2018年04月23日,中国互联网金融协会下发关于《互联网金融个体网络借贷电子合同安全规范》团体标准征求意见的通知(下称“通知”),意见征求截至2018年05月18日。通知包含三个附件,分别为《互联网金融个体网络借贷电子合同安全规范》(征求意见稿)(下称“423征求意见稿”)、《互联网金融个体网络借贷电子合同安全规范》(征求意见稿)编制说明(下称“编制说明”)以及《中国互联网金融协会团体标准征求意见回执单》。
423征求意见稿正文共计八条,具体包括:范围、规范性引用文件、术语与定义、缩略语、电子签名合法性要求、电子合同订立、电子合同存储、司法举证要求,相关要点内容梳理、总结如下:
“存而不签”如何自处?
423征求意见稿的“引言”部分即明确“网络借贷信息中介机构需使用可靠的电子签名,订立后的电子合同应委托电子合同第三方存储服务商进行存储”,以“保证电子合同在线订立的安全性和合法性”。网贷行业实践中,应地方整改验收要求,从业机构多已实现“电子合同第三方存证”,但在“是否必须使用电子签名签署电子合同”问题上,一直未有定论。无论是824网贷新规抑或以上海整改验收168条为代表的地方监管要求,都未对“电子签名”使用问题进行强制要求,因而相关规范措辞表现为“需要对出借人与借款人的基本信息和交易信息等使用电子签名、电子认证时,应当遵守法律法规的规定,保障数据的真实性、完整性及电子签名、电子认证的法律效力”或“对出借人与借款人的基本信息及交易信息使用电子签名、电子认证时未按照有关法律法规执行”。撇开之后正式稿《互联网金融个体网络借贷电子合同安全规范》的适用对象及规范效力问题不谈,如网贷从业机构遵照执行,“存而不签”问题将面临整改。
适用范围与规制对象几何?
423征求意见稿表述为“适用于指导从业机构开展网络借贷信息中介业务活动时使用电子签名技术对电子合同进行在线订立,并将订立后的电子合同进行第三方存储,进一步满足互联网金融个体网络借贷行业安全性及合法合规性要求。”虽言“指导”,但从此前中国互金协会网贷资金存管系统/业务规范及对应的“白名单”测评来看,《互联网金融个体网络借贷电子合同安全规范》大概率会在业内推而循之。
耳熟能详的术语和缩略语
423征求意见稿定义了十二个术语,耳熟能详名词的包括“电子合同”“电子认证”“数字证书”“时间戳”“可信时间”等。同时列出了五个英文缩略语,包括PKI(公钥基础设施)、APP(应用程序)、OV(组织机构认证)、EV(扩展认证)以及SSL(安全套接层)。
什么是可靠的电子签名系统?
423征求意见稿明确提出“可靠电子签名体系”,“数字证书标识电子签名人真实身份”“获颁《电子认证服务许可证》的第三方电子认证服务机构”“三级及以上等保”成为“可靠电子签名体系”的重要要素。
扩张的电子合同查/载渠道?
423征求意见稿6.1款提出“从业机构应提供渠道供借款人和出借人查看、下载已订立的电子合同。服务渠道包括但不限于网站、移动APP应用、社交媒体公众号或服务号等”。“包括但不限于”的表达似有不妥,结合业务实践,与信息披露工作类似,电子合同的查看、下载渠道,应当限于“实际从事网贷业务”的展业渠道,通常为网站或APP,诸如微博账号、微信订阅号以及仅用于品牌宣传的官网,难有类似功能。
前置的实名核验要求
423征求意见稿提出实名核验的“三性”核验要求,即有效证件真实性、一致性、意愿真实性,且实名核验将作为数字证书申请之前提。但就具体核验方式,给予了平台自选空间,具体来讲,亦无外乎“先下核验”“线上核验”等方式。
电子合同订立系统:自建或外包?
423征求意见稿首提“电子合同订立系统”,允许自建,亦可外包,但明确“电子合同订立系统应独立于平台”。在定义条款中,电子合同订立系统被界定为“电子合同订立系统是指具备缔约人身份认证、谈判磋商、合同电子签名、合同存储与调用等功能以实现在线订立电子合同及处理的信息系统。”423征求意见稿对“电子合同订立系统”及其使用提出要求如下:
1. 独立于平台
2. 三级及以上级别等级保护认证
3. 公有云部署情形下,云服务应通过工信部可信云服务认证
4. 服务商应具备ISO 27001认证
5. 第三方电子合同订立系统应使用OV或EV SSL网站认证证书等手段标识网站的真实性,并有效保护交易信息的安全
6. 业务持续性保障,具体包括“A级数据中心机房”“灾备系统设施匹配度”“灾难恢复能力第五级要求”“7*24小时服务”以及“全年服务可用率99.95%及以上”等指标要求
7. 数据传输安全性(数据加密技术的使用)
8. 第三方电子合同订立系统服务商终止或转移服务前的“提前九十日告知”义务
9. 第三方电子合同订立系统服务商的电子合同数据迁移方案及技术支持
10. 平台自建系统的定期等保测评以及第三方系统的定期检查公示
11. 重点强调数据安全与隐私保护,提出“加密储存”“授权访问控制功能”“用户操作日志完整记录”等要求
就以上要求,将对现行网贷行业电子合同签署及存储实操造成较大影响。鉴于部分地区地方监管规范(征求意见稿)提出了“第三方存证”要求,行业实践已经逐步演变为大趋势的“电签+ 存储”并行外包现状,因而从业机构多属于“使用第三方电子合同订立系统”,但出于“数据安全及商业价值巨大”之考量,以及“监管并未要求电签必须外包”的现实,部分平台,尤其是技术能力较强的大平台,仍有自建“电子合同订立系统”的诉求,423征求意见稿即为该等诉求提供了规范、指引层面的支撑。
如何挑选适格的第三方存储服务商?
423征求意见稿明确电子合同的存储与备份主体应当为“第三方存储服务商”,5年的保存期限与824网贷新规规定保持一致。423征求意见稿对“第三方电子合同存储系统”及其使用提出要求如下:
1. 密码算法应是国家密码主管部门认可的算法,且密码模块/产品应具有商用密码产品型号资质证书
2. 三级及以上级别等级保护认证
3. 公有云部署情形下,云服务应通过工信部可信云服务认证
4. 服务商应具备ISO 27001认证
5. 应使用OV或EV SSL网站认证证书等手段标识网站的真实性,并有效保护交易信息的安全
6. 业务持续性保障,具体包括“A级数据中心机房”“灾备系统设施匹配度”“灾难恢复能力第五级要求”“7*24小时服务”以及“全年服务可用率99.95%及以上”等指标要求
7. 数据传输安全性(数据加密技术的使用)
8. 第三方存储服务商终止或转移服务前的“提前九十日告知”义务
9. 第三方存储服务商的电子合同数据迁移方案及技术支持
10. 第三方存储系统的定期测评认证与结果披露
11. 重点强调数据安全与隐私保护,提出“加密储存”“用户操作日志完整记录”等要求
423征求意见稿关于终止、转移服务的对应规范,一定程度上响应了行业实践中一度被忽视但又颇为重要的“存储期限”问题。例如,实践中的部分服务商协议按年签署,但存储服务不计费,仅电子签名按使用次数计费,一年到期不续约,必然面临已存数据的迁移问题,而压在平台头上的却是法规要求的“借款期限到期后保存至少5年要求”(虽然法规没有明确5年保存期限内均需要保存在存证机构处,但实践中比较倾向于由存证机构进行保存,且423征求意见稿已经在7.1款明确提出“电子合同应通过电子合同第三方存储服务商进行存储与备份”要求),由此可能导致存证业务合作中的“甲方条款”及“平台被迫续约”问题。因此,第三方电子合同订立系统服务商终止或转移服务前的“提前九十日告知”义务以及对第三方电子合同订立系统服务商提出的的电子合同数据迁移方案及技术支持要求,实属应有之义。
哪些材料将作“呈堂证供”?
423征求意见稿首提“司法举证”问题,明确了平台、第三方电子合同订立系统服务商、电子合同第三方存储服务商的协助举证义务,并列明了八类证据证明,包括:电子合同及交易记录、鉴定报告、数字证书验证报告、电子签名人控制电子签名的证据、解密密钥解密原文以及其他证据。
总体而言,423征求意见稿系业内首次针对网贷行业而作的电子合同规范尝试,对平台、合同订立系统服务商、合同存储服务商提出了各自的规范要求,也“科普式”地对实践中为大家所熟知的“存证服务机构”在业务层面做了“合同电签”和“合同存储”划分,并提出了不同的要求(虽然很多要求和指标类似甚至相同)。对存证市场的从业机构而言,需要重新开始审视自身的“核心竞争力何在”,技术能力强的大平台也完全可以依托于技术团队自建电签系统(自建系统直接对接认证源头)。
网贷行业的电子合同合法有效性以及合同存储安全性话题,直接催生了“存证分服务市场”在网贷行业的广泛应用,但与“网贷资金银行存管”“网络安全等级测评”相比,一度略显“边缘化”状态,从业机构的心态多半属于“花钱即可”,从未考量过该等服务背后的数据安全、用户信息保密乃至司法举证问题。从这个角度来看,423征求意见稿的“科普”与“警示”意义更彰显出价值,无论是网贷行业自身,还是存证市场的各路参与机构,应谨记:网络安全无小事,用户保护方真理。
责任编辑:陈爱
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。