

　　(一)僅客戶本人知悉的要素，如靜態(tài)密碼等；

　　(二)僅客戶本人持有并特有的，不可復制或者不可重復利用的要素，如經過安全認證的數字證書、電子簽名，以及通過安全渠道生成和傳輸的一次性密碼等；

　　(三)客戶本人生理特征要素，如指紋等。

　　會員單位應當確保采用的要素相互獨立，部分要素的損壞或者泄露不應導致其他要素損壞或者泄露。

　　第十二條會員單位采用數字證書、電子簽名作為驗證要素的，數字證書及生成電子簽名的過程應符合《中華人民共和國電子簽名法》、《金融電子認證規(guī)范》(JR/T0118-2015)等有關規(guī)定，確保數字證書的唯一性、完整性及交易的不可抵賴性。

　　會員單位采用一次性密碼作為驗證要素的，應當切實防范一次性密碼獲取端與支付指令發(fā)起端為相同物理設備而帶來的風險，并將一次性密碼有效期嚴格限制在最短的必要時間內。

　　會員單位采用客戶本人生理特征作為驗證要素的，應當符合國家、金融行業(yè)標準和相關信息安全管理要求，防止被非法存儲、復制或重放。

　　第十三條會員單位應根據交易驗證方式的安全級別及《條碼支付技術安全指引》關于風險防范能力的分級，對個人客戶條碼支付業(yè)務的交易進行限額管理：

　　(一)風險防范能力達到A級，采用包括數字證書或電子簽名在內的兩類(含)以上有效要素對交易進行驗證的，由會員單位與客戶通過協(xié)議自主約定單日累計限額；

　　(二)風險防范能力達到B級，采用不包括數字證書、電子簽名在內的兩類(含)以上有效要素對交易進行驗證的，同一客戶單個銀行賬戶或所有支付賬戶單日累計金額應不超過5000元；

　　(三)風險防范能力達到C級，采用不足兩類要素對交易進行驗證的，同一客戶單個銀行賬戶或所有支付賬戶單日累計金額應不超過1000元，且會員單位應當承諾無條件金額承擔此類交易的風險損失賠付責任。

　　第十四條會員單位應通過設置條碼使用效期、使用次數等方式，確保條碼有效性和真實性，防止條碼被重復使用、重復扣款。

　　第十五條會員單位開展條碼支付業(yè)務所涉及的業(yè)務系統(tǒng)、客戶端軟件、受理終端/機具等，應當持續(xù)符合監(jiān)管部門及行業(yè)標準要求，確保條碼生成和識讀過程的安全性、真實性和完整性。支付機構還應通過協(xié)會組織的技術安全檢測認證。

　　第十六條條碼信息不應包含任何與客戶及其賬戶相關的敏感信息，僅限包含當次支付相關信息。

　　特約商戶相關系統(tǒng)生成的條碼中，僅限包含與當次支付有關的特約商戶、商品(服務)或商品(服務)訂單等信息。

　　移動終端展示的、由相關系統(tǒng)生成的條碼中，不應直接包含本人賬戶信息；賬戶信息應加密處理。

　　會員單位應指定專人操作、維護特約商戶用于生成條碼的相關系統(tǒng)，保障特約商戶條碼生成的安全和可靠。

　　第十七條會員單位應為自身發(fā)行的條碼提供受理服務。支付機構基于支付賬戶開展條碼支付的，應按照自行發(fā)展用戶、自行拓展商戶的封閉模式在限定場景內開展業(yè)務。

　　支付機構基于銀行卡開展條碼支付業(yè)務的，應遵守《銀行卡收單業(yè)務管理辦法》(中國人民銀行公告[2013]第9號)等相關規(guī)定。

　　第十八條會員單位應確保付款和收款掃碼交易經客戶確認或授權后發(fā)起，支付信息應真實、完整、有效。

　　移動終端完成條碼掃描后，應正確、完整顯示掃碼內容，供客戶確認。對于移動終端間的小額轉賬業(yè)務，付款方完成掃碼后，移動終端應回顯隱去姓氏的收款方姓名，供付款方確認。

　　特約商戶受理終端完成條碼掃描后，應僅顯示掃碼成功并提示下一步操作，不得向特約商戶展示條碼中客戶相關敏感信息。

　　第十九條會員單位應根據付款和收款掃碼的真實場景，按照監(jiān)管規(guī)定和相關業(yè)務規(guī)則與管理制度要求，正確選用交易類型，準確標識交易信息并完整發(fā)送，確保交易信息的完整性、真實性和可追溯性。

　　交易信息至少應包括：直接提供商品或服務的特約商戶名稱、類別和代碼，受理終端(網絡支付接口)類型和代碼，交易時間和地點(網絡特約商戶的網絡地址)，交易金額，交易類型和渠道。網絡特約商戶的交易信息還應當包括商品訂單號和網絡交易平臺名稱。

　　第二十條支付交易報文中應通過特定域標識該交易為條碼支付交易，以供商業(yè)銀行或支付機構正確識別并進行授權處理。

　　第二十一條會員單位應采取技術措施，以保證交易信息傳輸的安全性、完整性和抗抵賴性。

　　第二十二條支付交易完成后，特約商戶受理終端和移動終端應展示支付結果；支付失敗的，特約商戶受理終端和移動終端還應展示失敗原因。

　　第二十三條會員單位應要求特約商戶在支付交易成功后，按照特約商戶與客戶的約定及時提供相應商品或服務。

　　第二十四條會員單位應向特約商戶和客戶提供條碼支付交易明細，便于其辦理查詢、退貨、差錯處理等業(yè)務。

　　第二十五條會員單位應根據交易發(fā)生時的原交易信息發(fā)起交易差錯處理、退貨交易，需劃回資金的，相應款項應當劃回原扣款賬戶。

　　第三章 條碼支付特約商戶管理

　　第二十六條會員單位拓展條碼支付特約商戶，應遵循”了解你的客戶“原則，確保所拓展的是依法設立、合法經營的特約商戶。

　　第二十七條特約商戶及其法定代表人或負責人在中國人民銀行指定的風險信息管理系統(tǒng)中存在不良信息的，會員單位應謹慎或拒絕為該特約商戶提供條碼支付服務。

　　中國人民銀行指定的風險信息管理系統(tǒng)包括但不限于中國人民銀行或行業(yè)協(xié)會有關信息管理系統(tǒng)、銀行卡清算機構建設運營的風險信息共享系統(tǒng)。

　　第二十八條會員單位拓展特約商戶應落實實名制規(guī)定，嚴格審核特約商戶申請材料的真實性、完整性、有效性，并留存特約商戶有效證件影印件或復印件。對于申請材料虛假、缺失、要素不全或不合規(guī)的，不得審批通過。

　　第二十九條會員單位應制定特約商戶審批制度和審批流程，明確審批權限，指定專人負責特約商戶審批工作。特約商戶審批崗位不得與特約商戶拓展等相關崗位兼崗。

　　第三十條會員單位應與特約商戶就銀行賬戶的設置和變更、資金結算周期、結算手續(xù)費標準、差錯和爭議處理等條碼支付服務相關事項進行約定，明確雙方的權利、義務和違約責任。

　　第三十一條會員單位應要求特約商戶提供真實的商品或服務；按規(guī)定使用受理終端(網絡支付接口)、銀行賬戶或支付賬戶，不得利用其從事或協(xié)助他人從事非法活動；妥善處理交易數據信息、保存交易憑證，保障交易信息安全；不得向客戶收取或變相收取附加費用，或降低服務水平。

　　第三十二條會員單位應建立特約商戶信息管理系統(tǒng)，記錄特約商戶名稱和經營地址、特約商戶身份資料信息、特約商戶類別、結算手續(xù)費標準、銀行結算賬戶信息、開通的交易類型和開通時間、受理終端(網絡支付接口)類型和安裝地址等信息，并及時進行更新。

　　第三十三條會員單位應通過建立特約商戶及鏈接地址的黑、白名單等方式，控制支付風險。

　　第三十四條會員單位應建立特約商戶檢查制度，明確檢查頻率、檢查內容、檢查記錄等管理要求，落實檢查責任。對特約商戶受理終端，不得開通條碼支付轉賬業(yè)務功能；對移動終端，不得開通特約商戶交易資金結算功能。

　　第三十五條會員單位應當對實體特約商戶條碼受理業(yè)務進行本地化經營和管理，通過在特約商戶及其分支機構所在省(區(qū)、市)域內的受理機構提供受理服務，不得跨省(區(qū)、市)域開展條碼受理業(yè)務。

　　第三十六條會員單位基于銀行卡(賬戶)開展條碼支付業(yè)務的，應按照相關監(jiān)管制度要求審慎選擇外包服務機構，嚴格規(guī)范與外包機構的業(yè)務合作，并強化外包業(yè)務的風險管理責任。

　　第三十七條會員單位應按照相關監(jiān)管制度要求強化支付敏感信息內控管理和安全防護，強化交易密碼保護機制；通過全面應用支付標記化技術等手段，從源頭控制信息泄露和欺詐交易風險。

　　第三十八條會員單位應對特約商戶進行條碼支付業(yè)務培訓，并保存培訓記錄。

　　第三十九條對特約商戶申請材料、資質審核材料、受理協(xié)議、培訓和檢查記錄、信息變更、終止合作等檔案資料，會員單位應至少保存至服務終止后5年。

　　第四十條會員單位提供條碼支付服務應向特約商戶收取結算手續(xù)費，不得變相向客戶轉嫁手續(xù)費，不得采取不正當競爭手段損害他人合法權益。

　　第四十一條會員單位與特約商戶終止條碼支付相關服務協(xié)議的，應及時關閉支付服務或支付接口(功能)，收回布放機具，進行賬務清理，妥善處理后續(xù)事項。

　　第四十二條會員單位應尊重特約商戶的自由選擇權，不得干涉或變相干涉特約商戶與其他機構的合作。