路在何方:保險(xiǎn)行業(yè)開展數(shù)據(jù)安全與個(gè)人信息保護(hù)之分析與建議(二)
作者:梁琦 李偉華 2022-05-09結(jié)合我們先前整理的《研究|路在何方:保險(xiǎn)行業(yè)開展數(shù)據(jù)安全與個(gè)人信息保護(hù)之分析與建議(一)》,我們繼續(xù)如下分析和探討:
四、保險(xiǎn)行業(yè)數(shù)據(jù)的風(fēng)險(xiǎn)加大
1. 加速線上化 帶來泄露新風(fēng)險(xiǎn)
隨著保險(xiǎn)業(yè)的數(shù)字化深入,特別是后疫情時(shí)代,“零接觸”的全面線上金融成為標(biāo)配,數(shù)據(jù)泄露的風(fēng)險(xiǎn)敞口也在激增。同時(shí),相比傳統(tǒng)封閉式架構(gòu),基于移動(dòng)互聯(lián)網(wǎng)的線上金融勢必采取開放式架構(gòu),更易成為攻擊目標(biāo)。技術(shù)促進(jìn)業(yè)務(wù)創(chuàng)新的同時(shí),也須直面新技術(shù)的兩面性,例如云平臺(tái)數(shù)據(jù)匯集使單體風(fēng)險(xiǎn)演化為系統(tǒng)風(fēng)險(xiǎn),大數(shù)據(jù)時(shí)代的個(gè)人隱私數(shù)據(jù)易被濫用等需要重點(diǎn)關(guān)注。另外,保險(xiǎn)未來業(yè)務(wù)場景與外部場景環(huán)環(huán)相扣,其中的個(gè)人金融信息數(shù)據(jù)保護(hù)成為發(fā)展的防線,也是底線。近年來金融機(jī)構(gòu)容易成為主要攻擊目標(biāo),攻擊者從炫耀技術(shù)到詐騙勒索目的不一,攻擊防范的復(fù)雜嚴(yán)峻可見一斑。
2. 運(yùn)營智能化 帶來集中新挑戰(zhàn)
進(jìn)入數(shù)字化時(shí)代后,保險(xiǎn)機(jī)構(gòu)的競爭力在于能夠充分發(fā)揮數(shù)據(jù)要素的效用,依托人工智能等技術(shù)了解客戶、觸達(dá)客戶并獲客。未來,依托數(shù)據(jù)要素經(jīng)營的業(yè)務(wù)發(fā)展,必須合規(guī)合法,整合多方、海量、高維、異構(gòu)的數(shù)據(jù),并采用數(shù)字化的運(yùn)營模式,才能及時(shí)了解經(jīng)營管理狀態(tài),降低經(jīng)濟(jì)環(huán)境不確定性帶來的風(fēng)險(xiǎn),降低市場與周期波動(dòng)帶來的風(fēng)險(xiǎn),降低客戶需求變化帶來的風(fēng)險(xiǎn)。數(shù)字化運(yùn)營的內(nèi)生需要必須加大數(shù)據(jù)的集中程度,同時(shí)也將帶來更大的泄露風(fēng)險(xiǎn)。當(dāng)前很多金融機(jī)構(gòu)都在全力推進(jìn)數(shù)據(jù)中臺(tái)、數(shù)據(jù)湖建設(shè),但是傳統(tǒng)的授權(quán)模式、復(fù)雜的交換渠道也是需要配套做徹底的改變,需要技術(shù)、思維與管理齊頭并進(jìn),才能化解與之相伴相生的個(gè)人金融信息數(shù)據(jù)集中泄露風(fēng)險(xiǎn)。
3. 監(jiān)管加速完善趨嚴(yán) 提出防護(hù)新要求
從歐盟《通用數(shù)據(jù)保護(hù)條款》(General Data Protection Regulation,以下簡稱“GDPR”),到我國的三法,包括《個(gè)人信息安全規(guī)范》國家標(biāo)準(zhǔn)和《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》金融行業(yè)標(biāo)準(zhǔn)相繼出臺(tái),全球個(gè)人金融信息安全保護(hù)司法與監(jiān)管持續(xù)完善,并不斷趨嚴(yán)。根據(jù)新的司法與監(jiān)管要求,數(shù)據(jù)權(quán)益代表了數(shù)據(jù)的權(quán)利和利益,貫穿在數(shù)據(jù)流轉(zhuǎn)的整個(gè)生命周期,即使個(gè)人信息被授權(quán)使用,個(gè)人依然沒有放棄對(duì)自己個(gè)人信息的合法權(quán)利。在數(shù)據(jù)已成為重要生產(chǎn)要素,并成為智能化發(fā)展基石的情況下,這些改變勢必對(duì)個(gè)人金融信息數(shù)據(jù)保護(hù)提出新的要求。
五、保險(xiǎn)行業(yè)企業(yè)數(shù)據(jù)與個(gè)人信息合規(guī)建議
基于行業(yè)分析和項(xiàng)目經(jīng)驗(yàn),我們對(duì)保險(xiǎn)行業(yè)企業(yè)在執(zhí)行相關(guān)數(shù)據(jù)安全與個(gè)人信息保護(hù)的法律法規(guī)時(shí),有如下建議:
1. 數(shù)據(jù)資產(chǎn)盤點(diǎn)
保險(xiǎn)行業(yè)是數(shù)字驅(qū)動(dòng)型行業(yè),如何有效管理作為公司核心資產(chǎn)的數(shù)據(jù)資產(chǎn),建議保險(xiǎn)行業(yè)企業(yè)首先對(duì)本企業(yè)開展數(shù)據(jù)資產(chǎn)盤點(diǎn)。數(shù)據(jù)資產(chǎn)盤點(diǎn)是將不同來源、不同類型的數(shù)據(jù)按一定標(biāo)準(zhǔn)進(jìn)行分類整理,并按照數(shù)據(jù)和個(gè)人信息的重要性與敏感程度進(jìn)行分級(jí)。
數(shù)據(jù)資產(chǎn)盤點(diǎn)目前沒有統(tǒng)一的做法,保險(xiǎn)行業(yè)企業(yè)可以參考以下方式并結(jié)合自身數(shù)據(jù)管理需要開展:
(1) 業(yè)務(wù)系統(tǒng)調(diào)研:摸底企業(yè)信息系統(tǒng)的情況,收集系統(tǒng)名稱、系統(tǒng)功能目的、使用者、數(shù)據(jù)來源和規(guī)模等,形成統(tǒng)一格式的表格。
(2) 業(yè)務(wù)流程梳理:企業(yè)不同業(yè)務(wù)之間的流程關(guān)系、流程邏輯、交互數(shù)據(jù),業(yè)務(wù)流程本身的輸入輸出情況、訪問權(quán)限控制等,形成業(yè)務(wù)流程圖。
(3) 業(yè)務(wù)流程分解:識(shí)別主要業(yè)務(wù)環(huán)節(jié)的信息,如處理人員、事由、涉及的數(shù)據(jù)(輸入、輸出)等,根據(jù)業(yè)務(wù)流轉(zhuǎn)化成對(duì)應(yīng)的數(shù)據(jù)流并形成相應(yīng)的數(shù)據(jù)流程圖。
(4) 數(shù)據(jù)標(biāo)準(zhǔn)梳理:對(duì)于主要業(yè)務(wù)數(shù)據(jù)按照國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)予以分類,并不時(shí)進(jìn)行補(bǔ)充和總結(jié)適合本企業(yè)的數(shù)據(jù)字典。
(5) 數(shù)據(jù)分類分級(jí):根據(jù)行業(yè)標(biāo)準(zhǔn)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí),形成數(shù)據(jù)統(tǒng)計(jì)表格,重點(diǎn)關(guān)注“敏感個(gè)人數(shù)據(jù)”以及“重要數(shù)據(jù)”。
2. 管理架構(gòu)與制度體系
(1) 管理架構(gòu)[1]
為提高保險(xiǎn)行業(yè)企業(yè)數(shù)據(jù)及個(gè)人信息的管理效率,公司可考慮參照以下架構(gòu)圖建立自上而下覆蓋決策、管理、執(zhí)行、監(jiān)督四個(gè)層面的全方位的管理體系,明確組織架構(gòu)和職責(zé)設(shè)置,保障數(shù)據(jù)及個(gè)人信息保護(hù)要求的有效實(shí)施和落地。
(2) 制度體系
保險(xiǎn)行業(yè)企業(yè)所需要制定的制度,參考相關(guān)法律法規(guī)與國家標(biāo)準(zhǔn)中所涉及的相關(guān)內(nèi)容,包括但不限于以下幾個(gè)方面:
a) 網(wǎng)絡(luò)類:網(wǎng)絡(luò)安全管理制度和操作規(guī)程、網(wǎng)絡(luò)信息安全投訴舉報(bào)制度;
b) 數(shù)據(jù)類:數(shù)據(jù)分類分級(jí)保護(hù)制度、全流程數(shù)據(jù)安全管理制度、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、第三方合作管理制度(數(shù)據(jù)類制度可參照下圖);
c) 個(gè)人信息類:用戶信息保護(hù)制度、個(gè)人信息內(nèi)部管理制度和操作規(guī)程、個(gè)人信息保護(hù)影響評(píng)估;
d) 應(yīng)急預(yù)案類:網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案、數(shù)據(jù)安全應(yīng)急預(yù)案、個(gè)人信息安全事件應(yīng)急預(yù)案。
保險(xiǎn)企業(yè)在具體制定涉及數(shù)據(jù)安全與個(gè)人信息保護(hù)的制度時(shí),還建議注意以下幾點(diǎn):
a) 合法合規(guī),在法律法規(guī)的原則與框架下制定制度,同時(shí)參考國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn),并可一定程度考慮尚未生效的法規(guī)草案,以了解監(jiān)管發(fā)展趨勢;
b) 切合實(shí)際,由于目前法律法規(guī)的一些要求為原則性規(guī)定,保險(xiǎn)企業(yè)可根據(jù)公司實(shí)際情況,制定可執(zhí)行可落地的細(xì)則或流程;
c) 制度聯(lián)動(dòng),企業(yè)各制度之間應(yīng)盡量保持規(guī)范內(nèi)容一致、管理措施協(xié)調(diào)聯(lián)動(dòng),可以發(fā)揮制度更大功效;
d) 持續(xù)改進(jìn),目前還有許多關(guān)于數(shù)據(jù)與個(gè)人信息的法律法規(guī)、行業(yè)監(jiān)管規(guī)則、國家標(biāo)準(zhǔn)尚在制定當(dāng)中,建議保險(xiǎn)行業(yè)企業(yè)關(guān)注法律法規(guī)的變化并不斷改進(jìn)制度內(nèi)容。
3. 第三方機(jī)構(gòu)管理
開展保險(xiǎn)業(yè)務(wù)過程中,保險(xiǎn)行業(yè)企業(yè)會(huì)涉及到與第三方開展業(yè)務(wù)合作、提供服務(wù)等,期間會(huì)有數(shù)據(jù)或個(gè)人信息的交流。建議保險(xiǎn)企業(yè)從以下幾個(gè)方面加強(qiáng)管控:
(1) 資質(zhì)審查,應(yīng)對(duì)中介機(jī)構(gòu)、合作方、供應(yīng)商等第三方機(jī)構(gòu)的資質(zhì)與數(shù)據(jù)保護(hù)能力開展必要的審查;
(2) 協(xié)議約束,《個(gè)人信息保護(hù)法》對(duì)于個(gè)人信息的共同處理、委托處理以及向第三方提供處理進(jìn)行了原則性規(guī)定。因此,保險(xiǎn)行業(yè)企業(yè)與第三方的合作協(xié)議中,應(yīng)當(dāng)注重對(duì)數(shù)據(jù)安全和個(gè)人信息保護(hù)方面的約定,結(jié)合雙方的合作地位、數(shù)據(jù)和個(gè)人信息處理活動(dòng)的具體內(nèi)容等合理分配彼此的權(quán)利和義務(wù);
(3) 合作監(jiān)督,建議視實(shí)際情況對(duì)第三方合作機(jī)構(gòu)采取檢查、審計(jì)、持續(xù)監(jiān)控等措施,尤其對(duì)可以接觸到保險(xiǎn)企業(yè)核心系統(tǒng)或數(shù)據(jù)的第三方人員采取必要的管理手段;
(4) 利用有效技術(shù)手段,在與第三方機(jī)構(gòu)合作過程中,盡可能減少向外部機(jī)構(gòu)提供具體的個(gè)人信息,從而降低泄露風(fēng)險(xiǎn)并提高合作效率,建議利用隱私計(jì)算等技術(shù)方案避免數(shù)據(jù)或個(gè)人信息的直接傳輸。
4. 依法執(zhí)行“告知—同意”規(guī)則
當(dāng)保險(xiǎn)行業(yè)企業(yè)收集處理個(gè)人信息時(shí),應(yīng)根據(jù)《個(gè)人信息保護(hù)法》規(guī)定嚴(yán)格遵守以“告知—同意”為核心的原則,將“告知—同意”的要求融入業(yè)務(wù)流程中。
(1) 同意
“同意”指,除《個(gè)人信息保護(hù)法》規(guī)定的“豁免”情形(以下簡稱“豁免情形”)外,企業(yè)在收集處理個(gè)人信息前須獲得個(gè)人同意。適用于保險(xiǎn)行業(yè)的豁免情形包括但不限于為訂立或履行合同、為履行法定職責(zé)或義務(wù)、為公共利益等所必需的情形。
上述“同意”還包括在以下情形時(shí)所需取得的“單獨(dú)同意”:
a) 處理敏感個(gè)人信息;
b) 向其他個(gè)人信息處理者提供個(gè)人信息;
c) 公開個(gè)人信息;
d) 在公共場所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備所收集的個(gè)人圖像、身份識(shí)別信息,用于維護(hù)公共安全之外目的;
e) 向中華人民共和國境外提供個(gè)人信息。
(2) 告知
所謂“告知”是指《個(gè)人信息保護(hù)法》規(guī)定的“以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng):……”。需要注意的是:
a) 告知時(shí)間應(yīng)為處理個(gè)人信息前;
b) 告知的方式應(yīng)以顯著方式;
c) 告知的內(nèi)容應(yīng)使用清晰易懂的語言;
d) 即使是針對(duì)上述豁免“同意”的情形,也不排除告知義務(wù)。
目前,企業(yè)都會(huì)設(shè)計(jì)制作“個(gè)人信息保護(hù)政策”或“隱私政策”(“政策”),作為向客戶告知其處理個(gè)人信息內(nèi)容的主流方式。政策的內(nèi)容與展示方式除滿足法律法規(guī)的要求外,比如應(yīng)便于客戶查閱和保存,還應(yīng)盡量契合保險(xiǎn)業(yè)務(wù)實(shí)踐,在充分考慮業(yè)務(wù)模式特點(diǎn)、全面梳理業(yè)務(wù)流程并經(jīng)充分論證的前提下制定,如被保險(xiǎn)人、受益人等保險(xiǎn)合同關(guān)系人應(yīng)與作為保險(xiǎn)合同當(dāng)事人的投保人有所區(qū)分,收集個(gè)人信息類型建議按業(yè)務(wù)條線或業(yè)務(wù)場景區(qū)分表述,定期更新外部信息接收方的清單并通過適當(dāng)?shù)姆绞酵ㄖ蛻舻取1kU(xiǎn)企業(yè)在相關(guān)文件或網(wǎng)絡(luò)頁面中設(shè)計(jì)需要客戶表示同意的欄位時(shí),也應(yīng)契合政策的內(nèi)容、保險(xiǎn)業(yè)務(wù)的特點(diǎn)來設(shè)計(jì)其相應(yīng)的展示形式、文字內(nèi)容結(jié)構(gòu)以及提交方式等。
5. 個(gè)人信息主體權(quán)利實(shí)現(xiàn)
《個(gè)人信息保護(hù)法》第四章對(duì)于個(gè)人信息提供主體在個(gè)人信息處理活動(dòng)中的權(quán)利進(jìn)行了全面的介紹,包括但不限于知情權(quán)、決定權(quán)、限制權(quán)、拒絕權(quán)、刪除權(quán)等。保險(xiǎn)公司作為數(shù)據(jù)與個(gè)人信息處理者,有義務(wù)保障個(gè)人信息主體行使上述權(quán)利。該法亦明確“個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制”。因此,保險(xiǎn)公司在今后的業(yè)務(wù)開展中,應(yīng)當(dāng)對(duì)于個(gè)人信息提供主體在個(gè)人信息處理活動(dòng)中的權(quán)利進(jìn)行落實(shí),這將是未來合規(guī)監(jiān)管的重要內(nèi)容。建議保險(xiǎn)企業(yè)注意以下內(nèi)容:
(1) 首先對(duì)個(gè)人信息主體權(quán)利的內(nèi)容與要求進(jìn)行分析、拆解、落實(shí),并明確對(duì)接的部門、人員、操作流程以及部門間配合方式等;
(2) 梳理涉及接觸客戶的所有渠道及業(yè)務(wù)場景,確保企業(yè)能及時(shí)獲取客戶所主張的個(gè)人信息主體權(quán)利等資料;
(3) 根據(jù)企業(yè)的實(shí)際情況,合理設(shè)計(jì)流程并做出切實(shí)可行的服務(wù)承諾,在“個(gè)人信息保護(hù)政策”或“隱私政策”中予以體現(xiàn);
(4) 通過日常客戶服務(wù)的經(jīng)驗(yàn)積累以及發(fā)現(xiàn)的問題,不斷改進(jìn)流程、提高效率。
六、結(jié)語
《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》出臺(tái)尚不到一年,由于國家政策標(biāo)準(zhǔn)和法規(guī)的執(zhí)行細(xì)則仍然處于草擬階段,許多企業(yè)在如何正確解讀及執(zhí)行落地方面還處在學(xué)習(xí)及觀望中。結(jié)合目前的發(fā)展情況來看,數(shù)據(jù)安全及個(gè)人信息保護(hù)可能有以下兩個(gè)大的趨勢[3]:
1. 數(shù)據(jù)安全及個(gè)人信息保護(hù)實(shí)踐的“行業(yè)化”和“場景化”。由于不同行業(yè)、不同場景面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)與潛在威脅不盡相同,因此必須結(jié)合行業(yè)的自身特點(diǎn)開展數(shù)據(jù)安全治理。
2. 數(shù)據(jù)安全及個(gè)人信息保護(hù)從“離散型”到“體系化”演進(jìn)。數(shù)據(jù)安全及個(gè)人信息保護(hù)問題由來己久,“離散型”的補(bǔ)丁式解決方法已不能完全適應(yīng)企業(yè)當(dāng)前的發(fā)展需要。如何整合有效資源,平衡數(shù)據(jù)安全個(gè)人信息保護(hù)與業(yè)務(wù)發(fā)展,推動(dòng)“體系化”數(shù)據(jù)安全治理建設(shè),是行業(yè)與企業(yè)需要考慮的問題。
銀保監(jiān)會(huì)已表示,今年將開展銀行業(yè)保險(xiǎn)業(yè)個(gè)人信息保護(hù)專項(xiàng)整治,并稱“現(xiàn)在各行各業(yè)都把信息作為競爭的核心,同時(shí)個(gè)人信息保護(hù)也存在很多問題和漏洞,所以我們推動(dòng)銀行業(yè)保險(xiǎn)業(yè)切實(shí)落實(shí)《個(gè)人信息保護(hù)法》,提升個(gè)人信息使用的規(guī)范性,保護(hù)消費(fèi)者信息安全權(quán)。”因此,希望保險(xiǎn)行業(yè)企業(yè)能借此機(jī)會(huì)盡快把數(shù)據(jù)安全以及個(gè)人信息保護(hù)提上日程,做到有備無患。
參考文獻(xiàn):
[1]《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》JR/T0223-2021 第8.1條 數(shù)據(jù)安全組織保障——組織結(jié)構(gòu);
[2]《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》JR/T0223-2021 第5.1條 安全框架——數(shù)據(jù)生命周期安全框架;
[3]《數(shù)據(jù)安全治理實(shí)踐指南1.0》,作者:中國信息通信研究院云計(jì)算與大數(shù)據(jù)研究所。
