非银行支付机构监督管理条例（2023年） 第三十二条

第三十二条 非银行支付机构处理用户信息，应当遵循合法、正当、必要和诚信原则，公开用户信息处理规则，明示处理用户信息的目的、方式和范围，并取得用户同意，法律、行政法规另有规定的除外。

非银行支付机构应当依照法律、行政法规、国家有关规定和双方约定处理用户信息，不得收集与其提供的服务无关的用户信息，不得以用户不同意处理其信息或者撤回同意等为由拒绝提供服务，处理相关信息属于提供服务所必需的除外。

非银行支付机构应当对用户信息严格保密，采取有效措施防止未经授权的访问以及用户信息泄露、篡改、丢失，不得非法买卖、提供或者公开用户信息。

非银行支付机构与其关联公司共享用户信息的，应当告知用户该关联公司的名称和联系方式，并就信息共享的内容以及信息处理的目的、期限、方式、保护措施等取得用户单独同意。非银行支付机构还应当与关联公司就上述内容以及双方的权利义务等作出约定，并对关联公司的用户信息处理活动进行监督，确保用户信息处理活动依法合规、风险可控。

用户发现非银行支付机构违反法律、行政法规、国家有关规定或者双方约定处理其信息的，有权要求非银行支付机构删除其信息并依法承担责任。用户发现其信息不准确或者不完整的，有权要求非银行支付机构更正、补充。