2018年04月23日，中國互聯網金融協會下發關于《互聯網金融個體網絡借貸電子合同安全規范》團體標準征求意見的通知(下稱“通知”)，意見征求截至2018年05月18日。通知包含三個附件，分別為《互聯網金融個體網絡借貸電子合同安全規范》(征求意見稿)(下稱“423征求意見稿”)、《互聯網金融個體網絡借貸電子合同安全規范》(征求意見稿)編制說明(下稱“編制說明”)以及《中國互聯網金融協會團體標準征求意見回執單》。

　　423征求意見稿正文共計八條，具體包括：范圍、規范性引用文件、術語與定義、縮略語、電子簽名合法性要求、電子合同訂立、電子合同存儲、司法舉證要求，相關要點內容梳理、總結如下：

　　“存而不簽”如何自處？

　　423征求意見稿的“引言”部分即明確“網絡借貸信息中介機構需使用可靠的電子簽名，訂立后的電子合同應委托電子合同第三方存儲服務商進行存儲”，以“保證電子合同在線訂立的安全性和合法性”。網貸行業實踐中，應地方整改驗收要求，從業機構多已實現“電子合同第三方存證”，但在“是否必須使用電子簽名簽署電子合同”問題上，一直未有定論。無論是824網貸新規抑或以上海整改驗收168條為代表的地方監管要求，都未對“電子簽名”使用問題進行強制要求，因而相關規范措辭表現為“需要對出借人與借款人的基本信息和交易信息等使用電子簽名、電子認證時，應當遵守法律法規的規定，保障數據的真實性、完整性及電子簽名、電子認證的法律效力”或“對出借人與借款人的基本信息及交易信息使用電子簽名、電子認證時未按照有關法律法規執行”。撇開之后正式稿《互聯網金融個體網絡借貸電子合同安全規范》的適用對象及規范效力問題不談，如網貸從業機構遵照執行，“存而不簽”問題將面臨整改。

　　適用范圍與規制對象幾何？

　　423征求意見稿表述為“適用于指導從業機構開展網絡借貸信息中介業務活動時使用電子簽名技術對電子合同進行在線訂立，并將訂立后的電子合同進行第三方存儲，進一步滿足互聯網金融個體網絡借貸行業安全性及合法合規性要求?！彪m言“指導”，但從此前中國互金協會網貸資金存管系統/業務規范及對應的“白名單”測評來看，《互聯網金融個體網絡借貸電子合同安全規范》大概率會在業內推而循之。

　　耳熟能詳的術語和縮略語

　　423征求意見稿定義了十二個術語，耳熟能詳名詞的包括“電子合同”“電子認證”“數字證書”“時間戳”“可信時間”等。同時列出了五個英文縮略語，包括PKI(公鑰基礎設施)、APP(應用程序)、OV(組織機構認證)、EV(擴展認證)以及SSL(安全套接層)。

　　什么是可靠的電子簽名系統？

　　423征求意見稿明確提出“可靠電子簽名體系”，“數字證書標識電子簽名人真實身份”“獲頒《電子認證服務許可證》的第三方電子認證服務機構”“三級及以上等?！背蔀椤翱煽侩娮雍灻w系”的重要要素。

　　擴張的電子合同查/載渠道？

　　423征求意見稿6.1款提出“從業機構應提供渠道供借款人和出借人查看、下載已訂立的電子合同。服務渠道包括但不限于網站、移動APP應用、社交媒體公眾號或服務號等”?！鞍ǖ幌抻凇钡谋磉_似有不妥，結合業務實踐，與信息披露工作類似，電子合同的查看、下載渠道，應當限于“實際從事網貸業務”的展業渠道，通常為網站或APP，諸如微博賬號、微信訂閱號以及僅用于品牌宣傳的官網，難有類似功能。

　　前置的實名核驗要求

　　423征求意見稿提出實名核驗的“三性”核驗要求，即有效證件真實性、一致性、意愿真實性，且實名核驗將作為數字證書申請之前提。但就具體核驗方式，給予了平臺自選空間，具體來講，亦無外乎“先下核驗”“線上核驗”等方式。

　　電子合同訂立系統：自建或外包？

　　423征求意見稿首提“電子合同訂立系統”，允許自建，亦可外包，但明確“電子合同訂立系統應獨立于平臺”。在定義條款中，電子合同訂立系統被界定為“電子合同訂立系統是指具備締約人身份認證、談判磋商、合同電子簽名、合同存儲與調用等功能以實現在線訂立電子合同及處理的信息系統?！?23征求意見稿對“電子合同訂立系統”及其使用提出要求如下：

　　1. 獨立于平臺

　　2. 三級及以上級別等級保護認證

　　3. 公有云部署情形下，云服務應通過工信部可信云服務認證

　　4. 服務商應具備ISO 27001認證

　　5. 第三方電子合同訂立系統應使用OV或EV SSL網站認證證書等手段標識網站的真實性，并有效保護交易信息的安全

　　6. 業務持續性保障，具體包括“A級數據中心機房”“災備系統設施匹配度”“災難恢復能力第五級要求”“7*24小時服務”以及“全年服務可用率99.95%及以上”等指標要求

　　7. 數據傳輸安全性(數據加密技術的使用)

　　8. 第三方電子合同訂立系統服務商終止或轉移服務前的“提前九十日告知”義務

　　9. 第三方電子合同訂立系統服務商的電子合同數據遷移方案及技術支持

　　10. 平臺自建系統的定期等保測評以及第三方系統的定期檢查公示

　　11. 重點強調數據安全與隱私保護，提出“加密儲存”“授權訪問控制功能”“用戶操作日志完整記錄”等要求

　　就以上要求，將對現行網貸行業電子合同簽署及存儲實操造成較大影響。鑒于部分地區地方監管規范(征求意見稿)提出了“第三方存證”要求，行業實踐已經逐步演變為大趨勢的“電簽+ 存儲”并行外包現狀，因而從業機構多屬于“使用第三方電子合同訂立系統”，但出于“數據安全及商業價值巨大”之考量，以及“監管并未要求電簽必須外包”的現實，部分平臺，尤其是技術能力較強的大平臺，仍有自建“電子合同訂立系統”的訴求，423征求意見稿即為該等訴求提供了規范、指引層面的支撐。

　　如何挑選適格的第三方存儲服務商？

　　423征求意見稿明確電子合同的存儲與備份主體應當為“第三方存儲服務商”，5年的保存期限與824網貸新規規定保持一致。423征求意見稿對“第三方電子合同存儲系統”及其使用提出要求如下：

　　1. 密碼算法應是國家密碼主管部門認可的算法，且密碼模塊/產品應具有商用密碼產品型號資質證書

　　2. 三級及以上級別等級保護認證

　　3. 公有云部署情形下，云服務應通過工信部可信云服務認證

　　4. 服務商應具備ISO 27001認證

　　5. 應使用OV或EV SSL網站認證證書等手段標識網站的真實性，并有效保護交易信息的安全

　　6. 業務持續性保障，具體包括“A級數據中心機房”“災備系統設施匹配度”“災難恢復能力第五級要求”“7*24小時服務”以及“全年服務可用率99.95%及以上”等指標要求

　　7. 數據傳輸安全性(數據加密技術的使用)

　　8. 第三方存儲服務商終止或轉移服務前的“提前九十日告知”義務

　　9. 第三方存儲服務商的電子合同數據遷移方案及技術支持

　　10. 第三方存儲系統的定期測評認證與結果披露

　　11. 重點強調數據安全與隱私保護，提出“加密儲存”“用戶操作日志完整記錄”等要求

　　423征求意見稿關于終止、轉移服務的對應規范，一定程度上響應了行業實踐中一度被忽視但又頗為重要的“存儲期限”問題。例如，實踐中的部分服務商協議按年簽署，但存儲服務不計費，僅電子簽名按使用次數計費，一年到期不續約，必然面臨已存數據的遷移問題，而壓在平臺頭上的卻是法規要求的“借款期限到期后保存至少5年要求”(雖然法規沒有明確5年保存期限內均需要保存在存證機構處，但實踐中比較傾向于由存證機構進行保存，且423征求意見稿已經在7.1款明確提出“電子合同應通過電子合同第三方存儲服務商進行存儲與備份”要求)，由此可能導致存證業務合作中的“甲方條款”及“平臺被迫續約”問題。因此，第三方電子合同訂立系統服務商終止或轉移服務前的“提前九十日告知”義務以及對第三方電子合同訂立系統服務商提出的的電子合同數據遷移方案及技術支持要求，實屬應有之義。

　　哪些材料將作“呈堂證供”？

　　423征求意見稿首提“司法舉證”問題，明確了平臺、第三方電子合同訂立系統服務商、電子合同第三方存儲服務商的協助舉證義務，并列明了八類證據證明，包括：電子合同及交易記錄、鑒定報告、數字證書驗證報告、電子簽名人控制電子簽名的證據、解密密鑰解密原文以及其他證據。

　　總體而言，423征求意見稿系業內首次針對網貸行業而作的電子合同規范嘗試，對平臺、合同訂立系統服務商、合同存儲服務商提出了各自的規范要求，也“科普式”地對實踐中為大家所熟知的“存證服務機構”在業務層面做了“合同電簽”和“合同存儲”劃分，并提出了不同的要求(雖然很多要求和指標類似甚至相同)。對存證市場的從業機構而言，需要重新開始審視自身的“核心競爭力何在”，技術能力強的大平臺也完全可以依托于技術團隊自建電簽系統(自建系統直接對接認證源頭)。

　　網貸行業的電子合同合法有效性以及合同存儲安全性話題，直接催生了“存證分服務市場”在網貸行業的廣泛應用，但與“網貸資金銀行存管”“網絡安全等級測評”相比，一度略顯“邊緣化”狀態，從業機構的心態多半屬于“花錢即可”，從未考量過該等服務背后的數據安全、用戶信息保密乃至司法舉證問題。從這個角度來看，423征求意見稿的“科普”與“警示”意義更彰顯出價值，無論是網貸行業自身，還是存證市場的各路參與機構，應謹記：網絡安全無小事，用戶保護方真理。

責任編輯：陳愛