一、强调支付机构业务及系统的独立性

 

《条例》进一步强调了支付机构业务及系统的独立性要求。例如，《条例》第18条、第21条等条款要求支付机构应当具备必要和独立的业务系统、设施和技术，确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性，支付机构的业务系统及其备份应当存放在境内，并要求支付机构不得将涉及资金安全、信息安全等的核心业务和技术服务委托第三方处理。同时，《条例》第22条再次强调核心业务管理要求，明确支付机构应当自行完成特约商户尽职调查、支付服务协议签订、持续风险监测等业务活动。这一要求与此前《银行卡收单业务管理办法》(9号文)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(199号文)等规范性文件中“核心业务不得外包”的规定一脉相承，并将其上升为行政法规的层级。

 

二、重申“关键信息基础设施运营者”和“达到规定数量”的本地化处理要求

 

根据《条例》第33条规定，支付机构相关网络设施、信息系统等被认定为“关键信息基础设施”，或者“处理个人信息达到国家网信部门规定数量”的，其在境内收集和产生的个人信息的处理应当在境内进行。确需向境外提供的，应当符合有关规定，并取得用户“单独同意”。支付机构在境内收集和产生的重要数据的出境安全管理，依照有关规定执行。上述规定与《个人信息保护法》、《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》中的相关要求相呼应，体现了监管对于数据安全的重视。

 

三、个人信息保护要求相比《征求意见稿》趋严

 

《条例》第32条对支付机构个人信息保护相关要求作出了规定。总体而言，《条例》体现了《个人信息保护法》中明确的相关要求，例如强调处理用户信息的合法、正当、必要和诚信原则，规定支付机构需公开用户信息处理规则，明示处理用户信息的目的、方式和范围，并取得用户同意（法律、行政法规另有规定的除外），并要求支付机构不得收集与其提供的服务无关的用户信息，不得以用户不同意处理其信息或者撤回同意等为由拒绝提供服务等。

 

此外，《条例》要求支付机构与其关联公司共享用户信息的，应当告知用户该关联公司的名称和联系方式，并就信息共享的内容以及信息处理的目的、期限、方式、保护措施等取得用户单独同意，并要求支付机构对关联公司进行监督，确保依法合规、风险可控。该项要求显著严于《征求意见稿》，并且是在金融领域的监管文件中首次就金融业相关机构向关联公司共享用户信息进行明确规定，需引起重视。