网络借贷平台合规整改及备案指引解读（十八）

自《上海网络借贷信息中介机构合规审核与整改验收工作指引表》168条出台以来，相信对于很多人来说还是不能够完全理解，上海璟祐律师事务所就针对这168条来逐项解读，此次我们继续来解读“违反禁止性规定”中的“信息安全保障”。

法定义务及风险管理要求

信息安全保障：“违反信息安全保证相关管理要求”问题主要指向《824网贷管理办法》第十八条，即“信息安全保障”，具体可能涉及如下情形：

1.未聘请有资质的专业机构对本机构进行信息安全等级保护测评，或者未申请并通过公安机关网络安全部门的信息系统安全审核

2.未建立完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度

3.未建立信息科技管理、科技风险管理和科技审计有关制度

4.未记录并留存借贷双方上网日志信息、信息交互内容等数据，或留存期限少于自借贷合同到期起5年

5.未能每两年至少开展一次全面的信息安全评估，或者未接受国家及行业主管部门的信息安全检查和审计

6.未能在成立两年之内建立或使用与自身业务规模相匹配的应用级灾备系统设施

7.其他有关问题

针对上述待整改情形，，网贷机构应在备案登记前限期整改。除兜底的“其他有关问题”外，“信息安全保障”的要求内容基本为《824网贷管理办法》第十八条的“复制版”，提出了：

（1）专业机构信息安全等级保护测评；

（2）公安机关网络安全部门信息系统安全审核；

（3）建立一系列网络安全设施和管理制度；

（4）建立信息科技管理、科技风险管理和科技审计有关制度；

（5）平台数据自借贷合同到期后至少保存五年；

（6）两年一次全面的信息安全评估；

（7）接受行业主管部门的信息安全检查和审计；

（8）两年内建立匹配的应用级灾备系统设设施等要求。

针对前述关于信息安全保障方面的要求，建议平台寻求专业机构的协助并逐项落实。就“信息安全等级保护测评专业机构”而言，国内网络安全分为五个等级，第二级以上信息系统应当在安全保护等级确定或者新建投入运营后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。以上海地区网贷机构为例：

第一，“建立健全安全保护管理制度”。上海市要求企业有三级架构设置：（1）需要有专门负责的副总；(2)需要有IT部门及部门负责人；(3)需要有具体人员负责管理、培训、应急演练，并配合公安协查。

第二，定级备案流程。(1)确定等级；(2)选择测评机构开展测评，三级测评一年一测，二级两年一测，测评机构上海有4家，建议上海本地机构与上海机构合作，否则异地测评需要两地主管部门批准；(3)根据测评结果开展整改直至合格；(4)向公安机关申请备案证明。

第三，测评机构责任。测评机构需对测评结果负责，在与测评机构签订服务合同时，合同中需要约定测评机构对测评结果负责的相关条款。

第四，网贷机构向公安机关申请时需提交如下材料：(1)《信息系统安级保护备案表》；(2)系统拓扑结构及说明；(3)系统安全组织机构和管理制度；(4)系统安全保护设施设计实施方案或者改建实施方案；(5)系统使用的信息安全产品清单及其认证、销售许可证明；(6)测评后复核系统安全保护等级的技术检测评估报告。

第五，网贷机构的“信息系统安全审核回执”由网安总队办理，权限不下放，分局只能受理，不能办理。关于网贷机构《信息系统安全审核回执》，总队目前内部有“草拟稿”的规范要求，涉及四部分内容(网安法相关规定、国家信息安全等级保护制度、各项信息安全保护管理制度以及各项安全技术措施等)，后续将依照执行。

第六，网贷机构每年5月前提交上年度“信息安全等级测评报告”，每年需要提交测评报告，但实际中，测评机构在出具测评报告前会先行征求公安意见。

第七，上海市推荐等保测评机构名单如下：

标签：