傳了許久的網貸新規終于落地了。8月24日，銀監會、工業和信息化部、公安部、國家互聯網信息辦公室四部委聯合發布《網絡借貸信息中介機構業務活動管理暫行辦法》（以下簡稱“新規”）。一時間，各方都對新規做出了種種解讀。從借款上限、信息披露、資金存管等條文來看，監管層對P2P的管理核心還是放在安全二字之上，逐步變得安全、正規、合法將成為P2P平臺的唯一出路。在過去，一提到P2P平臺的安全，公眾往往首先想到的是“借款方到期能否還款？平臺會不會跑路？”等問題，卻較少考慮到平臺的系統安全，如網絡身份認證、數據存儲、信息技術風險等。實際上，不僅是公眾，P2P運營者也可能忽視這些問題。而此次新規對P2P平臺的系統安全作出了比以往更為詳細也更為嚴格的規范。那么，為了落實新規要求，P2P平臺應在哪些方面有所加強，補上哪些系統安全課呢？

身份認證與數字簽名

本次新規第十一條、二十二條分別規定：參與網絡借貸的出借人與借款人應當為網絡借貸信息中介機構核實的實名注冊用戶。各方參與網絡借貸信息中介機構業務活動，需要對出借人與借款人的基本信息和交易信息等使用電子簽名、電子認證時，應當遵守法律法規的規定，保障數據的真實性、完整性及電子簽名、電子認證的法律效力。

這兩條可以簡單概括為，使用數字證書驗證借貸各方的身份，并使用電子簽名保障電子合同等交易文檔、數據符合《電子簽名法》，具備法律效力。目前，比較正規的P2P平臺都已經或計劃建設身份認證和數字簽名系統，也就是通過搭建RA（數字證書注冊審批系統）來獲得CA（數字證書認證中心）的數字證書頒發權，為平臺的用戶頒發數字證書，同時再將數字證書與電子印章軟件相結合，實現電子合同的數字簽名。目前，數字身份認證和數字簽名在P2P行業已經獲得了一定的普及，但在新規之下，P2P平臺在此方面仍有需要加強的地方，主要表現在：

此次新規明確表示網絡借貸金額應當以小額為主，并劃定了借款余額上限。所以在未來，P2P的業務將更多的偏向普惠金融、消費金融，也就意味著要面向數量更多也更為大眾的借款人，承擔更多身份核實、資信評估的任務。所以單一的數字認證方式已難以滿足需求，有必要借助多因素認證、統一身份認證平臺等強認證模式來確保用戶身份的真實性。

信息系統風控與認證

新規在第十八、三十一條對P2P信息系統的風險管理作出了詳細要求，可以歸納為：P2P平臺應當按照國家網絡安全相關規定和國家信息安全等級保護制度的要求，開展信息系統定級備案和等級測試，具有完善的防火墻、入侵檢測、數據加密以及災難恢復等網絡安全設施和管理制度，每兩年至少開展一次全面的安全評估，接受國家或行業主管部門的信息安全檢查和審計，并且應當聘請有資質的信息安全測評認證機構定期對信息安全實施測評認證，并由第三方機構對信息系統穩健情況進行評估。

對此，第三方認證機構CFCA中國金融認證中心下屬信息安全實驗室負責人表示，此次新規對P2P的信息系統風控提出了較高的要求，P2P平臺需要為此做出大量工作。例如，國家信息安全等級保護基本安全要求分為技術要求和管理要求兩大類，涵蓋了物理（機房）、網絡、主機、應用、數據安全、安全管理制度、安全管理機構、人員、系統建設、系統運維十個方面的內容。對于信息系統安全基礎比較薄弱的P2P平臺來說，達到要求并通過測評并不容易。

圖注：等級保護測評工作內容

該負責人還表示，為了更高效的落實監管要求，P2P平臺可以先對自身的信息安全狀況摸底，找到問題，再逐一解決。為此，P2P可以開展信息安全風險評估、滲透測試等工作。信息安全風險評估是構建信息安全保障體系的重要手段，第三方機構遵循相關技術規范，通過分析P2P的信息系統，評估其面臨的安全威脅及應對安全風險的能力，幫助P2P采取或完善安全保障措施，有效控制安全風險。滲透測試則是完全模擬黑客可能使用的攻擊技術和漏洞發現技術，對P2P信息系統的安全作深入的探測，發現系統最脆弱的環節。滲透測試能夠直觀的讓管理人員認清系統所面臨的問題，改善系統安全狀況。

數據的合法使用及安全存管

在新規的第九、十八、二十一、二十三、二十七條的要求可歸納如下：P2P平臺要履行反洗錢和反恐怖融資義務，記錄并妥善保存、備份網絡借貸業務活動數據和資料，如借貸雙方上網日志信息、信息交互內容等，其中借貸合同到期后應當至少保存５年。同時確保出借人與借款人信息采集、處理及使用的合法性和安全性。

為了履行反洗錢義務，P2P需要加強可疑的客戶身份、交易記錄的識別能力，應當加強與擁有金融信用信息大數據的第三方機構的合作。通過具有行政機關授權的通道驗證用戶提交資料的真實性，通過第三方機構依法查詢和使用各類征信數據，對用戶畫像進行準確評估，通過公共權力機關發布的失信、詐騙、涉嫌詐騙等數據規避高風險用戶。在數據存管方面，考慮到部分P2P平臺的存活年限較短及數據災備體系的極不完善，P2P可委托類似“安心簽”這樣的專業在線合同平臺將合同存儲5年或以上，合同以外的交易記錄則可由證據存管系統代為存儲。

對于新規中強調的合法、安全使用“出借人與借款人信息”，CFCA數據業務負責人認為，這里合法的有兩個層面：第一是信息合法，指獲取途徑合法，只有使用正規渠道授權的數據才能確保信息的正確、有效；第二，只有經過出借人、借款人明確授權的個人數據，拿來用作認證、存儲、分析才是合法使用。“安全性”則指通過有效安全防護措施保護“出借人與借款人”的個人信息不被竊取。

小結

在過去，P2P平臺更多的關注用戶量的增長而忽視了安全，這也導致行業在經歷“野蠻”增長后暴露出大量問題，進而促使監管層出臺越來越嚴格的管理辦法。此次新規提出了大量與系統安全相關的新規范，而多數P2P除了在身份認證和數字簽名方面做了一些工作外，其他方面幾乎還是空白，要補的課還很多，全面落實規范的難度較大。但好在新規給出了12個月的整改時間，對于致力于在業內長期發展的平臺來說，可以充分利用這一年的時間來落實規范。希望P2P平臺能以系統安全為基礎，逐步降低行業的金融風險，更好的服務于廣大投資者，回歸普惠金融的本質。

延伸閱讀：

銀監會官網《網絡借貸信息中介機構業務活動管理暫行辦法》全文

來源：中國電子銀行網

免責聲明：文章為作者獨立觀點，授權野馬財經發表，不代表野馬財經立場。