【新闻周评】支付为何要关注数据出境
最近,网信办先后发布了两个数据出境相关的文件,分别是《个人信息出境标准合同规定(征求意见稿)》和《数据出境安全评估办法》,对于支付行业来说,涉及诸多的数据出境场景,两大文件都是需要关注的。
数据出境的界定
数据出境的定义,在《数据出境安全评估办法》中是数据处理者向境外提供在我国境内运营中收集和产生的重要数据和个人信息。
是境内机构收集后再向境外接收者提供的数据,也就是境内企业级对境外个人或企业的跨境数据传送。如果个人用户通过互联网,向境外机构提供个人数据,这类境内个人对境外的个人或企业的跨境数据传送形式恐怕不计入在内。
两大文件都界定了怎么样的情况才需要申报数据出境。最重要的是两个要求:
《数据出境安全评估办法》要求,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
《个人信息出境标准合同规定(征求意见稿)》要求,个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
两个文件可以看出,对数据出境性质的重要分界点就是,累计100万人个人信息数据,每年10万人个人信息或1万人敏感个人信息。
按照《个人信息保护法》的规定,所谓敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
对于支付行业来说,基本很多数据是敏感个人信息,所以1万人会是很多跨境支付商参考的数据出境底线。
跨境支付三大场景
业界普遍将跨境支付分成三大场景,分别是跨境电商支付、留学生缴费、跨境旅游,不同业态有着不同的数据出境场景。
跨境电商收付款目前是支付相关公司入局最多的领域,其中涉及的跨境数据流动也非常多,资金流、物流、信息流都与境外机构有着密切的联系。
从资金流来看,一笔款项从境外打入境内,需要与境外收单、账户银行、清算等角色打交道,为了满足三反要求,跨境数据流动必不可少。
此外,许多跨境电商收款机构,虽然在国内大多拥有分公司,本质上是境外机构,在金融方面不持牌,商户将信息交给这些机构的合规性近两年是金融监管所关注的。
此前,央行金融稳定局局长孙天琦例举过一些“无照驾驶”案例。如跨境开立银行账户等银行服务。在一些境外银行网站上,境内个人通过互联网提交开户信息就直接开户(中间无见证环节)。随后,境内个人编造“旅游”等虚假名目,将境内资金汇至境外个人同名账户(大多受到境外银行境内合作者的“汇款”指导)。
这背后就存在大量的数据出境场景,机构在境外,却疯狂的收集境内信息。
而在此前发布的《跨境支付服务管理办法(征求意见稿)》中,也出现了境外主体在境内提供跨境支付服务,是否需要设立法人机构或分支机构的要求,结合当下业态,业界对此争议很大。未来,数据出境的监管变严格,可能提高境外主体在境内进行跨境支付展业的要求。
由于疫情影响,跨境旅游、留学生缴费市场较为沉寂,但依旧是值得关注的数据出境场景。
跨境旅游的支付,是指中国游客出境,在境外进行支付。收单机构多偏向于本土,比如微信支付宝在各国或地区的合作机构。理论上说,用户支付数据都需要给本地收单机构进行合规审查,这就需要支付巨头对数据出境进行安全评估了。
留学生缴费市场,玩家不多,但市场已经较为稳定,新入局者较少。围绕留学生生活场景,涉及的场景非常多,如房屋租赁、资金汇款等。有国内机构对接多个大学,并需要提供相关数据,也有本就是境外机构,但其有本土优势,这数据的流动会变得非常复杂。数据出境的评估难度,或者可操作空间较大。
值得一提的是,一旦数据出境的监管力度加大,是否会出现改变公司性质,或者化整为零出境的规避手段呢?
长臂管辖是一把双刃剑
目前的数据出境规范有一定的长臂管辖作用,如《数据出境安全评估办法》要求2年进行一次数据出境评估,期间如果出现特殊情况还要重新评估,比如下面的情况:
境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的。
境外国家或地区出现特殊情况,我国有权停止数据出境,这是对我国国民的保护,同时如果说境外机构大量的服务我国居民,一旦停止服务,也是对其商业的致命打击。但另一方面,如果对方出现了问题,但其商业存在是我国国民对外服务的重要途径,一旦停止数据出境,反而伤害的我国国民。比如跨境电商收付款中,一旦停止服务,资金无法回国,这也是一大问题。