孟凡富 全球数据要素50人论坛西南研究中心副秘书长

依据《收单外包服务自律管理办法》《收单外包服务机构备案管理规范》《收单外包服务评价管理规范》等政策，聚合支付机构展业要求如下：

一、 对持牌机构的要求

(一) 持牌机构与外包机构开展合作，应当签订合作协议，明确各方权利、义务和责任。协议中应明确外包服务范围（含服务内容及合作地域）、风险管理责任、外包费用标准及保密要求，积极配合持牌机构履行监管部门和行业自律规定的职责义务等。

(二) 持牌机构应当通过协议明确禁止外包机构从事或变相从事支付核心业务；明确禁止外包机构转包、分包业务；明确禁止并采取有效技术措施防止外包机构采集、留存或泄露其服务对象的身份信息、账户信息或交易信息等敏感信息，法律允许或授权的除外。

(三) 持牌机构不得将商户资质审核、受理协议签订、收单业务交易处理、资金结算、风险监测、受理终端采购、受理终端（网络支付接口）密钥生成和管理、差错和争议处理等服务事项交由外包机构办理。

(四) 持牌机构不得将服务对象的结算资金划转至外包机构拥有或实际控制的银行结算账户或支付账户，并采取有效措施防止外包机构为服务对象设立和变相设立内部账户等，禁止外包机构代其发起资金结算指令。

二、 对外包机构的要求

(一) 先备案、后展业。

(二) 外包机构的服务不得超出与持牌机构约定的服务范围，不得超出监管部门对合作持牌机构核准的业务类型及覆盖范围。外包机构不得冒用持牌机构名义提供外包服务；不得实施、参与或协助洗钱、欺诈、赌博、套码、套现等违法违规行为。

(三) 外包机构不得从事或者变相从事服务对象资金结算，不得以任何形式截留服务对象结算资金，不得接受服务对象委托向持牌机构发起资金结算或提现的交易指令，不得私自发起交易指令转移资金或篡改持牌机构交易指令转移资金，不得通过自有系统平台或通过持牌机构以外的其他平台为持牌机构的服务对象设立和变相设立内部账户等。

(四) 外包机构应当遵守《中华人民共和国个人信息保护法》中关于个人信息保护的相关规定，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息，不得从事危害国家安全、公共利益的个人信息处理活动。

(五) 外包机构开展交易信息转接服务（含聚合支付技术服务）的，应当具备独立的业务系统、设施和技术，并按照国家标准以及网络、数据安全管理要求，建立完善的数据加密与访问权限机制；不得采集服务对象的身份、账户或交易等敏感信息，严禁未经授权披露、传播、共享涉及的业务数据信息，强化数据全生命周期监测管理，有效防范数据泄露、篡改、滥用等风险。

(六) 外包机构通过技术手段提供服务的，应当通过自有外包服务系统保证外包服务的安全性和稳定性，相关技术服务应符合国家规定及行业标准。外包机构不得采集、留存或泄露其服务对象的身份信息、账户信息或交易信息等敏感信息。

(七) 外包机构应当围绕服务质量、安全保障等进行真实、合理的广告宣传，准确披露持牌机构名称及联系方式，广告内容中不得使用或者变相使用“零扣率”“低扣率”“费率自由定义”“商户滚动切换”“一机多商户”“T+0”“D+0”“即时到账”“刷单”“套现”等涉嫌不正当竞争、误导消费者或者违法违规行为的文字。禁止网上销售POS机（包括MPOS）、刷卡器等受理终端。

聚合支付备案评级并购找孟凡富