支付為何要關注數據出境？

移動支付網消息：最近，網信辦先后發(fā)布了兩個數據出境相關的文件，分別是《個人信息出境標準合同規(guī)定（征求意見稿）》和《數據出境安全評估辦法》，對于支付行業(yè)來說，涉及諸多的數據出境場景，兩大文件都是需要關注的。

數據出境的界定

數據出境的定義，在《數據出境安全評估辦法》中是數據處理者向境外提供在我國境內運營中收集和產生的重要數據和個人信息。

是境內機構收集后再向境外接收者提供的數據，也就是境內企業(yè)級對境外個人或企業(yè)的跨境數據傳送。如果個人用戶通過互聯(lián)網，向境外機構提供個人數據，這類境內個人對境外的個人或企業(yè)的跨境數據傳送形式恐怕不計入在內。

兩大文件都界定了怎么樣的情況才需要申報數據出境。最重要的是兩個要求：

《數據出境安全評估辦法》要求，數據處理者向境外提供數據，有下列情形之一的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估：

（一）數據處理者向境外提供重要數據；

（二）關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；

（三）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；

（四）國家網信部門規(guī)定的其他需要申報數據出境安全評估的情形。

《個人信息出境標準合同規(guī)定（征求意見稿）》要求，個人信息處理者同時符合下列情形的，可以通過簽訂標準合同的方式向境外提供個人信息：

（一）非關鍵信息基礎設施運營者；

（二）處理個人信息不滿100萬人的；

（三）自上年1月1日起累計向境外提供未達到10萬人個人信息的；

（四）自上年1月1日起累計向境外提供未達到1萬人敏感個人信息的。

兩個文件可以看出，對數據出境性質的重要分界點就是，累計100萬人個人信息數據，每年10萬人個人信息或1萬人敏感個人信息。

按照《個人信息保護法》的規(guī)定，所謂敏感個人信息是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

對于支付行業(yè)來說，基本很多數據是敏感個人信息，所以1萬人會是很多跨境支付商參考的數據出境底線。

跨境支付三大場景

業(yè)界普遍將跨境支付分成三大場景，分別是跨境電商支付、留學生繳費、跨境旅游，不同業(yè)態(tài)有著不同的數據出境場景。

跨境電商收付款目前是支付相關公司入局最多的領域，其中涉及的跨境數據流動也非常多，資金流、物流、信息流都與境外機構有著密切的聯(lián)系。

從資金流來看，一筆款項從境外打入境內，需要與境外收單、賬戶銀行、清算等角色打交道，為了滿足三反要求，跨境數據流動必不可少。

此外，許多跨境電商收款機構，雖然在國內大多擁有分公司，本質上是境外機構，在金融方面不持牌，商戶將信息交給這些機構的合規(guī)性近兩年是金融監(jiān)管所關注的。

此前，央行金融穩(wěn)定局局長孫天琦例舉過一些“無照駕駛”案例。如跨境開立銀行賬戶等銀行服務。在一些境外銀行網站上，境內個人通過互聯(lián)網提交開戶信息就直接開戶（中間無見證環(huán)節(jié)）。隨后，境內個人編造“旅游”等虛假名目，將境內資金匯至境外個人同名賬戶（大多受到境外銀行境內合作者的“匯款”指導）。

這背后就存在大量的數據出境場景，機構在境外，卻瘋狂的收集境內信息。

而在此前發(fā)布的《跨境支付服務管理辦法（征求意見稿）》中，也出現了境外主體在境內提供跨境支付服務，是否需要設立法人機構或分支機構的要求，結合當下業(yè)態(tài)，業(yè)界對此爭議很大。未來，數據出境的監(jiān)管變嚴格，可能提高境外主體在境內進行跨境支付展業(yè)的要求。

由于疫情影響，跨境旅游、留學生繳費市場較為沉寂，但依舊是值得關注的數據出境場景。

跨境旅游的支付，是指中國游客出境，在境外進行支付。收單機構多偏向于本土，比如微信支付寶在各國或地區(qū)的合作機構。理論上說，用戶支付數據都需要給本地收單機構進行合規(guī)審查，這就需要支付巨頭對數據出境進行安全評估了。

留學生繳費市場，玩家不多，但市場已經較為穩(wěn)定，新入局者較少。圍繞留學生生活場景，涉及的場景非常多，如房屋租賃、資金匯款等。有國內機構對接多個大學，并需要提供相關數據，也有本就是境外機構，但其有本土優(yōu)勢，這數據的流動會變得非常復雜。數據出境的評估難度，或者可操作空間較大。

值得一提的是，一旦數據出境的監(jiān)管力度加大，是否會出現改變公司性質，或者化整為零出境的規(guī)避手段呢？

長臂管轄是一把雙刃劍

目前的數據出境規(guī)范有一定的長臂管轄作用，如《數據出境安全評估辦法》要求2年進行一次數據出境評估，期間如果出現特殊情況還要重新評估，比如下面的情況：

境外接收方所在國家或者地區(qū)數據安全保護政策法規(guī)和網絡安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形、數據處理者或者境外接收方實際控制權發(fā)生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的。

境外國家或地區(qū)出現特殊情況，我國有權停止數據出境，這是對我國國民的保護，同時如果說境外機構大量的服務我國居民，一旦停止服務，也是對其商業(yè)的致命打擊。但另一方面，如果對方出現了問題，但其商業(yè)存在是我國國民對外服務的重要途徑，一旦停止數據出境，反而傷害的我國國民。比如跨境電商收付款中，一旦停止服務，資金無法回國，這也是一大問題。