业界 网络小额借贷：我假装看不到“安全”，“安全”却干了我

来源：    发布日期：2017.12.15   点击量：

文/安在新媒体

图/来自网络

 

    “安全”一词早期在网络小额借贷中往往被大家选择性忽视，但它却像一颗石缝中的种子，转眼间，这颗种子已经冲破大山，成为一颗参天大树。

安全的“达摩克斯之剑”

    自2015年以来，网络小额借贷犹如雨后春笋疯狂崛起，随之而来的是乱象丛生，行业生态极其混乱，信息安全几如透明。

 

    在网络小额借贷中，人们印象最深的莫过于校园贷。分期乐、趣分期、爱学贷等平台以雷同的模式不断复制，一时间涌现出成百上千的校园分期平台，这其中不乏浑水摸鱼者。

 

    “借款8000元，20天变成2万”、“身份证信息借同学分期购物被坑，借贷无力偿还”、“裸借条款”、“高利放贷”、“暴力催收”... 这些已经成为校园贷的代名词，令人闻之为之色变。

 

    不约而同的，几乎所有的网络小额借贷企业全都默契的选择忽视“安全”，但有些事不是你假装看不到就不存在。 

 

    客观事物的存在从来不以人的意志为转移，就像纸包不住火、掩耳盗不了铃，“安全”作为互联网金融行业头顶的“达摩克斯之剑”，初现峥嵘便让整个行业战战兢兢。

 

 

铁拳整顿  信息安全成焦点

    历史上无数血淋淋的历史告诉我们一个朴素的道理：物极必反。愈演愈烈的网络小额借贷安全问题迎来史上最强的铁拳整改。

    11月21日，监管部门发布《关于立即暂停批设网络小额贷款公司的通知》；12月1日，央行和银监会联合下发《关于规范整顿“现金贷”业务的通知》（以下简称“现金贷通知”）；

    12月8日，P2P网络借贷风险专项整治工作领导办公室再次下发《关于小额贷款公司网络小额贷款业务风险专项整治实施方案的通知》（以下简称“通知”）并要求2018年1月底前完成摸底排查。

    重病当下猛药，信息安全作为网络借贷中的重灾区，面临着的是拳头上最有力的点。

    在央行和银监会联合下发的“现金贷通知”中第一条第6点中明确规定：“各类机构应当加强客户信息安全保护，不得以“大数据”为名窃取、滥用客户隐私信息，不得非法买卖或泄露客户信息”。以及第四条第2点明确规定：“不得将客户的信息采集、甄别筛选、资信评估、开户等核心工作外包”。

    相应的，在网贷办下发的“通知”中重点排除条目中，信息安全赫然在目。

    “通知”明确表示贷款公司必须建立网络安全管理体系，妥善保管客服资料和交易信息，保护用户隐私。不可以以大数据为名窃取或滥用用户隐私信息，非法买卖或泄露客户信息。

信息安全对网络小额借贷有何影响

    针对信息安全问题，这几次通知都是“重点照顾”，央行、银监会、网贷办等多方主管部门纷纷重拳出击，由此可见此次监管部门对信息安全问题整顿力度之大、影响范围之广。

    按照网贷办的规定，此次专项整治活动要在2018年4月底前完成，并形成本地区的整治总结情况(含长效监管建议)报送P2P网络借贷风险专项整治工作领导小组办公室。

    “这意味着目前存量的有牌照的213家网络小额借贷公司将重新洗牌，离最后期限还剩四个月，给各个平台的时间不多了！”业内人士对此表示。

信息安全成网络小额借贷企业底线

    信息安全对于许多网络小额借贷公司来说都是空白区，甚至很多借贷公司都在前期为了快速收集用户数据而采取不正当手段进行，在整顿之后，信息安全问题将是网络小额贷款不可回避的焦点。

    此次整顿风波对于申请网络牌照的网贷企业而言将会是有一条不可逾越的底线。

    根据央行、银监会和网贷办的规定，如果不能在短短的4个月时间内搞定信息安全问题，那么企业将失去申请牌照的机会，也就意味着不能再进行小额借贷业务。

    网贷办“通知”指出目前存在的两种经营模式：一种是全国范围内纯线上经营网络小额贷款业务的小额贷款公司，另一种是跨区域线上、线下结合开展网络小额贷款的小额贷款公司，都必须按照要求进行全面整改。

    对于已经申请牌照的网络小额借贷企业而言，这也是一条不可触摸的高压线。如果网络小额借贷企业不能按照要求完成整改，同样面临着危机。

    这意味着，截至2017年11月22日，全国共批准的213家网络小贷牌照全部重新洗牌，无一能够幸免。

 

 

如何建立信息安全体系？看看专家怎么说

    针对众多网络小额借贷企业信息安全需求，安在君（AnZer_SH）采访到信息安全行业的深耕者，在金融行业拥有10年以上信息安全专业服务经验的上海安言信息技术有限公司（简称“安言咨询”）。

    金融企业信息安全尤为重要，对于如何搭建完善的金融体系，安言咨询对此给出专业意见。

01

建立网络信息安全保护体系

    网络小额借贷公司应以人民银行、银监会相关监管要求为依据，参照信息系统等级保护要求，对企业内部的重要信息系统从管理和技术两大方面落实各项具体改进措施，确保信息安全整体管理满足合规要求。

    此外，还可参照国际权威的ISO27001标准建立并持续运行信息安全管理体系。

02

有效保护客户隐私信息

    在此基础上，网络小额借贷公司还应有效识别企业内部的客户隐私信息，建立针对客户隐私信息的专项保护制度，同时通过部署终端管控、终端/网络DLP、邮件防泄漏等产品在技术层面实现有效保障，并聘请外部专业服务机构定期开展安全技术评估验证各类技术措施的有效性。

03

确保业务持续连续性

    网络小额借贷公司可参照业务连续性领域的权威国际标准ISO22301，确定自身业务的重要性等级，开展业务连续性风险评估，针对影响业务中断的各类场景，设计应急预案并持续开展演练。

04

强化开发过程安全

    对互联网金融企业而言，开发过程安全管控水平直接影响了应用程序的安全水平，在内部专业安全人员资源优先的情况下，应当引入外部专业力量，开展包括代码安全审计、应用安全测试、上线前安全扫描等工作，此外还可以考虑采购代码审计工具，提升代码安全检测的水平，从而实现将安全风险识别并消除在应用上线之前。

05

充分关注外包风险

    决定企业信息安全水平的不仅仅是企业自身的信息安全管控水平，还包括企业针对各类IT外包商的管理水平，互联网小贷公司有必要在IT外包管理领域加强管理，根据外包商对业务的支撑能力，实现差异化的外包管理，加强对于重点外包商的检查、评估和审计，有效防范外包风险。

    预告：针对此次网络小额贷款整顿情况，安在君（AnZer_SH）后期将进行深入调查采访，更深层次带来网络小额贷款的后续系列报道，敬请关注！

 

相关新闻：