近日,江苏省互联网金融协会发布全国首个网贷平台个人信息安全保护规范指引——江苏省网络借贷平台个人信息安全保护规范指引(草案)(下文简称“草案”)。草案明确平台是个人信息安全保护责任主体,平台在收集、使用个人信息时应经被收集者同意。 草案指出,网贷平台应当制定明确个人信息安全保护工作制度,比如数据中心管理制度、技术规范、操作指南等制度规定,平台要采用已告知的手段和方式直接向出借人或借款人收集信息,不得采取隐蔽手段或以间接方式收集个人信息。 草案提及,平台如需将出借人或借款人信息转移或委托于其他组织和机构,要向出借人或借款人明确告知包括但不限于以下信息: 转移或委托的目的、转移或委托个人信息的具体内容与使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。 附:江苏省网络借贷平台个人信息安全保护规范指引(草案) 第一章 总则 第一条 为规范江苏省网络借贷平台个人信息安全保护,促进全省网络借贷行业健康发展,根据《中华人民共和国网络安全法》、《关于促进互联网金融健康发展的指导意见》、《网络借贷信息中介机构业务活动管理暂行办法》以及其它有关法律、法规、行业规范,制定本指引。 第二条 本指引适用于网络借贷平台个人信息安全保护规范建设。 第三条 本指引所称个人信息,是指网络借贷平台开展业务,通过网络收集、存储、传输、处理和产生的个人及其行为相关的各种电子数据,包括但不限于出借人、借款人以及从第三方以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人(出借人及借款人)个人身份的各种信息,比如自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、行为轨迹等。 第四条 网络借贷平台个人信息安全保护遵循目的明确、权责清晰、公开告知、个人授权、安全保障的原则,坚持个人信息保护与平台发展相互融合促进的理念,处理好安全与发展、安全与建设、安全与运营的关系,全面保障本机构数据及个人信息安全。 第二章 机构职责 第五条 网络借贷平台是个人信息安全保护责任主体。 第六条 网络借贷平台应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,系统安全等级须达到《信息安全等级保护管理办法》规定二级及以上。 第七条 网络借贷平台应当建立完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行。 第八条 网络借贷平台应当建立健全用户信息保护制度,确保出借人与借款人信息采集、处理及使用的合法性和安全性。 (一) 网络借贷平台收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意; (二) 网络借贷平台应当妥善保管出借人与借款人的资料和交易信息,不得删除、篡改,不得非法买卖、泄露出借人与借款人的基本信息和交易信息; (三) 网络借贷平台应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年; (四) 网络借贷平台及其资金存管机构、其他各类外包服务机构等应当为业务开展过程中收集的出借人与借款人信息保密,未经出借人与借款人同意,不得将出借人与借款人提供的信息用于所提供服务之外的目的; (五) 网络借贷平台在中国境内收集的出借人与借款人信息的储存、处理和分析应当在中国境内进行。除法律法规另有规定外,网络借贷平台不得向境外提供境内出借人和借款人信息。 第九条 网络借贷平台应当建立信息科技管理、科技风险管理和科技审计有关制度,每年开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。 第十条 网络借贷平台应当采取技术措施和其他必要措施,确保收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并及时向监管机构及行业协会报告。 第十一条 网络借贷平台应当制定明确个人信息安全保护工作制度,比如数据中心管理制度、技术规范、操作指南等制度规定,明确实施标准和操作流程,加强培训,强化内部员工的安全意识、减少道德风险的发生,并加强个人信息安全专业队伍建设。 第十二条 监管部门及行业协会要求的其他个人信息保护工作。 第三章 操作规范 第十三条 网络借贷平台在使用信息系统对个人信息进行处理时,应遵循以下基本要求: (一) 目的明确——处理个人信息仅用于网络借贷中介服务,不扩大使用范围,不在出借人及借款人不知情的情况下改变处理个人信息的目的; (二) 权责清晰——明确个人信息处理过程中相关方的权利和职责,并采取相应的措施落实各方责任,并对出借人及借款人个人信息处理进行全过程记录,以便于追溯; (三) 公开告知——对出借人及借款人应当尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向出借人及借款人告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息; (四) 个人授权——处理个人信息前要征得出借人及借款人主体的授权同意; (五) 安全保障——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护出借人及借款人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。 第十四条 网络借贷平台在对于出借人及借款人信息的收集,应遵循以下要求: (一) 明确收集信息的目的; (二) 明确出借人及借款人信息的收集方式和手段、收集的具体内容和留存时限; (三) 明确出借人及借款人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围; (四) 明确出借人及借款人信息的保护措施; (五) 明确出借人及借款人提供个人信息后可能存在的风险; (六) 明确出借人及借款人不提供个人信息可能出现的后果; (七) 如需将出借人或借款人信息转移或委托于其他组织和机构,要向出借人或借款人明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等; (八) 网络借贷平台要采用已告知的手段和方式直接向出借人或借款人收集信息,不得采取隐蔽手段或以间接方式收集个人信息。 第十五条 网络借贷平台对于出借人及借款人信息处理,不得违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工。 第十六条 网络借贷平台对于出借人及借款人信息处理,应当保证加工处理过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。 第十七条 网络借贷平台对于出借人及借款人信息处理,应当详细记录对个人信息的状态,如个人信息主体要求对其个人信息进行查询时,网络借贷平台必须如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工处理状态等内容,除非告知成本或者请求频率超出合理的范围。 第十八条 网络借贷平台对于出借人及借款人信息转移,应当不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息。 第十九条 网络借贷平台向其他组织或机构,包括但不限于银行存管机构、存证机构、第三方支付机构、短信服务商、技术外包服务商、电子签章等,转移出借人及借款人信息前,应当评估其安全处理个人信息的能力,并通过合同明确该组织和机构的个人信息保护责任,确保转移过程中,借款人及出借人信息不被合同明确的组织和机构之外的任何个人、组织和机构所获知。 第二十条 网络借贷平台对于出借人或借款人信息删除,在满足国家法律法规规定的信息留存期限的前提下,若出借人或借款人有正当理由要求删除其个人信息时,平台应及时删除个人信息。 网络借贷平台破产或解散时,若无法继续完成承诺的个人信息处理目的,需删除个人信息。 网络借贷平台因删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。 第四章附则 第二十一条 本指引由江苏省互联网金融协会负责解释。 第二十二条 本指引自公布之日起施行。 |
还没有用户评论, 快来抢沙发!