2023 年 12 月 18 日，国务院发布《非银行支付机构监督管理条例》（下称“条例”），其内容将于 2024 年 5 月 1 日生效。条例对非银行支付的设立、变更、终止、业务、监管及罚则做出了细化规定。支付机构的业务范围虽与银行存在重合，但相较于银行因强监管而养成的风险厌恶，支付机构在创新行业的作用与贡献更为突出。本文拟对部分条例内容进行梳理与简评，介绍非银行支付机构的主要监管要求，供各位老友参考。

2021 年 1 月，央行就已经对外公布了《非银行支付机构条例》的征求意见稿，以提升我国对非银行支付机构监管制度的法律层级，近三年后，“条例”终于“转正”，应看到，非银行支付业务随着我国数字经济、电子商务等新业态的兴起而快速发展，在小额、便民支付领域发挥了重要作用。根据相关统计数据，截至今年 9 月，我国共有 185 家非银行支付机构，去年一年的处理业务超过 1 万亿笔，金额近 400 万亿元，服务超过 10 亿个人和数千万商户。

然而值得注意的是，随着非银支付机构的快速发展，非银支付机构违规挪用用户资金、泄露、不当采集用户个人信息等违规操作现象亦呈现快速发展的趋势，面对这一严峻态势，非银支付行业的新法规便应运而生。

（一）支付机构的申请与设立

设立非银行支付机构，应当依照《公司法》的相关规定设立，且经中国人民银行批准，取得支付业务许可，名称中应当标明“支付”字样。条例第七、八条的规定对支付机构向中国人民银行的申请条件提出了具体要求：

1.有符合规定的注册资本，支付机构的注册资本最低限额为人民币 1 亿元，且应当为实缴货币资本，中国人民银行可以提高前款规定的注册资本最低限额；

2.主要股东、实际控制人财务状况和诚信记录良好，最近 3 年无重大违法违规记录；主要股东、实际控制人为公司的，其股权结构应当清晰透明，不存在权属纠纷；

3.拟任董事、监事和高级管理人员熟悉相关法律法规，具有履行职责所需的经营管理能力，最近 3 年无重大违法违规记录；

4.有符合规定的经营场所、安全保障措施以及业务系统、设施和技术；

5.有健全的公司治理结构、内部控制和风险管理制度、退出预案以及用户权益保障机制；

6.法律、行政法规以及中国人民银行规章规定的其他审慎性条件。

中国人民银行应当自受理前述申请之日起6 个月内作出批准或者不予批准的决定。收到支付业务许可证后，申请主体应当及时向工商行政管理部门办理登记手续，领取营业执照。

（二）支付机构的变更与终止

支付机构办理如下变更事项，应当经中国人民银行批准：

1.变更名称、注册资本、业务类型或者经营地域范围；

2.跨省、自治区、直辖市变更住所；

3.变更主要股东或者实际控制人；

4.变更董事、监事或者高级管理人员；

5.合并或者分立。

支付机构申请变更名称、注册资本的，中国人民银行应当自受理申请之日起1 个月内作出批准或者不予批准的书面决定。申请办理其他事项的，中国人民银行应当自受理申请之日起3 个月内作出批准或者不予批准的书面决定。征得批准后再向工商管理部门办理登记手续。

支付机构拟终止支付业务的，应当向中国人民银行申请注销支付业务许可。支付业务许可被注销、吊销、撤销的，支付机构应当按照规定制定切实保障用户资金和信息安全的方案，并向用户公告。支付机构清算过程须接受中国人民银行的监督。支付机构办理支付业务许可注销手续后，方可向工商行政管理部门办理注销登记手续。

（三）支付机构的业务规则

1.内控要求

支付机构应当按照审慎经营要求，建立健全并落实合规管理制度、内部控制制度、业务管理制度、风险管理制度、突发事件应急预案以及用户权益保障机制。

2.技术要求

支付机构应当具备必要和独立的业务系统、设施和技术，按照强制性国家标准以及相关网络、数据安全管理要求，确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性。

3.了解客户

支付机构应当建立持续有效的用户尽职调查制度，按照规定识别并核实用户身份，了解用户交易背景和风险状况，并采取相应的风险管理措施。

4.信息保护

支付机构处理用户信息，应当遵循合法、正当、必要和诚信原则，公开用户信息处理规则，明示处理用户信息的目的、方式和范围，并取得用户同意。与关联公司共享用户信息的，应当告知用户该关联公司的名称和联系方式，并就信息共享的内容以及信息处理的目的、期限、方式、保护措施等取得用户单独同意。

5.用户协议

支付机构应当将用户协议在其经营场所、官方网站、移动互联网应用程序等的显著位置予以公示。协议应当明确非银行支付机构与用户的权利义务、支付业务流程、电子支付指令传输路径、资金结算、纠纷处理原则以及违约责任等事项，且不得包含排除、限制竞争以及不合理地免除或者减轻支付机构责任、加重用户责任、限制或者排除用户主要权利等内容。对于协议中足以影响用户是否同意使用支付服务的条款，非银行支付机构应当采取合理方式提示用户注意，并按照用户的要求对该条款予以说明。非银行支付机构拟变更协议内容的，须在显著位置公告满 30 日后方可变更。

（四）支付机构股权管理

其一，支付机构的控股股东、实际控制人不得存在以下情形：

1.通过特定目的载体或者委托他人持股等方式规避监管；

2.通过违规开展关联交易等方式损害支付机构或者其用户的合法权益；

3.其他可能对支付机构经营管理产生重大不利影响的情形。

其二，支付机构的主要股东拟质押非银行支付机构股权的，应当按照规定向中国人民银行报告，质押的股权不得超过该股东所持有该非银行支付机构股权总数的 50%。

其三，同一股东不得直接或者间接持有两个及以上同一业务类型的支付机构 10% 以上股权或者表决权。同一实际控制人不得控制两个及以上同一业务类型的支付机构，另有规定的除外。

（五）罚则概述

本文不对条例的罚则部分做详细展开，简要而言，条例罚则对前述各监管要求给出了明确的法律后果，使相关规定不流于形式，同时，相较于此前支付机构的监管规定，条例大幅提高了处罚标准，不难窥得金融监管部门加强非银行支付机构监管的倾向与决心。

第三方支付领域的法律法规较为零散，且普遍存在部分被修订的情况，这也是新规出台而旧规不废的必然结果。因此，初入行业者很难梳理出准确的三方支付监管要求，而本文所讨论的新出条例较为系统地整合或提及了《非金融机构支付服务管理办法》及其实施细则、《非银行支付机构网络支付业务管理办法》《非银行支付机构客户备付金存管办法》《个人信息保护法》《网络安全法》《个人信息出境标准合同办法》等关联内容，有助于我们深度了解非银行支付机构的重要规范，也为支付机构及其服务的新兴行业发展提供了合规进路，如广大从业者有相关的合规与咨询需求，欢迎联系飒姐团队！