前不久,王女士接到一家保險自媒體工作人員來電����,稱注意到她所投保的一款意外險即將到期,希望幫她辦理續(xù)保業(yè)務�。王女士很疑惑,她都沒有關注過這個微信公眾號����,保單信息是怎么泄露的。在她的再三追問下����,工作人員才說,以前為她辦理這份保單的中介機構是這家自媒體的股東����,雙方共享了客戶信息。
從過去的違法買賣電話號碼��,到如今的泄露保單信息,保險行業(yè)長期存在的個人信息泄露問題越來越引發(fā)消費者關注�����。今年�,個人信息保護法、數據安全法等相關法律法規(guī)的落地����,不斷倒逼保險行業(yè)直面數據安全問題。業(yè)內人士表示����,與其他金融行業(yè)多涉及基礎的個人信息不一樣,保險行業(yè)關注和使用的數據很多觸及個人隱私層面����,比如健康醫(yī)療、駕駛行為��,這些數據對機構以及個人都非常敏感����,是審視險企經營合規(guī)與否的標尺和準繩��。
從記者近期調研情況看,相關法律法規(guī)施行后����,保險業(yè)對于數據合規(guī)、數據安全等數據治理方面的認識正在覺醒����。一方面,險企管理層與業(yè)內專家召開閉門會����,就保險業(yè)個人信息保護技術進行研討;另一方面�����,部分保險公司設立專門部門或團隊��,從制度���、技術�����、培訓等層面著手重構數據合規(guī)管理體系���。
保險業(yè)數據特征:敏感信息偏多
個人信息貫穿了保險產品創(chuàng)設到保險銷售��、保險理賠全鏈條�����,是保險業(yè)經營的基礎要素�����,其中壽險業(yè)涉及的敏感信息尤其多�。
泰康保險集團合規(guī)負責人靳毅表示�,壽險機構處理的信息大部分都屬于個人敏感信息。例如�����,生物識別�、醫(yī)療健康、金融賬戶等信息���,以及不滿十四周歲未成年人的個人信息。長期保單或者包含死亡保險責任的保單在指定受益人方面���,往往會涉及未成年人或者被保險人本身就是未成年人��。
“壽險機構與客戶的交互過程具有復雜性��、長期性的特點���,一份保險合同可能會覆蓋保險消費者的整個生命周期�,甚至死亡之后的財務安排�。相關的信息存儲、變更�����、交互�����,環(huán)節(jié)多��、種類多�、時間長、復雜程度高�����,既有金融保險的交易信息,也有生理�����、健康�����、疾病等生物醫(yī)療信息����。”靳毅解釋道。
這對大型保險集團的綜合經營模式提出了挑戰(zhàn)�。靳毅介紹,為了強化協(xié)同��,更好地為客戶提供一站式服務和一攬子長壽�����、健康���、富足解決方案�,保險集團需要整合并打通下屬各保險公司、保險資產管理公司��,甚至醫(yī)療機構�、養(yǎng)老機構的數據���,提供大數據客戶畫像���。在相關法律法規(guī)對個人信息保護提出了更高要求后,如何合規(guī)地進行客戶畫像和提供綜合解決方案�����,成為保險公司迫切需要攻克的新課題����。
同時,線上化經營趨勢也給險企個人信息保護帶來更大挑戰(zhàn)�。一位保險科技公司負責人表示,這些年保險公司做了大量的客戶線上化工作���,更多關注客戶服務和生態(tài)對接�。在這個過程中����,如何做到信息安全��、加強信息保護���,面臨非常巨大的挑戰(zhàn)。“我也是保險業(yè)信息化建設戰(zhàn)線上的老同志了�����,從業(yè)29年來��,從來沒有像現在這樣明顯地感受到數據安全的要求變高了��。”他感慨道����。
從數據采集開始合規(guī)探索進行時
隨著相關法律法規(guī)的實施,做好數據合規(guī)與安全改造��,一些合規(guī)探索正在保險公司展開��。
一位健康險公司副總裁表示:“我們從最基礎的工作開始��,核保���、核賠方面采購中國信保的合規(guī)數據作為承保理賠依據�����,并將進一步應用到產品開發(fā)上����。今年年初�����,公司進行了所有數據的梳理和內部規(guī)范工作����。下一步,公司將探索新技術比如隱私計算的應用��,來進一步提高數據的安全性�。”
“數據采集上要做到最小化采集,非必要不采集��,這很關鍵�����。過多地采集個人數據,對下一步應用會帶來巨大風險�,不管從監(jiān)管部門還是自身需要來說,‘知情同意’和‘最小必要’都是首先要做到的�,一些經濟發(fā)達地區(qū)很多年前就開始這樣做了。”一家財險公司金融科技中心綜合管理部總經理表示�����。
同時��,要對數據進行分級分類管理�。他說,個人數據有一部分是個人信息����,還有一部分是敏感信息,應該有不同的保護定義和不同的防護標準�����。而且要進行全鏈路管理�����,比如財險公司和外部很多機構連接�����,包括汽車4S店、修理廠等����,這些小公司的數據防護能力和大公司的技術相比,不在一個水平線上�。由于數據是流動的,在任何環(huán)節(jié)都有可能造成泄露���,因此要按照數據要素以及分級分類管理標準來進行防護,對有關主體提出相應的管理要求���。
一家大型保險集團在嘗試構建數據共享與保護平臺���。該公司數據安全相關負責人透露:“公司提出了‘B+’戰(zhàn)略,通過可信計算平臺和隱私保護計算技術把公司數據開放給全社會合作伙伴�����,讓他們運用我們的數據能力����,但不是運用數據本身���。這個過程也是雙向的,我們也要利用他們數據的價值�����,通過多方數據價值的綜合�,提升創(chuàng)新能力。”
他表示���,希望通過“B+”戰(zhàn)略把整個保險行業(yè)的生態(tài)帶動起來�����,不僅和保險同業(yè)合作���,也和銀行、運營商���、互聯(lián)網大廠及供應鏈上下游合作�,共同把數據生產者要素作用發(fā)揮出來�����。目前,公司的可信計算平臺已經初現成效��,和一些互聯(lián)網大廠的生態(tài)已經打通�����,下一步將做深場景�����,把更多業(yè)務與數據進行融合�。
依然面臨諸多挑戰(zhàn)
有的公司已經行動起來,但尚有很多公司尤其是中小型公司對數據合規(guī)與安全使用的認識還不夠����,并沒有完全重視起來��。
仁和保險研究院院長王和表示��,從目前情況看����,大多數保險企業(yè)對個人信息保護法的重要性仍存在認識不足的問題,對法律實施之后行業(yè)和企業(yè)可能面臨的挑戰(zhàn)�����,乃至違規(guī)違法風險及其嚴重性,缺乏足夠認識�����,相應的流程調整�����、技術準備和應對預案均未系統(tǒng)落實���。因此���,解決認識不到位問題,是保險行業(yè)落實行動的前提和基礎���。
除了認識不足����,中小公司也確實有現實的難處��。一家小型公司的總經理助理坦言����,中小保險公司在業(yè)務管理和運營上和大公司差距很大����。一方面���,大公司對技術更重視���,很多部署已到公司戰(zhàn)略層面,而中小公司的技術部門一般都相對弱勢���。另一方面是資源問題���,中小公司每年的技術支持預算僅有幾千萬元,很多新技術讓人“高不可攀”�。
王和認為,從行業(yè)視角看��,搭建具有行業(yè)公信力的隱私計算平臺是當務之急��,應導入“聯(lián)盟鏈”和“可信環(huán)境”的概念����,為“數據信托”模式創(chuàng)造條件。從企業(yè)的視角看�����,分布式和邊緣計算是一種選擇��,即按照“數據不動算法動”的原則����,避免實質性地處理個人信息,就避免了相關責任����。同時,多方安全計算和聯(lián)邦學習技術�����,能夠較好地解決特定需求場景的隱私保護需要����。
保險公司也要改變經營管理中“不合時宜”的觀念和做法,比如數據“多多益善”的舊觀念���。“從個人信息保護的視角看�,更多的客戶信息意味著更大的責任、投入和風險�����。因此��,保險公司應當轉變觀念�����,樹立數據‘夠用就好’的新觀念�,同時解決好數據獲取和利用度的管理,建立基于數據風險的績效管理理念��。”王和說�。
京公網安備 11010202007567號京ICP備17054264號
