TMT观察网_独特视角观察TMT行业

近日，江蘇省互聯網金融協會發布全國首個省級網貸平臺個人信息安全保護規范指引――江蘇省網絡借貸平臺個人信息安全保護規范指引(草案)（下文簡稱“草案”）。草

網貸之家訊 近日，江蘇省互聯網金融協會發布全國首個網貸平臺個人信息安全保護規范指引――江蘇省網絡借貸平臺個人信息安全保護規范指引(草案)（下文簡稱“草案”）。草案明確平臺是個人信息安全保護責任主體，平臺在收集、使用個人信息時應經被收集者同意。

草案指出，網貸平臺應當制定明確個人信息安全保護工作制度，比如數據中心管理制度、技術規范、操作指南等制度規定，平臺要采用已告知的手段和方式直接向出借人或借款人收集信息，不得采取隱蔽手段或以間接方式收集個人信息。

草案提及，平臺如需將出借人或借款人信息轉移或委托于其他組織和機構，要向出借人或借款人明確告知包括但不限于以下信息：

轉移或委托的目的、轉移或委托個人信息的具體內容和使用范圍、接受委托的個人信息獲得者的名稱、地址、聯系方式等。

附：江蘇省網絡借貸平臺個人信息安全保護規范指引（草案）

第一章 總則

第一條 為規范江蘇省網絡借貸平臺個人信息安全保護，促進全省網絡借貸行業健康發展，根據《中華人民共和國網絡安全法》、《關于促進互聯網金融健康發展的指導意見》、《網絡借貸信息中介機構業務活動管理暫行辦法》以及其它有關法律、法規、行業規范，制定本指引。

第二條 本指引適用于網絡借貸平臺個人信息安全保護規范建設。

第三條 本指引所稱個人信息，是指網絡借貸平臺開展業務，通過網絡收集、存儲、傳輸、處理和產生的個人及其行為相關的各種電子數據，包括但不限于出借人、借款人以及從第三方以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人（出借人及借款人）個人身份的各種信息，比如自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼、行為軌跡等。

第四條 網絡借貸平臺個人信息安全保護遵循目的明確、權責清晰、公開告知、個人授權、安全保障的原則，堅持個人信息保護與平臺發展相互融合促進的理念，處理好安全與發展、安全與建設、安全與運營的關系，全面保障本機構數據及個人信息安全。

第二章 機構職責

第五條 網絡借貸平臺是個人信息安全保護責任主體。

第六條 網絡借貸平臺應當按照國家網絡安全相關規定和國家信息安全等級保護制度的要求，開展信息系統定級備案和等級測試，系統安全等級須達到《信息安全等級保護管理辦法》規定二級及以上。

第七條 網絡借貸平臺應當建立完善的防火墻、入侵檢測、數據加密以及災難恢復等網絡安全設施和管理制度，采取完善的管理控制措施和技術手段保障信息系統安全穩健運行。

第八條 網絡借貸平臺應當建立健全用戶信息保護制度，確保出借人與借款人信息采集、處理及使用的合法性和安全性。

(一) 網絡借貸平臺收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意；

(二) 網絡借貸平臺應當妥善保管出借人與借款人的資料和交易信息，不得刪除、篡改，不得非法買賣、泄露出借人與借款人的基本信息和交易信息；

(三) 網絡借貸平臺應當記錄并留存借貸雙方上網日志信息，信息交互內容等數據，留存期限為自借貸合同到期起5年；

(四) 網絡借貸平臺及其資金存管機構、其他各類外包服務機構等應當為業務開展過程中收集的出借人與借款人信息保密，未經出借人與借款人同意，不得將出借人與借款人提供的信息用于所提供服務之外的目的；

(五) 網絡借貸平臺在中國境內收集的出借人與借款人信息的儲存、處理和分析應當在中國境內進行。除法律法規另有規定外，網絡借貸平臺不得向境外提供境內出借人和借款人信息。

第九條 網絡借貸平臺應當建立信息科技管理、科技風險管理和科技審計有關制度，每年開展一次全面的安全評估，接受國家或行業主管部門的信息安全檢查和審計。

第十條 網絡借貸平臺應當采取技術措施和其他必要措施，確保收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，并及時向監管機構及行業協會報告。

第十一條 網絡借貸平臺應當制定明確個人信息安全保護工作制度，比如數據中心管理制度、技術規范、操作指南等制度規定，明確實施標準和操作流程，加強培訓，強化內部員工的安全意識、減少道德風險的發生，并加強個人信息安全專業隊伍建設。

第十二條 監管部門及行業協會要求的其他個人信息保護工作。

第三章 操作規范

第十三條 網絡借貸平臺在使用信息系統對個人信息進行處理時，應遵循以下基本要求：

(一) 目的明確――處理個人信息僅用于網絡借貸中介服務，不擴大使用范圍，不在出借人及借款人不知情的情況下改變處理個人信息的目的；

(二) 權責清晰――明確個人信息處理過程中相關方的權利和職責，并采取相應的措施落實各方責任，并對出借人及借款人個人信息處理進行全過程記錄，以便于追溯；

(三) 公開告知――對出借人及借款人應當盡到告知、說明和警示的義務。以明確、易懂和適宜的方式如實向出借人及借款人告知處理個人信息的目的、個人信息的收集和使用范圍、個人信息保護措施等信息；

(四) 個人授權――處理個人信息前要征得出借人及借款人主體的授權同意；

(五) 安全保障――采取適當的、與個人信息遭受損害的可能性和嚴重性相適應的管理措施和技術手段，保護出借人及借款人信息安全，防止未經個人信息管理者授權的檢索、披露及丟失、泄露、損毀和篡改個人信息。

第十四條 網絡借貸平臺在對于出借人及借款人信息的收集，應遵循以下要求：

(一) 明確收集信息的目的;

(二) 明確出借人及借款人信息的收集方式和手段、收集的具體內容和留存時限;

(三) 明確出借人及借款人信息的使用范圍，包括披露或向其他組織和機構提供其個人信息的范圍;

(四) 明確出借人及借款人信息的保護措施;

(五) 明確出借人及借款人提供個人信息后可能存在的風險;

(六) 明確出借人及借款人不提供個人信息可能出現的后果;

(七) 如需將出借人或借款人信息轉移或委托于其他組織和機構，要向出借人或借款人明確告知包括但不限于以下信息：轉移或委托的目的、轉移或委托個人信息的具體內容和使用范圍、接受委托的個人信息獲得者的名稱、地址、聯系方式等；

(八) 網絡借貸平臺要采用已告知的手段和方式直接向出借人或借款人收集信息，不得采取隱蔽手段或以間接方式收集個人信息。

第十五條 網絡借貸平臺對于出借人及借款人信息處理，不得違背收集階段已告知的使用目的，或超出告知范圍對個人信息進行加工。

第十六條 網絡借貸平臺對于出借人及借款人信息處理，應當保證加工處理過程中個人信息不被任何與處理目的無關的個人、組織和機構獲知。