8月24日,银监会、工业和信息化部、公安部、国家互联网信息办公室四部委联合发布《网络借贷信息中介机构业务活动管理暂行办法》(以下简称“办法”)。从《办法》中的条规来看,“安全”二字是监管层对P2P行业管理的核心。
据车贷之家了解,目前的多数网贷平台很少考虑到系统安全。如:网络身份认证、数据存储、信息技术风险等等等。而此次新规对P2P平台的系统安全作出了较为详细的规范。那么,为了落实新规要求,P2P平台应在哪些方面有所加强,补上哪些系统安全课呢?
身份认证与数字签名
本次新规第十一条、二十二条分别规定:参与网络借贷的出借人与借款人应当为网络借贷信息中介机构核实的实名注册用户。各方参与网络借贷信息中介机构业务活动,需要对出借人与借款人的基本信息和交易信息等使用电子签名、电子认证时,应当遵守法律法规的规定,保障数据的真实性、完整性及电子签名、电子认证的法律效力。
监管细则的出台,使得P2P的业务在未来将更偏向普惠金融、消费金融,也就意味着要面向数量更多也更为大众的借款人,承担更多身份核实、资信评估的任务。所以单一的数字认证方式已难以满足需求,有必要借助多因素认证、统一身份认证平台等强认证模式来确保用户身份的真实性。
信息系统风控与认证
信息安全风险评估是构建信息安全保障体系的重要手段,第三方机构遵循相关技术规范,通过分析P2P的信息系统,评估其面临的安全威胁及应对安全风险的能力,帮助P2P采取或完善安全保障措施,有效控制安全风险。渗透测试则是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对P2P信息系统的安全作深入的探测,发现系统最脆弱的环节。渗透测试能够直观的让管理人员认清系统所面临的问题,改善系统安全状况。
数据的合法使用及安全存管
在新规的第九、十八、二十一、二十三、二十七条的要求可归纳如下:P2P平台要履行反洗钱和反恐怖融资义务,记录并妥善保存、备份网络借贷业务活动数据和资料,如借贷双方上网日志信息、信息交互内容等,其中借贷合同到期后应当至少保存5年。同时确保出借人与借款人信息采集、处理及使用的合法性和安全性。
为了履行反洗钱义务,P2P需要加强可疑的客户身份、交易记录的识别能力,应当加强与拥有金融信用信息大数据的第三方机构的合作。通过具有行政机关授权的通道验证用户提交资料的真实性,通过第三方机构依法查询和使用各类征信数据,对用户画像进行准确评估,通过公共权力机关发布的失信、诈骗、涉嫌诈骗等数据规避高风险用户。在数据存管方面,考虑到部分P2P平台的存活年限较短及数据灾备体系的极不完善,P2P可委托类似“安心签”这样的专业在线合同平台将合同存储5年或以上,合同以外的交易记录则可由证据存管系统代为存储。
对于新规中强调的合法、安全使用“出借人与借款人信息”,CFCA数据业务负责人认为,这里合法的有两个层面:第一是信息合法,指获取途径合法,只有使用正规渠道授权的数据才能确保信息的正确、有效;第二,只有经过出借人、借款人明确授权的个人数据,拿来用作认证、存储、分析才是合法使用。“安全性”则指通过有效安全防护措施保护“出借人与借款人”的个人信息不被窃取。
结束语
在以往的发展中,P2P平台忽视了安全,此次规则出台后,想要全方位的落实很有难度。但好在新规给出了12个月的整改时间,对于致力于在业内长期发展的平台来说,可以利用这一年的时间来落实规范。希望P2P平台能以系统安全为基础,逐步降低行业的金融风险,更好的服务于广大投资者,回归普惠金融的本质。
