和为法务:《网贷电子合同安全规范》征求意见稿的解读

2018-06-07 14:15:33 12

中国互联网金融协会于今年4月23号发布通知,关于《互联网金融 个体网络借贷 电子合同安全规范》(下文简称“规范”)的团体标准向相关会员单位征求意见。据悉规范经历立项审评和起草工作组讨论起草阶段,当前团体标准征求意见稿已形成。


此外协会还同步发布3个附件,并在附件二《〈互联网金融 个体网络借贷 电子合同安全规范〉编制说明》中对规范的背景及历史意义进行注明。协会邀请了多家互金机构成立规范起草工作组,对规范草案稿和编制说明依照国家标准进行修订完善形成征求意见稿。



当前规范尚处于面向相关单位征求意见的阶段,和为法务解读相关内容希望能帮助相关人员对规范有进一步理解。



一、电子合同订立系统和电子数据存证系统分离


(《规范》目录)


解读:从整理框架结构上看,本规范规定提供电子签名技术服务的第三方,需要将电子合同订立系统和电子数据存证系统分离运营,两套系统需要符合不同的技术、流程和资质的要求。


电子合同订立系统主要包含电子合同的订立过程节点、电子签名、合同存储和调用;电子合同存储系统是独立于电子合同缔约各方,提供电子合同信息保存的服务机构,能够为电子合同提供更多信息的真实性的证明。


除此之外,对电子合同存储服务提供商的服务资质、技术保障能力和管理有更严格的要求。


二、电子认证和电子签名监管不同 细分明确


电子签名人是创建可靠电子签名的实体,可以是自然人或单位机构授权的代表人。对电子签名人身份的正确标识是可靠电子签名的根本。


——《规范》5.1


解读:根据本规范的第3.4、3.5、3.8、5和6.5条规定,电子认证是指基于PKI的数字签名认证技术,通过PKI的数字签名认证技术,可以实现为网络用户颁发数字证书。


而电子签名是电子合同订立系统中采用密码模块或密码产品为网络用户实现符合《电子签名法》中关于可靠电子签名要求,完成基于PKI的数字签名认证技术上的签名应用技术。


因此针对电子认证和电子签名的监管的资质会有不同,电子认证机构应当取得工信部颁发的《电子认证服务许可证》,电子签名应当具有国家密码管理局颁发的商用秘密产品型号资质证书。


三、网络用户身份核验要求更严格


借款人、出借人登录平台,应提交真实、完整和准确的个人或企业身份信息,平台应对平台上产生投融资活动的借款人、出借人的身份信息进行审核,只有实名核验通过的个人或企业,才能在平台进行投融资活动。


实名核验包含对借款人和出借人提供的有效证件真实性、一致性、意愿真实性三方面进行核验。平台可根据平台自身的风控制度自主选择实名核验的方式。


——《规范》6.2.1


解读:规定必须通过实名核验的主体才能在互金平台上进行投融资活动,并且明确界定了进行投融资活动的借款人、出借人实名核验的三要素:真实性、一致性、意愿真实性。


在实际的业务开展过程中的确有不少平台在实名核验实施方面比较宽松,比较多见仅完成真实性、一致性的校验,而意愿真实性往往会被忽略。


本规范特别强调了意愿真实性,意在对现有的不规范操作进行约束,相信可以起到较好的规范作用,降低基于电子合同的投融资活动后期纠纷解决的难度。


平台在对个人进行实名核验时可采用的方式包含以下几种:


a) 线下核验:包括对个人有效证件的现场审核,个人生物特征信息的采集及比对核验,进行人证合一的确认;


b) 线上核验:核验信息包括姓名、身份证号码或身份证网证、手机号码或银行卡号(至少包括姓名、身份证号码和身份证网证中的一种),应利用政府权威部门的数据库或取得政府权威部门授权或认可的数据库等,并采用生物特征识别技术或其他安全有效的技术手段进行人证合一的确认;也可通过电子认证服务机构颁发的数字证书进行实名核验;


c) 其他经过认可的,可保证个人有效证件真实性、一致性及意愿真实性的实名核验方式


——《规范》6.2.2


解读:实名认证的内容不仅局限在认定、核定线下用户和线上用户的信息的真实性的核验,还有线下用户的真实意愿性进行核验。因为现行的实名认证的方式有很多种,本规范,通过明确实名认证的种类,让网络借贷平台跟进平台自身的风控制度自主选择相关实名核验的方式来进行网络身份和线下身份一致性的风险防控。


根据规范,个人实名核验支持的实名认证方式包括线下、线上、数字证书及其他方式,其中线上核验的方式不仅包含基础信息比对,还需要同时做生物特征识别技术或其他安全有效的技术手段核验线下用户和线上用户的身份。企业实名认证核验方式包括线下、线上、数字证书及其他方式,企业实名认证的线上方式需要将核对企业核心隐私数据来确定企业的真实意愿。


同时通过规范的规定,数字证书也是用来核验线下用户和线上用户身份真实性的一种独立的方式,这不仅是法律的规定,也是数字证书证明用户网络身份的一种非常终于的身份标识。


四、对电子合同订立系统要求更精细和严格


依据规范第6.4-6.8是对电子合同订立系统整体从密码算法、系统部署、系统要求、系统需要符合的安全性的评估、监管有明细的规定,为实际的业务提供了规范性的参考,也为网络借贷机构选择电子合同订立系统的技术服务提供商有了选择的评价依据。


为了确保电子合同订立系统的稳定性,本规定对资质的规定,还穿透到电子合同订立系统的云服务采购商,为电子合同订立系统提供云计算服务的云平台,需要具有工信部的可信云服务认证。


电子合同订立系统所涉及的密码算法可包括但不限于:杂凑算法、非对称密码算法、对称密码算法等,所有算法应是国家密码主管部门认可的算法。


电子合同订立系统采用的密码模块或密码产品应具有国家密码管理局颁发的商用密码产品型号资质证书。


——《规范》6.4


解读:电子合同订立系统采用的密码模块或密码产品必须具有型号资质证书。这对从业者提出了较高的要求,对规范行业,筛选有实力有经验的厂商是有非常好的帮助。


电子合同采用的可信时间戳应满足如下要求:


a) 从业机构或其合作的第三方电子合同订立系统服务商应确保合同具备可信时间戳要素,满足防篡改要求;


b) 时间戳要求应满足GB/T 20520-2006中规定的要求。


——《规范》6.6


解读:强调可信时间戳要素,可信是指时间源的可信,以及时间源固化入电子签名数据的可信两个层面。


五、电子合同订立系统终止服务后 服务延续性的规定


从业机构使用第三方电子合同订立系统的,应与其服务商约定履如下义务:


a)第三方电子合同订立系统服务商不能继续提供服务时,应当在终止或转移服务九十日前以书面形式告知从业机构;


b)第三方电子合同订立系统服务商应向从业机构提供双方认可的电子合同数据迁移方案并提供技术支持,保证从业机构电子合同数据迁移过程的机密性、完整性、可用性。


解读:为了确保电子合同订立系统的服务延续性,电子合同订立系统在不能继续提供服务时,要提前90日的告知义务,数据迁移方案的技术支持及相关监管机构备案等合规工作,确保从业机构业务的稳定性和延续性,从而保护从业机构网络用户的信息安全。


六、明确电子合同订立系统的数据安全范围


依据规范第6.7.7、6.7.8规定,数据安全不仅仅是技术层面,通过加密存储、访问控制、数据备份对数据进行保护,还对电子合同订立系统服务商自身的资质、安全管理制度、信息保护制度等制度层面,确保电子合同信息的数据安全。


七、明确从业机构提供电子合同订立系统相关服务


依据规范第6.10规定,从业机构采用了电子合同订立系统进行电子合同签订,应当将电子合同订立系统提供的服务作为从业机构自己的服务的一部分,比如为从业机构的用户提供电子签名的验证,自身需要有真实身份表示,留存网络用户的合同记录,留存期限为自合同到期日5年、需要定期进行信息安全实施测评等。


八、明确电子合同存储服务要求


电子合同存储服务作为独立于从业机构,及电子合同订立系统之外的独立的系统,在规范中作为一整章的部分进行规定。


关于电子合同的存储期限,从6.10和7.1条的规定可以看出,如果从业机构选择第三方电子合同存储服务的,电子合同存储服务系统需要确保电子合同的保存期限应自合同到期日起5年。


电子合同与纸质合同的区别,不仅是签章的区别,在合同的保存,保管方式也是有其电子化的特性的,一旦电子合同灭失将很难获得,因此,对电子合同存储期限进行限制,不仅有利于电子合同的查看、下载,也有利于电子合同签约方的后期举证的需要。


电子合同第三方存储系统所涉及的密码算法可包括但不限于:杂凑算法、非对称密码算法、对称密码算法等,所有算法应是国家密码主管部门认可的算法。


电子合同第三方存储系统采用的密码模块或密码产品应具有国家密码管理局颁发的商用密码产品型号资质证书。


——《规范》7.2


解读:电子合同第三方存储系统需要采用密码算法对电子合同数据、电子合同的过程数据进行加密,确保数据的安全,数据传输的安全,因此,密码算法、密码产品应当符合密码监管部门国家密码管理局的规定。


数字签名技术是基于非对称密码学的一个密码产品,不仅可以用来签署合同,还可以用来对电子合同,过程数据进行固定确权,因此如果电子合同存储系统中需要使用数字签名技术的,是需要具有国家密码管理局颁发的商用密码产品型号资质证书。


电子合同第三方存储系统应具备公安部信息安全等级保护三级或者更高级别认证。


电子合同第三方存储系统部署在公有云时,云服务应通过工业和信息化部的可信云服务认证。


电子合同第三方存储服务商应具备ISO 27001认证。


——《规范》7.3


解读:电子合同第三方存储系统需要具有系统安全的资质,同时规范还将资质的要求穿透到了电子合同第三方存储系统的公有云的云计算的服务提供商,明确,为电子合同第三方存储系统的云计算服务提供商,需要具有工信部的可信云服务认证。


除此之外,电子第三方存储系统的服务商本身,需要具有ISO27001的认证。因此从服务商到系统,到云服务的提供商,三个方面,确保电子合同存储服务系统能为网络借贷行业电子合同存储的安全性和合法性。


九、司法举证要求


传统纸质的签署,转换成电子合同的签署,不仅是签署模式,存储模式的变更,也是司法审判模式的变革,基于电子合同的在司法举证中会有不同的认定,尤其是网络借贷是在诉讼中会有很多争议产生,本安全规范,通过简短的条文对司法举证进行了指引性的规定:


(1)明确提供技术服务的服务商,有协助举证方进行举证的义务;(2)确定互联网金融个体网络借贷行业的证据目录应包括电子合同、资金流水,以及平台账户信息及操作信息,以及从业机构履行安全和告知义务。


(3)确定第三方电子合同订立系统服务商和第三方存储服务商可以与仲裁或司法鉴定机构合作对接,实现更快捷的判决和出证;


(4)明确数字证书的验证责任应该为电子认证服务机构提供;


(5)电子签名委托他人实施签名行为是,需要提供电子签名制作数据由电子签名人控制的证据。


(6)通过国际级行业自律组织的进行解密,来对电子合同的证明力有更高的效力。


十、电子合同平台应具有商用密码产品型号许可证


规范6.4提到,“电子合同订立系统采用的密码模块或密码产品应具有国家密码管理局颁发的商用密码产品型号资质证书”。


和为法务,系和为咨询集团旗下服务业务,和为积极应对互联网浪潮,展开“互联网+法律”的探索,秉承专业化、国际化、团队化、品牌化的运营思路,创立“律师竞标”模式,帮助客户优选最专业、最适合的律师,竭力破除法律行业的专业壁垒和信息不对称,保障客户的合法权益。


和为法务通过将法律与互联网结合,让普通百姓和企业客户都能轻松获得满意的法律服务,真正实现“让优质法律服务触手可及”。