中國人民銀行中國銀行業監督管理委員會公安部國家工商總局關于加強銀行卡安全管理預防和打擊銀行卡犯罪的通知

    銀發〔2009〕142號

中國人民銀行上海總部，各分行、營業管理部、省會(首府)城市中心支行、副省級城市中心支行；各銀監局；各省、自治區、直轄市公安廳、局，工商局；新疆生產建設兵團公安局；各政策性銀行、國有商業銀行、股份制商業銀行，中國郵政儲蓄銀行，中國銀聯股份有限公司： 

為預防和打擊銀行卡犯罪，規范銀行卡市場秩序，維護持卡人權益和社會公眾對銀行卡支付的信心，更好地發揮銀行卡促進經濟增長的作用，現就加強銀行卡安全管理、預防和打擊銀行卡犯罪有關問題通知如下： 

一、切實規范銀行卡發卡行為 

(一)認真落實銀行卡賬戶實名制。發卡機構應嚴格遵守《中華人民共和國反洗錢法》、《個人存款賬戶實名制規定》(國務院令第285號發布)、《人民幣銀行結算賬戶管理辦法》(中國人民銀行令〔2003〕第5號發布)、《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》(中國人民銀行令〔2007〕第2號發布)、《中國人民銀行關于進一步落實個人人民幣銀行存款賬戶實名制的通知》(銀發〔2008〕191號)等法規制度要求，切實履行客戶身份識別義務，確保申請人開戶資料真實、完整、合規。要充分利用聯網核查公民身份信息系統，驗證客戶身份信息。未履行責任導致匿名、假名賬戶開立的，要按反洗錢法予以處罰，造成客戶資金損失的，要依法承擔責任。聯網核查公民身份信息系統運行前開立的銀行卡存量賬戶要逐步進行聯網核查，未經核實的，發卡機構要專門標識，采取更嚴格的風險控制措施。個人代理他人辦卡的，發卡機構必須同時核對代理人和被代理人的真實身份。無正當理由不允許個人代理多人辦卡。對已在銀行大量開戶或申卡的持卡人申請辦卡，要從嚴審查，并加強風險防控。

(二)控制信用卡發卡風險。發卡機構可通過查詢人民銀行征信系統、中國銀聯銀行卡風險信息共享系統、資信調查等方式分析申請人的資信狀況，合理確定授信額度。對申領首張信用卡的客戶，發卡機構要對客戶親訪親簽，不得采取全程自助發卡方式。謹慎發展無穩定工作、收入的客戶群體，從嚴授信。發卡機構不得將信用卡發卡營銷業務外包，不得擅自對信用卡透支利率、計息方式、免息期計算方式等進行調整。禁止單位代辦信用卡，法律法規另有規定的除外。 

二、加強銀行卡交易監測和使用管理

(三)保護持卡人信息安全。發卡機構應建立有效的信息安全防護系統，保護持卡人信息安全。要為申請人提供安全可靠的密碼設置和修改服務，密碼應能通過柜臺、電話銀行等渠道快速、安全修改。向持卡人提供對賬單及其他服務憑證時，應對卡號進行部分屏蔽(辦理柜臺業務打印的憑證除外)。發放的銀行卡卡片應符合《銀行卡卡片規范》(JR0052-2009)和《銀行卡聯網聯合技術規范》(JR0055-2009)的要求。發卡機構應積極發行采用PBOC 2.0標準的銀行IC卡，提高卡片防偽能力。經持卡人同意，對大額交易，發卡機構可以采取電話、短信等渠道向持卡人確認或進行風險提示等風險管理措施。對于銀行卡信息可能發生泄露的，發卡機構應聯系持卡人，提示持卡人盡快換卡或修改密碼，不能聯系到持卡人且情況緊急的，可采取措施臨時鎖定持卡人賬戶。 

(四)完善對交易信息的動態監測。發卡機構要建立和完善銀行卡交易監測系統，建立持卡人主體交易信息數據庫，實現對持卡人信息的風險防控。對信用卡授信額度及分期付款等業務的信用額度應合并計算，統一各項業務指標和風險指標的統計口徑。

(五)加強大額、可疑交易信息監測和報送。發卡機構要嚴格執行反洗錢規定，履行大額、可疑交易報告義務，加強對銀行卡資金交易的監測。對同一持卡人大量辦卡、頻繁開戶銷戶、短期內資金分散匯入集中轉出等異常情況，要及時進行反洗錢報送。對有疑似套現、欺詐行為的持卡人，發卡機構可采取臨時鎖定交易等措施，并及時向公安機關報案。對確認存在套現、欺詐行為的持卡人，發卡機構應采取止付卡片、追索欠款等措施。 

發卡機構要將相關銀行卡風險信息及時報送人民銀行征信系統，并積極報送中國銀聯銀行卡風險信息共享系統，充分利用共享機制進行風險防控。

(六)嚴格自助轉賬業務的處理。未經持卡人主動申請并書面確認，發卡機構不得為持卡人開通電話轉賬、ATM轉賬、網上銀行轉賬等自助轉賬類業務;為持卡人開通自助轉賬業務時，要向持卡人充分提示開通有關業務的風險，并要對持卡人進行更為嚴格的真實身份核查，確保實名開戶;未履行職責，產生資金風險的，要依法承擔責任。持卡人開通電話、ATM轉賬的，每日每卡轉出金額不得超過5萬元人民幣。持卡人開通網上銀行轉賬的，應采用數字證書、電子簽名等安全認證方式，否則單筆轉賬金額不應超過1千元人民幣，每日累計轉賬金額不得超過5千元人民幣。繳納公共事業費及同一持卡人賬戶之間轉賬的除外。

三、進一步強化對受理市場的風險控管

(七)嚴把特約商戶準入關，落實特約商戶實名制。收單機構發展特約商戶要建立嚴格的實名審核和現場調查制度，充分利用聯網核查身份信息系統、人民銀行征信系統、中國銀聯銀行卡風險信息共享系統等核查方式，核實商戶法定代表人或負責人、授權經辦人的個人身份，了解商戶的經營背景、營業場所、經營范圍、財務狀況、資信等，必要時，要向公安部門、工商行政管理部門、商戶開戶行或其他單位進一步核實。特別要關注批發、咨詢、中介、公益類等低扣率、零扣率商戶的審查。 

(八)建立健全對特約商戶的現場檢查和非現場監控制度。收單機構要建立商戶交易數據庫和監控系統，設置可疑交易監控和分析指標，根據特約商戶的經營狀況和規律，建立風險控制模型。建立對特約商戶的定期現場檢查制度，對于新簽約商戶、出售易變現金商品(如珠寶、電腦等)商戶，以及發生過可疑交易、涉嫌欺詐交易或涉嫌協助持卡人套現等有不良記錄的高風險商戶，要提高現場檢查頻率。嚴格對消費撤銷、退貨、消費調整等高風險業務的交易授權管理。

發現有關商戶涉嫌違規受理銀行卡的行為時，收單機構要及時調查核實，并予以糾正。對有疑似受理偽卡、盜錄信息、套現、欺詐行為的，收單機構可暫停其銀行卡交易。對確有受理偽卡、盜錄信息、欺詐、套現等違法行為的商戶，收單機構應立即終止其銀行卡交易，并向公安部門報案，將有關情況報告人民銀行，將商戶和其法定代表人或負責人的相關信息報送人民銀行征信系統，并積極向中國銀聯銀行卡風險信息共享系統報送。 

對于因管理不善，導致所拓展商戶和所布放pos機多次發生故意受理偽卡、盜錄信息、套現、欺詐等違法犯罪行為的收單機構，人民銀行要予以通報并限期整改。

(九)完善收單協議和商戶檔案管理。收單機構應與商戶簽訂書面協議，明確各方的權利、義務和責任。協議應包括：收單服務的終止條件、受理機具的使用要求、賬戶與交易數據保密條款、交易憑證的管理、各類風險損失情況下經濟責任的承擔等。要建立完備的商戶檔案，保存商戶準入的證明文件復印件、風險評估報告、商戶培訓、POS機管理、商戶信息變化、對商戶的現場檢查和非現場監控情況等文件資料。要加強對特約商戶的培訓和風險教育，至少半年一次對商戶收銀員和相關人員進行義務培訓。 

(十)嚴格對收單外包服務機構的管理。收單機構可以委托收單外包服務機構為特約商戶提供POS機布放、維修等一項或多項服務。但特約商戶的資金清算責任和風險管理責任由收單機構承擔。非金融機構作為外包服務機構參與外包服務的，必須具有健全的組織架構、內控制度和業務管理、風險控制措施，有熟悉銀行卡相關業務的專業人員擔任董事、高級管理職務，必須執行人民銀行有關業務、技術標準。

    收單機構要協調程序開發商加強POS終端程序的保密管理，不得將POS密鑰管理、下載、程序灌裝工作委托給外包服務機構，不得允許外包服務機構以商戶名義入網。對于涉及客戶信息和交易信息處理的外包服務機構，收單機構不得允許外包服務機構存儲銀行卡卡號以外的信息。由于外包服務機構的過失，造成發卡機構和持卡人資金損失的，應由收單機構先行賠付，再根據外包協議進行追償。

(十一)遵守收單市場秩序。收單機構應嚴格遵守商戶類別代碼和扣率的有關規定，禁止套用、變造與真實商戶類型不相符的商戶編碼以及多家商戶共用一個商戶編碼和多臺終端機具共用一個終端編號。要正確設置并向中國銀聯注冊有關商戶信息，在交易處理時向中國銀聯準確上送，同時確保受理終端能夠完整、準確讀取并傳輸卡片驗證碼。

收單機構原則上不得為經營場所地不在收單機構注冊地的特約商戶提供銀行卡收單服務。如確有因財務、資金清算需要為經營場所不在收單機構注冊地的特約商戶提供收單服務的，應經收單機構總部審核同意，同時將有關收單事項向人民銀行報告。嚴禁收單機構為了自身短期利益而出現爭搶優質客戶、一柜多機、不計成本降低商戶結算手續費等非理性競爭行為。 

四、改進銀行卡受理終端的管理 

(十二)加強ATM巡檢、監控。收單機構布放的ATM終端要符合《銀行卡自動柜員機(ATM)終端規范》(JR/T0002-2009)的要求，確保ATM的安全技術防范能力。收單機構要對ATM建立定期巡檢制度，及時發現和排除風險隱患。要加大傍晚、夜間等案件高發時段ATM的巡查和監控力度，完善技術措施，創造條件實現ATM的實時監控。要及時向客戶提示犯罪分子利用 ATM作案的新手段和新動向，提高客戶的安全意識和自我保護能力。發現犯罪分子作案痕跡后，各收單機構應立即向公安部門報案，并協助破案。 

(十三)落實POS機安全技術標準。收單機構要加強對POS機申請、參數設置