央行数据安全管理办法落地，支付行业迎新规指引

支付

• 适用范围 ：《办法》适用于金融机构以及经中国人民银行批准设立或者认定的其他机构在中国境内开展的中国人民银行业务领域数据相关处理活动，涵盖支付清算等业务领域。
• 数据安全管理要求 ：数据处理者在支付业务中收集、存储、使用、加工、传输、公开、删除等各环节都要遵循相应的安全管理规定。如收集业务数据时，除收集自行公开或其他已经合法公开的业务数据的情形外，需依照法律、行政法规和央行相关规定取得个人同意或组织授权，并落实告知义务；存储高敏感性数据项时，原则上不在终端设备和移动介质中存储，确需存储的，要统一规范管理相关需求场景；使用高敏感性数据项时，原则上不采取导出方式，使用用于身份鉴别的数据项原则上仅采取核验方式等。

清算

• 数据安全保护义务 ：从事清算业务的数据处理者，需建立健全全流程业务数据安全管理制度，结合业务数据分类分级明确差异化的安全保护措施。如银行卡清算机构应当遵守网络安全、数据安全和个人信息保护有关法律法规和制度规定，建立和完善有效的内部网络安全、数据安全管理制度，对从银行卡清算服务中获取的身份信息、账户信息、交易信息以及其他有关敏感信息等当事人金融数据予以保密，除法律法规另有规定外，未经当事人授权不得对外提供。
• 系统与基础设施安全 ：清算、结算相关机构要确保业务系统的基础设施安全、稳定和高效运行，满足国家网络安全等级保护要求，使用经国家密码管理机构认可的商用密码产品，符合国家及行业有关金融标准，且核心业务系统原则上不得外包。

人民币

• 业务领域涵盖 ：人民币发行流通属于中国人民银行业务领域之一，相关数据处理活动适用于《办法》。在人民币发行业务中产生的数据，如人民币印制、发行、流通等环节的数据，其安全管理需遵循《办法》要求，保障数据安全，防范数据泄露等风险，维护人民币发行流通秩序。
• 数据安全监管 ：中国人民银行对人民币业务领域的数据安全负指导监管责任，相关数据处理者要履行数据安全保护义务，保障人民币相关数据在存储、传输、使用等过程中的安全性，确保国家金融安全和人民币的稳定流通。

跨境支付

• 数据出境安全评估 ：数据处理者因跨境支付业务需要向中华人民共和国境外提供数据，存在国家网信部门规定情形的，应当严格遵守其有关规定；法律、行政法规和中国人民银行相关规定有境内存储要求的，业务数据还应当同时在中华人民共和国境内存储。符合国家网信部门规定应当申报数据出境安全评估或者开展保护认证等情形的，数据处理者不得对业务数据采取拆分、转换等手段规避相关义务。
• 真实性与合规性管理 ：银行卡清算机构处理银行卡跨境交易，应当遵守跨境人民币及外汇管理的有关规定，加强跨境交易真实性与合规性管理，防范跨境资金异常流动风险。
• 合作与授权规范 ：境外机构与境内银行卡清算机构合作授权发行银行卡的，应当采用境内银行卡清算机构的发卡行标识代码。境外机构不得通过合作方式从事或变相从事人民币的银行卡清算业务。境内银行业金融机构、非银行支付机构应当健全有关业务管理制度，不得协助境外机构超范围经营。

外汇

• 外汇数据管理 ：在跨境支付等业务涉及外汇数据处理时，需遵循中国人民银行和国家外汇管理局的相关规定，保障外汇数据的安全、准确和完整。数据处理者要按照规定开展外汇交易数据的收集、整理、传输等工作，防范外汇数据泄露风险，维护国家外汇市场的稳定。
• 与跨境支付结合的监管要求 ：从事跨境支付业务的机构在处理外汇数据时，要严格执行外汇管理政策，确保跨境支付业务的合规性。同时，要加强对涉及外汇数据的系统安全防护，防止数据被篡改、破坏或非法利用，保障国家金融安全和外汇市场的正常运行。