在数字化时代，互联网成为各类数据安全风险的策源地、传导体和放大器，国内外有关个人信息泄露、破坏、攻击等事件频发。近几年来，美国和欧盟、日本等国家纷纷出台法律法规，强化个人隐私信息保护，我国也不断加强个人信息保护的立法工作。面对日益严峻的数据安全形势，中国人民保险集团始终坚持总体国家安全观，积极贯彻中央和国家有关部门要求，严格落实相关法律法规，将个人金融信息保护作为维护国家安全和保障广大人民群众权益的重要工作，建立健全数据安全管理体系，实施数据全生命周期安全管控，牢牢守住风险防范底线，为集团新的发展战略实施提供坚实保障。

中国人保集团首席信息技术执行官

兼信息科技部总经理  赵军

加强保险企业个人金融信息保护的意义

近年来先后曝光的“棱镜门”“剑桥分析”等事件，使全世界认识到利用大数据分析技术操纵民意、干扰国家政治格局、影响国家安全不再是科技寓言。数据安全作为网络安全的重要组成部分，关乎国家核心竞争力和国家网络空间治理的大局，得到各国政府关注。美国通过《澄清境外数据合法使用法案》（CLOUD法案）强化调取全球数据的能力，欧盟发布《通用数据保护条例》（GDPR）建立数据保护规则，日本出台《个人信息保护法》保障隐私数据安全，世界各国围绕数据资源的竞争博弈正呈现愈演愈烈之势。

习近平总书记强调“没有网络安全就没有国家安全，没有信息化就没有现代化”。我国对数据安全和隐私保护高度重视，近年来陆续出台了《网络安全法》和《个人信息安全规范》等一系列法律法规和标准规范，将个人信息保护明确为各单位必须履行的责任与义务。个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息等方面的扩展与细化，是金融机构在提供金融产品和服务的过程中积累的重要基础数据，也是数据安全保护的重中之重。为此人民银行出台《个人金融信息保护技术规范》等一系列行业标准，银保监会组织开展专项治理并持续加强数据安全监管力度，各保险企业在数字化转型中必须高度关注并采取有效措施加强数据安全保护。

2018年，中国人民保险集团启动了“3411工程”，旨在深入贯彻党的十九大精神，推动自身转方式、优结构、换动能，向高质量发展转型。“3”指财、健、寿三家子公司转型，“4”指创新驱动发展、数字化、一体化、国际化4大战略，两个“1”分别指打好一场中心城市攻坚战和守住一条不发生系统性风险的底线。数字化战略是“3411工程”中4大战略之一，定位为“智·惠人保”，目标是利用数字化技术，赋能运营转型与商业模式创新。数字化离不开数据，数据离不开客户。特别是互联网时代，数据量爆发式增长，中国人民保险集团通过多年的深耕，积累了大量个人客户信息，它们是隐私的载体，塑造了客户的数字人格，带有愈发明显的经济属性。保护好各类个人金融信息，不仅是实现数据价值创造的前提条件，更是推进集团数字化战略和“3411工程”的重要基础，对于集团向高质量发展转型具有重要意义。

人保集团保护个人金融信息的主要举措和实务

为切实加强个人金融信息保护，中国人民保险集团坚持管理与技术并重，持续健全制度规范、坚决压实主体责任、加强数据应用管控，强化网络安全保障，规范人员操作流程，不断提升数据安全和客户隐私保护能力。

1.建立健全制度规范体系。个人金融信息制度规范是个人金融信息保护的基础和前提，人民保险集团与时俱进，不断健全个人客户信息保护规范体系。一是认真贯彻国家和有关部门的各项法律法规和规章制度，并积极参与行业相关标准规范的起草和制定工作。二是在集团整体管理方面，制定客户信息管理、客户信息安全管理等办法，规范客户信息的收集、维护、使用、共享、保护等诸多环节。三是在操作使用方面，制定客户信息合规管理相关操作指引，强调客户信息收集要取得客户授权同意等合规要点。四是在共享授权方面，印发客户信息授权使用条款示范文本，明确告知消费者收集信息的目的及使用的范围，并在授权的范围内使用，有效保障消费者权益。五是在专项治理方面，研究确立针对不同机构层级、不同销售渠道、不同业务环节的客户信息管理与保护方案，使客户信息保护工作更加因地制宜。

2.落实数据安全保护责任。客户信息保护工作贯穿于中国人民保险集团经营管理的各个环节，涉及众多主体及部门。为贯彻落实好国家法律法规与公司内部制度要求，集团明确了客户信息保护的主体责任，形成多方相互配合，合力保护客户隐私的机制。一是明确了客户信息保护的属主部门，负责牵头制定客户信息安全制度、规范和标准，组织相关部门对客户信息安全违规事件进行调查。二是切分了客户信息的属主方和使用方，产品线和各渠道部门作为主要属主方，负责收集客户信息环节的合规性及安全性管理，引导客户完成信息授权；使用方负责所申请使用的客户信息的安全管理。三是强化了客户信息在技术层面的管理与保护，信息科技条线部门负责应用系统内客户信息的安全控制，采用身份认证、权限管理等有效技术措施实施刚性管控，达到非授权用户“进不来、看不懂、拿不走、改不了、赖不掉”的目的。

3.强化个人金融数据应用管控。作为国有大型保险企业，中国人民保险集团始终秉承以人为本的宗旨，将客户信息和隐私保护作为应用好客户信息、发挥其价值的前提，进而推动客户信息在集团内部整合共享，发掘并满足客户的多样化需求，促进公司向“以客户为中心”转型。在客户信息应用方面，一是严格落实国家有关法律法规和公司规定，以正当合法的方式收集和使用个人信息，确保客户信息的共享使用范围仅限于已授权客户的已授权信息。二是使用客户信息必须遵循“最小授权”原则，使用方只能访问所需的最小范围信息，防止违规访问客户敏感数据。三是在应用系统页面展示时，严格落实国家法律法规要求，对个人敏感信息实施去标识化处理。四是在进行数据分析挖掘时，不允许将个人敏感信息作为建模基础数据，分析产出的客户标签不允许具备客户可识别性。

4.构建立体网络安全防护体系。随着中国人民保险集团数字化战略的推进和新技术架构的落地实施，客户信息的线上化程度不断加深，确保网络安全成为保障客户信息安全的关键。中国人民保险集团严格按照中央网信办、公安部和行业监管部门要求开展网络安全等级保护、关键信息基础设施保护工作。一是制定集团统一信息安全策略并建立督导考核机制，强化信息系统全生命周期安全管理，确保安全管控与信息系统“同步规划、同步建设、同步运行”，推动网络安全管理工作“常态化”。二是遵循“动态防护、主动防护、纵深防护、精准防护、整体防护、联防联控”的思路，建立身份认证、终端准入、安全审计、威胁监测等技术平台并共享情报信息，推进网络安全态势感知平台研究和建设，构建集团上下一盘棋的整体网络安全防御格局，推动网络安全防护工作“体系化”。三是建立健全网络安全事件应急处置机制，定期开展信息系统应急演练，推动网络安全应急保障工作“实战化”。近年来集团网络安全防护水平持续提升，保障了网络和信息系统持续安全稳定运行，圆满完成各个重要敏感时期网络安全保障任务，集团整体网络安全防护水平目前处于业内领先地位，相关工作得到国家有关部门充分肯定。

5.强化内部人员管理和教育。数据的采集和应用各个环节都离不开人员的参与，作为国有大型保险企业，中国人民保险集团机构网点和从业人员众多，风险防范难度较大。为防范内部人员违规处理个人金融数据等行为，集团各级机构持续强化内部人员管理和规范性教育。一是加强从业人员教育和行为约束，强化制度宣导和培训，使广大员工牢记相关法规和操作规程，遵守规章制度和商业道德，履行数据安全保护义务，防范人员操作风险。二是重点加强关键岗位的合规管理，定期组织风险管理和内控合规等各类培训，提升风险防范三道防线相关岗位人员的风险识别和处置能力。三是加强信息技术培训，邀请外部专家开展网络安全专题宣讲，及时关注和发布网络安全风险预警，使员工充分认识网络安全工作重要意义，不断提升员工网络安全风险防范意识。

进一步加强个人金融信息保护的思考

随着大数据、人工智能和5G等新技术迅猛发展，个人金融信息所呈现的海量、动态、可共享、高价值等特征日趋明显，致使数据安全保护难度不断加大。相关机构在充分挖掘和利用数据资源价值的同时，应进一步加强协同合作，采取行之有效的数据安全管理与技术措施综合施治，以应对不断出现的新问题和新挑战。

1.妥善处理好数据应用和保护的关系。数据驱动是数字经济的核心和灵魂，商业模式创新离不开数据应用，保险企业要切实把握好数据应用和保护的辩证关系，在有效保护个人信息的基础上充分发挥数据价值。一方面，保险企业要通过深入挖掘分析客户数据价值，刻画客户画像，不断优化产品和服务，从而构建差异化竞争优势。要把数据应用作为企业数字化转型的重要抓手，大力推进数据的共享和应用，使数据在企业经营、业务创新和客户服务等各环节发挥更大作用。另一方面，在数字转型过程中要“敬畏”客户隐私数据，应当在法律法规规定的目的和范围内收集、使用数据，不得超过必要的限度，时刻将合法合规作为数据共享和应用的基础和前提，不断优化强化数据治理制度机制，防范违法违规使用个人金融信息等敏感数据行为。

2.营造全社会保护个人信息的氛围。做好个人金融信息保护工作，需要政府、企业和个人共同努力，联合探索建立数据安全保护长效机制，形成有效合力，共筑网络安全和数据保护体系。国家有关立法部门继续推进数据安全相关法律法规和实施细则尽快出台，并不断完善法律法规制度体系。执法部门持续加强打击和处罚力度，从网络黑产等非法数据供应源头遏制个人金融信息非法买卖的猖獗势头，构建清朗干净的网络空间。金融保险企业应当依照法律法规和国家标准的要求，建立健全全流程数据安全管理制度，采取相应的技术措施，切实落实个人信息保护主体责任。广大民众也要进一步提高隐私保护意识，尊重社会公德和伦理，诚实守信，积极配合加强监督，共同促进在全社会形成尊重和保护个人信息的良好风气。

3.提升新形势下的网络安全保障能力。在推进数字化战略实施的同时，保险企业要同步构建适应信息系统互联网化、平台虚拟化等趋势的网络安全防护体系，由被动防护向主动防御转变，由传统区域边界防护向立体纵深综合防御转变，持续提升网络安全保障能力。一是适应形势变化和技术发展趋势，密切关注监管要求，及时优化修订安全管理制度规范，确保安全标准科学有效。二是进一步落实关键信息基础设施保护要求和等级保护2.0制度，推动可信计算在金融行业的应用，提升信息系统安全免疫能力。三是加强与外部机构的合作，积极推动网络安全技术防护平台建设和威胁情报共享，不断提升安全态势感知能力和网络安全协同保障水平。四是在推动信息系统新架构落地实施的过程中，强化对核心技术的掌控，加强自主知识产权保护，与产业侧协同构筑良好生态，大力提升信息系统自主可控能力。

4.利用新技术助力个人金融信息保护。当前国家正在加快实施大数据战略，全力推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。随着保险企业加快线上化进程，新技术应用日趋广泛，未来必将发挥更加显著的引领作用。因此保险企业应借助新技术提升个人金融信息保护能力。以区块链为例，作为一种基于密码学的分布式账本技术，它具有多中心化、自信任、防篡改、公开透明等特点，可以用来实现用户身份和数据的管控。一方面利用区块链对用户信息进行加密存储，访问数据必须由用户通过私钥授权，能够有效控制数据访问权限。另一方面结合安全多方计算，构造安全执行环境，使得用户数据使用和分析时，无法还原对应的姓名、电话等个人信息，能够有效保护隐私。随着技术的不断发展，利用区块链还有可能大幅提升用户对个人信息使用的话语权，缓解用户对隐私安全保护方面的忧虑，有助于在保险企业和用户之间建立更加可靠的信任关系。

数据安全是实施数字化转型的基础保障，也是数字经济发展和数字化战略实施最可靠、最强大的动力。对于国有大型保险企业而言，个人金融信息保护工作任务艰巨，责任重大。中国人民保险集团将在实践中不断探索，继续构建适应新形势、新战略、新架构的数据安全保障体系，为集团向高质量发展转型保驾护航，为维护国家安全和保障广大人民群众权益积极贡献力量。

推荐阅读

（点击图片查看精彩内容）

精彩内容回顾

■ 实战丨中小银行信息安全威胁管理与预警体系实践

■ 案例丨构建安全可控的 AI 智能云网络

■ 实战丨光大银行区块链云平台标准符合度及建设方向分析

■ 案例丨MaxGauge 助力数据库智能运维管理

■ 报道 | 感受华为战略、技术与文化，探索“云+AI+5G”新机遇

关于仿冒我刊收费的声明

我刊自创刊以来，从未向投稿人收取过任何费用。任何以刊发文章为名向投稿人收取费用的行为，均属于对投稿人的欺诈行为。

我刊官网地址为 www.fcmag.com.cn。

我刊投稿邮箱为 fcmag@fcmag.com.cn。

对于仿冒我刊网站、网页的违法行为，我社将追究其侵权责任，以维护我社和投稿人的合法权益。仿冒网站、网页举报电话：010-88232443