一、支付安全管理现状

　　保护个人信息安全是移动支付业务发展的基本原则。近年来，人民银行总行先后出台《非银行支付机构网络支付业务管理办法》（中国人民银行公告〔2015〕第43号）、《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》（银发〔2016〕261号）、《中国人民银行关于发布<金融科技创新应用测试规范>等3项金融行业标准的通知》（银发〔2020〕249号）等规章制度，对支付指令验证、加强技术防范、规范应用场景等方面进行规范。

　　（一）规范支付指令验证方面。《非银行支付机构网络支付业务管理办法》第二十二条对支付指令验证作出了明确规定，即支付机构可以组合选用本人知悉的要素如静态密码，仅客户本人持有并特有的如经过安全认证的数字证书、电子签名、以及通过安全渠道生成和传输的一次性密码，或者客户本人生理特征要素如指纹等三类要素对支付账户余额付款的交易进行验证。

　　（二）加强技术防范方面。《非银行支付机构网络支付业务管理办法》第二十四条对快捷支付限额作出了明确规定，即“支付机构采用不足两类有效要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过1000元（不包括支付账户向客户本人同名银行账户转账），且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任”。

　　（三）规范应用场景方面。一是《非银行支付机构网络支付业务管理办法》第二十三条对支付机构灵活控制提出了相关要求，规定“支付机构采用客户本人生理特征作为验证要素的，应当符合国家、金融行业标准和相关信息安全管理要求，防止被非法存储、复制或重放”。二是《中国人民银行关于发布<金融科技创新应用测试规范>等3项金融行业标准的通知》（银发〔2020〕249号）规定“金融机构应合理运用生物特征”，相关金融科技创新也一并纳入行业标准管理。三是《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》（银发〔2016〕261号）对重大交易认证方式作出明确要求，规定“除向本人同行账户转账外，银行为个人办理非柜面转账业务，单日累计金额超过5万元的，应当采用数字证书或者电子签名等安全可靠的支付指令验证方式。单位、个人银行账户非柜面转账单日累计金额分别超过100万元、30万元的，银行应当进行大额交易提醒，单位、个人确认后方可转账”。

　　二、关于提案具体内容的答复意见

　　（一）关于“完善现行法规，出台认证标准”问题。由于相关法规由部委层面出台，经请示上级有关部门，人民银行总行正在会同相关部门积极研究制定人脸识别应用有关技术规范，进一步健全和完善移动支付业务管理制度。下一步，我行将严格落实总行最新规定和相关要求，切实保障客户交易安全和信息安全。

　　（二）关于“实行灵活控制，强化技术研发”问题。我行积极指导辖区银行和支付机构严格按照相关文件要求，对有关支付创新业务或者服务、与境外机构合作开展跨境支付业务、与其他机构开展重大业务合作等情况进行全面评估，确保相关业务合规开展，切实保障客户资金安全。下一步，我行将继续加强金融和支付安全知识的宣传普及，提升公众支付安全保护意识，持续完善金融消费者权益保护工作，切实依法依规保障客户合法权益。

　　（三）关于“规范应用场景，强化保护力度”问题。我行始终高度重视支付安全，严格落实人民银行总行各项规章制度，始终坚守“支付为民”理念，切实履行管理职责，不定期对辖区银行和支付机构开展现场检查。下一步，我行将继续加强辖区内银行和支付机构的业务监管，持续强化辖区支付安全管理。同时加强同工信、科技等部门的信息共享，为移动支付业务发展营造安全的支付环境。