最有看点的互联网金融门户

最有看点的互联网金融门户
国内资讯监管与政策

解读:P2P平台电子合同怎样委托第三方存储才合规?

本文共4951字,预计阅读时间158

4月23日,中国互联网金融协会(以下简称“互金协会”)发布《互联网金融个体网络借贷电子合同安全规范》团体标准征求意见稿(以下简称《征求意见稿》),其中要求,订立后的电子合同应委托第三方存储服务商进行存储。

《征求意见稿》共分为8章,规定了电子合同在线订立、第三方存储及司法举证中使用电子签名技术的各项安全要求。

电子合同订立条件,需要涉及到实名核验、数字证书申请、密码算法及密码产品要求、电子签名制作数据使用方式、时间戳要求、电子合同订立系统要求和电子签名验证。

《征求意见稿》要求,网贷中介平台应使用可靠的电子签名订立电子合同,订立后的电子合同应委托第三方存储服务商进行存储,电子合同存储要求主要包括:密码算法及密码产品要求、资质要求、真实身份标识、业务持续性保障、通讯安全、终止或转移服务、安全评估与监管、数据安全和安全管理等要求。

自2015年开始,个体网络借贷行业呈现爆发性增长,行业问题层出不穷,风险问题集中爆发。

互金协会表示,《互联网金融个体网络借贷电子合同安全规范》提供了互联网金融网络借贷信息中介从业机构在开展网络借贷信息中介业务活动中,当事人在中华人民共和国境内通过互联网在线订立电子合同时采用可靠的电子签名,保证订立后的电子合同满足防篡改、抗抵赖性等各项安全要求,以提高通过此种方式订立的电子合同的安全性和证据效力。

目前规范还处于面向相关单位征求意见的阶段,小编对其内容进行适当的解读,帮助大家进一步了解和理解规范。

一、电子合同订立系统和电子数据存证系统分离

解读:从整理框架结构上看,本规范规定提供电子签名技术服务的第三方,需要将电子合同订立系统和电子数据存证系统分离运营,两套系统需要符合不同的技术、流程和资质的要求。

电子合同订立系统主要包含电子合同的订立过程节点、电子签名、合同存储和调用;电子合同存储系统是独立于电子合同缔约各方,提供电子合同信息保存的服务机构,能够为电子合同提供更多信息的真实性的证明。

除此之外,对电子合同存储服务提供商的服务资质、技术保障能力和管理有更严格的要求。

二、电子认证和电子签名监管不同,细分明确

电子签名人是创建可靠电子签名的实体,可以是自然人或单位机构授权的代表人。对电子签名人身份的正确标识是可靠电子签名的根本。

解读:根据本规范的第3.4、3.5、3.8、5和6.5条规定,电子认证是指基于PKI的数字签名认证技术,通过PKI的数字签名认证技术,可以实现为网络用户颁发数字证书。

而电子签名是电子合同订立系统中采用密码模块或密码产品为网络用户实现符合《电子签名法》中关于可靠电子签名要求,完成基于PKI的数字签名认证技术上的签名应用技术。

因此针对电子认证和电子签名的监管的资质会有不同,电子认证机构应当取得工信部颁发的《电子认证服务许可证》,电子签名应当具有国家密码管理局颁发的商用秘密产品型号资质证书。

三、网络用户身份核验要求更严格

借款人、出借人登录平台,应提交真实、完整和准确的个人或企业身份信息,平台应对平台上产生投融资活动的借款人、出借人的身份信息进行审核,只有实名核验通过的个人或企业,才能在平台进行投融资活动。

实名核验包含对借款人和出借人提供的有效证件真实性、一致性、意愿真实性三方面进行核验。平台可根据平台自身的风控制度自主选择实名核验的方式。

解读:规定必须通过实名核验的主体才能在互金平台上进行投融资活动,并且明确界定了进行投融资活动的借款人、出借人实名核验的三要素:真实性、一致性、意愿真实性。

在实际的业务开展过程中的确有不少平台在实名核验实施方面比较宽松,比较多见仅完成真实性、一致性的校验,而意愿真实性往往会被忽略。

本规范特别强调了意愿真实性,意在对现有的不规范操作进行约束,相信可以起到较好的规范作用,降低基于电子合同的投融资活动后期纠纷解决的难度。

平台在对个人进行实名核验时可采用的方式包含以下几种:

a) 线下核验:包括对个人有效证件的现场审核,个人生物特征信息的采集及比对核验,进行人证合一的确认;

b) 线上核验:核验信息包括姓名、身份证号码或身份证网证、手机号码或银行卡号(至少包括姓名、身份证号码和身份证网证中的一种),应利用政府权威部门的数据库或取得政府权威部门授权或认可的数据库等,并采用生物特征识别技术或其他安全有效的技术手段进行人证合一的确认;也可通过电子认证服务机构颁发的数字证书进行实名核验;

c) 其他经过认可的,可保证个人有效证件真实性、一致性及意愿真实性的实名核验方式;

解读:实名认证的内容不仅局限在认定、核定线下用户和线上用户的信息的真实性的核验,还有线下用户的真实意愿性进行核验。因为现行的实名认证的方式有很多种,本规范,通过明确实名认证的种类,让网络借贷平台跟进平台自身的风控制度自主选择相关实名核验的方式来进行网络身份和线下身份一致性的风险防控。

根据规范,个人实名核验支持的实名认证方式包括线下、线上、数字证书及其他方式,其中线上核验的方式不仅包含基础信息比对,还需要同时做生物特征识别技术或其他安全有效的技术手段核验线下用户和线上用户的身份。企业实名认证核验方式包括线下、线上、数字证书及其他方式,企业实名认证的线上方式需要将核对企业核心隐私数据来确定企业的真实意愿。

同时通过规范的规定,数字证书也是用来核验线下用户和线上用户身份真实性的一种独立的方式,这不仅是法律的规定,也是数字证书证明用户网络身份的一种非常终于的身份标识。

四、对电子合同订立系统要求更精细和严格

依据规范第6.4-6.8是对电子合同订立系统整体从密码算法、系统部署、系统要求、系统需要符合的安全性的评估、监管有明细的规定,为实际的业务提供了规范性的参考,也为网络借贷机构选择电子合同订立系统的技术服务提供商有了选择的评价依据。

为了确保电子合同订立系统的稳定性,本规定对资质的规定,还穿透到电子合同订立系统的云服务采购商,为电子合同订立系统提供云计算服务的云平台,需要具有工信部的可信云服务认证。

电子合同订立系统所涉及的密码算法可包括但不限于:杂凑算法、非对称密码算法、对称密码算法等,所有算法应是国家密码主管部门认可的算法。

电子合同订立系统采用的密码模块或密码产品应具有国家密码管理局颁发的商用密码产品型号资质证书。

解读:电子合同订立系统采用的密码模块或密码产品必须具有型号资质证书。这对从业者提出了较高的要求,对规范行业,筛选有实力有经验的厂商是有非常好的帮助。

电子合同采用的可信时间戳应满足如下要求:

a) 从业机构或其合作的第三方电子合同订立系统服务商应确保合同具备可信时间戳要素,满足防篡改要求; 

b) 时间戳要求应满足GB/T 20520-2006中规定的要求。

解读:强调可信时间戳要素,可信是指时间源的可信,以及时间源固化入电子签名数据的可信两个层面。

五、电子合同订立系统终止服务后 服务延续性的规定

从业机构使用第三方电子合同订立系统的,应与其服务商约定履如下义务:

a)第三方电子合同订立系统服务商不能继续提供服务时,应当在终止或转移服务九十日前以书面形式告知从业机构; 

b)第三方电子合同订立系统服务商应向从业机构提供双方认可的电子合同数据迁移方案并提供技术支持,保证从业机构电子合同数据迁移过程的机密性、完整性、可用性。

解读:为了确保电子合同订立系统的服务延续性,电子合同订立系统在不能继续提供服务时,要提前90日的告知义务,数据迁移方案的技术支持及相关监管机构备案等合规工作,确保从业机构业务的稳定性和延续性,从而保护从业机构网络用户的信息安全。

六、明确电子合同订立系统的数据安全范围

依据规范第6.7.7、6.7.8规定,数据安全不仅仅是技术层面,通过加密存储、访问控制、数据备份对数据进行保护,还对电子合同订立系统服务商自身的资质、安全管理制度、信息保护制度等制度层面,确保电子合同信息的数据安全。

七、明确从业机构提供电子合同订立系统相关服务

依据规范第6.10规定,从业机构采用了电子合同订立系统进行电子合同签订,应当将电子合同订立系统提供的服务作为从业机构自己的服务的一部分,比如为从业机构的用户提供电子签名的验证,自身需要有真实身份表示,留存网络用户的合同记录,留存期限为自合同到期日5年、需要定期进行信息安全实施测评等。

八、明确电子合同存储服务要求

电子合同存储服务作为独立于从业机构,及电子合同订立系统之外的独立的系统,在规范中作为一整章的部分进行规定。

关于电子合同的存储期限,从6.10和7.1条的规定可以看出,如果从业机构选择第三方电子合同存储服务的,电子合同存储服务系统需要确保电子合同的保存期限应自合同到期日起5年。

电子合同与纸质合同的区别,不仅是签章的区别,在合同的保存,保管方式也是有其电子化的特性的,一旦电子合同灭失将很难获得,因此,对电子合同存储期限进行限制,不仅有利于电子合同的查看、下载,也有利于电子合同签约方的后期举证的需要。

电子合同第三方存储系统所涉及的密码算法可包括但不限于:杂凑算法、非对称密码算法、对称密码算法等,所有算法应是国家密码主管部门认可的算法。

电子合同第三方存储系统采用的密码模块或密码产品应具有国家密码管理局颁发的商用密码产品型号资质证书。

解读:电子合同第三方存储系统需要采用密码算法对电子合同数据、电子合同的过程数据进行加密,确保数据的安全,数据传输的安全,因此,密码算法、密码产品应当符合密码监管部门国家密码管理局的规定。

数字签名技术是基于非对称密码学的一个密码产品,不仅可以用来签署合同,还可以用来对电子合同,过程数据进行固定确权,因此如果电子合同存储系统中需要使用数字签名技术的,是需要具有国家密码管理局颁发的商用密码产品型号资质证书。

电子合同第三方存储系统应具备公安部信息安全等级保护三级或者更高级别认证。

电子合同第三方存储系统部署在公有云时,云服务应通过工业和信息化部的可信云服务认证。

电子合同第三方存储服务商应具备ISO 27001认证。

解读:电子合同第三方存储系统需要具有系统安全的资质,同时规范还将资质的要求穿透到了电子合同第三方存储系统的公有云的云计算的服务提供商,明确,为电子合同第三方存储系统的云计算服务提供商,需要具有工信部的可信云服务认证。

除此之外,电子第三方存储系统的服务商本身,需要具有ISO27001的认证。因此从服务商到系统,到云服务的提供商,三个方面,确保电子合同存储服务系统能为网络借贷行业电子合同存储的安全性和合法性。

九、司法举证要求

传统纸质的签署,转换成电子合同的签署,不仅是签署模式,存储模式的变更,也是司法审判模式的变革,基于电子合同的在司法举证中会有不同的认定,尤其是网络借贷是在诉讼中会有很多争议产生,本安全规范,通过简短的条文对司法举证进行了指引性的规定:

(1)明确提供技术服务的服务商,有协助举证方进行举证的义务;

(2)确定互联网金融个体网络借贷行业的证据目录应包括电子合同、资金流水,以及平台账户信息及操作信息,以及从业机构履行安全和告知义务。

(3)确定第三方电子合同订立系统服务商和第三方存储服务商可以与仲裁或司法鉴定机构合作对接,实现更快捷的判决和出证;

(4)明确数字证书的验证责任应该为电子认证服务机构提供;

(5)电子签名委托他人实施签名行为是,需要提供电子签名制作数据由电子签名人控制的证据。

(6)通过国际级行业自律组织的进行解密,来对电子合同的证明力有更高的效力。

十、电子合同平台应具有商用密码产品型号许可证

规范6.4提到,“电子合同订立系统采用的密码模块或密码产品应具有国家密码管理局颁发的商用密码产品型号资质证书”。

用微信扫描可以分享至好友和朋友圈

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。

发表评论

发表评论

您的评论提交后会进行审核,审核通过的留言会展示在下方留言区域,请耐心等待。

评论

您的个人信息不会被公开,请放心填写! 标记为的是必填项

取消

P2P的“小而美”只是一场梦?

陈文 6小时前

资金出借人加速出逃,P2P如何断臂求生?

苏宁金融研究院 | 苏宁金融研... 9小时前

[未央研究]本周互联网金融回顾 | 2018年第45周

未央研究 11-16

1个亿以下的P2P平台,会被清退吗?

肖飒 | 大成律师事... 11-16

11月15日P2P风险舆情:小金库、银票网、石头理财等16家平台有新进展

零壹财经 | 零壹财经 11-16

版权所有 © 清华大学五道口金融学院互联网金融实验室 | 京ICP备17044750号-1