「 道可特法视界第1717篇原创文章 」
目 录
(一)行业数据治理概况(二)行业数据立法分析(三)行业数字化动态(四)行业数据合规建议
行业数据合规建议
一、建立健全制度规范体系
建议加强对数据安全、网络安全的监管,完善制度规范,自上而下贯彻落实相关战略部署:决策层主要负责规划数据安全的管理目标和管理策略,使得该目标能够支持保险企业的运行发展,并将数据安全的分工责任贯穿于保险业务开展的过程中。管理层主要负责将决策层的方针和政策转化成具体的管理要求,统一规划保险业机构的数据安全管控机制和管控策略,并推进落地、监督检查和持续改进。执行层覆盖企业范围内的各部门和分支机构。执行层是数据安全策略、规范和流程的具体操作者,也是数据的直接接触方。审计层作为相对独立的组织构成负责对数据安全管理工作的检查和评价。二、利用网络促进数字化转型升级
数据已经成为新的生产要素,新的业态层出不穷,驱动保险企业转型升级,例如:通过推出官方APP和小程序等建立互联网保险销售商城,直接触达保险意识较强的客户;将保险产品嵌入网络平台原有的客群服务,以场景化保险的模式实现保费的快速增长:旅游出行平台销售意外险、互联网购物平台销售退货运费险等;加大电子保单覆盖率;利用“云柜面”满足客户足不出户的业务办理需求等等。国外保险公司Hippo使用物联网解决方案(智能家居计划)来保护投保人的房屋免受水灾、火灾、盗窃等风险;为承保的电梯安装梯联网传感设备,整合了电梯维保服务作为保险责任;汽车保险出现了“UBI车险”类型,保险公司可通过一系列的联网设备,根据每位保险消费车主的用车习惯、行驶里程等信息实现不同情况的保险定价等等。三、把好数据入口关,规范数据处理活动
数据的收集应当严格遵守《网络安全法》规定的七项原则。虽然在服务协议或投保声明中规定部分涉及个人信息保护的条款是当前行业通行的做法,但大多数保险公司只是以“我们承诺不会将您的个人信息泄露给任何第三方作其他用途”等告知一带而过。建议按照限制收集、明确目的、合法处理、限制使用、安全保障公开透明原则以及用户权利七项原则的要求,改进完善相关用户条款。数据的收集应符合《信息安全技术个人信息安全规范》的六项要求:① 告知消费者个人信息控制者的联系方法;
② 明示个人信息保护政策链接;③ 以链接形式展示数据安全能力合规证明;④ 提供针对处理规则的专门答疑渠道;⑤ 个人信息的共享、转让、公开披露以点击确认形式征求同意;⑥ 收集个人敏感信息分阶段、分窗口、分屏幕的特殊形式要求。大部分保险公司对于存储时间最小化原则和选择同意原则较为重视,但对于其他五项原则的重视程度有待加强。
伴随着诸多监管办法的陆续出台,对保险公司个人信息保护义务的要求加强,保险公司可以效仿互联网平台的相关规则设计,在与客户签订协议时如实说明情况,并征得客户的同意和授权。应允许保险消费者在后续合同履行期内有停止授权的权利。在和相关代理机构签订业务合同时,要声明需对方履行有限使用保险客户个人信息的义务,并能保证最大程度保护客户的个人信息不被泄露且不被用于代理业务以外的活动。四、做好数据资产管理,提升数据价值
建议建立更加完善的数据资产目录和管理机制,有效落实数据分类分级和元数据管理工作。对于保险主体的客户或用户数据而言,可以人、家庭、车辆(标的)等维度实现“一户一档”,在此基础上明确数据标签体系,包括特征数据、行为数据、支付数据等。在数据中台建立数据档案,通过数据模型技术与客户进行匹配,优化客户体验。通过数据的归集,可以极大地提升数据使用速度与效率,为后续的数据挖掘建立基础。《网络数据安全管理条例(征求意见稿)》指出,国家建立数据分类分级保护制度:按照对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据。《个人金融信息保护技术规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。《信息安全技术个人信息安全规范》列举式规定了个人信息与个人敏感信息:个人信息:包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
个人敏感信息:包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。建议及时对数据分级处理,不同级别的数据采取不同的保护措施。根据个人金融信息的不同类别,采用相应的技术手段保证数据的存储安全。
由于各类法律法规陆续对用户个人信息的存储时间加以限制,《网络数据安全管理条例(征求意见稿)》明确指出,不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。当用户终止服务或者个人注销账号,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理。可见用户信息并不能在被收集后永久存储和使用。对于可以形成分析报告、统计结果、群体画像等的海量样本,建议及时形成企业衍生数据。衍生数据是指原生数据被记录、收集及存储后,企业经营者基于一定的目的,运用建模、算法等工具对原生数据进行加工处理后形成的新生数据,比如投保消费者群体分析,不同年龄段的消费者投保偏好等。由于企业衍生数据属于非个人数据,非原始数据,凝结了企业分析工作人员的智力成果,形成商业竞争力甚至涉及商业秘密,当前法律学说倾向于对企业衍生数据进行知识产权保护。从而可以避免由于保险行业数据海量、动态的特点而流失重要信息。五、多措并举防范数据安全风险
已于2020年10月01日开始实施的GB/T 35273-2020《信息安全技术个人信息安全规范》,对个人信息保存期限提出要求:个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行授权同意的除外;超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。建议加强第三方合作当中的信息科技风险管理,防止敏感信息泄露和不当使用。与其他第三方合作当中涉及重要数据和客户个人信息处理的信息科技活动,需按照《银行保险机构信息科技外包风险监管办法》相关要求进行管理。包括:数据中心(机房)整体外包;涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;直接影响实时服务、影响账务准确性的重要信息系统外包等。
建议:将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。对信息科技外包准入提出监管要求,包括准入前评估、尽职调查等。规范信息科技外包风险管理,对外包风险识别与评估、业务连续性管理。对监管机构实施外包监督管理做出规定:事前报告要求、重大事件报告、监管评估和监督检查等。根据《监管数据安全管理办法(试行)》,发现监管数据安全缺陷、漏洞等风险时,应立即采取补救措施。结合《网络安全重大事件判定指南》列明的情形,当发生数据重大安全风险事项时,各保险企业应立即采取应急处置措施,及时消除安全隐患,防止危害扩大,并于48小时内向归口管理部门报告。辖区发生以上监管数据重大安全风险事项时,各银保监局应立即采取补救措施,并于48小时内向银保监会归口管理部门报告。白小莉北京市道可特律师事务所高级合伙人
业务领域:知识产权、争议解决、竞争与反垄断、数据安全与数据合规
手机:18612296630
邮箱:baixiaoli@dtlawyers.com.cn
道可特研究 | 金融行业数据合规观察“保险篇”(一)