2021年8月20日，经第十三届全国人大常委会第三十次会议审议后，《中华人民共和国个人信息保护法》（以下简称“《个保法》”）获得通过并公布，并将于2021年11月1日起生效实施。这是中国第一部专门规范个人信息保护的法律，对我国公民的个人信息权益保护以及各组织的数据隐私合规实践都将产生直接和深远的影响。

为何支付行业需要重点关注《个保法》？

支付业务属性决定其必须处理大量用户个人信息甚至敏感信息。因此《个保法》对于支付行业的影响范围主要会涵盖以下几方面：商业银行等金融机构、第三方支付机构等非金融机构、支付及安全技术服务机构等此类涉及到交易数据处理的机构。以上各类机构及公司需要严格按照《个保法》中关于个人信息处理及敏感个人信息处理的要求检查相应业务及系统流程，确保相关数据信息的获取、处理、存储和应用等符合监管法规的要求。

例如支付清算机构为银行业金融机构、第三方支付机构提供转接清算服务，需处理包括身份证号、短信验证码、银行账号等身份认证信息，付款金额等交易信息以及自然人商户信息等。从某种程度上说，清算业务本身就是对个人信息的处理业务。此外，支付清算机构还需要按照人民银行相关监管要求，在履行包括风险监控、交易信息分析等职责时，同样涉及到处理大量个人信息需要按照《个保法》中相关规定进行合规处理。

实际支付业务中所涉及个人信息及敏感个人信息

支付业务中由于风险管控的需要，通常面临尽职调查、反欺诈、反洗钱等问题，需要收集大量交易方的个人信息，以实现对用户、用户设备的身份识别和认证。此类业务中涉及到的个人信息包括但并不限于如下内容：

• 客户尽职调查：客户身份认证以及实益所有权识别 、制裁名单筛查、负面信息、CDD 陈述 vs. 实际业务活动、交易监控、交易警报、调查案件、可疑交易报告等。
• Anti-Fraud：设备信息（如设备id、设备硬件参数、软件配置等）、用户身份标识、用户操作系统标识、浏览器标识、cookie、支付信息（支付方式、支付帐号或卡号）、交易信息（购买商品或服务名称、规格、价格等）、联系信息（姓名、国家、地址、邮编、电话）等
• 反洗钱：包括客户身份信息及资料、账户交易流水、大额和可疑交易报告、客户风险等级、可疑案例监测模型、黑名单信息、洗钱风险评估相关内容、反洗钱分类评级结果、反洗钱协查信息等等。

针对于以上支付行业涉及的个人信息的内容，此次《个保法》的出台对于此类信息的处理规则、合规管理以及处罚等方面均作出了明确规定，具体如下：

（一）处理个人信息的基本规则

《个保法》第二章规定了个人信息处理的八大规则，涵盖处理个人信息的合法性基础、处理个人信息的告知与同意要求，个人信息处理的不同场景（共同处理、委托处理），个人信息处理的不同方式（共享、公开）等。

对于支付业务来说，首先应当在合法的基础上处理个人信息：例如应当取得个人的同意，遵循相关的法律法规（《非银行支付机构条例（征求意见稿）》、《中华人民共和国反洗钱法（修订草案公开征求意见稿）》）合同，规章制度等，在合理的范围内处理个人信息；

其次要遵循个人信息告知与同意的要求：个人信息处理者在处理个人信息前，应以显著的方式、清晰易懂的语言向个人告知特定事项，但根据法律、行政法规规定应当保密或者不需要告知的情形除外。

（二）处理敏感个人信息的特殊规定

《个保法》对敏感个人信息的处理规则专门进行规定。在支付业务中，个人敏感信息可能会体现在：个人的身份信息，支付信息，交易信息等。据此在处理这些信息时应当需要遵守的规则主要包括：

1. 需要取得个人的单独同意；法律、行政法规另有规定需取得书面同意的，或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的，从其规定。
2. 在告知内容方面，需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

（三）个人信息跨境提供规则

《个保法》明确了个人信息跨境提供的基本规则，主要包括以下方面：

法定条件。《个保法》规定向境外提供个人信息应首先满足“因业务等需要，确需向中国境外提供个人信息”的前提，同时还应具备下列条件之一：

• 通过国家网信部门组织的安全评估；
• 经专业机构进行个人信息保护认证；
• 按照国家网信部门制定的标准合同与境外接收方订立合同；
• 法律、行政法规或者国家网信部门规定的其他条件。此外，如果中国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行。

对于支付行业来说，主要会涉及个人信息的的场景是将境内用户的个人信息提供给境外机构或者是企业，这就需要首先告知同意要求,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。其次，需要设定保护标准。具体来讲个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。此外，对于其他特定出境情形，《个保法》规定了个人信息处理者向外国司法或者执法机构提供存储于中国境内的个人信息应经中国主管机关批准，并对损害中国公民个人信息权益的境外组织与个人采取负面清单要求。此外，《个保法》还针对在个人信息保护方面对我国采取歧视性的不合理措施的其他国家和地区的规定了对等采取措施的要求。

（四）强化个人信息处理者的合规管理义务

还需要注意的是，《个保法》还明确了个人信息处理者的合规管理和保障个人信息安全等义务，具体包括：

• 要求其按照规定事前采取必要措施确保个人信息处理活动的合规性与安全性；
• 指定个人信息保护负责人对信息处理活动进行监督；
• 定期对其个人信息处理活动进行合规审计；
• 对处理敏感个人信息、自动化决策、向境外提供个人信息等高风险处理活动，应事前进行风险评估并对处理情况进行记录；
• 针对个人信息泄露等安全事件履行通知和补救义务等。

以上要求需要在实际业务流程中以业务动作、系统功能等方式进行落实。

（五）明确对于个人信息泄露行政处罚与法律责任

此次《个保法》对违法行为加大惩处力度，设置了严格的法律责任。

例如，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照。

《个保法》同时对侵害个人信息权益的民事赔偿、刑事责任以及公益诉讼做出规定。具体而言，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。违反《个保法》规定构成犯罪的，追究刑事责任。个人信息处理者侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

总结：

对于涉及金融及跨境支付行业的企业，还应结合相应行业的特点以及监管的特别要求，例如对于个人数据隐私的保护还需要参考《网络安全法》，《非银行支付机构条例（征求意见稿）》以及《中华人民共和国反洗钱法（修订草案公开征求意见稿）》《信息安全技术公共及商用服务信息系统个人信息保护指南》（国标GB/Z28828-2012）等，进行相应的合规整理工作。

相关参考文章：

http://www.junhe.com/legal-updates/1539

https://baijiahao.baidu.com/s?id=1708861305595479015&wfr=spider&for=pc

https://mp.weixin.qq.com/s/uJ5FSqmAB5bQU81KLPbmOQ

https://mp.weixin.qq.com/s/Fu6opV2qrAfVR83oodsB2g

https://www.tc260.org.cn/front/postDetail.html?id=20210105154506