支付机构重大事项管理办法来了 超500户个人信息泄露应报告
非银行支付机构重大事项报告管理办法来了。
央行日前印发《非银行支付机构重大事项报告管理办法》(以下简称《办法》),要求支付机构拟首次公开发行或者增发股票、对信息泄露方面等多项重大事项,应该事前向央行分支机构报告,并于9月1日开始实施。
易观分析高级顾问苏筱芮对《证券日报》记者表示,《办法》主要目的是防范支付行业的潜在风险,旨在通过重大事项报告体系的建立来提升对支付机构风险的甄别、预警与处置能力,体现出“做好事前预防、实施主动监管”的监管理念。
超500户个人信息泄露
应报告
具体来看,《办法》明确,支付机构拟首次公开发行或者增发股票、提供支付创新产品或者服务、与境外机构合作开展跨境支付业务、与其他机构开展重大业务合作的;支付机构拟在境外投资设立分支机构、控股附属机构或者通过协议等其他安排能够实际控制关联机构开展支付业务等情况需要事前报告。
同时,支付机构及其实际控制人、主要出资人拟抵押、质押、托管或者变相抵押、质押支付机构股权或者超过净资产10%的重要资产、累计对外提供的有效担保超过净资产30%、对外投资超过净资产5%等相关情况,也应事前向所在地中国人民银行分支机构报告。
此外,记者注意到,《办法》对信息泄露方面有明确规定。按照规定,支付机构发生风险事件或者突发情况的,应当按照央行相关规定及时报告。其中,发生信息泄漏一次性涉及客户信息数据超过5000条或者客户数量超过500户的,以及支付业务中断超过2小时或者影响支付业务笔数超过10万笔的,涉嫌利用支付机构渠道从事欺诈、洗钱、非法集资、网络赌博等情况,属于“一类事项”,应当在事项发生后2小时内通过电话、传真或者电子邮件等形式向所在地央行分支机构及时报告,并在事项发生后2个工作日内向所在地央行分支机构提交书面报告。
苏筱芮分析称,自去年以来,信息安全与隐私保护持续成为持牌机构的合规热点,非银支付机构也不例外。《办法》就信息泄露问题从数据条数、客户数量、业务笔数等指标切入,通过量化方式进行规范,一方面表明监管对个人信息保护工作的充分重视;另一方面也能够明晰监管标准,便于后续机构遵照执行。
博通咨询金融行业资深分析师王蓬博对《证券日报》记者表示,从内容上看,《办法》对重大事项的范围和报告程序都做出了更加细致的规定;总体来看,提高支付市场风险甄别、防范和化解能力,维护支付市场稳定。也从业务层面深入到公司治理层面,加深对支付机构的管理。
未按要求报告重大事项
将责令限期整改
早在去年8月份,央行在发布《办法》征求意见稿时指出,支付机构报告意识不强、内容把握不准、程序不规范,重大事项不报、漏报、迟报、错报、乱报的现象较多。将支付机构各类重大经营变化事项和突发情况纳入重大事项进行管理,为风险事件的研判、处置提供有力支撑。
需要注意的是,《办法》中强调支付机构履行重大事项报告义务,不豁免其应承担的相关法律责任;支付机构涉嫌犯罪的,依法移送司法机关处理。
另外,支付机构未按本办法规定建立重大事项报告、风险事件防控、处置等工作机制或者报告重大事项的,中国人民银行及其分支机构责令其限期整改,可以采取约谈等监管措施,并可以依据有关规定予以处罚。并要求,央行分支机构应当将支付机构重大事项报告执行情况纳入支付机构年度分类评级考核。
王蓬博向记者表示,“相信《办法》实施后将进一步规范支付机构,并对支付行业良性发展起到积极作用。”
苏筱芮预计,信息安全与隐私保护、金融消费者隐私保护等将成为下一阶段的监管重点,机构需要持续关注这些合规内容。