江蘇發(fā)布全國首個(gè)網(wǎng)貸平臺(tái)個(gè)人信息安全保護(hù)指引草案

近日，江蘇省互聯(lián)網(wǎng)金融協(xié)會(huì)發(fā)布全國首個(gè)網(wǎng)貸平臺(tái)個(gè)人信息安全保護(hù)規(guī)范指引——江蘇省網(wǎng)絡(luò)借貸平臺(tái)個(gè)人信息安全保護(hù)規(guī)范指引（草案）（下文簡稱“草案”）。草案明確表示，網(wǎng)絡(luò)借貸平臺(tái)是個(gè)人信息安全保護(hù)責(zé)任主體。平臺(tái)收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

草案指出，網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，并及時(shí)向監(jiān)管機(jī)構(gòu)及行業(yè)協(xié)會(huì)報(bào)告。

另外，草案明確提出網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)記錄并留存借貸雙方上網(wǎng)日志信息，信息交互內(nèi)容等數(shù)據(jù)，留存期限為自借貸合同到期起5年。網(wǎng)絡(luò)借貸平臺(tái)及其資金存管機(jī)構(gòu)、其他各類外包服務(wù)機(jī)構(gòu)等應(yīng)當(dāng)為業(yè)務(wù)開展過程中收集的出借人與借款人信息保密，未經(jīng)出借人與借款人同意，不得將出借人與借款人提供的信息用于所提供服務(wù)之外的目的。

草案還指出，網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)建立信息科技管理、科技風(fēng)險(xiǎn)管理和科技審計(jì)有關(guān)制度，每年開展一次全面的安全評(píng)估，接受國家或行業(yè)主管部門的信息安全檢查和審計(jì)。

這里的個(gè)人信息，是指網(wǎng)絡(luò)借貸平臺(tái)開展業(yè)務(wù)，通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的個(gè)人及其行為相關(guān)的各種電子數(shù)據(jù)，包括但不限于出借人、借款人以及從第三方以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人（出借人及借款人）個(gè)人身份的各種信息，比如自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼、行為軌跡等。

值得一提的是，《中國人民共和國網(wǎng)絡(luò)安全法》于2016年11月6日由全國人大正式通過并于2017年6月1日正式生效，作為國內(nèi)第一部系統(tǒng)性提出網(wǎng)絡(luò)空間治理的法律法規(guī)，特別加強(qiáng)和明確了個(gè)人信息保護(hù)方面的要求。

附：江蘇省網(wǎng)絡(luò)借貸平臺(tái)個(gè)人信息安全保護(hù)規(guī)范指引（草案）

第一章 總則

第一條 為規(guī)范江蘇省網(wǎng)絡(luò)借貸平臺(tái)個(gè)人信息安全保護(hù)，促進(jìn)全省網(wǎng)絡(luò)借貸行業(yè)健康發(fā)展，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》、《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》以及其它有關(guān)法律、法規(guī)、行業(yè)規(guī)范，制定本指引。

第二條 本指引適用于網(wǎng)絡(luò)借貸平臺(tái)個(gè)人信息安全保護(hù)規(guī)范建設(shè)。

第三條 本指引所稱個(gè)人信息，是指網(wǎng)絡(luò)借貸平臺(tái)開展業(yè)務(wù)，通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的個(gè)人及其行為相關(guān)的各種電子數(shù)據(jù)，包括但不限于出借人、借款人以及從第三方以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人（出借人及借款人）個(gè)人身份的各種信息，比如自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼、行為軌跡等。

第四條 網(wǎng)絡(luò)借貸平臺(tái)個(gè)人信息安全保護(hù)遵循目的明確、權(quán)責(zé)清晰、公開告知、個(gè)人授權(quán)、安全保障的原則，堅(jiān)持個(gè)人信息保護(hù)與平臺(tái)發(fā)展相互融合促進(jìn)的理念，處理好安全與發(fā)展、安全與建設(shè)、安全與運(yùn)營的關(guān)系，全面保障本機(jī)構(gòu)數(shù)據(jù)及個(gè)人信息安全。

第二章 機(jī)構(gòu)職責(zé)

第五條 網(wǎng)絡(luò)借貸平臺(tái)是個(gè)人信息安全保護(hù)責(zé)任主體。

第六條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級(jí)保護(hù)制度的要求，開展信息系統(tǒng)定級(jí)備案和等級(jí)測試，系統(tǒng)安全等級(jí)須達(dá)到《信息安全等級(jí)保護(hù)管理辦法》規(guī)定二級(jí)及以上。

第七條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)建立完善的防火墻、入侵檢測、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全設(shè)施和管理制度，采取完善的管理控制措施和技術(shù)手段保障信息系統(tǒng)安全穩(wěn)健運(yùn)行。

第八條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)建立健全用戶信息保護(hù)制度，確保出借人與借款人信息采集、處理及使用的合法性和安全性。

(一) 網(wǎng)絡(luò)借貸平臺(tái)收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意；

(二) 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)妥善保管出借人與借款人的資料和交易信息，不得刪除、篡改，不得非法買賣、泄露出借人與借款人的基本信息和交易信息；

(三) 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)記錄并留存借貸雙方上網(wǎng)日志信息，信息交互內(nèi)容等數(shù)據(jù)，留存期限為自借貸合同到期起5年；

(四) 網(wǎng)絡(luò)借貸平臺(tái)及其資金存管機(jī)構(gòu)、其他各類外包服務(wù)機(jī)構(gòu)等應(yīng)當(dāng)為業(yè)務(wù)開展過程中收集的出借人與借款人信息保密，未經(jīng)出借人與借款人同意，不得將出借人與借款人提供的信息用于所提供服務(wù)之外的目的；

(五) 網(wǎng)絡(luò)借貸平臺(tái)在中國境內(nèi)收集的出借人與借款人信息的儲(chǔ)存、處理和分析應(yīng)當(dāng)在中國境內(nèi)進(jìn)行。除法律法規(guī)另有規(guī)定外，網(wǎng)絡(luò)借貸平臺(tái)不得向境外提供境內(nèi)出借人和借款人信息。

第九條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)建立信息科技管理、科技風(fēng)險(xiǎn)管理和科技審計(jì)有關(guān)制度，每年開展一次全面的安全評(píng)估，接受國家或行業(yè)主管部門的信息安全檢查和審計(jì)。

第十條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，并及時(shí)向監(jiān)管機(jī)構(gòu)及行業(yè)協(xié)會(huì)報(bào)告。

第十一條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)制定明確個(gè)人信息安全保護(hù)工作制度，比如數(shù)據(jù)中心管理制度、技術(shù)規(guī)范、操作指南等制度規(guī)定，明確實(shí)施標(biāo)準(zhǔn)和操作流程，加強(qiáng)培訓(xùn)，強(qiáng)化內(nèi)部員工的安全意識(shí)、減少道德風(fēng)險(xiǎn)的發(fā)生，并加強(qiáng)個(gè)人信息安全專業(yè)隊(duì)伍建設(shè)。

第十二條 監(jiān)管部門及行業(yè)協(xié)會(huì)要求的其他個(gè)人信息保護(hù)工作。

第三章 操作規(guī)范

第十三條 網(wǎng)絡(luò)借貸平臺(tái)在使用信息系統(tǒng)對(duì)個(gè)人信息進(jìn)行處理時(shí)，應(yīng)遵循以下基本要求：

(一) 目的明確——處理個(gè)人信息僅用于網(wǎng)絡(luò)借貸中介服務(wù)，不擴(kuò)大使用范圍，不在出借人及借款人不知情的情況下改變處理個(gè)人信息的目的；

(二) 權(quán)責(zé)清晰——明確個(gè)人信息處理過程中相關(guān)方的權(quán)利和職責(zé)，并采取相應(yīng)的措施落實(shí)各方責(zé)任，并對(duì)出借人及借款人個(gè)人信息處理進(jìn)行全過程記錄，以便于追溯；

(三) 公開告知——對(duì)出借人及借款人應(yīng)當(dāng)盡到告知、說明和警示的義務(wù)。以明確、易懂和適宜的方式如實(shí)向出借人及借款人告知處理個(gè)人信息的目的、個(gè)人信息的收集和使用范圍、個(gè)人信息保護(hù)措施等信息；

(四) 個(gè)人授權(quán)——處理個(gè)人信息前要征得出借人及借款人主體的授權(quán)同意；

(五) 安全保障——采取適當(dāng)?shù)?、與個(gè)人信息遭受損害的可能性和嚴(yán)重性相適應(yīng)的管理措施和技術(shù)手段，保護(hù)出借人及借款人信息安全，防止未經(jīng)個(gè)人信息管理者授權(quán)的檢索、披露及丟失、泄露、損毀和篡改個(gè)人信息。

第十四條 網(wǎng)絡(luò)借貸平臺(tái)在對(duì)于出借人及借款人信息的收集，應(yīng)遵循以下要求：

(一) 明確收集信息的目的；

(二) 明確出借人及借款人信息的收集方式和手段、收集的具體內(nèi)容和留存時(shí)限；

(三) 明確出借人及借款人信息的使用范圍，包括披露或向其他組織和機(jī)構(gòu)提供其個(gè)人信息的范圍；

(四) 明確出借人及借款人信息的保護(hù)措施；

(五) 明確出借人及借款人提供個(gè)人信息后可能存在的風(fēng)險(xiǎn)；

(六) 明確出借人及借款人不提供個(gè)人信息可能出現(xiàn)的后果；

(七) 如需將出借人或借款人信息轉(zhuǎn)移或委托于其他組織和機(jī)構(gòu)，要向出借人或借款人明確告知包括但不限于以下信息：轉(zhuǎn)移或委托的目的、轉(zhuǎn)移或委托個(gè)人信息的具體內(nèi)容和使用范圍、接受委托的個(gè)人信息獲得者的名稱、地址、聯(lián)系方式等；

(八) 網(wǎng)絡(luò)借貸平臺(tái)要采用已告知的手段和方式直接向出借人或借款人收集信息，不得采取隱蔽手段或以間接方式收集個(gè)人信息。

第十五條 網(wǎng)絡(luò)借貸平臺(tái)對(duì)于出借人及借款人信息處理，不得違背收集階段已告知的使用目的，或超出告知范圍對(duì)個(gè)人信息進(jìn)行加工。

第十六條 網(wǎng)絡(luò)借貸平臺(tái)對(duì)于出借人及借款人信息處理，應(yīng)當(dāng)保證加工處理過程中個(gè)人信息不被任何與處理目的無關(guān)的個(gè)人、組織和機(jī)構(gòu)獲知。

第十七條 網(wǎng)絡(luò)借貸平臺(tái)對(duì)于出借人及借款人信息處理，應(yīng)當(dāng)詳細(xì)記錄對(duì)個(gè)人信息的狀態(tài)，如個(gè)人信息主體要求對(duì)其個(gè)人信息進(jìn)行查詢時(shí)，網(wǎng)絡(luò)借貸平臺(tái)必須如實(shí)并免費(fèi)告知是否擁有其個(gè)人信息、擁有其個(gè)人信息的內(nèi)容、個(gè)人信息的加工處理狀態(tài)等內(nèi)容，除非告知成本或者請(qǐng)求頻率超出合理的范圍。

第十八條 網(wǎng)絡(luò)借貸平臺(tái)對(duì)于出借人及借款人信息轉(zhuǎn)移，應(yīng)當(dāng)不違背收集階段告知的轉(zhuǎn)移目的，或超出告知的轉(zhuǎn)移范圍轉(zhuǎn)移個(gè)人信息。

第十九條 網(wǎng)絡(luò)借貸平臺(tái)向其他組織或機(jī)構(gòu)，包括但不限于銀行存管機(jī)構(gòu)、存證機(jī)構(gòu)、第三方支付機(jī)構(gòu)、短信服務(wù)商、技術(shù)外包服務(wù)商、電子簽章等，轉(zhuǎn)移出借人及借款人信息前，應(yīng)當(dāng)評(píng)估其安全處理個(gè)人信息的能力，并通過合同明確該組織和機(jī)構(gòu)的個(gè)人信息保護(hù)責(zé)任，確保轉(zhuǎn)移過程中，借款人及出借人信息不被合同明確的組織和機(jī)構(gòu)之外的任何個(gè)人、組織和機(jī)構(gòu)所獲知。

第二十條 網(wǎng)絡(luò)借貸平臺(tái)對(duì)于出借人或借款人信息刪除，在滿足國家法律法規(guī)規(guī)定的信息留存期限的前提下，若出借人或借款人有正當(dāng)理由要求刪除其個(gè)人信息時(shí)，平臺(tái)應(yīng)及時(shí)刪除個(gè)人信息。

網(wǎng)絡(luò)借貸平臺(tái)破產(chǎn)或解散時(shí)，若無法繼續(xù)完成承諾的個(gè)人信息處理目的，需刪除個(gè)人信息。

網(wǎng)絡(luò)借貸平臺(tái)因刪除個(gè)人信息可能會(huì)影響執(zhí)法機(jī)構(gòu)調(diào)查取證時(shí)，采取適當(dāng)?shù)拇鎯?chǔ)和屏蔽措施。

第四章附則

第二十一條 本指引由江蘇省互聯(lián)網(wǎng)金融協(xié)會(huì)負(fù)責(zé)解釋。

第二十二條 本指引自公布之日起施行。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。