近年来，随着我国经济快速发展和信息网络的广泛普及，侵害公民个人信息的违法犯罪日益突出，互联网上非法买卖公民个人信息泛滥，由此滋生的电信诈骗、网络诈骗、敲诈勒索等犯罪屡打不绝。

事实上，网络借贷信息中介机构具有保管信息义务。根据《网络借贷信息中介机构业务活动管理暂行办法》(以下称“《办法》”)要求网络借贷信息中介机机构不得非法买卖、泄露出借人与借款人的基本信息和交易信息。

保管信息义务有法可依

早在2013年，最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》便指出：“当前，一些犯罪分子为追求不法利益，利用互联网大肆倒卖公民个人信息，已逐渐形成庞大"地下产业"和黑色利益链。买卖的公民个人信息包括户籍、银行、电信开户资料等，涉及公民个人生活的方方面面。部分国家机关和金融、电信、交通、教育、医疗以及物业公司、房产中介、保险、快递等企事业单位的一些工作人员，将在履行职责或者提供服务过程中获取的公民个人信息出售、非法提供给他人。获取信息的中间商在互联网上建立数据平台，大肆出售信息谋取暴利。非法调查公司根据这些信息从事非法讨债、诈骗和敲诈勒索等违法犯罪活动。此类犯罪不仅危害公民的信息安全，而且极易引发多种犯罪，成为电信诈骗、网络诈骗以及滋扰型"软暴力"等信息犯罪的根源，甚至与绑架、敲诈勒索、暴力追债等犯罪活动相结合，影响人们群众的安全感，威胁社会和谐稳定。”

2015年，《刑法修正案(九)》第十七条将刑法第二百五十三条之一修改为“侵犯公民个人信息罪”。

网络借贷信息中介业务中，《网络借贷信息中介机构业务活动管理暂行办法》(以下称“《办法》”)第九条规定：“网络借贷信息中介机构应当履行下列义务：

妥善保管出借人与借款人的资料和交易信息，不得删除、篡改，不得非法买卖、泄露出借人与借款人的基本信息和交易信息。”可见，出借人与借款人的资料和交易信息能够反映网络借贷的实际情况，是事后认定网络借贷存在的重要证据。考虑到网络借贷的借贷双方匿名性的特征，信息中介机构作为居间方，且负有收集、整理借款人与贷款人义务，故《办法》规定网络借贷信息中介机构有义务妥善保存这些数据。

《办法》第九条实际上要求建立出借人与借款人资料、信息保管制度。理解本条应从网络借贷信息中介机构应保管信息的范围、保管制度建立、具体保管方式等方面入手。

应保管信息的范围

(一)反洗钱信息

《办法》第九条第六项规定，网络借贷信息中介机构有义务依法履行交易记录保存等反洗钱和反恐怖融资义务。因此，网络借贷信息中介机构应保存与反洗钱与反恐怖融资相关的信息。

(二)网络借贷业务活动信息

《办法》第二十三条规定，网络借贷信息中介机构应当采取适当的方法和技术，记录并妥善保存网络借贷业务活动数据和资料，做好数据备份。保存期限应当符合法律法规及网络借贷有关监管规定的要求。借贷合同到期后应当至少保存5年。因此，网贷业务活动的全部数据与资料均应当保存。

为了将《办法》第九条第六项规定的信息保管制度具体化，《办法》第十八条规定网络借贷信息中介机构应当建立信息科技管理制度。本条实际上是要求网络借贷信息中介机构设立信息保管制度，以有效保管相关信息。

保护公民信息制度化是破解公民信息泄露引发合规纠纷的关键所在。网络借贷信息中介机构应依照国家质量监督检验检疫总局、国家标准化管理委员会颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》、工信部颁布的《电信和互联网用户个人信息保护规定》制定用户信息保护制度。必要时，可以聘用律师制定相关制度以确保合规性。

同时，保护公民信息制度化既是网络借贷信息中介机构经营行为的合规标志之一，也是网络借贷信息中介机构陷入侵犯公民个人信息指控之时的免责证据之一。

《办法》第二十三条要求网络借贷信息中介机构应当采取适当的方法和技术以保障网贷活动信息保存。此外，《办法》第十八条还规定，网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试，具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度，建立信息科技管理、科技风险管理和科技审计有关制度，配置充足的资源，采取完善的管理控制措施和技术手段保障信息系统安全稳健运行，保护出借人与借款人的信息安全。可见，《办法》对信息保管的安全性提出了较高要求。

公民个人信息的范围

依照《关于依法惩处侵害公民个人信息犯罪活动的通知》，公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。

依照《电信和互联网用户个人信息保护规定》，用户个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

依照《信息安全技术公共及商用服务信息系统个人信息保护指南》，个人信息是可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。个人敏感信息是指一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等;个人一般信息是指除个人敏感信息以外的个人信息。

互融云互联网金融系统小编认为，个人信息的安全对每个人来说都至关重要，这是每个人的义务和职责。通过泄露他人信息发家致富的行为是不道德的，也应该受到相关处置。