前不久��,王女士接到一家保險自媒體工作人員來電��,稱注意到她所投保的一款意外險即將到期�����,希望幫她辦理續(xù)保業(yè)務(wù)���。王女士很疑惑�����,她都沒有關(guān)注過這個微信公眾號����,保單信息是怎么泄露的����。在她的再三追問下,工作人員才說����,以前為她辦理這份保單的中介機構(gòu)是這家自媒體的股東,雙方共享了客戶信息���。
從過去的違法買賣電話號碼�,到如今的泄露保單信息�,保險行業(yè)長期存在的個人信息泄露問題越來越引發(fā)消費者關(guān)注。今年,個人信息保護(hù)法��、數(shù)據(jù)安全法等相關(guān)法律法規(guī)的落地��,不斷倒逼保險行業(yè)直面數(shù)據(jù)安全問題�。業(yè)內(nèi)人士表示,與其他金融行業(yè)多涉及基礎(chǔ)的個人信息不一樣��,保險行業(yè)關(guān)注和使用的數(shù)據(jù)很多觸及個人隱私層面��,比如健康醫(yī)療�、駕駛行為��,這些數(shù)據(jù)對機構(gòu)以及個人都非常敏感��,是審視險企經(jīng)營合規(guī)與否的標(biāo)尺和準(zhǔn)繩��。
從記者近期調(diào)研情況看����,相關(guān)法律法規(guī)施行后,保險業(yè)對于數(shù)據(jù)合規(guī)���、數(shù)據(jù)安全等數(shù)據(jù)治理方面的認(rèn)識正在覺醒�。一方面,險企管理層與業(yè)內(nèi)專家召開閉門會�����,就保險業(yè)個人信息保護(hù)技術(shù)進(jìn)行研討�����;另一方面����,部分保險公司設(shè)立專門部門或團(tuán)隊,從制度���、技術(shù)�����、培訓(xùn)等層面著手重構(gòu)數(shù)據(jù)合規(guī)管理體系�����。
保險業(yè)數(shù)據(jù)特征:敏感信息偏多
個人信息貫穿了保險產(chǎn)品創(chuàng)設(shè)到保險銷售���、保險理賠全鏈條�,是保險業(yè)經(jīng)營的基礎(chǔ)要素�����,其中壽險業(yè)涉及的敏感信息尤其多��。
泰康保險集團(tuán)合規(guī)負(fù)責(zé)人靳毅表示����,壽險機構(gòu)處理的信息大部分都屬于個人敏感信息。例如���,生物識別�、醫(yī)療健康����、金融賬戶等信息��,以及不滿十四周歲未成年人的個人信息���。長期保單或者包含死亡保險責(zé)任的保單在指定受益人方面�,往往會涉及未成年人或者被保險人本身就是未成年人�。
“壽險機構(gòu)與客戶的交互過程具有復(fù)雜性、長期性的特點,一份保險合同可能會覆蓋保險消費者的整個生命周期�����,甚至死亡之后的財務(wù)安排�����。相關(guān)的信息存儲�、變更、交互����,環(huán)節(jié)多、種類多����、時間長、復(fù)雜程度高�����,既有金融保險的交易信息�,也有生理、健康��、疾病等生物醫(yī)療信息。”靳毅解釋道���。
這對大型保險集團(tuán)的綜合經(jīng)營模式提出了挑戰(zhàn)���。靳毅介紹,為了強化協(xié)同�,更好地為客戶提供一站式服務(wù)和一攬子長壽、健康���、富足解決方案�����,保險集團(tuán)需要整合并打通下屬各保險公司��、保險資產(chǎn)管理公司��,甚至醫(yī)療機構(gòu)、養(yǎng)老機構(gòu)的數(shù)據(jù)��,提供大數(shù)據(jù)客戶畫像�����。在相關(guān)法律法規(guī)對個人信息保護(hù)提出了更高要求后,如何合規(guī)地進(jìn)行客戶畫像和提供綜合解決方案�����,成為保險公司迫切需要攻克的新課題���。
同時����,線上化經(jīng)營趨勢也給險企個人信息保護(hù)帶來更大挑戰(zhàn)�。一位保險科技公司負(fù)責(zé)人表示,這些年保險公司做了大量的客戶線上化工作�����,更多關(guān)注客戶服務(wù)和生態(tài)對接���。在這個過程中����,如何做到信息安全�����、加強信息保護(hù),面臨非常巨大的挑戰(zhàn)��。“我也是保險業(yè)信息化建設(shè)戰(zhàn)線上的老同志了��,從業(yè)29年來�����,從來沒有像現(xiàn)在這樣明顯地感受到數(shù)據(jù)安全的要求變高了���。”他感慨道���。
從數(shù)據(jù)采集開始合規(guī)探索進(jìn)行時
隨著相關(guān)法律法規(guī)的實施,做好數(shù)據(jù)合規(guī)與安全改造��,一些合規(guī)探索正在保險公司展開���。
一位健康險公司副總裁表示:“我們從最基礎(chǔ)的工作開始�����,核保、核賠方面采購中國信保的合規(guī)數(shù)據(jù)作為承保理賠依據(jù)���,并將進(jìn)一步應(yīng)用到產(chǎn)品開發(fā)上��。今年年初����,公司進(jìn)行了所有數(shù)據(jù)的梳理和內(nèi)部規(guī)范工作。下一步��,公司將探索新技術(shù)比如隱私計算的應(yīng)用���,來進(jìn)一步提高數(shù)據(jù)的安全性�����。”
“數(shù)據(jù)采集上要做到最小化采集��,非必要不采集�,這很關(guān)鍵����。過多地采集個人數(shù)據(jù),對下一步應(yīng)用會帶來巨大風(fēng)險�����,不管從監(jiān)管部門還是自身需要來說,‘知情同意’和‘最小必要’都是首先要做到的����,一些經(jīng)濟(jì)發(fā)達(dá)地區(qū)很多年前就開始這樣做了。”一家財險公司金融科技中心綜合管理部總經(jīng)理表示���。
同時���,要對數(shù)據(jù)進(jìn)行分級分類管理。他說�����,個人數(shù)據(jù)有一部分是個人信息�,還有一部分是敏感信息,應(yīng)該有不同的保護(hù)定義和不同的防護(hù)標(biāo)準(zhǔn)�����。而且要進(jìn)行全鏈路管理�,比如財險公司和外部很多機構(gòu)連接,包括汽車4S店�����、修理廠等,這些小公司的數(shù)據(jù)防護(hù)能力和大公司的技術(shù)相比�,不在一個水平線上�����。由于數(shù)據(jù)是流動的����,在任何環(huán)節(jié)都有可能造成泄露,因此要按照數(shù)據(jù)要素以及分級分類管理標(biāo)準(zhǔn)來進(jìn)行防護(hù)���,對有關(guān)主體提出相應(yīng)的管理要求�����。
一家大型保險集團(tuán)在嘗試構(gòu)建數(shù)據(jù)共享與保護(hù)平臺�。該公司數(shù)據(jù)安全相關(guān)負(fù)責(zé)人透露:“公司提出了‘B+’戰(zhàn)略����,通過可信計算平臺和隱私保護(hù)計算技術(shù)把公司數(shù)據(jù)開放給全社會合作伙伴,讓他們運用我們的數(shù)據(jù)能力���,但不是運用數(shù)據(jù)本身��。這個過程也是雙向的�����,我們也要利用他們數(shù)據(jù)的價值��,通過多方數(shù)據(jù)價值的綜合��,提升創(chuàng)新能力����。”
他表示,希望通過“B+”戰(zhàn)略把整個保險行業(yè)的生態(tài)帶動起來�,不僅和保險同業(yè)合作,也和銀行����、運營商、互聯(lián)網(wǎng)大廠及供應(yīng)鏈上下游合作���,共同把數(shù)據(jù)生產(chǎn)者要素作用發(fā)揮出來���。目前�����,公司的可信計算平臺已經(jīng)初現(xiàn)成效��,和一些互聯(lián)網(wǎng)大廠的生態(tài)已經(jīng)打通����,下一步將做深場景�,把更多業(yè)務(wù)與數(shù)據(jù)進(jìn)行融合����。
依然面臨諸多挑戰(zhàn)
有的公司已經(jīng)行動起來,但尚有很多公司尤其是中小型公司對數(shù)據(jù)合規(guī)與安全使用的認(rèn)識還不夠����,并沒有完全重視起來。
仁和保險研究院院長王和表示���,從目前情況看�,大多數(shù)保險企業(yè)對個人信息保護(hù)法的重要性仍存在認(rèn)識不足的問題����,對法律實施之后行業(yè)和企業(yè)可能面臨的挑戰(zhàn)���,乃至違規(guī)違法風(fēng)險及其嚴(yán)重性,缺乏足夠認(rèn)識�,相應(yīng)的流程調(diào)整、技術(shù)準(zhǔn)備和應(yīng)對預(yù)案均未系統(tǒng)落實���。因此���,解決認(rèn)識不到位問題,是保險行業(yè)落實行動的前提和基礎(chǔ)�����。
除了認(rèn)識不足���,中小公司也確實有現(xiàn)實的難處�����。一家小型公司的總經(jīng)理助理坦言�,中小保險公司在業(yè)務(wù)管理和運營上和大公司差距很大�����。一方面,大公司對技術(shù)更重視�����,很多部署已到公司戰(zhàn)略層面�,而中小公司的技術(shù)部門一般都相對弱勢。另一方面是資源問題��,中小公司每年的技術(shù)支持預(yù)算僅有幾千萬元�����,很多新技術(shù)讓人“高不可攀”��。
王和認(rèn)為��,從行業(yè)視角看��,搭建具有行業(yè)公信力的隱私計算平臺是當(dāng)務(wù)之急�����,應(yīng)導(dǎo)入“聯(lián)盟鏈”和“可信環(huán)境”的概念�����,為“數(shù)據(jù)信托”模式創(chuàng)造條件�����。從企業(yè)的視角看����,分布式和邊緣計算是一種選擇,即按照“數(shù)據(jù)不動算法動”的原則�����,避免實質(zhì)性地處理個人信息�,就避免了相關(guān)責(zé)任。同時��,多方安全計算和聯(lián)邦學(xué)習(xí)技術(shù)�����,能夠較好地解決特定需求場景的隱私保護(hù)需要���。
保險公司也要改變經(jīng)營管理中“不合時宜”的觀念和做法�,比如數(shù)據(jù)“多多益善”的舊觀念�����。“從個人信息保護(hù)的視角看,更多的客戶信息意味著更大的責(zé)任�、投入和風(fēng)險。因此�,保險公司應(yīng)當(dāng)轉(zhuǎn)變觀念,樹立數(shù)據(jù)‘夠用就好’的新觀念�,同時解決好數(shù)據(jù)獲取和利用度的管理,建立基于數(shù)據(jù)風(fēng)險的績效管理理念��。”王和說���。
京公網(wǎng)安備 11010202007567號京ICP備17054264號
