中国支付清算协会关于印发《中国支付清算协会支付清算综合服务平台行业风险信息共享系统业务管理办法（试行）》的通知

中国支付清算协会关于印发《中国支付清算协会支付清算综合服务平台行业风险信息共享系统业务管理办法（试行）》的通知

（中支协发[2016]29号）

各有关会员单位：

为加强支付清算行业风险信息共享，保障会员单位和客户合法权益，规范协会支付清算综合服务平台行业风险信息共享系统的业务处理，确保系统快速、高效、安全、稳定运行，协会制定了《支付清算综合服务平台行业风险信息共享系统业务管理办法（试行）》，现予以发布，请各有关会员单位遵照执行。

特此通知。

中国支付清算协会

2016年4月1日

中国支付清算协会支付清算综合服务平台行业风险信息共享系统业务管理办法（试行）

第一章 总则

第一条 为规范中国支付清算协会（以下简称“协会”）支付清算综合服务平台行业风险信息共享系统（以下简称“系统”）的业务处理，确保系统快速、高效、安全、稳定运行，依据《中国支付清算协会行业风险信息共享管理办法》，制定本办法。

第二条 系统参与机构包括但不限于协会和经协会批准使用系统的会员单位及其他相关机构。

第三条 系统实行7*24小时不间断运行。协会根据管理、运维需求可以调整运行工作时间。

第四条 协会对系统及其运行实行统一管理。

第二章 系统管理

第五条 各参与机构应遵循“单点接入”的原则。

第六条 系统处理下列业务：

（一）个人和企业风险信息的录入，录入方式分为人工录入和系统接口导入；

（二）个人和企业风险信息的变更，包括补录和失效等变更操作；

（三）个人和企业风险信息的审核，包括录入审核和变更审核；

（四）个人和企业风险信息的查询，包括单要素查询、批量查询、组合查询；

（五）风险信息查询结果导出；

（六）风险信息统计，包括汇总统计、分类统计。

第七条 系统和参与机构间发送和接收风险信息，应采取联机方式。

第八条 参与机构向系统发起信息录入和查询申请时，系统应即时进行响应并处理。当录入和查询并发量超出系统的信息最高处理能力时，系统将进行限流处理。

第九条 经协会批准接入的非会员单位参与者，可根据实际情况，享有使用风险信息的上传、查询、导出或其他的功能权限。

第十条 协会可对系统参与机构用户开立控制关系、权限控制关系、用户角色管理以及其他用户管理业务参数进行维护。

第十一条 系统因不可抗力原因造成无法正常运行的，参与机构应积极采取补救措施，做好应急处理，尽快恢复系统正常运行。

第三章 用户管理

第十二条 本办法所称参与机构用户，分为协会管理员，协会操作员，机构系统管理员，机构管理员，机构操作员。参与机构应根据需要设置适当数量的管理员和操作员。各角色主要权限如下：

（一）协会管理员：用户管理、角色管理、资源管理、机构管理，业务参数维护、公告管理、通知管理、日志管理；

（二）协会操作员：个人风险信息管理、企业风险信息管理、风险信息查询、风险信息统计、操作日志管理；

（三）机构系统管理员：用户管理、日志管理；

（四）机构管理员：信息查询、信息审核；

（五）机构操作员：信息录入、信息查询、信息变更。

第十三条 协会管理员和协会操作员，两种角色不得互相兼任。机构系统管理员，机构管理员和机构操作员，三种角色两两之间不得互相兼任。

第十四条 机构系统管理员用户由协会负责管理，机构其他用户由机构负责管理。

第十五条 协会管理员和协会操作员的开立、变更、撤销申请，及时由系统管理部门领导审批并处理。

第十六条 机构系统管理员用户的开立、变更、撤销，应当由机构以书面、网络或磁介质等方式向协会提交申请。

第十七条 参与机构申请开立机构系统管理员用户，协会应根据机构提交申请材料，包括用户名、用户密码、用户姓名、手机号、邮箱、所属机构、用户类型、生效日期、用户权限、启用时间等信息，人工核对无误后，录入系统处理。

第十八条 机构管理员用户和机构操作员用户的开立由机构系统管理员审核通过后录入系统处理，完成用户的设置、开立。

第十九条 参与机构按照本办法第十七条、第十八条的规定提交信息后，发现提交的用户信息与在线查询得到的相关信息不一致的，应依据提交申请信息进行核对。提交信息有误的，可按照本办法第二十条、第二十一条的规定做相应变更。

第二十条 已开立机构系统管理员用户的机构需变更用户姓名、手机号、邮箱、用户类型、用户权限等信息的，应向协会提出申请。协会核对相关申请资料后，人工将变更信息录入系统处理。

第二十一条 已开立机构管理员用户和机构操作员用户的机构需变更用户姓名、手机号、邮箱、用户类型、用户权限等信息的，应向本机构系统管理员提出申请。机构系统管理员完成相应审核、信息核对后录入系统处理，完成用户信息的变更。

第二十二条 参与机构按照本办法第二十条、第二十一条的规定提交用户变更申请信息后，发现提交的用户变更申请信息与在线查询得到的相关信息不一致的，应依据提交用户变更申请信息进行核对。提交信息有误的，可按照本办法第二十条、第二十一条的规定再次提起变更申请。

第二十三条 已开立机构系统管理员用户的机构需撤销该用户的，协会应根据机构提交申请材料，包括用户名、用户姓名、所属机构、生效时间等信息，人工核对无误后，录入系统处理，完成机构系统管理员用户的撤销。

第二十四条 已开立机构管理员用户和机构操作员用户的机构需撤销相应用户的，应向本机构系统管理员提出申请。申请信息包括用户名，用户姓名等信息，机构系统管理员完成相应审核、信息核对无误后录入系统处理，完成用户的撤销。

第二十五条 参与机构按照本办法第二十三条、第二十四条的规定提交用户撤销申请信息后，发现提交的用户撤销申请信息与在线查询得到的相关信息不一致的，应依据提交用户撤销申请信息进行核对。提交信息有误的，可按照本办法第二十三条、第二十四条的规定再次提起撤销申请，并根据本办法第十七条、第十八条的规定重新对误撤销的用户做开立操作。

第二十六条 协会应在国家法定工作日通过系统办理参与机构用户的开立、变更、撤销业务。

第四章 信息管理

第二十七条 系统处理的风险信息业务，从参与机构发起，经系统至原发起参与机构止。

第二十八条 风险信息经过参与机构确认，上传至系统后才产生效力。参与机构发起风险信息至协会，应符合系统规定的信息格式，并按照规定加密、加签。

第二十九条 风险信息的来源包括但不限于：

（一）会员单位在日常业务经营过程中发现的欺诈交易、违法违规交易及其相关具体信息；

（二）会员单位在业务拓展与合作中发现的从事违法违规经营行为的个人、商户、外包服务供应商及其他机构信息；

（三）非会员单位参与机构提供或通报的典型风险案例信息；

（四）非会员单位参与机构或协会有关近期行业风险形势的判断和风险提示信息。

第三十条 行业风险信息数据标准由协会和会员单位共同协商制定，并根据管理需要进行调整。

第三十一条 系统处理的风险信息主要包括：

（一）个人风险信息：

1.盗用虚拟账户：行为人被确认存在盗用他人虚拟账户的情况，包括转移他人账户资金造成损失，或以盗用资金为目的修改账户信息等情况；

2.盗用银行卡：行为人被确认存在盗用他人银行卡账户的情况，并通过恶意转账或消费造成持卡人损失；

3.欺诈：行为人通过发送恶意链接、木马等方式，欺骗或诱导客户对自身账户进行操作。

（二）企业风险信息：

1.违规经营：商户存在发布违反国家法律法规的商品信息，包括发布涉黄、涉赌、涉毒、传销信息等行为；

2.商户欺诈：商户存在欺诈行为，如收款不发货或不及时提供相应服务，以及通过修改商品信息骗取客户资金的行为；

3.商户套现：商户存在以虚构交易、虚开价格、现金退货等方式从事套现行为的情况；

4.高危商户：商户存在大量直接或间接为不法分子提供销赃渠道，如大宗虚拟商品买卖等情况。

第三十二条 风险信息存在“有效”和“失效”两种状态。有效信息是指，该信息在有效期内，可供全体用户查询使用。失效信息不具有效力，仅对协会和信息提供方可见。

第三十三条 信息失效包括两种情况：信息有效期届满；参与机构对其报送的有效信息主动设置失效变更，该信息失效。

第三十四条 已录入并审核通过的风险信息不可删除，但可做失效处理，并可对信息要素进行补录。

第三十五条 已录入但未审核通过的信息可进行修改和删除。

第三十六条 行业风险信息仅限会员单位用于风险防范管理工作，会员单位应根据自身经营情况、风控水平自主决定是否采纳和使用共享的风险信息，并自行承担相应风险。

第五章 保密管理

第三十七条 参与机构应严格遵守本办法及其他有关规定，做好行业风险信息的保密管理及共享工作。

第三十八条 参与机构应将行业风险信息保密及共享工作作为本单位保密管理工作的重点内容，建立完善的信息收集、报送、使用、保管等制度。

第三十九条 参与机构应重点做好载有行业风险信息的纸质文件、磁介质、电子介质、光介质及其他储存介质的保密管理工作。

第四十条 参与机构未经协会和信息提供方授权，不得以任何形式对外提供或发布行业风险信息，不得违规利用所掌握的共享信息从事其他商业活动牟利。

第四十一条 各参与机构应做好数字签名证书的管理工作，妥善保管好本单位的公钥证书和私钥证书，如出现丢失、损坏等情况，应及时与协会进行沟通，并配合协会做好数字证书的补发和换发工作。

第六章 附则

第四十二条 本办法由协会负责发布、解释和修订。

第四十三条 本办法自发布之日起实行。