电子支付指引第一号：网络安全法律实用指南

（2005年10月26日中国人民银行发布）

第八条　办理电子支付业务的银行应公开披露以下信息：

（一）银行名称、营业地址及联系方式；

（二）客户办理电子支付业务的条件；

（三）所提供的电子支付业务品种、操作程序和收费标准等；

（四）电子支付交易品种可能存在的全部风险，包括该品种的操作风险、未采取的安全措施、无法采取安全措施的安全漏洞等；

（五）客户使用电子支付交易品种可能产生的风险；

（六）提醒客户妥善保管、使用或授权他人使用电子支付交易存取工具（如卡、密码、密钥、电子签名制作数据等）的警示性信息；

（七）争议及差错处理方式。

第九条　银行应认真审核客户申请办理电子支付业务的基本资料，并以书面或电子方式与客户签订协议。

银行应按会计档案的管理要求妥善保存客户的申请资料，保存期限至该客户撤销电子支付业务后5年。

第十条　银行为客户办理电子支付业务，应根据客户性质、电子支付类型、支付金额等，与客户约定适当的认证方式，如密码、密钥、数字证书、电子签名等。

认证方式的约定和使用应遵循《中华人民共和国电子签名法》等法律法规的规定。

第十一条　银行要求客户提供有关资料信息时，应告知客户所提供信息的使用目的和范围、安全保护措施、以及客户未提供或未真实提供相关资料信息的后果。

第十七条　电子支付指令的发起行应建立必要的安全程序，对客户身份和电子支付指令进行确认，并形成日志文件等记录，保存至交易后5年。

第二十三条　银行开展电子支付业务采用的信息安全标准、技术标准、业务标准等应当符合有关规定。

第二十四条　银行应针对与电子支付业务活动相关的风险，建立有效的管理制度。

第二十六条　银行应确保电子支付业务处理系统的安全性，保证重要交易数据的不可抵赖性、数据存储的完整性、客户身份的真实性，并妥善管理在电子支付业务处理系统中使用的密码、密钥等认证数据。

第二十七条　银行使用客户资料、交易记录等，不得超出法律法规许可和客户授权的范围。

银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外，银行应当拒绝除客户本人以外的任何单位或个人的查询。(www.xing528.com)

第二十九条　银行应采取必要措施保护电子支付交易数据的完整性和可靠性：

（一）制定相应的风险控制策略，防止电子支付业务处理系统发生有意或无意的危害数据完整性和可靠性的变化，并具备有效的业务容量、业务连续性计划和应急计划；

（二）保证电子支付交易与数据记录程序的设计发生擅自变更时能被有效侦测；

（三）有效防止电子支付交易数据在传送、处理、存储、使用和修改过程中被篡改，任何对电子支付交易数据的篡改能通过交易处理、监测和数据记录功能被侦测；

（四）按照会计档案管理的要求，对电子支付交易数据，以纸介质或磁性介质的方式进行妥善保存，保存期限为5年，并方便调阅。

第三十条　银行应采取必要措施为电子支付交易数据保密：

（一）对电子支付交易数据的访问须经合理授权和确认；

（二）电子支付交易数据须以安全方式保存，并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取；

（三）第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度；

（四）对电子支付交易数据的访问均须登记，并确保该登记不被篡改。

第三十一条　银行应确保对电子支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制：

（一）确保进入电子支付业务账户或敏感系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的，而且审计监督应能恰当地反映出这些篡改的企图。

（二）对认证数据进行的任何查询、添加、删除或更改都应得到必要授权，并具有不可篡改的日志记录。

第三十二条　银行应采取有效措施保证电子支付业务处理系统中的职责分离：

（一）对电子支付业务处理系统进行测试，确保职责分离；

（二）开发和管理经营电子支付业务处理系统的人员维持分离状态；

（三）交易程序和内控制度的设计确保任何单个的雇员和外部服务供应商都无法独立完成一项交易。

第三十四条　银行采用数字证书或电子签名方式进行客户身份认证和交易授权的，提倡由合法的第三方认证机构提供认证服务。如客户因依据该认证服务进行交易遭受损失，认证服务机构不能证明自己无过错，应依法承担相应责任。

第四十一条　由于银行保管、使用不当，导致客户资料信息被泄露或篡改的，银行应采取有效措施防止因此造成客户损失，并及时通知和协助客户补救。