비은행 지불 기관 네트워크 지불 업무 관리 방법 (의견 초안) 의 위험 관리 및 고객 권익 보호
제 23 조 지불 기관 네트워크 지불 업무 관련 시스템 시설 및 관련 제품 사용에 대한 특정 기술은 국가, 금융 업계 표준 및 관련 정보 보안 관리 요구 사항을 지속적으로 준수해야 합니다. 인터넷 지불 업무 관련 제품에 사용되는 기술은 아직 국가 금융 업계 표준을 형성하지 않았으므로 지불 기관은 해당 제품과 관련된 위험 손실을 전액 부담해야 합니다. < P > 제 24 조 지불 기관은 국내에서 독립적이고 안전하며 규범적인 네트워크 지불 업무 처리 시스템 및 백업 시스템을 소유하고 운영해야 합니다. < P > 지불 기관이 국내 거래에 서비스를 제공하는 경우 국내 업무 처리 시스템을 통해 네트워크 지불 업무를 처리하고 국내에서 자금 결제를 완료해야 합니다. < P > 제 25 조 지불 기관은 고객 ID 검증 방법, 거래 행동 특성, 신용 상태 등의 요소를 결합하여 고객 위험 등급 관리 시스템을 구축하고 고객 위험 등급을 동적으로 조정해야 합니다. < P > 제 26 조 지불 기관은 고객 지불 지침 검증 방법, 고객 위험 등급, 거래 유형, 거래 금액, 거래 채널, 수락 터미널 유형, 고객 범주 등에 따라 거래 위험 관리 시스템 및 거래 모니터링 시스템을 구축해야 합니다. 위법범죄 혐의를 받은 사람은 제때에 공안기관에 신고해야 하며, 동시에 중국 인민은행과 그 지점에 보고해야 한다. < P > 제 27 조 지불 기관은 다음 세 가지 유형의 요소를 조합하여 고객이 지불 계정 잔액 지불을 사용하는 지불 지침을 검증할 수 있습니다. < P > (1) 고객이 알고 있는 요소 (예: 정적 암호 등) 만 확인할 수 있습니다. < P > (2) 고객 본인만 보유하고 있으며 복제 불가능하거나 재사용 불가능한 요소 (예: 보안 인증을 받은 디지털 인증서, 전자 서명, 보안 채널을 통해 생성 및 전송되는 일회성 암호 등) : < P > (3) 고객 본인의 생리 특징 요소 (예: 지문 등). < P > 지불 기관은 채택된 요소가 서로 독립적이도록 해야 합니다. 즉, 일부 요소의 손상이나 유출로 인해 다른 요소가 손상되거나 유출되어서는 안 됩니다. < P > 제 28 조 지급 기관은 지불 지침 검증 방법의 보안 수준에 따라 개인 고객이 지불 계좌 잔액 지불을 사용하는 거래에 대한 한도 관리를 수행해야 합니다. 지불 기관은 디지털 인증서 또는 전자 서명을 포함한 두 가지 이상의 요소 (포함) 로 검증된 거래를 사용하며, 1 일 누적 한도는 지불 기관과 고객이 계약을 통해 자율적으로 합의합니다. 지불 기관은 디지털 인증서, 전자 서명을 제외한 두 가지 요소 (포함) 이상을 사용하여 검증을 수행하는 거래를 채택합니다. 단일 고객의 모든 지불 계좌는 일일 누적 금액이 5 위안을 넘지 않아야 합니다 (지불 계좌를 포함하지 않고 고객 본인과 같은 이름의 은행 계좌로 이체합니다). 지불 기관은 검증을 위해 두 가지 유형의 요소 미만의 거래를 채택하고 있으며, 단일 고객의 모든 지불 계정의 일일 누적 금액은 1 위안을 넘지 않아야 하며, 지불 기관은 이러한 거래의 위험 손실 배상 책임을 무조건 전액 부담할 것을 약속해야 합니다. < P > 제 29 조 지불 기관은 디지털 인증서, 전자 서명을 인증 요소로 사용하며 관련 기술 보안 표준, 데이터 보안 스토리지 및 컴퓨팅 기능을 갖춘 하드웨어 캐리어를 통해 디지털 인증서 및 전자 서명 생성 프로세스를 보호해야 합니다. 디지털 인증서의 고유성, 무결성 및 거래의 부인 방지 보장
지불 기관은 1 회 비밀번호를 인증 요소로 사용하며 1 회 비밀번호 수집과 지불 명령 개시자가 동일한 물리적 장치에 미치는 위험을 효과적으로 방지하고 1 회 비밀번호 유효 기간을 최소한으로 제한해야 합니다.
지불 기관은 고객 자신의 생리적 특성을 검증 요소로 사용하며 관련 기술 보안 표준, 데이터 보안 스토리지 및 컴퓨팅 기능을 갖춘 하드웨어 캐리어를 통해 불법 저장, 복제 또는 재생으로부터 보호해야 합니다. < P > 제 3 조 지불 기관은 매년 거래 및 정보 보안 관리 시스템, 비즈니스 처리 시스템, 거래 모니터링 시스템 등의 위험 예방 및 통제 메커니즘에 대한 종합적인 평가를 실시해야 합니다. 평가는 어떠한 방식으로도 인터넷 결제 서비스 개발 또는 운영에 참여하지 않는 전문가가 수행해야 합니다. 평가 보고서는 매년 1 월 31 일까지 홈페이지에 외부에 발표해야 한다. < P > 제 31 조 지불 기관은 고객이 로그인 또는 ID 를 시도하는 횟수를 제한하고, 고객 액세스 제한 시간 규칙을 설정하고, ID 기간을 설정해야 합니다. < P > 제 32 조 지불 기관은 비상 사태 대비 계획을 수립하고, 재해 대비 시스템을 구축하고, 무중단 업무 운영 및 시스템 보안을 보장해야 합니다.
제 33 조 지불 기관은 고객의 자율적인 선택권을 충분히 존중해야 하며, 고객이 본 기관에서 제공하는 네트워크 지불 서비스를 사용하도록 강요해서는 안 되며, 고객이 다른 기관에서 제공하는 네트워크 지불 서비스를 사용하는 것을 방해해서는 안 된다. < P > 지불 기관은 고객이 선택할 수 있는 다양한 자금 지불 방법을 공정하게 전시해야 하며, 어떤 형태로든 유도를 유도하거나, 고객에게 지불 계좌를 개설하거나, 지불 계좌를 통해 자금 지불을 해서는 안 되며, 불합리한 거래 조건을 첨부해서는 안 됩니다. < P > 지불 기관은 고객이 원하는 대로 인터넷 지불 서비스 또는 지불 계정 기능의 일시 중지, 비활성화 또는 로그아웃을 처리해야 합니다. < P > 제 34 조 지급기관은' 중국 인민은행이 은행업 금융기관에 대한 개인금융정보 보호 업무를 잘 해준다는 통지' (은발 [211] 17 호) 관련 규정을 참고해 효과적인 고객 정보 보호 조치와 위험통제 메커니즘을 개발해 고객 정보 보호 책임을 충실히 이행해야 한다.
제 35 조 지불 기관은' 최소화' 원칙에 따라 고객 정보를 수집, 사용, 저장 및 전송하고 고객에게 관련 정보의 사용 목적과 범위를 알려야 합니다. 지불 기관은 지불 업무 요구를 처리하고 고객이 항목별로 확인하고 허가하는 것, 법률 규정에 달리 명시되지 않는 한 본 기관 이외의 기관 및 개인에게 고객 정보를 제공할 수 없습니다. < P > 지불 기관은 고객 은행 계좌 비밀번호, 은행 카드 확인 코드 및 유효 기간과 같은 민감한 정보를 저장할 수 없습니다. 특별 업무상의 요구로 인해 지불 기관은 고객 은행 카드의 유효기간을 저장해야 하며, 고객 및 계좌 개설 은행의 승인을 받아 암호화된 형식으로 저장해야 합니다. < P > 제 36 조 지불 기관은 계약을 통해 특약 업체가 고객 계좌 비밀번호, 은행 카드 확인 코드, 유효 기간 등 민감한 정보를 저장하는 것을 금지하고 정기 검사, 기술 모니터링 등 필요한 감독 조치를 취해야 한다. < P > 머천트가 계약을 위반하여 이러한 민감한 정보를 저장하기로 합의한 경우, 지불 기관은 즉시 네트워크 지불 서비스 제공을 일시 중지 또는 종료하고, 민감한 정보를 제거하고, 정보 유출을 방지하고, 관련 정보 유출로 인한 손실과 책임을 져야 합니다. < P > 제 37 조 지급기관은 건전한 위험준비금 제도와 거래배상제도를 수립하고 고객 원인으로 인한 자금 손실을 효과적으로 증명할 수 없는 위험준비금을 사용하여 전액 배상하여 고객의 합법적인 권익을 보장해야 한다. < P > 지불 기관은 연간 규제 보고서에 고객 위험 손실, 고객 손실 배상, 위험 충당금 청구, 위험 충당금 사용, 위험 충당금 잔액 등을 진실하게 반영해야 합니다. < P > 제 38 조 지불 기관은 고객에게 네트워크 지불 업무의 잠재적 위험을 충분히 제시하고, 불법분자의 새로운 범행 수단을 적시에 밝히고, 고객에게 필요한 안전 교육을 실시하고, 고위험 업무에 대한 운영 전, 운영 중 위험 경고를 실시해야 한다. < P > 지불 기관은 매년 1 월 31 일까지 전년도에 발생한 위험 사건, 고객 위험 손실, 고객 손실 배상 등을 웹사이트에 공개해야 합니다. < P > 제 39 조 지불 기관이 고객이 투자 재테크 제품 또는 서비스를 구매할 수 있도록 네트워크 지불 서비스를 제공하는 경우 관련 제품 또는 서비스 제공자가 해당 영업 자격을 획득하고 법에 따라 업무를 수행하는 기관을 확보하고 고객에게 잠재적 위험을 충분히 제시할 수 있도록 해야 합니다. < P > 제 4 조 지불 기관은 고객이 지불 지침을 실행하기 전에 자금 지불 계좌, 거래 금액 등의 거래 정보를 확인하고 지불 지침이 완료된 후 즉시 결과를 고객에게 알릴 수 있도록 효과적인 조치를 취해야 합니다. < P > 거래 시간 초과, 응답 없음 또는 시스템 장애로 인해 지불 지침이 제대로 처리되지 않을 경우 지불 기관은 고객에게 즉시 알려야 합니다. 고객 사유로 인해 지불 지시가 실행되지 않거나, 제대로 실행되지 않거나, 실행이 지연되는 경우, 지불 기관은 고객에게 변경 사항을 사전 통보하거나 고객이 시정 조치를 취할 수 있도록 지원해야 합니다. < P > 제 41 조 지불 기관은 네트워크 지불 업무 오류 분쟁 및 분쟁 불만 처리 시스템을 구축하고, 관련 수락 메커니즘 및 프로세스를 고객에게 알리고, 전문 부서 및 인력을 배치하여 거래 오류 및 고객 불만을 진실하고 정확하며 적시에 처리해야 합니다. < P > 제 42 조 지불 기관은 합법적인 독립 도메인 이름을 가진 웹 사이트, 통합 24 시간 고객 서비스 전화 등을 통해 고객에게 네트워크 지불 서비스 및 조회, 컨설팅, 불만 등의 지원 서비스를 제공해야 합니다. < P > 지불 기관은 고객에게 관련 서비스에 대한 정확한 접근 방법을 알리고, 서비스 채널의 신뢰성을 효과적으로 식별하고, 불법분자가 지불 기관을 사칭하거나 허위 서비스 채널을 제공하여 사이버 사기, 계좌 도용 또는 정보 도용을 방지하는 것을 방지해야 합니다. < P > 제 43 조 지불 기관은 고객에게 최소 1 년 이내에 거래 정보 조회 서비스를 무료로 제공해야 합니다. < P > 제 44 조 지불 기관은 시스템 업그레이드, 디버깅 등의 이유로 인터넷 지불 서비스를 중단해야 하는 경우 최소 5 일 (영업일 기준) 전에 공고해야 합니다. < P > 제 45 조 지불 기관이 계약 조건을 변경하거나, 인터넷 지불 서비스 요금 기준을 높이거나, 새로운 청구 항목을 설정하는 경우, 구현 전에 3 일 동안 웹 사이트에서 눈에 띄는 방식으로 지속적으로 홍보해야 하며, 고객이 관련 업무를 처음 처리하기 전에 고객이 조정할 모든 세부 사항을 알고 수락하여 관련 서비스에 대한 고객의 자율적 선택권을 보장해야 합니다. < P > 제 46 조 지불 기관은 로그인, 지불 명령 검증, 신분 정보 변경, 예약 통신 번호 변경, 업무 기능 조정, 거래 한도 조정, 자금 지불 방법 변경, 비밀번호 재설정 또는 분실, 디지털 인증서, 전자 서명 등을 포함하되 이에 국한되지 않는 고객 작업을 진실하고 완전하게 기록해야 합니다. 관련 기록은 작업 유효일로부터 최소 5 년 동안 보관해야 합니다. < P > 제 47 조 상업은행이 본업은행 계좌와 관련된 관련 거래에 대해 조회, 착오 또는 불만 처리, 위험통제 등 합리적인 요구를 하는 경우, 지급기관은 적극적으로 협조하여 제때에 처리해야 한다.