1、信息技术公司互联网支付业务反洗钱和反恐怖融资内控制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 互联网支付业务反洗钱和反恐怖融资内控制度细则第一章 总则第一条 根据中华人民共和国反洗钱法、支付机构反洗钱和反恐怖融资管理办法等相关法律、法规的规定，按照信息技术有限公司反洗钱和反恐怖融资内控制度要求，为贯彻执行我公司反洗钱及反恐怖融资工作，结合支付事业部互联网支付业务实际，特制定本细则。第二条 本细则适用于信息技术有限公司支付事业部及各分支机构互联网支付业务反洗钱和反恐怖融资工作。第三条 支付事业部在公司反洗钱工作领导小组的领导下2、，履行反洗钱和反恐怖融资职责。（一）按照反洗钱和反恐怖融资内控制度要求，负责制定适合我公司的制度安排及操作流程，落实反洗钱和反恐怖融资工作的具体措施。健全签约管理办法、业务审批流程，按照反洗钱和反恐怖融资相关规定，完善客户身份识别和风险等级管理办法；（二）根据客户身份资料和交易记录保存制度的要求，形成定期检查、随机抽查的检查机制，确保客户身份资料和交易记录按照我公司反洗钱和反恐怖融资内控制度要求妥善保管；（三）采用系统监控和人工监控相结合的方式，对可疑交易进行重点分析和调查，及时向公司风险管理部汇报反洗钱和反恐怖融资工作信息和动态；（四）定期开展覆盖事业部的反洗钱和反恐怖融资培训工作。指导各分3、支机构在开展互联网支付业务时，遵循国家在反洗钱方面的相关法律规定，按照我公司制度和相关规定，执行本细则。第二章 客户身份识别和资料保存第四条 支付事业部互联网支付业务涉及的客户包括在线特约商户、支付账号持有人、服务提供商等三类。在线特约商户是指基于互联网信息系统直接向消费者销售商品或提供服务，并接受信息技术有限公司的互联网支付服务完成资金结算的法人、个体工商户、其他组织或自然人；支付账号持有人指购买由信息技术有限公司发行的可在线支付的预付卡客户；服务提供商是指使用互联网支付平台发行支付账户的合作机构客户。第五条 支付事业部互联网线上特约商户的身份识别。支付事业部和分支机构在与特约商户建立业务关4、系时，须通过合理方式准确识别特约商户身份基本信息，核实特约商户有效身份证件，并留存特约商户有效身份证件的复印件或者影印件。（一）建立特约商户在互联网支付业务的初次识别机制。1.各分支机构应通过合理方式对申请入网的特约商户进行资质审查及核实。要求特约商户申请必须 “三证”齐全，且真实、有效。“三证”是指特约商户营业执照、法人代表/负责人身份证件、银行结算账户证明。2.特约商户应具备互联网支付业务的基本条件，且在境内有符合国家相关法规要求的电子商务平台。各分支机构指派专人验证特约商户资质材料的真实性、有效性和完整性。3.发展特约商户要求坚持安全核查制度。要求坚持针对线上的受理电商平台进行安全及性能5、检测，对特约商户ICP证进行监督核对。4.互联网支付业务发展的所有特约商户必须在商户管理系统中进行特约商户资料的录入与保存。5.支付事业部对特约商户按照特约商户所属行业、行业知名度、营业规模等多种评级标准进行综合评级，根据评级分数划分为、D四个特约商户等级。6.分支机构按照行业属性划分的风险等级管理要求设置交易限额、保证金政策、验证方式。参照特约商户属性（如特约商户行业类别）划分特约商户风险等级；对于高风险等级的特约商户，加强特约商户现场回访内容，提高回访频率；加强高风险等级特约商户交易调查控制。高风险等级特约商户发生异常交易时，应对特约商户进行实地调查，出具调查报告。对高风险等级商户的回访调6、查内容包括商户身份基本信息、日常经营活动、交易情况（包括交易时间、笔数、金额、资金来源、去向、交易模式、分布地区），同时应结合商户身份对商户账户交易总量、交易频率、交易对手、交易模式、交易分布地区等进行调查分析。（二）建立特约商户在互联网支付业务的持续识别机制。1.特约商户在系统中建立后，系统对于特约商户的异常交易进行持续监控，并有针对性的进行现场特约商户回访。回访内容包括复核特约商户基本信息（如注册名称、营业地址等）和日常受理情况，开展业务和风险培训，及时更新特约商户信息和资料。2.特约商户信息发生变更，或通过特约商户回访发现特约商户信息变更的，要求特约商户提交变更资料，检查资料的真实性、有7、效性和完整性，并在特约商户管理系统中更新特约商户信息。（三）建立特约商户在互联网支付业务的重新识别机制。在特约商户发生重大异常交易时，由支付事业部发起对特约商户的风险等级进行重新评估；并根据风险评估结果做出警告、下线、禁止入网等处理。第六条 支付事业部互联网支付账户持有人的身份识别。支付事业部和分支机构在为互联网支付客户开立支付账户时，应当识别客户身份，登记客户身份基本信息，通过合理手段核对客户基本信息的真实性。（一）客户为单位客户的，支付事业部及分支机构须核对客户提供的有效身份证件，并留存有效身份证件的复印件或者影印件。（二）客户为个人客户的，出现下列情形时，支付事业部及分支机构应核对客户提8、供的有效身份证件，并留存有效身份证件的复印件或者影印件。（1）个人客户办理单笔收款金额人民币1万元以上或者外币等值1000 美元以上支付业务的；（2）个人客户全部账户30 天内资金双边收付金额累计人民币5 万元以上或外币等值1 万美元以上的；（3）个人客户全部账户资金余额连续10 天超过人民币5000 元或外币等值1000 美元的；（4）通过取得网上金融产品销售资质的网络支付机构买卖金融产品的；（5）中国人民银行规定的其他情形。第七条 支付事业部及分支机构在为同一个客户开立多个互联网支付账户时，必须在系统上设置建立支付账户间的关联关系，并做统一记录登记，按照客户进行统一管理。第八条 支付事业部9、及分支机构在向未开立支付账户的客户办理支付业务时，如单笔资金收付金额人民币1 万元以上或者外币等值1000 美元以上的，应在办理业务前要求客户登记本人的姓名、有效身份证件种类、号码和有效期限，并通过合理手段核对客户有效身份证件信息的真实性。第九条 支付事业部服务提供商的身份识别。（一）建立服务提供商在互联网支付业务的初次识别机制。1.分支机构对于客户经理/营销人员推荐的客户机构，应谨慎签约，并采取严格的调查措施和审批程序。2.所有合作的受理机构必须有合法经营资格，并在境内有符合相关法规要求的线上运行平台。机构上线前必须提供“三证”以及机构合作协议，且真实、有效。“三证”是指特约商户营业执照、法10、人代表/负责人身份证件、银行结算账户证明；对于个体经营者，应至少具有负责人身份证件。所有证照应在有效期内。3.分支机构委派客户经理/业务人员与审批/考察通过的机构办理签约手续。机构签约的基本要求是：客户经理应对机构填写的内容进行核对，并在协议中正确填写充值服务费率、消费交易服务手续费率、系统使用服务费、分润标准的收取标准和要求。4.客户机构在系统中入网成功后，支付事业部将机构的用户账户等信息交分支机构作业人员，由其安排使用培训，支付事业部业务人员在最大程度上给予支持。（二）建立受理客户机构在互联网支付业务中的持续识别机制。1.分支机构指派专员负责受理客户机构的日常维护，对于客户机构的日常运营情11、况全程辅助，并对重大变更进行跟踪。2.机构信息变更时，按照是否影响机构互联网支付业务，可分为重要信息变更、一般信息变更。重要信息包括：工商注册名称、工商注册地址、开户行行号、开户行名称、收入/支出账号、收入/支出账户名称、保付标识、清算类型、本金/手续费清算周期、交易账户类型、收费类型、计费类型、区间上/下限、费率类型、费率、计费周期、保底费收费方式、保底费金额等；一般信息包括：机构营业名称、机构证件类型、证件号码、联系人/紧急联系人、联系人/紧急联系人电话、联系人传真、联系人Email、所属部门、拓展机构、拓展人员。3.机构一般信息变更时，分支机构应对变更信息的真实性、有效性进行核实，同时填12、写机构信息变更申请表提交支付事业部作业人员。支付事业部作业人员根据机构信息变更申请表、相关证明材料等，在2个工作日内，对机构变更申请进行审批；审核通过，更新机构档案资料，并办理入网注册信息变更手续。4.机构重要信息变更时，分支机构应查验变更证明材料，填写机构信息变更申请表，由分支机构和机构加盖公章确认，同时提交支付事业部作业部。机构工商注册名称、账户等信息变更时，分支机构应向支付事业部作业部提供变更后的营业执照、相关部门出具的变更证明传真件/扫描件。机构交易资金结算账户信息变更时，应至少提前7个工作日办理变更手续。5.信息变更影响协议法律效力的，应与受理客户机构重新签订协议或签订补充协议。A.13、机构工商注册名称发生变更，必须重新签订协议；B.机构经营主体发生变更，必须重新签订协议；C.收费信息有变，还应与机构重新协商确定服务费率、系统服务费用等，并至少与机构签订补充协议。支付事业部作业部根据机构信息变更申请表、相关证明材料以及与新签订的协议或补充协议等，在2个工作日内，对机构变更申请进行审批；对经审核通过的机构，更新档案资料，并办理入网注册信息变更手续。（1）审核申请资料的完整性、真实性和有效性；（2）审核信息变更后机构的互联网支付业务资质；对经审核，不具备线上互联网支付业务资质的机构，应终止协议，并按照本章第三部分机构注销的要求办理机构注销手续；（3）审核确定变更后手续费率；（4）14、审核协议或补充协议是否合规。机构代码变更时，应登记变更前后机构代码的对应关系。对变更前的交易，如发生退货、预授权撤销、预授权完成时，应采用手工单方式处理，并将其交易资金并入变更后的交易流水进行结算。（三）建立客户机构在互联网支付业务的重新识别机制。合作受理机构发生重大异常交易时，由支付事业部发起对受理机构的进行重新评估；并根据风险评估结果做出处理。第十条 支付事业部按照安全、准确、完整、保密的原则，妥善保存客户身份资料。第十一条 客户身份资料按照反洗钱和反恐怖融资要求，自业务关系结束当年或交易记账当年计起至少保存5年，反洗钱调查或相关法律法规有更长保存期限要求的，遵守其规定，便于反洗钱调查和监15、督管理。第三章 可疑交易报告第十二条 互联网支付系统通过产品参数设置从支付产品端进行可疑交易的初步过滤，并依据特约商户行业业态建立交易监控规则和风险控制模型。反洗钱专员依据客户的交易情况及业务处理情况，在系统中设置风险预警参数，每日监控符合异常交易特征的交易。互联网支付系统后台设置客户支付账户内产品的单笔交易上限、单笔充值上限和账户最大余额，加强对产品的交易控制，从而降低交易风险。所有设置的改动均实时生效。第十三条 系统前台监测方面。每日逐笔核查交易，对于可疑交易及时核查并采取相应的控制措施。支付事业部的互联网支付系统，根据互联网支付业务的特点，对不同类型的商户设置相应的风险校验规则，系统按照16、规则每日出具风险异常系列报表，设置的风险监控规则有：（一）单特约商户单笔交易金额超过该类型商户的预设上限;（二）单特约商户单日累计交易金额超过该类型商户的预设上限；（三）单卡当日异常交易笔数超过20笔；（四）单特约商户单日交易金额与前30日平均交易金额（含）比较，波动大于50%的，由系统进行筛选和报告。第十四条 人工筛选与分析。反洗钱专员对特约商户交易进行过滤和分析，根据风险异常系列报表中列出的特约商户交易，进行逐条过滤与审核，并填写“疑似风险特征”与处理意见。第十五条 对于疑似风险特约商户，反洗钱专员填写互联网线上特约商户风险调查表并以邮件形式发送到特约商户管理分支机构风险处理岗位，分支机构17、风险处理岗位按照特约商户的拓展人进行业务的派发，进行风险特约商户调查。第十六条 分支机构风险处理岗位根据风险特约商户调查情况填写风险特约商户调查处理工作单，同时在互联网线上特约商户风险调查表填写相应反馈内容，在三个工作日内将表单反馈到公司反洗钱专员处，分支机构风险处理岗人员须妥善保存表单的原件。第十七条 分支机构风险处理岗人员按照反洗钱制度要求对交易进行逐笔核实和调查，内容主要涵盖：（一）被调查对象的基本情况；（二）可疑交易活动是否属实；（三）被调查对象的关联交易情况；（四）其他与可疑交易活动有关的事实。第十八条 对于核实的严重风险情况，当日采取冻结特约商户交易结算资金、关闭交易功能等措施；第18、十九条 建立协同防范机制，由反洗钱专员每日将风险异常系列报表发送给各分支机构，由分支机构联合相关合作机构进行审核，联合防范和控制洗钱风险。第二十条 可疑交易调查核实：坚持现场风险调查制度。对于发现的疑似洗钱风险，必须按业务要求进行现场调单核查。对于核实的风险情况，要求按规定的时限及时采取风险控制措施。第二十一条 反洗钱专员对异常交易进行筛选后，将涉嫌反洗钱或恐怖融资的可疑交易按流程提交公司风险管理部，由风险管理部根据涉及交易的风险程度和权限，向公司反洗钱工作领导小组报告。可疑交易的报告要素包括：报告部门名称、报告机构名称、报告机构所在地、可疑交易/行为处理情况、可疑交易/行为特征描述、可疑交易19、/行为主体名称/姓名、可疑交易/行为主体身份证件/证明文件类型、可疑交易/行为主体地址及有效联系方式、可疑交易/行为主体职业/行业类别、可疑交易/行为主体注册资金（对公客户）、可疑交易/行为主体法定代表人姓名（对公客户）、可疑交易/行为主体法定代表人身份证件类型（对公客户）、可疑交易/行为主体法定代表人身份证件号码（对公客户）、可疑交易/行为主体的银行账号、可疑交易/行为主体的开户银行名称、可疑交易/行为主体的支付机构账号、可疑交易/行为主体的支付机构名称、可疑交易/行为主体的IP地址、交易时间（精确到秒）、资金划转方式、资金收付标志、资金用途、币种、交易金额等。若能获取其他交易信息应同时提供20、，如交易对手姓名/名称、交易对手的银行账号、交易对手的开户银行名称、交易对手的支付机构账号、交易对手的支付机构名称、交易对手的IP地址、交易商品名称、支付机构发给银行的订单号、银行返回至支付机构的订单号和业务标示号。第二十二条 支付事业部反洗钱报告流程。（一）分支机构反洗钱工作过程和结果，报告至支付事业部；（二）支付事业部汇总负责的业务的反洗钱工作情况，报告至公司风险管理部。第四章 交易记录保存第二十三条 互联网支付系统详细记录每笔交易信息要素，同时对交易数据做系统备份保存。第二十四条 支付事业部按照安全、准确、完整、保密的原则，妥善保存每项交易记录数据信息，以提供识别客户身份、监测分析交易情21、况，调查可疑交易活动和查处洗钱案件所需的信息。第二十五条 清结算记录由支付事业部作业清算人员制作清结算报表，按照会计凭证保管的原则进行归档保存。第二十六条 交易记录按照反洗钱和反恐怖融资要求，自业务关系结束当年或交易记账当年计起至少保存5年，反洗钱调查或相关法律法规有更长保存期限要求的，遵守其规定，便于反洗钱需要的时候能被检索与调阅。第五章 协助反洗钱调查的内部程序第二十七条 支付事业部配合风险管理部进行可疑交易的调查，如实提供互联网支付业务有关可疑交易活动的文件与资料。第二十八条 风险管理部门负责协助监管机关和司法机关对可疑交易资金的调查；组织和推动支付事业部和分支机构开展反洗钱预防、监控、22、协查和报告，并定期进行专业监督检查。第二十九条 反洗钱专员负责根据该可疑交易的具体账户信息、交易记录，出具互联网线上特约商户风险调查表及风险特约商户调查处理工作单，并传递给相关分支机构风险处理岗处理。第三十条 分支机构风险处理岗负责调查风险特约商户，通过实地、电话、信函或其他调查方式，根据调查要点和风险类型分析可疑交易的具体账户信息、交易记录，出具调查结论和相关处理措施，并如实填写互联网线上特约商户风险调查表及风险特约商户调查处理工作单并在三个工作日内将处理结果反馈给反洗钱专员。第三十一条 反洗钱专员将反馈的互联网线上特约商户风险调查表及风险特约商户调查处理工作单汇总归档，并将该可疑交易情况汇23、报给风险管理部，完成协助反洗钱的调查。第六章 反洗钱工作保密措施第三十二条 我公司反洗钱调查涉及资料和信息全部为公司高级机密，相关工作人员对依法履行反洗钱及反恐怖融资义务获得的客户身份资料和交易信息应当予以永久保密；非依法律规定，任何部门和个人都不得私自对外泄漏信息或提供资料。第三十三条 保密信息包括但不限于：（一）客户身份信息：工商注册名称、工商注册地址、开户行行号、开户行名称、收入/支出账号、收入/支出账户名称、机构营业名称、机构证件类型、证件号码；支付账户持有人的姓名、身份证件号码。（二）客户身份资料：特约商户、发卡机构的特约商户营业执照、法人代表/负责人身份证件、银行结算账户证明、负责24、人身份证件等的影印件/复印件；支付账户持有人的姓名、有效身份证件等影印件/复印件。（三）交易信息：互联网支付系统记录的每笔交易信息要素、交易记录数据、作业部清算人员制作清结算报表。第三十四条 支付事业部及分支机构保密工作要求：（一）支付事业部及分支机构的特约商户拓展岗不得向客户和其他人员泄露客户身份信息、客户身份资料；（二）支付事业部作业清算人员不得向客户和其他人员泄露交易信息；（三）支付事业部任何接触到保密信息的部门及个人不得向客户和其他人员泄露保密信息。第七章 附则第三十五条 本细则相关用语含义如下：客户，包括个人客户、单位客户、特约商户。个人客户的身份基本信息，包括：客户的姓名、国籍、性25、别、职业、住址、联系方式以及客户有效身份证件的种类、号码和有效期限。单位客户的身份基本信息，包括：客户的名称、地址、经营范围、组织机构代码（仅限法人和其他组织）；可证明该客户依法设立或者可依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限；法定代表人（负责人）或授权办理业务人员的姓名、有效身份证件的种类、号码和有效期限。特约商户的身份基本信息，包括：特约商户的名称、地址、经营范围、组织机构代码；可证明该客户依法设立或者可依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限；控股股东或实际控制人、法定代表人（负责人）或授权办理业务人员的姓名、有效身份证件的种类、号码、有26、效期限。个人客户的有效身份证件，包括：居住在境内的中国公民，为居民身份证或者临时居民身份证；居住在境内的16 周岁以下的中国公民，为户口簿；中国人民解放军军人，为军人身份证件或居民身份证；中国人民武装警察，为武装警察身份证件或居民身份证；香港、澳门居民，为港澳居民往来内地通行证；台湾居民，为台湾居民来往大陆通行证或者其他有效旅行证件；外国公民，为护照；政府有权机关出具的能够证明其真实身份的证明文件。法人和其他组织客户的有效身份证件，是指政府有权机关颁发的能够证明其合法真实身份的证件或文件，包括但不限于营业执照、事业单位法人证书、税务登记证、组织机构代码证。个体工商户的有效身份证件，包括营业执照、经营者或授权经办人员的有效身份证件。第三十六条 本细则由支付事业部负责制定、解释和修改。