网络支付服务提供者收集个人信息应在遵守G R / T 35273—2020中 5.1、5.2、5.3的要求基础上.遵 守以下要求：

a） 通 过 A p p 收集必要个人信息应符合G B / T 41391—2022中 A . 5的规定；

b） 扩展业务功能收集的个人信息均应由用户可选提供，H.应限于实现处理目的的最小范I韦1,常见 扩展业务功能收集的个人信息范围及使用要求见附录C;

c） 应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付鉴权信息的输入进行安 全保护，并采取有效措施防止合作机构获取、留存。

注 ：支付鉴权信息包括但不限于网络支付交易口令、快捷支付口令、银行卡密码。

网络支付服务提供者如提供跨境支付服务，在境外商户消费、向境外汇款/接收境外汇款、为用户提 供跨境支付结算服务等场景F ，涉及数据出境。网络支付服务提供者数据出境应遵守以下要求:

a） 不涉及处理跨境支付业务的.不应向境外提供个人信息等数据；

b） 出境数据应仅限为处理跨境支付业务所需的必要信息；

c） 应建立数据出境记录.包括但不限于出境时间、数据类型、数量、目的地、境外接收方等.相关记 录至少保存五年；

d） 根据业务发展和运营情况，每年应自行或委托第二方机构对数据出境至少进行一次数据出境 风险评估。

附件：GB_T 42015-2022《信息安全技术 网络支付服务数据安全要求》