在当今数字化时代,个人信息的保护已成为各行各业亟待解决的重要问题。保险行业作为处理大量敏感个人信息的行业之一,面临着独特的挑战和责任。随着保险科技的快速发展和数字化转型的推进,个人信息的收集、存储和使用变得更加频繁和复杂,也更容易受到安全威胁。
面对强监管环境、保险行业的复杂业态以及保险机构自身内部治理及协同机制不完善的情况,保险机构应积极主动采取对内、对外结合的应对措施提升个人信息保护管控水平,对机构内部需要建立明确的个人信息保护内部治理机制,并将监管要求进行内化,对监管、客户等外部需要统一对接归口,并建立透明的沟通机制。从保险机构过往应对个人信息保护的经验出发,结合保险行业当前的实际情况,进一步阐述保险行业对个人信息保护的前瞻性应对策略。
同时通过体系化建设个人信息保护管理能力,全面防范保险业个人信息安全风险。从个人信息收集和使用的角度出发,重点关注个人信息分类分级管理、个人信息安全影响评估、个人信息处理第三方管理、个人信息跨境安全的能力建设,由点及面,筑建个人信息保护城墙。
一、落实个人信息治理部门责任
个人信息与保险业务流程的深度融合决定了个人信息治理工作不是某个岗位、某个团队或某个部门能够单方面完成的工作。对保险机构而言,个人信息治理工作需要从组织战略层面出发,协调决策层、管理层和执行层等多方共同参与,构建个人信息治理合力,促成个人信息治理共识,消解个人信息治理壁垒,打通个人信息治理回路。
一是要明确个人信息主体治理架构,建立决策、管理、执行和监督机构,落实相关岗位和职责。
- 在充分理解个人信息作为特殊的数据要素的前提下,由决策层决定安全合规发展方向,形成个人信息治理战略,促进个人信息保护文化,提供资源保障和决策支持;
- 管理层拆解治理目标,推动各业务线、各部门、各团队及分支机构落地个人信息管理工作, 发挥授权、指导和监督等职能,构建个人信息管理体系、设计个人信息管理流程、汇总和汇报个人信息管理现状等;
- 各个人信息责任岗位及保险机构全体员工作为个人信息保护的执行层和第一线,理解机构个人信息治理目标,积极创新个人信息价值释放方式,严格执行个人信息保护各项要求,尊重客户个人信息权利;
- 风险管理、内控和内审部门筑牢底线,充分监督个人信息治理工作的落实情况,为机构个人信息处理工作保驾护航,形成持续监控机制、及时预警机制和良性纠偏机制。
上述工作对保险机构人员梯度建设提出了一定要求,其中个人信息保护相关法务专家、安全专家、业务专家及审计专家等角色设立是优先工作任务,能够帮助机构构建相对全面的治理和管理能力,充分理解组织情 景,助力实现安全合规发展的个人信息治理目标。
此外,保险机构需要明确对外的统一接口部门,可分为面对监管机构和面对客户两个方面。首先,需要明确负责与监管机构对接的统一接口部门,负责进行信息报告、配合监管审查等流程,确保与监管机构的数据交流和信息披露符合法规要求。
其次,明确面对客户的统一接口部门同样至关重要,保险机构需确保信息的安全传递、正确使用以及依法保护客户隐私,保险机构需要制定明确的工作流程,并定期进行培训,有效避免因信息处理不一致而 带来的合规风险,提升机构整体的个人信息保护水平。
二是要建设跨部门协作机制,通过有效沟通平台,营造良好沟通氛围,促成个人信息治理共识的落地。在决策和管理层面,以个人信息治理管理委员会或个人信息专项工作小组形式,拉齐业务、科技、风险等部门认知,为跨部门协作奠定基础;通过定期或不定期会议、互动沟通等方式方法,形成部门间横向,部门内纵向的沟通协作平台,部署和落地个人信息治理工作具体事务。
积极寻找跨条线、跨部门、跨团队利益交叉点,以安全合规发展为核心,多元主体共建内部个人信息治理环境,并通过跨部门个人信息治理绩效指标等工具树立共同的愿景和目标,以增强个人信息治理工作的内生动力。
二、完善个人信息治理制度
保险机构的海量个人信息治理和管理工作需要依赖技术工具,同时还需要具备个人信息管理流程和风险数据应用能力。为快速形成全流程全领域个人信息治理管理能力,各机构可以考虑从以下三个点切入:
- 优化产品/服务创新引发的个人信息保护触发条件:
由于保险行业通过产品/服务创新进行数字化转型,这一过程伴随着众多基于新场景、新业务的新产品发布与使用,如核保核赔的智能回访服务。保险机构需以全程合规管控的视角将个人信息保护管控流程融入整个产品/服务创新的生命周期,确保创新过程在满足市场需求的同时,也充分遵循个人信息保护的法规要求。
此外,保险机构需要根据业务运营的不同阶段和场景,制定灵活、差异化的个人信息保护触发条件,针对业务特点,动态选择适配的个人信息保护机制,确保在保单申请、理赔处理、个性化定价等各类保险业务场景下的个人信息保护措施能够全面、精准地发挥作用,满足保险业务的多元化需求。
- 采用先进技术驱动风险预测与响应:
借助人工智能、机器学习等先进技术,保险机构可对个人信息保护风险进行精准评估与监测,如在核保过程中,利用机器学习算法对客户的个人信息处理全生命周期进行分析,包括处理目的授权凭证分析、传输存储安全风险分析、数据超期处置分析等,自动判断潜在的隐私泄漏或滥用风险,并迅速采取相应措施。但需注意,在采用先进技术前,保险机构需要对技术的引入进行全面的风险评估,减轻新技术带来的隐私风险。
- 引入协同工具与平台,建立信息共享与集成机制:
保险机构应使用满足公司规模和需求的协同工具或平台,通过在工具或平台上设立专门的工作空间,存储与个人信息保护相关的制度、指南等文档,并为各部门之间的信息流通提供安全通道,在遵守监管要求的基础上实现跨部门的信息共享与集成,避免客户个人信息冗余收集和处理,同时确保业务、科技与合规等部门的工作更加紧密、高效地协同进行。在使用协同工具与平台时,注意需要通过采用授权审批、日志记录等安全功能提高信息流动的透明度与安全性。
三、优化个人信息合规性管理
数字化转型背景下,开放平台的技术架构正不断重塑金融服务价值链;保险机构深度参与其中,并通过个人信息创新服务场景,丰富保险产品和营销渠道。这一时代背景和市场动向催生了保险机构主动构建安全高效的金融服务生态。
为积极承担和履行市场主体责任,保险机构可以考虑从以下三个方面入手,依法依规开展业务、积极创新合作共赢,有效协调和管理价值链中涉及个人信息处理的关键主体和关键活动。
- 回归本源严守底线,以人为本统筹机构安全和发展,积极参与政策制定过程和行业主管部门组织的各项活动,定期与监管部门进行深度沟通等,提供个人信息保护的相关建议。从金融伦理等角度出发,合理有序发出机构声音,促进符合行业发展需要、技术动态和风险控制能力的政策环境。
- 建立透明的客户沟通机制:保险机构应该通过面向客户的统一接口部门与客户积极建立有效且透明的沟通机制,明确向客户详细解释保险机构的隐私政策,包括数据收集目的、使用方式、安全措施、隐私政策变更等内容。通过与客户的透明沟通,积极引导客户主动地参与到个人信息保护工作中,并增强客户对机构的信任度。
- 践行社会责任与行业合作:保险机构应积极履行社会责任,通过参与行业合作,通过与行业相关协会开展相关话题的研讨与沟通,促进行业标准的制定和升级,推动整个保险行业在个人信息保护方面的共同进步。保险机构也可通过参与上下游业务、技术相关方组织的活动,分享个人信息保护的最佳实践、经验和技术,助力更加完善的行业生态形成。
四、完善分类分级管理制度
建章立制,完善个人信息分类分级管理制度,实施差异化保护。保险业处理大量健康医疗数据、个人金融信息等敏感个人信息,结合数据分类分级体系框架,细化个人信息分类分级管理要求,落实个人信息生命周期、处理活动各环节差异化管控措施,有效防范个人信息安全事件。
个人信息分类分级管理制度的建立,一是要明确适用的个人信息分类分级标准。结合梳理、掌握的个人信息资产情况,参照监管要求和行业标准,定义不同个人信息类别,如个人基本信息、个人健康生理信息、个人财产信息等;根据实际业务场景分析可能的个人信息泄露影响程度、个人信息敏感程度和行业标准,定义个人信息级别,如内部使用、保密、高度保密或C1(用户鉴别信息等)、C2(可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息)、C3(机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息)等。
二是要结合个人信息生命周期细化差异化的管理要求。对于个人信息的收集、传输、存储、使用删除及销毁等环节的处理活动,根据个人信息分类分级不同提出差异化的管理要求,如收集个人信息获取同意环节,针对一般个人信息获取授权同意即可满足管理要求,但针对敏感个人信息、个人生物识别信息需要获得明示同意,而针对不满14周岁未成年应征得其监护人明示同意。
三是推动分类分级管理要求落地和持续改进。在落实相关差异化管理要求过程中,需多方协同,如由业务部门对处理的个人信息类别和级别进行识别,由科技部门通过部署技术手段和工具满足保护要求;而且个人信息分类分级管理受业务发展、法律法规变化、技术进步等趋势影响,应保持动态管理的状态,通过持续的监测、定期的风险评估和审计,判断数据分类分级管理的有效性,根据实际情况进行改进和优化。
五、落地个人信息安全影响评估(PIA)
《中华人民共和国个人信息保护法》中明确了开展个人信息安全影响评估的条件和内容;开展相关评估有利于识别企业内个人信息处理活动、确定个人信息获取同意方式、评估个人信息处理合规风险,预防踩红线情况发生。
个人信息安全影响评估机制的建立,一是要明确评估流程和责任方,设计有效评估工具。确定个人信息安全影响评估的类型和适用场景,固化评估实施步骤和环节(如数据映射分析、评估问卷填写、安全影响评估分析、评估结果跟进等),明确个人信息保护主管部门、业务部门、科技部门、法务合规部门在各环节的主要角色和职责,设计适用的评估工具,综合参考《中华人民共和国个人信息保护法》《信息安全技术个人信息安全规范》《信息安全技术个人信息安全影响评估指南》《个人金融信息保护技术规范》等要求,设计包含不同筛选条件和赋值的自动化工具,从产品技术架构中的消息 中间件、API、数据库等关键传输链路和关键存储节点收集数据信息,主动探知安全风险,例如传输存储未加密的数据泄露风险、批量数据查询和 数据导出的滥用风险等。
二是要加强业务团队数据能力建设,推动业务部门主动触发所辖个人信息处理活动影响评估。对于个人信息映射规则、标准、评估工具使用方法开展培训,统一认知,便于后续顺利进行;由个人信息保护主管部门组织业务部门开展个人信息安全影响评估,由科技部门、法务合规部门协同确认相关技术实践和法规解读,分场景识别个人信息处理活动中依赖的基本要素和流转关系(如个人信息处理环节、依赖的系统资源、相关方识别、个人信息流转分布情况等),全面分析对个人信息安全造成影响的因素和风险。
三是建立个人信息处理活动台账,对风险问题完成整改追踪。结合个人信息安全影响评估结果,梳理个人信息处理活动,形成个人信息资产清单;分析个人信息处理环节的合法、正当、必要性,确保满足个人信息处理活动的基本原则;识别个人信息保护全生命周期管控要求和差距,如个人信息处理活动告知及获取同意的要求、方式,系统及安全控制的技术改进意见,相关保险业务环节及工作流程的变化要求等;由相关部门针对评估结果提出整改方案和整改计划,由个人信息保护主管部门跟踪整改情况和结果。
六、加强第三方数据合作安全评估
共筑个人信息保护长城,加强个人信息处理第三方管理,明确职责划分。保险业经常面临多险企及第三方机构共同处理客户个人信息的场景,如未在合作过程中明确双方或多方主体性质、权利义务、违规责任承担等内容,一旦发生个人信息安全事件, 双方或多方之间的责任划分、赔偿分摊比例等问题将引发更多次生风险。
在对个人信息处理第三方管理的过程中,可以依托企业已有的第三方管理体系和流程,结合个人信息安全保护要求加强管理,如在第三方筛选评估阶段,对第三方进行审查和评估时应增加关于第三方个人信息保护体系建设或业务处理中的个人信息保护要求的建设情况、个人信息的相关安全设施和技术能力、个人信息安全事件响应流程、个人数据主体的请求及投诉处理机制的评估内容。
在与第三方签订服务合同阶段,应明确第三方处理活动的性质(间接收集、委托处理、共享转让)、客户个人信息的处理方式、使用范围、信息安全保障和违规时的内容等。在签订服务合同后,定期向个人信息保护主管部门报告,更新委托业务清单、隐私政策等;定期对第三方的个人信息保护措施落实情况进行安全评估、现场检查等。在服务结束或终止后,应监督第三方销毁因相关业务或服务获取的个人信息。
在个人信息处理中还有一类第三方合作模式,即第三方产品或服务嵌入企业自身产品或服务的情况。一方面需要通过合同形式明确双方安全责任,且向个人信息主体明确标识该产品或服务由第三方提供。另一方面需要由科技部门对外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展安全测试,确保其个人信息收集、使用行为符合约定要求。
来源:本文摘编自德勤发布的《保险业个人信息治理破局新攻略》
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索个人信息保护等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。