条码支付业务规范 第一章总则 第一条为规范线下条码(二维码)支付(以下简称条码支付)业务经营行为，保护会员单位及消费者合法权益，促进条码支付业务健康发展，根据《电子支付指引(第一号)》、《非金融机构支付服务管理办法》、《非银行支付机构网络支付业务管理办法》等规定，制定本规范。 第二条本规范所称条码支付业务是指会员单位应用条码技术，向客户提供的、通过手机等移动终端实现收付款人之间货币资金转移的行为。 条码支付业务包括付款扫码和收款扫码。付款扫码是指付款人通过移动终端读取收款人展示的条码完成支付的行为。收款扫码是指收款人通过读取付款人移动终端展示的条码完成支付的行为。 第三条会员单位开展条码支付业务应遵循本规范。 会员单位开展条码支付业务应遵循依法合规、平等竞争、诚实守信、安全效率、合作共赢的基本原则。 第四条会员单位开展条码支付业务应取得相应的业务资质，并按照监管部门相关业务管理办法规范开展业务，加强风险防范，保障支付安全。 第五条会员单位开展条码支付业务应遵守客户实名制管理规定。 第六条会员单位开展条码支付业务应遵守反洗钱法律法规要求，履行反洗钱和反恐怖融资义务。 第七条会员单位应依法维护客户及相关主体的合法权益，采取有效措施切实保护消费者利益。 第八条会员单位应自觉遵守商业道德，不得以任何形式诋毁其他会员单位的商业信誉，不得利用任何不正当手段损害其他会员单位利益、干预或影响正常市场秩序。 第九条会员单位应遵守监管部门发布的相关技术标准与规范要求，包括但不限于《网上银行系统信息安全通用规范》(JR/T0068-2012)、《中国金融移动支付技术标准》(JR/T0088-00982012)系列标准、《非金融机构支付业务设施技术要求》(JR/T0122-2014)等，以及中国支付清算协会(以下简称“协会’’)发布的《条码支付技术安全指引》和《条码支付受理终端技术指引》相关要求，保障条码支付业务的交易安全和信息安全。 第二章条码生成和受理 第十条会员单位开展条码支付业务，应将客户用于生成条码的银行账户号码或支付账户账号、身份证件号码、手机号码进行关联管理。 第十一条会员单位开展条码支付业务，应符合监管部门的移动支付技术安全标准，可以组合选用下列三种要素，对客户条码支付交易进行验证： (一)仅客户本人知悉的要素，如静态密码等； (二)仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等； (三)客户本人生理特征要素，如指纹等。 会员单位应当确保采用的要素相互独立，部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。 第十二条会员单位采用数字证书、电子签名作为验证要素的，数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》(JR/T0118-2015)等有关规定，确保数字证书的唯一性、完整性及交易的不可抵赖性。 会员单位采用一次性密码作为验证要素的，应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险，并将一次性密码有效期严格限制在最短的必要时间内。 会员单位采用客户本人生理特征作为验证要素的，应当符合国家、金融行业标准和相关信息安全管理要求，防止被非法存储、复制或重放。 第十三条会员单位应根据交易验证方式的安全级别及《条码支付技术安全指引》关于风险防范能力的分级，对个人客户条码支付业务的交易进行限额管理： (一)风险防范能力达到A级，采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的，由会员单位与客户通过协议自主约定单日累计限额； (二)风险防范能力达到B级，采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计金额应不超过5000元； (三)风险防范能力达到C级，采用不足两类要素对交易进行验证的，同一客户单个银行账户或所有支付账户单日累计金额应不超过1000元，且会员单位应当承诺无条件金额承担此类交易的风险损失赔付责任。 第十四条会员单位应通过设置条码使用效期、使用次数等方式，确保条码有效性和真实性，防止条码被重复使用、重复扣款。 第十五条会员单位开展条码支付业务所涉及的业务系统、客户端软件、受理终端/机具等，应当持续符合监管部门及行业标准要求，确保条码生成和识读过程的安全性、真实性和完整性。支付机构还应通过协会组织的技术安全检测认证。 第十六条条码信息不应包含任何与客户及其账户相关的敏感信息，仅限包含当次支付相关信息。 特约商户相关系统生成的条码中，仅限包含与当次支付有关的特约商户、商品(服务)或商品(服务)订单等信息。 移动终端展示的、由相关系统生成的条码中，不应直接包含本人账户信息；账户信息应加密处理。 会员单位应指定