办法发布背景
早在2007年4月10日,保监会发布了《关于加强保险中介机构信息化建设的通知》(简称《通知》),目的在于改善保险中介行业信息化建设滞后于保险业发展要求的现状,从而保障保险中介行业持续健康发展。但很明显,《通知》已不能满足时代的需求。在技术层面,《通知》的相关规定和要求无法适应信息化发展的需求,对于保险中介机构的信息化建设已不适应当前行业发展的现状;在监管层面,《通知》缺乏明确的罚则规定和细则标准,法律约束力不足。近年来,随着保险行业的持续健康发展,保险中介机构的数量和规模不断扩大,市场地位不断提高。但是,由于信息化治理不完备、信息系统建设不规范、信息安全机制不健全等原因,保险中介行业的违法违规事件时有发生。2020年,保险中介机构违法违规现象愈发严重。据普华永道《2020年度保险行业监管处罚分析》调查报告,2020年银保监会及其派出机构对保险机构的罚单总数为1705张,罚单金额2.36亿元,涉及保险机构342家,罚单数量和金额均远超2019年(947张罚单和1.41亿元罚金)。
为了加强对保险中介的监管,提高信息工作和经营管理水平,构建新型的保险中介市场体系,促进保险中介行业的高质量发展,2021年1月12日,银保监会发布了《保险中介机构信息化工作监管办法》,自2021年2月1日起施行,同时,《通知》也被废止。《办法》的出台,将进一步提高保险中介机构的信息化工作水平和经营管理水平,构建新型保险中介市场体系,促进保险业高质量发展。
办法发布意义
责任明确及划分。清晰的责任架构是深化保险中介机构信息化改革的重要内容之一,能够有效推动信息化工作的进程。《办法》规定,保险中介机构是本机构信息化工作的责任主体,其法定代表人或主要负责人是本机构信息化工作的第一责任人。对于关联企业有关的信息化工作(包括股东、参股企业和其他关系企业),保险中介机构应厘清与关联企业之间的信息化工作职责,明确各自的信息安全管理责任。一方面可以明确相关主体的责任,防止市场上不具备资质的主体参与保险业务,一方面也为了更好地保护消费者信息安全,保障消费者的核心利益。突发事件的定义及判定标准。突发事件是当下最受网民关注的社会风险之一,加之其发展情况的不确定性会大大降低公众的安全感,进而可能演变成负面社会性事件。因此,《办法》对突发事件的定义和判定标准做了详细规定:“由于信息系统或信息化基础设施发生故障或遭受网络攻击,同一省份的保险中介机构的营业网点、电子渠道业务中断超过3小时;两个及以上省份的营业网点、电子渠道业务中断超过30分钟;由于网络欺诈或其他信息安全事件,造成保险中介机构或客户资金损失超过1000万元,或造成重大社会影响;由于保险中介机构丢失或泄露大量重要数据或客户信息等,已经或可能造成重大损失和严重影响”。(相关网络安全专家指出,造成一百万以上用户信息泄露则可能被定义为突发事件)
办法重要价值体现
满足合规及发展需求。合规建设是一项长期而艰巨的工作,重在法律法规的完善、贵在工作模式的创新、成在长期不懈的坚持。保险中介机构信息化工作应当符合中华人民共和国法律、行政法规和中国银行保险监督管理委员会(以下简称银保监会)监管制度要求,在防范风险的前提下,以满足国内信息化发展需求作为出发点和落脚点,积极跟踪、研究和运用新兴信息技术,推进业务创新和服务创新,提升核心竞争力。明确信息化工作职责。信息化建设要坚持稳中求进工作总基调,从合规层面理解和把控信息化工作细节。保险中介机构要贯彻国家网络安全与信息化工作的法律、行政法规、技术标准和银保监会监管制度;制定本机构信息化工作规划,确保与总体业务规划的一致性;制定信息化工作制度,建立分工合理、职责明确、报告关系清晰的信息化管理机制;编制信息化预算,保障信息化工作所需资金;开展本机构信息化建设,确保完整掌握本机构信息系统和数据的管理权;制定本机构信息化突发事件应急预案,组织开展应急演练,及时报告、快速响应和处置本机构发生的信息化突发事件等。与关联企业的数据共享和有效隔离。保险中介机构的行业属性决定了其与关联企业之间存在着错综复杂的关系,如何在信息化进程中进行有效的隔离成为其工作重点。该《办法》规定,保险中介机构的重要信息化机制、设施以及管理应当保持独立、完整,并与相关联企业的相关设施有效隔离,严格规范信息系统和数据的访问、使用、转移、复制等行为,不得将诸如保单、个人信息等数据信息泄露给关联企业。信息化事项外包给关联企业的,应当按照外包要求进行有效管理。若保险中介机构与关联企业共用一套信息系统则必须保证数据的安全和独立。兼业机构与专业机构保持一致要求。《办法》规范的对象包括保险专业中介机构(以下简称专业机构)和保险兼业代理机构(以下简称兼业机构),其中,兼业机构表现出多、散、小的特点,但在代理保险业务过程中,其业务环节和涉及的消费者信息与专业机构基本一致,而且中小兼业机构在保险代理业务管理、财务管理和从业人员管理上往往不如专业机构规范,更需加强监管,故兼业机构应该在保险代理业务方面与专业机构保持一致的信息化工作要求。
办法亮点解析
信息化建设方式要求。通过自主开发和与外包服务机构合作等方式,保险中介机构都可以构建保险中介信息系统,但无论以何种方式建立信息系统,保险中介机构都应充分认识和有效控制与信息化建设相关的风险,并承担起信息安全管理责任。保险中介机构在与外包服务机构合作建立信息系统时,应识别和分析信息技术外包的风险,加强对外包服务机构的资质审查,规范外包服务合同条款,明确外包范围、责任边界、安全保密和个人信息保护责任,并采取有效措施确保数据和信息系统的安全和持续控制。信息化建设数据安全要求。保险行业一直与数据紧密相关,随着对数据价值的充分挖掘与发挥,数据安全已日渐成为保险中介机构的重点关注问题。保险中介机构应对重要数据采取保护措施,保障数据在收集、存储、传输、使用、提供、备份、恢复和销毁等过程中的安全,确保数据的正当合法使用,防止泄露、篡改和破坏,增强加密、脱敏、数字水印、访问控制、身份认证等安全技术的应用,从而保障数据的完整性、保密性和可用性。保险中介机构还应当采取可靠的措施存储、备份数据,并定期开展备份数据恢复验证,至少要保存5年的系统数据和6个月的系统日志。加强自查。新基建浪潮下,信息化建设成为保险中介行业紧抓时代机遇、提速增效保持发展活力的桥头堡,保险中介机构应该积极响应《办法》要求,加强自查。《办法》规定,本办法实施之日起,保险中介机构应根据本办法开展信息化工作自查,并于一年内完成整改。在完成整改后,保险中介机构法人机构要向机构营业执照登记注册地银保监会派出机构提交信息化工作情况报告。信息安全合规。个人信息保护一直以来都是一道难题,尽管我国相关部门不断出台相关规定,不断加大执法力度,但是个人信息泄露的问题依然严重,个人信息保护也成为保险中介机构信息化建设的重点之一。保险中介机构应当遵循合法、正当、必要的原则,遵守国家相关法律、行政法规,并符合个人信息安全相关的国家标准。保险中介机构在未经许可或授权的情况下,不得收集与其服务无关的个人信息;不得违反法律、行政法规和合同约定收集、使用、提供和处理个人信息;不得泄露、篡改个人信息。权限控制,责任到人。此前2007版《通知》不够完善,对于权限控制和责任划分不够细致,本次《办法》对此作出详细规定。该《办法》指出,保险中介机构应当按照最少功能、最小权限的原则,合理确定信息系统的访问权限并定期进行检查和核对,确保用户的权限与其工作职责相匹配。对系统的访问进行严格控制,禁止未授权的数据浏览和下载。严格控制系统后台修改数据,对确需修改的数据要做到事前审批、事中监控、事后记录。通过信息系统,保险中介机构应当全面、准确、完整地记录管理业务、财务和人员等情况,确保信息系统记录管理的数据与实际经营业务相符。(关注本公众号并回复关键词“保险监管办法2021”,下载《保险中介机构信息化工作监管办法》。炼石网络将针对保险中介机构推出专业数据安全建设方案,尽请期待!)
炼石网络是一家基于密码与系统安全技术的数据安全创新公司,提倡“以数据为中心的新安全理念”,自主研发了CASB业务数据安全平台和高性能国密产品,开创性的实现免开发改造应用、敏捷实施细粒度数据保护,该产品入选工信部2020年网络安全技术应用试点示范推荐项目,并夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军。基于AOE面向切面数据安全技术,将安全与业务在技术上解耦、但又在能力上融合交织 ,实现主体到应用内用户、客体到字段级的防护,打造“以密码技术为核心,访问控制、审计等多种安全技术互相融合”的实战化数据安全防护体系。炼石为政府、金融、教医旅、工商等行业用户,提供个人信息保护、商业秘密保护以及国密合规改造方案,让数据共享更安全、更有价值。
微信号:炼石网络CipherGateway