T/CQJR 009-2024 互联网贷款业务数据安全要求

ICS03.060

A11

团体标准

T/CQJR009—2024

互联网贷款业务数据安全要求

Datasecurityrequirementsforinternetloanbusiness

2024-05-13发布2024-06-12实施

重庆市金融学会发布

II

T/CQJR009—2024

目次

前言...............................................................................II

1范围..............................................................................1

2规范性引用文件....................................................................1

3术语和定义........................................................................1

4概述..............................................................................2

4.1互联网贷款业务概述............................................................2

4.2互联网贷款业务典型场景概述....................................................3

5典型场景数据安全要求..............................................................4

5.1营销获客......................................................................4

5.2授信签约......................................................................4

5.3放款还款......................................................................5

5.4贷后管理......................................................................5

5.5风险管理......................................................................6

5.6资产管理......................................................................6

5.7监管报送......................................................................6

5.8合作机构管理..................................................................7

6通用安全要求......................................................................7

6.1安全管理......................................................................7

6.2数据安全......................................................................8

6.3系统安全......................................................................8

6.4物理安全......................................................................8

6.5日志安全......................................................................8

6.6信息科技外包安全..............................................................8

6.7业务连续性....................................................................9

参考文献........................................................................10

I

T/CQJR009—2024

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的

规定起草。

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别的责任。

本文件由重庆蚂蚁消费金融有限公司、重庆富民银行股份有限公司提出。

本文件由重庆市金融学会归口。

本文件起草单位：蚂蚁科技集团股份有限公司、重庆蚂蚁消费金融有限公司、蚂蚁智信（杭

州）信息技术有限公司、浙江网商银行股份有限公司、平安银行股份有限公司、重庆富民银行股份

有限公司、重庆农村商业银行股份有限公司、汉口银行股份有限公司、中国对外经济贸易信托有限

公司、国投泰康信托有限公司、天津信托有限责任公司、马上消费金融股份有限公司、招联消费金

融股份有限公司、重庆小米消费金融有限公司。

本文件主要起草人：李士群、胡元美、史艳语、彭晋、白晓媛、陈彬、钱云杰、姜志辉、梅婧

婷、刘义、宋铮、赵勇、张园超、谢宗华、王尧、陈晓蓉、孙金绣、王睿、李志、苏毅、杨莹莹、

田成志、邓钦心、杨宇杰、李婕、谢颖、李巧、刘晶、杨吉庆、于浩洋、郑煜、赖德泳、刘佳音、

陈南。

本文件为首次发布。

II

T/CQJR009—2024

互联网贷款业务数据安全要求

1范围

本文件概述了互联网贷款业务和典型的业务场景，并规定了典型业务场景下的数据安全要求和

通用安全要求。

本文件适用于对互联网贷款业务相关方数据安全能力进行评估，也可为互联网贷款业务相关方

开展数据安全能力建设时提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用

文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改

单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB50174-2017数据中心设计规范

JR/T0223-2021金融数据安全数据生命周期安全规范

JR/T0044-2008银行业信息系统灾难恢复管理规范

JR/T0265-2023金融数据中心能力建设指引

3术语和定义

下列术语和定义适用于本文件。

3.1

互联网贷款Internetloan

运用信息通信技术，线上自动受理贷款申请并完成授信审批、合同签订、贷款支付、贷后管理

等核心业务环节操作，为符合条件的借款人提供的用于消费、日常生产经营周转等的个人贷款和流

动资金贷款。

注：互联网贷款通常基于风险数据和风险模型进行交叉验证和风险管理。

3.2

自营贷款self-operatedloan

金融机构通过自主品牌经营贷款产品，利用自身线上渠道为自有客户提供互联网贷款服务。

3.3

联合贷款cofinancingloan

1

T/CQJR009—2024

由两家或两家以上金融机构按约定比例出资，共同经营贷款产品，为客户提供互联网贷款服

务。

3.4

助贷partnershiplending

金融机构外的第三方机构发挥自身平台、数据或科技等优势，为金融机构提供引流、营销、获

客、催收等互联网贷款的支撑服务。

3.5

合作机构partner

在互联网贷款业务中，与商业银行在营销获客、共同出资发放贷款、支付结算、风险分担、信

息科技、逾期清收等方面开展合作的各类机构。

注：合作机构包括但不限于银行业金融机构、保险公司等金融机构和小额贷款公司、融资担保公司、电子商务

公司、非银行支付机构、信息科技公司等非金融机构。

3.6

客户身份基本信息basicinformationofcustomeridentity

自然人客户的“身份基本信息”包括客户的姓名、性别、国籍、职业、住所地或者工作单位地

址、联系方式，身份证件或者身份证明文件的种类、号码和有效期限。

4概述

4.1互联网贷款业务概述

当前互联网贷款业务的开展形式主要包括：自营贷款模式、联合贷款模式和助贷模式。在当前

互联网贷款生态中，除了提供互联网贷款服务的金融机构之外，还有支持互联网贷款机构开展业务

的各类信息科技和专业服务公司，如提供助贷平台服务、贷后催收服务的公司等。

互联网贷款业务工作的开展主要分为贷前管理、贷中管理和贷后管理三个环节。

a)贷前管理主要包括:

•营销获客：互联网贷款业务提供方面向目标客户开展贷款营销。联合贷款模式和助贷模

式下，还涉及到出资发放贷款的合作机构间分配获取到的客户。

•授信签约：客户为了使用互联网贷款业务而开通互联网线上账号并提交互联网贷款申

请，同时客户提供相应授权后，互联网贷款业务提供方对客户开展贷前调查、风险测

算并对贷款申请给出审批结果，最终双方完成一笔贷款合作的签约。

b)贷中管理主要包括：

•放款还款：互联网贷款业务提供方基于客户需求完成贷款金额的放款支用，并对客户的

资金使用用途及资金流向进行监控或抽样核查，客户根据贷款合约的还款计划进行还

款。

c)贷后管理主要包括：

•逾期催收：针对客户逾期还款的贷款进行催收。

•呆账核销：针对客户逾期还款的贷款且符合核销条件的进行核销。

另外，在贷款业务运营管理中，还包括风险管理、资产管理、监管报送、合作机构的管理。

a)风险管理：实现贷款业务过程中的反洗钱、反欺诈等风险管控。

2

T/CQJR009—2024

b)资产管理：主要为互联网贷款业务资产的管理和转让，实现互联网贷款业务的负债风险管理

和融资。

c)监管报送：根据人行、金融监督管理局的监管合规报送要求，整理报送数据并及时上报。

d)合作机构管理：基于互联网贷款开展的业务合作需求，完成合作机构的准入、日常管理和退

出管理。

4.2互联网贷款业务典型场景概述

互联网贷款业务各环节典型场景中涉及的数据及处理活动如下表1所示。

表1互联网贷款业务各环节典型场景中涉及的数据及处理活动

业务环节典型场景涉及数据数据处理活动

a)使用客户的个人属性数

a)通