最近，網信辦先後發布了兩個數據出境相關的文件，分(fēn)别是《個人信息出境标準合同規定（征求意見稿）》和《數據出境安全評估辦法》，對于支付行業來說，涉及諸多的數據出境場景，兩大(dà)文件都是需要關注的。

數據出境的界定

數據出境的定義，在《數據出境安全評估辦法》中(zhōng)是數據處理者向境外(wài)提供在我(wǒ)(wǒ)國境内運營中(zhōng)收集和産生(shēng)的重要數據和個人信息。

是境内機構收集後再向境外(wài)接收者提供的數據，也就是境内企業級對境外(wài)個人或企業的跨境數據傳送。如果個人用戶通過互聯網，向境外(wài)機構提供個人數據，這類境内個人對境外(wài)的個人或企業的跨境數據傳送形式恐怕不計入在内。

兩大(dà)文件都界定了怎麽樣的情況才需要申報數據出境。最重要的是兩個要求： 

《數據出境安全評估辦法》要求，數據處理者向境外(wài)提供數據，有下(xià)列情形之一(yī)的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估：

（一(yī)）數據處理者向境外(wài)提供重要數據； 

（二）關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外(wài)提供個人信息； 

（三）自上年1月1日起累計向境外(wài)提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外(wài)提供個人信息； 

（四）國家網信部門規定的其他需要申報數據出境安全評估的情形。

《個人信息出境标準合同規定（征求意見稿）》要求，個人信息處理者同時符合下(xià)列情形的，可以通過簽訂标準合同的方式向境外(wài)提供個人信息： 

（一(yī)）非關鍵信息基礎設施運營者； 

（二）處理個人信息不滿100萬人的； 

（三）自上年1月1日起累計向境外(wài)提供未達到10萬人個人信息的；

（四）自上年1月1日起累計向境外(wài)提供未達到1萬人敏感個人信息的。

兩個文件可以看出，對數據出境性質的重要分(fēn)界點就是，累計100萬人個人信息數據，每年10萬人個人信息或1萬人敏感個人信息。

按照《個人信息保護法》的規定，所謂敏感個人信息是指一(yī)旦洩露或者非法使用，容易導緻自然人的人格尊嚴受到侵害或者人身、财産安全受到危害的個人信息，包括生(shēng)物(wù)識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等信息，以及不滿十四周歲未成年人的個人信息。

對于支付行業來說，基本很多數據是敏感個人信息，所以1萬人會是很多跨境支付商(shāng)參考的數據出境底線。

跨境支付三大(dà)場景

業界普遍将跨境支付分(fēn)成三大(dà)場景，分(fēn)别是跨境電(diàn)商(shāng)支付、留學生(shēng)繳費(fèi)、跨境旅遊，不同業态有着不同的數據出境場景。

跨境電(diàn)商(shāng)收付款目前是支付相關公司入局最多的領域，其中(zhōng)涉及的跨境數據流動也非常多，資(zī)金流、物(wù)流、信息流都與境外(wài)機構有着密切的聯系。 

從資(zī)金流來看，一(yī)筆款項從境外(wài)打入境内，需要與境外(wài)收單、賬戶銀行、清算等角色打交道，爲了滿足三反要求，跨境數據流動必不可少。 

此外(wài)，許多跨境電(diàn)商(shāng)收款機構，雖然在國内大(dà)多擁有分(fēn)公司，本質上是境外(wài)機構，在金融方面不持牌，商(shāng)戶将信息交給這些機構的合規性近兩年是金融監管所關注的。

此前，央行金融穩定局局長孫天琦例舉過一(yī)些“無照駕駛”案例。如跨境開(kāi)立銀行賬戶等銀行服務。在一(yī)些境外(wài)銀行網站上，境内個人通過互聯網提交開(kāi)戶信息就直接開(kāi)戶（中(zhōng)間無見證環節）。随後，境内個人編造“旅遊”等虛假名目，将境内資(zī)金彙至境外(wài)個人同名賬戶（大(dà)多受到境外(wài)銀行境内合作者的“彙款”指導）。

這背後就存在大(dà)量的數據出境場景，機構在境外(wài)，卻瘋狂的收集境内信息。

而在此前發布的《跨境支付服務管理辦法（征求意見稿）》中(zhōng)，也出現了境外(wài)主體(tǐ)在境内提供跨境支付服務，是否需要設立法人機構或分(fēn)支機構的要求，結合當下(xià)業态，業界對此争議很大(dà)。未來，數據出境的監管變嚴格，可能提高境外(wài)主體(tǐ)在境内進行跨境支付展業的要求。

由于疫情影響，跨境旅遊、留學生(shēng)繳費(fèi)市場較爲沉寂，但依舊(jiù)是值得關注的數據出境場景。

跨境旅遊的支付，是指中(zhōng)國遊客出境，在境外(wài)進行支付。收單機構多偏向于本土，比如微信支付寶在各國或地區的合作機構。理論上說，用戶支付數據都需要給本地收單機構進行合規審查，這就需要支付巨頭對數據出境進行安全評估了。 

留學生(shēng)繳費(fèi)市場，玩家不多，但市場已經較爲穩定，新入局者較少。圍繞留學生(shēng)生(shēng)活場景，涉及的場景非常多，如房屋租賃、資(zī)金彙款等。有國内機構對接多個大(dà)學，并需要提供相關數據，也有本就是境外(wài)機構，但其有本土優勢，這數據的流動會變得非常複雜(zá)。數據出境的評估難度，或者可操作空間較大(dà)。

值得一(yī)提的是，一(yī)旦數據出境的監管力度加大(dà)，是否會出現改變公司性質，或者化整爲零出境的規避手段呢？

長臂管轄是一(yī)把雙刃劍

目前的數據出境規範有一(yī)定的長臂管轄作用，如《數據出境安全評估辦法》要求2年進行一(yī)次數據出境評估，期間如果出現特殊情況還要重新評估，比如下(xià)面的情況：

境外(wài)接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生(shēng)變化以及發生(shēng)其他不可抗力情形、數據處理者或者境外(wài)接收方實際控制權發生(shēng)變化、數據處理者與境外(wài)接收方法律文件變更等影響出境數據安全的。 

境外(wài)國家或地區出現特殊情況，我(wǒ)(wǒ)國有權停止數據出境，這是對我(wǒ)(wǒ)國國民的保護，同時如果說境外(wài)機構大(dà)量的服務我(wǒ)(wǒ)國居民，一(yī)旦停止服務，也是對其商(shāng)業的緻命打擊。但另一(yī)方面，如果對方出現了問題，但其商(shāng)業存在是我(wǒ)(wǒ)國國民對外(wài)服務的重要途徑，一(yī)旦停止數據出境，反而傷害的我(wǒ)(wǒ)國國民。比如跨境電(diàn)商(shāng)收付款中(zhōng)，一(yī)旦停止服務，資(zī)金無法回國，這也是一(yī)大(dà)問題。