支付宝开放平台规则  【2016年07月28日】第一版

第一章 概述

第一条为促进开放、透明、分享、责任的新商业文明,保障支付宝开放平台(以下简称“开放平台”或“平台”)客户的合法权益,维护开放平台正常经营秩序,制定本《支付宝开放平台规则》。《支付宝开放平台规则》作为《开放平台开发者协议》(以下简称“主协议”)的附件,与主协议具有同等法律效力。

第二条开发者应遵守法律法规。对任何涉嫌违反法律法规的行为,主协议和本规则已有规定的,适用主协议和本规则;主协议和本规则尚无规定的,开放平台有权根据具体情况酌情处理。但开放平台保留进一步追究开发者法律责任的权利。

第三条除主协议和本规则外,开发者应同时遵守与开放平台运营者关联公司所签订的各项协议。

第四条本规则中的名词,除本规则另有定义外,与主协议中的术语含义相同。

第五条开放平台有权在不单独通知开发者的情况下,随时对本规则内容进行修改,并通过 “开放平台——规则中心——公告区”公告的方式予以公布。开放平台制定、修改的规则一经公布即自动生效,成为本规则的一部分,除非规则另行规定生效时间。如开发者继续使用开放平台服务的,则视为开发者接受并同意遵守修改后的规则。

第六条如本规则的展示位置发生变化的,开放平台将通过公告的方式提前通知。

第二章 平台规范

第一节 入驻规范

第七条开发者应按遵循开放平台设置的注册流程完成注册并进行支付宝实名认证。相关注册要求详见开放平台《开始开发》,开发者在注册时应遵守国家法律法规,注册信息不得包含违法、涉嫌侵犯他人权利或干扰开放平台秩序等相关内容。

第八条开发者应当提供真实、合法、有效的入驻材料及信息等。开放平台可能定期或不定期地对开发者提供的该等资料和信息进行核查。若开发者提供的资料或信息不完整或不准确,则可能无法使用开放平台服务或在使用开放平台服务过程中受到限制。

第九条开放平台有权根据实际情况对开发者进行评估,届时开发者应按平台要求提供如下信息安全相关材料,并接受评估。

(1) ISO27001、PCI-DSS等相关信息安全管理资质证书(如有,请附上最新的扫描件);

(2) 企业内部的信息安全标准、规范体系介绍;

(3) 保障客户信息在产生、采集、存储、分发及销毁环节的技术手段措施,包括服务器的安全防护措施,防止被攻击导致商户、用户的信息泄密或无法正常访问;

(4) 信息安全监控与审计方面的管理制度及技术措施;

(5) 信息安全评估等持续改进机制。

(6) 通过实施SDL等方式保障研发、服务过程的安全性;

(7) 出现风险时的的应急响应和处理能力。

第十条开发者应按照法律法规使用开放平台的服务,运营其开发的应用,履行相关义务,并自行承担全部责任,包括但不限于:

  1. 依照法律法规的规定,保留相应的访问、使用日志记录。
  2. 保证开发者的应用、提供给客户的相关服务及发布的相关信息、内容等,不违反法律法规等的规定,主协议、本规则或开放平台发布的其他规则等,也不会侵犯任何人的合法权益。
  3. 保证应用中由客户使用产生的内容(包括但不限于留言、消息、评论、名称)不违反法律法规的规定以及公序良俗等。否则,开发者应及时采取删除、断开连接或其他有效措施。
  4. 应用设计上应当重视用户体验,尊重客户的知情权、选择权,应用服务应当坚持诚信原则,不误导、欺诈、混淆客户,尊重客户隐私,不骚扰客户,不制造垃圾信息。
  5. 基于保障客户财产安全、维护系统安全、稳定等考虑,开发者仅可向客户提供开放平台认可的登录方式以及支付渠道。

第二节 安全规范

第十一条开通开放平台服务的账户仅限于开发者自身使用,开发者不得将该账户以任何形式向第三方转让、出租、出借、泄露、披露等。开发者应妥善保管账户和密码等可识别开发者身份的信息,并对使用该账户和密码所进行的一切行为承担全部责任。开发者承诺在密码或账户等信息遭到未获授权的使用,或者发生其他安全问题时,将立即通知开放平台。

第十二条开发者应独立进行开发、运营、支持和维护应用,并同意独立承担所有风险和后果。开放平台不对开发者发布在开放平台上的任何不准确或不正确的内容或信息承担责任,无论上述不准确或不正确的内容或信息是由客户所造成的,还是由于应用所使用的或与应用相连接的任何设备或程序所造成的。

第十三条开发者通过开放平台开发的应用不得含有引导误导客户登录、注册或使用开放平台以外的网站的相关链接(开发者自己的网站除外)。

第十四条开发者不得有如下行为:

  1. 从开放平台的任何方面篡改或部分删除任何标识、商标、版权或其他声明。
  2. 分发、销售、转销、租赁、许可、再许可或通过其他方式将开放平台或任何客户信息提供给第三方(包括以任何方式存储开放平台或客户信息使第三方能够访问)。
  3. 开发者应用中含有任何类型的恶意计算机程序、病毒,以任何方式干扰或企图干扰开放平台、其他开发者应用或其任何部分或功能的正常运行。
  4. 开发者应用里直接或间接与下述各项内容链接:(A)任何法律、法规、条例或规章所禁止的商品或服务;或(B)无权链接或包含的商品或服务。
  5. 将通过开放平台接口、公开渠道以及基于本规则项下合作获取的平台及其关联公司的相关数据(包括但不限于任何客户信息、客户交易信息、客户针对开发者产品的使用数据、平台及其关联公司接口相关的接口资料和费率)用于主协议和本规则规定之外的目的。
  6. 非法、或违反客户数据规范获取开放平台客户信息用于交易或获取不当利益。
  7. 利用其他开发者的AppID或相关权限获取、使用运营数据、客户数据。
  8. 请求、收集、索取或以其他方式从任何客户那里获取对客户的账号、用户名、密码或其他身份验证凭据的访问权。
  9. 为任何客户自动登录到开放平台、客户端、接口提供代理身份验证凭据。
  10. 提供“跟踪”功能,包括但不限于识别其他客户在开发者应用档案文件页上查看或操作。

第三节 UI设计规范

第十五条视觉交互规范需遵守《ANTUI》的相关规范要求。

第四节 接口调用规范

第十六条接口调用应当基于真实的业务需求。

第十七条获取信息类接口仅在发生真实业务关系时进行调用,且仅能用于处理业务,不得用于其他用途。

第十八条客户营销类接口仅可以向商户自己的客户(会员、服务窗关注者等)发送消息/卡券等。

第五节 客户数据规范

第十九条开发者的应用如涉及对于客户数据的收集、保存、使用等,开发者需要遵守以下规范:

  1. 未经客户事先明确授权,开发者或其应用不得收集客户任何数据的,并且开发者仅可收集为应用运行及功能实现目的而必要的客户数据,同时应当告知客户相关数据收集的目的、范围及使用方式等。
  2. 开发者收集客户数据后,必须采取合理、安全、有效的保护措施,防止客户数据被盗、泄漏等。
  3. 开发者在应用中收集的客户数据仅可以在该应用中使用,或根据法律法规的要求或开发者与客户之间的《服务市场软件许可协议》进行使用。
  4. 开发者应向客户在应用的明显位置向客户公示隐私保护政策。
  5. 开发者应当向客户提供修改、删除数据的方式,确保客户通过该方式自行操作完成与客户有关的数据的删除。
  6. 一旦发生客户数据被盗、被泄露等情形,不得隐瞒,必须立即通知客户以及开放平台,并及时采取相应的法律措施保护客户利益,以及防止损害进一步扩大。
  7. 开发者保证不同商户之间账户、数据、权限的隔离。
  8. 开发者在向商户展示用户信息时,需要将用户敏感信息(例如身份证号、手机号等)进行脱敏展示,避免商户滥用或泄露用户的敏感数据。
  9. 开发者应用不得提供用户敏感数据批量下载、打印的功能。
  10. 应用需采用技术措施防止明文展示的敏感信息被爬取。

第三章 违规行为

第二十条开发者出现任意一种违反主协议或本规则的行为(“违规行为”),或为违规行为提供便利(包括但不限于为客户行为提供便利),开发平台有权进行独立判断并针对开发者或者开发者的应用采取违规处理措施。

第二十一条开发者不得出现任何违反法律法规的行为,包括但不限于:

  1. 开发者从事违反国家法律法规的行为。
  2. 开发或发布的应用违反任何法律法规(包括但不限于关于规范互联网、互联网信息、个人信息保护、知识产权保护、反不正当竞争相关的法律法规)。
  3. 开发或发布的应用中存在非法政治、反动、国家机密信息、其他反动言论等。
  4. 开发或发布的应用中包含淫秽、色情、赌博、博彩、不道德、欺诈、诽谤(包括商业诽谤)、非法恐吓或非法骚扰的内容。
  5. 开发者自行或联合其他第三方利用开放平台提供的接口渠道开展洗钱、贿赂、套现、欺诈、陷害、违规开展清算业务等违法违规行为。
  6. 发布、传送、传播垃圾信息。
  7. 其他违反国家法律法规、公序良俗以及公认商业道德的情形。

第二十二条开发者不得出现任何弄虚作假的行为,包括但不限于:

  1. 开发者在开放平台注册过程中所提交的所有资质、信息和材料发生变更的,未及时向开放平台提交变更后资质、信息和材料的。
  2. 向开放平台提供虚假、伪造、篡改的材料或信息。
  3. 其他弄虚作假的行为或情形。

第二十三条开发者不得出现任何损害开放平台及关联公司名誉的行为,包括但不限于:

  1. 散布关于开放平台或其关联公司的不实、片面、引人误解的言论。
  2. 其他可能损害开放平台商业信誉或其他合法权益的言论(包括但不限于开放平台各类政策、市场策略)。
  3. 公开发表关于开放平台或其关联公司的负面言论。

第二十四条开发者不得出现任何违反保密义务(包括但不限于法律规定的、或开放平台制定的各类协议、规则规定的开发者应当承担的保密义务)的行为,包括但不限于:

  1. 向第三方披露开放平台提供的接口相关的任何资料和信息,或者是披露其他开发者通过开放平台提供的接口所获取到的任何资料和信息。
  2. 经由分发、销售、转销、租赁、许可、再许可或通过其他方式而致使开放平台提供的接口信息泄露或开发者通过开放平台提供的接口所获取到的信息泄露(包括但不限于开发者主动向第三方透露、因开发者过失将信息透露给第三方或被第三方盗用)的行为。
  3. 其他违反保密义务的行为。

第二十五条开发者不得使用其他开发者的账户或使用其他开发者的权限,盗取他人信息;或通过不正当手段获取他人资料。

第二十六条开发者不得出现任何扰乱或影响开放平台运营的行为,包括但不限于:

  1. 开发者刻意规避开放平台的各类规则或市场管控措施。
  2. 在开放平台开发或发布的应用含有恶意计算机程序、病毒或在开放平台恶意植入计算机程序、病毒或者开发的应用中存在安全漏洞或风险。
  3. 开发者干扰或企图干扰开放平台、其他开发者应用或其任何部分或功能的正常运行。
  4. 开发者使用其他开发者的AppID和RSA私钥,或将自身的AppID和RSA私钥提供给第三方。
  5. 篡改或从开放平台、开发者服务的任何方面或部分删除任何标识、商标、版权或其他声明。
  6. 避开或修改开放平台数据统计工具。
  7. 未经开放平台授权,利用开放平台提供的接口集成的产品对开放平台及其关联公司的业务存在冲突、竞争或名誉造成伤害。
  8. 对开放平台(包括但不限于开放平台上的接口、源代码、算法)、其他开发者的服务及其任何方面或部分(包括但不限于源代码和算法)进行反向工程、反汇编、重构、反编译、翻译、修改、复制,或者在未经明确允许的情况下创作衍生作品。
  9. 其他可能干扰或影响开放平台运营的行为。

第二十七条开发者不得出现任何违规使用开放平台提供的服务或接口的行为,包括但不限于:

  1. 在商家工具接口下擅自添加支付宝账户或添加与商户没有合法资金管理关系的支付宝账户。
  2. 开发者将开放平台提供的权限提供给开发者非必要取得该权限的员工或提供给非开发者员工的。
  3. 违反接口提供者就接口使用等事项另行制定的使用规范或规则的。

第二十八条开发者不得出现任何侵犯开放平台或任何第三方的合法权益(包括但不限于知识产权)的行为,包括但不限于:

  1. 明示或暗示开放平台及其关联公司与开发者之间存在合作关系,包括但不限于相互持股、商业往来或合作关系等,或宣称开放平台对开发者的认可。
  2. 未经开放平台事先书面授权或超出该授权范围使用开放平台及其关联公司(包括但不限于蚂蚁金服、阿里巴巴、口碑、芝麻信用、网商银行、支付宝、花呗、借呗)的商号、商标、服务标志、企业名称、其他标志、标识、用语等进行任何活动。
  3. 未经开放平台或其他权利人事先书面同意,擅自使用、修改、复制、公开传播、变更、散布、发行或公开发表开放平台程序或内容,包括但不限于著作、图片、档案、资讯、资料、网站架构、网站画面的安排、网页设计,均由开放平台或其他权利人依法拥有其知识产权,包括但不限于商标权、专利权、著作权、商业秘密等。
  4. 开发、发布的应用或提供的服务侵犯第三方享有的合法权利或权益,包括但不限于第三方的知识产权等。
  5. 开发者对外宣称其是开放平台或其关联公司的合伙人、合资企业、委托人、代理人,包括但不限于使用开放平台及其关联公司的商号、商标、服务标志、企业名称、其他标志、标识、用语使任何第三人产生误解(即误认为开发者为开放平台、口碑、蚂蚁金服、阿里巴巴、芝麻信用、网商银行、支付宝的分支机构、关联公司或合伙人之类或有其他超出本协议约定之合作关系等,或者是误认为开发者为开放平台、口碑、蚂蚁金服、阿里巴巴、芝麻信用、网商银行、支付宝等加入、赞助或认可开发者的应用)。
  6. 在其开发的应用名称中或顶级域名左侧的URL中使用“阿里巴巴”、“支付宝”、“阿里”、“蚂蚁金服”、“芝麻信用”、“口碑”、“Alibaba”、“Taobao”、“koubei”或平台关联公司的名称的任何变体、缩写或错误拼写。
  7. 直接或间接仿冒开放平台及其关联公司产品或其他损害开放平台及其关联公司品牌和形象的行为。

第二十九条开发者不得提供跟踪功能,包括但不限于跟踪、记录客户的所有访问痕迹。

第三十条开发者不得未经授权获取对开放平台产品或服务的访问权。

第四章 违规处理措施及责任追究

第三十一条开放平台有权以普通或非专业人员的知识水平标准对开发者的行为进行单方认定,并按主协议及本规则予以处理或中止、终止向开发者提供服务(包括中止或终止开放平台接口的调用,下同),且无须事先征得开发者的同意。

第三十二条开发者应当遵守主协议、本规则及开放平台将来可能发布的各类规则;如违反上述协议和规则,开放平台有权对开发者行为及应适用的规则进行单方认定,针对应用或开发者的违规行为采取如下一项或多项处理措施:

  1. 警告:由开放平台发出警告通知,并限时要求开发者整改。
  2. 暂停应用授权:指应用无法获得新客户的授权,但已授权客户可以继续使用应用及重新授权。
  3. 暂停应用API调用:指应用无法获得新客户的授权,已授权客户也无法继续使用应用。
  4. 应用下线:指停止应用的所有API调用,已授权客户无法继续使用应用。
  5. 开发者清退:开发者名下所有应用下线,停止其所有应用的API调用,已授权客户无法继续使用应用,并永久禁止开发者入驻,开放平台将不再与该开发者进行任何合作或向该开发者提供服务。
  6. 开放平台根据市场管理需要制定的其他措施。

第三十三条对因开发者违反主协议及本规则,造成开放平台运营者、接口提供者、客户或其他第三方的合法权益受到损害的,开发者应独立承担相应法律责任,进行赔偿,并使开放平台运营者及接口提供者免责。

onlineServer