央行：网络支付拟每天限额5000元

　　第二十条 因交易取消(撤销)、退货、交易不成功或者投资理财产品赎回等原因需划回资金的，相应款项应当划回原扣款账户。

　　第二十一条 支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性，不得篡改或者隐匿交易信息。交易信息包括但不限于下列内容：

　　(一)交易渠道、受理终端类型、交易类型、交易金额、交易时间，以及直接向客户提供商品或者服务的特约商户名称和按照国家与金融行业标准设置的商户类别码；

　　(二)收付款客户名称，收付款支付账户账号或者银行账户的开户银行名称及账号；

　　(三)付款客户的身份验证和交易授权信息；

　　(四)有效追溯交易的标识；

　　(五)单位客户单笔超过5万元的转账业务的付款用途和事由，及付款依据或者相关证明文件。

　　第二十二条 支付机构对特约商户的拓展与管理、业务与风险管理措施应当按照《银行卡收单业务管理办法》等相关规定执行。

　　第四章 风险管理与客户权益保护

　　第二十三条 支付机构网络支付业务相关系统设施和相关产品运用的具体技术，应当持续符合国家、金融行业标准和相关信息安全管理要求。网络支付业务相关产品运用的技术尚未形成国家、金融行业标准的，支付机构应当全额承担该产品相关风险损失。

　　第二十四条 支付机构应当在境内拥有并运营独立、安全、规范的网络支付业务处理系统及其备份系统。

　　支付机构为境内交易提供服务的，应当通过境内业务处理系统为其办理网络支付业务，并在境内完成资金结算。

　　第二十五条 支付机构应当综合客户身份核实方式、交易行为特征、资信状况等因素，建立客户风险评级管理制度，并动态调整客户风险评级。

　　第二十六条 支付机构应当根据客户支付指令验证方式、客户风险评级、交易类型、交易金额、交易渠道、受理终端类型、商户类别等因素，建立交易风险管理制度和交易监测系统，对疑似套现、欺诈、非法融资、洗钱、恐怖融资等交易，及时采取调查核实、延迟结算、终止服务等风险管理措施；发现涉嫌违法犯罪的，应当及时向公安机关报案，同时向中国人民银行及其分支机构报告。

　　第二十七条 支付机构可以组合选用下列三类要素，对客户使用支付账户余额付款的支付指令进行验证：

　　(一)仅客户本人知悉的要素，如静态密码等；

　　(二)仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等；

　　(三)客户本人生理特征要素，如指纹等。

　　支付机构应当确保采用的要素相互独立，即部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。

　　第二十八条 支付机构应根据支付指令验证方式的安全级别，对个人客户使用支付账户余额付款的交易进行限额管理。支付机构采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易，单日累计限额由支付机构与客户通过协议自主约定；支付机构采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过5000元(不包括支付账户向客户本人同名银行账户转账，下同)；支付机构采用不足两类要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过1000元，且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。

　　第二十九条 支付机构采用数字证书、电子签名作为验证要素的，应当通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体对数字证书及生成电子签名的过程进行保护，确保数字证书的唯一性、完整性及交易的不可抵赖性。

　　支付机构采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。

　　支付机构采用客户本人生理特征作为验证要素的，应通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体进行保护，防止被非法存储、复制或重放。

　　第三十条 支付机构应当每年对交易和信息安全管理制度、业务处理系统、交易监测系统等风险防控机制开展全面评估。评估应由不以任何方式参与网络支付服务开发或者运营的专业人员进行。评估报告应于每年1月31日前在网站对外公告。

　　第三十一条 支付机构应当限制客户尝试登陆或者识别身份的次数，制定客户访问超时规则，设置身份识别时限。

　　第三十二条 支付机构应当制定突发事件应急预案，建立灾备系统，保障业务连续性和系统安全性。