網(wǎng)絡借貸信息中介機構的“保管信息義務”

早在2013年，最高人民法院、最高人民檢察院、公安部《關于依法懲處侵害公民個人信息犯罪活動的通知》便指出：“當前，一些犯罪分子為追求不法利益，利用互聯(lián)網(wǎng)大肆倒賣公民個人信息，已逐漸形成龐大‘地下產(chǎn)業(yè)’和黑色利益鏈。買賣的公民個人信息包括戶籍、銀行、電信開戶資料等，涉及公民個人生活的方方面面。部分國家機關和金融、電信、交通、教育、醫(yī)療以及物業(yè)公司、房產(chǎn)中介、保險、快遞等企事業(yè)單位的一些工作人員，將在履行職責或者提供服務過程中獲取的公民個人信息出售、非法提供給他人。獲取信息的中間商在互聯(lián)網(wǎng)上建立數(shù)據(jù)平臺，大肆出售信息謀取暴利。非法調(diào)查公司根據(jù)這些信息從事非法討債、詐騙和敲詐勒索等違法犯罪活動。此類犯罪不僅危害公民的信息安全，而且極易引發(fā)多種犯罪，成為電信詐騙、網(wǎng)絡詐騙以及滋擾型‘軟暴力’等信息犯罪的根源，甚至與綁架、敲詐勒索、暴力追債等犯罪活動相結合，影響人們?nèi)罕姷陌踩校{社會和諧穩(wěn)定。”2015年，《刑法修正案（九）》第十七條將刑法第二百五十三條之一修改為“侵犯公民個人信息罪”。

網(wǎng)絡借貸信息中介業(yè)務中，《網(wǎng)絡借貸信息中介機構業(yè)務活動管理暫行辦法》（以下稱“《辦法》”）第九條規(guī)定：“網(wǎng)絡借貸信息中介機構應當履行下列義務： （六）妥善保管出借人與借款人的資料和交易信息，不得刪除、篡改，不得非法買賣、泄露出借人與借款人的基本信息和交易信息。”可見，出借人與借款人的資料和交易信息能夠反映網(wǎng)絡借貸的實際情況，是事后認定網(wǎng)絡借貸存在的重要證據(jù)。考慮到網(wǎng)絡借貸借、貸雙方匿名性的特征，信息中介機構作為居間方，且負有收集、整理借款人與貸款人義務，故《辦法》規(guī)定網(wǎng)絡借貸信息中介機構有義務妥善保存該些數(shù)據(jù)。

近年來，隨著我國經(jīng)濟快速發(fā)展和信息網(wǎng)絡的廣泛普及，侵害公民個人信息的違法犯罪日益突出，互聯(lián)網(wǎng)上非法買賣公民個人信息泛濫，由此滋生的電信詐騙、網(wǎng)絡詐騙、敲詐勒索、等犯罪屢打不絕，因此，《辦法》要求網(wǎng)絡借貸信息中介機不得非法買賣、泄露出借人與借款人的基本信息和交易信息。

《辦法》第九條實際上要求建立出借人與借款人資料、信息保管制度。理解本條應從網(wǎng)絡借貸信息中介機構應保管信息的范圍、保管制度建立、具體保管方式等方面入手。

網(wǎng)絡借貸信息中介機構應保管信息的范圍

（一）反洗錢信息

《辦法》第九條第六項規(guī)定，網(wǎng)絡借貸信息中介機構有義務依法履行交易記錄保存等反洗錢和反恐怖融資義務。因此，網(wǎng)絡借貸信息中介機構應保存與反洗錢與反恐怖融資相關的信息。

（二）網(wǎng)絡借貸業(yè)務活動信息

《辦法》第二十三條規(guī)定，網(wǎng)絡借貸信息中介機構應當采取適當?shù)姆椒ê图夹g，記錄并妥善保存網(wǎng)絡借貸業(yè)務活動數(shù)據(jù)和資料，做好數(shù)據(jù)備份。保存期限應當符合法律法規(guī)及網(wǎng)絡借貸有關監(jiān)管規(guī)定的要求。借貸合同到期后應當至少保存5年。因此，網(wǎng)貸業(yè)務活動的全部數(shù)據(jù)與資料均應當保存。

建立信息保管制度

為了將《辦法》第九條第六項規(guī)定的信息保管制度具體化，《辦法》第十八條規(guī)定網(wǎng)絡借貸信息中介機構應當建立信息科技管理制度。本條實際上是要求網(wǎng)絡借貸信息中介機構設立信息保管制度，以有效保管相關信息。

保護公民信息制度化是破解公民信息泄露引發(fā)合規(guī)糾紛的關鍵所在。

網(wǎng)絡借貸信息中介機構應依照國家質(zhì)量監(jiān)督檢驗檢疫總局、國家標準化管理委員會頒布的《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》、工信部頒布的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》制定用戶信息保護制度。必要時，可以聘用律師制定相關制度以確保合規(guī)性。

同時，保護公民信息制度化既是網(wǎng)絡借貸信息中介機構經(jīng)營行為的合規(guī)標志之一，也是網(wǎng)絡借貸信息中介機構陷入侵犯公民個人信息指控之時的免責證據(jù)之一。

保管方式

《辦法》第二十三條要求網(wǎng)絡借貸信息中介機構應當采取適當?shù)姆椒ê图夹g以保障網(wǎng)貸活動信息保存。此外，《辦法》第十八條還規(guī)定，網(wǎng)絡借貸信息中介機構應當按照國家網(wǎng)絡安全相關規(guī)定和國家信息安全等級保護制度的要求，開展信息系統(tǒng)定級備案和等級測試，具有完善的防火墻、入侵檢測、數(shù)據(jù)加密以及災難恢復等網(wǎng)絡安全設施和管理制度，建立信息科技管理、科技風險管理和科技審計有關制度，配置充足的資源，采取完善的管理控制措施和技術手段保障信息系統(tǒng)安全穩(wěn)健運行，保護出借人與借款人的信息安全。可見，《辦法》對信息保管的安全性提出了較高要求。

違反保管義務的刑事風險

我國《刑法》第二百五十三條之一規(guī)定了侵犯公民個人信息罪：“違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

“違反國家有關規(guī)定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。

“竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。“單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰。”

公民個人信息的范圍

依照《關于依法懲處侵害公民個人信息犯罪活動的通知》，公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料。

依照《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，用戶個人信息是指電信業(yè)務經(jīng)營者和互聯(lián)網(wǎng)信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。

依照《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》，個人信息（personal information）是可為信息系統(tǒng)所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數(shù)據(jù)。個人信息可以分為個人敏感信息和個人一般信息。個人敏感信息（personal sensitive information）是指一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。各行業(yè)個人敏感信息的具體內(nèi)容根據(jù)接受服務的個人信息主體意愿和各自業(yè)務特點確定。例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等；個人一般信息（personal general information）是指除個人敏感信息以外的個人信息。