国家标准计划《信息安全技术 网络支付服务数据安全指南》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 蚂蚁科技集团股份有限公司 、中国电子技术标准化研究院 、浙江大学等 。

随着信息技术的快速发展和互联网应用的普及，数据资源价值不断提升。

为了更好的服务用户，企业与组织大量收集和处理数据，给人们生活带来便利的同时，也出现了违规收集个人信息、数据滥用和隐私泄露等数据安全问题。

网络支付平台由于业务的需要，在开展服务过程中涉及收集和处理用户的个人信息和相关数据。

已发布的《个人信息安全规范》对个人信息的收集、储存、使用以及个人信息主体的权利做出了规定，网络支付平台由于业务的特殊性，需要收集、存储和使用大量个人信息和敏感数据；金标委发布的《个人金融信息保护技术规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求；同时，网络支付的数据安全也与金融消费者权益保护紧密结合，日益受到消费者、监管部门和行业共同关注，在网络支付数据生命周期管理及跨境合规等领域也面临更多的风险和挑战。

因此，迫切需要在《个人信息安全规范》和《个人金融信息保护技术规范》基础上，围绕网络支付业务，明确网络支付平台可收集、存储、使用、转移等的个人信息数据，提出相关数据的安全保护要求，尤其是针对网络支付典型业务场景研究制定可落地的数据安全防护要求，指导网络支付平台更好地结合业务场景有针对性地提升个人信息与相关数据的安全防护水平。

本标准针对网络支付平台涉及的数据安全提出要求，规范网络支付从业机构开展个人信息采集、存储、使用、转移/出境和销毁等数据处理活动应遵循的原则，以及数据安全管理要求，并结合网络支付的典型业务场景给出数据安全防护实施参考，为网络支付平台提升数据安全防护水平提供指导，为监管部门、第三方机构等监督、管理和评估网络支付平台数据安全防护水平提供标准依据。

为下列机构在开展网络支付业务过程中加强个人信息及相关数据安全防护提供要求、方法与实施指南： 1、各级政府的网络安全主管部门；2、国家网络安全测评机构；3、网络支付平台机构内数据安全与隐私保护相关部门。

本标准规范了网络支付服务运营者收集、保存、使用、共享、转让、出境、公开披露个人信息，进行数据处理活动应遵循的原则和安全要求。本标准适用于规范网络支付服务运营者的数据处理活动，也适用于主管监管部门、第三方评估机构等组织对网络支付服务的监督、管理和评估。 本标准将基于下列方法开展研究： (1) 采用文献资料法，从国内外网络支付、数据安全、隐私保护相关的国家或行业标准内梳理共同关注点、求同存异抽取共性概念，结合我国具体国情进行概念及范围的定义。 (2) 采用理论与实际相结合的方式，通过对代表性机构开展调研，了解和总结行业企业在数据安全与隐私保护方面的最佳实践，再结合国家、行业监管需要，对比分析和归纳总结，形成标准框架及关键点。 (3) 采用加强组内交流、分阶段推进的策略，定期组织编制组内交流与讨论，推进标化工作；同时，根据标准研制内容的阶段特点，组织行业专家、标准化专家进行评审，确保标准研制工作高效、有序推进。