第二章 条码生成和受理

　　第十条会员单位开展条码支付业务，应将客户用于生成条码的银行账户号码或支付账户账号、身份证件号码、手机号码进行关联管理。

　　第十一条会员单位开展条码支付业务，应符合监管部门的移动支付技术安全标准，可以组合选用下列三种要素，对客户条码支付交易进行验证：

　　(一)仅客户本人知悉的要素，如静态密码等；

　　(二)仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等；

　　(三)客户本人生理特征要素，如指纹等。

　　会员单位应当确保采用的要素相互独立，部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。

　　第十二条会员单位采用数字证书、电子签名作为验证要素的，数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》(JR/T0118-2015)等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖性。

　　会员单位采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。

　　会员单位采用客户本人生理特征作为验证要素的，应当符合国家、金融行业标准和相关信息安全管理要求，防止被非法存储、复制或重放。

　　第十三条会员单位应根据交易验证方式的安全级别及《条码支付技术安全指引》关于风险防范能力的分级，对个人客户条码支付业务的交易进行限额管理：

　　(一)风险防范能力达到A级，采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的，由会员单位与客户通过协议自主约定单日累计限额；

　　(二)风险防范能力达到B级，采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计金额应不超过5000元；

　　(三)风险防范能力达到C级，采用不足两类要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计金额应不超过1000元，且会员单位应当承诺无条件金额承担此类交易的风险损失赔付责任。

　　第十四条会员单位应通过设置条码使用效期、使用次数等方式，确保条码有效性和真实性，防止条码被重复使用、重复扣款。

　　第十五条会员单位开展条码支付业务所涉及的业务系统、客户端软件、受理终端/机具等，应当持续符合监管部门及行业标准要求，确保条码生成和识读过程的安全性、真实性和完整性。支付机构还应通过协会组织的技术安全检测认证。

　　第十六条条码信息不应包含任何与客户及其账户相关的敏感信息，仅限包含当次支付相关信息。

　　特约商户相关系统生成的条码中，仅限包含与当次支付有关的特约商户、商品(服务)或商品(服务)订单等信息。

　　移动终端展示的、由相关系统生成的条码中，不应直接包含本人账户信息；账户信息应加密处理。

　　会员单位应指定专人操作、维护特约商户用于生成条码的相关系统，保障特约商户条码生成的安全和可靠。

　　第十七条会员单位应为自身发行的条码提供受理服务。支付机构基于支付账户开展条码支付的，应按照自行发展用户、自行拓展商户的封闭模式在限定场景内开展业务。

　　支付机构基于银行卡开展条码支付业务的，应遵守《银行卡收单业务管理办法》(中国人民银行公告[2013]第9号)等相关规定。

　　第十八条会员单位应确保付款和收款扫码交易经客户确认或授权后发起，支付信息应真实、完整、有效。

　　移动终端完成条码扫描后，应正确、完整显示扫码内容，供客户确认。对于移动终端间的小额转账业务，付款方完成扫码后，移动终端应回显隐去姓氏的收款方姓名，供付款方确认。

　　特约商户受理终端完成条码扫描后，应仅显示扫码成功并提示下一步操作，不得向特约商户展示条码中客户相关敏感信息。

　　第十九条会员单位应根据付款和收款扫码的真实场景，按照监管规定和相关业务规则与管理制度要求，正确选用交易类型，准确标识交易信息并完整发送，确保交易信息的完整性、真实性和可追溯性。

　　交易信息至少应包括：直接提供商品或服务的特约商户名称、类别和代码，受理终端(网络支付接口)类型和代码，交易时间和地点(网络特约商户的网络地址)，交易金额，交易类型和渠道。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。

　　第二十条支付交易报文中应通过特定域标识该交易为条码支付交易，以供商业银行或支付机构正确识别并进行授权处理。

　　第二十一条会员单位应采取技术措施，以保证交易信息传输的安全性、完整性和抗抵赖性。

　　第二十二条支付交易完成后，特约商户受理终端和移动终端应展示支付结果；支付失败的，特约商户受理终端和移动终端还应展示失败原因。

　　第二十三条会员单位应要求特约商户在支付交易成功后，按照特约商户与客户的约定及时提供相应商品或服务。

　　第二十四条会员单位应向特约商户和客户提供条码支付交易明细，便于其办理查询、退货、差错处理等业务。

　　第二十五条会员单位应根据交易发生时的原交易信息发起交易差错处理、退货交易，需划回资金的，相应款项应当划回原扣款账户。

　　第三章 条码支付特约商户管理

　　第二十六条会员单位拓展条码支付特约商户，应遵循”了解你的客户“原则，确保所拓展的是依法设立、合法经营的特约商户。

　　第二十七条特约商户及其法定代表人或负责人在中国人民银行指定的风险信息管理系统中存在不良信息的，会员单位应谨慎或拒绝为该特约商户提供条码支付服务。

　　中国人民银行指定的风险信息管理系统包括但不限于中国人民银行或行业协会有关信息管理系统、银行卡清算机构建设运营的风险信息共享系统。

　　第二十八条会员单位拓展特约商户应落实实名制规定，严格审核特约商户申请材料的真实性、完整性、有效性，并留存特约商户有效证件影印件或复印件。对于申请材料虚假、缺失、要素不全或不合规的，不得审批通过。

　　第二十九条会员单位应制定特约商户审批制度和审批流程，明确审批权限，指定专人负责特约商户审批工作。特约商户审批岗位不得与特约商户拓展等相关岗位兼岗。

　　第三十条会员单位应与特约商户就银行账户的设置和变更、资金结算周期、结算手续费标准、差错和争议处理等条码支付服务相关事项进行约定，明确双方的权利、义务和违约责任。

　　第三十一条会员单位应要求特约商户提供真实的商品或服务；按规定使用受理终端(网络支付接口)、银行账户或支付账户，不得利用其从事或协助他人从事非法活动；妥善处理交易数据信息、保存交易凭证，保障交易信息安全；不得向客户收取或变相收取附加费用，或降低服务水平。

　　第三十二条会员单位应建立特约商户信息管理系统，记录特约商户名称和经营地址、特约商户身份资料信息、特约商户类别、结算手续费标准、银行结算账户信息、开通的交易类型和开通时间、受理终端(网络支付接口)类型和安装地址等信息，并及时进行更新。

　　第三十三条会员单位应通过建立特约商户及链接地址的黑、白名单等方式，控制支付风险。

　　第三十四条会员单位应建立特约商户检查制度，明确检查频率、检查内容、检查记录等管理要求，落实检查责任。对特约商户受理终端，不得开通条码支付转账业务功能；对移动终端，不得开通特约商户交易资金结算功能。

　　第三十五条会员单位应当对实体特约商户条码受理业务进行本地化经营和管理，通过在特约商户及其分支机构所在省(区、市)域内的受理机构提供受理服务，不得跨省(区、市)域开展条码受理业务。

　　第三十六条会员单位基于银行卡(账户)开展条码支付业务的，应按照相关监管制度要求审慎选择外包服务机构，严格规范与外包机构的业务合作，并强化外包业务的风险管理责任。

　　第三十七条会员单位应按照相关监管制度要求强化支付敏感信息内控管理和安全防护，强化交易密码保护机制；通过全面应用支付标记化技术等手段，从源头控制信息泄露和欺诈交易风险。

　　第三十八条会员单位应对特约商户进行条码支付业务培训，并保存培训记录。

　　第三十九条对特约商户申请材料、资质审核材料、受理协议、培训和检查记录、信息变更、终止合作等档案资料，会员单位应至少保存至服务终止后5年。

　　第四十条会员单位提供条码支付服务应向特约商户收取结算手续费，不得变相向客户转嫁手续费，不得采取不正当竞争手段损害他人合法权益。

　　第四十一条会员单位与特约商户终止条码支付相关服务协议的，应及时关闭支付服务或支付接口(功能)，收回布放机具，进行账务清理，妥善处理后续事项。

　　第四十二条会员单位应尊重特约商户的自由选择权，不得干涉或变相干涉特约商户与其他机构的合作。