移动支付网消息:由于数据问题,滴滴等赴美上市的互联网平台正在接受中国监管的“灵魂拷问”。
7月2日,国家互联网信息办公室,依据《国家安全法》《网络安全法》,按照《网络安全审查法》对滴滴进行网络安全审查,并停止新用户注册。
7月4日,监管加码,“滴滴出行”App被下架,但服务依旧正常。
7月5日,以滴滴相同的依据,其他已经赴美上市的“运满满”“货车帮”“BOSS直聘”也被实施网络安全审查,并停止新用户注册。
截止目前,各方猜测不断,滴滴具体犯了什么事众说纷纭。在此,撇开争议不聊,我们从较为敏感的支付领域,来看看滴滴拥有哪些支付数据。
滴滴收集的支付信息
颇受争议的地理位置信息,是滴滴作为打车软件,最基本的数据。除此以外,以合规为前提,也有支付牌照的滴滴,还可以获得更多敏感信息。
2017年12月,滴滴拿下持牌机构北京一九付支付科技有限公司,其支付牌照业务类型为互联网支付。
2020年7月,北京一九付支付科技有限公司正式更名为北京滴滴支付技术有限公司,即现在的滴滴支付。
互联网支付,这一支付牌照类型权限很大。
根据2015年发布的《非银行支付机构网络支付业务管理办法》要求,只有拥有互联网支付资质的支付机构,才有开立支付账户的权利。微信支付与支付宝的账户,就是支付账户,滴滴支付与二者在线上支付场景的基本功能与权限类似,只不过滴滴支付较多的局限在打车场景。
围绕支付账户,支付机构可以获得支付信息。具体有哪些呢?
2020年2月,中国人民银行发布《个人金融信息保护技术规范》(JR/T 0171-2020),该规范规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求。
此外,这一规范还将个人金融信息根据敏感程度分成C1、C2、C3三个等级,不同机构所能收集的机密信息等级不同。具体的个人金融信息如何分级,我们从中国人民银行营管部所梳理的相关资料了解一二:
由于拥有支付牌照,理论上说,滴滴有权获得C1、C2、C3所有敏感等级的数据,根据场景和数据归属不同,获取信息的多少有所不同。事实上,根据《滴滴支付个人信息保护政策》,滴滴的确为合规要求,获得较多信息。
《滴滴支付个人信息保护政策》截图
除了交易信息,在《滴滴支付个人信息保护政策》的“安全管理”部分,还可能收集了身份证信息、人脸信息、指纹信息等。
《滴滴支付个人信息保护政策》截图
其中,生物信息是敏感中的敏感,具有唯一性。谁都不希望人脸信息泄露之后,还要去整容。
个人金融信息对于任何一个机构来说,都是最为优质的数据资产,一旦发生泄漏,必将重罚。
2020年10月,人民银行就对农行、中行、建行的6家分支机构合计罚款4000多万元,理由是“侵害消费者个人信息依法得到保护的权利”“违反反洗钱管理规定,泄漏客户信息”。
大行在国内出事还绝不姑息,希望滴滴能够足够保护好已经收集到的数据信息。而最近,有两个尚未生效,但能表达我国对数据出境监管态度的文件也已经公示。如果滴滴真泄露了我国数据,会怎么样?
两部等待生效的法律
调查滴滴所参照的具体条例是《网络安全审查办法》,其第二条就表明“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”。
从审查情况来看,滴滴很可能被定义为“关键信息基础设施运营者”。关于“关键信息基础设施运营者”,还有新的法规来限定。
6月10日,《数据安全法》经第十三届全国人大常委会第二十九次会议表决通过。将于9月1日实施。
《数据安全法》的第三十一条表明,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定。
如果违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
《数据安全法》还规定,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
此外,对于金融数据,还有最新修订的《反洗钱法》在等着滴滴。
6月1日,在《反洗钱法》(以下简称“《旧法》”)生效15年后,人民银行发布了《反洗钱法(修订草案公开征求意见稿)》(以下简称“《新法》”)。
相比《旧法》,《新法》新增了许多规定,新增的第四十九条规定:外国当局未按照对等原则,也未与中国协商一致,直接要求中国境内金融机构提交中国境内信息或者扣押、冻结、划转中国境内财产的,或者基于不当域外适用法律要求中国境内金融机构作出其他行动的,金融机构不得服从。如果金融机构认为有必要服从的,应当及时提请国务院有关金融监督管理机构批准并告知外国当局与国务院有关金融监督管理机构进行协商。
在《滴滴支付个人信息保护政策》中,许多数据的收集都是以反洗钱之名,《新法》的发布,就是监管的态度,非合理不得数据出境是监管的底线。
总之,无论是普通的数据,还是金融数据。向外国当局提供数据时,都是需要提前告知中国相应的监管部门。虽然两部主要的法律尚没有生效,不过可以看到监管对数据出境的态度。
此外,滴滴支付还有过账户泄漏情况。
滴滴支付的账户泄漏
按照《非银行支付机构网络支付业务管理办法》规定,从事网络支付业务的支付机构应于每年1月31日前,将前一年度发生的客户投诉数量和类型、处理完毕的投诉占比、投诉处理速度,以及风险事件、客户风险损失发生和赔付等情况在网站对外公告。
2021年年初,移动支付网对97家支付机构的披露的情况进行了统计。2020年只有滴滴支付发生账户泄露类风险事件。
滴滴支付公告
《非银行支付机构网络支付业务管理办法》规定,未按规定处理客户信息,或者未履行客户信息保密义务,造成信息泄露隐患或者导致信息泄露的;可按照《非金融机构支付服务管理办法》要求,中国人民银行分支机构责令其限期改正,并处3万元罚款;情节严重的,中国人民银行注销其《支付业务许可证》;涉嫌犯罪的,依法移送公安机关立案侦查;构成犯罪的,依法追究刑事责任。
目前的公开信息中,滴滴支付尚没有收到相关处罚。
最后
透过滴滴这件事,其实支付行业应该提高自身对数据的警觉,数据安全即是国家安全。目前跨境支付成为了许多支付公司的产业突围方向,前有跨境电商收款,后有支付企业出海。
跨境电商收款场景中,有较长的产业链,境内合规机构与境外合规机构合作,以打通产业链上下游是常见的现象,其中的数据出境问题,仍然需要细化。而支付企业出海,也存在与外国监管机构沟通,为本地用户和中国游客提供服务所产生的数据该如何合规的问题。
,