关于加强银行卡安全管理预防和打击银行卡犯罪的通知
中国人民银行上海总部,各分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行;各银监局;各省、自治区、直辖市公安厅、局,工商局;新疆生产建设兵团公安局;各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行,中国银联股份有限公司:
为预防和打击银行卡犯罪,规范银行卡市场秩序,维护持卡人权益和社会公众对银行卡支付的信心,更好地发挥银行卡促进经济增长的作用,现就加强银行卡安全管理、预防和打击银行卡犯罪有关问题通知如下:
一、切实规范银行卡发卡行为
(一)认真落实银行卡账户实名制。发卡机构应严格遵守《中华人民共和国反洗钱法》、《个人存款账户实名制规定》(国务院令第285号发布)、《人民币银行结算账户管理办法》(中国人民银行令〔2003〕第5号发布)、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行令〔2007〕第2号发布)、《中国人民银行关于进一步落实个人人民币银行存款账户实名制的通知》(银发〔2008〕191号)等法规制度要求,切实履行客户身份识别义务,确保申请人开户资料真实、完整、合规。要充分利用联网核查公民身份信息系统,验证客户身份信息。未履行责任导致匿名、假名账户开立的,要按反洗钱法予以处罚,造成客户资金损失的,要依法承担责任。联网核查公民身份信息系统运行前开立的银行卡存量账户要逐步进行联网核查,未经核实的,发卡机构要专门标识,采取更严格的风险控制措施。个人代理他人办卡的,发卡机构必须同时核对代理人和被代理人的真实身份。无正当理由不允许个人代理多人办卡。对已在银行大量开户或申卡的持卡人申请办卡,要从严审查,并加强风险防控。
(二)控制信用卡发卡风险。发卡机构可通过查询人民银行征信系统、中国银联银行卡风险信息共享系统、资信调查等方式分析申请人的资信状况,合理确定授信额度。对申领首张信用卡的客户,发卡机构要对客户亲访亲签,不得采取全程自助发卡方式。谨慎发展无稳定工作、收入的客户群体,从严授信。发卡机构不得将信用卡发卡营销业务外包,不得擅自对信用卡透支利率、计息方式、免息期计算方式等进行调整。禁止单位代办信用卡,法律法规另有规定的除外。
二、加强银行卡交易监测和使用管理
(三)保护持卡人信息安全。发卡机构应建立有效的信息安全防护系统,保护持卡人信息安全。要为申请人提供安全可靠的密码设置和修改服务,密码应能通过柜台、电话银行等渠道快速、安全修改。向持卡人提供对账单及其他服务凭证时,应对卡号进行部分屏蔽(办理柜台业务打印的凭证除外)。发放的银行卡卡片应符合《银行卡卡片规范》(JR0052-2009)和《银行卡联网联合技术规范》(JR0055-2009)的要求。发卡机构应积极发行采用PBOC 2.0标准的银行IC卡,提高卡片防伪能力。经持卡人同意,对大额交易,发卡机构可以采取电话、短信等渠道向持卡人确认或进行风险提示等风险管理措施。对于银行卡信息可能发生泄露的,发卡机构应联系持卡人,提示持卡人尽快换卡或修改密码,不能联系到持卡人且情况紧急的,可采取措施临时锁定持卡人账户。
(四)完善对交易信息的动态监测。发卡机构要建立和完善银行卡交易监测系统,建立持卡人主体交易信息数据库,实现对持卡人信息的风险防控。对信用卡授信额度及分期付款等业务的信用额度应合并计算,统一各项业务指标和风险指标的统计口径。
(五)加强大额、可疑交易信息监测和报送。发卡机构要严格执行反洗钱规定,履行大额、可疑交易报告义务,加强对银行卡资金交易的监测。对同一持卡人大量办卡、频繁开户销户、短期内资金分散汇入集中转出等异常情况,要及时进行反洗钱报送。对有疑似套现、欺诈行为的持卡人,发卡机构可采取临时锁定交易等措施,并及时向公安机关报案。对确认存在套现、欺诈行为的持卡人,发卡机构应采取止付卡片、追索欠款等措施。
发卡机构要将相关银行卡风险信息及时报送人民银行征信系统,并积极报送中国银联银行卡风险信息共享系统,充分利用共享机制进行风险防控。
(六)严格自助转账业务的处理。未经持卡人主动申请并书面确认,发卡机构不得为持卡人开通电话转账、ATM转账、网上银行转账等自助转账类业务;为持卡人开通自助转账业务时,要向持卡人充分提示开通有关业务的风险,并要对持卡人进行更为严格的真实身份核查,确保实名开户;未履行职责,产生资金风险的,要依法承担责任。持卡人开通电话、ATM转账的,每日每卡转出金额不得超过5万元人民币。持卡人开通网上银行转账的,应采用数字证书、电子签名等安全认证方式,否则单笔转账金额不应超过1千元人民币,每日累计转账金额不得超过5千元人民币。缴纳公共事业费及同一持卡人账户之间转账的除外。
三、进一步强化对受理市场的风险控管
(七)严把特约商户准入关,落实特约商户实名制。收单机构发展特约商户要建立严格的实名审核和现场调查制度,充分利用联网核查身份信息系统、人民银行征信系统、中国银联银行卡风险信息共享系统等核查方式,核实商户法定代表人或负责人、授权经办人的个人身份,了解商户的经营背景、营业场所、经营范围、财务状况、资信等,必要时,要向公安部门、工商行政管理部门、商户开户行或其他单位进一步核实。特别要关注批发、咨询、中介、公益类等低扣率、零扣率商户的审查。
(八)建立健全对特约商户的现场检查和非现场监控制度。收单机构要建立商户交易数据库和监控系统,设置可疑交易监控和分析指标,根据特约商户的经营状况和规律,建立风险控制模型。建立对特约商户的定期现场检查制度,对于新签约商户、出售易变现金商品(如珠宝、电脑等)商户,以及发生过可疑交易、涉嫌欺诈交易或涉嫌协助持卡人套现等有不良记录的高风险商户,要提高现场检查频率。严格对消费撤销、退货、消费调整等高风险业务的交易授权管理。
发现有关商户涉嫌违规受理银行卡的行为时,收单机构要及时调查核实,并予以纠正。对有疑似受理伪卡、盗录信息、套现、欺诈行为的,收单机构可暂停其银行卡交易。对确有受理伪卡、盗录信息、欺诈、套现等违法行为的商户,收单机构应立即终止其银行卡交易,并向公安部门报案,将有关情况报告人民银行,将商户和其法定代表人或负责人的相关信息报送人民银行征信系统,并积极向中国银联银行卡风险信息共享系统报送。
对于因管理不善,导致所拓展商户和所布放POS机多次发生故意受理伪卡、盗录信息、套现、欺诈等违法犯罪行为的收单机构,人民银行要予以通报并限期整改。
(九)完善收单协议和商户档案管理。收单机构应与商户签订书面协议,明确各方的权利、义务和责任。协议应包括:收单服务的终止条件、受理机具的使用要求、账户与交易数据保密条款、交易凭证的管理、各类风险损失情况下经济责任的承担等。要建立完备的商户档案,保存商户准入的证明文件复印件、风险评估报告、商户培训、POS机管理、商户信息变化、对商户的现场检查和非现场监控情况等文件资料。要加强对特约商户的培训和风险教育,至少半年一次对商户收银员和相关人员进行义务培训。
(十)严格对收单外包服务机构的管理。收单机构可以委托收单外包服务机构为特约商户提供POS机布放、维修等一项或多项服务。但特约商户的资金清算责任和风险管理责任由收单机构承担。非金融机构作为外包服务机构参与外包服务的,必须具有健全的组织架构、内控制度和业务管理、风险控制措施,有熟悉银行卡相关业务的专业人员担任董事、高级管理职务,必须执行人民银行有关业务、技术标准。
收单机构要协调程序开发商加强POS终端程序的保密管理,不得将POS密钥管理、下载、程序灌装工作委托给外包服务机构,不得允许外包服务机构以商户名义入网。对于涉及客户信息和交易信息处理的外包服务机构,收单机构不得允许外包服务机构存储银行卡卡号以外的信息。由于外包服务机构的过失,造成发卡机构和持卡人资金损失的,应由收单机构先行赔付,再根据外包协议进行追偿。
(十一)遵守收单市场秩序。收单机构应严格遵守商户类别代码和扣率的有关规定,禁止套用、变造与真实商户类型不相符的商户编码以及多家商户共用一个商户编码和多台终端机具共用一个终端编号。要正确设置并向中国银联注册有关商户信息,在交易处理时向中国银联准确上送,同时确保受理终端能够完整、准确读取并传输卡片验证码。
收单机构原则上不得为经营场所地不在收单机构注册地的特约商户提供银行卡收单服务。如确有因财务、资金清算需要为经营场所不在收单机构注册地的特约商户提供收单服务的,应经收单机构总部审核同意,同时将有关收单事项向人民银行报告。严禁收单机构为了自身短期利益而出现争抢优质客户、一柜多机、不计成本降低商户结算手续费等非理性竞争行为。
四、改进银行卡受理终端的管理
(十二)加强ATM巡检、监控。收单机构布放的ATM终端要符合《银行卡自动柜员机(ATM)终端规范》(JR/T0002-2009)的要求,确保ATM的安全技术防范能力。收单机构要对ATM建立定期巡检制度,及时发现和排除风险隐患。要加大傍晚、夜间等案件高发时段ATM的巡查和监控力度,完善技术措施,创造条件实现ATM的实时监控。要及时向客户提示犯罪分子利用ATM作案的新手段和新动向,提高客户的安全意识和自我保护能力。发现犯罪分子作案痕迹后,各收单机构应立即向公安部门报案,并协助破案。
(十三)落实POS机安全技术标准。收单机构要加强对POS机申请、参数设置、程序灌装、使用、更换、维护、撤消的管理,建立覆盖各环节完整的管理制度,规范POS机终端程序的版本控制。要严格落实POS机安全技术标准,各种POS机应符合《银行卡销售点(POS)终端规范》(JR/T0001-2009)的要求。要改善POS机密钥和参数的安全管理,确保不同的POS机使用不同的终端主密钥并定期更换(即“一机一密”)。POS机密钥和相关参数必须由收单机构指定专人管理。未达到要求和没有完成POS机“一机一密”改造工作的地区和机构,必须于2010年年底前完成改造。要严格按照规定设置和保管POS机终端维护人员密码、收银主管密码、收银员密码,并加大密码更换频率。
(十四)控制移动POS机的安装。收单机构应谨慎对待特约商户安装移动POS机的申请,除航空、交通罚款、上门收费、移动售货、物流配送等确有使用移动POS机需求的行业商户,其他类型商户原则上不得安装移动POS机。收单机构要使用更为严格的技术手段,对移动POS机的使用进行有效跟踪和监控,原则上不应允许移动POS机跨地区使用,要屏蔽移动POS商户SIM卡的漫游功能。对于确有移动POS机跨地区使用需求的商户,收单机构要对其进行严格核实确认并经总部审核同意后再予以开通,有关信息要同时向人民银行报告。要加强对移动POS机安装商户的回访工作,如发现商户私自移机使用或超出其经营范围使用的情况,一律取消其受理资格,并将有关信息录入人民银行征信系统和中国银联银行卡风险信息共享系统。收单机构要加强对电话POS等安全性较低的低成本受理终端的管理。
五、提高中国银联防风险服务水平
(十五)建立和完善银行卡风险防控体系。中国银联要建立交易数据记录、分析和监控系统,加强可疑交易监控和分析,对交易风险进行综合、动态评估和分类管理,保护账户和交易信息安全。要加强对受理市场风险的分析和研判,完善对高风险收单机构和特约商户的识别、监测措施。要敦促、协助收单机构加强对特约商户及机具的管理,研究建立全国统一的特约商户信息注册、登记、风险防控系统。要加强直联POS机的密钥管理和交易功能管理。在2010年年底前按照“一机一密”的要求完成直联POS机的改造。严格按照收单机构提交的入网申请开通POS交易功能,对于收单机构未提出开通联机退货等高风险交易功能的申请,不得擅自开通。
中国银联要加强对其分公司和子公司的规范管理,严格执行银行卡相关业务规范和技术标准,将跨行清算业务、收单业务、外包服务业务分离,对因收单和外包服务业务管理不善造成案件和损失的,须承担赔偿责任。要会同成员机构尽快制定信用卡还款、电话POS等现行联网联合业务规范中没有明确规定的跨行支付服务的业务规则和技术标准。未经商业银行同意,不得自行开通信用卡还款、电话POS等业务的跨行交易。
(十六)健全银行卡风险信息共享机制。中国银联要协调各成员机构建立防范银行卡风险的工作机制和信息共享平台,为成员机构报送银行卡交易可疑和违法违规信息、利用银行卡风险信息共享系统提供良好的服务,不断完善银行卡风险信息共享机制。要高度重视风险信息传递的时效性和有效性,对成员机构上报的风险信息及时在系统内共享,并迅速进行风险提示。对于成员机构有关涉嫌伪冒交易的调查请求,应尽快协助调查,并及时向成员机构反馈。
六、各负其责,密切配合
(十七)加强部门协调。加强银行卡安全管理、预防和打击银行卡违法犯罪是深入贯彻落实科学发展观、构建社会主义和谐社会的要求,是保障人民群众根本权益、维护银行良好声誉、建立诚信社会的重要举措,更是当前形势下支持扩大内需、促进消费、减少现金犯罪的现实需要。各人民银行分支机构、银监会派出机构、公安部门、工商行政管理部门要深刻认识加强银行卡安全管理、防范和打击银行卡违法犯罪的重要性和紧迫性,充分发挥各有关部门的职能作用和部门间的协同作用,共同采取有效措施,从源头上防范、治理银行卡违法犯罪行为,建立健全银行卡违法犯罪的联合防控机制。
(十八)人民银行、银监会要切实履行管理职责。人民银行要会同银监会认真查找银行卡业务存在的管理漏洞和风险,不断完善银行卡业务法规制度,尽快制定《银行卡条例》,配合有关部门制定和出台有关信用卡套现的司法解释,敦促各银行卡经营机构严格执行银行卡业务规范,全面开展银行卡市场的检查、监督。对于银行卡经营机构违反实名制、账户管理、利率管理、银行卡业务安全管理和反洗钱规定的,要依法实施处罚。
人民银行应会同公安部尽快建立联合整治银行卡违法犯罪的长效机制,协调两部门及各商业银行、中国银联的力量和资源,共同成立联合整治银行卡违法犯罪办公室,畅通情报信息渠道。
(十九)公安部门应保持对银行卡犯罪的高压态势。各地公安部门要把侦查破案放在突出的位置,集中精干力量,认真梳理各金融机构移送的犯罪线索,开展侦破工作,力争破获一批大要案件,打掉一批犯罪团伙,摧毁一批伪卡制造窝点。充分发挥服务、参谋职能,掌握银行卡犯罪的新手法、新趋势等情况,及时通报金融主管部门和有关商业银行。要配合检、法部门加强分析研究,为刑事打击提供法律支持。要完善并加强对银行卡犯罪活动形势的分析、研判,提高预防、打击犯罪的整体作战能力。积极受理银行卡犯罪案件,符合条件的,要尽快立案并快速侦破。要积极配合人民银行建立联合整治银行卡违法犯罪的长效机制,成立联合整治银行卡违法犯罪办公室。
(二十)工商行政管理部门要加强对信用卡相关广告的规范管理。各级工商行政管理部门要提示广告发布者加强对信用卡相关广告的审查,不得为无营业执照或没有发卡机构授权的中介机构发布信用卡广告。信用卡广告中不得含有“信用卡提现”、“信用卡贷款”、“POS消费提现”、“刷卡取现”、“办卡刷卡一条龙服务”、“代还信用卡透支款”等违法违规提供信用卡办理和提现服务的内容。对发现的违法广告,工商行政管理部门要依法查处。
各级工商行政管理部门要依法打击不法中介。不得为企业经营范围核定信用卡咨询、金融咨询、资金借贷等业务,防止咨询类中介企业以金融咨询的名义非法从事信用卡贷款业务。要配合人民银行、公安部加大对违规以信用卡咨询、金融咨询等名义非法从事信用卡贷款业务的咨询类中介企业以及信用卡套现商户的清查力度。
中国人民银行 中国银行业监督管理委员会
公 安 部 国家工商总局
二〇〇九年四月二十七日