银监会P2P网络借贷风险专项整治工作领导小组办公室已于12月8日发布《小额贷款公司网络小额贷款业务风险专项整治实施方案》,旨在通过专项整治,严格网络小额贷款资质审批,规范网络小额贷款经营行为,严厉打击和取缔非法经营网络小额贷款的机构。
此次专项整治实施方案通知里关于信息安全的有几点需要我们注意的是:
1、重新审查网络小额贷款经营资质。
根据网络小额贷款业务的特点,根据国务院有关文件和当地现行有关制度规定(当地无相关监管制度的应尽快补齐) ,主要审查发起股东资质、借款人来源、互联网场景、内生数据基础和数字化风控技术等方面的经营资质要求是否严格合理,核查获批经营资质的机构是否符合相关条件。
2、信息安全。排查小额贷款公司是否建立网络信息安全管理体系,是否妥善保管客户资料和交易信息,保护客户隐私。是否以"大数据"为名窃取或滥用客户隐私信息,非法买卖或泄露客户信息。
时间安排:
《方案》指出,各地区监管部门对网络小额贷款经营情况进行摸底排查后,应于2018年1月底前将摸底排查情况报P2P 网络借贷风险专项整治工作领导小组办公室。
摸底排查后,以法律法规和有关监管要求为依据,根据违法违规性质、情节轻重、风险程度和社会危害程度等因素对各类机构实施分类处置。此项工作于2018年3月底前完成。具体分类处置方式如下:
合规类机构。对于已获得网络小额贷款经营资质的机构,按专项整治要求重新审查网络小额贷款经营资质,对确认符合资质要求、依法合规开展业务的纳入合规类机构,继续实施有效监管, 督促其规范经营。
整改类机构。一是对于已获得网络小额贷款经营资质,重新审查后发现不符合经营资质要求的,撤销网络小额贷款经营资质, 严禁此类机构在其批设部门所辖行政区域外开展贷款业务,由机构提出整改计划,监管部门监督执行。二是对于已获得网络小额贷款经营资质,重新审查后确认符合资质要求,但在股权管理、 融入资金、综合实际利率、贷款管理、贷款催收、贷款范围、业务合作、信息安全等方面不符合专项整治要求和有关规定的,责令限期整改。整改后验收合格的,继续实施有效监管,督促其规范经营,发生违法违规行为的视情节轻重采取相应监管措施。整改后验收不合格的,撤销网络小额贷款经营资质,并且依法予以处置,违法违规情节严重的坚决取缔,涉嫌非法集资的按照处置非法集资工作机制予以查处。
简单总结下时间安排:到2018年1月底各地区监管部门对网络小额贷款经营情况进行摸底排查;到2018年3月底对各类P2P机构实施分类处置。合规的可以继续经营,不符合经营资质要求的撤销网络小额贷款经营资质,符合资质要求,但在信息安全等方面不符合专项整治要求和有关规定的,责令限期整改。
那么P2P公司的信息安全怎么做才是符合规定的。在《网络借贷信息中介机构业务活动管理暂行办法》中做了明确要求:
第十八条 网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。
网络借贷信息中介机构应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年;每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。
网络借贷信息中介机构成立两年以内,应当建立或使用与其业务规模相匹配的应用级灾备系统设施。
总结下:P2P公司信息安全整改需要做的五步就是:
1、落实国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试;(立即)
2、具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和相关管理制度;(立即)
3、记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年;(立即)
4、每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计;(满足两次一次的要求)
5、两年内建立或使用与业务规模相匹配的应用级灾备系统。(两年内需完成)
转自公众号:不得不等 等级保护测评
此次专项整治实施方案通知里关于信息安全的有几点需要我们注意的是:
1、重新审查网络小额贷款经营资质。
根据网络小额贷款业务的特点,根据国务院有关文件和当地现行有关制度规定(当地无相关监管制度的应尽快补齐) ,主要审查发起股东资质、借款人来源、互联网场景、内生数据基础和数字化风控技术等方面的经营资质要求是否严格合理,核查获批经营资质的机构是否符合相关条件。
2、信息安全。排查小额贷款公司是否建立网络信息安全管理体系,是否妥善保管客户资料和交易信息,保护客户隐私。是否以"大数据"为名窃取或滥用客户隐私信息,非法买卖或泄露客户信息。
时间安排:
《方案》指出,各地区监管部门对网络小额贷款经营情况进行摸底排查后,应于2018年1月底前将摸底排查情况报P2P 网络借贷风险专项整治工作领导小组办公室。
摸底排查后,以法律法规和有关监管要求为依据,根据违法违规性质、情节轻重、风险程度和社会危害程度等因素对各类机构实施分类处置。此项工作于2018年3月底前完成。具体分类处置方式如下:
合规类机构。对于已获得网络小额贷款经营资质的机构,按专项整治要求重新审查网络小额贷款经营资质,对确认符合资质要求、依法合规开展业务的纳入合规类机构,继续实施有效监管, 督促其规范经营。
整改类机构。一是对于已获得网络小额贷款经营资质,重新审查后发现不符合经营资质要求的,撤销网络小额贷款经营资质, 严禁此类机构在其批设部门所辖行政区域外开展贷款业务,由机构提出整改计划,监管部门监督执行。二是对于已获得网络小额贷款经营资质,重新审查后确认符合资质要求,但在股权管理、 融入资金、综合实际利率、贷款管理、贷款催收、贷款范围、业务合作、信息安全等方面不符合专项整治要求和有关规定的,责令限期整改。整改后验收合格的,继续实施有效监管,督促其规范经营,发生违法违规行为的视情节轻重采取相应监管措施。整改后验收不合格的,撤销网络小额贷款经营资质,并且依法予以处置,违法违规情节严重的坚决取缔,涉嫌非法集资的按照处置非法集资工作机制予以查处。
简单总结下时间安排:到2018年1月底各地区监管部门对网络小额贷款经营情况进行摸底排查;到2018年3月底对各类P2P机构实施分类处置。合规的可以继续经营,不符合经营资质要求的撤销网络小额贷款经营资质,符合资质要求,但在信息安全等方面不符合专项整治要求和有关规定的,责令限期整改。
那么P2P公司的信息安全怎么做才是符合规定的。在《网络借贷信息中介机构业务活动管理暂行办法》中做了明确要求:
第十八条 网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。
网络借贷信息中介机构应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年;每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。
网络借贷信息中介机构成立两年以内,应当建立或使用与其业务规模相匹配的应用级灾备系统设施。
总结下:P2P公司信息安全整改需要做的五步就是:
1、落实国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试;(立即)
2、具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和相关管理制度;(立即)
3、记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年;(立即)
4、每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计;(满足两次一次的要求)
5、两年内建立或使用与业务规模相匹配的应用级灾备系统。(两年内需完成)
转自公众号:不得不等 等级保护测评
