成全在线观看免费完整的,成全影视大全免费追剧大全,成全视频高清免费播放电视剧好剧,成全在线观看免费完整,成全在线观看高清全集,成全动漫视频在线观看完整版动画

該《通知》的主要內容有以下幾點：

1、整治對象：涉及保險行業的整治對象為保險集團（控股）公司與保險公司，包括產壽險、互聯網保險企業，此次未將保險中介機構與再保險機構納入整治對象范圍；

2、個人信息范圍：此次整治目的明確，突出為切實維護消費者合法權益的重點，主要針對消費者的個人信息，不包括保險企業的員工或保險代理人的個人信息；

3、整治方式：采取與既往監管整治活動相似的方式，即自查與抽查相結合；

4、工作時間：8-9月開展自查并整改，9月20日前提交自查整改報告；9-11月監管機構抽查；

5、檢查范圍：基本涵蓋個人信息處理的生命周期各環節，并突出保險行業的業務特點與常見問題；

6、長效機制：要求建立健全個人信息保護制度機制，完善業務規則和操作流程，全面提升工作水平。

《通知》列舉了在個人信息處理生命周期的各個環節上，保險行業發現的侵害個人信息權益的主要表現形式，此也是本次整治工作的核心內容，保險企業應重點圍繞這些內容開展自查工作。以下將結合筆者在實踐中遇到的個人信息處理各環節中經常存在的亂象，對其進行逐一分析，從本質上找出保險企業可能存在的問題，梳理出涉及的法律法規，幫助保險企業確立各自的檢查重點：

（一）個人信息收集

1、表現形式

（1）  未經同意收集個人信息。

（2）  超出業務辦理所必需的范圍收集個人信息。

（3）  強制要求同意使用信息。

（4）  要求給予不合理的授權。

（5）  要求概括授權。

（6）  消費者信息審核不嚴謹。

2、涉及問題

（1）處理個人信息缺少合法基礎

根據《個保法》的要求收集處理個人信息的，應具有合法性基礎，諸如取得個人同意，為訂立、履行合同所必需等情形，在需取得同意為處理前提的情況時，企業未取得個人同意而直接處理個人信息違反《個保法》要求。

（2）取得個人同意存在瑕疵

《個保法》規定，消費者所做出的同意應在“自愿、明確”前提下，采取“誤導、欺詐、脅迫”等手段取得的消費者同意存在瑕疵，如企業通過各種強制或不正當手段收集處理個人信息同樣違反《個保法》的要求。

（3）過度收集個人信息

收集與服務內容無關的個人信息，違反了《個保法》“直接相關”、“最小范圍”以及“不得過度收集個人信息”的原則。

（4）未履行個人信息處理的告知義務，或告知內容含糊不清

保險企業收集處理個人信息前，可以通過《隱私政策》或《個人信息保護政策》等文件向消費者履行“告知”義務，消費者在“充分知情”的前提下做出的同意方為有效；

而告知內容應確保“真實、準確、完整”，含糊的告知內容不符合《個保法》的相關要求，容易引起投訴或糾紛。

（5）收集外部數據，未盡到對數據供應商審慎的調查義務

對從外部收集的數據或個人信息應采取謹慎的態度，對數據提供方的資質、取得數據的授權范圍進行必要的檢查與確認，如涉及個人信息的則提供方是否履行相應《個保法》的義務。

（6）數據準確性欠缺

《個保法》規定處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。

（二）個人信息存儲和傳輸

1、表現形式

（1）  電子數據存儲管理混亂

（2）  紙質材料保存管理混亂。

（3）  通過不安全渠道傳輸個人信息。

（4）  因系統或操作原因導致信息外泄。

2、涉及問題

（1） 未針對數據及個人信息進行分級分類

企業未對所處理的數據及個人信息進行分級分類管理，或未區分敏感個人信息與一般個人信息，而《數據安全法》（“《數安法》”）與《個保法》要求企業對處理的數據與個人信息進行分類分級的管理，并且針對敏感個人信息應采取更高的要求，是企業對數據與個人信息管理的基本前提。

（2）缺少數據全流程安全管理制度

《數安法》要求企業建立健全的全流程數據安全管理制度（包括數字化與紙質化數據），《個保法》也要求制定內部管理制度和操作規程，企業在管理數據及個人信息的生命周期過程中，對數據的下載、存儲、記錄以及傳輸等環節應做出必要的規定并采取技術手段予以限制。

（3）對所處理的個人信息未采取加密、去標識化等安全技術措施

《個保法》要求企業在處理個人信息時，應采取相應的加密、去標識化等措施，避免明文留存，防止個人信息未經授權的訪問以及泄露、篡改、丟失。

（4）未履行教育培訓工作，導致企業員工數據安全意識單薄

 《數安法》與《個保法》均要求對企業開展數據安全的教育和培訓。

（三）個人信息查詢

1、表現形式

（1）查詢權限管理混亂。

（2）查詢業務操作不規范。

2、涉及問題

（1）未建立數據分級分類機制以及數據全流程安全管理制度

導致無法針對不同風險等級或類別的數據采取差異化管控，從而致使無法對不同崗位員工接觸數據的權限予以有效管理。

（2）未建立企業人員系統權限管理制度或機制

未識別出企業數據安全的關鍵崗位，對不同部門不同工作崗位所需要合理接觸數據或個人信息的范圍無明確界定；

未制定適應公司情況的員工系統權限管理制度，用以明確員工系統權限的申請、修改、作廢等審核流程。

（四）個人信息使用

1、表現形式

（1）用于不當營銷。

（2）用于不當催收（適用于銀行機構）。

（3）擅自辦理業務。

（4） 撤回同意后繼續使用。

2、涉及問題

（1）違規收集消費者個人信息進行處理

未適當履行《個保法》“告知-同意”義務，即向消費者開展營銷活動，甚至冒充消費者辦理業務，違反個保法規定，或可能觸犯刑法。

（2）變更個人信息處理目的、方式、種類時，未重新取得個人同意

企業采取“跨渠道銷售”“交叉銷售”等營銷方式或通過贈險、宣傳活動等取得消費者個人信息后，未向消費者履行明確告知義務并取得同意就直接開展其他保險的營銷活動，有悖于《個保法》相關法律規定。

（3）消費者在《個保法》下的各項權利無法實現

企業未建立內部機制與流程，消費者在《個保法》下的各項相關權利難以得到實施；

消費者明示拒絕或撤回同意后，保險企業根據《保險法》或監管規定雖有繼續保存消費者個人信息的義務，但應當考慮停止除存儲和采取必要的安全保護措施之外的處理，尤其應停止繼續對消費者開展營銷活動。

（五）個人信息提供

1、表現形式

（1）未經同意向他人或外部機構提供信息。  

（2）違反法律、行政法規和國家網信部門規定，向境外提供個人信息。

2、涉及問題

（1）未識別或準確識別第三方性質

保險企業無法判斷企業的業務合作方在《個保法》下的第三方法律性質，未針對性的采取措施及履行法定義務，從而導致個人信息管理混亂并造成法律風險；

上述情況主要體現在：針對獨立處理者，個人信息處理者（個人信息提供方）未履行“告知-同意”義務；針對委托處理者，未根據《個保法》要求履行相關監督管理、刪除或返還等義務。

（2）未履行個人信息出境合法程序

個人信息出境前，應履行安全評估、認證以及簽訂標準合同等合法程序；

符合《數據出境安全評估辦法》中申報網信辦安全評估的企業，應盡快開展申報安全評估的相關準備工作；

向外國司法或者執法機構提供境內數據前，應先獲得國家主管機關批準；

銀保監會規定，業務數據、財務數據等重要數據應存放在中國境內，具有獨立的數據存儲設備以及相應的安全防護和異地備份措施。

（六）個人信息刪除

1、表現形式

（1）未明確個人信息刪除要求。

（2）未及時刪除個人信息。

2、涉及問題

（1）不掌握個人信息的保存期限

企業應在不同業務場景下，根據相適應的業務目的與法律法規監管規定，確定個人信息需保存的最短合理期限；

保單中的個人信息的保存期限，可參考《保險法》相關規定；在其他業務場景下收集的個人信息，應根據法律法規及監管規定、業務特點、目的是否實現等因素，綜合考慮保存的最短合理時間。

（2）企業無正當理由繼續保存消費者個人信息

如因拒保等原因，最終未訂立保險合同的，則企業應及時刪除、銷毀消費者的個人信息。

（3）企業缺少有效的個人信息刪除、銷毀的制度或機制

企業無數據全流程安全管理制度，導致無有效的個人信息刪除、銷毀程序與方式；

保險企業對個人保險代理人處理保管消費者個人信息，采取有效管理措施。

（七）第三方合作

1、表現形式

（1）與第三方合作機構合作不審慎。

（2）違反規定向第三方合作機構提供個人信息。

2、涉及問題

（1）未識別或準確識別第三方合作機構法律性質

保險企業未準確判斷業務合作方（有個人信息轉移），在《個保法》下的法律性質，導致無法有針對性的采取措施并履行義務。

（2）缺少對第三方合作機構的有效管控

保險企業對第三方處理個人信息的管控不足導致風險，未履行《個保法》要求的相應義務，如在委托處理個人信息時的監督義務。

（3）提供的個人信息應與第三方合作的目的與內容不匹配

向第三方提供的個人信息與業務目的與內容不匹配，導致未做到《個保法》所所所要求的“實現處理目的的最小范圍”。

（4）未采取加密、去標識化等技術手段

與第三方數據傳輸的方式與渠道，未達到有效保護數據的安全水平。

（一）梳理排摸

1、企業自身梳理

梳理企業收集個人信息的業務場景及對應的處理目的、方式、敏感程度、個人信息種類及數據體量等基本情況，尤其對企業的線上線下業務所收集個人信息的合法性、正當性、合理性予以審核；

在各個業務場景下，明確收集個人信息活動所適用的個人信息處理合法基礎，并明確在各業務場景下收集個人信息的合理范圍；

2、第三方合作梳理

梳理企業有個人信息轉移業務的合作方，以及所涉個人信息的種類、數量、敏感程度等情況，并根據服務內容、法律關系、義務履行可能性以及后期風險程度，綜合判斷第三方的法律性質與類型；

梳理第三方合作所需的“最小范圍”的個人信息；

3、個人信息出境

排摸保險企業個人信息出境的情況，包括個人數據的處理數量、個人信息出境數量以及系統權限分配等情況，充分了解本企業個人信息出境的目的與合法必要性，按照最新監管要求，執行相關個人信息出境的合法程序。

（二）建章立制

1、制定適合公司實際情況與業務模式的《隱私政策》或《個人信息保護政策》，履行告知義務；

2、對所處理的數據及個人信息進行數據及個人信息分級分類工作，并制定相應制度與機制；

3、針對數據生命周期中各個環節，制定數據全流程安全管理制度；

4、企業各部門間配合建立個人信息主體行權方式與流程，確保個人順利行使《個保法》所規定的個人權利；

5、建立一套關于系統權限授予、變更、撤銷等管理制度與機制；

6、建立公司收集或采購外部數據的評審機制與流程，對數據提供者的資質與數據使用范圍進行必要的審核；

7、建立健全對第三方數據與個人信息管理的制度與機制，以及對應的合作協議條款；

8、建立個人信息出境的內部審核流程與機制。

（三）落地執行

1、管理層面

識別企業中處理數據與個人信息的關鍵性崗位，并通過簽署保密協議等形式對其工作中的數據處理行為予以有效管理；

對企業人員（包括內部與外部人員）設置合理且與其工作內容相適應系統權限；

積極開展數據安全與個人信息保護宣傳與培訓工作，建立與培養員工數據安全意識。

2、技術層面

通過技術手段，對所處理的個人信息，尤其是敏感個人信息采取加密、去標識化等安全技術措施；

針對不同等級的數據或個人信息，采取相適應的技術管控手段，防止企業人員隨意下載、存儲或濫用；

技術上，對企業所處理的個人信息，尤其是敏感個人信息采取加密、去標識化等安全技術措施，避免明文展示；

3、 業務層面

針對不同業務場景以及個人信息處理合法基礎，采取適當的措施履行“告知-同意”義務，如線上線下業務如何分別有效進行告知及獲取消費者同意；

對現有客戶，如改變個人信息處理的目的、方式、種類的，應重新履行“告知-同意”義務；

進一步加強電話銷售等營銷活動的內部管控，結合《個保法》各項要求避免擾民情況發生。

延伸閱讀：

研究｜路在何方：保險行業開展數據安全與個人信息保護之分析與建議（一）

研究｜路在何方：保險行業開展數據安全與個人信息保護之分析與建議（二）