观点摘要

01 《条例》的出台以较大篇幅阐述了非银行支付机构的数据治理内容，重点关注用户合法权益的保护，既是对当前网络安全与数据保护领域的法律法规的延续，也体现了金融行业及非银行支付机构的行业特点；

02 对于非银支付机构的业务系统，《条例》重点关注其安全性问题，要求实现本地化存储，同时核心业务系统及技术服务不得转包；

03 支付服务协议的变更要求为《条例》一大创新，在吸纳《网络数据安全管理条例（征求意见稿）》中的有益条款的同时，要求以数据电文等书面形式实现用户的二次确认同意；

04 根据《数据跨境新规》，非银支付机构从事“跨境支付”等相关业务时，可以免除开展法定三大数据出境路径合规义务，为一大利好，但仍需非银支付机构关注《数据跨境新规》的后续正式版本的变化，以及“跨境支付”的适用范围；

05 非银支付机构应着重对其网络设施、信息系统是否属于关键信息技术设施，收集和处理的数据类型是否属于重要数据作出先行判断，并落实《条例》的相关合规要求。

一、概述

2023年12月17日，国务院正式公布《非银行支付机构监督管理条例》（以下简称《非银支付条例》或《条例》），共6章60条，自2024年5月1日起施行。

《条例》作为针对非银行支付机构监管的首部专门行政法规，旨在促进非银行支付行业规范健康发展，切实保护用户合法权益，更好发挥其服务实体经济、满足用户多样化支付结算需求等作用，体现了我国对非银行支付行业发展和风险防控的高度重视。值得关注的是，《条例》以较大篇幅阐述了非银行支付机构的数据治理内容，要求非银行支付机构切实承担起数据治理的主体责任，关注用户合法权益的保护，与《个人信息保护法》《网络安全法》《信息安全技术个人信息处理中告知和同意的实施指南》（GB/T 42574-2023）等网络安全与数据保护领域的法律法规实现了良好衔接，并结合金融行业及非银行支付机构的业务特点，做出了数据合规方面的创新性要求。

二、非银行支付机构应关注的五大数据合规重点问题

（一）非银行支付机构支付业务系统需符合相关网络、数据安全管理要求

非银行支付机构的支付业务系统首要目标是需要具备高度的安全性，包括对用户个人信息和交易资金的保护。通过采用先进的加密技术和身份认证机制，确保交易过程中的数据安全和防篡改能力，以降低信息泄露和欺诈风险。《条例》第十八条特别强调了非银行支付机构的支付业务系统应符合相关网络、数据安全管理要求，确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性。

第一，在数据存储方面，《条例》对非银行支付机构的业务系统及其备份重申和细化了存放在境内的本地化存储要求。此外，本地化存储的要求还体现在非银行支付机构为境内交易提供支付服务时，即其应当在境内完成交易处理、资金结算和数据存储。

第二，延续了核心业务和技术服务不得外包的要求。《条例》延续了2021年出台的《征求意见稿》对非银行支付机构不得将涉及资金安全、信息安全等的核心业务外包的要求。而在实践中，外包是银行卡收单机构普遍采用的业务模式，也是当前存在数量较多的被举报的典型案例类型之一。部分收单机构出于快速拓展业务等需要，对外包的第三方服务商的准入审查和日常管理不严，甚至违规将核心业务交由外包服务商完成，极易产生资金结算风险，严重扰乱收单市场秩序。个别外包服务商甚至存在挪用商户结算资金，导致大量商户结算资金未到账。因此，《条例》对于非银支付机构提出了核心业务和技术服务不得外包的基础要求，需要严格遵循。

（二）用户个人信息保护方面的规定，是对《个人信息保护法》等法律法规的要求的延续和提升

《条例》以较大篇幅阐述了非银行支付机构如何合法、合规地处理用户个人信息，在要求上与《个人信息保护法》《网络安全法》《告知同意指南》等法律法规、国家标准有较强的延续性，同时体现了金融行业数据和个人信息处理的特殊性。我们从个人信息处理各环节对《条例》的用户个人信息保护方面的要求进行了梳理，具体见下表。

表1：《条例》针对个人信息处理要求一览表

（三）支付服务协议的变更采用了《网络数据安全管理条例（征求意见稿）》的思路，侧重于用户权益的保护

《条例》第二十条明确，非银支付机构应当与用户签订支付服务协议。支付服务协议的具体内容，包括按照公平原则拟定协议条款、应当明确非银行支付机构与用户的权利义务、支付业务流程、电子支付指令传输路径、资金结算、纠纷处理原则以及违约责任等事项。同时，支付服务协议作为格式条款的一种，也需要遵循《民法典》及《民法典合同法通则司法解释》关于格式条款内容的要求，即支付服务协议不得包含排除、限制竞争以及不合理地免除或者减轻非银行支付机构责任、加重用户责任、限制或者排除用户主要权利的内容。

此外，对于非银支付机构在支付服务协议方面需要履行的义务主要包括两项：第一，公示义务。支付服务协议应当在其经营场所、官方网站、移动互联网应用程序等的显著位置予以公示；第二，提示注意义务。非银支付机构应采取合理方式提示用户注意，并按照用户的要求对该条款予以说明。

而支付服务协议的变更是《条例》中一大变更和创新之处。变更的要求与《网络数据安全管理条例（征求意见稿）》的做法有一定的相似性，即“平台规则、隐私政策制定或者对用户权益有重大影响的修订时，互联网平台运营着应当面向社会公众征求意见，征求意见时长不超过30日”；后半部分进一步加重了非银支付机构的义务，要求非银行支付机构以数据电文等书面形式与用户就变更的协议内容达成一致，虽承继了《非银支付机构条例（征求意见稿）》的要求，但在目前生效额正式法律法规中为首次出现。对于该条款的理解之一，是非银支付机构在向以用户发送邮件等形式提出变更请求满30日之后，还需要在其APP或者网站中向用户发送一个确认同意的界面；具体有待实践和监管的最终态度。

（四）非银支付机构提供跨境支付服务应遵守数据跨境流动有关规定

《条例》第十九条要求在境内收集和产生的个人信息处理应当在境内进行，如果一定要向境外提供，应当符合数据跨境流通的相关规定，同时要取得用户的单独同意。当前，数据跨境流通的相关规定主要包括《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》等，以及近期发布的《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《数据跨境新规》），建立了包括但不限于数据出境安全评估、个人信息出境标准合同备案及个人信息保护认证在内的多条合规出境路径。

然而，2023年9月国家网信办发布的《数据跨境新规》对上述三条路径作了例外规定，即第四条明确了三类不需要完成上述三条路径合规工作的数据出境情形。特别值得非银支付机构注意的是，第四条第一款将“跨境购物、跨境汇款”作为“为订立、履行个人作为一方当事人的合同所必需，必须向境外提供个人信息的”的法定情形。而跨境汇款通常为非银支付机构的主要境外业务场景，因此，《数据跨境新规》正式出台和生效后，若继续保留该规定，非银支付机构将无需在开展“跨境支付”相关业务时进行数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证等三项工作。这将成为非银支付机构的一大利好，很大程度上减轻了非银支付机构在开展跨境支付业务时的数据合规压力。

但是，后续《数据跨境新规》正式出台后，非银支付机构还需要进一步关注“跨境购物、跨境支付”的具体范围的认定，先行判断自身所开展的跨境业务是否能完全纳入其中，若存在疑问需与监管部门保持密切沟通，及时跟踪监管动向。

（五）非银支付机构需关注关键基础设施及重要数据的认定

《条例》第三十三条特别关注了关键基础设施及重要数据的存储及出境问题。这提示我们非银支付机构需首先判断其业务系统是否被纳入关键信息基础设施的范畴、收集和处理的数据类型是否属于重要数据，并做好对应合规动作。

首先，若非银支付机构根据《关键信息基础设施安全保护条例》《网络安全审查办法》等规范，其相关网络设施、信息系统被依法认定为关键信息基础设施（CII），其在境内收集和产生的个人信息的处理应当在境内进行。确需向境外提供的，应当符合法律、行政法规和国家有关规定，并取得用户单独同意。

其次，若非银支付机构收集和处理的数据类型属于重要数据，其出境管理将不适用于《规范和促进数据跨境流动规定（征求意见稿）》（如生效）的例外情形，仍需依照《数据出境安全管理办法》完成相应的数据出境安全评估。

三、小结

从我们对各行业近2-3年的立法内容来看，个人信息和数据的相关规制条款，越来越多。总体原则是在《个人信息保护法》等法律、行政法规基础上，进行了延伸。但是我们也注意到具体行业，也会在数据收集、数据存储、数据共享、数据出境、数据删除、销毁等全生命周期方面，结合行业特殊场景，提出特殊要求。这些都是数据合规律师需要结合不同企业所属行业，加大对行业数据法的理解和适用，从而满足对应行业监管部门的特殊要求。