银监会P2P网络借贷风险专项整治工作领导小组办公室已于12月8日发布《小额贷款公司网络小额贷款业务风险专项整治实施方案》，旨在通过专项整治，严格网络小额贷款资质审批，规范网络小额贷款经营行为，严厉打击和取缔非法经营网络小额贷款的机构。

此次专项整治实施方案通知里关于信息安全的有几点需要我们注意的是：

1、重新审查网络小额贷款经营资质。

        根据网络小额贷款业务的特点，根据国务院有关文件和当地现行有关制度规定(当地无相关监管制度的应尽快补齐) ，主要审查发起股东资质、借款人来源、互联网场景、内生数据基础和数字化风控技术等方面的经营资质要求是否严格合理，核查获批经营资质的机构是否符合相关条件。

2、信息安全。

        排查小额贷款公司是否建立网络信息安全管理体系，是否妥善保管客户资料和交易信息，保护客户隐私。是否以"大数据"为名窃取或滥用客户隐私信息，非法买卖或泄露客户信息。

时间安排：

      《方案》指出，各地区监管部门对网络小额贷款经营情况进行摸底排查后，应于2018年1月底前将摸底排查情况报P2P 网络借贷风险专项整治工作领导小组办公室。

        摸底排查后，以法律法规和有关监管要求为依据，根据违法违规性质、情节轻重、风险程度和社会危害程度等因素对各类机构实施分类处置。此项工作于2018年3月底前完成。具体分类处置方式如下：

        合规类机构。对于已获得网络小额贷款经营资质的机构，按专项整治要求重新审查网络小额贷款经营资质，对确认符合资质要求、依法合规开展业务的纳入合规类机构，继续实施有效监管， 督促其规范经营。

        整改类机构。

一是对于已获得网络小额贷款经营资质，重新审查后发现不符合经营资质要求的，撤销网络小额贷款经营资质， 严禁此类机构在其批设部门所辖行政区域外开展贷款业务，由机构提出整改计划，监管部门监督执行。

二是对于已获得网络小额贷款经营资质，重新审查后确认符合资质要求，但在股权管理、 融入资金、综合实际利率、贷款管理、贷款催收、贷款范围、业务合作、信息安全等方面不符合专项整治要求和有关规定的，责令限期整改。整改后验收合格的，继续实施有效监管，督促其规范经营，发生违法违规行为的视情节轻重采取相应监管措施。整改后验收不合格的，撤销网络小额贷款经营资质，并且依法予以处置，违法违规情节严重的坚决取缔，涉嫌非法集资的按照处置非法集资工作机制予以查处。

        简单总结下时间安排：到2018年1月底各地区监管部门对网络小额贷款经营情况进行摸底排查；到2018年3月底对各类P2P机构实施分类处置。合规的可以继续经营，不符合经营资质要求的撤销网络小额贷款经营资质，符合资质要求，但在信息安全等方面不符合专项整治要求和有关规定的，责令限期整改。

        那么P2P公司的信息安全怎么做才是符合规定的。在《网络借贷信息中介机构业务活动管理暂行办法》中做了明确要求：

        第十八条　网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试，具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度，建立信息科技管理、科技风险管理和科技审计有关制度，配置充足的资源，采取完善的管理控制措施和技术手段保障信息系统安全稳健运行，保护出借人与借款人的信息安全。

        网络借贷信息中介机构应当记录并留存借贷双方上网日志信息，信息交互内容等数据，留存期限为自借贷合同到期起5年；每两年至少开展一次全面的安全评估，接受国家或行业主管部门的信息安全检查和审计。

        网络借贷信息中介机构成立两年以内，应当建立或使用与其业务规模相匹配的应用级灾备系统设施。

总结下就是：

1、落实国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试；

2、具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和相关管理制度；

3、记录并留存借贷双方上网日志信息，信息交互内容等数据，留存期限为自借贷合同到期起5年；

4、每两年至少开展一次全面的安全评估，接受国家或行业主管部门的信息安全检查和审计；

5、两年内建立或使用与业务规模相匹配的应用级灾备系统。

        但是目前一些P2P公司在实际开展信息安全工作中遇到一些问题，比如部分地区公安网安部门担心P2P公司不靠谱，怕他们跑路等原因而不接受这些公司的系统备案申请，导致这些公司无法落实等级保护制度要求。一边是金融主管部门要求其落实等级保护制度，一边是公安网安部门不同意其备案申请。这个信息安全工作就没法做下去，不得不等认为这个状态有病，得治。我们的部分地区公安网安部门用力过度，考虑太多。公安网安部门负责信息系统的备案申请及日常的信息安全监督审查职能，只要其备案资料准确齐全，该备案就得给其备案，跑路的事不是你们要考虑的事，P2P公司资质申请和日常经营监管这块更多的是有金融相关主管部门去负责，公安网安部门只需要负责其信息安全工作是否落实到位即可，其他不用过多考虑。如果P2P公司申请了系统备案而网安部门因不合理理由不给其备案，难免有懒政嫌疑。反过来我们网安部门在受理这些公司的备案时，需要对其资料进行严格审查，必要时需要去现场对相关情况进行实际核实，后期在安全整改上进行督促，要求这些P2P单位必须做好信息安全工作，达到相应的信息安全防护水平，确保它们在信息安全这块是符合要求的，能够保证广大借贷双方的信息安全。