总第86期 保险业数据合规全面解读
编者按
近年来,保险业进入数字化转型的关键时期,适逢《个人信息保护法》等法律规定出台实施,既需要发展数字化业务,又亟需提升数据合规水平。实践表明,保险业属于个人信息保护合规风险较高的领域,主管部门对数据合规的执法力度不断加大,保险企业被处罚的案例屡见不鲜,包括直接对从业人员和高管个人的处罚,甚至追究刑事责任。保险业作为数据密集型行业,数据规模大、场景多元、价值明显,数据合规越来越重要。
金杜网络安全与数据合规团队针对保险业数据合规问题进行全面梳理和解读,以为保险行业数据合规实践提供参考指引。
目录
保险业数据合规典型案例分析
一、保险业数据合规案例总体情况
保险业数字化转型是面向数字时代发展的必然趋势,也是监管机构的明确部署要求,更是高质量服务客户的关键所在。保险业数字化转型意味着提供服务过程中,将大量处理数据,比如传统业务数字化过程中,需要通过信息化手段处理数据以提供投保、核保、理赔等保险服务,而新型保险业务更是以数据为基础,覆盖业务全流程。保险业务本身就需要处理大量个人信息,亦积累了丰富的个人信息资源,面对《个人信息保护法》等合规新要求,保险业在加速数字化转型的同时,也必须做好个人信息保护的数据合规工作。
自2021年《个人信息保护法》正式出台以来,保险业数据合规问题逐步凸显,监管部门针对保险业采取了一系列监管活动,对保险业个人信息合规提出了较高要求。结合公开案例检索和梳理,保险业个人信息保护合规呈现以下特点:
(1)监管部门:涉及金融监管机构、电信管理机构和公安机关。
(2)法律依据:包括《个人信息保护法》《保险法》《保险公司管理规定》《刑法》等。
(3)责任主体:既针对企业,也针对从业人员。
(4)责任类型:包括行政责任和刑事责任,具体为罚款、从业禁止和有期徒刑。
二、常见监管机构及处罚情况
个人信息保护涉及多个监管部门,根据《个人信息保护法》规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。因此,个人信息保护包括一般监管和行业监管两个体系。
一般监管主要包括网信部门、电信管理机构、市场监督管理部门和公安机关。网信部门基于统筹协调和监督管理职责,可以统筹协调有关部门推进个人信息保护工作,可以制定个人信息保护具体规则和标准,可以采取相关个人信息保护监管措施;电信管理机构是指工业和信息化部和省级通信管理局,主要依据电信和互联网个人信息保护职责,侧重于技术手段开展个人信息保护监管工作;市场监督管理部门主要基于消费者权益保护实施个人信息保护监管;公安机关主要从刑事打击的角度进行个人信息保护管理。
行业监管主要由行业主管部门基于《个人信息保护法》以及行业有关个人信息保护规定,开展个人信息保护监管活动。对于保险业而言,行业监管部门是国家金融监督管理总局(原中国银保监会)。
根据现有保险业个人信息处罚情况来看,金融监管机构、电信管理机构和公安机关均有公开案例情况。
1. 金融监管机构(原中国银保监会)
2015年,《国务院办公厅关于加强金融消费者权益保护工作的指导意见》中就要求保障金融消费者信息安全权,要求金融机构应当采取有效措施加强对第三方合作机构的管理,明确双方权利义务关系,严格防控金融消费者信息泄露风险,保障金融消费者信息安全。《个人信息保护法》于2021年通过并实施后,保险业主管部门迅速开展了个人信息保护专项整治工作。2022年,原银保监会向各银保监局、银行保险机构等下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求全面梳理和排查银行业保险业在个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象,督促银行保险机构建立健全消费者个人信息保护工作机制等。
今年3月,国家金融监管总局向各监管局,各大型银行、股份制银行、外资银行、直销银行、理财公司,各保险集团(控股)公司、保险公司、保险专业中介机构下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,指出从目前投诉督查、举报调查、监管评价等工作中反映的问题来看,银行保险机构侵害个人信息权益的行为仍时有发生,内部管控还存在短板弱项和风险隐患。该通报指出从自查和抽查结果看,专项整治全面深入检视了银行保险机构个人信息处理工作各类流程,在个人信息处理具体执行层面发现大量问题或者隐患,机构自查共发现问题15.42万个,涉及员工14.09万人,影响消费者1.99亿人次,涉及合同协议、声明等2.63万份;监管部门开展监管抽查共发现问题5561个,涉及机构1985家次、员工3566人,影响消费者1556万人次。
发现的主要问题集中在五大方面:一是个人信息收集方面,存在强制同意、扩大授权、笼统授权等问题。譬如,某银行在信用卡申请环节,加入消费者无法取消的授权条款,强制消费者同意将其信息用于其他产品或者服务营销。某保险公司短期健康险投保单在格式化的业务申请表中加入预设的不合理授权条款,强制消费者同意将其信息提供给外部机构,并用于与其所办理业务无关的用途。二是个人信息存储和传输方面,存在电子数据管理混乱、纸质材料管理不严、传输方式不安全等问题。譬如,部分银行保险机构存在员工通过自建业务微信群发送客户身份证、社保卡照片等个人信息的情况。三是个人信息查询和使用方面,存在违规查询账户信息、不当使用客户信息等问题。四是个人信息提供和删除方面,存在未经授权对外提供、未及时删除等问题。五是个人信息第三方合作方面,存在对合作机构管控失效等问题。主要表现为,与第三方机构签订的协议中未约定消费者个人信息保护内容,未及时发现和处置第三方机构侵害个人信息权益行为。
2. 电信管理机构
电信管理机构负有电信和互联网领域个人信息保护的职责,是国内最早开展个人信息保护监管的机构。2013年,工信部出台《电信和互联网用户个人信息保护规定》(工信部令第24号),对电信服务和互联网信息服务过程中收集、使用用户个人信息的活动进行全面规范。
2019年以来,工信部以及地方通信管理局组织开展APP个人信息保护专项工作,主要依据的是两个通知——《关于开展信息通信服务感知提升行动的通知》和《关于开展纵深推进APP侵害用户权益专项整治行动的通知》。重点合规的内容包括:1.是否有双清单,即先前提及的已收集个人信息清单和第三方共享个人信息清单;2.隐私政策是否完善,是否提供隐私政策摘要,是否充分告知处理目的和方式,如调用权限的目的等;3.是否存在违规处理用户个人信息的行为;4.是否设置障碍影响用户的知情权、选择权,或者频繁骚扰用户,比如反复弹窗、不合理地反复索取权限等;5.是否存在欺骗误导用户的行为。
目前,APP检测治理工作已经由专项工作变为常态化工作,具备强大的技术检测能力和全面的APP(小程序)及SDK的覆盖能力。工信部在个人信息保护法方面充分运用技术手段,通过“全国APP技术检测平台”对上架APP进行技术检测,检测能力达到月均8万款,目标是覆盖所有的APP。对于检测不合格的APP,将通知采取整改措施,不能完成整改措施的,将予以下架处理。《个人信息保护法》第六十六条将这种监督管理手段予以法治化,成为一项法律要求。对于保险业而言,通过互联网开展保险业务的主要载体即为APP和小程序,因此可以说必然将成为被监管对象,在相关合规方面需特别注意。
典型案例:APP检测被通报
今年5月和9月,广东省通信管理局通报的APP名单中(存在问题或未完成整改)均有保险公司。
2024年5月通报的某人寿保险股份有限公司的APP,系因“违规收集个人信息”且限期内未按要求完成整改被公开通报。这款APP是该公司保险代理人的销售服务平台,可以为代理人提供寿险投保、计划书管理、客户管理、线上增员、团队管理、活动量管理、教育培训、业绩查询和运营服务等功能,对于代理人来说是必备的业务工具。
2024年9月通报的是某保险经纪有限公司的APP,系因“超范围收集个人信息”且限期内未按要求完成整改被公开通报。这款APP的功能是为保险代理人提供推销平台,帮助保险代理人拓客和在线销售。
3. 公安机关
侵犯公民个人信息不仅可能承担行政责任,还可能构成“侵犯公民个人信息罪”。《刑法》第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。该条第二款明确,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。第三款规定,窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
典型案例:偷拍客户信息涉嫌刑事犯罪
今年初,姚某通过某财险集团某市分公司办理了一份某银行的助贷后,姚某手机通讯录里的所有联系人、部分通话记录、微信好友及聊天记录等,全部被偷拍并存储于该财险公司的百度网盘里。该财险公司掌握了姚某的这些信息后,在姚某的贷款未逾期时就进行催收。姚某手机里的朋友、亲戚、同事、甚至村支部干部都接到了催收电话,母亲也因此脑梗住院,姚某表示这给他带来很大痛苦。根据公开报道,该财险公司拍摄存储的这类信息不只是姚某一个人的,而是2018年至2023年在该市分公司办理助贷业务的大批人员。2024年1月,公安机关刑警队受理案件并向姚某出具了受案回执。该案件引发巨大反响,严重影响了该保险公司的声誉。而且,根据后续刑警侦查结果,该公司及相关责任人员极有可能承担相应刑事责任。
三、可能承担的法律责任
根据《个人信息保护法》《保险法》《保险公司管理规定》《刑法》等法律规定,保险业违反个人信息保护要求,可能承担行政责任和刑事责任(同时也不排除在私力救济案件中涉及民事责任),单位和个人都可能承担法律责任。
1. 刑事责任
个人信息保护合规的最大风险是刑事责任。《刑法》第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。该条第二款明确,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。第三款规定,窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
2017年,最高人民法院、最高人民检察院出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,明确“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。同时还明确了入刑标准,主要考量数量和金额标准。具体如下:
.png)
对于保险业而言,需要特别注意的是,在服务过程中侵犯公民个人信息,属于加重情节(即在提供服务过程中获得的公民个人信息),构成刑事犯罪的门槛很低(标准减半)。
典型案例:某保险公司员工售卖个人信息被判刑
2020年2月至12月,某保险公司客服王某某和某公司业务主任姜某串通,由姜某提供保险公司客户的电话销售保单号,王某某查询保单号并提供保险客户的姓名、联系方式、地址、购买险种、保费、购买时间、到期时间等,姜某据此开展保险销售业务。姜某向王某某支付每条信息8至15元。期间,王某某还联系了同事孔某、蒋某,协助提供信息。王某某、孔某、蒋某从中非法获利超过26万元,被判处有期徒刑一至三年。
2. 行政责任
行政责任中以《个人信息保护法》为最重,对企业的罚款没有下限,而最高可至五千万元或者上一年度营业额的百分之五;对人员的处罚起点是十万元,最高可至一百万元,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。除了罚款和从业限制,违反《个人信息保护法》,还可能被没收违法所得,责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
典型案例1:某保险公司及代理人违规收集个人信息被处罚
2024年7月,某保险公司因违规收集使用个人信息,被国家金融监督管理总局某地方监管局处罚,处罚事项为“违规收集使用个人信息”,对公司处警告并罚款32万元,对1名保险代理人罚款2万元,对违规收集使用个人信息问题负有直接管理责任的副经理(主持工作)罚款6万元。
值得注意的是,本案的处罚依据是《中华人民共和国保险法》第一百六十一条和《保险公司管理规定》第六十九条。而如果依据《个人信息保护法》进行处罚,对单位罚款的上限将至5000万元(或上一年度营业额的5%),对个人罚款的最低额为10万元,最高额可至100万元。可见,《个人信息保护法》对个人信息违法行为的处罚力度大为加强。
典型案例2:保险公司高管、员工因侵犯公民个人信息被禁业
2022年8月,原银保监会宁夏监管局作出行政处罚,对某保险公司电网销业务部总经理处以禁止进入保险业5年的行政处罚;对某2家保险公司3名员工处以禁止进入保险业5年的行政处罚。违法违规事实均为:违反法律规定侵犯公民个人信息。
上述处罚依据为《中华人民共和国保险法》第一百七十七条:违反法律、行政法规的规定,情节严重的,国务院保险监督管理机构可以禁止有关责任人员一定期限至终身进入保险业。而《个人信息保护法》第六十六条中的规定是,可以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。因此,实际执法过程中,保险业从业者既有可能被禁止从事保险业,也有可能被禁止担任企业高管或个人信息保护负责人。
四、对保险企业合规的启示
保险业涉及投保人、被保险人(含未成年人)、受益人、保险代理人、保险经纪人等多类自然人主体,收集、使用个人信息是业务刚需,且在销售、理赔、关联方共享以及数据出境等场景中都涉及个人信息,在数字化转型过程中亦将海量处理个人信息。随着个人信息保护监管力度不断加大,保险业个人信息保护将成为一项重点的常态工作。
根据典型案例梳理来看,无论是保险公司,还是具体的从业人员,都有可能承担违法处理个人信息的法律责任,乃至被判处有期徒刑的刑事责任。因此对于保险业而言,亟需提升个人信息保护合规意识,掌握个人信息保护合规知识,开展个人信息保护合规工作,从而在数字化浪潮中抓住数字发展红利,同时有效防范个人信息保护合规风险。
保险业数据合规的法律体系
一、整体法律框架
数据领域立法体系庞大,对于非专业人士而言,具有相当的进入门槛和理解难度。对于保险业来说,可以将其归纳为“1+1”的法律框架——数据法律规定和保险行业数据合规专门体系。了解了“1+1”框架,就可以大致掌握主要的法律规定,再结合业务实践以及专业机构的协助,即可在数据领域识别风险并构建相应的合规措施。
(1)在数据法律规定方面,至少包括两个领域,数据安全和个人信息保护,其中个人信息保护对保险业尤为重要。数据安全领域,有必要了解《数据安全法》及相关配套规定。《数据安全法》要求企业开展数据分类分级工作,盘点所掌握的数据,按照相关指引划分为一般数据、重要数据和核心数据。其中,重要数据识别和保护工作最为重要。在个人信息保护领域,有必要了解《个人信息保护法》及相关配套规定。《个人信息保护法》规定了企业处理个人信息的要求,保护个人信息的义务以及个人对其个人信息的权利。
(2)在保险业行业法规方面,有必要了解国家金融监管总局(原中国银保监会)相关法律规定及专项要求,如《保险法》《保险公司管理规定》《关于银行保险机构侵害个人信息权益乱象专项整治工作的通知》,以及《银行保险机构数据安全管理办法(征求意见稿)》等。
此外,数据安全的前提是网络安全,因此也有必要了解和掌握《网络安全法》的相关内容。
二、保险业个人信息保护相关规定
个人信息保护合规是保险业最为重要的部分,目前公开案例中对保险公司及其从业人员的处罚,主要是依据个人信息保护相关法律规定,违法事由也主要是违反个人信息保护相关规定。
1. 《个人信息保护法》主要内容解读
《个人信息保护法》是我国第一部个人信息保护的专门性、基础性法律,全面规范了个人信息的处理活动,明确了个人信息处理者的义务以及个人在个人信息处理活动中的权利等内容。
(1)明确个人信息的范围。个人信息的概念是个人信息保护的前提,也是重要的合规内容。明确什么是个人信息,对后续公司开展个人信息保护工作有很大的指引作用。《民法典》对个人信息认定采取的“识别说”,即能够单独或者与其他信息结合识别特定自然人作为确定该信息是否属于个人信息的标准。《个人信息保护法》中则采取的是“识别说+关联说”,即“与已识别或者可识别的自然人有关的各种信息”。
根据GB/T35273-2020《个人信息安全规范》,判定某项信息是否属于个人信息,应考虑两条路径,符合任一情形的信息,均属于个人信息:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人;二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。举例而言,公司目前有位员工是张三,对公司来说其已经知道了特定的自然人张三,那么在这个情况下,对公司而言关于特定自然人张三的所有信息都是个人信息,因此公司处理张三的个人信息时都必须遵循《个人信息保护法》的要求。此时,没有必要再从张三的单个信息是否能够直接识别张三或与其他信息结合出来识别张三,来认定该等信息是否属于个人信息。就具体个人信息的类型与字段而言,相应的国标等文件中也给出了示例,公司也可在具体实践中去进行对比与参考。在此基础上,《个人信息保护法》还提出了敏感个人信息的概念并进行特殊与严格的保护。
(2)确立个人信息处理的合法性基础。个人信息的处理活动,从客观上来说,就是对自然人的个人信息权益的侵害或影响,因此若无合法的根据或理由,则属于侵害个人信息权益的行为。简单来说,个人信息处理的合法理由有两大类:一是告知并取得个人的同意,其合法性来自个人信息主体的有效同意;二是法定理由,即在具备法律、行政法规规定情形或理由时,该处理活动就是合法的。个人信息处理的合法性基础是目前大部分公司在行业实践中的痛点与难点,往往会成为合规的风险点之一。
(3)多元化的个人信息跨境传输合规路径。目前个人信息跨境传输也是行业实践中的一大热点问题,《个人信息保护法》中给出了网信部门组织的安全评估、个人信息保护认证以及签署标准合同这三条路径,是数据出境的主要方法。同时,今年3月国家网信办出台了《促进与规范数据跨境流动规定》,对部分场景进行了豁免,对部分申报门槛和标准等进行了放宽,也是数据出境需要重点参考的法律规定之一。
(4)保障个人在个人信息处理活动中的权利。《个人信息保护法》通过第四章以专章的形式规定了个人在个人信息处理活动中享知情权、决定权、查阅复制权、可携带权、删除权等针对个人信息处理者的权利,可以有效实现对个人信息权益的保护。
(5)明确个人信息处理者义务。《个人信息保护法》第五章专门规定了个人信息处理者的义务,主要包括一般性义务和特殊义务。一般性义务主要有指定内部管理制度和操作规程、分类管理、采取技术措施、人员培训管理、制定并组织应急预案等;特殊义务则包括指定个人信息保护负责人、设立境内代表处、合规审计、个人信息保护影响评估、数据泄露通知、超大平台义务等。
(6)明确互联网平台义务。这主要是针对大型互联网平台即互联网生态中“守门人”(Gatekeeper)提出的监管合规义务,是借鉴了欧盟《数字市场法》《数字服务法》中关于大型在线平台和数字中介服务提供者的规定。根据《个人信息保护法》规定,所谓“守门人”是指“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,不过目前还没有关于何为“守门人”的权威认定标准。
2. 保险业个人信息保护合规面临哪些风险?
对于保险业个人信息保护合规而言,涉及保险业务的诸多场景,如投保、核保、理赔、客服等环节,我们亦将在后续系列解读中针对场景逐一分析合规要点。结合保险业个人信息保护处罚案例的情况,这里我们先强调合法性基础(同意)、自动化决策和个人信息权利响应的合规要求。
(1)合法性基础(同意)风险
《个人信息保护法》首次从法律层面明确个人信息处理多达七项的合法性依据,具体包括:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。
其中需要特别注意的是,合法性基础以告知同意为基础,而其他六种合法性基础为辅助。“告知”“同意”需要分开理解,告知的重点在于个人信息处理者的告知义务,《个人信息保护法》第十七条要求个人信息处理者以显著方式、清晰易懂的语言真实、准确、完整地向个人告知,这也是强化个人信息处理者自我合规的重要方式。即使是无需获取个人“同意”的情形,向用户进行告知可能仍然是必要的。这不仅是对公司是个不小的合规义务,同样也是在法务日常工作中容易忽视掉的合规要点。举例来说,某保险业务场景中,公司处理用户的姓名、身份证、手机号等个人信息是履行该保险业务合同所必需的个人信息,因此可能属于无需取得同意的情形。但在此基础上,这并不意味着公司不再需要履行“同意”的义务,即个人信息主体享有知情权,而个人信息处理者则也应当始终满足透明性的要求。
对于同意而言,是最为基础最为重要的合法性基础。但是,以保险业为例,公司的C端用户数量数以万计,如何取得每一个用户的同意是一件难事。一方面,大多数公司都会完善自身的隐私政策等对外文本,或在其他触客端向用户出具诸如《个人信息告知同意书》等文本,通过要求其勾选或签字等方式获得同意;另一方面,鉴于前述法条中也明确了无需取得同意的情形,大多数公司都希望能够主张自身符合某一条情形从而免去履行“同意”义务。对此我们理解,适用无需获取个人“同意”的合法性基础存在不确定性,建议仍以获取授权同意为原则,以充分保证公司开展个人信息处理活动的合法性基础。
(2)自动化决策风险
对于保险来说,自动化决策与商业营销是日常业务开展过程的一项重点工作,其中对个人信息处理的合规也提出了相应的要求。《个人信息保护法》中将自动化决策定义为通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。简单来说,就是在没有任何人工参与的情况下,通过计算机系统来作出相应的决策。根据《个人信息保护法》的规定,主要有三个方面的合规要点:
① 禁止不合理的差别待遇。个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
② 提供不针对个人特征和拒绝的选项。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝选项。
③ 自动化决策存在重大影响时的合规要求。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
此外,还应关注《互联网信息服务算法推荐管理规定》对包含个性化推荐在内的算法推荐服务提出的合规要求,如落实算法安全主体责任,建立健全算法机制机理审核、信息发布等管理制度和技术措施,配备与算法推荐服务规模相适应的专业人员和技术支撑,以及具有舆论属性或社会动员能力的算法推荐服务提供者需履行算法备案相关义务。
(3)个人信息权利响应风险
《个人信息保护法》第四章专门规定了个人在个人信息处理活动中的权利。实践中,用户对自身个人信息保护的意识已经越来越强烈,不少客户在与我们沟通项目中,也特别希望我们针对公司内部的个人信息响应渠道等内容,进行优化设计等,以应对越来越多的个人信息权利行使需求。对于保险业而言,应当积极响应用户的合法权利请求,具体来说包括以下合规要点:
① 个人信息查询。面对用户的查询,我们应及时提供相应内容与答复,包括所持有的关于该APP用户的个人信息或个人信息的类型,上述信息的来源于使用目的,已经获得上述信息的第三方身份或类型等。
② 个人信息更正。提供请求更正或补充信息的方法,例如在隐私政策里提供运营者的邮件、座机电话等。
③ 个人信息删除。当用户发现APP违反法律法规规定、违反双方约定收集个人信息时;或在个人信息处理者与第三方共享、转让个人信息时,用户要求删除的,APP运营商在删除的基础上要通知第三方删除个人信息等情形。
④ 个人撤回授权同意。APP为用户提供撤回同意的功能/选项,保障用户拒绝接收基于其个人信息推送商业广告的权利。
⑤ 注销账户。受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理。
⑥ 获取个人信息副本。APP应为用户提供获取以下类型个人信息副本的方法、或将以下类型个人信息副本传给指定第三方:本人的基本资料、身份信息;本人的健康生理信息、教育工作信息。
三、保险业关于个人信息保护的专门规定
除了国家层面顶层关于个人信息保护的法律规定,保险业亦有相应的法律规定,这些规定也通常是保险业主管部门对个人信息保护违法行为的处罚依据。主要包括:《保险法》《保险公司管理规定》《关于银行保险机构侵害个人信息权益乱象专项整治工作的通知》《银行保险机构数据安全管理办法(征求意见稿)》。
1. 《保险法》
《保险法》主要规范保险活动,明确保险合同、保险经营规则,对保险公司、保险代理人和保险经纪人提出要求。但其中亦有对个人信息保护的相关规定。
.png)
实践中,《保险法》第一百一十六条和第一百六十一条均为保险行业主管部门对个人信息保护违法行为的处罚依据,某保险公司因违规收集使用个人信息,被国家金融监督管理总局某地方监管局处罚案例中,即依据该条进行处罚。
值得注意的是,《个人信息保护法》处罚力度最高,对企业的罚款没有下限,而最高可至五千万元或者上一年度营业额的百分之五;对人员的处罚起点是十万元,最高可至一百万元,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。除了罚款和从业限制,违反《个人信息保护法》,还可能被没收违法所得,责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
如果监管机构依据《个人信息保护法》而不是《保险法》进行处罚,企业将面临更高的法律责任。而对于从业人员而言,《个人信息保护法》对相关人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人;《保险法》可禁止一定期限直至终身进入保险业。两者有所差异,《个人信息保护法》主要是在一定期限内限制担任企业高管等职位,而《保险法》则是可以终身禁止进入保险业。
2. 《保险公司管理规定》
《保险公司管理规定》主要规定了保险业主管部门的处罚权限,其第六十九条规定,保险机构或者其从业人员违反本规定,由中国保监会依照法律、行政法规进行处罚;法律、行政法规没有规定的,由中国保监会责令改正,给予警告,对由违法所得的处以违法所得1倍以上3倍以下罚款,但最高不得超过3万元,对没有违法所得的处以1万元以下罚款;涉嫌犯罪的,依法移交司法机关追究其刑事责任。
3. 《关于银行保险机构侵害个人信息权益乱象专项整治工作的通知》
2022年8月,在《个人信息保护法》正式生效近一年时,原中国银保监会向各银保监局、银行保险机构等下发《关于银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求各银行保险机构全面摸排本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理请款,深入查找本机构个人信息保护方面存在的问题,列出问题清单。各银行保险机构要逐一建档,确保整改到位、问责到位。对违反银行业保险业规章制度的问题,要依规处理;对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全权问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。
今年3月,国家金融监管总局办公厅向各监管局,各大型银行、股份制银行、外资银行、直销银行、理财公司,各保险集团(控股)公司、保险公司、保险专业中介机构下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》。指出“在个人信息处理具体执行层面发现大量问题或者隐患”,机构自查发现问题15万个,影响消费者约2亿人次,监管抽查发现问题5000多个,影响消费者超过1500万人次。具体问题有五个方面:
第一,个人信息收集方面,主要是强制同意、扩大授权、笼统授权等。例如,强制消费者同意将其信息提供给外部机构,并用于与其所办理业务无关的用途。部分公司在隐私政策和服务协议中,均要求客户同意将个人信息共享给该公司所属集团成员单位,用于提供服务、推荐产品、开展市场调查与信息数据分析等,而该授权与办理业务用途无关。
第二,个人信息存储和传输方面,主要是电子数据管理混乱、纸质材料管理不严,传输方式不安全等。例如,部分保险公司在互联网电脑中保存明文客户信息表格和身份证、驾驶证等图片;部分保险公司理赔中心调查人员通过个人电子邮箱向第三方公估公司公共邮箱发送消费者身份证号码、手机号码等信息。
第三,个人信息查询和使用方面,这可能是保险企业最为突出的问题,主要是违规查询账户信息、不当使用客户信息等。例如,银行保险公司员工可以无需授权直接查询所负责客户的账户信息。保险公司员工为满足公司考核要求,在客户不知情的情况下为数十名客户车辆投保车上人员责任险。部分保险机构为业绩达标,私自使用客户信息赠送保险等。
第四,个人信息第三方合作方面,主要是对第三方机构管控不到位,例如,与第三方机构签订的协议中未约定消费者个人信息保护内容,未及时发现和处置第三方机构侵害个人信息权益行为。
第五,个人信息提供和删除方面,主要是存在未经授权的对外提供、未及时删除个人信息等。
从通报内容来看,与《个人信息保护法》相关要求密切相关,对应了个人信息保护合规的关键要点,值得保险企业注意,并针对开展相关合规工作。
4. 《银行保险机构数据安全管理办法(征求意见稿)》
在保险业数据合规专门法规体系中,需要关注《银行保险机构数据安全管理办法(征求意见稿)》的相关规定及立法动向。该办法目前只有征求意见稿,立法仍在推进之中,但其作为国家金融监督管理总局成立后发布的第一部安全领域的行业管理办法,无疑具有针对性较高的参照意义。
今年3月,国家金融监管管理总局制定并发布《银行保险机构数据安全管理办法(征求意见稿)》,共九章八十一条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。该征求意见稿明确了个人信息保护框架包括数据收集、使用、共享、委托处理、共同处理、公开和跨境传输等多个环节,详细规定了银行保险机构在处理个人信息时的合规要求。
(1)数据收集:在收集个人信息时,必须遵循合法、正当、必要和诚信的原则。这不仅是《个人信息保护法》的要求,同时也是《管理办法》中特别强调的核心准则。保险机构在收集数据时,需确保其业务场景和数据的收集范围符合“合法、正当、必要”原则。
(2)数据使用:在使用个人信息时,保险机构必须严格遵守处理目的的限制,不能超出业务范围滥用数据。尤其对敏感信息的使用,更应遵循“必要和最低授权”的原则。通过这一规范,确保了数据使用过程中的透明度和合理性。
(3)数据共享:共享个人信息时,应当向数据主体告知具体的共享对象、信息种类、处理目的等,并取得其单独同意。这要求保险机构在数据共享过程中确保透明性,尤其是在与母公司、子公司或第三方共享数据时,需经过严格的合规审查和授权程序。
(4)数据委托处理:当保险机构将个人信息交由第三方处理时,必须签署明确的协议,并告知数据主体处理的目的和信息类型。这一要求旨在确保数据处理的全程合规,保护数据主体的知情权和选择权。
(5)数据共同处理:涉及两个或两个以上的数据处理者时,保险机构需明确划分处理权责,并确保联合处理的过程透明、合规。银行保险机构在进行共同处理时,必须确保所有参与者履行各自的安全义务,防止数据滥用。
(6)数据公开:公开个人信息前,需经过严格的审查,确保数据主体同意,且符合法定条件。未经授权的公开可能导致严重的法律后果,因此原则上保险机构非经单独同意不。
(7)数据跨境传输:在进行个人信息的跨境传输时,机构需确保数据接收方具有足够的安全保护措施,并按照相关法律进行安全评估。数据的跨境传输通常涉及复杂的合规要求,因此保险机构必须严格遵循国家规定的传输流程进行申报或备案。
.png "点击查看大图")
来源:金杜网络安全与数据合规团队整理
四、数据安全法律体系与保险业的关联
2021年6月10日,《数据安全法》正式出台,自2021年9月1日起施行。《数据安全法》共七章五十五条,包括了总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则。数据安全法律体系较为系统、复杂,但对于保险业数据合规而言,业务中可能涉及重要数据,且在赴境外上市等场景中会涉及数据安全审查,因此可主要关注分类分级保护制度和数据安全审查制度。
1. 数据分类分级保护制度
《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。”《数据安全法》中的“数据分类分级”,采用了数据的“重要程度”+“危害程度”的立法手段,对数据实行分类分级保护,特别是将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”列为国家核心数据,实行更加严格的管理制度。
一般来说,重要数据识别是企业数据合规中的难点,对于保险企业来说亦是如此。《银行保险机构数据安全管理办法(征求意见稿)》中规定,重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模的数据,一旦被泄露或者篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全[的数据]。2024年3月22日,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》正式发布,其中附有重要数据识别指南,对企业识别重要数据及采取相应的保护措施具有重要参考作用。对于重要数据识别工作,企业应兼顾数据类型和数据规模,主动开展自识别工作,确保数据安全落实到位。
2. 数据安全审查制度
“国家安全审查”是我国《国家安全法》最先确立的一项国家安全审查与监管制度。根据《国家安全法》第五十九条的规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”
数据安全审查制度与网络安全审查是依法确立的国家安全审查制度中两项重要的安全审查制度。《数据安全法》第二十四条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”《网络安全法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”
《数据安全法》中的数据安全审查制度与《网络安全法》中的网络安全审查制度有所不同,前者的审查对象主要针对影响或者可能影响国家安全的数据处理活动,数据处理活动包括:数据的收集、存储、使用、加工、传输、提供、公开等;后者的审查对象主要是针对关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的情形。
值得注意的是,违反《数据安全法》将承担严厉的法律责任,《数据安全法》第六章明确了不履行或违反相关规定的法律责任,处罚金额上最高至1000万元或十倍违法所得,对构成犯罪的,依法追究刑事责任。
五、对企业合规的启示
总结来看,保险业数据合规最为紧迫的任务是个人信息保护。实践中,个人信息保护合规不仅是保险企业,对于很多企业来说,个人信息保护都是重要的合规内容。随着《个人信息保护法》实施近三年,个人信息保护监管活动越来越密集化、常态化,不仅有网信、工信等部门的常态化监管,也有行业主管部门的专项监管。对于企业而言,需要搭建个人信息保护合规体系,同时也有必要引入第三方专业机构的辅助,有效识别风险并采取应对措施。具体而言,主要有以下几个步骤:
(1)事实发现:全面开展公司内部的尽职调查,包括全面梳理公司现有的业务经营模式与内部管理实践中可能涉及到的个人信息处理活动场景,以全生命周期的维度了解个人信息的处理目的、处理方式、涉及的个人信息种类等。具体可通过专门的业务培训、发放问卷清单、与具体负责人员进行访谈等方式进行。
(2)交互界面优化:在明确企业合规现状的基础上,起草或修订针对不同个人信息处理场景的合规文本,如用户使用协议、隐私政策、数据处理协议、员工知情告知书等。
(3)合规制度构建:公司合规制度的构建必须立足于自身经营与管理的实际情况之上,以构建最契合自身需求的合规体系。与此同时,公司还需密切关注自身业务发展动态,以定期更新相关合规制度。
(4)制度落地与责任落实:在企业内部进行宣传培训与应急预案演练,逐步推行、落实相关内部数据安全管理制度,并将责任落实到具体的单位、部门和负责人员。
保险业数据合规主要场景及合规要点
一、投保信息收集环节
个人信息保护涉及保险的各个环节,在投保申请阶段,保险公司需要进行初步风险评估,根据客户提供基本的个人信息或财产信息,判断客户的风险水平。基于评估结果,保险公司会给出一个初步的保险方案和报价,客户确认保险方案后,再正式填写投保申请表提供详细的个人信息。因此,在投保申请阶段个人信息收集的合规问题较为显著。根据人身保险与财产保险的不同性质,保险公司在收集个人信息时也有所区别。对于人身保险,所收集的个人信息主要关注投保人的健康状态、财务状况、生活方式以及职业风险,目的是为了评估投保人未来可能面临的疾病、意外等风险。而对于财产保险,所收集的个人信息则主要围绕财产本身,包括财产的价值、登记信息以及投保人的历史索赔记录等。
1. 告知相关合规要求
(1)告知内容
一般而言,根据《个人信息保护法》第17条的相关规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序等。
在此基础上,保险公司应当充分结合自身的业务实践,履行《个人信息保护法》中针对部分特殊场景的特殊告知义务。具体包括:其一,无论在人身保险还是财产保险的场景下,其均涉及注入投保人的健康状况以及财务状况等敏感个人信息,因此应当根据《个人信息保护法》第30条之规定,在前述一般个人信息处理规则的告知基础上,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;其二,若部分保险公司基于其全球化的经营策略,在实践中存在向境外(包括港澳台地区)传输投保人个人信息的,则应当根据《个人信息保护法》第39条之规定,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,即向投保人充分告知向境外传输的相关规则;其三,保险公司存在与诸多第三方合作的业务场景,基于不同合作模式与商业策略,我们理解在个人信息处理关系的认定中一般而言可能存在向其他个人信息处理者提供个人信息以及委托第三方开展个人信息处理活动这两种关系。一方面,若属于向个人信息处理者提供个人信息情形的,应当根据《个人信息保护法》第23条之规定,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类;另一方面,若属于委托第三方开展个人信息处理活动的,尽管《个人信息保护法》中并未对该模式的告知义务进行增强型约定,但结合当前的监管与行业时间,公司宜将委托第三方开展个人信息处理活动作为其针对个人信息的处理方式进行披露;其四,若涉不满十四周岁未成年的,则保险公司还应当根据《个人信息保护法》第31条之规定制定专门的个人信息处理规则;其五,现部分保险公司已使用自动化决策工具以协助投保业务的开展,则应当保证该自动化决策的透明度和结果的公平公正。
(2)告知形式
我们理解当前的行业实践已有较为成熟的面向投保人进行告知具体个人信息处理规则的形式。一般而言整体分为线上与线下两种告知形式。
就线下告知形式而言,作为一种相对较为传统的告知形式,行业内亦在不断优化具体的业务流程,以保证投保人作为个人信息主体可更为明确地知晓针对其个人信息的具体处理规则。一方面,投保人在投保阶段会被要求签署诸如《个人信息处理告知同意书》等书面文本,其中详细说明了相关处理规则;另一方面,相较于线上形式,通过线下等书面文本进行告知过程中,保险公司工作人员可在投保流程引导时针对部分重要的个人信息处理环节的处理规则进行当面提示,强化履行保险公司作为个人信息处理者的告知义务,也同样有利于保护与实现投保人的知情权。
就线上告知形式而言,我们理解现有的保险公司为了便捷后续的保险流程以及提供其他增值服务,会向投保人提供App等线上渠道。即保险公司可在投保人注册、登录相关App等环节中向其展示诸如《隐私政策》等文本,以详细地展示个人信息处理规则。特别应注意的是,在2021年工业和信息化部在《关于开展信息通信服务感知提升行动的通知》首次提出“双清单”的要求后,近日公布的《网络数据安全管理条例》对该要求进行了进一步明确。具体而言,保险公司在其App中应当分别就其“已收集个人信息清单”与“与第三方共享个人信息清单”进行简洁与清晰地列明。
2. 合法性基础相关合规要求
《个人信息保护法》第13条中明确了七种处理个人信息合法性基础的情形,结合保险公司在保险业务的具体实践,我们理解保险公司处理投保人个人信息的合法性基础来源一般来自“取得个人的同意”以及“为订立、履行个人作为一方当事人的合同所必需”。
(1)取得个人的同意
一般而言,保险公司作为个人信息处理者在取得投保人的同意时,可通过要求其对相关告知个人信息处理规则的文本进行勾选或签名的形式予以实现。
特别地,根据《个人信息保护法》中的相关规定,当涉及向其他个人信息处理者提供个人信息、向境外提供个人信息以及处理敏感个人信息时需取得单独同意。对此,我们一般建议保险公司可提供专门的告知同意文本(如专门针对敏感个人信息处理的告知同意书文本等)以获得单独同意,或在充分告知的前提下在勾选处设立独立的勾选框,以对前述需获得单独同意的事项获得单独同意。
(2)订立、履行个人作为一方当事人的合同所必需
除获得投保人作为个人信息主体的同意/单独同意外,考虑到保险公司收集投保人的个人信息为向投保人提供保险服务,因此保险公司有一定空间可主张其收集与处理投保人的个人信息为订立、履行投保人作为一方当事人的合同所必需而无需取得个人同意。
对此,我们仍需特别提示注意的是,一方面,保险公司应注意无需取得同意的个人信息处理活动的对象仅为合同的一方当事人。我们理解在保险业务中有多个角色,如投保人、被保险人、受益人、保险经纪人等等,但一般与保险公司直接签署协议的主体为投保人,因此针对其他保险业务中涉及收集的个人信息对应的主体,保险公司仍应按照相关要求取得其同意/单独同意;另一方面,保险公司还应确保处理相关个人信息为履行合同所必需,举例而言,若保险公司在提供一般保险业务后,拟向投保人进行相关的商业营销活动的,我们理解可能会超出一般的保险业务之基本范围,因此有可能被认定为不属于“必需“的情形,即保险公司还需进一步就该处理目的获得投保人的同意。
综上而言,尽管保险公司有一定空间可主张为“履行合同所必需”而不取得个人的同意,但出于审慎合规之考量,我们建议保险公司同步通过获得个人的同意的方式夯实合法性基础,以免引发不必要的合规风险。
二、核保环节
核保是保险公司在投保申请阶段对客户提交的信息进行审核的过程,其目的在于评估投保人的风险,并据此决定是否承保、如何定价、是否附加特殊条款等。在核保过程中,核保人员需审查客户提供的个人信息,确保其真实性和完整性,并据此评估可能的保险风险。此外,保险公司在核保过程中可能会将部分个人信息共享给外部合作伙伴。例如,在人身保险领域,保险公司可能会将客户的健康信息传递给合作的体检中心。而在财产保险领域,为了核实客户的财务状况或信用状况,保险公司可能会从外部机构获取或验证客户的信用记录及其他相关个人信息。同时,在核保过程中可能涉及自动化决策用于评估风险并确定保费,特别是在一些标准化的保险产品中,如车险、家庭财产险或一些基础人身保险。
1. 个人信息交互相关合规要求
在核保过程中,保险公司不可避免地与第三方存在个人信息交互活动,其中亦根据不同的业务模式需符合相应的合规要求。
在向其他个人信息处理者提供个人信息的业务场景下,如前介绍,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;在委托处理的业务场景下,除一般的告知同意义务外,保险公司应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。对此,我们建议对该部分个人信息保护的相关规则宜在双方的业务协议中予以明确,并清晰划分双方的权利义务。
对此,根据《个人信息保护法》第53条第(三)款相关规定,个人信息处理者在委托处理个人信息、向其他个人信息处理者提供个人信息前应当事前进行个人信息保护影响评估,并对处理情况进行记录。一般而言评估的内容需包括个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。特别地,《网络数据安全管理条例》第28条中进一步要求,网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例对处理重要数据的网络数据处理者作出的规定。
2. 自动化决策相关合规要求
首先,《个人信息保护法》中提供了自动化决策的定义,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。因此,保险公司应当首先判断其在业务过程中是否存在开展自动化决策活动的场景。在确定存在相关自动化决策活动后,则保险公司应充分履行《个人信息保护法》第24条中的相关合规义务。
其一,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。除前述针对告知部分的义务外,还主要对算法部分进行了合规要求,如在保险业务中提供给投保人的保费等信息应当公平、公正。
其二,向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。现行保险业务中向个人进行商业营销是最常见的行业实践之一,在此基础上向个人提供便捷的拒绝方式也是当前监管实践中较为关注的事项之一,保险公司应对该部分合规义务予以重视。
其三,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。针对该部分需要提示公司注意的是,尽管自动化决策也极大程度地提高部分业务流程的效率,但保险公司仍应设置或安排具体的工作人员参与对重要事项与决策的复核,并响应个人信息主体对自动化决策工作部分的问询或其他个人信息权利的行使。
三、理赔环节
在保险理赔过程中,涉及对多种个人信息的处理,包括但不限于个人信息的收集、传输以及可能的自动化决策过程。具体而言,在理赔阶段,保险公司将收集必要的个人信息,以核实理赔请求的真实性。此类个人信息可能需要在包括医疗机构、鉴定机构以及其他外部机构(例如保险协会、大数据公司等)之间进行共享和交互。同时,理赔过程中的个人信息也可能被用于用户画像构建,保险公司可能会基于客户的理赔历史记录和个人财产信息等,对保费进行调整,或向客户推荐适合的保险产品。例如,对于健康保险的客户,保险公司可能会根据其理赔历史和个人健康状况,推荐升级保障或其他附加险种,以满足客户的个性化需求。
在理赔阶段的个人信息合规要求与投保信息收集阶段个人信息收集的合规要求类似,个人信息处理者在处理个人信息前应遵循告知内容、告知形式等合规要求,并具有处理个人信息的合法性基础。
1. 用户画像构建相关合规要求
在理赔阶段中,保险公司可能会通过收集客户的行为数据、理赔信息等个人信息,形成特征模型,进而构建用户画像。同时,保险公司可能会在特定情况下将用户画像与第三方共享,以实现业务目标。以下是保险场景下向第三方共享用户画像的典型场景:
● 再保险:保险公司为了分散风险,可能与再保险公司合作,在理赔阶段可能需要向其提供用户画像和风险评估信息,以便再保险公司进行评估。
● 共同保险:在大型保险项目中,多个保险公司共同承担风险,同样可能需共享用户画像和相关信息以确保理赔结果的一致性。
● 营销合作和交叉销售:通过保险理赔形成的用户画像,保险公司可能与集团内部的其他金融机构(如银行、证券公司)共享用户画像,以进行交叉销售或联合营销。保险公司还可能委托外部营销公司开展市场推广活动,并在推广过程中提供目标客户的画像信息,以实现精准营销。
我国并不禁止用户画像的共享,信息共享的过程也最大程度上发挥了数据价值。但在与第三方共享用户画像时,保险公司除需遵循核保阶段关于自动化决策相关的合规要求外,应尤其注意与第三方关于用户画像共享的合规要求。
首先,在共享用户画像时,共享方和接收方都应真实、准确、完整地向用户的告知并保障用户各项权利。根据《个人信息保护法》第23条,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。也就是说,在理赔阶段,保险公司若构建了被保险人、投保人的用户画像,在向其他第三方共享用户画像前,需要确认已告知客户关于用户画像处理的预期用途和后果,并取得单独同意。
其次,保险公司应确保个人信息主体的充分知情基础上做出的同意,同时需留意共享用户画像时的个人信息范围不可超出收集时告知和个人同意的范围。尤其是在当今这个信息化时代,保险公司通过内嵌SDK进行用户画像及相关个人信息共享时,由于SDK通常无法独立展示前台页面,保险公司在向用户告知嵌入SDK共享的接收方名称、个人信息种类、处理目的和方式时,建议向用户提供向第三方提供的信息共享清单,以充分保障用户知情权。
最后,在不涉及个人原始信息共享的情况下,如果保险公司与第三方交换的是经过处理匿名化后的用户画像数据,由于这些数据已经去除了个人信息,无法用于识别或关联特定用户,则不涉及上述合规义务的履行。
2. 敏感个人信息相关合规要求
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。原则上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。《个人信息保护法》第二章第二节规定了针对敏感个人信息的处理规则(即第28至32条),其主要包括敏感个人信息的定义、敏感个人信息的告知同意规则等内容。
除《个人信息保护法》外,《非银行支付机构网络支付业务管理办法》、《银行保险机构数据安全管理办法(征求意见稿)》等规范性文件亦明确了需要强化保护敏感个人信息。
首先,对保险公司而言,保险公司应加强敏感个人信息识别。《网络安全标准实践指南——敏感个人信息识别指南》提出了敏感个人信息的识别规则,符合以下任一条件的个人信息,应识别为敏感个人信息:
● 一旦遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害;
● 一旦遭到泄露或者非法使用,容易导致自然人的人身安全受到危害;
● 一旦遭到泄露或者非法使用,容易导致自然人财产安全受到危害。
其次,对于敏感个人信息存在其特殊的保护规则,具体而言,处理敏感个人信息(如健康状况、财产信息)必须取得用户的明示且单独同意。如处理目的、方式、范围发生变化,需再次取得用户同意。保险公司处理敏感个人信息需具有明确的处理目的并遵循最小必要原则,在理赔阶段应只收集实现处理目的所必需的敏感个人信息,避免过度收集,并仅为核实理赔请求真实性等明确目的处理敏感个人信息,不得超出既定目的使用。同时,保险公司应加强敏感个人信息安全保护措施,对敏感个人信息进行加密存储和传输,防止泄露和未授权访问,在与医疗机构、鉴定机构等第三方共享敏感个人信息时,还应通过合同等方式要求第三方具有合法资质和足够的安全保护能力。
最后,《银行保险机构数据安全管理办法(征求意见稿)》遵循《个人信息保护法》第55条关于处理敏感个人信息应当事前进行个人信息保护影响评估,对保险公司处理敏感数据提出了更明确的要求。保险机构在处理敏感级及以上数据的业务活动时,应当事先开展数据安全评估。数据安全评估应当根据数据处理目的、性质和范围,按照法律法规和伦理道德规范要求,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性,评估数据安全风险及防控措施的有效性。
四、客服运营
值得注意的是,在保险公司展业过程中,客服人员不仅需要为客户提供服务和解答咨询的职责,而且在个人信息保护领域也承担着部分的合规责任,尤其在个人信息主体权利响应和权限控制两方面。在个人信息权利响应方面,客服是客户与保险公司之间的桥梁,帮助客户行使其个人信息主体权利,确保权利响应合法合规。在权限控制方面,客服人员的权限亦需严格管理,以确保最小化数据风险、避免不当访问,并保障敏感个人信息的合规处理。
《个人信息保护法》第四章规定“个人在个人信息处理活动中的权利”,形成了以知情权为核心基础,查阅权、复制权、异议权、更正权、删除权和可携带权为散射交叉权能的权利体系。法律赋予个人信息主体享有针对个人信息处理者可行使的一系列权利,旨在防止对于个人信息的不当收集、不当使用、信息瑕疵或错误以及影响信息自主决定等而导致的不利评价或侵害。对保险公司而言,为了有效响应用户的个人信息权利要求,保险公司可以从以下几个方面进行:
首先,保险公司可建立个人信息保护制度,符合《中华人民共和国个人信息保护法》等相关法律法规的要求,明确用户的各项权利及公司义务。在制度中应详细规定客户个人信息权利请求的受理、审核、处理和反馈流程,确保每个环节都有据可循。并通过制度文件成立专门的个人信息保护及数据合规部门(如法务部、合规部或科技信息部),负责客服部门的日常运营管理,确保个人信息主体权利响应流程的合法合规。
其次,保险公司可建立完善的权利请求响应体系。在用户提出请求时,采用安全可靠的身份验证方式,避免响应错误的主体的错误权利请求。同时,保险公司可开发专门的系统或模块,用于接收、记录和跟踪用户的个人信息权利请求,提高权利响应的效率和准确性。
最后,保险公司可定期对客服人员进行个人信息保护相关法律法规的培训。培训客服熟练掌握处理用户请求的流程和技巧,包括系统操作、应急处理等。同时,根据不同类型的用户请求(包括查阅、复制、更正、删除、撤回同意等),编制规范的标准话术,确保权利响应处理的准确性和一致性。
五、对企业合规的启示
随着信息化时代的到来,保险行业对个人信息的关注度日益提升。客户数据的安全性和隐私保护已成为行业发展的关键议题。尽管如此,目前各保险公司在个人信息活动的实践方面仍存在不足,急需进一步完善。个人信息对保险公司而言极为重要,不仅因其直接关联服务质量和客户信任,更因其背后蕴含的高数据价值。未来,随着数据入表、数据新技术的实践和应用,个人信息的处理和分析将更加复杂。因此,建议相关保险公司尽快将个人信息合规工作提上日程,建立严格的数据管理和保护机制,确保客户信息安全,同时提升数据的利用效率,以促进行业的可持续发展。这不仅是对客户负责,也是保险公司自身发展的必然要求。
保险业数据合规体系搭建和重点步骤
一、公司内部数据合规部门体系搭建法规要求
企业数据合规是激发企业“自律机制”的重要前提,建立数据合规体系对提升公司数据要素利用水平具有重要意义。根据我国现有法律法规,对公司内部数据合规提出了一系列要求,主要包括数据合规制度以及合规体系构建两方面。就数据合规制度而言,数据合规的具体要求往往星罗棋布地散见于不同法律、法规、乃至合规标准中,包括数据分类分级、全生命周期管理、安全风险应急处置制度、权限控制、合规风险评估审计制度以及数据合规安全教育和培训等。关于数据合规体系,我国法律法规强调了数据处理者需要履行包括采取技术措施和其他必要措施来保障网络安全、稳定运行,并根据需要配备数据安全管理人员,以有效应对网络安全事件。换言之,保险公司需要根据实际情况和安全需求,合理安排网络安全人员的投入。关于公司内部数据合规体系搭建的法律法规梳理如下表所述:
公司内部数据合规体系搭建法律法规梳理
.png)
.png)
.png)
.png)
二、内部制度建设框架
保险公司在构建内部的网络安全与数据合规制度的初期,公司应充分考量与审视自身的业务经营实践与现有的内部管理制度等,不能盲目开展制度搭建工作。譬如,若公司仅在较为起步和初期的阶段,却相应制定了多维度和较为严格的网络安全与数据合规相关制度文本的,则可能会给公司带来较高的合规成本。相反,若较为成熟的保险公司却仅有部分纲领性的网络安全与数据合规相关制度文本的,则不利于整体经营业务的合规性乃至于损害公司在市场上的声誉等。
在此基础上,我们建议公司可有层次的开展具体的制度框架搭建工作,包括纲领性的制度、政策文件、指引类文件、模板类规定等。
1. 网络安全相关制度建设
针对网络安全相关制度文本而言,我们建议公司可起草、制定诸如《网络安全管理政策》等文本作为网络安全系列管理体系的纲领性文件,为公司网络安全系列管理体系的建立和运行提供顶层指导。在此基础上,公司可进一步细化网络安全相关的具体规定,主要可包括但不限于:网络安全组织建设类管理规定、网络安全风险应急处理类规定、访问权限类规定、信息资产安全管理类规定等。具体而言:
● 网络安全组织建设类管理规定:该类规定将主要明晰网络安全管理体系组织架构和相应人员职责,这同样是《网络安全法》等法律法规的中的明确要求,以保障公司的整体网络安全工作可有序开展。
● 网络安全风险应急处理类规定:该类规定明确和细化了网络安全应急预案的管理框架、应急预案的演练、预警机制、事件响应、保证措施以及相关人员职责划分等工作流程。
● 访问权限类规定:该类规定主要明确了访问控制的基本原则、业务要求、用户访问管理、用户责任以及系统和网络访问控制等方面的具体要求和流程,以尽量避免因公司内部因访问权限不明而产生的网络安全事件或损害个人信息主体的合法权益等。
● 信息资产安全管理类规定:该类规定主要确定员工在网络安全方面的行为准则,包括但不限于终端安全、账号权限安全、网络系统应用安全、邮件安全、数据安全、个人信息保护、介质安全、第三方人员安全和物理安全等方面,并规定违规行为的级别和相应的处罚原则。
以上仅为部分网络安全相关的制度文本列举,保险公司应充分结合自身现有的内部制度情况以及管理实践,在满足现行法律法规的要求与合规底线的情形下,搭建与完善公司的网络安全制度。
2. 数据合规相关制度建设
针对数据合规相关制度文本而言,我们建议公司可在起草、制定诸如《数据与个人信息保护政策》等文本作为数据合规系列管理体系的纲领性文件,以提供原则性的指引。在此基础上,保险公司可继续细化相关规定与文本,可包括但不限于:数据分级分类类规定与数据/个人信息全生命周期管理类规定等。
● 数据分级分类规定
保险公司的数据分级分类制度文本应当详细阐述数据的分类标准和保护级别,确保数据安全管理的系统性和全面性。
文本中应包含明确的数据分类框架,如将数据分为敏感、重要和一般三个等级,并对每一级别数据的保护措施和处理流程进行详细规定。此外,文本还应包含数据安全责任分配、数据访问控制、数据加密和脱敏处理、数据备份与恢复、以及数据泄露应急响应计划等内容。这些规定旨在确保保险公司能够对不同级别的数据采取相应的保护措施,从而有效管理和降低数据安全风险。特别地,若保险公司可能涉及处理重要数据的,则应当针对重要数据制定特殊的管理和使用规则,以充分满足合规要求。
通过对数据进行分级分类,保险公司能够更加精准地识别和保护最有价值的信息资产。这种做法有助于优化资源分配,将更多的精力和投资集中在保护高价值数据上,同时简化对低价值数据的管理。此外,数据分级分类还有助于提高对数据泄露的响应速度和效率,因为保险公司可以迅速识别受影响的数据类型,并采取相应的补救措施。这种精细化管理还能增强客户信任,因为它展示了保险公司对客户数据隐私和安全的承诺。最终,这种系统化的数据管理方法有助于保险公司遵守数据保护法规,避免潜在的法律风险和经济损失。
● 数据/个人信息全生命周期管理类规定
针对数据/个人信息全生命周期的管理是保险公司在数据合规制度建设过程中不可缺少的一部分。一方面,现行法律法规中针对数据/个人信息的全生命周期的保护规则已经较为明确,考虑到保险公司在具体展业过程中会涉及处理大量的数据和敏感个人信息,因此该类规定对保险公司而言至关重要。另一方面,完善的制度保障也能够增强客户对保险公司的信任,提升公司品牌形象,最终反哺公司的业务展开。
具体而言,保险公司在制定数据全生命周期保护制度时,需确保涵盖从数据的收集、存储、使用、共享、公开、删除等每一个环节。这包括配套建立严格的数据访问控制,实施加密技术以保护数据传输和存储的安全,以及制定详尽的数据备份和恢复计划以应对可能的数据丢失或损坏。就具体形式而言,可将全生命周期的合规要求与内部管理要求均放在同一制度文本中,亦可专门就数据/个人信息全生命周期的每一个环节均专门起草、制定具体的规定。
此外,针对特殊的数据/个人信息处理活动而言,我们也建议公司进行明确规定。如针对数据/个人信息跨境传输情况的,公司可建立从场景识别、合规判断到开展具体合规工作的标准化流程,以及若后续涉及开展诸如数据出境安全评估申报等监管合规工作的具体要求。再如根据《个人信息保护法》的要求,个人信息处理者在部分法定业务场景下需开展个人信息保护评估工作,则公司也可就这一具体要求起草与制定指引性文件,包括评估流程、评估内容等,并提供标准化的评估模板等以高效开展合规工作。
三、实践中合规体系搭建的基本流程与关键环节
在简单介绍保险公司内部制度建设框架后,保险公司若具体开展数据合规工作,可以将其分为四个流程,包括:事实发现、交互界面优化、合规制度构建,以及制度落地与责任落实。
● 事实发现:保险公司可全面开展公司内部的尽职调查,包括全面梳理公司现有的业务经营模式与内部管理实践中可能涉及到的个人信息处理活动场景,从全生命周期的维度了解个人信息的的处理目的、处理方式、涉及的个人信息种类等。具体可通过专门的业务培训、发放问卷清单、与具体负责人员进行访谈等方式进行。
● 交互界面优化:保险公司在明确企业合规现状的基础上,可起草或修订针对不同个人信息处理场景的合规文本,如用户使用协议、隐私政策、数据处理协议、员工知情告知书等。
● 合规制度构建:保险公司合规制度的构建需建立在自己的经营与管理的实际情况之上,以构建最契合自身的合规制度。同时,保险公司也要关注自身业务的发展,以定期更新相关合规制度。
● 制度落地与责任落实:保险公司可在企业内部进行宣传培训与应急预案演练,逐步推行、落实相关内部数据安全管理制度,并将责任落实到具体的部门和负责人员。
数据合规工作的落脚点在于制度的落地与责任的落实。通过前文的法律梳理我们理解,保险公司需要根据实际情况和安全需求,合理安排数据安全人员的投入。部分监管实践也表明,若公司没有依法明确相关组织,可能需要承担一定的法律责任,严重的可能会被责令停业整顿、吊销业务许可或行政执照,以及处以罚款。
在此基础上,如何搭建一个组织架构成为了公司数据合规工作的关键。其不仅可帮助企业满足相关法律法规中对组织架构的合规要求,还可以进一步赋能公司具体的业务活动。具体而言,公司的数据合规体系可大致分为决策层、管理层以及执行层。就决策层而言,公司可专门设立数据安全委员会以统筹公司整体数据安全的相关事项并进行决策;就管理层而言,可通过设立数据安全工作组来具体管理与负责不同场景下的数据安全实践,如公司若有新业务要上线的,那么由数据安全工作组来组织开展前述的尽调工作,并评估整体的网络安全与数据合规风险,并向决策层进行汇报。一般而言,该工作组可由相关部门的负责人组成,也方便统筹具体工作的开展;就执行层而言,则由各相关部门组成,包括法务部、合规部、信息科技部等。
四、主要部门的职责与联动
1. 主要部门的职责
如前所述,就数据合规体系的执行层而言,应由保险公司各部门(包括法务部门、合规部门、信息科技部门等)分工配合,在数据安全负责人及数据安全工作组的领导下开展具体合规工作。以下将对各部门在保险公司合规体系中的具体职责进行分别论述。
(1)法务部门的职责
在公司治理中,法务部门作为内部治理的重要组成部分,承担着确保公司内部运营符合法律法规、防范外部法律风险的职责。法务部门不仅在公司决策中提供法律支持,还应通过对业务活动的法律审查,减少公司对外的法律风险。具体而言,法务部门承担着控制公司保险业务实践中法律风险的职责。基于《个人信息保护法》《网络安全法》《数据安全法》等数据合规相关法律法规,法务部门应结合金融及保险行业的立法动态和监管趋势,对公司保险业务开展过程中所涉及的各类合同进行审查。合同审查应涵盖公司在数据收集、数据使用、数据对外提供、数据跨境传输等方面的合同,重点关注数据安全、个人信息保护、数据权利义务的分配以及违约责任等关键条款。法务部门应在确保合同在符合法律规定的前提下,最大程度地维护公司的利益。同时,法务部门还应制定和更新标准合同模板,如数据处理协议、保密协议等,供业务部门参考使用,提高合同管理的规范性和效率。
(2)合规部门的职责
合规部门在公司治理中可能与法务部门在职责上存在部分重合。但一般而言,法务部门更多侧重对外控制公司业务的法律风险,合规部门则更多在政策、制度以及公司内部日常运营中发挥作用。
首先,在政策制定方面,合规部门应根据国家法律法规和监管机构的要求,结合公司的保险业务特点,制定公司整体的合规政策。这些政策涵盖了公司运营的各个领域,包括数据安全管理制度、个人信息保护政策以及数据分类分级管理办法等。
其次,在制度建设方面,合规部门负责建立和完善公司内部的合规制度和流程。合规部门通过制定详细的操作规程、合规手册、内部控制制度等,将数据合规政策转化为可执行的具体措施。具体而言,合规部门通过制度建设,明确了各部门和岗位的合规职责和工作流程。同时,合规部门还应密切关注法律法规更新及保险行业合规水位,定期审查和更新制度流程,以适应业务实践的发展。
最后,在公司内部日常运营中,合规部门也发挥着监督和指导的作用。合规部门可通过日常监控、合规检查和内部审计等方式,评估各部门和员工对合规制度的执行情况,及时发现并纠正违规行为。合规部门还负责组织合规培训和宣导活动,提高员工的合规意识和能力。具体而言,合规部门应对公司的数据处理活动进行全面的法律风险识别和评估,找出潜在的合规风险点,如未经授权的个人信息收集、数据超范围使用等,并提出具体的风险控制措施。同时,法律部应针对具体的风险点制定数据合规培训计划,提高员工的法律意识和合规技能,减少合规风险。例如,在投保环节,因个人信息收集合规风险较高,合规部门应明确各类型保险必须收集的个人信息,并对各业务人员进行培训,确保不会超范围收集客户个人信息。
(3)信息科技部的职责
信息科技部作为公司信息系统和技术支持的核心部门,在数据合规体系同样发挥着重要作用。其主要职责是通过技术手段保障数据的安全性、完整性和可用性,确保公司在数据处理和使用过程中符合法律法规和监管要求。具体而言,信息科技部不仅负责信息系统的建设和维护,还在数据安全策略的制定、技术合规措施的实施和数据风险防控等方面发挥着关键作用。在数据合规管理中,信息科技部是技术层面的执行者和推动者,为公司的数据合规提供技术支持和保障。
首先,信息科技部负责实施数据安全的技术措施,确保公司在数据收集、存储、传输等处理活动中的安全性。信息科技部门可通过数据加密、访问控制、网络安全防护等技术手段,防止数据泄露和未经授权的访问以保障数据安全。同时,信息科技部需要建立健全的数据生命周期管理机制,对数据的收集、使用、存储和删除进行全生命周期管理,确保各环节符合法律法规和公司的数据合规政策。例如,在客服、理赔等阶段可能涉及客户敏感个人信息的查询,信息科技部应对展示的信息进行脱敏处理,如隐藏身份证号码和金融账户信息的部分内容,确保信息在不影响业务处理的前提下,减少数据泄露风险。
其次,信息科技部应建立数据安全监控和应急响应体系,实时监测信息系统的运行状态,及时发现和处理安全事件。在发生数据泄露或网络攻击等突发事件时,信息科技部负责启动应急预案,迅速采取措施控制事态,并配合相关部门调查。
2. 主要部门的联动
保险公司数据合规体系的搭建需要法务部门、合规部门以及信息科技部门等各部门的合作。通过多部门的协同工作,保险公司建立的数据合规体系才能有效运行,使数据合规体系及相关制度真正发挥作用。
法务部门首先负责梳理公司在数据合规方面的法律义务和风险点。基于对数据合规法律法规的理解,以及对金融和保险行业相关法规的立法动态和监管趋势的关注,法务部门明确公司应遵循的法律要求。此外,在与外部合作伙伴的业务合作(如数据共享、数据处理)中,法务部门负责审查和谈判相关合同,特别关注数据安全、个人信息保护、权责分配和违约责任等条款,以确保合同符合法律并保护公司利益。
合规部门在法务部门提供的法律解读基础上,将这些要求转化为公司内部的政策和制度。其职责包括制定和完善数据安全管理制度、个人信息保护政策、数据分类分级管理办法等,明确各部门和员工在数据处理过程中的合规责任与操作规范。同时,合规部门负责组织员工培训和宣导活动,提升公司整体的数据合规意识,推动合规文化建设。合规部门的定位是通过内部制度的建设和监督,确保法律法规要求在公司日常运营中得以落实。
信息科技部门从技术层面提供数据合规支持。根据合规部门制定的政策和制度,信息科技部门负责实施如数据加密、访问控制和网络安全防护等技术措施,以保障数据的机密性、完整性和可用性。同时,信息科技部门需在新技术或系统上线前与法务和合规部门共同进行合规性评估,以识别并解决潜在的技术合规风险。
换言之,在数据合规体系中,法务部门首先负责解读数据合规法律法规,明确公司义务与风险,并在对外合作中审查合同条款以保障数据安全;合规部门在法务解读基础上,将法律要求转化为公司内部政策,制定合规制度并推动全员合规意识的提升;信息科技部门则依据合规政策实施技术措施,如加密和安全监控,确保数据处理的技术合规性。通过法务提供法律支撑、合规部门内化要求和信息科技技术保障,三者形成协同机制,共同构建全面的数据合规体系。综上所述,法务部门、合规部门和信息科技部门通过紧密的协作与联动,共同构建了完善的公司内部数据合规体系。三者形成了法律、制度和技术的有机结合,确保公司的数据处理活动全面符合法律法规和监管要求,确保数据合规风险可控。
五、结论
在数字化时代,保险公司作为处理大量数据和敏感个人信息的行业主体,其网络安全与数据合规的重要性不言而喻。保险公司在构建网络安全与数据合规类制度时,必须认识到制度建设是保障数据安全和合规性的根本。这不仅涉及到保护客户隐私和公司声誉,更是遵守法律法规、维护市场秩序的关键。因此,保险公司在制定相关制度时,应根据自身的业务特点、技术能力、组织结构和风险承受能力,量身打造适合自己的制度框架。同时,制度建设不应是孤立的,而应注重不同部门之间的联动,形成跨部门的协作机制,确保从数据的采集、处理到存储、使用的每一个环节都能得到有效监管。此外,保险公司还需密切关注立法与监管动态,及时更新和调整制度内容,以适应不断变化的法律环境和市场需求。通过这样的制度建设,保险公司能够更好地应对网络安全挑战,保护数据资产,增强客户信任,从而在激烈的市场竞争中占据有利地位,实现可持续发展。
作者介绍
 |
宁宣凤 合伙人 |
 |
吴涵 合伙人 |
.png) |
方禹 顾问 金杜律师事务所 合规业务部 |