一,、商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求，做好客戶信息安全與保密工作,。商業(yè)銀行與第三方支付機構(gòu)合作開展各項業(yè)務(wù),，對涉及到的客戶金融信息管理，應(yīng)嚴(yán)格遵循有關(guān)法律法規(guī)和監(jiān)管制度的規(guī)定,，嚴(yán)格遵照客戶意愿和指令進行支付,，不得違法違規(guī)泄露,。

二、商業(yè)銀行應(yīng)對客戶的技術(shù)風(fēng)險承受能力進行評估,，客戶與第三方支付機構(gòu)相關(guān)的賬戶關(guān)聯(lián),、業(yè)務(wù)類型、交易限額等決策要求應(yīng)與其技術(shù)風(fēng)險承受能力相匹配,。

三,、客戶銀行賬戶與第三方支付機構(gòu)首次建立業(yè)務(wù)關(guān)聯(lián)時，應(yīng)經(jīng)雙重認證,，即客戶在通過第三方支付機構(gòu)認證同時,，還需通過商業(yè)銀行的客戶身份鑒別。賬戶所在銀行應(yīng)通過物理網(wǎng)點,、電子渠道或其他有效方式直接驗證客戶身份,，明確雙方權(quán)利與義務(wù)。

四,、商業(yè)銀行通過電子渠道驗證和辨別客戶身份,，應(yīng)采用雙（多）因素驗證方式對客戶身份進行鑒別，對不具備雙（多）因素認證條件的客戶,，其任何賬戶不得與第三方支付機構(gòu)建立業(yè)務(wù)關(guān)聯(lián),。

五、商業(yè)銀行對賬戶與第三方支付機構(gòu)建立業(yè)務(wù)關(guān)聯(lián)的客戶,，應(yīng)開通至少一種賬戶變動即時通知技術(shù)方式,，不具備即時通知條件的客戶，不得通過銀行與第三方支付機構(gòu)建立一次簽約,、多次支付的業(yè)務(wù)合作關(guān)系,。

六、商業(yè)銀行應(yīng)設(shè)立與客戶技術(shù)風(fēng)險承受能力相匹配的支付限額,，包括單筆支付限額和日累計支付限額,。

商業(yè)銀行應(yīng)向客戶提供臨時調(diào)整支付限額的服務(wù)，在進行身份驗證和辨別后,，按照客戶申請,，在臨時期限內(nèi)可以適當(dāng)調(diào)整單筆支付限額和日累計支付限額。

七,、商業(yè)銀行應(yīng)對客戶通過第三方支付機構(gòu)進行大額資金劃轉(zhuǎn)強化身份認證,，確保由客戶本人發(fā)出資金劃轉(zhuǎn)要求。商業(yè)銀行在與第三方支付機構(gòu)簽訂業(yè)務(wù)合作協(xié)議時,，應(yīng)就非商業(yè)銀行直接進行客戶身份認證的批量扣款或電子支付,，與第三方支付機構(gòu)就賠付責(zé)任達成一致。

八,、對預(yù)留手機號碼且設(shè)定短信通知的客戶,，商業(yè)銀行應(yīng)在客戶進行支付時對第三方支付機構(gòu)提供的手機號碼和銀行預(yù)留的手機號碼進行一致性檢驗，通過后方可進行支付,。如果銀行已按照前述要求在業(yè)務(wù)關(guān)聯(lián)時進行了相關(guān)信息驗證,，確保客戶身份真實可靠,，在交易時可以無需再次驗證,。

九、商業(yè)銀行應(yīng)保留完整的支付信息,，在相關(guān)法律法規(guī)規(guī)定的期限內(nèi)妥善保管,，并向客戶提供第三方支付機構(gòu)的簽約查詢和交易查詢功能。

十,、商業(yè)銀行應(yīng)就大額支付,、可疑支付及時通知客戶。對開通短信或其他方式即時通知功能的客戶,，應(yīng)就每一筆支付交易即時通知客戶,。通知信息中包含但不限于第三方支付機構(gòu)名稱、交易金額,、交易時間等,。

十一、商業(yè)銀行應(yīng)明確要求第三方支付機構(gòu)不得在未經(jīng)授權(quán)的情況下屏蔽本銀行的支付界面與接口,。

十二,、從銀行賬戶劃出的支付交易資金，遇到交易終止,、失敗應(yīng)劃回原銀行賬戶,。

十三、商業(yè)銀行接受客戶申請,，通過身份驗證后,，應(yīng)當(dāng)提供可以撤銷客戶賬戶與第三方支付機構(gòu)業(yè)務(wù)合作關(guān)聯(lián)的服務(wù)。

十四,、商業(yè)銀行應(yīng)將與第三方支付機構(gòu)的合作業(yè)務(wù)納入全行業(yè)務(wù)運營風(fēng)險監(jiān)測系統(tǒng)的監(jiān)控范圍,，對其中的商戶和客戶在本行的賬戶資金活動情況進行實時監(jiān)控，達到風(fēng)險標(biāo)準(zhǔn)的應(yīng)組織核查,。特別是對其中大額,、異常的資金收付應(yīng)做到逐筆監(jiān)測、認真核查,、及時預(yù)警,、及時控制。

十五,、商業(yè)銀行應(yīng)對客戶通過第三方支付機構(gòu)進行的交易建立自動化的交易監(jiān)控機制和風(fēng)險監(jiān)控模型,，及時發(fā)現(xiàn)和處置異常行為,、套現(xiàn)或欺詐事件。

十六,、商業(yè)銀行應(yīng)做好數(shù)據(jù)和操作指令的整理和日志備份,，便于事后檢查和審計。商業(yè)銀行與第三方支付機構(gòu)合作開展的各項業(yè)務(wù),，凡涉及備付金存放和資金劃轉(zhuǎn)的,，均應(yīng)建立每日對賬制度，嚴(yán)格執(zhí)行備付金銀行及備付金銀行賬戶相關(guān)監(jiān)管要求,，不得使用或變相使用銀行內(nèi)部賬戶以待清算資金等名義為第三方支付機構(gòu)存放客戶備付金,。商業(yè)銀行應(yīng)就第三方支付機構(gòu)備付金存管業(yè)務(wù)建立統(tǒng)一管理機制，未經(jīng)總行書面授權(quán),，任何分支機構(gòu)不得直接與第三方支付機構(gòu)合作開展備付金存管業(yè)務(wù),，強化備付金的監(jiān)督管理。

十七,、商業(yè)銀行應(yīng)采取技術(shù)措施保障來自第三方支付機構(gòu)的傳輸數(shù)據(jù)（如客戶數(shù)據(jù),、交易數(shù)據(jù)等）和操作指令（如支付指令、身份驗證指令等）的完整性,、一致性和不可抵賴性,。對不具備對等安全保障能力的第三方支付機構(gòu)，原則上應(yīng)不予合作,。

十八,、銀行應(yīng)構(gòu)建安全的網(wǎng)絡(luò)通道（如專線連接、VPN通道等）,，指定安全邊界（如部署防火墻,、DMZ隔離區(qū)等），防止第三方支付機構(gòu)越界訪問,。

十九,、商業(yè)銀行應(yīng)按照本通知各項要求，做好相應(yīng)的制度及合同修訂工作,。相關(guān)工作最遲應(yīng)于2014年6月30日前完成,。

二十、其他銀行業(yè)金融機構(gòu)開展相關(guān)業(yè)務(wù)時,，參照本通知執(zhí)行,。

特此通知。

中國銀行業(yè)監(jiān)督管理委員會

中國人民銀行

2014年4月3日