一張數據出境罰單，把攜程體系內的金融科技和支付牌照布局重新帶到臺前。

據“網信上海”通報，近期，在國家網信辦指導下，上海市網信辦針對屬地部分企業網絡數據安全主體責任履行不到位、安全管理防護措施缺失、后端處理數據合規能力不足、數據出境合規審計不嚴等問題，辦理了一批執法案件。

其中，上海攜程商務有限公司因未落實數據出境安全評估要求、違法出境個人信息等行為，被依據《個人信息保護法》予以罰款1000萬元的行政處罰，并被責令限期改正。通報同時提到，企業受處罰后積極配合，全面落實有關整改要求。

本次處罰主體為上海攜程商務有限公司，處罰事項指向數據出境和個人信息保護，并非上海程付通支付有限公司被處罰，也不屬于支付業務違規。

這張罰單的支付行業看點，更多來自攜程體系內旅游主業、金融科技、支付牌照和數據治理之間的交叉關系。

支付之家注意到，從公開股權穿透信息看，上海攜程商務有限公司與持牌支付機構上海程付通支付有限公司存在間接股權關聯。

具體來看，上海攜程商務有限公司持有攜程金融科技（上海）有限公司6.17%股權；攜程金融科技（上海）有限公司持有上海程付通文化發展有限公司100%股權；上海程付通文化發展有限公司持有上海程付通支付有限公司100%股權。

上海攜程商務有限公司不是程付通支付的直接股東，也不是程付通支付的控股主體。兩者之間的關聯，來自攜程金融科技這一上層股權結構。

上海市網信辦通報中的核心問題，集中在個人信息出境合規上。《數據出境安全評估辦法》明確，數據處理者向境外提供重要數據，或者符合一定個人信息處理、出境規模條件的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。國家網信辦此前答記者問也提到，數據處理者在向境外提供數據前，應首先開展數據出境風險自評估。

旅游、商旅、機票、酒店、簽證、保險、跨境用車等業務，天然可能涉及境內外服務商、境外接收方、國際用戶和多端系統協同。國家網信辦發布的《促進和規范數據跨境流動規定》也明確了跨境購物、跨境寄遞、跨境匯款、跨境支付、機票酒店預訂等免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境情形。是否適用豁免，仍應以具體業務場景、數據類型、處理規模和監管認定為準。

監管并不否定數據跨境流動本身，關鍵在于企業能否把數據出境的場景、范圍、必要性和安全保障講清楚、留足依據。對攜程這類國際化旅游平臺來說，數據出境不是邊緣事項，而是全球化服務能否持續運行的一項基礎要求。

攜程體系內，程付通支付承擔著支付牌照角色。

資料顯示，上海程付通支付有限公司原名為上海東方匯融信息技術服務有限公司，成立于2011年，2012年獲得人民銀行頒發的《支付業務許可證》，獲準開展互聯網支付、預付卡發行與受理等業務。

2020年，攜程方面收購東方匯融相關股權事項獲得人民銀行批復，攜程體系由此補齊第三方支付牌照資源。

此后，東方匯融更名為上海程付通支付有限公司。

隨著《非銀行支付機構監督管理條例》實施，支付業務類型重新劃分。公開信息顯示，程付通支付的業務類型相應調整為儲值賬戶運營Ⅰ類、儲值賬戶運營Ⅱ類，相關業務覆蓋范圍涉及全國及上海市。

2025年，中國人民銀行上海市分行相關許可信息顯示，同意上海程付通支付有限公司注冊資本變更為2億元，并同意孫兆波擔任公司董事兼總經理。

對攜程而言，支付牌照連接的是旅游訂單、用戶賬戶、商戶結算和資金處理能力。機票、酒店、度假、商旅、門票、租車、保險等場景，都涉及訂單支付、退款、擔保、預授權、對賬、結算和商戶資金處理。支付能力嵌入訂單、退款、結算和對賬環節越深，平臺對交易體驗、資金效率和服務履約的管理能力越強。

攜程金融科技也是這一布局中的重要一環。

攜程金融官網顯示，其發展歷程中包括推出官方支付產品“程支付”，并披露攜程體系內曾獲得新加坡金融管理局授予的大型支付機構牌照，以及Visa亞太區Principal Member發卡資質、銀聯國際亞太區Principal Member發卡資質。

這些公開信息勾勒出攜程金融科技布局的幾個方向：境內支付牌照與程付通支付，圍繞旅游消費、分期、信貸、聯名卡等延展的金融科技服務，以及面向國際化場景的海外支付、發卡和結算能力。支付牌照在其中承擔賬戶、交易、結算和資金服務入口的角色。

支付業務本身高度依賴數據。用戶身份信息、銀行卡信息、交易信息、設備信息、風控信息、訂單信息、商戶信息，都會在支付和金融科技服務中被采集、處理和使用。平臺型企業不能只把支付牌照理解為交易工具，也不能只把數據合規理解為技術部門或法務部門的單點工作。

在集團內部存在旅游主業、金融科技、支付機構、海外業務和合作金融機構的情況下，數據在不同主體之間如何流轉，個人信息授權邊界如何劃定，跨境場景下是否觸發安全評估或其他合規要求，都需要形成清晰規則。

對平臺型企業而言，支付牌照管的是賬戶、交易和資金處理，數據規則管的是個人信息怎樣收集、怎樣調用、能否出境以及出境后如何承擔責任。兩者分別受不同監管規則約束，但在真實業務中，往往同時出現在訂單、賬戶、支付、風控和履約流程里。

對程付通支付而言，本次處罰并不指向其支付業務。但從集團聲譽和用戶信任角度看，平臺體系內的監管處罰，仍可能引發外界對其金融科技板塊、賬戶體系、支付牌照主體和數據處理能力的關注。

上海攜程商務被罰1000萬元，是一張數據出境罰單，也提醒平臺企業，支付、金融科技、商旅、跨境服務和數據處理已經很難完全分開管理。

對平臺企業來說，支付牌照不是流量業務的附屬工具。訂單、賬戶、資金和數據一旦進入同一套系統，牌照價值最終要由持續合規來證明。

這里是支付之家。我們關注支付表象之下的規則差異與邏輯變化，提供支付科技領域增量信息。觀點內容僅供參考。