最近，数据行业风声鹤唳、草木皆兵。跨省抓捕、公司倒闭等消息从四面八方扑面而来。据传，某第第三方支付公司的相关从业人员也被带走。作为一名从业者，本文不谈风月、不谈情怀、来谈谈边界的问题，希望大家一起平安、合法的赚该赚的辛苦钱。

1.是谁在敲打我信息安全的窗？

我知道，我的信息一直是都在网上裸奔。我用手机号注册一个竞品之后，在今后的N天里，每天都有推销贷款的营销信息和电话；有人电话过来，直呼“小易啊，明天到我办公室来一趟”。我不知道，是谁泄露了我的信息，但我知道，已经有人脱去了我隐私的内裤，在黑产面前，我一直在裸奔。

因为工作的关系，偶尔也会碰到一些所谓的技术大牛，或者是黑产。他们向我吹嘘，给一个身份信息，将还我一个惊喜。想想都后怕，这不是惊喜，这是惊吓。

2.都说数据生意是一门好生意

从2015年开始，靠手续费续命的支付公司越来越困难了。此时，市面上出现了两个炙手可热的概念：一是“大数据经营”，二是“数据资产变现”。看着一些互联网巨头凭着手握的数据资产躺赚，部分第三方支付公司仿佛看到了希望和曙光，纷纷进军大数据产业，也要学人家做数据资产变现的生意。看看上市支付公司的公开季报、年报，便可知道一二。在合法合规的边界里，数据资产变现当然是一门好生意。

3.要做经得起检验的数据生意

第三方支付公司，在数据获取、收集、保护、使用有那些边界？做生意，首先要经的起三法（民法、行政法、刑法）的检验。经不起行政法规（部门规章）的检验，主管部门要监管你，君不见，今年以来央妈对一百多家机构（含分支）做出了行政处罚；经不起民法的检验，就要坐在被告席上，搞不好输了官司赔了钱；经不起刑法的检验，就要局里蹲，身陷囹圄，失去自由。

央行部门规章对数据安全的相关规定：

1.《银行卡收单管理办法》：第二十八条收单机构不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息，并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。因特殊业务需要，收单机构确需存储银行卡敏感信息的，应当经持卡人本人同意、确保存储的信息仅用于持卡人指定用途，并承担相应信息安全管理责任。

2.《非银行支付机构网络支付业务管理办法》：第二十条支付机构应当依照中国人民银行有关客户信息保护的规定，制定有效的客户信息保护措施和风险控制机制，履行客户信息保护责任。

3.《非金融机构支付服务管理办法实施细则》：第三十八条支付机构应当采取必要的管理措施和技术措施，防止客户身份信息和支付业务信息等资料灭失、损毁、泄露。支付机构不得以任何形式对外提供客户身份信息和支付业务信息等资料。法律法规另有规定的除外。

4.支付清算协会在《银行卡业务风险控制与安全管理指引》、《支付机构互联网支付业务风险防范指引》等文件中，对客户敏感信息的保护都做出了详细的规定。

法律上的相关规定：

1.《刑法》：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

2.《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对办理公民个人信息类刑事案件适用法律进行了详细解释，这个灰常详细，灰常重要，各位一定要看！

3.《网络安全法》：对网络信息安全保护，做了专章规定，各位也一定要去看！

4.第三方支付公司在涉及公民个人信息方面扮演多重角色

一是合法的有限外部数据源使用者。在支付业务的开展中，为了识别用户，就需要对用户的相关信息进行鉴权，包括身份证信息，人行对此也有相关要求。比如对于支付机构自主或委托合作机构以面对面方式核实身份的个人客户，或以非面对面方式通过至少三个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户。因此，第三方支付在接入公安身份信息验证数据库、发卡行、工商、航旅等数据库具有天然和法理上的合法性。

二是合法的有限外部数据收集者，前提是用户授权并同意。用户想要享受第三方支付带来的支付便捷体验，就要把自己的相关敏感信息告知于支付公司，如银行卡四要素等内容，这是交易双方自洽的结果。但是第三方支付公司负有保密的责任和义务。

三是海量数据的接触者。支付是一切交易活动结束的标志，交易过程的订单、场景、价格、交易量、金额、结算频率、客户等数据都可以在支付环节体现。

多重角色的扮演者，决定支付公司可以在市场上获取、收集、存储大量的公民个人信息。在数据就是核心竞争力、流量即可变现的商业逻辑下，要想合法、合规的使用这些数据，我们必须要研究。

5.敲黑板、划重点

1.《解释》明确“公民个人信息”范围，我们在支付业务中收集到的客户姓名、身份证件号码、通信通讯联系方式、住址、账号等都属于个人信息，必须按规定动作保护好。

2.《刑法修正案（九）》将侵犯公民个人信息罪的前提要件由“违反国家规定”修改为“违反国家有关规定”。据此，《解释》第二条将“国家有关规定”解释为法律、行政法规、部门规章有关公民个人信息保护的规定。因此，各位请注意：人民银行对支付公司有关数据保护的相关监管规定，可以作为定罪、量刑的依据。

3.《刑法》修正案扩大了犯罪主体的范围，将违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的行为规定为犯罪。因此，支付公司可以合法的收集公民个人信息(仅限与业务相关)，但是不能出售或者是提供给第三方。

4.根据《中华人民共和国网络安全法》的规定，法律层面是允许合法的个人信息交易和流动的，对于未违反国家有关规定，经得被收集者同意，将合法收集的公民个人信息提供给他人的，不能纳入刑事打击范围。经过处理无法识别特定个人且不能复原的信息，由于已经不具备“公民个人信息”与特定人的关联性和识别性的属性，提供这类信息的，也不能作为犯罪处理。

6.边界到底在哪里？

1.不能收集、存储与支付业务属性无关数据，建立缓存库更是大忌。

2.不能出售、提供相关公民个人信息给第三方。

3.在对客户进行验证和鉴权时，数据源提供者必须要有资质。

4.支付服务（如验证服务）的对象必须要有真实的场景、合法的资质和真实的授权。

5.数据引流、数据资产变现是好生意，但是必须合法。至少要保证数据经过处理无法识别特定个人且不能复原。

以上是一家之言，不代表作者所在单位意见，亦不构成投资建议，仅供同行交流！