互聯網金融 個體網絡借貸 電子合同安全規范（征求意見稿）

1 范圍

本標準提供了互聯網金融網絡借貸信息中介從業機構（以下稱“從業機構”）在開展網絡借貸信息中介業務活動中，當事人在中華人民共和國境內通過互聯網在線訂立電子合同時采用可靠的電子簽名，保證訂立后的電子合同滿足防篡改、抗抵賴性等各項安全要求，以提高通過此種方式訂立的電子合同的安全性和證據效力。

本標準適用于指導從業機構開展網絡借貸信息中介業務活動時使用電子簽名技術對電子合同進行在線訂立，并將訂立后的電子合同進行第三方存儲，進一步滿足互聯網金融個體網絡借貸行業安全性及合法合規性要求。

2 規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

中華人民共和國電子簽名法

GB/T 20520—2006 信息安全技術 公鑰基礎設施 時間戳規范

GB/T 20988—2007 系統災難恢復規范

GB 50174—2017 數據中心設計規范

JR/T 0118—2015 金融電子認證規范

SB/T 11009—2013 電子合同在線訂立流程規范

T/NIFA 1—2017 互聯網金融 信息披露 個體網絡借貸

公通字[2007]第 43 號 信息安全等級保護管理辦法

3 術語與定義

T/NIFA 1—2017中界定的術語和定義以及下列術語和定義適用于本文件。

3.1

實名核驗 identity proofing

驗證充分信息以確認實體聲明身份的過程。

3.2

電子合同 electronic contract

平等主體的自然人、法人、其他組織之間以數據電文為載體，并利用電子通信手段設立、變更、終止民事權利義務關系的協議。

3.3

電子合同締約人 electronic contract party

使用電子合同訂立系統的合同當事人，簡稱合同締約人。

3.4

電子認證 certificate authentication

基于 PKI 的數字簽名認證技術。

3.5

電子認證服務 electronic certification service

為電子簽名相關各方提供真實性、可靠性驗證的活動。

3.6

身份證網證 electronic identity authentication certificate

居民身份證網上功能開通憑證。

3.7

電子合同訂立系統 signing system of electronic contract

電子合同訂立系統是指具備締約人身份認證、談判磋商、合同電子簽名、合同存儲與調用等功能以實現在線訂立電子合同及處理的信息系統。

第三方電子合同訂立系統是獨立于從業機構的第三方主體運營的電子合同訂立系統。

3.8

數字證書 digital certificate

由證書認證機構簽名的包含公開密鑰擁有者信息、公開密鑰、簽發者信息、有效期以及擴展信息的一種數據文件。按類別可分為個人證書、機構證書和設備證書，按用途可分為簽名證書和加密證書。

3.9

電子合同第三方存儲服務商 third-party storage service provider for electronic contract

獨立于電子合同締約各方和從業機構，能提供電子合同信息保存的服務機構，簡稱第三方存儲服務商。它可以應合同締約一方或多方的請求對合同訂立過程提供多種形式的存儲服務并提供信息完整性和準確性證明。

第三方存儲服務商不應是從業機構的關聯公司、從業機構內部的隔離系統或由第三方部署在從業機構內部的私有云等。

3.10

時間戳 time stamp

使用數字簽名技術產生的數據，簽名的對象包括了原始文件信息、簽名參數、簽名時間等信息。時間戳機構對此對象進行數字簽名產生時間戳，以證明原始文件在簽名時間之前已經存在。

3.11

時間戳機構 time stamp authority

用來產生和管理時間戳的權威機構。

3.12

可信時間 trusted time

準確的、值得信賴的當前時間值，這個時間值的來源應是高度權威的。

4 縮略語

下列縮略語適用于本標準：

PKI Public Key Infrastructure 公鑰基礎設施

APP Application 應用程序

OV Organization Validation 組織機構認證

EV Extended Validation 擴展認證

SSL Secure Sockets Layer 安全套接層

5 電子簽名合法性要求

電子合同的訂立應滿足《中華人民共和國電子簽名法》的規定。

a）電子簽名人真實身份的標識

電子簽名人是創建可靠電子簽名的實體，可以是自然人或單位機構授權的代表人。對電子簽名人身份的正確標識是可靠電子簽名的根本。

b）電子認證服務機構

電子認證服務機構是指幫助電子簽名人和依賴方建立信任關系的實體，即證明電子簽名制作數據和電子簽名人真實身份的關聯關系。

在可靠電子簽名體系中，標識電子簽名人真實身份的數字證書應由第三方電子認證服務機構進行頒發，電子認證服務機構應取得工業和信息化部頒發的《電子認證服務許可證》，并符合工業和信息化部的各項管理要求和在工業和信息化部備案的《電子認證業務規則》。信息系統安全等級保護應為三級或更高級別。

6 電子合同訂立

6.1 概述

借款人、出借人以及從業機構在平臺從事投融資活動時，為了保障商務活動各方主體的權益，應訂立有法律效力的電子合同。從業機構應提供渠道供借款人和出借人查看、下載已訂立的電子合同。服務渠道包括但不限于網站、移動 APP 應用、社交媒體公眾號或服務號等。

借款人和出借人應先通過實名核驗，由電子認證服務機構為其簽發數字證書，借款人和出借人使用數字證書對電子合同進行簽名，電子簽名依賴方使用電子簽名驗證數據進行電子合同完整性驗證，并且確認借款人和出借人的真實身份，防止借款人和出借人抵賴訂立電子合同的行為。

6.2 實名核驗

6.2.1 實名核驗要求

借款人、出借人登錄平臺，應提交真實、完整和準確的個人或企業身份信息，平臺應對平臺上產生投融資活動的借款人、出借人的身份信息進行審核，只有實名核驗通過的個人或企業，才能在平臺進行投融資活動。

實名核驗包含對借款人和出借人提供的有效證件真實性、一致性、意愿真實性三方面進行核驗。平臺可根據平臺自身的風控制度自主選擇實名核驗的方式。

6.2.2 個人實名核驗

平臺在對個人進行實名核驗時可采用的方式包含以下幾種：

a) 線下核驗：包括對個人有效證件的現場審核，個人生物特征信息的采集及比對核驗，進行人證合一的確認；

b) 線上核驗：核驗信息包括姓名、身份證號碼或身份證網證、手機號碼或銀行卡號（至少包括姓名、身份證號碼和身份證網證中的一種），應利用政府權威部門的數據庫或取得政府權威部門授權或認可的數據庫等，并采用生物特征識別技術或其他安全有效的技術手段進行人證合一的確認；也可通過電子認證服務機構頒發的數字證書進行實名核驗；

c) 其他經過認可的，可保證個人有效證件真實性、一致性及意愿真實性的實名核驗方式。

6.2.3 企業實名核驗

平臺在對企業進行實名核驗時可采用的方式包含以下幾種：

a) 線下核驗：包括對企業有效證件，企業資料，經辦人的企業合法授權文件的現場審核，以及經辦人的個人實名核驗；

b) 線上核驗：核驗信息包括企業名稱、工商登記號、組織機構代碼（或統一社會信用代碼）、法人代表姓名和法人代表身份證號碼或身份證網證（至少包括企業名稱、工商注冊號或統一社會信用代碼），應采用經辦人個人實名核驗，以及企業核心隱私數據的核驗，例如對公銀行打款、開具指定金額發票等核驗方式；也可通過電子認證服務機構頒發的數字證書進行實名核驗；

c) 其他經過認可的，可保證企業有效證件真實性、一致性及意愿真實性的實名核驗方式。

6.3 數字證書申請

6.3.1 數字證書申請流程

借款人、出借人應在平臺上通過實名核驗，才能申請數字證書。

6.3.2 個人數字證書申請的有效身份證件

在證書申請時對個人身份進行鑒別時，應符合 JR/T 0118-2015 針對個人有效身份證件的要求。

6.3.3 企業數字證書申請的有效證件

在證書申請時對機構身份進行鑒別時，應符合 JR/T 0118-2015 針對企業有效身份證件的要求。

6.4 密碼算法及密碼產品要求

電子合同訂立系統所涉及的密碼算法可包括但不限于：雜湊算法、非對稱密碼算法、對稱密碼算法等，所有算法應是國家密碼主管部門認可的算法。

電子合同訂立系統采用的密碼模塊或密碼產品應具有國家密碼管理局頒發的商用密碼產品型號資質證書。

6.5 電子簽名制作數據使用方式

電子合同訂立系統涉及的電子簽名制作數據的使用方式應滿足《中華人民共和國電子簽名法》中關于可靠的電子簽名的要求。

6.6 時間戳要求

電子合同采用的可信時間戳應滿足如下要求：

a) 從業機構或其合作的第三方電子合同訂立系統服務商應確保合同具備可信時間戳要素，滿足防篡改要求；

b) 時間戳要求應滿足GB/T 20520-2006中規定的要求。

6.7 電子合同訂立系統要求

6.7.1 概述

從業機構可自建電子合同訂立系統，也可使用第三方電子合同訂立系統訂立電子合同。電子合同訂立系統應獨立于平臺。

6.7.2 資質要求

電子合同訂立系統應具備公安部信息安全等級保護三級或者更高級別認證。

電子合同訂立系統部署在公有云時，云服務應通過工業和信息化部的可信云服務認證。

電子合同訂立系統的服務商應具備 ISO 27001 認證。

6.7.3 真實身份標識

從業機構采用第三方電子合同訂立系統的，第三方電子合同訂立系統應使用OV或EV SSL網站認證證書等手段標識網站的真實性，并有效保護交易信息的安全。

6.7.4 業務持續性保障

a) 應部署在符合GB 50174-2017要求的A級數據中心機房；

b) 應建立或使用與其業務規模相匹配的災備系統設施，系統的災難恢復能力應滿足GB/T20988-2007的第五級要求，實時數據傳輸及完整設備支持，保證業務持續性及應急響應；

c) 應提供7*24小時服務，并提供7*24小時服務熱線，全年服務可用率應達到99.95%及以上。

6.7.5 通訊安全

平臺和電子合同訂立系統之間的數據在公網傳輸時應采用數據加密技術實現機密性保護，保證數據傳輸的安全性。

6.7.6 終止或轉移服務

從業機構使用第三方電子合同訂立系統的，應與其服務商約定履行如下義務：

a) 第三方電子合同訂立系統服務商不能繼續提供服務時，應當在終止或轉移服務九十日前以書面形式告知從業機構；

b) 第三方電子合同訂立系統服務商應向從業機構提供雙方認可的電子合同數據遷移方案并提供技術支持，保證從業機構電子合同數據遷移過程的機密性、完整性、可用性。

6.7.7 安全評估與監管

從業機構應依據《信息安全等級保護管理辦法》中要求，對電子合同訂立系統定期開展等級保護測評，測評應由具備等級保護測評資質的信息安全測評認證機構進行。

從業機構使用第三方電子合同訂立系統的，第三方電子合同訂立系統服務商應公示業務規則，接受主管部門的定期檢查，并將信息安全測評認證結果向使用其第三方電子合同訂立系統服務的從業機構、借款人和出借人公開披露。

第三方電子合同訂立系統服務商應配合從業機構向監管部門或行業自律組織完成報備等合規工作。

6.7.8 數據安全

數據安全主要包括數據存儲安全、授權訪問控制、隱私保護和數據備份。

a) 平臺和電子合同訂立系統應采取安全措施，確保電子合同不泄露，對電子合同進行加密存儲；

b) 平臺和電子合同訂立系統應具有授權訪問控制功能，借款人和出借人只有通過實名核驗后，才可查看、下載本人已訂立的電子合同；

c) 電子合同訂立系統應對電子合同進行備份并加密存儲，并完整記錄用戶操作日志以備審計。第三方電子合同訂立系統服務商應對電子合同信息嚴格保密，并建立健全信息保護制度，加強內部人員安全管理，確保不泄露電子合同信息。

6.8 電子簽名驗證

從業機構應對借款人和出借人提交的電子簽名進行驗證，以保證電子合同的完整性和抗抵賴性，電子簽名驗證應滿足如下要求：

a) 驗證用戶數字證書的有效性；

b) 驗證數字簽名的有效性；

c) 驗證簽名所使用的簽名算法是否符合要求；

d) 驗證簽名所使用的數據摘要算法是否符合要求；

e) 驗證產生簽名的數字證書與用戶的關聯關系。

電子合同訂立系統應具有在線校驗電子合同的功能，驗證簽名者的身份、數字證書、時間戳的有效性。如果合同內容或簽名被篡改，應提示文檔被篡改、失效。

6.9 從業機構真實身份標識

平臺應使用OV或EV SSL網站認證證書等手段標識交易網站的真實性，并有效保護交易信息的安全。

6.10 從業機構安全評估與監管

從業機構應記錄并留存借款人和出借人的合同記錄，留存期限為自合同到期日起5年，對于已有法律、規章規定電子合同保存期的，電子合同保存期限應與該保存期一致。

從業機構應聘請有資質的信息安全測評認證機構定期對信息安全實施測評認證，向出借人與借款人等披露測評認證結果，且定期開展安全評估，接受國家和行業主管部門的信息安全檢查和審計。

7 電子合同存儲

7.1 概述

電子合同應通過電子合同第三方存儲服務商進行存儲與備份。

電子合同保存期限應自合同到期日起 5 年，對于已有法律、規章規定電子合同保存期的，電子合同保存期限應與該保存期一致。

7.2 密碼算法及密碼產品要求

電子合同第三方存儲系統所涉及的密碼算法可包括但不限于：雜湊算法、非對稱密碼算法、對稱密碼算法等，所有算法應是國家密碼主管部門認可的算法。

電子合同第三方存儲系統采用的密碼模塊或密碼產品應具有國家密碼管理局頒發的商用密碼產品型號資質證書。

7.3 資質要求

電子合同第三方存儲系統應具備公安部信息安全等級保護三級或者更高級別認證。

電子合同第三方存儲系統部署在公有云時，云服務應通過工業和信息化部的可信云服務認證。

電子合同第三方存儲服務商應具備 ISO 27001 認證。

7.4 真實身份標識

電子合同第三方存儲系統應使用OV或EV SSL網站認證證書等手段標識網站的真實性，并有效保護交易信息的安全。

7.5 業務持續性保障

a) 應部署在符合GB 50174-2017要求的A級數據中心機房；

b) 應建立或使用與其業務規模相匹配的災備系統設施，系統的災難恢復能力應滿足GB/T20988-2007的第五級要求，實時數據傳輸及完整設備支持，保證業務持續性及應急響應；

c) 應提供7*24小時服務，并提供7*24小時服務熱線，全年服務可用率應達到99.95%及以上。

7.6 通訊安全

電子合同訂立系統和電子合同第三方存儲系統之間的數據在公網傳輸時應采用數據加密技術實現機密性保護，保證數據傳輸的安全性。

7.7 終止或轉移服務

從業機構應與電子合同第三方存儲服務商約定履行如下義務：

a) 電子合同第三方存儲服務商不能繼續提供服務時，應當在終止或轉移服務九十日前以書面形式告知從業機構；

b) 電子合同第三方存儲服務商應向從業機構提供雙方認可的電子合同數據遷移方案和技術支持。

7.8 安全評估與監管

電子合同第三方存儲系統應由有資質的信息安全測評認證機構定期對信息安全實施測評認證，并向使用其服務的從業機構、借款人和出借人披露測評認證結果。

電子合同第三方存儲服務商應配合從業機構完成監管部門或行業自律組織要求的報備、檢查等合規工作。有監管要求時由國家級行業自律組織使用解密密鑰解密原文。

7.9 數據安全

數據安全主要包括數據存儲安全和隱私保護。

a) 平臺和電子合同第三方存儲系統應采取安全措施，確保電子合同不泄露，對電子合同進行加密存儲。電子合同的加密密鑰和解密密鑰應由國家級行業自律組織管理，從業機構應使用上述加密密鑰將電子合同加密存儲在電子合同第三方存儲系統，密鑰管理應符合國家密碼管理部門及行業主管部門要求；

b) 電子合同第三方存儲系統應完整記錄用戶操作日志以備審計。電子合同第三方存儲服務商應對電子合同信息嚴格保密，并建立健全信息保護制度，加強內部人員安全管理，確保不泄露電子合同信息。

8 司法舉證要求

當發生平臺跑路等惡性事件或借款人、出借人在平臺產生糾紛時，相關當事方（包括但不限于從業機構、第三方電子合同訂立系統服務商、電子合同第三方存儲服務商）具有協助舉證方（包括但不限于公檢法機構、借款人、出借人）進行舉證的義務。證據證明包括但不限于：

a) 從業機構提供訂立的電子合同原文，借款人、出借人在平臺的實名核驗、支付、投資記錄、還款記錄等證據，從業機構依據《網絡安全法》對公民個人信息安全保護以及告知義務的履行證明文件，從業機構對接的支付機構或存管銀行提供資金流水記錄等證據；

b) 第三方電子合同訂立系統服務商和電子合同第三方存儲服務商宜與仲裁機構或司法鑒定機構等電子證據機構對接，如有司法舉證的需求，合作的電子證據機構應出具鑒定報告；

c) 電子認證服務機構出具數字證書驗證報告，證明證書及電子簽名的有效性；

d) 電子簽名人委托他人代為實施簽名行為時，從業機構或第三方電子合同訂立系統服務商提供電子簽名制作數據由電子簽名人控制的證據，包括調用電子簽名制作數據的時間和方式、電子簽名人位置、IP地址、授權及認證方式、授權及認證記錄等；

e) 有司法舉證要求時由國家級行業自律組織使用解密密鑰解密原文；

f) 司法機構要求配合提供的其他相關證據。