中国支付清算协会关于印发《银行卡收单外包机构登记及风险信息共享办法》及《银行卡收单外包机构登记及风险信息系统业务管理办法》的通知

中国支付清算协会关于印发《银行卡收单外包机构登记及风险信息共享办法》及《银行卡收单外包机构登记及风险信息系统业务管理办法》的通知

（中支协发[2016]128号）

各有关会员单位：

为进一步规范银行卡收单外包业务，提升行业风险联防联控水平，中国支付清算协会（以下简称“协会”）组织会员单位建设了银行卡收单外包机构登记及风险信息共享系统（以下简称“系统”）。为确保信息共享机制的有效性，明确系统操作基本流程，协会制定了《银行卡收单外包机构登记及风险信息共享办法》及《银行卡收单外包机构登记及风险信息共享系统业务管理办法》，并经银行卡基支付工作委员会第二届常委会第四次会议审议通过，现予以发布，请会员单位遵照执行，并按照以下要求完成用户开立和存量外包服务机构信息报送工作：

一、会员单位应在2017年1月16日（周一）前，完成本机构已合作外包服务机构信息的报送工作。

二、尚未申请开立系统管理员用户的会员单位，请于2016年12月16日（周五）下班前，将用户开立申请材料发送至协会指定邮箱（具体要求可登录协会网站查看“公告通知”栏目中的《银行卡收单外包机构信息登记系统 风险事件协查管理系统接入指南》）。

三、会员单位信息录入员、信息审核员用户开立以及系统操作流程，可登录协会支付清算综合服务平台主页进行查询下载。

2.银行卡收单外包机构登记及风险信息共享系统业务管理办法

中国支付清算协会

2016年12月13日

银行卡收单外包机构登记及风险信息共享办法

第一章 总则

第一条 为规范银行卡收单机构业务外包行为，提高会员单位银行卡收单业务外包风险防控水平，促进行业间业务外包风险联防合作，共同维护银行卡收单外包服务市场秩序，根据《中国人民银行关于加强银行卡收单业务外包管理的通知》（银发〔2015〕199号）、《中国人民银行关于进一步加强银行卡风险管理的通知》（银发〔2016〕170号）及中国支付清算协会（以下简称“协会”）《银行卡收单外包业务自律规范》（中支协发〔2015〕76号）等制度，制定本办法。

第二条 本办法适用于在中华人民共和国境内从事银行卡收单业务并将收单业务进行外包的协会会员单位。

第三条 本办法所称收单机构，包括从事银行卡收单业务的银行业金融机构，获得银行卡收单业务许可、为实体特约商户提供银行卡业务受理并完成资金结算服务的支付机构，以及获得网络支付业务许可、为网络特约商户提供银行卡受理并完成资金结算服务的支付机构。

本办法所称银行卡收单外包服务机构（以下简称“外包服务机构”），是指依法成立，接受收单机构委托，承接部分银行卡收单业务的企业法人。特约商户资质审核、受理协议签订、收单业务交易处理、资金结算、风险监测、受理终端主密钥生成和管理、差错和争议处理等业务不得外包。

第四条 会员单位应按本办法要求向协会登记其合作外包服务机构信息并报送外包服务机构风险信息，确保登记信息及风险信息的真实性、完整性、准确性。

第二章 合作外包服务机构信息登记

第五条 收单机构新增合作外包服务机构的，应在双方正式签订合作协议后的1个月内完成信息登记。

第六条 收单机构登记合作外包服务机构信息时，需通过协会银行卡收单外包服务机构信息登记及风险信息共享系统（以下简称“系统”）完成相关信息录入和资料上传。收单机构可依据业务管理需要，由总部（总行）统一或授权其分支机构在系统中完成信息登记。

第七条 外包服务机构登记信息包括合作信息、基本信息、人员信息及其它信息：

（一）合作信息包括业务合作范围、合作地域、合作开始时间以及合作终止时间，其中业务合作范围包括特约商户推荐、受理终端布放、受理标识张贴、特约商户培训、特约商户巡检、受理终端维护、耗材配送、特约商户调单以及其它业务。

（二）基本信息包括是否具备收单资质、企业类型、营业执照注册名称、统一社会信用代码或营业执照注册号、营业执照经营范围、经营地域、营业执照注册地、税务登记证（如有）、组织机构代码（如有）、注册资本、实缴货币资本、法定代表人姓名及身份证件号码、公司成立时间、机构官网（如有）、公司（含分支机构）从事外包业务员工总数量、是否为分支机构、总部营业执照注册名称、总部营业执照注册号、总部实际经营地（具体地址）以及分支机构数量，其中分支机构数量是指收单机构合作外包服务机构总公司在全国范围内所设立的各层级（含省、市、区/县级）分支机构总数量。

（三）人员信息包括高级管理人员职务、姓名及身份证件号码、学习经历、工作经历，外包服务机构联系人、联系电话，其中高级管理人员包括总经理、副总经理、财务负责人、技术负责人等或实际履行上述职责的人员；

（四）其他需要登记的信息，以及部分登记信息所需配合上传的相关证明文件的电子文件。

第八条 收单机构在获知合作外包服务机构的合作信息、基本信息、人员信息或其他信息发生变更时，应在知悉变更事项后的1个月内通过系统完成信息变更。

第九条 收单机构与外包服务机构终止合作，应在正式解除合作协议后的1个月内完成登记信息变更，登记合作终止实际日期信息。

第十条 收单机构可通过系统查看自身以及所属分支机构已登记的信息。

收单机构也可查看系统中已登记外包服务机构在某一地区的业务开展整体情况，可查看的要素包括外包服务机构营业执照注册名称、营业执照编号、经营地域、业务合作范围以及合作收单机构总数量。

第十一条 协会发现登记信息不完整或不准确的，可要求登记信息机构及时进行更正。

第三章 外包服务机构风险信息报送

第十二条 收单机构向协会报送合作外包服务机构风险信息时，需通过协会系统完成相关信息录入和资料上传。

收单机构可依据业务管理需要，由总部（总行）统一或授权其分支机构在系统中完成信息报送。

第十三条 收单机构报送外包服务机构风险信息包括风险类型、基本信息、高级管理人员信息、事件描述、处罚信息及其它信息：

（一）风险类型：收单机构根据风险事件的类型进行选择；

（二）基本信息：包括外包服务机构营业执照注册名称、营业执照注册号（含三证合一的情形）、社会统一信用代码等；

（三）对风险事件负有直接责任或领导责任的高级管理人员信息，包括高级管理人员姓名、身份证件号码、部门、职务。

（四）事件描述：包括外包服务机构相应风险事件发生地域、发生时间、有效期、风险事件等级及事件描述等；

（五）处罚信息：处罚形式、处罚金额、处罚文件号及名称。

（六）其他信息：报送机构以备注形式对未尽事宜进行补充说明。

第十四条 收单机构开展合作的外包服务机构出现以下风险类型的，收单机构应在确认后的10个工作日内向系统完成风险信息报送，风险类型包括但不限于：

（一）虚假申请：提供虚假材料，骗取收单机构合作资格；

（二）违规转包：将收单外包业务进行转包、分包；

（三）截留商户资金进行二次清算：代替收单机构向商户结算资金；

（四）其他违规从事收单核心业务，核心业务包括特约商户资质审核、受理协议签订、收单业务交易处理、风险监测、受理终端主密钥生成和管理、差错和争议处理；

（五）伪造商户信息：伪造商户信息、推荐虚假或违法商户；

（六）合谋商户欺诈：与商户勾结从事欺诈活动，包含移机、套现、洗钱、侧录、伪卡等；

（七）存储或泄露敏感信息：存储、盗取、泄露或买卖银行卡/支付账户敏感信息及客户身份、交易信息，其中敏感信息包括但不限于支付账户账号、密码，银行卡磁道信息、密码、验证码、有效期等信息；

（八）违规改装受理终端：未经收单机构同意，违规改装终端软硬件设置，包含切机、加装侧录设备等；

（九）虚假宣传：不以自身机构真实名称或冒用收单机构、银行卡清算机构名义或超出授权范围开展虚假宣传和营销活动；

（十）私自布放终端：未经收单机构授权同意，擅自将POS机具提供给商户或个人使用；

（十一）恶意抢夺商户：具有收单资质的外包服务机构，违背与合作收单机构的约定，利用对商户提供外包服务的便利条件，以欺诈手段将合作收单机构商户转移为自身收单商户；

（十二）存在违规行为：因违规经营，被监管机构罚款、勒令整改、停业整顿或做出其他行政处罚决定的；

（十三）存在违法行为：企业或法定代表人被司法机关认定存在违法犯罪行为；

（十四）其他风险类型。

第十五条 根据风险事件的风险程度高低，系统将风险信息分为三个等级。

一级是指因违法违规行为被业务监管机构、公检法机构以及其他有权机构认定的风险信息，包括：

（一）因违规从事外包业务被业务监管机构以及公检法机构认定的风险信息；

（二）因违规经营被工商管理部门或其他有权机构采取没收违法所得、没收非法财物，责令停产停业，暂扣或者吊销许可证、暂扣或者吊销执照，或企业负责人被行政拘留等行政处罚手段；

（三）企业或法定代表人被公检法机构认定存在违法犯罪行为。

二级是报送机构经判断认定的风险信息，包括：

（一）报送机构综合相关证据判断分析后认定的风险信息；

（二）因违规经营被工商管理部门采取警告、罚款等行政处罚手段；

三级是报送机构经分析，认为存在可疑状况的风险信息。

第十六条 收单机构可通过系统查询已纳入共享的外包服务机构风险信息，了解风险事件详情及涉事机构高级管理人员信息。

对已录入系统的风险外包服务机构，在确保商户服务延续性的前提下，收单机构应根据风险事件等级、风险事件性质等因素进行综合考量并采取相应风险控制措施。

对因出现下列情形而被录入系统的外包服务机构，收单机构应避免与其开展合作，已经开展业务合作的，收单机构应依据自身的风险管控水平审慎决定是否继续业务合作：

（一）该外包服务机构在近4年内曾发生风险等级为一级的风险事件；

（二）该外包服务机构现任职的高级管理人员在近4年内任职过的外包服务机构曾发生风险等级为一级的风险事件，且该高管人员对风险事件的发生负有直接责任或领导责任；

对于出现下列情形而被录入系统的外包服务机构，收单机构应加强核查，审慎开展合作，并可根据本单位情况，采取扣取保证金、取消下期续约合作等方式，强化对外包服务机构的管理：

（一）该外包服务机构在近3年内曾发生风险等级为二级的风险事件或在近2年内曾发生风险等级为三级的风险事件；

（二）该外包服务机构现任职的高级管理人员在近3年内任职过的外包服务机构曾发生风险等级为二级的风险事件或在近2年内任职过的外包服务机构曾发生风险等级为三级的风险事件，且该高管人员对风险事件的发生负有直接责任或领导责任。

第十七条 收单机构对因使用系统中的共享信息产生的争议，应自行承担相应的法律后果，信息报送机构和协会不承担法律责任。

外包服务机构及其高级管理人员对涉及本单位或本人的风险信息的真实性提出异议的，协会可要求信息报送机构进行核实反馈。

第四章 附则

第十八条 关于会员单位在信息登记、报送及共享中涉及双方权利与义务、保密管理、奖励与惩戒等事项，参照《中国支付清算协会行业风险信息共享管理办法（暂行）》规定执行。

第十九条 本办法由协会负责发布、解释和修订。

第二十条 本办法自发布之日起实施。

银行卡收单外包机构登记及风险信息共享系统业务管理办法

第一章 总则

第一条 为规范中国支付清算协会（以下简称“协会”）支付清算综合服务平台银行卡收单外包机构登记及风险信息共享系统（以下简称“系统”）的业务处理，确保系统快速、高效、安全、稳定运行，依据《银行卡收单外包机构登记及风险信息共享办法》，制定本办法。

第二条 系统包括银行卡收单外包服务机构信息登记管理模块及银行卡收单外包服务机构风险信息共享管理模块。

第三条 系统参与机构包括但不限于协会和经协会批准使用系统的会员单位及监管部门、公检法机构等其他相关非会员单位。

第四条 系统实行7*24小时不间断运行，协会依据管理需求可对系统运行时间进行调整。

第五条 协会负责对系统业务及运营实施统一管理。

第二章 系统管理

第六条 系统参与机构通过网页登录方式访问系统。

第七条 系统主要业务功能包括：

银行卡外包服务机构信息（以下简称“登记信息”）登记，包括：

（一）登记信息的录入，录入方式为人工录入；

（二）登记信息的变更，包括修改和删除等变更操作；

（三）登记信息的审核，包括录入复核、变更复核和汇总审核；

（四）登记信息的查询，包括单要素查询、要素组合查询以及模糊查询；

（五）登记信息查询结果导出；

（六）登记信息对比，对本参与机构及其下属机构报送的同一外包服务机构信息进行比对；

（七）登记信息统计，包括汇总统计、分类统计。

银行卡收单外包机构风险信息（以下简称“风险信息”）共享业务，包括：

（八）风险信息的录入，录入方式为人工录入；

（九）风险信息的变更，包括修改和删除等变更操作；

（十）风险信息的复核，包括录入复核和变更复核；

（十一）风险信息的查询，包括单要素查询、组合查询；

（十二）风险信息查询结果导出；

（十三）风险信息统计，包括汇总统计、分类统计。

第八条 系统和参与机构间发送和接收登记信息及风险信息，采取联机方式处理。

第九条 参与机构向系统发起登记信息及风险信息录入和查询申请时，系统应即时响应并处理。

第十条 经协会批准接入的非会员单位参与者，可根据协会赋予的权限，使用风险信息上传、查询及其他相关功能。协会将及时向参与机构披露非会员单位接入情况。

第十一条 协会可对参与机构用户开立控制关系、权限控制关系、用户角色管理以及其他用户管理等业务参数进行维护。

第十二条 系统因不可抗力原因造成无法正常运行的，系统运营机构应积极采取措施，做好应急处置，尽快恢复系统正常运行。

第三章 用户管理

第十三条 本办法所称用户，分为协会用户及机构用户。协会用户包括协会系统管理员、协会管理员、协会操作员，机构用户包括机构系统管理员、机构管理员、机构操作员。参与机构应根据需要设置适当数量的管理员和操作员。各角色主要权限如下：

（一）协会系统管理员：用户管理、角色管理；

（二）协会管理员：资源管理、机构管理，业务参数维护、公告管理、通知管理、日志管理；

（三）协会操作员：登记信息管理、风险信息管理、信息查询、信息统计、操作日志管理；

（四）机构系统管理员：用户管理、日志管理；

（五）机构管理员：信息查询、信息复核、信息终审（总部（总行）机构管理员可根据业务管理需求自行决定是否设定配置终审用户）；

（六）机构操作员：信息录入、信息查询、信息变更。

第十四条 协会管理员和协会操作员角色不得相互兼任，机构系统管理员、机构管理员和机构操作员角色两两之间不得相互兼任。

第十五条 机构包括机构总部（总行）及其下属分支机构。机构总部（总行）系统管理员用户由协会负责管理，机构总部（总行）其他用户由总部（总行）系统管理员用户负责管理；分支机构系统管理员用户由上一级机构系统管理员用户负责管理，分支机构其他用户由本级分支机构系统管理员用户负责管理。

第十六条 协会管理员和协会操作员的开立、变更、撤销申请，须经系统业务管理部门领导审批通过后，由协会系统管理员负责及时完成操作。

第十七条 机构总部（总行）系统管理员用户的开立、变更、撤销，由总部（总行）以邮寄、传真或电子邮件等方式向协会提交申请。分支机构系统管理员用户的开立、变更、撤销，由其上一级机构实施管理。

第十八条 机构总部（总行）申请开立机构系统管理员用户，协会应根据机构提交的申请材料，审核用户姓名、手机号码、部门、邮箱、申请接入系统名称等信息无误后，开通系统管理员权限并下发用户、密码。

第十九条 机构管理员用户、机构操作员用户的开立由机构系统管理员审核通过后，在系统中完成相应用户的设置、开立。

第二十条 机构总部（总行）按照本办法第十七条、第十八条的规定提交申请信息后，发现已提交用户信息与在线查询结果不一致的，应对提交申请信息进行重新核对。提交信息有误的，可按照本办法第二十一条、第二十二条的规定做相应变更。

第二十一条 机构总部（总行）需变更系统管理员用户的姓名、手机号、邮箱、用户类型、用户权限等信息的，应向协会提出申请。协会核对相关申请资料信息通过后，在系统中完成相关信息变更处理。

机构的分支机构需变更系统管理员用户的姓名、手机号、邮箱、用户类型、用户权限等信息的，应向其上一级机构提出申请。上一级机构核对相关申请资料信息通过后，在系统中完成相关信息变更处理。

机构需要变更本机构管理员和机构操作员的用户姓名、手机号、邮箱、用户类型、用户权限等信息的，应向本机构系统管理员提出申请。机构系统管理员完成相应信息审核通过后，在系统中完成相关信息变更处理。

参与机构按照本办法第二十一条、第二十二条的规定提交用户变更申请信息后，发现已提交用户信息与在线查询结果不一致的，应依据提交用户变更申请信息进行重新核对。提交信息有误的，可按照本办法第二十条、第二十一条的规定再次提起变更申请。

第二十二条 机构需撤销系统管理员用户的，根据自身的不同层级向协会或其上一级机构提出申请，协会或上一级机构应根据提交的申请材料，审核用户名、用户姓名、所属机构、生效时间等信息通过后，在系统中完成系统管理员用户撤销处理。

第二十三条 机构需撤销本机构管理员用户或机构操作员用户的，应向本机构系统管理员提出申请。机构系统管理员审核用户名，用户姓名、生效时间等信息通过后，在系统中完成用户撤销处理。

第二十四条 参与机构按照本办法第二十二条、第二十三条的规定提交用户撤销申请信息后，发现提交的用户撤销申请信息与在线查询结果不一致的，应依据提交用户撤销申请信息进行核对。提交信息有误的，可按照本办法第二十二条、第二十三条的规定再次提起撤销申请，并根据本办法第十八条、第十九条的规定重新对误撤销的用户进行开立操作。

第二十五条 协会在接到机构开立、变更、撤销用户申请后，最迟在5个法定工作日内通过系统完成相应处理。

第四章 信息管理

第二十六条 登记信息及风险信息经过参与机构审核确认上传至系统后才产生效力。参与机构总部（总行）不设置信息终审用户的，信息经复核员复核通过后即上传至系统产生效力；参与机构总部（总行）设置终审用户的，信息经复核员审核通过再经终审用户审核后方上传至系统产生效力。

参与机构提交登记信息及风险信息至协会，应符合系统规定的信息格式。

第二十七条 登记信息为与参与机构开展业务合作的银行卡收单外包服务机构相关信息。

第二十八条 风险信息的来源包括但不限于：

（一）会员单位参与机构在业务拓展与合作中发现的从事违法违规经营行为的银行卡收单外包服务机构信息；

（二）公安机关、监管部门等有权部门认定的从事违法违规经营行为外包服务机构风险信息；

（三）监管部门等有权部门或协会关于行业风险状况的判断和风险提示信息。

第二十九条 登记信息及风险信息数据标准由协会和会员单位共同协商确定，并根据业务管理需要进行调整。

第三十条 系统处理的登记信息及风险信息主要内容包括：

（一）登记信息内容：

1.合作信息：业务合作范围、合作地域、合作开始时间以及合作终止时间，其中业务合作范围包括特约商户推荐、受理终端布放、受理标识张贴、特约商户培训、特约商户巡检、受理终端维护、耗材配送、特约商户调单以及其它业务。

2.基本信息：是否具备收单资质、企业类型、营业执照注册名称、统一社会信用代码或营业执照注册号、营业执照经营范围、经营地域、营业执照注册地、税务登记证（如有）、组织机构代码（如有）、注册资本、实缴货币资本、法定代表人（负责人）姓名及身份证件号码、公司成立时间、机构官网（如有）、公司（含分支机构）从事外包业务员工总数量、是否为分支机构、总部营业执照注册名称、总部营业执照注册号、总部实际经营地（具体地址）以及分支机构数量，其中分支机构数量是指收单机构合作外包服务机构总公司在全国范围内所设立的各层级（含省、市、区/县级）分支机构总数量。

3.人员信息：高级管理人员职务、部门、姓名及身份证件号码、学习经历、工作经历，外包服务机构联系人、联系电话，其中高级管理人员包括总经理、副总经理、财务负责人、技术负责人等或实际履行上述职责的人员；

4.其他信息：其他需要登记的信息，以及部分登记信息所需配合上传的相关证明文件的电子文件。

（二）风险信息内容：

1.风险类型：收单机构根据风险事件的类型进行选择；

2.基本信息：包括外包服务机构营业执照注册名称、营业执照注册号（含三证合一的情形）、社会统一信用代码等；

3.对风险事件负有直接责任或领导责任的高级管理人员信息：高级管理人员职务、部门、姓名、身份证件号码。

4.事件描述：包括外包服务机构相应风险事件发生地域、发生时间、有效期、风险事件等级、及事件描述等。

5.处罚信息：处罚形式、处罚金额、处罚文件号及名称。

6.其他信息：报送机构以备注形式对未尽事宜进行补充说明。

第三十一条 登记信息和风险信息存在“有效”和“失效”两种状态。

第三十二条 登记信息失效包括三种情形：参与机构终止与外包服务机构合作，在系统中填写了合作终止时间，且该时间已到期；参与机构对其报送的有效登记信息进行了修改使原信息失效，修改后的信息生效；参与机构对其报送的有效登记信息进行了删除，该信息失效。

第三十三条 风险信息失效包括三种情形：风险信息有效期届满；参与机构对其报送的有效风险信息进行了修改使原信息失效，修改后的信息生效；参与机构发现报送的风险信息有误，对其报送的有效风险信息进行了删除，该信息失效。

第三十四条 系统支持报送机构自行设定风险信息有效期。报送机构未设定有效期的，系统根据风险事件等级自动设定默认的有效期：风险事件等级为一级的，默认有效期4年；风险事件等级为二级的，默认有效期为3年；风险等级为三级的，默认有效期为2年。

第三十五条 有效信息在有效期内，可供全体用户查询使用。失效信息仅协会及信息报送方用户可见。

第三十六条 参与机构对有效信息及失效信息查询权限如下：

（一）协会及监管部门有权查询所有“有效”、“失效”信息。

（二）参与机构总部（总行）有权查询自身及所属分支机构报送的所有“有效”、“失效”信息。

（三）参与机构总部（总行）下属的分部（分行）有权查询自身及下属机构上报的所有“有效”、“失效”信息。

（四）所有参与机构均可查询“有效”信息。

第五章 保密管理

第三十七条 参与机构应严格遵守本办法及其他有关规定，做好登记信息及风险信息的保密管理及共享工作。

第三十八条 参与机构应将登记信息及风险信息保密及共享工作作为本单位保密管理工作的重点内容，建立完善的信息收集、报送、使用、保管机制和安全管理措施。

第三十九条 参与机构应做好载有登记信息及风险信息的纸质文件、磁介质、电子介质、光介质及其他储存介质的保密管理工作。

第四十条 参与机构未经协会和信息提供方授权，不得以任何形式对外提供或发布其他机构报送的登记信息及风险信息，不得违规利用所掌握的共享信息从事其他商业活动非法牟利。

第六章 附则

第四十一条 本办法由协会负责发布、解释和修订。

第四十二条 本办法自发布之日起实施。