携程被罚1000万元，背后关联一张支付牌照

一张数据出境罚单，把携程体系内的金融科技和支付牌照布局重新带到台前。

据“网信上海”通报，近期，在国家网信办指导下，上海市网信办针对属地部分企业网络数据安全主体责任履行不到位、安全管理防护措施缺失、后端处理数据合规能力不足、数据出境合规审计不严等问题，办理了一批执法案件。

其中，上海携程商务有限公司因未落实数据出境安全评估要求、违法出境个人信息等行为，被依据《个人信息保护法》予以罚款1000万元的行政处罚，并被责令限期改正。通报同时提到，企业受处罚后积极配合，全面落实有关整改要求。

本次处罚主体为上海携程商务有限公司，处罚事项指向数据出境和个人信息保护，并非上海程付通支付有限公司被处罚，也不属于支付业务违规。

这张罚单的支付行业看点，更多来自携程体系内旅游主业、金融科技、支付牌照和数据治理之间的交叉关系。

支付之家注意到，从公开股权穿透信息看，上海携程商务有限公司与持牌支付机构上海程付通支付有限公司存在间接股权关联。

具体来看，上海携程商务有限公司持有携程金融科技（上海）有限公司6.17%股权；携程金融科技（上海）有限公司持有上海程付通文化发展有限公司100%股权；上海程付通文化发展有限公司持有上海程付通支付有限公司100%股权。

上海携程商务有限公司不是程付通支付的直接股东，也不是程付通支付的控股主体。两者之间的关联，来自携程金融科技这一上层股权结构。

上海市网信办通报中的核心问题，集中在个人信息出境合规上。《数据出境安全评估办法》明确，数据处理者向境外提供重要数据，或者符合一定个人信息处理、出境规模条件的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。国家网信办此前答记者问也提到，数据处理者在向境外提供数据前，应首先开展数据出境风险自评估。

旅游、商旅、机票、酒店、签证、保险、跨境用车等业务，天然可能涉及境内外服务商、境外接收方、国际用户和多端系统协同。国家网信办发布的《促进和规范数据跨境流动规定》也明确了跨境购物、跨境寄递、跨境汇款、跨境支付、机票酒店预订等免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境情形。是否适用豁免，仍应以具体业务场景、数据类型、处理规模和监管认定为准。

监管并不否定数据跨境流动本身，关键在于企业能否把数据出境的场景、范围、必要性和安全保障讲清楚、留足依据。对携程这类国际化旅游平台来说，数据出境不是边缘事项，而是全球化服务能否持续运行的一项基础要求。

携程体系内，程付通支付承担着支付牌照角色。

资料显示，上海程付通支付有限公司原名为上海东方汇融信息技术服务有限公司，成立于2011年，2012年获得人民银行颁发的《支付业务许可证》，获准开展互联网支付、预付卡发行与受理等业务。

2020年，携程方面收购东方汇融相关股权事项获得人民银行批复，携程体系由此补齐第三方支付牌照资源。

此后，东方汇融更名为上海程付通支付有限公司。

随着《非银行支付机构监督管理条例》实施，支付业务类型重新划分。公开信息显示，程付通支付的业务类型相应调整为储值账户运营Ⅰ类、储值账户运营Ⅱ类，相关业务覆盖范围涉及全国及上海市。

2025年，中国人民银行上海市分行相关许可信息显示，同意上海程付通支付有限公司注册资本变更为2亿元，并同意孙兆波担任公司董事兼总经理。

对携程而言，支付牌照连接的是旅游订单、用户账户、商户结算和资金处理能力。机票、酒店、度假、商旅、门票、租车、保险等场景，都涉及订单支付、退款、担保、预授权、对账、结算和商户资金处理。支付能力嵌入订单、退款、结算和对账环节越深，平台对交易体验、资金效率和服务履约的管理能力越强。

携程金融科技也是这一布局中的重要一环。

携程金融官网显示，其发展历程中包括推出官方支付产品“程支付”，并披露携程体系内曾获得新加坡金融管理局授予的大型支付机构牌照，以及Visa亚太区Principal Member发卡资质、银联国际亚太区Principal Member发卡资质。

这些公开信息勾勒出携程金融科技布局的几个方向：境内支付牌照与程付通支付，围绕旅游消费、分期、信贷、联名卡等延展的金融科技服务，以及面向国际化场景的海外支付、发卡和结算能力。支付牌照在其中承担账户、交易、结算和资金服务入口的角色。

支付业务本身高度依赖数据。用户身份信息、银行卡信息、交易信息、设备信息、风控信息、订单信息、商户信息，都会在支付和金融科技服务中被采集、处理和使用。平台型企业不能只把支付牌照理解为交易工具，也不能只把数据合规理解为技术部门或法务部门的单点工作。

在集团内部存在旅游主业、金融科技、支付机构、海外业务和合作金融机构的情况下，数据在不同主体之间如何流转，个人信息授权边界如何划定，跨境场景下是否触发安全评估或其他合规要求，都需要形成清晰规则。

对平台型企业而言，支付牌照管的是账户、交易和资金处理，数据规则管的是个人信息怎样收集、怎样调用、能否出境以及出境后如何承担责任。两者分别受不同监管规则约束，但在真实业务中，往往同时出现在订单、账户、支付、风控和履约流程里。

对程付通支付而言，本次处罚并不指向其支付业务。但从集团声誉和用户信任角度看，平台体系内的监管处罚，仍可能引发外界对其金融科技板块、账户体系、支付牌照主体和数据处理能力的关注。

上海携程商务被罚1000万元，是一张数据出境罚单，也提醒平台企业，支付、金融科技、商旅、跨境服务和数据处理已经很难完全分开管理。

对平台企业来说，支付牌照不是流量业务的附属工具。订单、账户、资金和数据一旦进入同一套系统，牌照价值最终要由持续合规来证明。

这里是支付之家。我们关注支付表象之下的规则差异与逻辑变化，提供支付科技领域增量信息。观点内容仅供参考。