第四十条 银行卡清算机构和境外机构应当遵守网络安全、数据安全和个人信息保护有关法律法规和制度规定,建立和完善有效的内部网络安全、数据安全管理制度,对从银行卡清算服务中获取的身份信息、账户信息、交易信息以及其他有关敏感信息等当事人金融数据予以保密;除法律法规另有规定外,未经当事人授权不得对外提供。银行卡清算机构和境外机构为处理银行卡跨境交易且经当事人授权,向境外发卡机构或收单机构传输境内收集的有关当事人金融数据的,应当遵守数据出境安全有关法律法规,并通过业务规则及协议等有效措施,要求境外发卡机构或收单机构对所获得的金融数据保密。