从2020年6月28日草案公布到2021年6月10日通过，《数据安全法》历经三次审议，将于2021年9月1日正式实施。这部法律是我国第一部数据安全领域的专门法律，相较于《网络安全法》，它既强调数据安全保护，也强调产业发展；相较于《个人信息保护法》，它更加注重数据的宏观安全，更注重数据处理的规范化。它为我国网络、信息和数据安全构建了更加全面完备的法律框架，也标志着我国数据安全全面步入“法制化”时代。

作为支付行业，存储着大量个人支付的敏感数据。作为监管机构，人民银行多次通过行业标准规范支付机构数据采集、存储、使用等不同环节，并作为支付机构年度续展、年审的必备审核要素，进一步规范支付机构对支付数据的安全管理。但随着我国经济的快速发展，数据安全管理呈现出多维度交叉、多领域复杂、多行业混杂的局面，单一监管机构的监管方式难以满足数据安全的统筹管理。因此，《数据安全法》的发布，也将从顶层设计层面促使数据安全管理加强，形成合力，强化我国数据安全态势。

下文将对《数据安全法》中的相关规定进行深入解读，并结合支付行业的现状预测未来的监管趋势，供读者参考。

1.支付与金融分离加速

《数据安全法》第六条规定，“各地区、各部门对本地区、各部门在工作中收集和产生的数据和数据安全负责。工业和信息化、电信、交通运输、财政、自然资源、卫生健康、教育、科技等主管部门按照本行业、领域承担数据安全监管责任。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管责任。国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。”

该条款首先明确了金融、科技、电信等监管部门的数据安全监管职责。引用《数据安全法》对数据安全的定义，“通过采取必要措施，确保数据处于有效保护和合法使用的状态，并具有保障持续安全的能力”。以往行业监管部门在数据安全监管中，侧重于数据的有效保护、存储和持续安全管理，“合法使用”则相对薄弱。“合法使用”的背后，是未来监管部门对“合法”定义进一步规范和明确，甚至通过加个“许可证”实现合法化的体现。

例如前期热议的互联网公司利用自身收集的个人数据，加工并推荐“优质”客户给金融机构，完成贷款协助、信用卡申请等。监管部门也发文明确，只有持有“个人征信许可证”的机构，才能为金融机构从事个人数据处理服务。通过此次事件，可见《数据安全法》在支付金融领域影响重大。以此次事件为例，可以做出以下猜想：

1、银行和金融机构只能通过持有“个人征信许可证”的机构购买和收集个人数据，这进一步提高了银行获取个人数据的门槛，并对大量灰色行业数据公司进行重新洗牌；

2、支付机构积累的个人支付数据不得被广泛利用形成各种“广告”、“精准推荐”、“人群画像”等服务，进一步打击支付机构在此领域的灰色收入，让支付机构回归服务的本源路子；

3、未来将严格管控广告行业，加大广告“精准化”力度。目前我国广告泛滥，扰民现象严重，相比国外治理空间较大。规范广告行为短期内能起到立竿见影的效果，但对主要收入来源于广告的互联网公司短期内影响较大。

2.数据安全标准加速与国际接轨

《数据安全法》第十一条规定“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与制定数据安全相关的国际规则和标准，促进数据跨境安全自由流动”。随着人民币国际化进程的加快，我国数据安全治理与规范也需要加快与国际接轨。众所周知，欧美等国家对数据安全的使用和存储限制非常严格，支付行业从业者应该对PCI 3.0安全标准比较熟悉，国内支付数据安全标准与PCI 3.0还有较大差距。但通过《数据安全法》可以看出，数据安全治理已经上升到国家战略层面，将加速行业数据安全规范的全面升级，并通过产业和技术升级参与国际安全标准的制定，进一步提升我国在国际领域的话语权。

作为支付机构，显然支付机构的安全管理成本会成倍增加。中小支付机构若达不到数据安全管理要求，将被勒令停业，并可能因缺乏收入来源而面临破产清算。这可能是中小机构最艰难的一年。可以预见，2021年底、2022年初，将有大量中小支付机构主动退出支付行业。

3. 未来数据安全应用有望创新

《数据安全法》第十六条规定，“国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全领域的技术推广和商业创新，培育发展数据开发利用和数据安全产品和产业体系”。从国家层面，鼓励数据安全领域的技术创新和商业应用，将数据安全视为一个独立的产业体系。可见，整个数据安全产业将迅速蓬勃发展，在保障个人数据安全的同时，能够有效投入商业应用。未来可以预见，各种形态的数据应用产品将进一步推动我国数字化转型的进程，成为我国数字化转型最坚实的基石。

回首过去，以“区块链”技术为核心的数据安全应用产品如雨后春笋般涌现。以我国数字人民币为例，其利用区块链技术保障个人数字人民币的隐私保护。作为近来日趋成熟的数据安全领域核心技术，“区块链”技术未来将在我国多个领域开花结果。笔者认为，支付机构深耕“区块链”技术，在现有的传统领域继续发力技术实力，加速传统行业的数字化转型，将是支付机构未来的坦途。

四、结论

《数据安全法》是一部从国家战略高度提出数据安全要求、数据安全产业发展和数据安全管理的纲领性文件，未来将带动相关领域制定相关管理规则，推动数据安全管理全面升级。也标志着我国数据安全全面步入“法治”时代，任何人在数据安全领域违法，都将受到法律的制裁，这将在很大程度上铲除数据领域的灰色产业。

支付机构从基层做起，近十年来彻底改变了我国传统行业的支付方式，为我国带来了高效、便捷的支付方式。但我们不能沉溺于过去的辉煌，我国已进入全面数字化转型时代，数据安全是数字化转型的重要保障，应积极探索数据安全，顺应国家发展方向，振兴支付机构。