近日,国家市场监督管理总局、国家标准化委员会正式发布《信息安全技术 网络支付服务数据安全要求》(GB/T42015-2022,以下简称“《标准》”),实施时间为2023年5月1日。

《标准》规定了网络支付服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。适用于网络支付服务提供者规范数据处理活动,也可为监管部门,第三方评估机构对网络支付服务数据处理活动进行监督、管理、评估提供参考。

在生物识别方面,《标准》要求,不应将个人生物识别信息作为唯一的个人身份认证方式或支付方式,法律法规另有要求的除外;不应频繁要求用户开通个人生物识别认证或支付功能。

在数据出境方面,《标准》要求,网络支付服务提供者如提供跨境支付服务,在境外商户消费、向境外汇款/接收境外汇款、为用户提供跨境支付结算服务等场景下,涉及数据出境。网络支付服务提供者数据出境应遵守以下要求:

a)不涉及处理跨境支付业务的,不应向境外提供个人信息等数据;

b)出境数据应仅限为处理跨境支付业务所需的必要信息;

c)应建立数据出境记录,包括但不限于出境时间、数据类型、数量、目的地、境外接收方等,相关记录至少保存五年;

d)根据业务发展和运营情况,每年应自行或委托第三方机构对数据出境至少进行一次数据出境风险评估。

在与第三方进行数据合作方面,《标准》要求,与第三方风险控制服务商开展合作时,应仅提供经过去标识化处理后的数据,且通过合同等方式约定双方数据安全保护责任。

《标准》要求,通过在第三方应用中嵌入网络支付服务SDK,提供网络支付服务时(如在网上购物服务平台中嵌入网络支付服务SDK,以使网上购物服务平台用户完成订单支付),不应将用户账户余额、银行卡绑定信息、个人身份鉴别信息、与当次支付行为无关的用户交易记录等数据提供给第三方应用。

《标准》明确了网络支付服务数据范围,网络支付服务数据包括用户数据和业务数据:

a)用户数据:网络支付服务提供者在提供网络支付服务过程中收集和产生的个人及组织用户数据,如个人自然信息、个人身份鉴别信息等;

b)业务数据:在网络支付服务业务开展过程中处理的用于保障业务正常运行的数据,如商户签约信息、支付结算信息等。

《标准》还明确了网络支付服务数据主要的安全风险:

a)在数据收集活动中,网络支付服务提供者过度收集用户数据,或过度索取移动App系统权限的风险;

b)在数据传输、存储活动中,网络支付服务提供者未采取有效安全措施导致数据遭受未经授权的访问、泄露、篡改、丢失的风险;

c)在用户数据使用活动中,网络支付服务提供者未采取脱敏、身份鉴别或访问控制等安全措施导致数据遭到未经授权的访问、泄露、篡改、丢失的风险;

d)网络支付服务提供者滥用用户数据开展自动化决策,或滥用自动化决策机制造成用户权益损失的风险;

e)网络支付服务提供者以接入第三方应用、嵌入第三方SDK或其他形式对外提供数据时,未经用户授权或超范围提供数据,以及接收方无法提供充足安全保障措施、滥用用户数据等风险;

f)网络支付服务提供者以安全风险控制等为由扩大个人信息收集范围、未经用户授权或超出授权范围加工和使用其个人信息等风险。

更多相关文章