江苏发布全国首个网贷平台个人信息安全草案

来自未知 2020-05-08 09:43

       

  如需将出借人或借款人信息转移或委托于其他组织和机构,要向出借人或借款人明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围等。

  近日,江苏省互联网金融协会发布全国首个网贷平台个人信息安全规范——江苏省网络借贷平台个人信息安全规范(草案)(下文简称“草案”)。草案明确表示,网络借贷平台是个人信息安全责任主体。平台收集、使用个人信息,应当遵循、正当、必要的原则,公开收集、使用规则,收集、使用信息的目的、方式和范围,并经被收集者同意。

  草案指出,网络借贷平台应当采取技术措施和其他必要措施,确保收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并及时向监管机构及行业协会报告。

  另外,草案明确提出网络借贷平台应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年。网络借贷平台及其资金存管机构、其他各类外包服务机构等应当为业务开展过程中收集的出借人与借款人信息保密,未经出借人与借款人同意,不得将出借人与借款人提供的信息用于所提供服务之外的目的。

  草案还指出,网络借贷平台应当建立信息科技管理、科技风险管理和科技审计有关制度,每年开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。

  这里的个人信息,是指网络借贷平台开展业务,通过网络收集、存储、传输、处理和产生的个人及其行为相关的各种电子数据,包括但不限于出借人、借款人以及从第三方以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人(出借人及借款人)个人身份的各种信息,比如自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、行为轨迹等。

  值得一提的是,《中国人民国网络安全法》于2016年11月6日由全国正式通过并于2017年6月1日正式生效,作为国内第一部系统性提出网络空间治理的法律法规,特别加强和明确了个人信息方面的要求。

  第一条 为规范江苏省网络借贷平台个人信息安全,促进全省网络借贷行业健康发展,根据《中华人民国网络安全法》、《关于促进互联网金融健康发展的指导意见》、《网络借贷信息中介机构业务活动管理暂行办法》以及其它有关法律、法规、行业规范,制定本。

  第 本所称个人信息,是指网络借贷平台开展业务,通过网络收集、存储、传输、处理和产生的个人及其行为相关的各种电子数据,包括但不限于出借人、借款人以及从第三方以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人(出借人及借款人)个人身份的各种信息,比如自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、行为轨迹等。

  第四条 网络借贷平台个人信息安全遵循目的明确、权责清晰、公开告知、个人授权、安全保障的原则,个人信息与平台发展相互融合促进的,处理好安全与发展、安全与建设、安全与运营的关系,全面保障本机构数据及个人信息安全。

  第六条 网络借贷平台应当按照国家网络安全相关和国家信息安全等级制度的要求,开展信息系统定级备案和等级测试,系统安全等级须达到《信息安全等级管理办法》二级及以上。

  第七条 网络借贷平台应当建立完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行。

  第八条 网络借贷平台应当建立健全用户信息制度,确保出借人与借款人信息采集、处理及使用的性和安全性。

  (一) 网络借贷平台收集、使用个人信息,应当遵循、正当、必要的原则,公开收集、使用规则,收集、使用信息的目的、方式和范围,并经被收集者同意;

  (二) 网络借贷平台应当妥善保管出借人与借款人的资料和交易信息,不得删除、,不得非法买卖、泄露出借人与借款人的基本信息和交易信息;

  (三) 网络借贷平台应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年;

  (四) 网络借贷平台及其资金存管机构、其他各类外包服务机构等应当为业务开展过程中收集的出借人与借款人信息保密,未经出借人与借款人同意,不得将出借人与借款人提供的信息用于所提供服务之外的目的;

  (五) 网络借贷平台在中国境内收集的出借人与借款人信息的储存、处理和分析应当在中国境内进行。除法律法规另有外,网络借贷平台不得向境外提供境内出借人和借款人信息。

  第九条 网络借贷平台应当建立信息科技管理、科技风险管理和科技审计有关制度,每年开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。

  第十条 网络借贷平台应当采取技术措施和其他必要措施,确保收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并及时向监管机构及行业协会报告。

  第十一条 网络借贷平台应当制定明确个人信息安全工作制度,比如数据中心管理制度、技术规范、操作指南等制度,明确实施标准和操作流程,加强培训,强化内部员工的安全意识、减少风险的发生,并加强个人信息安全专业队伍建设。

  (一) 目的明确——处理个人信息仅用于网络借贷中介服务,不扩大使用范围,不在出借人及借款人不知情的情况下改变处理个人信息的目的;

  (二) 权责清晰——明确个人信息处理过程中相关方的和职责,并采取相应的措施落实各方责任,并对出借人及借款人个人信息处理进行全过程记录,以便于追溯;

  (三) 公开告知——对出借人及借款人应当尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向出借人及借款人告知处理个人信息的目的、个人信息的收集和使用范围、个人信息措施等信息;

  (五) 安全保障——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,出借人及借款人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和个人信息。

  (七) 如需将出借人或借款人信息转移或委托于其他组织和机构,要向出借人或借款人明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等;

  (八) 网络借贷平台要采用已告知的手段和方式直接向出借人或借款人收集信息,不得采取隐蔽手段或以间接方式收集个人信息。

  第十五条 网络借贷平台对于出借人及借款人信息处理,不得收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工。

  第十六条 网络借贷平台对于出借人及借款人信息处理,应当加工处理过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。

  第十七条 网络借贷平台对于出借人及借款人信息处理,应当详细记录对个人信息的状态,如个人信息主体要求对其个人信息进行查询时,网络借贷平台必须如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工处理状态等内容,除非告知成本或者请求频率超出合理的范围。

  第十八条 网络借贷平台对于出借人及借款人信息转移,应当不收集阶段告知的转移目的,或超出告知的转移范围转移个人信息。

  第十九条 网络借贷平台向其他组织或机构,包括但不限于银行存管机构、存证机构、第三方支付机构、短信服务商、技术外包服务商、电子签章等,转移出借人及借款人信息前,应当评估其安全处理个人信息的能力,并通过合同明确该组织和机构的个人信息责任,确保转移过程中,借款人及出借人信息不被合同明确的组织和机构之外的任何个人、组织和机构所获知。

  第二十条 网络借贷平台对于出借人或借款人信息删除,在满足国家法律法规的信息留存期限的前提下,若出借人或借款人有正当理由要求删除其个人信息时,平台应及时删除个人信息。

  



 

 

(责任编辑:永乐国际)