路在何方:保险行业开展数据安全与个人信息保护之分析与建议(二)
作者:梁琦 李伟华 2022-05-09结合我们先前整理的《研究|路在何方:保险行业开展数据安全与个人信息保护之分析与建议(一)》,我们继续如下分析和探讨:
四、保险行业数据的风险加大
1. 加速线上化 带来泄露新风险
随着保险业的数字化深入,特别是后疫情时代,“零接触”的全面线上金融成为标配,数据泄露的风险敞口也在激增。同时,相比传统封闭式架构,基于移动互联网的线上金融势必采取开放式架构,更易成为攻击目标。技术促进业务创新的同时,也须直面新技术的两面性,例如云平台数据汇集使单体风险演化为系统风险,大数据时代的个人隐私数据易被滥用等需要重点关注。另外,保险未来业务场景与外部场景环环相扣,其中的个人金融信息数据保护成为发展的防线,也是底线。近年来金融机构容易成为主要攻击目标,攻击者从炫耀技术到诈骗勒索目的不一,攻击防范的复杂严峻可见一斑。
2. 运营智能化 带来集中新挑战
进入数字化时代后,保险机构的竞争力在于能够充分发挥数据要素的效用,依托人工智能等技术了解客户、触达客户并获客。未来,依托数据要素经营的业务发展,必须合规合法,整合多方、海量、高维、异构的数据,并采用数字化的运营模式,才能及时了解经营管理状态,降低经济环境不确定性带来的风险,降低市场与周期波动带来的风险,降低客户需求变化带来的风险。数字化运营的内生需要必须加大数据的集中程度,同时也将带来更大的泄露风险。当前很多金融机构都在全力推进数据中台、数据湖建设,但是传统的授权模式、复杂的交换渠道也是需要配套做彻底的改变,需要技术、思维与管理齐头并进,才能化解与之相伴相生的个人金融信息数据集中泄露风险。
3. 监管加速完善趋严 提出防护新要求
从欧盟《通用数据保护条款》(General Data Protection Regulation,以下简称“GDPR”),到我国的三法,包括《个人信息安全规范》国家标准和《个人金融信息保护技术规范》金融行业标准相继出台,全球个人金融信息安全保护司法与监管持续完善,并不断趋严。根据新的司法与监管要求,数据权益代表了数据的权利和利益,贯穿在数据流转的整个生命周期,即使个人信息被授权使用,个人依然没有放弃对自己个人信息的合法权利。在数据已成为重要生产要素,并成为智能化发展基石的情况下,这些改变势必对个人金融信息数据保护提出新的要求。
五、保险行业企业数据与个人信息合规建议
基于行业分析和项目经验,我们对保险行业企业在执行相关数据安全与个人信息保护的法律法规时,有如下建议:
1. 数据资产盘点
保险行业是数字驱动型行业,如何有效管理作为公司核心资产的数据资产,建议保险行业企业首先对本企业开展数据资产盘点。数据资产盘点是将不同来源、不同类型的数据按一定标准进行分类整理,并按照数据和个人信息的重要性与敏感程度进行分级。
数据资产盘点目前没有统一的做法,保险行业企业可以参考以下方式并结合自身数据管理需要开展:
(1) 业务系统调研:摸底企业信息系统的情况,收集系统名称、系统功能目的、使用者、数据来源和规模等,形成统一格式的表格。
(2) 业务流程梳理:企业不同业务之间的流程关系、流程逻辑、交互数据,业务流程本身的输入输出情况、访问权限控制等,形成业务流程图。
(3) 业务流程分解:识别主要业务环节的信息,如处理人员、事由、涉及的数据(输入、输出)等,根据业务流转化成对应的数据流并形成相应的数据流程图。
(4) 数据标准梳理:对于主要业务数据按照国家标准、行业标准予以分类,并不时进行补充和总结适合本企业的数据字典。
(5) 数据分类分级:根据行业标准对数据资产进行分类分级,形成数据统计表格,重点关注“敏感个人数据”以及“重要数据”。
2. 管理架构与制度体系
(1) 管理架构[1]
为提高保险行业企业数据及个人信息的管理效率,公司可考虑参照以下架构图建立自上而下覆盖决策、管理、执行、监督四个层面的全方位的管理体系,明确组织架构和职责设置,保障数据及个人信息保护要求的有效实施和落地。
(2) 制度体系
保险行业企业所需要制定的制度,参考相关法律法规与国家标准中所涉及的相关内容,包括但不限于以下几个方面:
a) 网络类:网络安全管理制度和操作规程、网络信息安全投诉举报制度;
b) 数据类:数据分类分级保护制度、全流程数据安全管理制度、数据安全风险评估、第三方合作管理制度(数据类制度可参照下图);
c) 个人信息类:用户信息保护制度、个人信息内部管理制度和操作规程、个人信息保护影响评估;
d) 应急预案类:网络安全事件应急预案、数据安全应急预案、个人信息安全事件应急预案。
保险企业在具体制定涉及数据安全与个人信息保护的制度时,还建议注意以下几点:
a) 合法合规,在法律法规的原则与框架下制定制度,同时参考国家标准或行业标准,并可一定程度考虑尚未生效的法规草案,以了解监管发展趋势;
b) 切合实际,由于目前法律法规的一些要求为原则性规定,保险企业可根据公司实际情况,制定可执行可落地的细则或流程;
c) 制度联动,企业各制度之间应尽量保持规范内容一致、管理措施协调联动,可以发挥制度更大功效;
d) 持续改进,目前还有许多关于数据与个人信息的法律法规、行业监管规则、国家标准尚在制定当中,建议保险行业企业关注法律法规的变化并不断改进制度内容。
3. 第三方机构管理
开展保险业务过程中,保险行业企业会涉及到与第三方开展业务合作、提供服务等,期间会有数据或个人信息的交流。建议保险企业从以下几个方面加强管控:
(1) 资质审查,应对中介机构、合作方、供应商等第三方机构的资质与数据保护能力开展必要的审查;
(2) 协议约束,《个人信息保护法》对于个人信息的共同处理、委托处理以及向第三方提供处理进行了原则性规定。因此,保险行业企业与第三方的合作协议中,应当注重对数据安全和个人信息保护方面的约定,结合双方的合作地位、数据和个人信息处理活动的具体内容等合理分配彼此的权利和义务;
(3) 合作监督,建议视实际情况对第三方合作机构采取检查、审计、持续监控等措施,尤其对可以接触到保险企业核心系统或数据的第三方人员采取必要的管理手段;
(4) 利用有效技术手段,在与第三方机构合作过程中,尽可能减少向外部机构提供具体的个人信息,从而降低泄露风险并提高合作效率,建议利用隐私计算等技术方案避免数据或个人信息的直接传输。
4. 依法执行“告知—同意”规则
当保险行业企业收集处理个人信息时,应根据《个人信息保护法》规定严格遵守以“告知—同意”为核心的原则,将“告知—同意”的要求融入业务流程中。
(1) 同意
“同意”指,除《个人信息保护法》规定的“豁免”情形(以下简称“豁免情形”)外,企业在收集处理个人信息前须获得个人同意。适用于保险行业的豁免情形包括但不限于为订立或履行合同、为履行法定职责或义务、为公共利益等所必需的情形。
上述“同意”还包括在以下情形时所需取得的“单独同意”:
a) 处理敏感个人信息;
b) 向其他个人信息处理者提供个人信息;
c) 公开个人信息;
d) 在公共场所安装图像采集、个人身份识别设备所收集的个人图像、身份识别信息,用于维护公共安全之外目的;
e) 向中华人民共和国境外提供个人信息。
(2) 告知
所谓“告知”是指《个人信息保护法》规定的“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:……”。需要注意的是:
a) 告知时间应为处理个人信息前;
b) 告知的方式应以显著方式;
c) 告知的内容应使用清晰易懂的语言;
d) 即使是针对上述豁免“同意”的情形,也不排除告知义务。
目前,企业都会设计制作“个人信息保护政策”或“隐私政策”(“政策”),作为向客户告知其处理个人信息内容的主流方式。政策的内容与展示方式除满足法律法规的要求外,比如应便于客户查阅和保存,还应尽量契合保险业务实践,在充分考虑业务模式特点、全面梳理业务流程并经充分论证的前提下制定,如被保险人、受益人等保险合同关系人应与作为保险合同当事人的投保人有所区分,收集个人信息类型建议按业务条线或业务场景区分表述,定期更新外部信息接收方的清单并通过适当的方式通知客户等。保险企业在相关文件或网络页面中设计需要客户表示同意的栏位时,也应契合政策的内容、保险业务的特点来设计其相应的展示形式、文字内容结构以及提交方式等。
5. 个人信息主体权利实现
《个人信息保护法》第四章对于个人信息提供主体在个人信息处理活动中的权利进行了全面的介绍,包括但不限于知情权、决定权、限制权、拒绝权、删除权等。保险公司作为数据与个人信息处理者,有义务保障个人信息主体行使上述权利。该法亦明确“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制”。因此,保险公司在今后的业务开展中,应当对于个人信息提供主体在个人信息处理活动中的权利进行落实,这将是未来合规监管的重要内容。建议保险企业注意以下内容:
(1) 首先对个人信息主体权利的内容与要求进行分析、拆解、落实,并明确对接的部门、人员、操作流程以及部门间配合方式等;
(2) 梳理涉及接触客户的所有渠道及业务场景,确保企业能及时获取客户所主张的个人信息主体权利等资料;
(3) 根据企业的实际情况,合理设计流程并做出切实可行的服务承诺,在“个人信息保护政策”或“隐私政策”中予以体现;
(4) 通过日常客户服务的经验积累以及发现的问题,不断改进流程、提高效率。
六、结语
《数据安全法》《个人信息保护法》出台尚不到一年,由于国家政策标准和法规的执行细则仍然处于草拟阶段,许多企业在如何正确解读及执行落地方面还处在学习及观望中。结合目前的发展情况来看,数据安全及个人信息保护可能有以下两个大的趋势[3]:
1. 数据安全及个人信息保护实践的“行业化”和“场景化”。由于不同行业、不同场景面临的数据安全风险与潜在威胁不尽相同,因此必须结合行业的自身特点开展数据安全治理。
2. 数据安全及个人信息保护从“离散型”到“体系化”演进。数据安全及个人信息保护问题由来己久,“离散型”的补丁式解决方法已不能完全适应企业当前的发展需要。如何整合有效资源,平衡数据安全个人信息保护与业务发展,推动“体系化”数据安全治理建设,是行业与企业需要考虑的问题。
银保监会已表示,今年将开展银行业保险业个人信息保护专项整治,并称“现在各行各业都把信息作为竞争的核心,同时个人信息保护也存在很多问题和漏洞,所以我们推动银行业保险业切实落实《个人信息保护法》,提升个人信息使用的规范性,保护消费者信息安全权。”因此,希望保险行业企业能借此机会尽快把数据安全以及个人信息保护提上日程,做到有备无患。
参考文献:
[1]《金融数据安全 数据生命周期安全规范》JR/T0223-2021 第8.1条 数据安全组织保障——组织结构;
[2]《金融数据安全 数据生命周期安全规范》JR/T0223-2021 第5.1条 安全框架——数据生命周期安全框架;
[3]《数据安全治理实践指南1.0》,作者:中国信息通信研究院云计算与大数据研究所。