拉卡拉隐私政策更新，出现多家征信机构！

拉卡拉支付个人信息保护政策更新，合作征信机构名单被进一步列示。

支付之家注意到，拉卡拉近日发布关于《拉卡拉支付个人信息保护政策》更新的公告，称为更好保障用户合法权益、加强个人信息安全保护，依据有关法律法规、监管政策重新修订并更新相关政策。

按照公告，新政策条款自公告发布时间满15日后正式生效。新版《拉卡拉支付个人信息保护政策》显示，本版发布日期为2026年6月11日，生效日期为2026年6月26日。

这次更新中，合作征信机构列表被新增列入政策附件。

从公告披露内容看，本次修订主要涉及五方面：明确告知用户查阅、复制、转移、更正、补充、删除、限制处理个人信息、撤回同意等情况的途径或方法；明确在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息前，将向个人告知接收方的名称或者姓名和联系方式；修订未成年人个人信息保护条款；根据实际业务情况调整服务内容；修订第三方SDK服务机构列表，增加合作征信机构列表。

对支付机构而言，隐私政策已经不是单纯面向个人用户的App告知文本。它同时承载着支付业务、商户服务、风控管理和第三方合作关系的说明功能。

支付之家注意到，新版政策附件中的“征信机构”列表，列示了百行征信有限公司、钱塘征信有限公司、朴道征信有限公司、芝麻信用管理有限公司等机构，并披露了对应注册地址和官网信息。

此前版本中，拉卡拉隐私政策已经出现过与征信机构共享商户相关信息的概括性条款。此次更新的重点，不是从无到有出现“征信机构”概念，而是把相关合作对象从概括性表述推进到名单化披露。

对用户和商户来说，名单化披露的意义在于，个人信息可能在哪些第三方机构之间发生处理、共享或协同使用，变得更加清楚。对于支付机构来说，这也是个人信息保护政策从原则性告知走向场景化说明的一部分。

支付机构为什么会涉及征信机构？

这个问题需要放到支付业务和商户服务场景里看。支付机构并不只是提供一个收付款入口，尤其是收单机构，服务对象不仅包括普通个人用户，也包括大量小微商户、个体工商户和企业经营者。

在商户入网、身份核验、风险识别、反欺诈、信用评估、交易安全管理等环节，支付机构都需要处理与账户、身份、经营、交易有关的信息。商户经营者身份信息、收款账户、店铺资料、经营信息、交易流水等数据，本身具有较强的金融属性，也与支付风险管理密切相关。

除此之外，拉卡拉生态中还存在面向小微商户的融资服务和金融科技服务场景。

拉卡拉公开报告中曾提到，公司通过产业数字化服务平台，帮助中小微企业将支付、订单、物流等核心经营数据整合生成数据资产，帮助企业建立金融机构认可的数字信用，提升融资获取能力；同时，面向银行等金融机构提供智能化风险评估、营销及客户管理、贷后风险巡检等科技服务。

由此看，征信机构名单出现在支付机构个人信息保护政策中，不只与收单风控有关，也可能与小微商户融资、信用评估、金融科技服务等业务存在连接。

拉卡拉的支付、商户服务、融资服务和金融科技服务等业务生态，使其在部分场景中可能需要与征信机构、金融机构及其他第三方服务机构发生数据协同。相关信息处理仍应以具体业务授权和政策约定为基础。

新版政策中，拉卡拉明确列出其个人信息保护政策涉及的个人信息类型，包括个人基本信息、个人身份信息、个人生物识别信息、网络身份标识信息、个人财产信息、个人常用设备信息、精准定位信息等。其中，身份证、人脸活体检测照片、银行账户、流水记录、精准定位信息等被列为个人敏感信息。

支付机构处理的信息，并不只是普通App意义上的注册信息和登录信息，而是高度贴近身份、账户、资金、设备、位置和交易活动的信息。

在特约商户服务场景中，这一点更加明显。

新版政策在特约商户相关服务中，列明了储值账户运营、支付交易处理等业务场景。在商户开通服务中，需要获取个人信息、收款入账银行账户信息、店铺经营信息等；在商户升级服务中，涉及信用卡认证信息、营业执照认证信息等；在相关收款交易场景中，政策列明可能涉及GPS定位信息、手机蓝牙权限、设备识别号以及加密交易卡号信息等；在交易查询场景中，则记录并展示交易流水及划款入账信息。

这些内容与收单业务合规高度相关。

对收单机构来说，商户经营者往往同时具有个人用户和经营主体联系人双重身份，相关信息既涉及个人信息保护，也涉及商户准入和交易风险管理。

近年来，支付行业围绕真实商户、真实交易、真实经营场景的管理要求持续加强。支付机构需要通过商户资料、设备环境、交易位置、账户信息、交易信息等维度识别风险，防范违规入网、虚假商户、套码套现、异常交易等问题。

从这个角度看，个人信息保护政策并不只是面向C端用户的一份隐私文本，也是一家支付机构对商户数据处理边界的公开说明。

新增合作征信机构列表，则让这种数据处理关系更加外显。

对支付机构而言，征信合作通常不会脱离具体业务场景。无论是商户准入、风险评估，还是反欺诈、信用辅助判断、小微商户融资服务，都需要在合法、正当、必要的前提下处理相关信息。对用户和商户而言，更关键的是信息调用场景、调用范围、授权方式、第三方处理规则，以及撤回或限制处理的路径。

除了征信机构名单，新版政策还同步修订了第三方SDK服务机构列表。对于支付App、商户服务App来说，SDK调用涉及推送、定位、号码认证、数据统计、崩溃监控、OCR识别、地图服务等多个功能模块。这些功能服务于App运行和业务办理，也可能涉及设备信息、位置信息、日志信息、相机权限、相册权限、蓝牙权限等数据处理。

第三方SDK清单和合作征信机构名单同时更新，也让支付机构的数据外部流向更加可见。

对于支付机构来说，个人信息保护已经不是简单写一份隐私政策。支付机构连接用户、商户、银行、清算机构、征信机构和各类技术服务商，数据流向天然复杂，业务场景也更加敏感。

在实名制、反洗钱、反欺诈、收单风控、商户入网、账户管理、交易查询、设备管理、小微商户融资服务等具体场景中，哪些信息必须采集，哪些信息可以不采集，哪些信息会共享给第三方，哪些信息可以撤回授权，都需要更加清楚地呈现在业务流程和政策文本中。

拉卡拉此次更新《个人信息保护政策》，既是一次制度文本修订，也对应着支付机构数据合规要求的进一步细化。

从用户权利路径，到个人信息转移告知；从未成年人保护，到第三方SDK清单；再到合作征信机构名单，支付机构正在把更多数据处理关系写入公开政策文本。

对支付行业来说，个人信息保护已经不只是“隐私政策有没有”的问题，而是支付、商户服务、风控、融资服务和第三方合作等场景中，数据从哪里来、到哪里去、谁能使用、如何退出的问题。

征信机构名单被列示之后，支付机构数据合规边界也更加清晰。

这里是支付之家。我们关注支付表象之下的规则差异与逻辑变化，提供支付科技领域增量信息。观点内容仅供参考。