支付宝《服务商管理制度》更新,有三大变化!

移动支付网消息:近日,支付宝服务商平台发布关于《服务商管理制度》更新公告,表示对现有规则进行更新,更新后的规则已于2022年12月1日正式生效实施。

《服务商管理制度》是支付宝为规范入驻平台的服务商在推广、使用平台各类服务时的行为,明确支付宝与服务商或开发者的权责而制定的规则。截至目前,《服务商管理制度》经过了2020年12月版本、2021年3月版本、2022年12月版本三次更新。

本次支付宝《服务商管理制度》主要更新内容主要包括三部分。


(资料图片)

首先,新增了合作伙伴安全管理内容。

按照最新《服务商管理制度》规定,支付宝服务商必须保证其获得的敏感信息已经过用户明示同意授权,并保证仅在其申明的使用范围内使用敏感信息。若用户要求,应用服务提供者应该删除接收的所有关于该用户的数据;服务商有义务保障数据在存储、使用或传输过程中的安全,并应遵循《蚂蚁集团生态合作伙伴安全管理规范》的相关要求。

《蚂蚁集团生态合作伙伴安全管理规范》属于支付宝服务商平台数据安全规则专区的内容。涉及从蚂蚁集团相关平台获取用户授权的个人信息(包含姓名、手机号、证件号、地址等)的服务商、合作机构等,均需要遵循此规则。

数据安全、个人信息保护相关法律法规陆续出台,明确了对个人信息处理者(比如企业、互联网平台等)在保护用户个人信息权益、规范数据处理活动中的义务和责任。作为一个生态庞大的体系,蚂蚁集团必然也会跟进信息安全领域,对服务商等合作伙伴做一定的管理和规范。在数据采集、传输、存储、处理、交换以及销毁环节未遵循相关要求,未履行数据保护义务的行为,新增为服务商的“一类违规”情形。

服务商未履行数据保护义务,明确包括:(1)未按要求建立数据安全应急处置机制,未及时对已发生的安全事件进行处置;(2)未按要求对商户数据进行隔离,导致商户数据混用,用户授权混乱等;(3)处理用户个人信息等敏感数据时,未配合平台方完成周期性安全能力评估等三部分。

按照《蚂蚁集团生态合作伙伴安全管理规范》规范,在合作过程中,如果服务商存在违规行为,蚂蚁集团还会给予相应的处罚。视违规情节严重程度,还可能向行政执法机关、司法机关及监管机构披露管理措施及风险情况等。

《蚂蚁集团生态合作伙伴安全管理规范》关于合作伙伴违规及处罚限制机制

值得注意的是,2022年11月,支付宝还发布了《关于进一步规范蜻蜓系列设备刷脸核身场景应用的官方公告》。表示为进一步确保用户的隐私安全、支付安全和保障技术服务的合规合法,将通过技术手段对蜻蜓系列设备进行规范管理。比如,要求在前述行业相关场景中使用的设备,需申请获得“核身设备许可认证”。显然,这也属于信息安全管理的内容范畴。

其次,新增了廉洁规范内容。

《服务商管理制度》在第8点新增了廉洁规范内容,主要分为对外和对内两点。

对外方面,规定了服务商应要求员工、所服务的商户遵守商业廉洁规范,不得以任何方式、向任何组织或个人实施商业贿赂行为。若服务商违反廉洁规范,支付宝有权要求违规行为方支付违约金。同时,支付宝有权向任何第三方披露、或向社会公开服务商的廉洁违规行为。

对内方面,如服务商有知悉或怀疑蚂蚁集团及其关联公司员工有廉洁舞弊行为的,可与其廉正合规部联系,大概就是“欢迎举报”的意思。

第三,优化了设备管理、虚假交易定义等内容。

在设备管理方面,《服务商管理制度》要求更为细致。比如要求服务商妥善管理归属其名下的机具设备,持续稳定为商户提供支持服务,明确不得随意转卖、丢弃、篡改设备。同时,对于一些存在相关行业使用规范的特殊业务场景(例如身份识别、医疗健康等),服务商更要对机具设备使用加强监督管理。

随意篡改设备,服务商名下机具设备被用于非约定用途,或被第三方利用骗取商户或用户资金、诱导商户或用户签订不公平、不合理协议等,也属于服务商的一类违规行为。

在虚假交易定义方面,《服务商管理制度》还分为4种情形:(1)服务商(商户)与其关联方进行的不存在真实商业目的的交易;(2)服务商(商户)自己注册或操纵其他账号,与商户进行的交易;(3)服务商(商户)利用第三方提供的工具、服务或便利条件进行的不真实交易;(4)其他非正常交易手段。

修改后的《服务商管理制度》则将“关联方”的范畴扩大,不仅同一公司内部人员为关联方,关联公司也将视为关联方。因此,虚假交易的定义也将被扩大。

最后要说的是,支付宝此前按照《服务商管理制度》相关规定,已发布过一系列关注于服务商违规的声明,并清退了一批违规作业的服务商。支付宝公布的服务商违规问题集中在冒用名义、虚假宣传、交易造假等方面。截至12月2日,已有10余家服务商因违规作业被清退。

关键词: 服务商管理制度