標籤:

業界|網路小額借貸:我假裝看不到「安全」,「安全」卻幹了我

01-28

「安全」一詞早期在網路小額借貸中往往被大家選擇性忽視,但它卻像一顆石縫中的種子,轉眼間,這顆種子已經衝破大山,成為一顆參天大樹。

安全的「達摩克斯之劍」

自2015年以來,網路小額借貸猶如雨後春筍瘋狂崛起,隨之而來的是亂象叢生,行業生態極其混亂,信息安全幾如透明。

在網路小額借貸中,人們印象最深的莫過於校園貸。分期樂、趣分期、愛學貸等平台以雷同的模式不斷複製,一時間湧現出成百上千的校園分期平台,這其中不乏渾水摸魚者。

「借款8000元,20天變成2萬」、「身份證信息借同學分期購物被坑,借貸無力償還」、「裸借條款」、「高利放貸」、「暴力催收」... 這些已經成為校園貸的代名詞,令人聞之為之色變。

不約而同的,幾乎所有的網路小額借貸企業全都默契的選擇忽視「安全」,但有些事不是你假裝看不到就不存在。

客觀事物的存在從來不以人的意志為轉移,就像紙包不住火、掩耳盜不了鈴,「安全」作為互聯網金融行業頭頂的「達摩克斯之劍」,初現崢嶸便讓整個行業戰戰兢兢。

鐵拳整頓 信息安全成焦點

歷史上無數血淋淋的歷史告訴我們一個樸素的道理:物極必反。愈演愈烈的網路小額借貸安全問題迎來史上最強的鐵拳整改。

11月21日,監管部門發布《關於立即暫停批設網路小額貸款公司的通知》;12月1日,央行和銀監會聯合下發《關於規範整頓「現金貸」業務的通知》(以下簡稱「現金貸通知」);

12月8日,P2P網路借貸風險專項整治工作領導辦公室再次下發《關於小額貸款公司網路小額貸款業務風險專項整治實施方案的通知》(以下簡稱「通知」)並要求2018年1月底前完成摸底排查。

重病當下猛葯,信息安全作為網路借貸中的重災區,面臨著的是拳頭上最有力的點。

在央行和銀監會聯合下發的「現金貸通知」中第一條第6點中明確規定:「各類機構應當加強客戶信息安全保護,不得以「大數據」為名竊取、濫用客戶隱私信息,不得非法買賣或泄露客戶信息」。以及第四條第2點明確規定:「不得將客戶的信息採集、甄別篩選、資信評估、開戶等核心工作外包」。

相應的,在網貸辦下發的「通知」中重點排除條目中,信息安全赫然在目。

「通知」明確表示貸款公司必須建立網路安全管理體系,妥善保管客服資料和交易信息,保護用戶隱私。不可以以大數據為名竊取或濫用用戶隱私信息,非法買賣或泄露客戶信息。

信息安全對網路小額借貸有何影響

針對信息安全問題,這幾次通知都是「重點照顧」,央行、銀監會、網貸辦等多方主管部門紛紛重拳出擊,由此可見此次監管部門對信息安全問題整頓力度之大、影響範圍之廣。

按照網貸辦的規定,此次專項整治活動要在2018年4月底前完成,並形成本地區的整治總結情況(含長效監管建議)報送P2P網路借貸風險專項整治工作領導小組辦公室。

「這意味著目前存量的有牌照的213家網路小額借貸公司將重新洗牌,離最後期限還剩四個月,給各個平台的時間不多了!」業內人士對此表示。

信息安全成網路小額借貸企業底線

信息安全對於許多網路小額借貸公司來說都是空白區,甚至很多借貸公司都在前期為了快速收集用戶數據而採取不正當手段進行,在整頓之後,信息安全問題將是網路小額貸款不可迴避的焦點。

此次整頓風波對於申請網路牌照的網貸企業而言將會是有一條不可逾越的底線。

根據央行、銀監會和網貸辦的規定,如果不能在短短的4個月時間內搞定信息安全問題,那麼企業將失去申請牌照的機會,也就意味著不能再進行小額借貸業務。

網貸辦「通知」指出目前存在的兩種經營模式:一種是全國範圍內純線上經營網路小額貸款業務的小額貸款公司,另一種是跨區域線上、線下結合開展網路小額貸款的小額貸款公司,都必須按照要求進行全面整改。

對於已經申請牌照的網路小額借貸企業而言,這也是一條不可觸摸的高壓線。如果網路小額借貸企業不能按照要求完成整改,同樣面臨著危機。

這意味著,截至2017年11月22日,全國共批准的213家網路小貸牌照全部重新洗牌,無一能夠倖免。

如何建立信息安全體系?看看專家怎麼說

針對眾多網路小額借貸企業信息安全需求,安在君(AnZer_SH)採訪到信息安全行業的深耕者,在金融行業擁有10年以上信息安全專業服務經驗的上海安言信息技術有限公司(簡稱「安言諮詢」)。

金融企業信息安全尤為重要,對於如何搭建完善的金融體系,安言諮詢對此給出專業意見。

01

建立網路信息安全保護體系

網路小額借貸公司應以人民銀行、銀監會相關監管要求為依據,參照信息系統等級保護要求,對企業內部的重要信息系統從管理和技術兩大方面落實各項具體改進措施,確保信息安全整體管理滿足合規要求。

此外,還可參照國際權威的ISO27001標準建立並持續運行信息安全管理體系。

02

有效保護客戶隱私信息

在此基礎上,網路小額借貸公司還應有效識別企業內部的客戶隱私信息,建立針對客戶隱私信息的專項保護制度,同時通過部署終端管控、終端/網路DLP、郵件防泄漏等產品在技術層面實現有效保障,並聘請外部專業服務機構定期開展安全技術評估驗證各類技術措施的有效性。

03

確保業務持續連續性

網路小額借貸公司可參照業務連續性領域的權威國際標準ISO22301,確定自身業務的重要性等級,開展業務連續性風險評估,針對影響業務中斷的各類場景,設計應急預案並持續開展演練。

04

強化開發過程安全

對互聯網金融企業而言,開發過程安全管控水平直接影響了應用程序的安全水平,在內部專業安全人員資源優先的情況下,應當引入外部專業力量,開展包括代碼安全審計、應用安全測試、上線前安全掃描等工作,此外還可以考慮採購代碼審計工具,提升代碼安全檢測的水平,從而實現將安全風險識別並消除在應用上線之前。

05

充分關注外包風險

決定企業信息安全水平的不僅僅是企業自身的信息安全管控水平,還包括企業針對各類IT外包商的管理水平,互聯網小貸公司有必要在IT外包管理領域加強管理,根據外包商對業務的支撐能力,實現差異化的外包管理,加強對於重點外包商的檢查、評估和審計,有效防範外包風險。

預告:針對此次網路小額貸款整頓情況,安在君(AnZer_SH)後期將進行深入調查採訪,更深層次帶來網路小額貸款的後續系列報道,敬請關注!


推薦閱讀:

謹防手機屏幕泄密,手機膜每個細節都要講究!
簡單心理手中究竟有多少用戶隱私?簡單心理又可以怎樣使用這些隱私?
如何看待拼多多、優酷、愛奇藝、蘑菇街等 APP 未明示情況下,越界開啟語音等涉隱許可權?
如何做到平時說話時包含的信息量少?

TAG:隐私保护 |