保險公司與使用者之間的信任關系建立在資訊保安基礎之上。6月10日,北京商報記者了解到,近日,海港人壽保險股份有限公司(以下簡稱「海港人壽」)主辦的「快樂海港」App因「違規收集個人資訊」且限期內未按要求完成整改被廣東省通訊管理局公開通報。
需要關註的是,近期,金融監管總局同樣釋出一份通報,指出行業內險企在有關個人資訊保護方面存在不足,那麽,個人資訊如果不當處理,可能產生哪些風險?險企又該如何加強重視?
未按要求整改,海港人壽被點名
6月10日,北京商報記者了解到,近日,廣東省通訊管理局公開通報16款未按要求完成整改App。
廣東省通訊管理局表示,該局持續開展App私密合規和數據安全專項整治行動,發出【違法違規App處置通知】責令App營運者限期整改,並通知相關市集協助督促App營運者整改。截至目前,尚有16款App未完成整改。北京商報記者註意到,海港人壽主辦的「快樂海港」App在列。
海港人壽接受北京商報記者采訪時表示,針對此次通報的事項,公司已於6月5日完成整改工作,後續將進一步加強管理,杜絕此類事項再次發生。
「快樂海港」App是海港人壽代理人專屬的銷售服務平台,根據介紹,該套用可以為代理人提供壽險投保、計劃書管理、客戶管理、線上增員、團隊管理、活動量管理、教育培訓、業績查詢和營運服務等功能。
那麽,金融類App一般而言會收集哪些個人資訊?以安卓系統的相關軟體為例,記者梳理發現,App可能會對通訊錄、記憶卡中的內容、確切位置資訊進行收集。
整體而言,保險公司日常營運中涉及的個人資訊種類繁多,包括但不限於客戶的身份資訊、健康狀況、財產狀況等。這些資訊對於保險公司評估風險和提供客製化服務至關重要,但同時也成了潛在的安全風險點。中國通訊工業協會數位經濟平台分會副會長高澤龍表示,險企違規收集個人資訊可能產生的風險包括,違反【個人資訊保護法】可能招致監管機構的處罰,包括巨額罰款,嚴重時還可能面臨法律訴訟。私密擔憂會促使客戶轉向競爭對手,影響企業長期的客戶關系和業務發展。此外,嚴重的安全事件可能導致系統癱瘓,影響業務營運,造成經濟損失。
海港人壽是去年6月1日經金融監管總局批復開業的一家位於深圳市的全國性國有保險公司。其前身為恒大人壽,2023年,海港人壽獲批受讓恒大人壽保險業務及相應的資產、負債。
海港人壽共有5位股東,分別為深圳市鵬聯投資有限公司、中國保險保障基金有限責任公司、廣東粵財投資控股有限公司、重慶市渝新投資有限公司、太平人壽保險有限公司。其中,深圳市鵬聯投資有限公司出資76.5億元持股比例51%;中國保險保障基金有限責任公司出資37.5億元,持股比例25%。
資訊保護存不足,合規意識不可缺
技術迅猛發展的數位化時代,個人資訊的重要性日益凸顯,而保險公司作為處理大量客戶敏感資訊的機構,肩負著保護客戶數據安全的重大責任。
妥善處理和保護個人資訊是保險公司遵守相關法規以及監管規定的重要體現。金融監管總局年內下發的【關於銀行保險機構侵害個人資訊權益亂象專項整治發現主要問題的通報】(以下簡稱【通報】)指出,從目前投訴督查、舉報調查、監管評價等工作中反映的問題來看,保險機構侵害個人資訊權益的行為仍時有發生,內部管控還存在短板弱項和風險隱患。
根據【通報】,個人資訊收集方面,保險機構存在強制同意、擴大授權、籠統授權等問題。個人資訊第三方合作方面,存在對合作機構管控失效等問題。個人資訊儲存和傳輸方面,存在電子數據管理混亂、紙質材料管理不嚴、傳輸方式不安全等問題。
不難發現,險企在個人資訊保護方面還存在一定的不足。高澤龍對此表示,部份險企缺乏完善的資訊保安管理政策和流程,對員工的培訓不足,導致資訊處理行為不規範。數據加密、防火墻、存取許可權控制等技術手段套用不足,使得資訊易遭竊取或濫用。在與第三方合作時,未能嚴格審查合作夥伴的資訊保安能力,或缺乏有效的監督機制,導致資訊在傳輸和處理過程中泄露。在收集和使用個人資訊時,未充分告知客戶資訊用途,或未經客戶明確同意,侵犯了客戶的知情權和選擇權。此外,面對資訊泄露等安全事件,缺乏有效的應急響應計劃和處理流程,無法及時止損和恢復。
保險行業在個人資訊保護方面面臨著嚴峻的挑戰,不僅需要進一步加強制度建設,更離不開技術防護、員工培訓、客戶溝通以及行業合作等多方面的努力。
「為有效提升個人資訊保護水平,確保業務的永續發展,同時保護客戶的合法權益,保險公司應采取一系列綜合措施來加強個人資訊保護。」中國礦業大學(北京)管理學院碩士生企業導師支培元表示,首先,建立健全的個人資訊保護制度是基礎,這包括制定嚴格的數據收集、儲存、使用和銷毀政策,確保所有操作符合法律法規的要求。其次,加強技術防護措施是關鍵,保險公司應投資於先進的加密技術、防火墻和入侵檢測系統,以防止未經授權的數據存取和泄露。再次,增強員工的個人資訊保護意識和技能也至關重要,透過定期的培訓和教育,確保員工理解並遵守相關政策和程式。此外,保險公司還應加強與客戶的溝通,確保客戶了解其個人資訊的使用目的和範圍,並提供便捷的方式讓客戶管理自己的個人資訊。最後,保險公司應積極參與行業標準的制定和完善,推動整個行業在個人資訊保護方面的進步。
北京商報記者 胡永新
