守得云开见月明:新规之下支付机构数据合规热点问题解读
2023年12月17日,国务院正式对外发布《非银行支付机构监督管理条例》,在网络安全与数据保护方面衔接了数据“三法”的基本要求。本文结合支付新规,以及监管动态、项目经验,总结了支付机构在数据合规领域的若干热点问题。
作者丨钟俊鹏 姚远
导言
2023年12月17日,国务院正式对外发布《非银行支付机构监督管理条例》(“《非银支付条例》”),该条例将于2024年5月1日正式生效,也代表着自2021年征求意见稿公布以来,历经两年的修订与审议,非银行支付机构(“支付机构”)的监管规则体系最终完成了更新迭代。
在网络安全与数据合规领域,《非银支付条例》既延续了此前支付监管规则中关于核心系统独立性等相关规定,也回应衔接了近年《网络安全法》《数据安全法》《个人信息保护法》三部基础法律,细化了用户个人信息收集与共享、数据本地化存储、数据跨境流动等方面的要求。我们结合《非银支付条例》,以及对于新近监管动态的研究、观察及项目经验,梳理并总结了当前支付机构在网络安全与数据合规方面的若干热点问题,以飨读者。
一、支付业务系统与网络安全保护
(一)核心支付系统的独立性与安全保障
核心支付系统的独立性、安全性历来被纳入支付机构的监管评价因素。《非银支付条例》第18条规定,支付机构应具备必要和独立的业务系统、设施和技术,按照强制性国家标准及相关网络、数据安全管理要求,确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性。支付机构的业务系统及其备份应当存放在境内。该条例第21条还要求,支付机构不得将涉及资金安全、信息安全等的核心业务和技术服务委托第三方处理,再次强调核心支付业务系统不应外包的基础要求。
此外,履行网络安全等级保护的测评与备案(“等保”)是《网络安全法》规定的一项基础义务,也是系统安全能力的证明。尽管尚未有公开规则对核心支付系统的等保定级要求进行明确,但是根据我们的项目经验及对相关法规的理解,通常核心支付系统的等保定级应在三级以上。[1]
网络安全与数据保护的整体合规水平亦是监管部门批准支付牌照续展申请,及对支付机构进行年度分类评级的一项关键考核要素。根据《中国人民银行关于〈支付业务许可证〉续展工作的通知》(银发〔2015〕358号)等相关法规以及监管层的有关重要讲话,支付业务设施是否存在安全及风险监控方面的重大缺陷、核心支付业务系统是否存在外包、是否缺少必要备份、是否存在造成较大损失或社会影响的信息泄露或服务中断情形、相关企业是否有及时处置安全事件、及时响应监管部门通报的整改要求等情况均可能对支付牌照能否顺利续展产生重要影响。
(二)关键信息基础设施重要特殊要求
《非银支付条例》明确支付机构相关网络设施、信息系统等被依法认定为关键信息基础设施(CII)时,其在境内收集和产生的个人信息的处理应当在境内进行,否则应按照《数据出境安全评估办法》落实数据出境安全评估申报要求。
此外,根据《关键信息基础设施安全保护条例》《网络安全审查办法》等规范,属于关键信息基础设施运营者(CIIO)的支付机构,还应特别关注网络产品与服务的采购与供应链管理,优先采购安全可信的网络产品和服务[2],在选择供应商时应当评估投入使用后可能带来的国家安全风险,根据相关要求触发网络安全审查的,应及时向国家网信办进行申报。
二、用户个人信息保护
用户个人信息保护是支付机构业务合规、开展消费者权益保护工作的重要维度与内容,也是支付机构年度消保自评估及监管评级中所关注的重要指标。近年来,不乏支付机构因侵犯消费者个人金融信息、未设置分级授权审批流程等事由受到行政处罚。[3]人民银行(“人行”)在2023年7月就某两家头部互联网支付平台开出的罚单中,“违反消费者金融信息保护规定”均被列为处罚事由之一。
以个人信息处理全生命周期管理为视角,对于支付机构而言,尤为需要注意个人信息收集层面的“流入端”以及与外部信息共享的“流出端”的合规管理。
(一)流入端:个人信息的收集
《非银支付条例》对齐了《个人信息保护法》的基本要求,强调收集、处理用户个人信息应符合合法、正当、必要和诚信原则,需要公开用户信息处理规则,明示处理目的、方式和范围并取得用户同意(法律、行政法规另有规定除外);不得收集与提供服务无关的用户信息,不得以用户不同意处理或者撤回同意等为由拒绝提供服务(处理相关信息属提供服务所必需的除外)。
一般而言,支付机构需通过开发独立App向用户提供储值与交易功能,或者将其软件开发工具包(SDK)插件嵌入第三方应用中,以提供支付工具。在国家网信办、工信部以及各地通信管理局2022年至2023年内的各批次通报中,共计20款支付App及SDK因侵犯个人信息而被点名。具体事由分布见下:
点击可查看大图
从通报事由来看,支付机构用户信息“流入端”存在的主要问题集中于未遵循“告知-同意”原则违规收集个人信息,如未经同意私自收集、以不正当方式误导用户同意、未明确告知收集目的和范围、概括性/模糊授权、不同意提供非必要信息就无法使用基础功能等情形。强制索取权限、超过必要范围收集、隐私政策展示不合规[4]也是收集的常见问题。
作为收集用户信息的重要触点,支付机构应及时对照App安全评估及隐私政策书写的规则标准[5],对于弹窗告知、交互式界面、隐私政策及用户协议等进行自查优化,避免因不合规而被通报甚至遭下架处理。除前述问题外,结合处理同类项目经验,我们总结了支付App及SDK尤为需要注意的个人信息收集动作的合规提示要点:
* 根据我们观察,实践中一些支付机构通过SDK方式嵌入第三方应用时,通常未展示自身的信息处理规则,以取得用户的授权同意,存在“授权-同意”链条的缺失风险。根据《信息安全技术 个人信息处理中告知和同意的实施指南》(“《告知和同意实施指南》”)相关要求,当用户首次在第三方App中点击或选中支付SDK图标,从而App跳转至/展示支付功能的交互式功能界面后,支付SDK须在该界面上以其自身名义向用户告知支付服务个人信息处理规则并取得用户同意。
* 通过人脸或指纹等生物特征识别方式进行身份识别认证和支付,是目前支付机构的常见操作。生物识别信息是《个人信息保护法》规定的敏感个人信息,支付机构应设置单独授权文本(如《人脸识别信息授权书》)在开启相关功能时展示,以实现单独同意。根据《信息安全技术 网络支付服务数据安全要求(GB/T 42015-2022)》(“《网络支付服务数据安全要求》”)及《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,支付机构也不应将生物识别信息作为唯一身份认证或支付方式,且应避免频繁要求用户开通该类功能、索取相关权限。
* 除钱包储值和交易支付的基本业务功能外[6],支付机构可能在其App中还嵌入了若干扩展业务功能,如话费充值、生活缴费、信用卡还款、网络借贷、互联网理财等。基于扩展业务功能收集的信息,既需要写入隐私政策文本中,也建议在特定功能开启前,通过专区设置的服务协议向用户告知该功能所收集的个人信息,允许用户对扩展业务功能逐项选择同意开启,保障用户在未能提供扩展业务所需信息的情况下依然享有支付基本功能的使用权,降低合规风险。
(二)流出端:个人信息共享
支付机构业务流程中,涉及多种场景的信息共享。例如,在银行卡绑定及具体支付交易过程中与清算机构、银行、商户完成交易信息的转接与交换,基于身份核验与风控、引流拓客等目的与关联公司和合作机构、外包机构共享用户信息,以及与行业主管部门进行信息传递和对接。
我们在本文中挑选了下述共享场景予以重点解读:
(1)与关联公司之间的用户信息共享
近年来,不少互联网知名企业纷纷通过收购取得支付牌照,支付机构所提供的账户储值与交易处理服务,成为大型互联网集团生态体系链内的一环,服务于集团网络购物、商旅出行等线上、线下场景。出于完善用户画像以精准营销、引流获客、提升用户体验等目的,支付机构可能将用户信息与关联方共享。信息共享还能够连通集团内的信贷、保险、理财等业务,为用户提供场景化的一站式综合金融服务。
但是,支付机构与关联公司之间的信息互通,涉及多个法律实体,且通常各主体之间均具有独立的处理目的、方式,现有法律框架下通常不能豁免前述《个人信息保护法》规定的单独同意要求。《非银支付条例》也明确集团内共享场景下,支付机构应告知用户关联公司的名称、联系方式,就信息共享内容以及处理的目的、期限、方式、保护措施等取得用户的单独同意。然而,实践中不乏支付机构针对前述场景采取一揽子的概括授权方式,如在用户协议、隐私政策文本中使用“当您使用我们的关联公司提供的产品和服务时,我们可能向关联公司提供您的个人信息”等类似表述,这种方式无法满足上述要求。
早在2018年某互联网支付平台网络侵权案[7]中,类似的个人信息授权方式就曾被认定为合法性不足。该案中,用户在某智慧门店线下消费时通过该平台完成支付动作,该平台将消费者的线下交易信息推送至其关联的电商平台,以在电商平台内展示该笔订单。尽管支付平台已在隐私政策中对与关联公司共享信息的行为进行提示,但法院指出,针对具体特定共享场景应清晰告知用户共享对象、信息范围和使用目的,且基于引流等商业考量将线下订单信息进行共享亦超出了必要范围,最终认定该支付平台具有主观过错。
我们结合《非银支付条例》等规则及项目经验,对于支付机构与关联方信息共享场景重点归纳了如下要点:
* 切实履行“完整告知”与“单独同意”义务,对共享必要性加以把控。支付机构应梳理日常业务与关联方共享用户信息的具体场景,通过隐私政策、《个人信息第三方共享清单》[8]向用户披露该等共享情形。当开启其他扩展业务功能涉及支付用户信息共享时,结合行业最佳实践,我们也建议通过该功能的服务协议或单独授权文件,以及功能页面中的弹框、勾选等方式,对前述共享情形再次进行说明、确认,增强用户对共享行为的感知、落实单独同意要求。
支付机构也需尽量确保共享个人信息的“最小必要”。根据监管要求,除非为完成支付和清算、结算,支付机构不应共享、也应要求关联公司不得擅自留存C3级身份鉴别信息,以及C2级别的鉴别辅助信息。[9]从必要性角度,《网络支付服务数据安全要求》还要求支付机构以SDK嵌入第三方应用时,不应共享用户账户余额、与当次支付行为无关的用户交易记录等数据。
* 加强对关联公司处理活动的约束管控。《非银支付条例》强化了支付机构与集团内关联公司共享用户信息场景下的合规义务,要求应对与关联公司对用户信息共享的具体内容以及双方权利义务作出约定,对关联公司用户信息处理活动进行监督,确保其处理活动依法合规、风险可控。[10]
支付机构与关联公司共享用户信息时,应注意在协议中应纳入必要的数据保护条款;对于以信息共享为业务核心、涉及大量敏感个人信息、用户权益影响显著的合作,建议签署单独的数据共享协议,清晰界定各自数据保护责任,限制个人信息使用范围,对个人信息权利请求响应、安全事件应急处置的分工协作进行必要安排。
与此同时,支付机构应注意遵循《个人信息保护法》关于共享的配套合规义务,如事前将关联方共享场景纳入个人信息保护影响评估(PIA),对其数据安全保护能力,共享行为的合法性、正当性、必要性等进行评估;在共享过程中,需综合运用技术手段对其数据接口进行技术检测、流量监测,采取加密传输,定期对其保护措施落实情况监督确认。
* 审慎对待共享衍生数据及隐私计算等新型技术应用。实践中,支付机构可能并未直接共享用户信息明文字段,而是经过一定加工处理得到的标识码等衍生数据,但也不应轻易认为此类数据必然不属于个人信息,疏忽履行相关合规义务。在前述支付平台网络侵权案中,该平台所共享的信息主要是基于一定技术处理生成的用户身份识别代码,但法院强调该信息可能与其他信息结合识别出个人身份,仍构成个人信息。
支付机构实践中也开始通过部署隐私计算节点等新型技术手段与关联方进行数据交互,应用于联合营销或风控等场景,并在这一过程中对信息进行去标识化处理,避免原始数据出库风险。《个人信息保护法》规定匿名化处理后的信息不属于个人信息,“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程;《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(“《个人信息安全规范》”)也规定,经去标识化处理的个人信息,如接收方无法重新识别或者关联个人信息主体,可豁免信息共享的相关义务。
然而,根据我们的观察,目前阶段经隐私计算技术应用处理后的数据,未必能完全实现前述要求中的“无法重新识别或关联”,仍存在可能逆向还原、重新识别的风险;国内目前也尚未有出台的匿名化技术标准、完全达到《个人信息保护法》规定的匿名化具有较高技术难度。因此,支付机构也需要结合具体项目和技术手段审慎评估,同时持续关注匿名化等相关标准的制定进程。
(2)基于履行反电信网络诈骗义务的信息传递
随着2022年《反电信网络诈骗法》的出台与生效,支付机构为配合有关部门的监管调取、或受邀参加反诈风险测试项目,从而需对外传递可疑账户信息的情形也逐渐增加。《反电信网络诈骗法》规定,银行、支付机构负有信息报送及数据共享的义务,如开立账户时异常情形风险信息共享、提交异常账户信息和可疑交易监测报告。
需要注意的是,除《反电信网络诈骗法》外,目前相关信息共享报告机制、途径等具体安排尚未通过配套下位法规明晰。实践中,基于反诈目的的监管取数经常通过有关部门的内部窗口指导意见形式下发,此类规范性文件的效力层级无法完全满足《个人信息保护法》关于“法律、行政法规规定的其他情形”的豁免同意要求,但依照监管要求行事存在被解释为“为履行法定职责或者法定义务所必需”的可能性。尽管如此,由于相关要求并未通过公开途径发布,如信息传输过程中遭到泄露致使用户权益受损,或因采取账户、交易限制措施致使用户形成感知,不排除相关用户就此提出质疑的可能。基于事业单位、行业协会组织的反诈风险测试产生的信息共享传递,则较难适用前述豁免同意规则。
考虑到此类场景中传递的账户、交易信息的敏感程度,我们建议支付机构在配合监管、提升反诈风控能力过程中,保持谨慎态度、做好相关合规管控措施:
* 完善对客协议文本,增强用户告知和同意。在支付账户开立等基础协议、界面中可纳入基于履行反诈法定风险识别监测义务向监管部门等传递信息的条款,告知消费者可能基于此类风险采取的账户和交易管控措施。采取止付、延缓交易、账户冻结措施时,及时通过短信、推送等方式予以告知,并允许用户通过合理方式提供证明与进行救济。
* 从共享数据范围、传输保护措施、审批留痕方面控制风险。就数据共享口径而言,应在信息传递过程中注意遵循最小必要原则,合理控制披露范围,传递的信息内容、字段应限于监管要求提供的必需内容。支付机构内应对相关监管函件做好妥善留存,内部调取过程中也应注意审批留痕。对外传输时,还需采取相应的加密、安全通道等保护措施,降低信息泄露风险。
三、本地化存储与的数据跨境传输
(一)数据本地化存储要求
《非银支付条例》重申了支付机构的数据本地化存储及数据跨境流动要求。在本地化存储方面,其第19条明确规定,支付机构在为境内交易提供支付服务时,应在境内完成交易处理、资金结算和数据存储,这也与前述支付机构业务系统的境内存放部署要求相一致。此外,如前文所述,《非银支付条例》进一步衔接《个人信息保护法》,规定支付机构相关网络设施、信息系统等被认定为CII,或者处理个人信息达到国家网信办规定数量时,在境内收集和产生的个人信息的处理应在境内进行。
(二)跨境支付业态中的数据跨境流动
《非银支付条例》第19条要求支付机构为跨境交易提供支付服务的,应遵守数据跨境流动的有关规定。现有生效的数据出境规则下,中国境内个人信息和重要数据出境需遵循三大基础合规路径,包括:(1)达到《数据出境安全评估办法》规定的条件时,通过国家网信办数据出境安全评估;[11]以及在明确排除触发安全评估的前提下,针对个人信息出境,可安排(2)订立个人信息出境标准合同并向当地网信部门备案,或(3)通过个人信息保护认证。
本文主要探讨支付机构跨境支付业务当中的数据出境活动。根据我们的项目经验及行业实践观察,在跨境电商与进出口贸易的大背景下,近年来不少机构通过与境外持牌机构或银行合作,以提供跨境收单、资金结算及清分业务,发展第三方跨境支付新业态。从资金及信息流向上看,第三方跨境支付可以大致划分为两类:(1)基于进口电商业务,为境内买家通过跨境电商平台购买境外商品或服务,提供购汇与跨境付款通路,以及(2)出口电商模式下,为境内卖家提供境外收款账户,及境外资金汇回境内的通道。
前述典型的跨境支付业务合作中的数据流向大致如下图所示[12]:
图3.2.1 进口电商模式下的第三方跨境支付信息流
图3.2.2 出口电商模式下的第三方跨境支付信息流
点击可查看大图
对于上述跨境支付中所涉及的数据出境,支付机构既需遵循《个人信息保护法》要求,做好对客界面的用户告知,在相关服务协议中涵盖必要条款或制定配套授权书,取得个人信息出境的单独同意,也要综合下述方面判断如何履行数据跨境传输监管手续:
* 2023年9月28日,国家网信办发布了《规范和促进数据跨境流动规定(征求意见稿)》(“《跨境流动新规(征求意见稿)》”),对当前已落地的数据出境合规体系进行了实质性调整,提出部分目前落入适用范围的出境活动可免于适用前述三大合规路径,或者可降级适用相对更为简单的机制,从而降低企业履行相关监管手续的合规成本。
该新规第4条规定,“为订立、履行个人作为一方当事人的合同所必需”情形可以免于履行数据出境三大合规机制,并明确“跨境购物、跨境汇款”属于该类情形。[13]可见,立法者认可跨境支付场景下信息出境的必要性,并拟通过克减专项合规要求以促进该场景下数据流动、满足商贸及业务经营需要。倘若新规在正式生效版本中仍保留上述规定,我们理解也能较大程度减轻跨境支付业态中的合规压力。
* 尽管如此,《跨境流动新规(征求意见稿)》对于跨境汇款场景的豁免范围并未清晰界定。第三方跨境支付合作场景下,除了为完成具体支付交易过程中的收付款人信息、交易信息及报文传输,还存在其他特定关联场景下的信息出境。例如,(1)出口电商业态中,为境内卖家开通其在境外合作机构的收款账户时,为KYC目的,需要向合作机构提交境内卖家的进件资质,其中包含境内卖家的企业关联人(法定代表人、实际控制人等)信息;(2)进口电商模式下,境外机构可能基于当地反洗钱监管要求,在事中、事后开展交易调查,收集交易订单还原和协议还原信息,包括境内买家详细身份信息、交易背景信息等。
上述特定场景下的个人信息出境,是否可以确保完全涵盖在《跨境流动新规(征求意见稿)》关于跨境购物、跨境汇款场景内,我们理解仍具有一定的不确定性,另上述征求意见稿尚未成为生效规则,亦存在后续调整、修改的可能。支付机构应持续关注新规发展,同时也和网信办、人行等监管部门进行充分沟通、澄清,了解相关监管程序的具体适用口径与要求。
* 当然,《跨境流动新规(征求意见稿)》对涉及数据安全重点监管领域的出境活动,仍将严格监管。如果支付机构属于CIIO,或者出境数据中含有重要数据[14],相关出境活动仍需依规完成数据出境安全评估。
四、算法及人工智能技术应用
这两年来,算法及人工智能的应用及监管源源不断地进入公众视野,成为数据合规领域的热点话题。就支付行业而言,客户身份核查、账户欺诈风险监测、报文学习查询、智能客服等是算法技术应用的主要场景,此外,支付机构也可能引入生成式人工智能(AIGC)工具支持日常业务运作。应用创新技术时,支付机构应审慎对待法律、伦理、安全方面的风险挑战。对此,我们重点提示如下事项:
* 防范技术工具使用过程中的信息泄密风险。支付机构及其工作人员在业务处理时可能收集大量敏感个人信息(如鉴别信息、账户资产信息、交易记录等)及业务数据。若员工在业务中向AI工具输入此类敏感数据,则很可能被技术供应商获取并应用于模型训练数据,导致相关泄密风险。
中国支付清算协会于2023年4月发布《关于支付行业从业人员谨慎使用ChatGPT等工具的倡议》,指出业内机构应全面评估使用ChatGPT等AI工具处理工作内容的风险,不上传国家及金融行业涉密文件/数据、非公开的材料及数据、客户资料、支付清算基础设施或系统核心代码等关键敏感信息。我们建议支付机构密切关注和防范此类风险,对于员工应用AI工具制定行为规范,对使用记录进行系统留痕、规定禁止输入的信息范围、对于个人信息输入进行去标识化甚至匿名化处理等。
* 注意算法备案及安全评估等合规监管手续的履行。国家网信办已出台《互联网信息服务算法推荐管理规定》《生成式人工智能服务管理暂行办法》等一系列规定[15],对于互联网信息服务算法、AIGC技术在符合一定条件时提出安全评估和备案要求。相关算法技术的使用者,以及技术服务供应商,均可能触发相关合规手续。支付机构也应综合具体的技术原理、业务模式和使用情况,评估是否落入前述规定范围,避免未能妥善履行相关监管手续带来的合规风险。
五、结语
《非银支付条例》明确,支付机构违反有关规定处理用户信息、业务数据的,将依照数据“三法”进行处罚。2022年9月公布的《网络安全法》修订征求意见稿将违反网络安全保护义务的顶格处罚与《数据安全法》《个人信保护法》对齐,未来支付机构在网安及数据合规问题上面临的最高罚款可高达5000万元或者上一年度营业额5%。
随着近年来国家网信办及人行有关监管规则不断细化完善,支付机构的数据合规之路道阻且长。我们建议各机构对照监管新规、综合自身业务体量对信息系统安全、数据保护情况自查整改,提升合规水位,同时也密切关注数据跨境流动、算法及人工智能等新兴领域的监管尺度与立法动向。
[注]
[1] 例如,《信息安全技术 网络安全等级保护定级指南(GB/T22239-2019)》规定,涉及大量公民个人信息以及为公民提供公共服务的系统,原则上等保定级不低于第三级。今年7月人行发布的《中国人民银行领域数据安全管理办法(征求意见稿)》也进一步要求,存储重要数据或者100万人以上个人信息的系统应当落实三级以上等保要求,存储核心数据的系统应落实四级等保要求或者关键信息基础设施保护要求。
[2] 网络产品和服务范围较为广泛,根据《网络安全审查办法》,其包括:核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
[3] 根据我们的统计,在2022至2023年间,中国人民银行及其地方分支机构共对6家支付机构发布了个人金融信息保护相关的行政处罚。
[4] “隐私政策展示不合规”的常见问题包括以默认方式同意隐私政策、未弹窗提示用户阅读隐私政策、未在官网、App主动披露隐私政策/隐私政策难以访问、收集使用规则晦涩难懂,未提供简体中文版的隐私政策、隐私政策难以阅读(如存在较多错别字,段落划分不明确)。
[5] 此类规则、标准如《关于印发<App违法违规收集使用个人信息行为认定方法>的通知》《App 违法违规收集使用个人信息自评估指南》《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》等。
[6] 《告知和同意实施指南》规定的支付机构基于其基本业务功能可收集的个人信息范围如下:“当支付服务机构出于向用户提供网络支付的基本业务功能的目的而收集使用个人信息时,需在开立支付账户或银行账户、实名认证、绑定银行账户信息、支付交易验证时,以及设立、变更、挂失密码和数字证书等基本功能开启前,向用户告知基本业务功能所收集的必要个人信息种类,包括注册用户手机号码、注册用户姓名、证件种类和号码、证件有效期限、银行卡号码等。”
[7] 北京市海淀区人民法院(2018)京0108民初13661号一审民事判决书。
[8] 《个人信息第三方共享清单》是2021年国家工信部下发的《关于开展信息通信服务感知提升行动的通知》所规定的“双清单”之一(还包括《个人信息收集清单》)。尽管该文件主要是针对互联网企业所运行的App提出的要求,但是业内不少互联网支付平台也已经开始应用此类合规文本。该清单需以简洁清晰的方式列明第三方数据接收者的名称、联系方式、共享的个人信息种类、使用目的、使用场景、共享方式等;在支付机构App当中,通常建议此类清单在App二级菜单中展示,方便用户查询。
[9] 例如,《非银行支付机构网络支付业务管理办法》第21条规定:“支付机构应当通过协议约定禁止特约商户存储客户银行卡的磁道信息或芯片信息、验证码、有效期、密码等敏感信息,并采取定期检查、技术监测等必要监督措施。”行业标准《个人金融信息保护技术规范(JR/T 0171-2020)》要求:“C3 类别信息以及 C2 类别信息中的用户鉴别辅助信息不应共享、转让”等。
[10] 《非银行支付机构监督管理条例》第32条第4款:“非银行支付机构与其关联公司共享用户信息的,应当告知用户该关联公司的名称和联系方式,并就信息共享的内容以及信息处理的目的、期限、方式、保护措施等取得用户单独同意。非银行支付机构还应当与关联公司就上述内容以及双方的权利义务等作出约定,并对关联公司的用户信息处理活动进行监督,确保用户信息处理活动依法合规、风险可控。”
[11] 根据《数据出境安全评估办法》, 如果企业符合以下标准的,应通过国家网信部门组织的数据出境安全评估:(1)向境外提供重要数据;(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;或(3)自上年1月1日起累计向境外提供10万人的个人信息或者1万人的敏感个人信息的数据处理者向境外提供个人信息。
[12] 相关图示仅为流程简图,具体项目合作中的业务模式可能有一定差异,信息流也可能因此有所不同。
[13] 《跨境流动新规(征求意见稿)》第4条:“符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;……”
[14] 对于重要数据的出境安全评估申报手续,《跨境流动新规(征求意见稿)》也进行了一定的范围限缩,其第2条规定:“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。”
[15] 此类规定还包括如《互联网信息服务深度合成管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等。
钟俊鹏 律师
北京办公室
非权益合伙人
业务领域:跨境投资并购, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
姚远
北京办公室 合规与政府监管部
《风萧萧兮:美国启动对华投资安全审查机制和风险提示》
《风正一帆悬:金融数据合规2022年度回顾与展望》
《“氢”风徐来,水波已兴——中国氢能行业全产业链优惠政策概览》
《切磋琢磨成宝器——个人金融信息保护的合规要点解读(下)》
特别声明
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。