【新闻周评】《数据安全法》落地,支付从入门到入狱又近了
慕楚移动支付网2021/9/6 12:02:02

这周,值得关注的是《数据安全法》于9月1日落地执行。在步入移动支付时代之后,支付业务作为大量数据的出入口,也不可避免受此影响。不客气地说,如果不细细研究《数据安全法》,根据自身业务进行整改,支付从入门到入狱的距离又缩短了。

那么现在就聊一聊,哪些支付业务需要注意《数据安全法》的影响。

跨境的模糊地带

《数据安全法》要求,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”

“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”这一要求,实际上是数据出境的问题。

在滴滴上市事件后,对数据出境的讨论和法律制定在加速,《关键信息基础设施安全保护条例》中也有海外上市、数据出境的相关要求。但总体来说,数据出境的具体要求仍然缺乏细节。

深圳作为改革开放的前沿城市,在7月也推出了《深圳经济特区数据条例》,明确指出,深圳市网信部门负责统筹协调本市个人数据保护、网络数据安全、跨境数据流通等相关监督管理工作。虽指认了负责部门,而具体的措施有待细化。

从支付行业的具体场景来看,备受关注的跨境电商收款就存在可能的数据出境问题。例如,在亚马逊的支付服务商计划里,参与的支付公司被要求进行相关数据透传。此外,网传亚马逊也正在搞账户关联政策,同样需要向亚马逊透传包括受益人账户、虚拟账户、地址、电话等信息。

尽管亚马逊有反洗钱和合规要求,需要相关信息,但在透传信息中,是否包含敏感信息,是否存在过度收集问题,中美法律是否存在差异造成信息透传争议,这些都存在模糊地带。

此外,谋求境外上市的支付公司,也需要注意《数据安全法》在数据出境上的规定。

电销POS的风险

电销POS问题自从疫情爆发以来愈发严重。

疫情使得POS地推难以开展,许多支付服务商开始通过网络售卖POS,更有甚者从多个渠道收集消费者个人信息,进行POS电销。个人信息的泄露、滥用问题,引起了公安部门注意,“徐州513事件”随之爆发。

“徐州513事件”是以打击电信诈骗为背景,代理商使用支付机构违规留存的个人信息进行POS电销,谁知信息泄露,公安寻迹上门。若干支付公司高管配合调查时,查出涉赌问题,顺带揪出了更大的跑分案。

“徐州513事件”后,许多支付机构先后发布公告,称以“POS机即将停用”“免费邮寄低费率POS”为理由,进行电销的所谓工作人员,均系冒名顶替。但鉴于支付服务商与支付机构之间的上下游关系,实际情况恐怕很难说清楚。

常见的冒用短信

电销的POS出现违法违规情况较多,比如高额押金、到账不及时、少到账等问题,与其说是POS电销,不如说是以POS更换为幌子,进行电信诈骗活动。

《数据安全法》规定,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

以“徐州513事件”为例,支付机构有义务保护自身数据安全,防范数据泄露,而支付服务商则不得使用自身没有权限获得的数据,进行违规展业。

根据央行在2020年2月发布的《个人金融信息保护技术规范》要求,“不应委托或授权无金融业相关资质的机构收集C3、C2类别信息”。其中,C3主要为各类账户密码,C2主要为账户、身份证信息、短信口令、KYC信息、住址。

此外,11月1日将执行的《个人信息保护法》要求,不得过度收集个人信息;不得非法买卖、提供或者公开他人个人信息;

多重数据保护措施之下,电销POS已经从违规上升到违法,责任成本大大提高。

值得一提的是,有部分支付机构与代理商沆瀣一气,通过各种方式进行POS电销。未来一旦出现危机,通过数据获取及使用权限就可能追溯支付机构相关责任。总之,由于电销POS的猖獗,结合当下反电信诈骗形势,惩治电销POS,很可能会使支付机构吃到《数据安全法》的第一张罚单。

扫码点餐与支付数字化边界

在《数据安全法》的最后一次修订中,增加了适老化、消灭数字鸿沟的相关要求,“国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。”

当下,扫码点餐正处于舆论的漩涡当中。今年3月末,中国消费者协会点名了扫码点餐的4个问题,分别是仅提供“扫码点餐”涉嫌过度收集消费者个人信息、仅提供“扫码点餐”侵害消费者的公平交易权、不提供现场菜单有损消费者的知情权、新技术应用不应成为特殊消费群体的消费阻碍。

此外,对于智能手机使用困难的老年人,扫码点餐带来了巨大的数字鸿沟。《数据安全法》的生效,会使扫码点餐这一聚合支付收单场景更加合规化、合法化,在数据的收集方面,聚合支付服务商也可以据此说服商家,不可过度收集信息。

扫码点餐,只是支付数字化升级的一个缩影,随着《数据安全法》的落地,许多具有应用争议的场景会经历法律的洗礼,重视数据安全,会成为支付业者需要面对的一道重要难题。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消