第一章  总则

1.1目的

为强化Paywook支付平台全球交易账户信息与交易数据安全管理，充分保障合作商户及持卡人利益，防止账户敏感信息与交易数据的丢失和泄漏，避免由此带来的欺诈风险，特在中国运营区域制定本规则。

1.2 基本原则

Paywook账户信息与交易数据的管理应遵循严格管控、权责明确、过失赔偿、违规处罚的基本原则，确保账户信息与交易数据在Paywook全业务链运营中的安全性、完整性和可用性，防止数据遭到篡改、泄漏和破坏。

1.3 适用范围

本办法适用于中国区域内交易的国际信用卡以及在Paywook支付平台使用的所有支付工具，所有参与Paywook业务的第三方服务机构以及Paywook的合作商户。其中第三方服务机构既包括从事商户管理、设备维护、技术开发、数据分析、网络推广、交易清算等的金融专业化服务机构，也包括参与跨境支付相关的硬件、软件等产品开发及服务的机构或企业。

1.4 定义

1.4.1账户信息

账户信息是指Paywook支付平台交易中产生的订单信息，包括但不限于卡号、密钥、姓名、邮箱、地址、电话、社交、IP地址等信息以及与Paywook交易相关的用户身份验证信息。记录在Paywook支付平台上的信息包括：卡号、卡片有效期、磁条信息、卡片验证码。与Paywook交易相关的用户身份验证信息包括：网上业务、电话银行、手机银行等业务中的用户注册名、密码、真实姓名、证件号码、联系方式等。

1.4.2 交易数据

交易数据是指Paywook在各类业务中的交易处理数据，数据内容视业务不同而有所不同。基本内容包括：卡号、密码、磁条信息、有效期、卡片验证码。

第二章 权利与义务

2. 1 权利

所有机构或个人有权监督与Paywook支付相关联的账户（卡号）信息和交易数据安全相关的信息管理状况，发现问题，均可向Paywook支付平台报告或向中国相关的监管职能部门举报。一旦发现其他商户或个人因泄漏Paywook支付平台持卡人账户（卡号）信息及交易数据、并给Paywook、持卡人、合作机构或商户造成损失的，可通过Paywook支付平台申请损失赔偿，Paywook将启动代为追责程序，向违规方进行严厉追责。

2.2义务

合作商户、持卡人、收单机构等相关方应定期查看账户信息及交易数据安全状况，一旦发现有违规行为，应及时通报Paywook支付平台介入处理，Paywook应在有效时间内组建专业团队对违规行为进行处理，切实维护账户及交易数据的安全。

第三章 人员及组织管理

3.1基本要求

合作商户应建立完善的信息安全管理体制，并制订账户信息与交易数据安全相关的制度及检查程序，明确各数据安全相关岗位的责任与权限。

3.2人员管理

合作商户应与所有接触账户（卡号）信息及交易数据的员工签署保密协议，在协议中明确员工需要承担的保密责任以及员工离职时的脱密期。

第四章 访问控制

4.1基本要求

合作商户应根据“业务需要”的原则，严格控制访问和使用账户信息和交易数据，防止未经授权擅自对数据进行查看、篡改和破坏。业务需要是指“有业务上需要者才能访问相关数据，并且只能访问需要使用的数据”。

4.2 身份验证

合作商户应启用身份验证机制来授权和确认访问账户（卡号）信息和交易数据的人员身份，包括进入存储或处理数据物理场所的身份鉴别机制，以及逻辑访问数据的身份鉴别机制。

4.3 权限管理

限制数据访问权限，任何人都只能访问其开展业务所必需的数据。严格控制员工对账户（卡号）信息及交易数据的访问权限，访问权限的分配应遵循双人控制的原则，避免单个员工对账户（卡号）信息及交易数据的完全控制。在员工调离相关岗位时，应立即通知系统管理人员删除该员工注册的用户名及权限。

4.4 设备（系统）访问

为了防止非法访问或者使用通讯设备（管理系统）擅自更改、破坏或泄露数据，应对访问通讯设备（系统）的特定程序和访问数据的时间和日期进行严格的控制和记录。

只有被授权人员才能按照事先制定的维护程序来更改设备（系统）的设置。在设备（系统）维护前后都应对设备（系统）的访问授权控制进行测试。

4．5 密码管理

   为不同的用户设置不同的初始密码， 然后由用户自行设定密码，并要求用户定期更改密码。

第五章 数据的保护、使用与销毁

5.1 数据的保护

5.1.1基本要求

合作商户严格保护以任何形式出现的账户（卡号）信息及交易数据，具体包括：存储于各类计算机系统中的、存储在POS、ATM及其他终端设备中的、通过网络传送的、显示在电脑屏幕上的、通过POS或ATM等设备打印出来的各类信息。

指定专人保管保存在磁带、光盘等备份介质中的账户（卡号）信息及交易数据，应将数据存放在装有门禁系统的机房或保险柜中。

5.1.2卡号屏蔽

在ATM交易凭条、账单、网页、移动通讯设备或电子邮件中显示卡号信息时，必须采用卡号屏蔽的方式保护卡号安全。

5.1.3账户（卡号）密码

交易数据中的个人密码除了可以在硬件加密设备上以及在打印密码信封时可以以明文出现，其他情况下都不得以明文出现。

5.1.4数据传输与存放

账户（卡号）信息与交易数据在互联网中传输时必须进行加密。对无法以电子方式传输的文件，应以发送方和接收方约定的安全方式传送。必须对存储在能够通过外网访问的数据库中的数据进行加密。

不得将写有（存有）账户（卡号）数据与交易信息的文件、软盘、光盘及电脑放置在没有安全保护的地方；同时只能由专人处理这些账户（卡号）与交易数据。

5.2 数据的使用

5.2.1基本要求

未经发卡机构的书面许可，其他机构或个人均不得将该发卡机构真实的账户（卡号）信息及交易数据提供给第三方。

不得将真实的账户（卡号）信息及交易数据用于软件开发及模拟测试。有特殊情况需要使用真实的账户（卡号）信息及交易数据进行开发及测试的，必须获得发卡机构的书面许可并签署保密协议。使用时须指定专人保管，并在开发及测试结束后立即销毁。

5.2.2日志记录

建立账户（卡号）信息及交易数据访问与使用的日志记录机制与审核机制。日志记录的内容包括：用户身份、使用类型、日期和时间、访问成功标记、访问的数据或系统设备名称等等。风险主管人员应定期审核日志内容。

5.3 数据的销毁

5.3.1基本要求

合作商户可根据实际情况确定账户（卡号）信息及交易数据的保存期限，通常不少于两年。对于超出保存期限的账户（卡号）信息及交易数据，必须及时销毁，以免造成信息的泄漏。

5.3.2销毁方式

以粉碎或焚毁的方式销毁所有无用或过期的账户（卡号）信息与交易数据；通过消磁、删除、破坏等方式对报废设备、系统或介质中的账户（卡号）信息与交易数据进行处理。

第六章 系统管理

6.1 基本要求

账户（卡号）信息及交易数据必须在具有安全保护措施的系统中存储、传输， 系统的安全保护措施包括确保网络安全，安装、更新防火墙、防病毒软件等。

6.2 管理措施

当内部网络与外部网络相连接时，必须对网络进行监控， 以及时发现对内部网络的攻击。当管理人员通过公共网络访问账户（卡号）与交易信息时，必须提醒管理人员“在公共网站填报、访问账户（卡号）信息可能泄漏交易数据”。对软件的版权、来源、版本等作详细审核和登记；及时更新操作系统软件，并及时安装软件的安全补丁。

应定期对系统安全性能进行测试，测试的内容包括：系统漏洞，防病毒、防火墙性能等。从内到外以及从外到内的数据都必须通过防火墙，防火墙必须隐藏它所保护的网络的结构， 并在侦测到异常现象时发出警报。不得将设备或系统供应商提供的默认值作为与系统安全有关的控制参数，如设备或系统访问密码。

第七章 事故处理

7.1 基本要求

专门制订针对账户（卡号）信息及交易数据安全事故处理的应急处理方案，确保及时有效地处理各种意外情况。一旦出现账户（卡号）信息与交易数据遭到篡改、泄漏和破坏的安全事故，必须立即对事故进行调查处理，并直接通知Paywook支付平台采取措施，避免造成进一步的损失。

7.2 事故报告

合作商户可通过Paywook管理后台报告与账户（卡号）信息与交易数据相关的安全事故；其他人则可以通过Paywook平台官网联系方式，电话或邮件方式联系平台及时介入处理。

第八章 特别要求

8.1 特别要求

8.1.1 第三方服务机构及商户管理

合作商户应每年定期或不定期地监督、检查其第三方服务机构，确保其认真执行本规则中对第三方服务机构的相关要求。对于不符合本规则中安全规定的第三方服务机构，必须采取控制措施直至其符合规定为止。

合作商户必须对其签约的第三方服务机构账户（卡号）信息和交易数据安全负全部责任。

8.1.2 与第三方服务机构签订协议的要求

协议中应当明确第三方机构及商户在账户（卡号）信息和交易数据安全方面承担的责任，对于所有与自身存在合作关系并能够访问账户（卡号）信息和交易数据的机构（包括第三方服务机构与商户），必须在与其签订的协议、合同或相关附件中包括以下内容：

严格遵守《Paywook支付平台账户（卡号）信息和交易数据安全管理规则》，未经特别许可，不得将账户（卡号）信息及交易数据提供给第三方。承担因账户（卡号）信息与交易数据管理不善，导致账户（卡号）信息与交易数据因篡改、泄漏和破坏而造成的全部损失。

如果未能满足Paywook支付平台关于账户（卡号）信息与交易数据管理规则的各项要求，合作商户应及时解除或终止协议。无条件配合Paywook支付平台对其进行的有关账户（卡号）信息与交易数据安全的检查。

8.2 对合作商户和第三方服务机构的特别要求

禁止将账户（卡号）信息和交易数据提供给除收单机构或收单机构指定的代理机构以外的第三方。除了专门从事发卡系统外包服务的第三方机构外，其他机构只能存储用于交易清分所必需的最基本的账户（卡号）信息和交易数据， 不得存储磁条信息、卡片验证码及个人密码。账户（卡号）信息和交易数据只用于辅助完成Paywook的跨境交易，不得将账户（卡号）信息和交易数据用于除此之外的任何其他用途，也不能将上述数据提供给任何未被授权的个人或机构。

未经收单机构或Paywook支付平台的书面授权，不得擅自对包含账户（卡号）信息或交易数据的设备（系统）进行更改和维护。

第九章 赔偿及处罚

相对于本规则的制定者，Paywook支付平台是账户（卡号）信息与交易风险事件赔偿、处罚的调解、界定及仲裁主体机构。对违规的合作商户，赔偿及处罚视情节严重程度而定，措施包括赔偿、罚款、限期整改或中止协议等。

第十章 附则

10. 1 修订

Paywook支付平台将在广泛征集合作商户合理建议的基础上，对本规则的相关规定进行修订。

10. 2发布与实施

本规则经Paywook支付平台的风控部门严格审定后发布并组织实施。各合作商户、专业化服务机构可依据本规则，制定内部实施细则。

备注：在本规则制定中借鉴了中国相关企业的成熟管理经验，如有侵权请及时联系Paywook进行修改或删除。

附录：术语表

访问权限控制（Access Control）：是指通过授权接触信息的人来限制接触信息和信息处理资源的功能。

物理访问控制（Physical Access Control）：是指在未授权人员和被保护的信息来源之间设置物理保护的控制。

逻辑访问控制（Logical Access Control）：指利用其他方法控制访问。

账户（卡号）和交易信息(Account and Transaction Information)见1.1节中定义。

账号(Account Number)主卡持卡人的账号是指凸印或平印在国际信用卡规则卡上的号码。

身份鉴别(Authentication)用来验证身份或证实信息完整性的 过程。

分级(Classification)将信息分成许多类别，以便对不同类别施行适当控制的方法。可以基于信息的类别、重要程度、潜在的欺诈危险性或敏感度进行分类。

信息(Information) 是指一个机构用作转移资金、设定等级、发放贷款、处理交易等所用的任何数据。这些数据可能是电子形式的，也可以是在会议中口头提出的，写在纸张或其他任何媒介上的。这个定义包含了处理系统的软件部分。

公共网络(Public Network) 普通大众都可以进入的网络，包括国际互联网和公共电话系统。

保密性（Confidentiality）：是指账户（卡号）与交易数据不被泄露给未授权的用户、实体或过程，或供其利用的特性，即数据只供授权用户使用的特性。

完整性（Integrity）：是指账户（卡号）与交易数据未经授权不能改变的特性。即数据在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱续、重放、插入等行为的破坏和丢失的特性。

可用性（Availability）：是指处理、存储账户（卡号）与交易数据的系统在规定条件下和规定时间内完成规定的功能的特性。可用性的测度包括：抗毁性、生存性和有效性。

2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过）

目录

第一章　总则

第二章　数据安全与发展

第三章　数据安全制度

第四章　数据安全保护义务

第五章　政务数据安全与开放

第六章　法律责任

第七章　附则

第一章　总则

第一条　为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。

第二条　在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。

在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

第三条　本法所称数据，是指任何以电子或者其他方式对信息的记录。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

第四条　维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

第五条　中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。

第六条　各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

第七条　国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。

第八条　开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

第九条　国家支持开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平，推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。

第十条　相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。

第十一条　国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。

第十二条　任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。

有关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。

第二章　数据安全与发展

第十三条　国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。

第十四条　国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。

省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。

第十五条　国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。

第十六条　国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。

第十七条　国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。

第十八条　国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。

国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

第十九条　国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。

第二十条　国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。

第三章　数据安全制度

第二十一条　国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

第二十二条　国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

第二十三条　国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。

第二十四条　国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

依法作出的安全审查决定为最终决定。

第二十五条　国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

第二十六条　任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

第四章　数据安全保护义务

第二十七条　开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

第二十八条　开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。

第二十九条　开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

第三十条　重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

第三十一条　关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

第三十二条　任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

第三十三条　从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

第三十四条　法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。

第三十五条　公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。

第三十六条　中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

第五章　政务数据安全与开放

第三十七条　国家大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。

第三十八条　国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。

第三十九条　国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。

第四十条　国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

第四十一条　国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。

第四十二条　国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。

第四十三条　法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动，适用本章规定。

第六章　法律责任

第四十四条　有关主管部门在履行数据安全监管职责中，发现数据处理活动存在较大安全风险的，可以按照规定的权限和程序对有关组织、个人进行约谈，并要求有关组织、个人采取措施进行整改，消除隐患。

第四十五条　开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

第四十六条　违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

第四十七条　从事数据交易中介服务的机构未履行本法第三十三条规定的义务的，由有关主管部门责令改正，没收违法所得，处违法所得一倍以上十倍以下罚款，没有违法所得或者违法所得不足十万元的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十八条　违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

违反本法第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。

第四十九条　国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。

第五十条　履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的，依法给予处分。

第五十一条　窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，依照有关法律、行政法规的规定处罚。

第五十二条　违反本法规定，给他人造成损害的，依法承担民事责任。

违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

第七章　附则

第五十三条　开展涉及国家秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

在统计、档案工作中开展数据处理活动，开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定。

第五十四条　军事数据安全保护的办法，由中央军事委员会依据本法另行制定。

第五十五条　本法自2021年9月1日起施行。

枪支弹药、管制刀具、易燃易爆、压缩气体、植物及制品、腐蚀品、药品类、食品类、液体膏体类、毒品类、粉末类、电磁类、涉及侵权的品牌物品、非法出版物、印刷品、音像制品等宣传类、间谍专用器材类、皆属于航空违禁品。其中电磁物品，含交流电（内置电池），弱磁（不含喇叭中的磁铁），可通过特殊渠道进行运输。直流电（插电物品）、电生磁物品，可通过普通渠道进行运输。

一、 仿真枪、军警用品、危险武器类：

1、枪支（含仿制品、主要零部件）：如手枪、步枪、冲锋枪、防暴枪、气枪、猎枪、运动枪、麻醉注射枪、钢珠枪、催泪枪等；

2、可致使他人暂时失去反抗能力，对他人身体造成重大伤害的管制器具；

3、仿真枪、枪支、弹药、军火的零部件、相关器材、配件、附属产品，及仿制品的衍生工艺品等；

4、管制刀具：如匕首、三棱刮刀、带有自锁装置的弹簧刀（跳刀）、其他相类似的单刃、双刃、三棱尖刀、蝴蝶刀、弹簧刀、折叠刀、军用刀、武士刀等管制刀具等；

5、警用、军用制服、标志、设备及制品；

6、弹药（含仿制品）：如子弹、炸弹、手榴弹、火箭弹、照明弹、燃烧弹、烟幕（雾）弹、信号弹、催泪弹、毒气弹、地雷、手雷、炮弹、火药等；

7、其他：如弩、催泪器、催泪枪、电击器、铁莲花、警棍，电棍，伸缩棍，指虎、双截棍等。

二、易燃易爆，有毒化学品、毒品类：

1、爆破器材：如炸药、雷管、导火索、导爆索、爆破剂等；

2、烟花爆竹：如烟花、鞭炮、摔炮、拉炮、砸炮、彩药弹等烟花爆竹及黑火药、烟火药、发令纸、引火线等；

3、易燃固体，如硫磺、蜡烛，乒乓球等禁运；

4、易燃液体，如汽油、煤油、油漆、花露水、香水、指甲油、啫喱膏、驱蚊水、杀虫剂、碳酸饮料、酒精、香蕉水、松节油等禁运；

5、自燃物品，如黄磷，油纸，油布及其制品等禁运；

6、遇水燃烧物品，如金属钠、铝粉等禁运；

7、腐蚀性物品，如盐酸、硝酸、双氧水等禁运；

8、易爆品，如雷管、炸药、导火索、鞭炮、烟花、打火机、锂电池等禁运；

9、其他：如打火石、镁棒、打火机、活性炭、发射药、硝化棉、电点火头等。

三、压缩和液化气体及其容器

1、易燃气体：如氢气、甲烷、乙烷、丁烷、天然气、液化石油气、乙烯、丙烯、乙炔、打火机等；

2、有毒气体：如一氧化碳、一氧化氮、氯气等；

3、易爆或者窒息、助燃气体：如压缩氧气、氮气、氦气、氖气、气雾剂等。

四、危害国家安全、破坏政治与社会稳定的有害信息类：

1、含有分裂国家，破坏国家统一，危害国家安全或利益，破坏国家政治稳定，煽动颠覆国家政权，推翻社会主义制度，泄露国家秘密的商品或服务信息；

2、含有宣扬恐怖主义、极端主义，煽动民族仇恨、种族歧视，破坏民族团结，破坏国家宗教政策、宣扬邪教的商品或服务信息；

3、含有损害国家荣誉、名誉，歪曲、丑化、亵渎、否定英雄烈士事迹和精神，美化他国侵略史实或宣扬军国主义思想的商品或服务信息；

4、有传播或评议国家政策、国家领导人、政治事件、社会事件、宗教活动等商品或服务信息。

5、如含有反动、煽动民族仇恨、破坏国家统一、破坏社会稳定、宣扬邪教、宗教极端思想、淫秽等内容的图书、刊物、图片、照片、音像制品等。

五、色情低俗、催情用品类：

1、含有色情淫秽内容的音像制品及视频；色情招嫖服务；成人网站论坛的账号及邀请码；

2、可致使他人暂时失去反抗能力、意识模糊的口服或外用的催情类商品及人造处女膜；

3、用于传播色情信息的软件及图片；含有情色、暴力、低俗内容的音像及其制品、视频及其制品、读物、游戏；原味内衣及相关产品；

4、含有情色、暴力、低俗内容的图片及信息；

5、成人秀商品。

六、涉及人身安全，隐私类：

1、用于监听、窃取隐私或机密的软件及设备；

2、身份证、护照、社会保障卡等依法可用于身份证明的证件；

3、用于非法摄像、录音、取证等用途的设备；

4、盗取或破解账号密码的软件、工具、教程及产物；

5、个人隐私信息及企业内部数据；提供个人手机定位、电话清单查询、银行账户查询等服务；

6、已报废、达到国家强制报废标准、非法拼装或非法所得等国家法律法规明令禁止经营的车辆及其“五大总成”；

7、汽车安全带扣等具有交通安全隐患的汽车配件类商品；

8、载人航空器、航空配件、模型图纸类商品。

七、药品、医疗器械类：

1、精神类、麻醉类、有毒类、放射类、兴奋剂类、计生类药品、血清、疫苗、血液制品、医疗用毒性药品、有毒中药材；（假药、劣药及其他用于预防、治疗、诊断人体疾病的药品除外）

2、假药、劣药、仿药；

3、用于预防、治疗、诊断人体疾病的药品，天猫特定品类下的相关商品除外；

4、未经药品监督管理部门批准生产、进口或未经检验即销售的医疗器械；依照国家食品药品监督管理总局发布的《医疗器械分类规则》及相关分类目录认定的“三类医疗器械”，但特定品类下的相关商品除外；

5、注射类美白针剂、溶脂针剂、填充针剂、瘦身针剂等用于人体注射的美容针剂类商品；

6、兽药药监部门专项行政许可的兽药处方药；国家公示查处的兽药；兽药监督管理部门禁止生产、禁止使用和限制使用的兽药；兽药原料药；假、劣兽药；注射针剂类动物用药。

八、非法服务、票证类：

1、伪造变造国家机关或特定机构颁发的文件、证书、公章、防伪标签等，非法或仅限国家机关或特定机构方可提供的服务；

2、抽奖类商品；

3、尚可使用或用于报销的票据（及服务）,尚可使用的外贸单证以及代理报关、清单、商检、单证手续的服务；

4、未公开发行的国家级正式考试答案及考试替考服务；

5、对消费者进行欺骗性销售诱导、排除或限制消费者合法权利的服务；

6、为完成学术研究、学业任务提供违规服务；

7、实际入住人无需经过酒店实名登记便可入住、或因卖家原因导致交易订单中载明的入住人信息与卖家在酒店预留的入住人信息不符的酒店类商品或服务；

8、赌博博彩类商品及服务；

9、破网、翻墙软件及VPN代理类商品或服务；

10、违反公序良俗、封建迷信类的商品及服务；

11、不适宜开展的代办类服务；

12、医疗、健康及金融、证券、期货投资等咨询类商品或相关服务；

13、规避合法出入境流程的商品及服务；

14、未取得跟团游、出境游、签证、包车等业务相关经营资质的商品及服务。

15、以用户的特定资质为购买、使用前提，或由特定机构出具的专属于用户的商品或服务。

九、动植物、动植物器官及动物捕杀工具类：

1、人体器官、遗体；

2、人类遗传资源材料；

3、国家重点保护类动物、濒危动物的活体、内脏、任何肢体、皮毛、标本或其他制成品，已灭绝动物与现有国家二级以上保护动物的化石（具备特定资质的商家除外）；

4、国家保护类植物活体（树苗除外）；

5、国家保护的有益的或者有重要经济、科学研究价值的陆生野生动物的活体、内脏、任何肢体、皮毛、标本或其他制成品；

6、严重危害人畜安全的动物捕杀设备及配件；

7、其他动物捕杀工具；

8、猫狗肉、猫狗皮毛、鱼翅、熊胆及其制品；

9、花，水果，蔬菜，种子，植物标本、松果等植物或相关制品类。

十、涉及盗取等非法所得及非法用途软件、工具或设备类：

1、走私、盗窃、抢劫等非法所得；

2、考试考核作弊用具、计量结果伪造用具、票据伪造冒用用具等具有非法用途的工具及相关服务；

3、卫星信号收发装置及软件；用于无线电信号屏蔽的仪器或设备；

4、群发设备、软件及服务； 

5、撬锁工具、开锁服务及其相关教程、书籍；

6、一卡多号；有蹭网功能的无线网卡，以及描述信息中有告知卖家能用于蹭网的设备；

7、涉嫌欺诈等非法用途的软件、工具及服务；

8、可能用于逃避交通管理的商品；

9、利用电话线路上的直流馈电发光的灯。

十一、未经允许违反国家行政法规或不适合交易的商品：

1、伪造变造的货币以及印制设备；

2、已激活的手机卡、上网卡等违反国家实名制规定的商品；

3、境外出版物代购类商品或服务；

4、正在流通的国家法币及仿制的国家法币；

5、涉嫌违反销售所在国家或地区相关规定的文物；

6、烟草专卖品及烟草专用机械；

7、国家机关制服及相关配件类商品；

8、不适合网络交易的食品；

9、国家禁止的集邮票品以及未经邮政行业管理部门批准制作的集邮品；

10、法律法规、管理措施与决议等要求中被禁止或限制进出口的商品或服务；

11、未经许可的募捐类商品；

12、未经许可发布的奥林匹克运动会、世界博览会、亚洲运动会等特许商品；

13、内部资料性出版物；

14、流通中的外币及相关汇兑服务；

15、未依法经行政部门备案的商品；

16、食用盐以及相关制品；

17、邮局包裹、EMS专递、快递等物流单据凭证及单号；

18、国家补助或无偿发放的不得私自转让的商品；

19、军需、国家机关专供、特供等商品。

十二、虚拟类 ：

1、基于区块链技术生成的虚拟货币等数字化产品及衍生服务；

2、未经国家备案的网络游戏、游戏点卡、货币等相关服务类商品；

3、外挂、私服相关的网游类商品；

4、互联网用户账号类商品或服务；

5、官方已停止经营的游戏点卡或平台卡商品；

6、棋牌类游戏币商品及充值类服务；

7、时间不可查询的虚拟服务类商品；

8、未带有平台代充标识的QQ增值业务商品；

9、不可查询的分期返还话费类商品；

10、境内运营商的上网资费卡或资费套餐及SIM卡及未经实名登记便可登录使用的通话、上网类商品及服务；

11、慢充卡等实际无法在七十二小时内到账的虚拟商品；

12、SP业务自消费类商品；

13、有违背诚信与公平原则，发布代炒作、代投票、代删除等不当获取流量或人气，导致不良社会影响的商品或服务信息；

14、航空公司积分、里程；航空公司积分/里程兑换的机票；机票代订服务（飞猪除外）；

15、未经许可的用于兑换商品实物或服务的定额卡券、储值卡券、储值服务或将购买款项分期返还的交易。

十三、毒品及吸毒工具、非正当用途麻醉药品和精神药品、非正当用途的易制毒化学品

1、毒品、麻醉药品和精神药品：如鸦片（包括罂粟壳、花、苞、叶）、吗啡、海洛因、可卡因、大麻、甲基苯丙胺（冰毒）、氯胺酮、甲卡西酮、苯丙胺、安钠咖等；

2、易制毒化学品：如胡椒醛、黄樟素、黄樟油、麻黄素、伪麻黄素、羟亚胺、邻酮、苯乙酸、溴代苯丙酮、醋酸酐、甲苯、丙酮等；

3、吸毒工具：如冰壶等。

十四、其他类：

1、非法传销类商品；

2、由不具备生产资质的生产商生产的，不符合国家、地方、行业、企业强制性标准或不符合公布的规则、与卖家签订的协议中采用的推荐性标准的商品（标识标签不合格除外）；

3、法律规定禁止出版发行的内容；相关国家明令淘汰或停止销售的书籍类商品；

4、实际不存在类商品；

5、用于提高抢购成功概率的相关软件等干扰正常秩序的软件或服务；

6、存在制假风险的品牌配件类商品；

7、标识标签中内容的标注形式不符合国家规定的商品；

8、手机直拨卡与直拨业务，电话回拨卡与回拨业务。

商户应确保网站上传有关成人用品的产品信息以及所展示的内容符合paywook的规范要求。合规的成人用品图片应清晰地展示其所销售的产品，避免展示不必要的裸露和淫秽内容。严禁销售宣传、影射和/或描述与未成年人性行为相关的产品。严禁上传带有色情、淫秽或冒犯性内容的图片和/或文字的产品。

由于成人用品不适合未成年人或部分敏感人群，因此它们将受到paywook政策和规定的约束。违反成人用品政策和规范的产品将面临赔款和/或下架的风险，恕我们不再另行通知。

上架成人用品的注意事项如下：
1、严禁销售宣传、暗示和/或描述与未成年人性行为相关的产品；
2、建议使用可清晰展示产品本身的图片；
3、避免使用描述产品的使用方法或暗示性行为的图片；
4、避免在产品图片中展示其它元素，例如暗示性的身体姿势和/或手势；
5、避免为吸引客户在产品图片中以任何形式展示不必要的裸露内容。例如，如果产品图片中有人形图像（例如人体模型、动画人物），那么应在其胸部和/或生殖器区域覆盖衣物或遮盖；
6、建议使用直接的、医学性的或商业性的语言来描述产品及其功能，避免使用露骨、淫秽和/或冒犯性的语言。

哪些类型的产品属于成人用品？
成人用品包括但不限于：假阳具、振动器、男性自慰器、捆绑装备、癖好装备、肛交玩具、情趣内衣、成人向玩具和游戏。

严禁使用的成人用品产品内容有哪些？
以下为禁售品内容示例，包括但不限于：
1、赤裸裸的色情；
2、完全暴露的生殖器图片；
3、完全袒露的乳房图片；
4、完全暴露的肛门口图像；
5、演示产品用途的图片或图形描述；
6、淫秽或冒犯性语言；
7、未去色情化的动漫产品；
8、未去色情化的内衣和/或内衣模特；
9、色情场景设置；