网贷新规落地 P2P要补哪些系统安全课？

字号：大中小

　　传了许久的网贷新规终于落地了。8月24日，银监会、工业和信息化部、公安部、国家互联网信息办公室四部委联合发布《网络借贷信息中介机构业务活动管理暂行办法》（以下简称“新规”）。一时间，各方都对新规做出了种种解读。从借款上限、信息披露、资金存管等条文来看，监管层对P2P的管理核心还是放在安全二字之上，逐步变得安全、正规、合法将成为P2P平台的唯一出路。在过去，一提到P2P平台的安全，公众往往首先想到的是“借款方到期能否还款？平台会不会跑路？”等问题，却较少考虑到平台的系统安全，如网络身份认证、数据存储、信息技术风险等。实际上，不仅是公众，P2P运营者也可能忽视这些问题。而此次新规对P2P平台的系统安全作出了比以往更为详细也更为严格的规范。那么，为了落实新规要求，P2P平台应在哪些方面有所加强，补上哪些系统安全课呢？

　　身份认证与数字签名

　　本次新规第十一条、二十二条分别规定：参与网络借贷的出借人与借款人应当为网络借贷信息中介机构核实的实名注册用户。各方参与网络借贷信息中介机构业务活动，需要对出借人与借款人的基本信息和交易信息等使用电子签名、电子认证时，应当遵守法律法规的规定，保障数据的真实性、完整性及电子签名、电子认证的法律效力。

　　这两条可以简单概括为，使用数字证书验证借贷各方的身份，并使用电子签名保障电子合同等交易文档、数据符合《电子签名法》，具备法律效力。目前，比较正规的P2P平台都已经或计划建设身份认证和数字签名系统，也就是通过搭建RA（数字证书注册审批系统）来获得CA（数字证书认证中心）的数字证书颁发权，为平台的用户颁发数字证书，同时再将数字证书与电子印章软件相结合，实现电子合同的数字签名。目前，数字身份认证和数字签名在P2P行业已经获得了一定的普及，但在新规之下，P2P平台在此方面仍有需要加强的地方，主要表现在：

　　此次新规明确表示网络借贷金额应当以小额为主，并划定了借款余额上限。所以在未来，P2P的业务将更多的偏向普惠金融、消费金融，也就意味着要面向数量更多也更为大众的借款人，承担更多身份核实、资信评估的任务。所以单一的数字认证方式已难以满足需求，有必要借助多因素认证、统一身份认证平台等强认证模式来确保用户身份的真实性。

　　信息系统风控与认证

　　新规在第十八、三十一条对P2P信息系统的风险管理作出了详细要求，可以归纳为：P2P平台应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试，具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度，每两年至少开展一次全面的安全评估，接受国家或行业主管部门的信息安全检查和审计，并且应当聘请有资质的信息安全测评认证机构定期对信息安全实施测评认证，并由第三方机构对信息系统稳健情况进行评估。

　　对此，第三方认证机构CFCA中国金融认证中心下属信息安全实验室负责人表示，此次新规对P2P的信息系统风控提出了较高的要求，P2P平台需要为此做出大量工作。例如，国家信息安全等级保护基本安全要求分为技术要求和管理要求两大类，涵盖了物理（机房）、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内容。对于信息系统安全基础比较薄弱的P2P平台来说，达到要求并通过测评并不容易。

网贷新规落地 P2P要补哪些系统安全课？

　　图注：等级保护测评工作内容

　　该负责人还表示，为了更高效的落实监管要求，P2P平台可以先对自身的信息安全状况摸底，找到问题，再逐一解决。为此，P2P可以开展信息安全风险评估、渗透测试等工作。信息安全风险评估是构建信息安全保障体系的重要手段，第三方机构遵循相关技术规范，通过分析P2P的信息系统，评估其面临的安全威胁及应对安全风险的能力，帮助P2P采取或完善安全保障措施，有效控制安全风险。渗透测试则是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对P2P信息系统的安全作深入的探测，发现系统最脆弱的环节。渗透测试能够直观的让管理人员认清系统所面临的问题，改善系统安全状况。　　

　　数据的合法使用及安全存管

　　在新规的第九、十八、二十一、二十三、二十七条的要求可归纳如下：P2P平台要履行反洗钱和反恐怖融资义务，记录并妥善保存、备份网络借贷业务活动数据和资料，如借贷双方上网日志信息、信息交互内容等，其中借贷合同到期后应当至少保存５年。同时确保出借人与借款人信息采集、处理及使用的合法性和安全性。

　　为了履行反洗钱义务，P2P需要加强可疑的客户身份、交易记录的识别能力，应当加强与拥有金融信用信息大数据的第三方机构的合作。通过具有行政机关授权的通道验证用户提交资料的真实性，通过第三方机构依法查询和使用各类征信数据，对用户画像进行准确评估，通过公共权力机关发布的失信、诈骗、涉嫌诈骗等数据规避高风险用户。在数据存管方面，考虑到部分P2P平台的存活年限较短及数据灾备体系的极不完善，P2P可委托类似“安心签”这样的专业在线合同平台将合同存储5年或以上，合同以外的交易记录则可由证据存管系统代为存储。

　　对于新规中强调的合法、安全使用“出借人与借款人信息”，CFCA数据业务负责人认为，这里合法的有两个层面：第一是信息合法，指获取途径合法，只有使用正规渠道授权的数据才能确保信息的正确、有效；第二，只有经过出借人、借款人明确授权的个人数据，拿来用作认证、存储、分析才是合法使用。“安全性”则指通过有效安全防护措施保护“出借人与借款人”的个人信息不被窃取。

　　小结

　　在过去，P2P平台更多的关注用户量的增长而忽视了安全，这也导致行业在经历“野蛮”增长后暴露出大量问题，进而促使监管层出台越来越严格的管理办法。此次新规提出了大量与系统安全相关的新规范，而多数P2P除了在身份认证和数字签名方面做了一些工作外，其他方面几乎还是空白，要补的课还很多，全面落实规范的难度较大。但好在新规给出了12个月的整改时间，对于致力于在业内长期发展的平台来说，可以充分利用这一年的时间来落实规范。希望P2P平台能以系统安全为基础，逐步降低行业的金融风险，更好的服务于广大投资者，回归普惠金融的本质。