传了许久的网贷新规终于落地了。8月24日,银监会、工业和信息化部、公安部、国家互联网信息办公室四部委联合发布《网络借贷信息中介机构业务活动管理暂行办法》(以下简称“新规”)。一时间,各方都对新规做出了种种解读。从借款上限、信息披露、资金存管等条文来看,监管层对P2P的管理核心还是放在安全二字之上,逐步变得安全、正规、合法将成为P2P平台的唯一出路。在过去,一提到P2P平台的安全,公众往往首先想到的是“借款方到期能否还款?平台会不会跑路?”等问题,却较少考虑到平台的系统安全,如网络身份认证、数据存储、信息技术风险等。实际上,不仅是公众,P2P运营者也可能忽视这些问题。而此次新规对P2P平台的系统安全作出了比以往更为详细也更为严格的规范。那么,为了落实新规要求,P2P平台应在哪些方面有所加强,补上哪些系统安全课呢?
身份认证与数字签名
本次新规第十一条、二十二条分别规定:参与网络借贷的出借人与借款人应当为网络借贷信息中介机构核实的实名注册用户。各方参与网络借贷信息中介机构业务活动,需要对出借人与借款人的基本信息和交易信息等使用电子签名、电子认证时,应当遵守法律法规的规定,保障数据的真实性、完整性及电子签名、电子认证的法律效力。
这两条可以简单概括为,使用数字证书验证借贷各方的身份,并使用电子签名保障电子合同等交易文档、数据符合《电子签名法》,具备法律效力。目前,比较正规的P2P平台都已经或计划建设身份认证和数字签名系统,也就是通过搭建RA(数字证书注册审批系统)来获得CA(数字证书认证中心)的数字证书颁发权,为平台的用户颁发数字证书,同时再将数字证书与电子印章软件相结合,实现电子合同的数字签名。目前,数字身份认证和数字签名在P2P行业已经获得了一定的普及,但在新规之下,P2P平台在此方面仍有需要加强的地方,主要表现在:
此次新规明确表示网络借贷金额应当以小额为主,并划定了借款余额上限。所以在未来,P2P的业务将更多的偏向普惠金融、消费金融,也就意味着要面向数量更多也更为大众的借款人,承担更多身份核实、资信评估的任务。所以单一的数字认证方式已难以满足需求,有必要借助多因素认证、统一身份认证平台等强认证模式来确保用户身份的真实性。
信息系统风控与认证
新规在第十八、三十一条对P2P信息系统的风险管理作出了详细要求,可以归纳为:P2P平台应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计,并且应当聘请有资质的信息安全测评认证机构定期对信息安全实施测评认证,并由第三方机构对信息系统稳健情况进行评估。对此,第三方认证机构CFCA中国金融认证中心下属信息安全实验室负责人表示,此次新规对P2P的信息系统风控提出了较高的要求,P2P平台需要为此做出大量工作。例如,国家信息安全等级保护基本安全要求分为技术要求和管理要求两大类,涵盖了物理(机房)、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内容。对于信息系统安全基础比较薄弱的P2P平台来说,达到要求并通过测评并不容易。
![[编辑精选]昂贵珠宝抢](foticp/1-1204292133310-L.jpg)
