2018年4月23日,中国互联网金融协会发布了《互联网金融个人网络借贷电子合同安全标准》(以下简称“通知”)的通知,自2018年5月18日开始征集。本通知包含三个附件:《互联网金融个人网络借贷电子合同安全规范》(征求意见草案)(以下简称征求意见草案)、《互联网金融个人网络借贷电子合同安全保障规范》(以下简称《征求意见稿》)(以下简称《编制须知》)、《中国互联网协集团标准》征求意见的报单。
草案案文共包括8条,包括:范围、规范性参考文件、术语和定义、缩略语、电子签字的合法性要求、电子合同订立、电子合同储存、司法证据要求和相关要点,概述如下:
“存而不签”如何自处?
协商草案“导言”部分明确规定,“网络贷款信息中介应当使用可靠的电子签字,所订立的电子合同应当委托电子合同的第三方存储服务提供商”,以“确保电子合同在线订立的安全性和合法性”。在网上贷款行业的实践中,根据当地纠正和验收的要求,大多数从业人员已经实现了“电子合同的第三方存单”,但对于是否使用电子签字签署电子合同还没有定论。无论是新的824条在线贷款规则,,都没有对“电子签名”的使用施加强制性要求。因此,有关规范的措辞如下:“借款人和借款人的基本信息和交易信息必须使用电子签名,在电子认证时,应遵守法律和法规的规定,以确保数据的真实性、完整性和电子签名。”电子认证的法律效力“或”利用电子签名获取贷款人和借款人的基本信息和交易信息,尚未按照有关法律法规实施“,除了申请对象和”网上金融个人网络贷款电子合同安全规范“的有效性外,如果网上贷款从业人员遵守实施,”存但不签“问题将面临纠正和改革。
适用范围与规制对象几何?
423份征求意见稿表示,“适合指导从业人员在网上签订电子合同,指导他们开展网上贷款信息中介活动,并由第三方储存电子合同,以进一步满足互联网金融个人网络贷款行业的安全和法律合规要求”。虽然有“指导”之称,但从中国互助金融协会以前的网上贷款基金存贷款管理系统/业务规范和相应的“白名单”评价来看,“互联网金融个人网络贷款电子合同安全规范”将在行业内遵循较高的概率。
耳熟能详的术语和缩略语
423征求意见稿定义了十二个术语,耳熟能详名词的包括“电子合同”“电子认证”“数字证书”“时间戳”“可信时间”等。同时列出了五个英文缩略语,包括PKI(公钥基础设施)、APP(应用程序)、OV(组织机构认证)、EV(扩展认证)以及SSL(安全套接层)。
什么是可靠的电子签名系统?
423征求意见稿明确指出,签发“电子认证服务许可证”三级以上担保的“可靠电子签名制度”和“电子签名人真实身份标识数字证书”和“第三方电子认证服务机构”成为“可靠电子签名制度”的重要组成部分。
扩展电子合约搜索/运营商渠道?
423征求意见稿6.1款提出“从业机构应提供渠道供借款人和出借人查看、下载已订立的电子合同。服务渠道包括但不限于网站、移动APP应用、社交媒体公众号或服务号等”。“包括但不限于”的表达似有不妥,结合业务实践,与信息披露工作类似,电子合同的查看、下载渠道,应当限于“实际从事网贷业务”的展业渠道,通常为网站或APP,诸如微博账号、微信订阅号以及仅用于品牌宣传的官网,难有类似功能。
前置的实名核验要求
征求意见稿应当提出真名验证的“三字”验证要求,即有效证书的真实性、一致性和自愿性,实名制的验证是应用数字证书的前提条件。但是,根据具体的验证方法,给出了平台的自选择空间,特别是没有其他的“先检查”在线验证“的方法。
电子合同订立系统:自建或外包?
423草案首次提到“电子合同订立制度”,该制度允许自行建设,也可以外包,但显然“电子合同订立系统应独立于平台”。在定义条款中,电子合同订立系统被定义为“电子合同订立系统是指具有身份认证、协商、合同电子签字、合同储存和转让功能的信息系统,以实现电子合同的在线缔结和处理”。423协商草案要求采用“电子合同订立系统”,其用途如下:
1. 独立于平台
二.三级及以上级保护认证
3. 公有云部署情形下,云服务应通过工信部可信云服务认证
4.服务提供商应具有ISO27001认证
5.第三方电子合同订立系统应使用OV或EV SSL网站认证证书等手段识别网站的真实性,有效保护交易信息的安全性。
6. 业务持续性保障,具体包括“A级数据中心机房”“灾备系统设施匹配度”“灾难恢复能力第五级要求”“7*24小时服务”以及“全年服务可用率99.95%及以上”等指标要求
7.数据传输安全(使用数据加密技术)
8.第三方电子合同终止或转让服务前90天前的义务
9.电子合同数据迁移计划和对第三方电子合同订立系统服务提供商的技术支持
10. 平台自建系统的定期等保测评以及第三方系统的定期检查公示
11.强调了数据安全和隐私保护,并提出了“加密存储”、“授权访问控制功能”和“用户操作日志的完整记录”等要求。
根据上述要求,它将对当前在线贷款行业的电子合同的签订和存储产生很大的影响。,行业实践逐渐演变为“电子签名存储”并行外包的大趋势,因此大多数从业人员属于“使用第三方电子合同订立系统”,但由于考虑到“数据安全和巨大的商业价值”,,一些平台,特别是技术能力较强的大型平台,仍有建设自己的“电子合同订立系统”的需求。423征求意见草案为这些要求提供了规范性和指导性的支持。
如何选择合适的第三方存储服务?
423征求意见稿明确电子合同的存储与备份主体应当为“第三方存储服务商”,5年的保存期限与824网贷新规规定保持一致。423征求意见稿对“第三方电子合同存储系统”及其使用提出要求如下:
1、密码算法应得到国家密码授权机构的批准,密码模块/产品应具备商用密码产品型号的资格证书。
2. 三级及以上级别等级保护认证
3.在公共云部署方面,云服务应由工业和信息技术部受信任的云服务认证
4. 服务商应具备ISO 27001认证
5. 应使用OV或EV SSL网站认证证书等手段标识网站的真实性,并有效保护交易信息的安全
6. 业务持续性保障,具体包括“A级数据中心机房”“灾备系统设施匹配度”“灾难恢复能力第五级要求”“7*24小时服务”以及“全年服务可用率99.95%及以上”等指标要求
7. 数据传输安全性(数据加密技术的使用)
8.第三方储存服务提供者在终止或转让服务前提前90天通知的义务
9.电子合同数据迁移计划和对第三方存储服务提供商的技术支持
10.第三方存储系统的定期评估和认证及结果披露
11. 重点强调数据安全与隐私保护,提出“加密储存”“用户操作日志完整记录”等要求
423草案中有关终止和转移服务的相应规定回应了“储存期”问题,这一问题曾经被忽视,但在业界的实践中相当重要。例如,有些服务提供者协议实际上每年签署一次,但储存服务不收费,只按使用次数收取电子签字费用,合同期满或一年内不续签,势必面临存储数据迁移的问题,而平台顶部则是“条例规定的”贷款期限届满后至少5年保存“的要求”(尽管“条例”没有具体规定五年保存期应保存在保存机构。然而,在实践中,它更倾向于由保存机构保存,而423份招标草案在7.1中明确指出,“电子合同应由电子合同的第三方存储服务提供商储存和支持”,这可能导致在保存证书业务的合作下出现“甲方条款”和“平台强制续订”问题。因此,第三方电子合同订立系统服务提供商终止或转让服务前的“提前90天通知”义务,以及第三方电子合同订立系统服务提供商提出的电子合同数据迁移方案和技术支持要求,都是有意义的。
哪些材料将作“呈堂证供”?
423征求意见稿首提“司法举证”问题,明确了平台、第三方电子合同订立系统服务商、电子合同第三方存储服务商的协助举证义务,并列明了八类证据证明,包括:电子合同及交易记录、鉴定报告、数字证书验证报告、电子签名人控制电子签名的证据、解密密钥解密原文以及其他证据。
总体而言,423份草案是业界首次尝试规范网上贷款行业的电子合同。它对平台、合同订立系统服务提供商和合同存储服务提供商提出了自己的规范要求,并在业务层面对“证书服务机构”进行了“合同电签名”和“合同存储”的划分,这在实践中是众所周知的。并提出了不同的要求(虽然许多要求和指标是相似的,甚至是相同的)。就证书市场上的机构而言,有必要重新审视它们的“核心竞争力”,技术能力强的平台可以依靠技术团队自建的电子签名系统(自建系统直接连接认证源)。
电子合同的法律有效性和在线贷款行业的合同存储安全主题直接催生了"存款和凭证子服务市场"在在线贷款行业中的广泛应用。然而,与"网上贷款基金银行存款和管理"网络安全等级评估"从业者的心态主要是"在423条草案中的“"这些服务背后的数据安全从来没有被考虑过。用户信息的保密性,甚至是司法证明的问题。从这一观点来看,""以及"警告”比较明显,无论是在线贷款行业本身还是存管市场的参与组织,都应记住网络安全中没有小问题,用户的真实保护了该方。
该观点仅代表个人意见,与提交人的单位无关。如果您需要上传,请与作者联系以获得授权。