k8凯发天生赢家·一触即发律师事务所

《条例》作为针对非银行支付机构监管的首部专门行政法规，旨在促进非银行支付行业规范健康发展，切实保护用户合法权益，更好发挥其服务实体经济、满足用户多样化支付结算需求等作用，体现了我国对非银行支付行业发展和风险防控的高度重视。值得关注的是，《条例》以较大篇幅阐述了非银行支付机构的数据治理内容，要求非银行支付机构切实承担起数据治理的主体责任，关注用户合法权益的保护，与《个人信息保护法》《网络安全法》《信息安全技术个人信息处理中告知和同意的实施指南》（GB/T 42574-2023）等网络安全与数据保护领域的法律法规实现了良好衔接，并结合金融行业及非银行支付机构的业务特点，做出了数据合规方面的创新性要求。

二、非银行支付机构应关注的五大数据合规重点问题

非银行支付机构的支付业务系统首要目标是需要具备高度的安全性，包括对用户个人信息和交易资金的保护。通过采用先进的加密技术和身份认证机制，确保交易过程中的数据安全和防篡改能力，以降低信息泄露和欺诈风险。《条例》第十八条特别强调了非银行支付机构的支付业务系统应符合相关网络、数据安全管理要求，确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性。

第二，延续了核心业务和技术服务不得外包的要求。《条例》延续了2021年出台的《征求意见稿》对非银行支付机构不得将涉及资金安全、信息安全等的核心业务外包的要求。而在实践中，外包是银行卡收单机构普遍采用的业务模式，也是当前存在数量较多的被举报的典型案例类型之一。部分收单机构出于快速拓展业务等需要，对外包的第三方服务商的准入审查和日常管理不严，甚至违规将核心业务交由外包服务商完成，极易产生资金结算风险，严重扰乱收单市场秩序。个别外包服务商甚至存在挪用商户结算资金，导致大量商户结算资金未到账。因此，《条例》对于非银支付机构提出了核心业务和技术服务不得外包的基础要求，需要严格遵循。

《条例》以较大篇幅阐述了非银行支付机构如何合法、合规地处理用户个人信息，在要求上与《个人信息保护法》《网络安全法》《告知同意指南》等法律法规、国家标准有较强的延续性，同时体现了金融行业数据和个人信息处理的特殊性。我们从个人信息处理各环节对《条例》的用户个人信息保护方面的要求进行了梳理，具体见下表。

表1：《条例》针对个人信息处理要求一览表

环节	《条例》的要求	相关法条
收集	遵循合法、正当、必要和诚信原则，公开用户信息处理规则，明示处理用户信息的目的、方式和范围，并取得用户同意，法律、行政法规另有规定的除外	《个人信息保护法》第五条、第六条、第七条、第十三条《网络安全法》第四十一条《告知同意指南》第6.1条
	不得收集与其提供的服务无关的用户信息	《个人信息保护法》第六条《网络安全法》第四十一条
	不得以用户不同意处理其信息或者撤回同意等为由拒绝提供服务，处理相关信息属于提供服务所必需的除外	《个人信息保护法》第十六条
使用	应当依照法律、行政法规、国家有关规定和双方约定处理用户信息	《网络安全法》第四十一条
使用	不得非法买卖、提供或者公开用户信息。	《个人信息保护法》第十条
存储	应当妥善保存用户资料和交易记录。	《法》《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》等金融机构相关法律法规中有类似要求
存储	应当对用户信息严格保密，采取有效措施防止未经授权的访问以及用户信息泄露、篡改、丢失。	《个人信息保护法》第九条
向关联公司共享	非银行支付机构与其关联公司共享用户信息的，应当告知用户该关联公司的名称和联系方式，并就信息共享的内容以及信息处理的目的、期限、方式、保护措施等取得用户单独同意。	《个人信息保护法》第二十三条
向关联公司共享	非银行支付机构还应当与关联公司就上述内容以及双方的权利义务等作出约定，并对关联公司的用户信息处理活动进行监督，确保用户信息处理活动依法合规、风险可控。	《个人信息保护法》第二十三条
删除	用户发现非银行支付机构违反法律、行政法规、国家有关规定或者双方约定处理其信息的，有权要求非银行支付机构删除其信息并依法承担责任。用户发现其信息不准确或者不完整的，有权要求非银行支付机构更正、补充。	《个人信息保护法》第四十七条

（三）支付服务协议的变更采用了《网络数据安全管理条例（征求意见稿）》的思路，侧重于用户权益的保护

《条例》第二十条明确，非银支付机构应当与用户签订支付服务协议。支付服务协议的具体内容，包括按照公平原则拟定协议条款、应当明确非银行支付机构与用户的权利义务、支付业务流程、电子支付指令传输路径、资金结算、纠纷处理原则以及违约责任等事项。同时，支付服务协议作为格式条款的一种，也需要遵循《民法典》及《民法典合同法通则司法解释》关于格式条款内容的要求，即支付服务协议不得包含排除、限制竞争以及不合理地免除或者减轻非银行支付机构责任、加重用户责任、限制或者排除用户主要权利的内容。

此外，对于非银支付机构在支付服务协议方面需要履行的义务主要包括两项：第一，公示义务。支付服务协议应当在其经营场所、官方网站、移动互联网应用程序等的显著位置予以公示；第二，提示注意义务。非银支付机构应采取合理方式提示用户注意，并按照用户的要求对该条款予以说明。

而支付服务协议的变更是《条例》中一大变更和创新之处。变更的要求与《网络数据安全管理条例（征求意见稿）》的做法有一定的相似性，即“平台规则、隐私政策制定或者对用户权益有重大影响的修订时，互联网平台运营着应当面向社会公众征求意见，征求意见时长不超过30日”；后半部分进一步加重了非银支付机构的义务，要求非银行支付机构以数据电文等书面形式与用户就变更的协议内容达成一致，虽承继了《非银支付机构条例（征求意见稿）》的要求，但在目前生效额正式法律法规中为首次出现。对于该条款的理解之一，是非银支付机构在向以用户发送邮件等形式提出变更请求满30日之后，还需要在其APP或者网站中向用户发送一个确认同意的界面；具体有待实践和监管的最终态度。

（四）非银支付机构提供跨境支付服务应遵守数据跨境流动有关规定

《条例》第十九条要求在境内收集和产生的个人信息处理应当在境内进行，如果一定要向境外提供，应当符合数据跨境流通的相关规定，同时要取得用户的单独同意。当前，数据跨境流通的相关规定主要包括《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》等，以及近期发布的《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《数据跨境新规》），建立了包括但不限于数据出境安全评估、个人信息出境标准合同备案及个人信息保护认证在内的多条合规出境路径。

然而，2023年9月国家网信办发布的《数据跨境新规》对上述三条路径作了例外规定，即第四条明确了三类不需要完成上述三条路径合规工作的数据出境情形。特别值得非银支付机构注意的是，第四条第一款将“跨境购物、跨境汇款”作为“为订立、履行个人作为一方当事人的合同所必需，必须向境外提供个人信息的”的法定情形。而跨境汇款通常为非银支付机构的主要境外业务场景，因此，《数据跨境新规》正式出台和生效后，若继续保留该规定，非银支付机构将无需在开展“跨境支付”相关业务时进行数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证等三项工作。这将成为非银支付机构的一大利好，很大程度上减轻了非银支付机构在开展跨境支付业务时的数据合规压力。

但是，后续《数据跨境新规》正式出台后，非银支付机构还需要进一步关注“跨境购物、跨境支付”的具体范围的认定，先行判断自身所开展的跨境业务是否能完全纳入其中，若存在疑问需与监管部门保持密切沟通，及时跟踪监管动向。

（五）非银支付机构需关注关键基础设施及重要数据的认定

《条例》第三十三条特别关注了关键基础设施及重要数据的存储及出境问题。这提示我们非银支付机构需首先判断其业务系统是否被纳入关键信息基础设施的范畴、收集和处理的数据类型是否属于重要数据，并做好对应合规动作。

首先，若非银支付机构根据《关键信息基础设施安全保护条例》《网络安全审查办法》等规范，其相关网络设施、信息系统被依法认定为关键信息基础设施（CII），其在境内收集和产生的个人信息的处理应当在境内进行。确需向境外提供的，应当符合法律、行政法规和国家有关规定，并取得用户单独同意。

其次，若非银支付机构收集和处理的数据类型属于重要数据，其出境管理将不适用于《规范和促进数据跨境流动规定（征求意见稿）》（如生效）的例外情形，仍需依照《数据出境安全管理办法》完成相应的数据出境安全评估。

三、小结

从我们对各行业近2-3年的立法内容来看，个人信息和数据的相关规制条款，越来越多。总体原则是在《个人信息保护法》等法律、行政法规基础上，进行了延伸。但是我们也注意到具体行业，也会在数据收集、数据存储、数据共享、数据出境、数据删除、销毁等全生命周期方面，结合行业特殊场景，提出特殊要求。这些都是数据合规律师需要结合不同企业所属行业，加大对行业数据法的理解和适用，从而满足对应行业监管部门的特殊要求。

Services

电商、物流与贸易

One-stop legal services, with you every step of the way.

Contact Us

Subscribe Professionals Research News Social Commitment About

Legal Notice|Privacy

Global

中文 English

k8·凯发天生赢家·一触即发(中国区)官方网站