江蘇發(fā)布全國(guó)首個(gè)網(wǎng)貸平臺(tái)個(gè)人信息安全保護(hù)指引草案

近日,江蘇省互聯(lián)網(wǎng)金融協(xié)會(huì)發(fā)布全國(guó)首個(gè)網(wǎng)貸平臺(tái)個(gè)人信息安全保護(hù)規(guī)范指引——江蘇省網(wǎng)絡(luò)借貸平臺(tái)個(gè)人信息安全保護(hù)規(guī)范指引(草案)(下文簡(jiǎn)稱“草案”)。草案明確表示,網(wǎng)絡(luò)借貸平臺(tái)是個(gè)人信息安全保護(hù)責(zé)任主體。平臺(tái)收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。

草案指出,網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保收集的個(gè)人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,并及時(shí)向監(jiān)管機(jī)構(gòu)及行業(yè)協(xié)會(huì)報(bào)告。

另外,草案明確提出網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)記錄并留存借貸雙方上網(wǎng)日志信息,信息交互內(nèi)容等數(shù)據(jù),留存期限為自借貸合同到期起5年。網(wǎng)絡(luò)借貸平臺(tái)及其資金存管機(jī)構(gòu)、其他各類外包服務(wù)機(jī)構(gòu)等應(yīng)當(dāng)為業(yè)務(wù)開展過程中收集的出借人與借款人信息保密,未經(jīng)出借人與借款人同意,不得將出借人與借款人提供的信息用于所提供服務(wù)之外的目的。

草案還指出,網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)建立信息科技管理、科技風(fēng)險(xiǎn)管理和科技審計(jì)有關(guān)制度,每年開展一次全面的安全評(píng)估,接受國(guó)家或行業(yè)主管部門的信息安全檢查和審計(jì)。

這里的個(gè)人信息,是指網(wǎng)絡(luò)借貸平臺(tái)開展業(yè)務(wù),通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的個(gè)人及其行為相關(guān)的各種電子數(shù)據(jù),包括但不限于出借人、借款人以及從第三方以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人(出借人及借款人)個(gè)人身份的各種信息,比如自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼、行為軌跡等。

值得一提的是,《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》于2016年11月6日由全國(guó)人大正式通過并于2017年6月1日正式生效,作為國(guó)內(nèi)第一部系統(tǒng)性提出網(wǎng)絡(luò)空間治理的法律法規(guī),特別加強(qiáng)和明確了個(gè)人信息保護(hù)方面的要求。

附:江蘇省網(wǎng)絡(luò)借貸平臺(tái)個(gè)人信息安全保護(hù)規(guī)范指引(草案)

第一章 總則

第一條 為規(guī)范江蘇省網(wǎng)絡(luò)借貸平臺(tái)個(gè)人信息安全保護(hù),促進(jìn)全省網(wǎng)絡(luò)借貸行業(yè)健康發(fā)展,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》、《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》以及其它有關(guān)法律、法規(guī)、行業(yè)規(guī)范,制定本指引。

第二條 本指引適用于網(wǎng)絡(luò)借貸平臺(tái)個(gè)人信息安全保護(hù)規(guī)范建設(shè)。

第三條 本指引所稱個(gè)人信息,是指網(wǎng)絡(luò)借貸平臺(tái)開展業(yè)務(wù),通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的個(gè)人及其行為相關(guān)的各種電子數(shù)據(jù),包括但不限于出借人、借款人以及從第三方以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人(出借人及借款人)個(gè)人身份的各種信息,比如自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼、行為軌跡等。

第四條 網(wǎng)絡(luò)借貸平臺(tái)個(gè)人信息安全保護(hù)遵循目的明確、權(quán)責(zé)清晰、公開告知、個(gè)人授權(quán)、安全保障的原則,堅(jiān)持個(gè)人信息保護(hù)與平臺(tái)發(fā)展相互融合促進(jìn)的理念,處理好安全與發(fā)展、安全與建設(shè)、安全與運(yùn)營(yíng)的關(guān)系,全面保障本機(jī)構(gòu)數(shù)據(jù)及個(gè)人信息安全。

第二章 機(jī)構(gòu)職責(zé)

第五條 網(wǎng)絡(luò)借貸平臺(tái)是個(gè)人信息安全保護(hù)責(zé)任主體。

第六條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國(guó)家信息安全等級(jí)保護(hù)制度的要求,開展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試,系統(tǒng)安全等級(jí)須達(dá)到《信息安全等級(jí)保護(hù)管理辦法》規(guī)定二級(jí)及以上。

第七條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)建立完善的防火墻、入侵檢測(cè)、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全設(shè)施和管理制度,采取完善的管理控制措施和技術(shù)手段保障信息系統(tǒng)安全穩(wěn)健運(yùn)行。

第八條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)建立健全用戶信息保護(hù)制度,確保出借人與借款人信息采集、處理及使用的合法性和安全性。

(一) 網(wǎng)絡(luò)借貸平臺(tái)收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意;

(二) 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)妥善保管出借人與借款人的資料和交易信息,不得刪除、篡改,不得非法買賣、泄露出借人與借款人的基本信息和交易信息;

(三) 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)記錄并留存借貸雙方上網(wǎng)日志信息,信息交互內(nèi)容等數(shù)據(jù),留存期限為自借貸合同到期起5年;

(四) 網(wǎng)絡(luò)借貸平臺(tái)及其資金存管機(jī)構(gòu)、其他各類外包服務(wù)機(jī)構(gòu)等應(yīng)當(dāng)為業(yè)務(wù)開展過程中收集的出借人與借款人信息保密,未經(jīng)出借人與借款人同意,不得將出借人與借款人提供的信息用于所提供服務(wù)之外的目的;

(五) 網(wǎng)絡(luò)借貸平臺(tái)在中國(guó)境內(nèi)收集的出借人與借款人信息的儲(chǔ)存、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。除法律法規(guī)另有規(guī)定外,網(wǎng)絡(luò)借貸平臺(tái)不得向境外提供境內(nèi)出借人和借款人信息。

第九條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)建立信息科技管理、科技風(fēng)險(xiǎn)管理和科技審計(jì)有關(guān)制度,每年開展一次全面的安全評(píng)估,接受國(guó)家或行業(yè)主管部門的信息安全檢查和審計(jì)。

第十條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保收集的個(gè)人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,并及時(shí)向監(jiān)管機(jī)構(gòu)及行業(yè)協(xié)會(huì)報(bào)告。

第十一條 網(wǎng)絡(luò)借貸平臺(tái)應(yīng)當(dāng)制定明確個(gè)人信息安全保護(hù)工作制度,比如數(shù)據(jù)中心管理制度、技術(shù)規(guī)范、操作指南等制度規(guī)定,明確實(shí)施標(biāo)準(zhǔn)和操作流程,加強(qiáng)培訓(xùn),強(qiáng)化內(nèi)部員工的安全意識(shí)、減少道德風(fēng)險(xiǎn)的發(fā)生,并加強(qiáng)個(gè)人信息安全專業(yè)隊(duì)伍建設(shè)。

第十二條 監(jiān)管部門及行業(yè)協(xié)會(huì)要求的其他個(gè)人信息保護(hù)工作。

第三章 操作規(guī)范

第十三條 網(wǎng)絡(luò)借貸平臺(tái)在使用信息系統(tǒng)對(duì)個(gè)人信息進(jìn)行處理時(shí),應(yīng)遵循以下基本要求:

(一) 目的明確——處理個(gè)人信息僅用于網(wǎng)絡(luò)借貸中介服務(wù),不擴(kuò)大使用范圍,不在出借人及借款人不知情的情況下改變處理個(gè)人信息的目的;

(二) 權(quán)責(zé)清晰——明確個(gè)人信息處理過程中相關(guān)方的權(quán)利和職責(zé),并采取相應(yīng)的措施落實(shí)各方責(zé)任,并對(duì)出借人及借款人個(gè)人信息處理進(jìn)行全過程記錄,以便于追溯;

(三) 公開告知——對(duì)出借人及借款人應(yīng)當(dāng)盡到告知、說明和警示的義務(wù)。以明確、易懂和適宜的方式如實(shí)向出借人及借款人告知處理個(gè)人信息的目的、個(gè)人信息的收集和使用范圍、個(gè)人信息保護(hù)措施等信息;

(四) 個(gè)人授權(quán)——處理個(gè)人信息前要征得出借人及借款人主體的授權(quán)同意;

(五) 安全保障——采取適當(dāng)?shù)?、與個(gè)人信息遭受損害的可能性和嚴(yán)重性相適應(yīng)的管理措施和技術(shù)手段,保護(hù)出借人及借款人信息安全,防止未經(jīng)個(gè)人信息管理者授權(quán)的檢索、披露及丟失、泄露、損毀和篡改個(gè)人信息。

第十四條 網(wǎng)絡(luò)借貸平臺(tái)在對(duì)于出借人及借款人信息的收集,應(yīng)遵循以下要求:

(一) 明確收集信息的目的;

(二) 明確出借人及借款人信息的收集方式和手段、收集的具體內(nèi)容和留存時(shí)限;

(三) 明確出借人及借款人信息的使用范圍,包括披露或向其他組織和機(jī)構(gòu)提供其個(gè)人信息的范圍;

(四) 明確出借人及借款人信息的保護(hù)措施;

(五) 明確出借人及借款人提供個(gè)人信息后可能存在的風(fēng)險(xiǎn);

(六) 明確出借人及借款人不提供個(gè)人信息可能出現(xiàn)的后果;

(七) 如需將出借人或借款人信息轉(zhuǎn)移或委托于其他組織和機(jī)構(gòu),要向出借人或借款人明確告知包括但不限于以下信息:轉(zhuǎn)移或委托的目的、轉(zhuǎn)移或委托個(gè)人信息的具體內(nèi)容和使用范圍、接受委托的個(gè)人信息獲得者的名稱、地址、聯(lián)系方式等;

(八) 網(wǎng)絡(luò)借貸平臺(tái)要采用已告知的手段和方式直接向出借人或借款人收集信息,不得采取隱蔽手段或以間接方式收集個(gè)人信息。

第十五條 網(wǎng)絡(luò)借貸平臺(tái)對(duì)于出借人及借款人信息處理,不得違背收集階段已告知的使用目的,或超出告知范圍對(duì)個(gè)人信息進(jìn)行加工。

第十六條 網(wǎng)絡(luò)借貸平臺(tái)對(duì)于出借人及借款人信息處理,應(yīng)當(dāng)保證加工處理過程中個(gè)人信息不被任何與處理目的無關(guān)的個(gè)人、組織和機(jī)構(gòu)獲知。

第十七條 網(wǎng)絡(luò)借貸平臺(tái)對(duì)于出借人及借款人信息處理,應(yīng)當(dāng)詳細(xì)記錄對(duì)個(gè)人信息的狀態(tài),如個(gè)人信息主體要求對(duì)其個(gè)人信息進(jìn)行查詢時(shí),網(wǎng)絡(luò)借貸平臺(tái)必須如實(shí)并免費(fèi)告知是否擁有其個(gè)人信息、擁有其個(gè)人信息的內(nèi)容、個(gè)人信息的加工處理狀態(tài)等內(nèi)容,除非告知成本或者請(qǐng)求頻率超出合理的范圍。

第十八條 網(wǎng)絡(luò)借貸平臺(tái)對(duì)于出借人及借款人信息轉(zhuǎn)移,應(yīng)當(dāng)不違背收集階段告知的轉(zhuǎn)移目的,或超出告知的轉(zhuǎn)移范圍轉(zhuǎn)移個(gè)人信息。

第十九條 網(wǎng)絡(luò)借貸平臺(tái)向其他組織或機(jī)構(gòu),包括但不限于銀行存管機(jī)構(gòu)、存證機(jī)構(gòu)、第三方支付機(jī)構(gòu)、短信服務(wù)商、技術(shù)外包服務(wù)商、電子簽章等,轉(zhuǎn)移出借人及借款人信息前,應(yīng)當(dāng)評(píng)估其安全處理個(gè)人信息的能力,并通過合同明確該組織和機(jī)構(gòu)的個(gè)人信息保護(hù)責(zé)任,確保轉(zhuǎn)移過程中,借款人及出借人信息不被合同明確的組織和機(jī)構(gòu)之外的任何個(gè)人、組織和機(jī)構(gòu)所獲知。

第二十條 網(wǎng)絡(luò)借貸平臺(tái)對(duì)于出借人或借款人信息刪除,在滿足國(guó)家法律法規(guī)規(guī)定的信息留存期限的前提下,若出借人或借款人有正當(dāng)理由要求刪除其個(gè)人信息時(shí),平臺(tái)應(yīng)及時(shí)刪除個(gè)人信息。

網(wǎng)絡(luò)借貸平臺(tái)破產(chǎn)或解散時(shí),若無法繼續(xù)完成承諾的個(gè)人信息處理目的,需刪除個(gè)人信息。

網(wǎng)絡(luò)借貸平臺(tái)因刪除個(gè)人信息可能會(huì)影響執(zhí)法機(jī)構(gòu)調(diào)查取證時(shí),采取適當(dāng)?shù)拇鎯?chǔ)和屏蔽措施。

第四章附則

第二十一條 本指引由江蘇省互聯(lián)網(wǎng)金融協(xié)會(huì)負(fù)責(zé)解釋。

第二十二條 本指引自公布之日起施行。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2017-07-07
江蘇發(fā)布全國(guó)首個(gè)網(wǎng)貸平臺(tái)個(gè)人信息安全保護(hù)指引草案
如需將出借人或借款人信息轉(zhuǎn)移或委托于其他組織和機(jī)構(gòu),要向出借人或借款人明確告知包括但不限于以下信息:轉(zhuǎn)移或委托的目的、轉(zhuǎn)移或委托個(gè)人信息的具體內(nèi)容和使用范圍等。

長(zhǎng)按掃碼 閱讀全文