前不久，王女士接到一家保險自媒體工作人員來電，稱注意到她所投保的一款意外險即將到期，希望幫她辦理續(xù)保業(yè)務(wù)。王女士很疑惑，她都沒有關(guān)注過這個微信公眾號，保單信息是怎么泄露的。在她的再三追問下，工作人員才說，以前為她辦理這份保單的中介機構(gòu)是這家自媒體的股東，雙方共享了客戶信息。

?

從過去的違法買賣電話號碼，到如今的泄露保單信息，保險行業(yè)長期存在的個人信息泄露問題越來越引發(fā)消費者關(guān)注。今年，個人信息保護法、數(shù)據(jù)安全法等相關(guān)法律法規(guī)的落地，不斷倒逼保險行業(yè)直面數(shù)據(jù)安全問題。業(yè)內(nèi)人士表示，與其他金融行業(yè)多涉及基礎(chǔ)的個人信息不一樣，保險行業(yè)關(guān)注和使用的數(shù)據(jù)很多觸及個人隱私層面，比如健康醫(yī)療、駕駛行為，這些數(shù)據(jù)對機構(gòu)以及個人都非常敏感，是審視險企經(jīng)營合規(guī)與否的標尺和準繩。

?

從記者近期調(diào)研情況看，相關(guān)法律法規(guī)施行后，保險業(yè)對于數(shù)據(jù)合規(guī)、數(shù)據(jù)安全等數(shù)據(jù)治理方面的認識正在覺醒。一方面，險企管理層與業(yè)內(nèi)專家召開閉門會，就保險業(yè)個人信息保護技術(shù)進行研討；另一方面，部分保險公司設(shè)立專門部門或團隊，從制度、技術(shù)、培訓等層面著手重構(gòu)數(shù)據(jù)合規(guī)管理體系。

?

保險業(yè)數(shù)據(jù)特征：敏感信息偏多

?

個人信息貫穿了保險產(chǎn)品創(chuàng)設(shè)到保險銷售、保險理賠全鏈條，是保險業(yè)經(jīng)營的基礎(chǔ)要素，其中壽險業(yè)涉及的敏感信息尤其多。

?

泰康保險集團合規(guī)負責人靳毅表示，壽險機構(gòu)處理的信息大部分都屬于個人敏感信息。例如，生物識別、醫(yī)療健康、金融賬戶等信息，以及不滿十四周歲未成年人的個人信息。長期保單或者包含死亡保險責任的保單在指定受益人方面，往往會涉及未成年人或者被保險人本身就是未成年人。

?

“壽險機構(gòu)與客戶的交互過程具有復雜性、長期性的特點，一份保險合同可能會覆蓋保險消費者的整個生命周期，甚至死亡之后的財務(wù)安排。相關(guān)的信息存儲、變更、交互，環(huán)節(jié)多、種類多、時間長、復雜程度高，既有金融保險的交易信息，也有生理、健康、疾病等生物醫(yī)療信息。”靳毅解釋道。

?

這對大型保險集團的綜合經(jīng)營模式提出了挑戰(zhàn)。靳毅介紹，為了強化協(xié)同，更好地為客戶提供一站式服務(wù)和一攬子長壽、健康、富足解決方案，保險集團需要整合并打通下屬各保險公司、保險資產(chǎn)管理公司，甚至醫(yī)療機構(gòu)、養(yǎng)老機構(gòu)的數(shù)據(jù)，提供大數(shù)據(jù)客戶畫像。在相關(guān)法律法規(guī)對個人信息保護提出了更高要求后，如何合規(guī)地進行客戶畫像和提供綜合解決方案，成為保險公司迫切需要攻克的新課題。

?

同時，線上化經(jīng)營趨勢也給險企個人信息保護帶來更大挑戰(zhàn)。一位保險科技公司負責人表示，這些年保險公司做了大量的客戶線上化工作，更多關(guān)注客戶服務(wù)和生態(tài)對接。在這個過程中，如何做到信息安全、加強信息保護，面臨非常巨大的挑戰(zhàn)?！拔乙彩潜ｋU業(yè)信息化建設(shè)戰(zhàn)線上的老同志了，從業(yè)29年來，從來沒有像現(xiàn)在這樣明顯地感受到數(shù)據(jù)安全的要求變高了?！彼锌?。

?

從數(shù)據(jù)采集開始合規(guī)探索進行時

?

隨著相關(guān)法律法規(guī)的實施，做好數(shù)據(jù)合規(guī)與安全改造，一些合規(guī)探索正在保險公司展開。

?

一位健康險公司副總裁表示：“我們從最基礎(chǔ)的工作開始，核保、核賠方面采購中國信保的合規(guī)數(shù)據(jù)作為承保理賠依據(jù)，并將進一步應(yīng)用到產(chǎn)品開發(fā)上。今年年初，公司進行了所有數(shù)據(jù)的梳理和內(nèi)部規(guī)范工作。下一步，公司將探索新技術(shù)比如隱私計算的應(yīng)用，來進一步提高數(shù)據(jù)的安全性?！?/p>

?

“數(shù)據(jù)采集上要做到最小化采集，非必要不采集，這很關(guān)鍵。過多地采集個人數(shù)據(jù)，對下一步應(yīng)用會帶來巨大風險，不管從監(jiān)管部門還是自身需要來說，‘知情同意’和‘最小必要’都是首先要做到的，一些經(jīng)濟發(fā)達地區(qū)很多年前就開始這樣做了?！币患邑旊U公司金融科技中心綜合管理部總經(jīng)理表示。

?

同時，要對數(shù)據(jù)進行分級分類管理。他說，個人數(shù)據(jù)有一部分是個人信息，還有一部分是敏感信息，應(yīng)該有不同的保護定義和不同的防護標準。而且要進行全鏈路管理，比如財險公司和外部很多機構(gòu)連接，包括汽車4S店、修理廠等，這些小公司的數(shù)據(jù)防護能力和大公司的技術(shù)相比，不在一個水平線上。由于數(shù)據(jù)是流動的，在任何環(huán)節(jié)都有可能造成泄露，因此要按照數(shù)據(jù)要素以及分級分類管理標準來進行防護，對有關(guān)主體提出相應(yīng)的管理要求。

?

一家大型保險集團在嘗試構(gòu)建數(shù)據(jù)共享與保護平臺。該公司數(shù)據(jù)安全相關(guān)負責人透露：“公司提出了‘B+’戰(zhàn)略，通過可信計算平臺和隱私保護計算技術(shù)把公司數(shù)據(jù)開放給全社會合作伙伴，讓他們運用我們的數(shù)據(jù)能力，但不是運用數(shù)據(jù)本身。這個過程也是雙向的，我們也要利用他們數(shù)據(jù)的價值，通過多方數(shù)據(jù)價值的綜合，提升創(chuàng)新能力?！?/p>

?

他表示，希望通過“B+”戰(zhàn)略把整個保險行業(yè)的生態(tài)帶動起來，不僅和保險同業(yè)合作，也和銀行、運營商、互聯(lián)網(wǎng)大廠及供應(yīng)鏈上下游合作，共同把數(shù)據(jù)生產(chǎn)者要素作用發(fā)揮出來。目前，公司的可信計算平臺已經(jīng)初現(xiàn)成效，和一些互聯(lián)網(wǎng)大廠的生態(tài)已經(jīng)打通，下一步將做深場景，把更多業(yè)務(wù)與數(shù)據(jù)進行融合。

?

依然面臨諸多挑戰(zhàn)

?

有的公司已經(jīng)行動起來，但尚有很多公司尤其是中小型公司對數(shù)據(jù)合規(guī)與安全使用的認識還不夠，并沒有完全重視起來。

?

仁和保險研究院院長王和表示，從目前情況看，大多數(shù)保險企業(yè)對個人信息保護法的重要性仍存在認識不足的問題，對法律實施之后行業(yè)和企業(yè)可能面臨的挑戰(zhàn)，乃至違規(guī)違法風險及其嚴重性，缺乏足夠認識，相應(yīng)的流程調(diào)整、技術(shù)準備和應(yīng)對預案均未系統(tǒng)落實。因此，解決認識不到位問題，是保險行業(yè)落實行動的前提和基礎(chǔ)。

?

除了認識不足，中小公司也確實有現(xiàn)實的難處。一家小型公司的總經(jīng)理助理坦言，中小保險公司在業(yè)務(wù)管理和運營上和大公司差距很大。一方面，大公司對技術(shù)更重視，很多部署已到公司戰(zhàn)略層面，而中小公司的技術(shù)部門一般都相對弱勢。另一方面是資源問題，中小公司每年的技術(shù)支持預算僅有幾千萬元，很多新技術(shù)讓人“高不可攀”。

?

王和認為，從行業(yè)視角看，搭建具有行業(yè)公信力的隱私計算平臺是當務(wù)之急，應(yīng)導入“聯(lián)盟鏈”和“可信環(huán)境”的概念，為“數(shù)據(jù)信托”模式創(chuàng)造條件。從企業(yè)的視角看，分布式和邊緣計算是一種選擇，即按照“數(shù)據(jù)不動算法動”的原則，避免實質(zhì)性地處理個人信息，就避免了相關(guān)責任。同時，多方安全計算和聯(lián)邦學習技術(shù)，能夠較好地解決特定需求場景的隱私保護需要。

?

保險公司也要改變經(jīng)營管理中“不合時宜”的觀念和做法，比如數(shù)據(jù)“多多益善”的舊觀念。“從個人信息保護的視角看，更多的客戶信息意味著更大的責任、投入和風險。因此，保險公司應(yīng)當轉(zhuǎn)變觀念，樹立數(shù)據(jù)‘夠用就好’的新觀念，同時解決好數(shù)據(jù)獲取和利用度的管理，建立基于數(shù)據(jù)風險的績效管理理念?！蓖鹾驼f。