近日,江蘇省互聯(lián)網(wǎng)金融協(xié)會發(fā)布全國首個網(wǎng)貸平臺個人信息安全保護規(guī)范指引——江蘇省網(wǎng)絡借貸平臺個人信息安全保護規(guī)范指引(草案)(下文簡稱“草案”)。草案明確表示,網(wǎng)絡借貸平臺是個人信息安全保護責任主體。平臺收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。
草案指出,網(wǎng)絡借貸平臺應當采取技術措施和其他必要措施,確保收集的個人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,并及時向監(jiān)管機構及行業(yè)協(xié)會報告。
另外,草案明確提出網(wǎng)絡借貸平臺應當記錄并留存借貸雙方上網(wǎng)日志信息,信息交互內(nèi)容等數(shù)據(jù),留存期限為自借貸合同到期起5年。網(wǎng)絡借貸平臺及其資金存管機構、其他各類外包服務機構等應當為業(yè)務開展過程中收集的出借人與借款人信息保密,未經(jīng)出借人與借款人同意,不得將出借人與借款人提供的信息用于所提供服務之外的目的。
草案還指出,網(wǎng)絡借貸平臺應當建立信息科技管理、科技風險管理和科技審計有關制度,每年開展一次全面的安全評估,接受國家或行業(yè)主管部門的信息安全檢查和審計。
這里的個人信息,是指網(wǎng)絡借貸平臺開展業(yè)務,通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的個人及其行為相關的各種電子數(shù)據(jù),包括但不限于出借人、借款人以及從第三方以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人(出借人及借款人)個人身份的各種信息,比如自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼、行為軌跡等。
值得一提的是,《中國人民共和國網(wǎng)絡安全法》于2016年11月6日由全國人大正式通過并于2017年6月1日正式生效,作為國內(nèi)第一部系統(tǒng)性提出網(wǎng)絡空間治理的法律法規(guī),特別加強和明確了個人信息保護方面的要求。
附:江蘇省網(wǎng)絡借貸平臺個人信息安全保護規(guī)范指引(草案)
第一章 總則
第一條 為規(guī)范江蘇省網(wǎng)絡借貸平臺個人信息安全保護,促進全省網(wǎng)絡借貸行業(yè)健康發(fā)展,根據(jù)《中華人民共和國網(wǎng)絡安全法》、《關于促進互聯(lián)網(wǎng)金融健康發(fā)展的指導意見》、《網(wǎng)絡借貸信息中介機構業(yè)務活動管理暫行辦法》以及其它有關法律、法規(guī)、行業(yè)規(guī)范,制定本指引。
第二條 本指引適用于網(wǎng)絡借貸平臺個人信息安全保護規(guī)范建設。
第三條 本指引所稱個人信息,是指網(wǎng)絡借貸平臺開展業(yè)務,通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的個人及其行為相關的各種電子數(shù)據(jù),包括但不限于出借人、借款人以及從第三方以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人(出借人及借款人)個人身份的各種信息,比如自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼、行為軌跡等。
第四條 網(wǎng)絡借貸平臺個人信息安全保護遵循目的明確、權責清晰、公開告知、個人授權、安全保障的原則,堅持個人信息保護與平臺發(fā)展相互融合促進的理念,處理好安全與發(fā)展、安全與建設、安全與運營的關系,全面保障本機構數(shù)據(jù)及個人信息安全。
第二章 機構職責
第五條 網(wǎng)絡借貸平臺是個人信息安全保護責任主體。
第六條 網(wǎng)絡借貸平臺應當按照國家網(wǎng)絡安全相關規(guī)定和國家信息安全等級保護制度的要求,開展信息系統(tǒng)定級備案和等級測試,系統(tǒng)安全等級須達到《信息安全等級保護管理辦法》規(guī)定二級及以上。
第七條 網(wǎng)絡借貸平臺應當建立完善的防火墻、入侵檢測、數(shù)據(jù)加密以及災難恢復等網(wǎng)絡安全設施和管理制度,采取完善的管理控制措施和技術手段保障信息系統(tǒng)安全穩(wěn)健運行。
第八條 網(wǎng)絡借貸平臺應當建立健全用戶信息保護制度,確保出借人與借款人信息采集、處理及使用的合法性和安全性。
(一) 網(wǎng)絡借貸平臺收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意;
(二) 網(wǎng)絡借貸平臺應當妥善保管出借人與借款人的資料和交易信息,不得刪除、篡改,不得非法買賣、泄露出借人與借款人的基本信息和交易信息;
(三) 網(wǎng)絡借貸平臺應當記錄并留存借貸雙方上網(wǎng)日志信息,信息交互內(nèi)容等數(shù)據(jù),留存期限為自借貸合同到期起5年;
(四) 網(wǎng)絡借貸平臺及其資金存管機構、其他各類外包服務機構等應當為業(yè)務開展過程中收集的出借人與借款人信息保密,未經(jīng)出借人與借款人同意,不得將出借人與借款人提供的信息用于所提供服務之外的目的;
(五) 網(wǎng)絡借貸平臺在中國境內(nèi)收集的出借人與借款人信息的儲存、處理和分析應當在中國境內(nèi)進行。除法律法規(guī)另有規(guī)定外,網(wǎng)絡借貸平臺不得向境外提供境內(nèi)出借人和借款人信息。
第九條 網(wǎng)絡借貸平臺應當建立信息科技管理、科技風險管理和科技審計有關制度,每年開展一次全面的安全評估,接受國家或行業(yè)主管部門的信息安全檢查和審計。
第十條 網(wǎng)絡借貸平臺應當采取技術措施和其他必要措施,確保收集的個人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,并及時向監(jiān)管機構及行業(yè)協(xié)會報告。
第十一條 網(wǎng)絡借貸平臺應當制定明確個人信息安全保護工作制度,比如數(shù)據(jù)中心管理制度、技術規(guī)范、操作指南等制度規(guī)定,明確實施標準和操作流程,加強培訓,強化內(nèi)部員工的安全意識、減少道德風險的發(fā)生,并加強個人信息安全專業(yè)隊伍建設。
第十二條 監(jiān)管部門及行業(yè)協(xié)會要求的其他個人信息保護工作。
第三章 操作規(guī)范
第十三條 網(wǎng)絡借貸平臺在使用信息系統(tǒng)對個人信息進行處理時,應遵循以下基本要求:
(一) 目的明確——處理個人信息僅用于網(wǎng)絡借貸中介服務,不擴大使用范圍,不在出借人及借款人不知情的情況下改變處理個人信息的目的;
(二) 權責清晰——明確個人信息處理過程中相關方的權利和職責,并采取相應的措施落實各方責任,并對出借人及借款人個人信息處理進行全過程記錄,以便于追溯;
(三) 公開告知——對出借人及借款人應當盡到告知、說明和警示的義務。以明確、易懂和適宜的方式如實向出借人及借款人告知處理個人信息的目的、個人信息的收集和使用范圍、個人信息保護措施等信息;
(四) 個人授權——處理個人信息前要征得出借人及借款人主體的授權同意;
(五) 安全保障——采取適當?shù)?、與個人信息遭受損害的可能性和嚴重性相適應的管理措施和技術手段,保護出借人及借款人信息安全,防止未經(jīng)個人信息管理者授權的檢索、披露及丟失、泄露、損毀和篡改個人信息。
第十四條 網(wǎng)絡借貸平臺在對于出借人及借款人信息的收集,應遵循以下要求:
(一) 明確收集信息的目的;
(二) 明確出借人及借款人信息的收集方式和手段、收集的具體內(nèi)容和留存時限;
(三) 明確出借人及借款人信息的使用范圍,包括披露或向其他組織和機構提供其個人信息的范圍;
(四) 明確出借人及借款人信息的保護措施;
(五) 明確出借人及借款人提供個人信息后可能存在的風險;
(六) 明確出借人及借款人不提供個人信息可能出現(xiàn)的后果;
(七) 如需將出借人或借款人信息轉移或委托于其他組織和機構,要向出借人或借款人明確告知包括但不限于以下信息:轉移或委托的目的、轉移或委托個人信息的具體內(nèi)容和使用范圍、接受委托的個人信息獲得者的名稱、地址、聯(lián)系方式等;
(八) 網(wǎng)絡借貸平臺要采用已告知的手段和方式直接向出借人或借款人收集信息,不得采取隱蔽手段或以間接方式收集個人信息。
第十五條 網(wǎng)絡借貸平臺對于出借人及借款人信息處理,不得違背收集階段已告知的使用目的,或超出告知范圍對個人信息進行加工。
第十六條 網(wǎng)絡借貸平臺對于出借人及借款人信息處理,應當保證加工處理過程中個人信息不被任何與處理目的無關的個人、組織和機構獲知。
第十七條 網(wǎng)絡借貸平臺對于出借人及借款人信息處理,應當詳細記錄對個人信息的狀態(tài),如個人信息主體要求對其個人信息進行查詢時,網(wǎng)絡借貸平臺必須如實并免費告知是否擁有其個人信息、擁有其個人信息的內(nèi)容、個人信息的加工處理狀態(tài)等內(nèi)容,除非告知成本或者請求頻率超出合理的范圍。
第十八條 網(wǎng)絡借貸平臺對于出借人及借款人信息轉移,應當不違背收集階段告知的轉移目的,或超出告知的轉移范圍轉移個人信息。
第十九條 網(wǎng)絡借貸平臺向其他組織或機構,包括但不限于銀行存管機構、存證機構、第三方支付機構、短信服務商、技術外包服務商、電子簽章等,轉移出借人及借款人信息前,應當評估其安全處理個人信息的能力,并通過合同明確該組織和機構的個人信息保護責任,確保轉移過程中,借款人及出借人信息不被合同明確的組織和機構之外的任何個人、組織和機構所獲知。
第二十條 網(wǎng)絡借貸平臺對于出借人或借款人信息刪除,在滿足國家法律法規(guī)規(guī)定的信息留存期限的前提下,若出借人或借款人有正當理由要求刪除其個人信息時,平臺應及時刪除個人信息。
網(wǎng)絡借貸平臺破產(chǎn)或解散時,若無法繼續(xù)完成承諾的個人信息處理目的,需刪除個人信息。
網(wǎng)絡借貸平臺因刪除個人信息可能會影響執(zhí)法機構調(diào)查取證時,采取適當?shù)拇鎯推帘未胧?/p>
第四章附則
第二十一條 本指引由江蘇省互聯(lián)網(wǎng)金融協(xié)會負責解釋。
第二十二條 本指引自公布之日起施行。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 馬云現(xiàn)身支付寶20周年紀念日:AI將改變一切,但不意味著決定一切
- 萬事達卡推出反欺詐AI模型 金融科技擁抱生成式AI
- OpenAI創(chuàng)始人的世界幣懸了?高調(diào)收集虹膜數(shù)據(jù)引來歐洲監(jiān)管調(diào)查
- 華為孟晚舟最新演講:長風萬里鵬正舉,勇立潮頭智為先
- 華為全球智慧金融峰會2023在上海開幕 攜手共建數(shù)智金融未來
- 移動支付發(fā)展超預期:2022年交易額1.3萬億美元 注冊賬戶16億
- 定位“敏捷的財務收支管理平臺”,合思品牌升級發(fā)布會上釋放了哪些信號?
- 分貝通商旅+費控+支付一體化戰(zhàn)略發(fā)布,一個平臺管理企業(yè)所有費用支出
- IMF經(jīng)濟學家:加密資產(chǎn)背后的技術可以改善支付,增進公益
- 2022年加密貨幣“殺豬盤”涉案金額超20億美元 英國銀行業(yè)祭出限額措施
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。