網(wǎng)絡(luò )支付服務(wù)提供者收集個(gè)人信息應在遵守G R / T 35273—2020中 5.1、5.2、5.3的要求基礎上.遵 守以下要求：

a） 通 過(guò) A p p 收集必要個(gè)人信息應符合G B / T 41391—2022中 A . 5的規定；

b） 擴展業(yè)務(wù)功能收集的個(gè)人信息均應由用戶(hù)可選提供，H.應限于實(shí)現處理目的的小范I韋1,常見(jiàn) 擴展業(yè)務(wù)功能收集的個(gè)人信息范圍及使用要求見(jiàn)附錄C;

c） 應采取具有信息輸入安全防護、即時(shí)數據加密功能的安全控件對支付鑒權信息的輸入進(jìn)行安 全保護，并采取有效措施防止合作機構獲取、留存。

注 ：支付鑒權信息包括但不限于網(wǎng)絡(luò )支付交易口令、快捷支付口令、銀行卡密碼。

網(wǎng)絡(luò )支付服務(wù)提供者如提供跨境支付服務(wù)，在境外商戶(hù)消費、向境外匯款/接收境外匯款、為用戶(hù)提 供跨境支付結算服務(wù)等場(chǎng)景F ，涉及數據出境。網(wǎng)絡(luò )支付服務(wù)提供者數據出境應遵守以下要求:

a） 不涉及處理跨境支付業(yè)務(wù)的.不應向境外提供個(gè)人信息等數據；

b） 出境數據應僅限為處理跨境支付業(yè)務(wù)所需的必要信息；

c） 應建立數據出境記錄.包括但不限于出境時(shí)間、數據類(lèi)型、數量、目的地、境外接收方等.相關(guān)記 錄至少保存五年；

d） 根據業(yè)務(wù)發(fā)展和運營(yíng)情況，每年應自行或委托第二方機構對數據出境至少進(jìn)行一次數據出境 風(fēng)險評估。

附件：GB_T 42015-2022《信息安全技術(shù) 網(wǎng)絡(luò )支付服務(wù)數據安全要求》