欢送致电:400-0168-414 效劳工夫:9:00-18:00
您的地位: 首页网贷资讯中国互金协会公布P2P平台电子条约标准(全文)
  
  • 平台年化
    7.9%
  • 本站加息
    15.0%
  • 综合年化
    22.9%
  • 起投金额
    5000.00
  • 投资限期
    1个月
立刻投资

中国互金协会公布P2P平台电子条约标准(全文)

2018-04-24 15:08:02  33

中国互金协会公布P2P平台电子条约标准(全文)

克日,中国互联网金融协会公布“关于《互联网金融 集体网络假贷 电子条约平安标准》集团规范征求意见的告诉”,称《互联网金融 集体网络假贷 电子条约平安标准(征求意见稿)》曾经过立项评审、草拟,构成征求意见稿,现向会员单元征求意见,相干单元可于2018年5月18日前反应意见。

《互联网金融 集体网络假贷 电子条约平安标准(征求意见稿)》全文:

互联网金融 集体网络假贷 电子条约平安标准(征求意见稿)

1 范畴

本规范提供了互联网金融网络假贷信息中介从业机构(以下称“从业机构”)在展开网络假贷信息中介业务运动中,当事人在中华人民共和国境内经过互联网在线订立电子条约时接纳牢靠的电子署名,包管订立后的电子条约满意防窜改、抗承认性等各项平安要求,以进步经过此种方法订立的电子条约的平安性和证据效能。

本规范实用于指点从业机构展开网络假贷信息中介业务运动时运用电子署名技能对电子条约停止在线订立,并将订立后的电子条约停止第三方存储,进一步满意互联网金融集体网络假贷行业平安性及正当合规性要求。

2 标准性援用文件

下列文件关于本文件的使用是必不行少的。但凡注日期的援用文件,仅所注日期的版本实用于本文件。但凡不注日期的援用文件,其最新版本(包罗一切的修正单)实用于本文件。

中华人民共和国电子署名法

GB/T 20520—2006 信息平安技能 公钥根底设备 工夫戳标准

GB/T 20988—2007 零碎劫难规复标准

GB 50174—2017 数据中央设计标准

JR/T 0118—2015 金融电子认证标准

SB/T 11009—2013 电子条约在线订立流程标准

T/NIFA 1—2017 互联网金融 信息表露 集体网络假贷

公通字[2007]第 43 号 信息平安品级维护办理方法

3 术语与界说

T/NIFA 1—2017中界定的术语和界说以及下列术语和界说实用于本文件。

3.1

实名核验 identity proofing

验证充沛信息以确认实体声明身份的进程。

3.2

电子条约 electronic contract

对等主体的天然人、法人、其他构造之间以数据电文为载体,并应用电子通讯手腕设立、变卦、停止民事权益任务干系的协议。

3.3

电子条约缔约人 electronic contract party

运用电子条约订立零碎的条约当事人,简称条约缔约人。

3.4

电子认证 certificate authentication

基于 PKI 的数字署名认证技能。

3.5

电子认证效劳 electronic certification service

为电子署名相干各方提供真实性、牢靠性验证的运动。

3.6

身份证网证 electronic identity authentication certificate

住民身份证网上功用守旧凭据。

3.7

电子条约订立零碎 signing system of electronic contract

电子条约订立零碎是指具有缔约人身份认证、会谈商量、条约电子署名、条约存储与挪用等功用以完成在线订立电子条约及处置的信息零碎。

第三方电子条约订立零碎是独立于从业机构的第三方主体运营的电子条约订立零碎。

3.8

数字证书 digital certificate

由证书认证机构署名的包括地下密钥拥有者信息、地下密钥、签发者信息、无效期以及扩展信息的一种数据文件。按种别可分为团体证书、机构证书和设置装备摆设证书,按用处可分为署名证书和加密证书。

3.9

电子条约第三方存储效劳商 third-party storage service provider for electronic contract

独立于电子条约缔约各方和从业机构,能提供电子条约信息保管的效劳机构,简称第三方存储效劳商。它可以应条约缔约一方或多方的恳求对条约订立进程提供多种方式的存储效劳并提供信息完好性和精确性证明。

第三方存储效劳商不该是从业机构的联系关系公司、从业机构外部的断绝零碎或由第三方摆设在从业机构外部的公有云等。

3.10

工夫戳 time stamp

运用数字署名技能发生的数据,署名的工具包罗了原始文件信息、署名参数、署名工夫等信息。工夫戳机构对此工具停止数字署名发生工夫戳,以证明原始文件在署名工夫之前曾经存在。

3.11

工夫戳机构 time stamp authority

用来发生和办理工夫戳的威望机构。

3.12

可信工夫 trusted time

精确的、值得信任确当前工夫值,这个工夫值的泉源应是高度威望的。

4 缩略语

下列缩略语实用于本规范:

PKI Public Key Infrastructure 公钥根底设备

APP Application 使用顺序

OV Organization Validation 构造机构认证

EV Extended Validation 扩展认证

SSL Secure Sockets Layer 平安套接层

5 电子署名正当性要求

电子条约的订立应满意《中华人民共和国电子署名法》的规则。

a)电子署名人真实身份的标识

电子署名人是创立牢靠电子署名的实体,可以是天然人或单元机构受权的代表人。对电子署名人身份的准确标识是牢靠电子署名的基本。

b)电子认证效劳机构

电子认证效劳机构是指协助电子署名人和依赖方树立信托干系的实体,即证明电子署名制造数据和电子署名人真实身份的联系关系干系。

在牢靠电子署名体系中,标识电子署名人真实身份的数字证书应由第三方电子认证效劳机构停止发表,电子认证效劳机构应获得产业和信息化部发表的《电子认证效劳答应证》,并契合产业和信息化部的各项办理要求和在产业和信息化部存案的《电子认证业务规矩》。信息零碎平安品级维护应为三级或更初级别。

6 电子条约订立

6.1 概述

乞贷人、出借人以及从业机构在平台从事投融资运动时,为了保证商务运动各方主体的权柄,应订立有执法效能的电子条约。从业机构应提供渠道供乞贷人和出借人检查、下载已订立的电子条约。效劳渠道包罗但不限于网站、挪动 APP 使用、交际媒体大众号或效劳号等。

乞贷人和出借人应先经过实名核验,由电子认证效劳机构为其签发数字证书,乞贷人和出借人运用数字证书对电子条约停止署名,电子署名依赖方运用电子署名验证数据停止电子条约完好性验证,而且确认乞贷人和出借人的真实身份,避免乞贷人和出借人承认订立电子条约的举动。

6.2 实名核验

6.2.1 实名核验要求

乞贷人、出借人登录平台,应提交真实、完好和精确的团体或企业身份信息,平台应对平台上发生投融资运动的乞贷人、出借人的身份信息停止考核,只要实名核验经过的团体或企业,才干在平台停止投融资运动。

实名核验包括对乞贷人和出借人提供的无效证件真实性、分歧性、志愿真实性三方面停止核验。平台可依据平台本身的风控制度自主选择实名核验的方法。

6.2.2 团体实名核验

平台在对团体停止实名核验时可接纳的方法包括以下几种:

a) 线下核验:包罗对团体无效证件的现场考核,团体生物特性信息的收罗及比对核验,停止物证合一确实认;

b) 线上核验:核验信息包罗姓名、身份证号码或身份证网证、手机号码或银行卡号(至多包罗姓名、身份证号码和身份证网证中的一种),应应用当局威望部分的数据库或获得当局威望部分受权或承认的数据库等,并接纳生物特性辨认技能或其他平安无效的妙技停止物证合一确实认;也可经过电子认证效劳机构发表的数字证书停止实名核验;

c) 其他颠末承认的,可包管团体无效证件真实性、分歧性及志愿真实性的实名核验方法。

6.2.3 企业实名核验

平台在对企业停止实名核验时可接纳的方法包括以下几种:

a) 线下核验:包罗对企业无效证件,企业材料,包办人的企业正当受权文件的现场考核,以及包办人的团体实名核验;

b) 线上核验:核验信息包罗企业称号、工商注销号、构造机构代码(或一致社会信誉代码)、法人代表姓名和法人代表身份证号码或身份证网证(至多包罗企业称号、工商注册号或一致社会信誉代码),应接纳包办人团体实名核验,以及企业中心隐私数据的核验,比方对公银行打款、开具指定金额发票等核验方法;也可经过电子认证效劳机构发表的数字证书停止实名核验;

c) 其他颠末承认的,可包管企业无效证件真实性、分歧性及志愿真实性的实名核验方法。

6.3 数字证书请求

6.3.1 数字证书请求流程

乞贷人、出借人应在平台上经过实名核验,才干请求数字证书。

6.3.2 团体数字证书请求的无效身份证件

在证书请求时对团体身份停止辨别时,应契合 JR/T 0118-2015 针对团体无效身份证件的要求。

6.3.3 企业数字证书请求的无效证件

在证书请求时对机构身份停止辨别时,应契合 JR/T 0118-2015 针对企业无效身份证件的要求。

6.4 暗码算法及暗码产物要求

电子条约订立零碎所触及的暗码算法可包罗但不限于:杂凑算法、非对称暗码算法、对称暗码算法等,一切算法应是国度暗码主管部分承认的算法。

电子条约订立零碎接纳的暗码模块或暗码产物应具有国度暗码办理局发表的商用暗码产物型号资质证书。

6.5 电子署名制造数据运用方法

电子条约订立零碎触及的电子署名制造数据的运用方法应满意《中华人民共和国电子署名法》中关于牢靠的电子署名的要求。

6.6 工夫戳要求

电子条约接纳的可信工夫戳应满意如下要求:

a) 从业机构或其合作的第三方电子条约订立零碎效劳商应确保条约具有可信工夫戳要素,满意防窜改要求;

b) 工夫戳要求应满意GB/T 20520-2006中规则的要求。

6.7 电子条约订立零碎要求

6.7.1 概述

从业机构可自建电子条约订立零碎,也可运用第三方电子条约订立零碎订立电子条约。电子条约订立零碎应独立于平台。

6.7.2 资质要求

电子条约订立零碎应具有公安部信息平安品级维护三级或许更初级别认证。

电子条约订立零碎摆设在私有云时,云效劳应经过产业和信息化部的可信云效劳认证。

电子条约订立零碎的效劳商应具有 ISO 27001 认证。

6.7.3 真实身份标识

从业机构接纳第三方电子条约订立零碎的,第三方电子条约订立零碎应运用OV或EV SSL网站认证证书等手腕标识网站的真实性,并无效维护买卖信息的平安。

6.7.4 业务继续性保证

a) 应摆设在契合GB 50174-2017要求的A级数据中央机房;

b) 应树立或运用与其业务范围相婚配的灾备零碎设备,零碎的劫难规复才能应满意GB/T20988-2007的第五级要求,及时数据传输及完好设置装备摆设支持,包管业务继续性及应急呼应;

c) 应提供7*24小时效劳,并提供7*24小时效劳热线,整年效劳可用率应到达99.95%及以上。

6.7.5 通讯平安

平台和电子条约订立零碎之间的数据在公网传输时应接纳数据加密技能完成秘密性维护,包管数据传输的平安性。

6.7.6 停止或转移效劳

从业机构运用第三方电子条约订立零碎的,应与其效劳商商定实行如下任务:

a) 第三方电子条约订立零碎效劳商不克不及持续提供效劳时,该当在停止或转移效劳九旬日前以书面方式见告从业机构;

b) 第三方电子条约订立零碎效劳商应向从业机构提供单方承认的电子条约数据迁徙方案并提供技能支持,包管从业机构电子条约数据迁徙进程的秘密性、完好性、可用性。

6.7.7 平安评价与羁系

从业机构应根据《信息平安品级维护办理方法》中要求,对电子条约订立零碎活期展开品级维护测评,测评应由具有品级维护测评资质的信息平安测评认证机构停止。

从业机构运用第三方电子条约订立零碎的,第三方电子条约订立零碎效劳商应公示业务规矩,承受主管部分的活期反省,并将信息平安测评认证后果向运用其第三方电子条约订立零碎效劳的从业机构、乞贷人和出借人地下表露。

第三方电子条约订立零碎效劳商应共同从业机构向羁系部分或行业自律构造完成报备等合规任务。

6.7.8 数据平安

数据平安次要包罗数据存储平安、受权拜访控制、隐私维护和数据备份。

a) 平台和电子条约订立零碎应接纳平安步伐,确保电子条约不泄漏,对电子条约停止加密存储;

b) 平台和电子条约订立零碎应具有受权拜访控制功用,乞贷人和出借人只要经过实名核验后,才可检查、下载自己已订立的电子条约;

c) 电子条约订立零碎应对电子条约停止备份并加密存储,并完好记载用户操纵日记以备审计。第三方电子条约订立零碎效劳商应对电子条约信息严厉失密,并树立健全信息维护制度,增强外部职员平安办理,确保不泄漏电子条约信息。

6.8 电子署名验证

从业机构应对乞贷人和出借人提交的电子署名停止验证,以包管电子条约的完好性和抗承认性,电子署名验证应满意如下要求:

a) 验证用户数字证书的无效性;

b) 验证数字署名的无效性;

c) 验证署名所运用的署名算法能否契合要求;

d) 验证署名所运用的数据择要算法能否契合要求;

e) 验证发生署名的数字证书与用户的联系关系干系。

电子条约订立零碎应具有在线校验电子条约的功用,验证署名者的身份、数字证书、工夫戳的无效性。假如条约内容或署名被窜改,应提示文档被窜改、生效。

6.9 从业机构真实身份标识

平台应运用OV或EV SSL网站认证证书等手腕标识买卖网站的真实性,并无效维护买卖信息的平安。

6.10 从业机构平安评价与羁系

从业机构应记载并保存乞贷人和出借人的条约记载,保存限期为自条约到期日起5年,关于已有执法、规章规则电子条约保管期的,电子条约保管限期应与该保管期分歧。

从业机构应延聘有资质的信息平安测评认证机构活期对信息平安施行测评认证,向出借人与乞贷人等表露测评认证后果,且活期展开平安评价,承受国度和行业主管部分的信息平安反省和审计。

7 电子条约存储

7.1 概述

电子条约应经过电子条约第三方存储效劳商停止存储与备份。

电子条约保管限期应自条约到期日起 5 年,关于已有执法、规章规则电子条约保管期的,电子条约保管限期应与该保管期分歧。

7.2 暗码算法及暗码产物要求

电子条约第三方存储零碎所触及的暗码算法可包罗但不限于:杂凑算法、非对称暗码算法、对称暗码算法等,一切算法应是国度暗码主管部分承认的算法。

电子条约第三方存储零碎接纳的暗码模块或暗码产物应具有国度暗码办理局发表的商用暗码产物型号资质证书。

7.3 资质要求

电子条约第三方存储零碎应具有公安部信息平安品级维护三级或许更初级别认证。

电子条约第三方存储零碎摆设在私有云时,云效劳应经过产业和信息化部的可信云效劳认证。

电子条约第三方存储效劳商应具有 ISO 27001 认证。

7.4 真实身份标识

电子条约第三方存储零碎应运用OV或EV SSL网站认证证书等手腕标识网站的真实性,并无效维护买卖信息的平安。

7.5 业务继续性保证

a) 应摆设在契合GB 50174-2017要求的A级数据中央机房;

b) 应树立或运用与其业务范围相婚配的灾备零碎设备,零碎的劫难规复才能应满意GB/T20988-2007的第五级要求,及时数据传输及完好设置装备摆设支持,包管业务继续性及应急呼应;

c) 应提供7*24小时效劳,并提供7*24小时效劳热线,整年效劳可用率应到达99.95%及以上。

7.6 通讯平安

电子条约订立零碎和电子条约第三方存储零碎之间的数据在公网传输时应接纳数据加密技能完成秘密性维护,包管数据传输的平安性。

7.7 停止或转移效劳

从业机构应与电子条约第三方存储效劳商商定实行如下任务:

a) 电子条约第三方存储效劳商不克不及持续提供效劳时,该当在停止或转移效劳九旬日前以书面方式见告从业机构;

b) 电子条约第三方存储效劳商应向从业机构提供单方承认的电子条约数据迁徙方案和技能支持。

7.8 平安评价与羁系

电子条约第三方存储零碎应由有资质的信息平安测评认证机构活期对信息平安施行测评认证,并向运用其效劳的从业机构、乞贷人和出借人表露测评认证后果。

电子条约第三方存储效劳商应共同从业机构完成羁系部分或行业自律构造要求的报备、反省等合规任务。有羁系要求时由国度级行业自律构造运用解密密钥解密原文。

7.9 数据平安

数据平安次要包罗数据存储平安和隐私维护。

a) 平台和电子条约第三方存储零碎应接纳平安步伐,确保电子条约不泄漏,对电子条约停止加密存储。电子条约的加密密钥息争密密钥应由国度级行业自律构造办理,从业机构应运用上述加密密钥将电子条约加密存储在电子条约第三方存储零碎,密钥办理应契合国度暗码办理部分及行业主管部分要求;

b) 电子条约第三方存储零碎应完好记载用户操纵日记以备审计。电子条约第三方存储效劳商应对电子条约信息严厉失密,并树立健全信息维护制度,增强外部职员平安办理,确保不泄漏电子条约信息。

8 法律举证要求

当发作平台跑路等恶性事情或乞贷人、出借人在平台发生纠纷时,相干当事方(包罗但不限于从业机构、第三方电子条约订立零碎效劳商、电子条约第三方存储效劳商)具有帮忙举证方(包罗但不限于公检法机构、乞贷人、出借人)停止举证的任务。证据证明包罗但不限于:

a) 从业机构提供订立的电子条约原文,乞贷人、出借人在平台的实名核验、领取、投资记载、还款记载等证据,从业机构根据《网络平安法》对百姓团体信息平安维护以及见告任务的实行证明文件,从业机构对接的领取机构或存管银行提供资金流水记载等证据;

b) 第三方电子条约订立零碎效劳商和电子条约第三方存储效劳商宜与仲裁机构或法律判定机构等电子证据机构对接,若有法律举证的需求,合作的电子证据机构应出具判定陈诉;

c) 电子认证效劳机构出具数字证书验证陈诉,证明证书及电子署名的无效性;

d) 电子署名人委托别人代为施行署名举动时,从业机构或第三方电子条约订立零碎效劳商提供电子署名制造数据由电子署名人控制的证据,包罗挪用电子署名制造数据的工夫和方法、电子署名人地位、IP地点、受权及认证方法、受权及认证记载等;

e) 有法律举证要求时由国度级行业自律构造运用解密密钥解密原文;

f) 法律机构要求共同提供的其他相干证据。

相干阅读

抢手排行