基于保險行業(yè)的客戶信息安全管理風險分析及應對

冷汶凇

【摘 要】近年來，保險行業(yè)電話銷售模式蜂擁而起，各家保險公司相繼自建電話呼叫中心，開展各類電話銷售，呼出電話號碼來源真假難辨，造成消費者反映強烈的電銷擾民問題。2017年6月1日，《網(wǎng)絡安全法》以及最新刑事司法解釋正式施行，標志著我國個人信息保護的刑事立法適用主體廣、入刑門檻低、適用刑罰嚴厲的特點更為明確。在此背景下，準確理解立法制度與適用，對保險企業(yè)有效防范刑事風險至關重要。

【Abstract】In recent years， the phone sales model of insurance industry are quickly turn up， insurance companies have self-built telephone call center， carry out all kinds of telephone sales. It is difficult to tell the origin of the phone number， causing consumers to respond to the problem of nuisance problem. The “Cyber-Safety Act” and the latest criminal justice explanation were enforced on June 1， 2017， it marked the characteristics of criminal legislation on personal information protection in China is clear-cut， the characters are subject wide and low entry threshold. In this context， it is very important to understand the legislative system and the application by rule and line， and effectively guard against the criminal risk.

【關鍵詞】保險公司；客戶信息；風險分析；風險應對

【Keywords】insurance company； customer information； risk analysis； risk response

【中圖分類號】F230 【文獻標志碼】A 【文章編號】1673-1069（2018）03-0029-02

1 保險公司客戶信息安全管理相關定義

客戶信息是指在保險公司業(yè)務辦理過程中，或經(jīng)營管理中收集的與客戶相關聯(lián)的信息集合，包括個人或團體客戶的相關基礎信息、客戶分類、社會關系、聯(lián)系方式、交易行為、銷售數(shù)據(jù)、營銷計劃、分析模型、服務交互等信息，其中個人客戶的證件信息、電話信息、資產(chǎn)信息是保險公司客戶信息管理的核心內(nèi)容。

安全管理是指客戶信息作為保險公司的重要數(shù)據(jù)資產(chǎn)，需通過技術和管理手段，根據(jù)信息的重要程度對其采取適當?shù)陌踩雷o措施，保護其可用性、完整性和保密性。

2 保險公司客戶信息管理現(xiàn)狀

客戶信息是企業(yè)的核心資源，準確掌握客戶信息，是把握客戶需求變化，調(diào)整經(jīng)營策略必須夯實的基礎，也是大數(shù)據(jù)背景下各行各業(yè)對客戶實施分類管理，推行精細化營銷，提供差異化服務，打造企業(yè)核心競爭力最重要的前提。近幾年，隨著行業(yè)監(jiān)管制度的不斷完善，保險企業(yè)在客戶信息管理方面取得進展，但是比較銀行業(yè)而言，仍然存在較大差距，客戶信息質(zhì)量管理效果并不理想。其主要原因有以下幾個方面：

一是業(yè)務渠道外化，保險公司客戶信息掌控能力較弱。一直以來，保險公司業(yè)務來源主要依靠汽車經(jīng)銷商、銀行中介、保險營銷員等代理渠道獲取，這些渠道不是保險公司的自有渠道，與保險公司都是合作關系，哪家保險公司給的代理費高，就把保險業(yè)務給哪家保險公司。保險公司經(jīng)營一般實行續(xù)保制，尤其是機動車輛等財險保險，每年都要進行續(xù)保，每年都有續(xù)保代理費，為了避免第二年續(xù)保時保險公司和客戶直接聯(lián)系后不再支付手續(xù)費，保險代理渠道為客戶投保時，提供虛假客戶信息的行為就比較普遍。

二是信息系統(tǒng)功能不完善，保險公司大多沒有實現(xiàn)嚴格統(tǒng)一的客戶信息收集標準和錄入規(guī)范。因保險公司業(yè)務渠道的外化和多元化，各銷售渠道都有自己建設的保險業(yè)務出單系統(tǒng)，這些系統(tǒng)的客戶信息管控功能有待完善，甚至人為原因缺失，但是卻以“外掛”方式接入保險公司的業(yè)務系統(tǒng)。業(yè)務發(fā)展壓力下，保險公司在面對“客戶信息管理重要”還是“業(yè)務發(fā)展重要”的博弈時，無一例外地選擇“業(yè)務發(fā)展”，默許銷售渠道撤銷或減少客戶信息管控功能的行為，因此從源頭規(guī)范、有效錄入客戶信息難以實現(xiàn)。

三是客戶信息使用時存在重復性和無序性，同一客戶分配給不同的銷售渠道和銷售人員進行續(xù)保的現(xiàn)象比較普遍，引發(fā)銷售渠道、銷售團隊和銷售人員之間的利益沖突，也導致客戶體驗較差。部分渠道或人員利益受損，客戶對保險公司客戶信息管理機制不再信任，兩類人員同時不愿意提供真實信息，進一步導致公司客戶電話數(shù)據(jù)失真。

以上原因的存在，使保險公司更加傾向于采用外部采集方式，獲取客戶真實信息用于業(yè)務拓展。尤其是近幾年，隨著家庭自用車輛普及和家庭收入水平的增長，個人客戶成為各家保險公司爭搶的優(yōu)質(zhì)業(yè)務資源，相應個人信息也成為保險公司收集和使用的重點對象。

3 我國個人信息刑事保護的內(nèi)容

隨著近年公民個人信息受侵害的案例越來越多，現(xiàn)象愈演愈烈，個人信息安全的相關法律、政策、規(guī)范正在加速完善，刑事立法活動中普遍將個人信息保護作為重要的修法內(nèi)容，刑事保護已成為我國目前在個人信息保護領域應用最為活躍的法律機制。

2012年，第十一屆全國人民代表大會常務委員會第三十次會議通過《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》，規(guī)定：企業(yè)事業(yè)單位及其工作人員對在業(yè)務活動中收集的公民個人電子信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供，違反決定行為的，依法給予警告、罰款、沒收違法所得、吊銷許可證，記入社會信用檔案并予以公布，依法給予治安管理處罰，依法追究刑事責任。

2015年，第7次修正《中華人民共和國刑法》時，對“侵犯公民個人信息罪”量刑增加一檔并增加從重處罰的情形，對向他人出售或者提供公民個人信息行為，情節(jié)嚴重的處三年以下有期徒刑或者拘役，情節(jié)特別嚴重的處三年以上七年

以下有期徒刑；單位犯罪的，對單位判處罰金的同時，對其直接負責的主管人員和其他直接責任人員，依照該款規(guī)定處罰。

2017年，兩高發(fā)布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，同時《網(wǎng)絡安全法》正式實施，進一步規(guī)范了個人信息罪的罪名罪狀、定罪量刑標準、相關法律適用，甚至涉及訴訟中的舉證責任分配問題。

4 保險行業(yè)客戶信息安全管理風險分析

一是保險公司客戶信息安全管理的范圍進一步擴大。兩高《解釋》對個人信息的界定，在“身份識別信息”基礎上新增了“個人活動情況信息”，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。其中，行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息屬于高度敏感信息，定罪門檻最低。以上個人信息類別，特別是高敏感度信息，基本都屬于保險行業(yè)的基礎業(yè)務信息范疇，數(shù)據(jù)總量大，分布范圍廣，存儲系統(tǒng)多，一旦出現(xiàn)管理漏洞，會面臨嚴重的法律風險。

二是列入刑事責任追究的行為范圍進一步擴大。我國刑事立法重點打擊個人信息犯罪鏈條兩端行為，即非法提供和非法獲取兩大類。其中，“出售”和“非法發(fā)布”，同屬于“非法提供”的行為方式；“竊取”、“無法提供獲取信息的正當性”、“在提供服務過程中，違反國家規(guī)定收集個人信息”，全部視作“非法獲取”。根據(jù)保險行業(yè)客戶信息管理現(xiàn)狀，導致法律風險的行為主要體現(xiàn)在“非法收集”方面，包括：未遵循合法、正當、必要原則收集信息；未公開收集信息的規(guī)則，使用目的、使用方式和使用范圍；未經(jīng)過被收集者的同意進行收集；收集了與所提供服務無關的個人信息。另外，保險公司在“非法提供”方面也會存在以下風險：未經(jīng)匿名化處理發(fā)布客戶信息，導致客戶信息泄露；信息系統(tǒng)管控不到位，導致客戶信息泄露；未經(jīng)客戶同意使用其個人信息進行業(yè)務銷售。

5 保險公司客戶信息安全管理風險應對

在我國，“侵害個人信息罪”適用于單位犯罪，單位可作為違法主體被追究刑事責任，判處罰金，同時，單位直接負責的主管人員和其他直接責任人員也承擔相應刑責。對于日常運營中處理敏感數(shù)據(jù)的保險企業(yè)及其經(jīng)營者而言，應盡快建立完備的客戶信息安全管理體系，制定系統(tǒng)的風險防范策略予以應對。

一是完善客戶信息安全管理制度、標準、流程和系統(tǒng)。保險公司應從客戶信息的獲取，到分配，到使用，形成統(tǒng)一的管理標準，避免無序、混亂、重復；同時，將管理標準形成管控規(guī)則后嵌入各業(yè)務系統(tǒng)，從源頭控制客戶信息獲取時的有效性和真實性。

二是實施客戶信息分類分級管理，防止信息泄漏。保險公司應結(jié)合業(yè)務場景，系統(tǒng)梳理數(shù)據(jù)類別、安全級別，針對不同級別，實施強弱有別的安全防護。對涉及客戶信息的存儲、展示、下載的風險點，定期開展客戶信息安全管理檢查，嚴格執(zhí)行客戶信息使用的審核流程。特別是在個人信息獲取、對外提供環(huán)節(jié)，需要征得客戶同意并對其信息進行數(shù)據(jù)匿名化，避免出現(xiàn)數(shù)據(jù)外泄等重大責任事故。

三是規(guī)范客戶信息收集管理，提供服務過程中面向客戶收集個人信息時進行合規(guī)管控。包括保障客戶知情權，公開信息收集規(guī)則、收集目的、收集方式和收集范圍；獲得客戶的同意，結(jié)合業(yè)務所適用的具體法規(guī)、規(guī)章，滿足行業(yè)合規(guī)要求；審查所收集信息與保險業(yè)務提供的相關性，滿足收集信息的合法、正當、必要原則；不收集法律禁止收集的個人信息，如個人的宗教信仰、基因、指紋、血型、疾病和病史信息等。