新规征求意见,支付机构安全责任再压实

金融业网络安全管理规则,正在进一步覆盖支付机构的系统、数据和技术链条。

支付之家注意到,中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家外汇管理局联合起草了金融业网络安全管理办法(征求意见稿)》,现面向社会公开征求意见,意见反馈截止时间为2026年8月3日。

《办法》共五章三十三条,内容包括总则、网络安全保护义务、监督管理协同、法律责任和附则。按照征求意见稿,金融从业机构在中华人民共和国境内建设、运营、维护和使用网络,以及金融业网络安全的监督管理,适用该办法。

这不是一份专门面向支付机构的单项规则,但支付机构的核心系统、支付数据、商户服务入口、APP和外包技术链条,都在金融业网络安全管理框架之内。

征求意见稿使用“金融从业机构”口径。根据附则,金融从业机构是指金融机构以及经国务院金融管理部门批准设立或者认定的其他机构。国务院金融管理部门包括中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家外汇管理局。

支付机构与这一口径具有直接关系。支付机构受人民银行监管,是持牌金融业主体。此前公开征求意见的金融法草案,非银行支付机构列入金融机构范围,将支付结算纳入金融活动。“非银行支付机构”被明确纳入“金融机构”范畴!

对支付行业而言,金融业网络安全管理规则的完善,将直接关系到系统稳定、数据保护、个人信息处理、APP和SDK等技术入口、供应链管理以及外包服务管理。

过去讨论支付机构合规,市场更多关注备付金、收单业务、商户管理、反洗钱、外包服务、无证经营、牌照续展等问题。这些仍是支付监管的重要内容,但支付业务能够稳定运行,还依赖核心交易系统、账户系统、商户管理系统、风控系统、资金结算相关系统、终端接入系统和外部技术服务链条。

征求意见稿将网络运行安全、网络数据保护、网络个人信息保护、网络安全等级保护商用密码使用、技术创新应用、信息服务安全管理等内容纳入金融业网络安全保护义务。支付机构除了证明交易行为合规,也要证明支撑交易的系统、数据、入口和外包链条安全可控。

支付系统安全首先受到影响。

征求意见稿要求金融从业机构建立网络安全责任制,确定网络安全负责人,建立网络安全管理组织架构和议事决策机制,指定网络安全牵头管理部门,保障网络安全资金和人员投入,制定内部网络安全管理制度和操作规程。

对支付机构来说,网络安全不再只是技术部门的工作。核心系统是否稳定,交易链路是否可监测,系统异常能否及时处置,网络安全事件是否有应急预案,都会影响机构的经营质量和监管评价。

支付行业交易具有小额高频特点,连接用户、商户、银行、清算机构、外包服务机构、终端厂商和软件服务商。一旦支付系统出现大面积异常,影响会传导至商户收款、资金流转和交易秩序。

等保和商密要求也会继续深化。

征求意见稿要求金融从业机构按照国家网络安全等级保护制度要求,合理确定网络安全保护等级,履行定级备案义务,按期开展网络安全等级测评,并及时整改测评发现的风险。同时,金融从业机构应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。

这部分要求与支付机构核心系统直接相关。核心交易系统、账户系统、商户管理系统、风控系统、资金结算相关系统、APP后台、开放接口平台等,都需要持续满足等级保护和商用密码相关要求。

等保和商密并非支付行业新要求。此次征求意见稿将相关要求纳入金融业网络安全管理规则,支付机构相关系统的持续测评、整改和安全投入会更加明确。

支付数据安全同样重要。

征求意见稿要求金融从业机构加强网络数据分类分级管理,采取相应技术和管理措施,防止网络数据遭到篡改、破坏、泄露或者非法获取、非法利用。

支付机构掌握的数据类型复杂,包括用户身份信息、绑卡信息、交易流水、设备信息、商户入网资料、门店经营信息、终端信息、风控标签、争议处理记录等。这些数据与用户资金安全、商户经营、反欺诈、反洗钱和风险识别密切相关。

支付数据既能反映资金流向,也能反映交易关系和经营活动。一旦支付数据泄露、被非法调用或者被恶意篡改,后果可能从个人信息泄露延伸到欺诈、电诈、洗钱和资金风险。

支付机构的数据治理不能只停留在隐私政策文本和系统权限配置上,还要形成分类分级、访问控制、传输存储保护、日志留存、异常监测、事件处置和责任追溯的完整链条。

个人信息保护也会与支付实名制、绑卡、风控管理进一步交织。

征求意见稿要求金融从业机构规范个人信息处理活动,保障个人信息安全,并鼓励使用国家网络身份认证公共服务开展用户身份核验。

支付业务涉及实名制、绑卡、身份核验、账户安全、交易风控、刷脸支付、设备识别和异常交易监测。支付机构既要识别真实用户和真实交易,也要控制个人信息处理边界,不能以风控、营销和便利化为由扩大个人信息采集范围。

这会影响支付APP、商户入网、聚合支付服务、收单终端和智能风控系统。哪些信息必须采集,哪些信息可以替代核验,哪些信息可以共享,哪些信息必须最小化处理,都需要更清晰的制度和技术约束。

支付入口安全也需要同步治理。

征求意见稿提到,向公众提供应用软件下载服务的金融从业机构,应当履行恶意程序和违法违规信息检测等安全管理义务。发现应用软件存在设置恶意程序,或者含有法律、行政法规禁止发布、传输的信息,应当立即停止提供下载服务,保存有关记录,并向有关主管部门报告。

支付行业的应用入口并不只有面向个人用户的钱包APP。商户收款APP、代理商管理工具、收银插件、SDK、小程序、终端管理工具、开放接口平台,都是支付业务运行的重要入口。

在收单服务链条中,支付机构、外包服务机构、终端厂商、软件服务商、聚合支付服务商之间存在多层连接。支付机构需要关注代码来源、版本更新、权限调用、恶意程序检测、漏洞修复和日志留存,不能只看交易是否成功。

APP和SDK一旦出现漏洞,风险可能进入商户侧和用户侧。支付入口安全治理,将成为支付机构外包管理和技术管理的一部分。

技术创新应用也被写入征求意见稿。

文件要求金融从业机构做好信息技术应用创新的风险管理。对支付行业来说,AI支付、智能体支付、刷脸支付、开放接口、跨境支付自动化、智能风控、智能终端等新技术,都在改变支付链路。

技术创新带来的风险,不只来自交易本身,也来自模型调用、接口权限、数据流转、身份识别和自动化决策。支付创新越接近自动化执行,网络安全和数据安全越需要同步嵌入产品和系统设计。

正在探索智能体支付、AI支付和开放接口能力的机构,需要同步处理身份核验、授权边界、数据调用、风控责任和异常处置。技术创新在提升体验和扩展场景之外,还要经得起系统安全和数据安全检验。

金融业关键信息基础设施,是征求意见稿中的重要内容。

征求意见稿提出,国务院金融管理部门按照金融业关键信息基础设施认定规则组织识别金融业关键信息基础设施,确定认定结果,及时通知运营者,并通报国务院公安部门,抄送国家网信部门。

对被认定为金融业关键信息基础设施运营者的主体,征求意见稿提出了更高要求,包括主要负责人负总责,明确主管网络安全的领导班子成员作为首席网络安全官,设置专门安全管理机构,对关键岗位人员进行安全背景审查,报送安全保护计划和网络安全工作总结。

在供应链方面,运营者还应按照国家网络安全审查规定和金融行业预判指南申报网络安全审查,并按规定报送年度网络产品和服务、云计算服务采购清单。运营者每年至少还要对关键信息基础设施进行一次网络安全检测和风险评估,并及时整改发现的问题。

这部分需要区分适用边界。并非所有支付机构都会自动成为金融业关键信息基础设施运营者。对一般支付机构而言,基础网络安全保护义务会被进一步压实。对承担重要支付网络、重要交易系统或重要基础设施职责的主体而言,一旦被识别为运营者,组织架构、人员管理、供应链安全、年度评估和应急管理要求会明显提高。

支付机构的外包生态也会受到传导。

支付机构大量依赖云服务、技术服务商、终端厂商、SDK服务商、短信服务商、风控服务商、客服系统、商户管理工具和外包服务机构。征求意见稿直接约束金融从业机构,支付机构对外部服务商的安全审查、合同约束、权限管理、接口管理、日志留存和应急处置要求,会沿着业务链条向外传导。

这对收单机构尤其重要。收单业务连接面广,服务链条长,终端设备多,商户类型复杂。支付机构如果不能有效管理外包机构、终端厂商和软件服务商,网络安全风险就可能通过商户侧工具、终端设备、代理商系统和接口服务进入支付链路。

不同类型支付机构面临的压力并不相同。

大型支付机构系统复杂、交易规模大、数据量大,可能面对更高标准的安全要求。它们需要持续投入等保测评、商密改造、数据治理、供应链审查、应急演练和安全运营能力。

中小支付机构的压力更多来自成本和能力。网络安全团队建设、系统整改、安全检测、APP治理、供应商管理和应急演练,都需要长期投入。安全能力不足,未来可能影响机构经营质量和监管评价。

收单机构需要特别关注商户端APP、终端设备、外包服务机构、代理商系统、商户资料和交易数据安全。开展跨境支付相关业务的支付机构,还需要关注境内系统运营、境外合作方接口、数据流转和个人信息保护边界。

监管协同方面,征求意见稿明确了国务院金融管理部门与网信、公安、密码管理等部门之间的配合机制。支付机构面对的网络安全监管,不只是人民银行体系内的要求,也会与网络安全、数据安全、个人信息保护、商用密码、关键信息基础设施保护等规则衔接。

法律责任部分延续这一思路。征求意见稿没有为支付行业单独设置新的罚款区间,而是与网络安全法、数据安全法、个人信息保护法、关键信息基础设施安全保护条例、网络数据安全管理条例等既有法律法规衔接。拒绝、阻碍监督检查,未按规定使用商用密码,未履行网络安全保护义务,涉嫌违反治安管理或构成犯罪的,将分别进入相应处理程序。

对支付机构而言,网络安全已经不只是系统运维问题。

交易能不能安全完成,数据能不能守住,APP和SDK能不能管好,供应商和云服务能不能可控,都会影响一家支付机构的经营质量。

支付机构的牌照价值和经营质量,将更多与系统安全能力、数据治理能力、技术供应链管理能力挂钩。

这里是支付之家。我们关注支付表象之下的规则差异与逻辑变化,提供支付科技领域增量信息。观点内容仅供参考。

未经允许,严禁转载。发布者:支付之家 转载或引用请注明出处:https://www.zfzj.cn/12772.html

(0)
海澜集团超5亿入主的支付公司,违法所得6592万元被没收!
上一篇 2026年7月5日 17:35
CFETS离岸人民币交易,单日突破120亿美元
下一篇 2026年7月6日 09:45

相关推荐

发表回复

登录后才能评论
联系我们

联系我们

QQ:80027302

在线咨询: QQ交谈

微信:zfzjzw 或 zfzjxh

邮件:z@zfzj.cn 或 s@zfzj.cn

工作时间:周一至周五,9:30-17:30,节假日休息

商务微信
商务微信
分享本页
返回顶部