从2020年6月28日公布草案，到2021年6月10日通过，《数据安全法》历经三次审议，并将于2021年9月1日正式施行。该法为我国第一部数据安全领域的专门法律，相较于《网络安全法》则更强调数据安全保护和行业发展并重，相较于《个人信息保护法》则更关注数据宏观层面的安全和数据处理的规范，为中国网络、信息及数据安全构筑更加全面和完善的法律框架，也标志着我国数据安全全面进入“法制”时代。

作为支付行业，大量存储着个人支付的敏感数据，人民银行作为监管机构也多次通过行业标准规范支付机构的数据采集、存储与使用等不同阶段，且作为支付机构每年续牌、年审的必要审查要素，进一步规范支付机构对于支付数据的安全管理。但是随着我国经济飞速发展，数据安全管理呈现多维度交叉、多领域复合、多行业混合的情况，单一监管机构的监管方式难以满足数据安全的统筹管理，因此《数据安全法》的发布也就将促使从顶层设计层面强化数据安全管理，形成合力加强我国数据安全形势。

下文将对《数据安全法》中相应条款进行深入解读，并根据当下支付行业的现状来预判未来监管趋势，供读者参考。

一、支付与金融行业加速分离

《数据安全法》中第六条“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。”

该条款首先明确了金融、科技、电信等监管部门的数据安全监管职责。引用《数据安全法》中对于数据安全的定义“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”与过去行业监管部门对于数据安全的监管侧重于有效保护、存储以及持续安全管理，而针对“合法利用”相对薄弱。“合法利用”的背后其折射出未来监管部门对于“合法”这个定义的进一步规范和明确，甚至将通过新增“许可证”的形式来加以合法化处理。

例如前期热议的互联网公司通过自身采集的个人数据，通过加工向金融机构推荐“优质”客户完成助贷、信用卡申领，监管部门也发文进行了明确，需要具有“个人征信牌照”的机构才能从事金融机构的个人数据处理加工服务。通过该事件，明显地可以看出《数据安全法》在支付金融领域的重大影响。以该事件为例，可以进行如下的猜想：