基于保險行業(yè)的客戶信息安全管理風(fēng)險分析及應(yīng)對

冷汶凇

（山東省高密市第一中學(xué)，山東高密261500）

1 保險公司客戶信息安全管理相關(guān)定義

客戶信息是指在保險公司業(yè)務(wù)辦理過程中，或經(jīng)營管理中收集的與客戶相關(guān)聯(lián)的信息集合，包括個人或團(tuán)體客戶的相關(guān)基礎(chǔ)信息、客戶分類、社會關(guān)系、聯(lián)系方式、交易行為、銷售數(shù)據(jù)、營銷計(jì)劃、分析模型、服務(wù)交互等信息，其中個人客戶的證件信息、電話信息、資產(chǎn)信息是保險公司客戶信息管理的核心內(nèi)容。

安全管理是指客戶信息作為保險公司的重要數(shù)據(jù)資產(chǎn)，需通過技術(shù)和管理手段，根據(jù)信息的重要程度對其采取適當(dāng)?shù)陌踩雷o(hù)措施，保護(hù)其可用性、完整性和保密性。

2 保險公司客戶信息管理現(xiàn)狀

客戶信息是企業(yè)的核心資源，準(zhǔn)確掌握客戶信息，是把握客戶需求變化，調(diào)整經(jīng)營策略必須夯實(shí)的基礎(chǔ)，也是大數(shù)據(jù)背景下各行各業(yè)對客戶實(shí)施分類管理，推行精細(xì)化營銷，提供差異化服務(wù)，打造企業(yè)核心競爭力最重要的前提。近幾年，隨著行業(yè)監(jiān)管制度的不斷完善，保險企業(yè)在客戶信息管理方面取得進(jìn)展，但是比較銀行業(yè)而言，仍然存在較大差距，客戶信息質(zhì)量管理效果并不理想。其主要原因有以下幾個方面：

一是業(yè)務(wù)渠道外化，保險公司客戶信息掌控能力較弱。一直以來，保險公司業(yè)務(wù)來源主要依靠汽車經(jīng)銷商、銀行中介、保險營銷員等代理渠道獲取，這些渠道不是保險公司的自有渠道，與保險公司都是合作關(guān)系，哪家保險公司給的代理費(fèi)高，就把保險業(yè)務(wù)給哪家保險公司。保險公司經(jīng)營一般實(shí)行續(xù)保制，尤其是機(jī)動車輛等財(cái)險保險，每年都要進(jìn)行續(xù)保，每年都有續(xù)保代理費(fèi)，為了避免第二年續(xù)保時保險公司和客戶直接聯(lián)系后不再支付手續(xù)費(fèi)，保險代理渠道為客戶投保時，提供虛假客戶信息的行為就比較普遍。

二是信息系統(tǒng)功能不完善，保險公司大多沒有實(shí)現(xiàn)嚴(yán)格統(tǒng)一的客戶信息收集標(biāo)準(zhǔn)和錄入規(guī)范。因保險公司業(yè)務(wù)渠道的外化和多元化，各銷售渠道都有自己建設(shè)的保險業(yè)務(wù)出單系統(tǒng)，這些系統(tǒng)的客戶信息管控功能有待完善，甚至人為原因缺失，但是卻以“外掛”方式接入保險公司的業(yè)務(wù)系統(tǒng)。業(yè)務(wù)發(fā)展壓力下，保險公司在面對“客戶信息管理重要”還是“業(yè)務(wù)發(fā)展重要”的博弈時，無一例外地選擇“業(yè)務(wù)發(fā)展”，默許銷售渠道撤銷或減少客戶信息管控功能的行為，因此從源頭規(guī)范、有效錄入客戶信息難以實(shí)現(xiàn)。

三是客戶信息使用時存在重復(fù)性和無序性，同一客戶分配給不同的銷售渠道和銷售人員進(jìn)行續(xù)保的現(xiàn)象比較普遍，引發(fā)銷售渠道、銷售團(tuán)隊(duì)和銷售人員之間的利益沖突，也導(dǎo)致客戶體驗(yàn)較差。部分渠道或人員利益受損，客戶對保險公司客戶信息管理機(jī)制不再信任，兩類人員同時不愿意提供真實(shí)信息，進(jìn)一步導(dǎo)致公司客戶電話數(shù)據(jù)失真。

以上原因的存在，使保險公司更加傾向于采用外部采集方式，獲取客戶真實(shí)信息用于業(yè)務(wù)拓展。尤其是近幾年，隨著家庭自用車輛普及和家庭收入水平的增長，個人客戶成為各家保險公司爭搶的優(yōu)質(zhì)業(yè)務(wù)資源，相應(yīng)個人信息也成為保險公司收集和使用的重點(diǎn)對象。

3 我國個人信息刑事保護(hù)的內(nèi)容

隨著近年公民個人信息受侵害的案例越來越多，現(xiàn)象愈演愈烈，個人信息安全的相關(guān)法律、政策、規(guī)范正在加速完善，刑事立法活動中普遍將個人信息保護(hù)作為重要的修法內(nèi)容，刑事保護(hù)已成為我國目前在個人信息保護(hù)領(lǐng)域應(yīng)用最為活躍的法律機(jī)制。

2012年，第十一屆全國人民代表大會常務(wù)委員會第三十次會議通過《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，規(guī)定：企業(yè)事業(yè)單位及其工作人員對在業(yè)務(wù)活動中收集的公民個人電子信息必須嚴(yán)格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供，違反決定行為的，依法給予警告、罰款、沒收違法所得、吊銷許可證，記入社會信用檔案并予以公布，依法給予治安管理處罰，依法追究刑事責(zé)任。

2015年，第7次修正《中華人民共和國刑法》時，對“侵犯公民個人信息罪”量刑增加一檔并增加從重處罰的情形，對向他人出售或者提供公民個人信息行為，情節(jié)嚴(yán)重的處三年以下有期徒刑或者拘役，情節(jié)特別嚴(yán)重的處三年以上七年以下有期徒刑；單位犯罪的，對單位判處罰金的同時，對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照該款規(guī)定處罰。

2017年，兩高發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，同時《網(wǎng)絡(luò)安全法》正式實(shí)施，進(jìn)一步規(guī)范了個人信息罪的罪名罪狀、定罪量刑標(biāo)準(zhǔn)、相關(guān)法律適用，甚至涉及訴訟中的舉證責(zé)任分配問題。

4 保險行業(yè)客戶信息安全管理風(fēng)險分析

一是保險公司客戶信息安全管理的范圍進(jìn)一步擴(kuò)大。兩高《解釋》對個人信息的界定，在“身份識別信息”基礎(chǔ)上新增了“個人活動情況信息”，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。其中，行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息屬于高度敏感信息，定罪門檻最低。以上個人信息類別，特別是高敏感度信息，基本都屬于保險行業(yè)的基礎(chǔ)業(yè)務(wù)信息范疇，數(shù)據(jù)總量大，分布范圍廣，存儲系統(tǒng)多，一旦出現(xiàn)管理漏洞，會面臨嚴(yán)重的法律風(fēng)險。

二是列入刑事責(zé)任追究的行為范圍進(jìn)一步擴(kuò)大。我國刑事立法重點(diǎn)打擊個人信息犯罪鏈條兩端行為，即非法提供和非法獲取兩大類。其中，“出售”和“非法發(fā)布”，同屬于“非法提供”的行為方式；“竊取”、“無法提供獲取信息的正當(dāng)性”、“在提供服務(wù)過程中，違反國家規(guī)定收集個人信息”，全部視作“非法獲取”。根據(jù)保險行業(yè)客戶信息管理現(xiàn)狀，導(dǎo)致法律風(fēng)險的行為主要體現(xiàn)在“非法收集”方面，包括：未遵循合法、正當(dāng)、必要原則收集信息；未公開收集信息的規(guī)則，使用目的、使用方式和使用范圍；未經(jīng)過被收集者的同意進(jìn)行收集；收集了與所提供服務(wù)無關(guān)的個人信息。另外，保險公司在“非法提供”方面也會存在以下風(fēng)險：未經(jīng)匿名化處理發(fā)布客戶信息，導(dǎo)致客戶信息泄露；信息系統(tǒng)管控不到位，導(dǎo)致客戶信息泄露；未經(jīng)客戶同意使用其個人信息進(jìn)行業(yè)務(wù)銷售。

5 保險公司客戶信息安全管理風(fēng)險應(yīng)對

在我國，“侵害個人信息罪”適用于單位犯罪，單位可作為違法主體被追究刑事責(zé)任，判處罰金，同時，單位直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員也承擔(dān)相應(yīng)刑責(zé)。對于日常運(yùn)營中處理敏感數(shù)據(jù)的保險企業(yè)及其經(jīng)營者而言，應(yīng)盡快建立完備的客戶信息安全管理體系，制定系統(tǒng)的風(fēng)險防范策略予以應(yīng)對。

一是完善客戶信息安全管理制度、標(biāo)準(zhǔn)、流程和系統(tǒng)。保險公司應(yīng)從客戶信息的獲取，到分配，到使用，形成統(tǒng)一的管理標(biāo)準(zhǔn)，避免無序、混亂、重復(fù)；同時，將管理標(biāo)準(zhǔn)形成管控規(guī)則后嵌入各業(yè)務(wù)系統(tǒng)，從源頭控制客戶信息獲取時的有效性和真實(shí)性。

二是實(shí)施客戶信息分類分級管理，防止信息泄漏。保險公司應(yīng)結(jié)合業(yè)務(wù)場景，系統(tǒng)梳理數(shù)據(jù)類別、安全級別，針對不同級別，實(shí)施強(qiáng)弱有別的安全防護(hù)。對涉及客戶信息的存儲、展示、下載的風(fēng)險點(diǎn)，定期開展客戶信息安全管理檢查，嚴(yán)格執(zhí)行客戶信息使用的審核流程。特別是在個人信息獲取、對外提供環(huán)節(jié)，需要征得客戶同意并對其信息進(jìn)行數(shù)據(jù)匿名化，避免出現(xiàn)數(shù)據(jù)外泄等重大責(zé)任事故。

三是規(guī)范客戶信息收集管理，提供服務(wù)過程中面向客戶收集個人信息時進(jìn)行合規(guī)管控。包括保障客戶知情權(quán),公開信息收集規(guī)則、收集目的、收集方式和收集范圍;獲得客戶的同意,結(jié)合業(yè)務(wù)所適用的具體法規(guī)、規(guī)章，滿足行業(yè)合規(guī)要求;審查所收集信息與保險業(yè)務(wù)提供的相關(guān)性,滿足收集信息的合法、正當(dāng)、必要原則;不收集法律禁止收集的個人信息,如個人的宗教信仰、基因、指紋、血型、疾病和病史信息等。