网络借贷机构是怎么保护客户个人隐私的?

2018/11/20 来源:风险教育 阅读量:99人/次

      随着信息化时代的发展,信息泄露随处可见,那么P2P网络借贷机构在开展业务时,是怎么保护客户的个人隐私?

 

      《民法总则》专门规定了隐私权:自然人享有“隐私权”,“不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”

 

      《宪法》还规定:除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。

 

      江苏省互联网金融协会发布全国首个网贷平台个人信息安全保护规范指引——江苏省网络借贷平台个人信息安全保护规范指引(草案) (下文简称“草案”)明确平台规范制度:

 

      1、网络借贷平台应当建立完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行。

 

      2、网络借贷平台应当建立健全用户信息保护制度,确保出借人与借款人信息采集、处理及使用的合法性和安全性:

 

      网络借贷平台收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;

 

      网络借贷平台应当妥善保管出借人与借款人的资料和交易信息,不得删除、篡改,不得非法买卖、泄露出借人与借款人的基本信息和交易信息;

 

      网络借贷平台应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年;

 

      网络借贷平台及其资金存管机构、其他各类外包服务机构等应当为业务开展过程中收集的出借人与借款人信息保密,未经出借人与借款人同意,不得将出借人与借款人提供的信息用于所提供服务之外的目的;

 

      网络借贷平台在中国境内收集的出借人与借款人信息的储存、处理和分析应当在中国境内进行。除法律法规另有规定外,网络借贷平台不得向境外提供境内出借人和借款人信息。

 

      3、网络借贷平台应当建立信息科技管理、科技风险管理和科技审计有关制度,每年开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。

 

      4、网络借贷平台应当采取技术措施和其他必要措施,确保收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并及时向监管机构及行业协会报告。

 

      5、网络借贷平台应当制定明确个人信息安全保护工作制度,比如数据中心管理制度、技术规范、操作指南等制度规定,明确实施标准和操作流程,加强培训,强化内部员工的安全意识、减少道德风险的发生,并加强个人信息安全专业队伍建设。

 

      除此以外,网络借贷平台在使用信息系统对个人信息进行处理时,应遵循以下基本要求:

 

      目的明确——处理个人信息仅用于网络借贷中介服务,不扩大使用范围,不在出借人及借款人不知情的情况下改变处理个人信息的目的;

 

      权责清晰——明确个人信息处理过程中相关方的权利和职责,并采取相应的措施落实各方责任,并对出借人及借款人个人信息处理进行全过程记录,以便于追溯;

 

      公开告知——对出借人及借款人应当尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向出借人及借款人告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息;

 

      个人授权——处理个人信息前要征得出借人及借款人主体的授权同意;

 

      安全保障——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护出借人及借款人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。

 

      草案提及,网络借贷平台在对于出借人及借款人信息的收集,应遵循以下要求:

      明确收集信息的目的;

      明确出借人及借款人信息的收集方式和手段、收集的具体内容和留存时限;

      明确出借人及借款人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围;

      明确出借人及借款人信息的保护措施;

      明确出借人及借款人提供个人信息后可能存在的风险;

      明确出借人及借款人不提供个人信息可能出现的后果;

      如需将出借人或借款人信息转移或委托于其他组织和机构,要向出借人或借款人明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等;

      网络借贷平台要采用已告知的手段和方式直接向出借人或借款人收集信息,不得采取隐蔽手段或以间接方式收集个人信息。

 

      草案还指出,网络借贷平台需遵循以下几点:

      对于出借人及借款人信息处理,不得违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工;

 

      网络借贷平台对于出借人及借款人信息处理,应当保证加工处理过程中个人信息不被任何与处理目的无关的个人、组织和机构获知;

 

      网络借贷平台对于出借人及借款人信息处理,应当详细记录对个人信息的状态,如个人信息主体要求对其个人信息进行查询时,网络借贷平台必须如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工处理状态等内容,除非告知成本或者请求频率超出合理的范围;网络借贷平台对于出借人及借款人信息转移,应当不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息;

 

      网络借贷平台向其他组织或机构,包括但不限于银行存管机构、存证机构、第三方支付机构、短信服务商、技术外包服务商、电子签章等,转移出借人及借款人信息前,应当评估其安全处理个人信息的能力,并通过合同明确该组织和机构的个人信息保护责任,确保转移过程中,借款人及出借人信息不被合同明确的组织和机构之外的任何个人、组织和机构所获知;

 

      网络借贷平台对于出借人或借款人信息删除,在满足国家法律法规规定的信息留存期限的前提下,若出借人或借款人有正当理由要求删除其个人信息时,平台应及时删除个人信息;

 

      网络借贷平台破产或解散时,若无法继续完成承诺的个人信息处理目的,需删除个人信息;

 

      网络借贷平台因删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。