路在何方:保險行業開展數據安全與個人信息保護之分析與建議(二)
作者:梁琦 李偉華 2022-05-09結合我們先前整理的《研究|路在何方:保險行業開展數據安全與個人信息保護之分析與建議(一)》,我們繼續如下分析和探討:
四、保險行業數據的風險加大
1. 加速線上化 帶來泄露新風險
隨著保險業的數字化深入,特別是后疫情時代,“零接觸”的全面線上金融成為標配,數據泄露的風險敞口也在激增。同時,相比傳統封閉式架構,基于移動互聯網的線上金融勢必采取開放式架構,更易成為攻擊目標。技術促進業務創新的同時,也須直面新技術的兩面性,例如云平臺數據匯集使單體風險演化為系統風險,大數據時代的個人隱私數據易被濫用等需要重點關注。另外,保險未來業務場景與外部場景環環相扣,其中的個人金融信息數據保護成為發展的防線,也是底線。近年來金融機構容易成為主要攻擊目標,攻擊者從炫耀技術到詐騙勒索目的不一,攻擊防范的復雜嚴峻可見一斑。
2. 運營智能化 帶來集中新挑戰
進入數字化時代后,保險機構的競爭力在于能夠充分發揮數據要素的效用,依托人工智能等技術了解客戶、觸達客戶并獲客。未來,依托數據要素經營的業務發展,必須合規合法,整合多方、海量、高維、異構的數據,并采用數字化的運營模式,才能及時了解經營管理狀態,降低經濟環境不確定性帶來的風險,降低市場與周期波動帶來的風險,降低客戶需求變化帶來的風險。數字化運營的內生需要必須加大數據的集中程度,同時也將帶來更大的泄露風險。當前很多金融機構都在全力推進數據中臺、數據湖建設,但是傳統的授權模式、復雜的交換渠道也是需要配套做徹底的改變,需要技術、思維與管理齊頭并進,才能化解與之相伴相生的個人金融信息數據集中泄露風險。
3. 監管加速完善趨嚴 提出防護新要求
從歐盟《通用數據保護條款》(General Data Protection Regulation,以下簡稱“GDPR”),到我國的三法,包括《個人信息安全規范》國家標準和《個人金融信息保護技術規范》金融行業標準相繼出臺,全球個人金融信息安全保護司法與監管持續完善,并不斷趨嚴。根據新的司法與監管要求,數據權益代表了數據的權利和利益,貫穿在數據流轉的整個生命周期,即使個人信息被授權使用,個人依然沒有放棄對自己個人信息的合法權利。在數據已成為重要生產要素,并成為智能化發展基石的情況下,這些改變勢必對個人金融信息數據保護提出新的要求。
五、保險行業企業數據與個人信息合規建議
基于行業分析和項目經驗,我們對保險行業企業在執行相關數據安全與個人信息保護的法律法規時,有如下建議:
1. 數據資產盤點
保險行業是數字驅動型行業,如何有效管理作為公司核心資產的數據資產,建議保險行業企業首先對本企業開展數據資產盤點。數據資產盤點是將不同來源、不同類型的數據按一定標準進行分類整理,并按照數據和個人信息的重要性與敏感程度進行分級。
數據資產盤點目前沒有統一的做法,保險行業企業可以參考以下方式并結合自身數據管理需要開展:
(1) 業務系統調研:摸底企業信息系統的情況,收集系統名稱、系統功能目的、使用者、數據來源和規模等,形成統一格式的表格。
(2) 業務流程梳理:企業不同業務之間的流程關系、流程邏輯、交互數據,業務流程本身的輸入輸出情況、訪問權限控制等,形成業務流程圖。
(3) 業務流程分解:識別主要業務環節的信息,如處理人員、事由、涉及的數據(輸入、輸出)等,根據業務流轉化成對應的數據流并形成相應的數據流程圖。
(4) 數據標準梳理:對于主要業務數據按照國家標準、行業標準予以分類,并不時進行補充和總結適合本企業的數據字典。
(5) 數據分類分級:根據行業標準對數據資產進行分類分級,形成數據統計表格,重點關注“敏感個人數據”以及“重要數據”。
2. 管理架構與制度體系
(1) 管理架構[1]
為提高保險行業企業數據及個人信息的管理效率,公司可考慮參照以下架構圖建立自上而下覆蓋決策、管理、執行、監督四個層面的全方位的管理體系,明確組織架構和職責設置,保障數據及個人信息保護要求的有效實施和落地。
(2) 制度體系
保險行業企業所需要制定的制度,參考相關法律法規與國家標準中所涉及的相關內容,包括但不限于以下幾個方面:
a) 網絡類:網絡安全管理制度和操作規程、網絡信息安全投訴舉報制度;
b) 數據類:數據分類分級保護制度、全流程數據安全管理制度、數據安全風險評估、第三方合作管理制度(數據類制度可參照下圖);
c) 個人信息類:用戶信息保護制度、個人信息內部管理制度和操作規程、個人信息保護影響評估;
d) 應急預案類:網絡安全事件應急預案、數據安全應急預案、個人信息安全事件應急預案。
保險企業在具體制定涉及數據安全與個人信息保護的制度時,還建議注意以下幾點:
a) 合法合規,在法律法規的原則與框架下制定制度,同時參考國家標準或行業標準,并可一定程度考慮尚未生效的法規草案,以了解監管發展趨勢;
b) 切合實際,由于目前法律法規的一些要求為原則性規定,保險企業可根據公司實際情況,制定可執行可落地的細則或流程;
c) 制度聯動,企業各制度之間應盡量保持規范內容一致、管理措施協調聯動,可以發揮制度更大功效;
d) 持續改進,目前還有許多關于數據與個人信息的法律法規、行業監管規則、國家標準尚在制定當中,建議保險行業企業關注法律法規的變化并不斷改進制度內容。
3. 第三方機構管理
開展保險業務過程中,保險行業企業會涉及到與第三方開展業務合作、提供服務等,期間會有數據或個人信息的交流。建議保險企業從以下幾個方面加強管控:
(1) 資質審查,應對中介機構、合作方、供應商等第三方機構的資質與數據保護能力開展必要的審查;
(2) 協議約束,《個人信息保護法》對于個人信息的共同處理、委托處理以及向第三方提供處理進行了原則性規定。因此,保險行業企業與第三方的合作協議中,應當注重對數據安全和個人信息保護方面的約定,結合雙方的合作地位、數據和個人信息處理活動的具體內容等合理分配彼此的權利和義務;
(3) 合作監督,建議視實際情況對第三方合作機構采取檢查、審計、持續監控等措施,尤其對可以接觸到保險企業核心系統或數據的第三方人員采取必要的管理手段;
(4) 利用有效技術手段,在與第三方機構合作過程中,盡可能減少向外部機構提供具體的個人信息,從而降低泄露風險并提高合作效率,建議利用隱私計算等技術方案避免數據或個人信息的直接傳輸。
4. 依法執行“告知—同意”規則
當保險行業企業收集處理個人信息時,應根據《個人信息保護法》規定嚴格遵守以“告知—同意”為核心的原則,將“告知—同意”的要求融入業務流程中。
(1) 同意
“同意”指,除《個人信息保護法》規定的“豁免”情形(以下簡稱“豁免情形”)外,企業在收集處理個人信息前須獲得個人同意。適用于保險行業的豁免情形包括但不限于為訂立或履行合同、為履行法定職責或義務、為公共利益等所必需的情形。
上述“同意”還包括在以下情形時所需取得的“單獨同意”:
a) 處理敏感個人信息;
b) 向其他個人信息處理者提供個人信息;
c) 公開個人信息;
d) 在公共場所安裝圖像采集、個人身份識別設備所收集的個人圖像、身份識別信息,用于維護公共安全之外目的;
e) 向中華人民共和國境外提供個人信息。
(2) 告知
所謂“告知”是指《個人信息保護法》規定的“以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:……”。需要注意的是:
a) 告知時間應為處理個人信息前;
b) 告知的方式應以顯著方式;
c) 告知的內容應使用清晰易懂的語言;
d) 即使是針對上述豁免“同意”的情形,也不排除告知義務。
目前,企業都會設計制作“個人信息保護政策”或“隱私政策”(“政策”),作為向客戶告知其處理個人信息內容的主流方式。政策的內容與展示方式除滿足法律法規的要求外,比如應便于客戶查閱和保存,還應盡量契合保險業務實踐,在充分考慮業務模式特點、全面梳理業務流程并經充分論證的前提下制定,如被保險人、受益人等保險合同關系人應與作為保險合同當事人的投保人有所區分,收集個人信息類型建議按業務條線或業務場景區分表述,定期更新外部信息接收方的清單并通過適當的方式通知客戶等。保險企業在相關文件或網絡頁面中設計需要客戶表示同意的欄位時,也應契合政策的內容、保險業務的特點來設計其相應的展示形式、文字內容結構以及提交方式等。
5. 個人信息主體權利實現
《個人信息保護法》第四章對于個人信息提供主體在個人信息處理活動中的權利進行了全面的介紹,包括但不限于知情權、決定權、限制權、拒絕權、刪除權等。保險公司作為數據與個人信息處理者,有義務保障個人信息主體行使上述權利。該法亦明確“個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制”。因此,保險公司在今后的業務開展中,應當對于個人信息提供主體在個人信息處理活動中的權利進行落實,這將是未來合規監管的重要內容。建議保險企業注意以下內容:
(1) 首先對個人信息主體權利的內容與要求進行分析、拆解、落實,并明確對接的部門、人員、操作流程以及部門間配合方式等;
(2) 梳理涉及接觸客戶的所有渠道及業務場景,確保企業能及時獲取客戶所主張的個人信息主體權利等資料;
(3) 根據企業的實際情況,合理設計流程并做出切實可行的服務承諾,在“個人信息保護政策”或“隱私政策”中予以體現;
(4) 通過日常客戶服務的經驗積累以及發現的問題,不斷改進流程、提高效率。
六、結語
《數據安全法》《個人信息保護法》出臺尚不到一年,由于國家政策標準和法規的執行細則仍然處于草擬階段,許多企業在如何正確解讀及執行落地方面還處在學習及觀望中。結合目前的發展情況來看,數據安全及個人信息保護可能有以下兩個大的趨勢[3]:
1. 數據安全及個人信息保護實踐的“行業化”和“場景化”。由于不同行業、不同場景面臨的數據安全風險與潛在威脅不盡相同,因此必須結合行業的自身特點開展數據安全治理。
2. 數據安全及個人信息保護從“離散型”到“體系化”演進。數據安全及個人信息保護問題由來己久,“離散型”的補丁式解決方法已不能完全適應企業當前的發展需要。如何整合有效資源,平衡數據安全個人信息保護與業務發展,推動“體系化”數據安全治理建設,是行業與企業需要考慮的問題。
銀保監會已表示,今年將開展銀行業保險業個人信息保護專項整治,并稱“現在各行各業都把信息作為競爭的核心,同時個人信息保護也存在很多問題和漏洞,所以我們推動銀行業保險業切實落實《個人信息保護法》,提升個人信息使用的規范性,保護消費者信息安全權。”因此,希望保險行業企業能借此機會盡快把數據安全以及個人信息保護提上日程,做到有備無患。
參考文獻:
[1]《金融數據安全 數據生命周期安全規范》JR/T0223-2021 第8.1條 數據安全組織保障——組織結構;
[2]《金融數據安全 數據生命周期安全規范》JR/T0223-2021 第5.1條 安全框架——數據生命周期安全框架;
[3]《數據安全治理實踐指南1.0》,作者:中國信息通信研究院云計算與大數據研究所。
