重裝上陣！險企“數據合規與安全”意識在覺醒

前不久，王女士接到一家保險自媒體工作人員來電，稱注意到她所投保的一款意外險即將到期，希望幫她辦理續保業務。王女士很疑惑，她都沒有關注過這個微信公眾號，保單信息是怎么泄露的。在她的再三追問下，工作人員才說，以前為她辦理這份保單的中介機構是這家自媒體的股東，雙方共享了客戶信息。

從過去的違法買賣電話號碼，到如今的泄露保單信息，保險行業長期存在的個人信息泄露問題越來越引發消費者關注。今年，個人信息保護法、數據安全法等相關法律法規的落地，不斷倒逼保險行業直面數據安全問題。業內人士表示，與其他金融行業多涉及基礎的個人信息不一樣，保險行業關注和使用的數據很多觸及個人隱私層面，比如健康醫療、駕駛行為，這些數據對機構以及個人都非常敏感，是審視險企經營合規與否的標尺和準繩。

從記者近期調研情況看，相關法律法規施行后，保險業對于數據合規、數據安全等數據治理方面的認識正在覺醒。一方面，險企管理層與業內專家召開閉門會，就保險業個人信息保護技術進行研討；另一方面，部分保險公司設立專門部門或團隊，從制度、技術、培訓等層面著手重構數據合規管理體系。

保險業數據特征：敏感信息偏多

個人信息貫穿了保險產品創設到保險銷售、保險理賠全鏈條，是保險業經營的基礎要素，其中壽險業涉及的敏感信息尤其多。

泰康保險集團合規負責人靳毅表示，壽險機構處理的信息大部分都屬于個人敏感信息。例如，生物識別、醫療健康、金融賬戶等信息，以及不滿十四周歲未成年人的個人信息。長期保單或者包含死亡保險責任的保單在指定受益人方面，往往會涉及未成年人或者被保險人本身就是未成年人。

“壽險機構與客戶的交互過程具有復雜性、長期性的特點，一份保險合同可能會覆蓋保險消費者的整個生命周期，甚至死亡之后的財務安排。相關的信息存儲、變更、交互，環節多、種類多、時間長、復雜程度高，既有金融保險的交易信息，也有生理、健康、疾病等生物醫療信息?！苯憬忉尩?。

這對大型保險集團的綜合經營模式提出了挑戰。靳毅介紹，為了強化協同，更好地為客戶提供一站式服務和一攬子長壽、健康、富足解決方案，保險集團需要整合并打通下屬各保險公司、保險資產管理公司，甚至醫療機構、養老機構的數據，提供大數據客戶畫像。在相關法律法規對個人信息保護提出了更高要求后，如何合規地進行客戶畫像和提供綜合解決方案，成為保險公司迫切需要攻克的新課題。

同時，線上化經營趨勢也給險企個人信息保護帶來更大挑戰。一位保險科技公司負責人表示，這些年保險公司做了大量的客戶線上化工作，更多關注客戶服務和生態對接。在這個過程中，如何做到信息安全、加強信息保護，面臨非常巨大的挑戰?！拔乙彩潜ｋU業信息化建設戰線上的老同志了，從業29年來，從來沒有像現在這樣明顯地感受到數據安全的要求變高了?！彼锌?。

從數據采集開始合規探索進行時

隨著相關法律法規的實施，做好數據合規與安全改造，一些合規探索正在保險公司展開。

一位健康險公司副總裁表示：“我們從最基礎的工作開始，核保、核賠方面采購中國信保的合規數據作為承保理賠依據，并將進一步應用到產品開發上。今年年初，公司進行了所有數據的梳理和內部規范工作。下一步，公司將探索新技術比如隱私計算的應用，來進一步提高數據的安全性?！?/p>

“數據采集上要做到最小化采集，非必要不采集，這很關鍵。過多地采集個人數據，對下一步應用會帶來巨大風險，不管從監管部門還是自身需要來說，‘知情同意’和‘最小必要’都是首先要做到的，一些經濟發達地區很多年前就開始這樣做了?！币患邑旊U公司金融科技中心綜合管理部總經理表示。

同時，要對數據進行分級分類管理。他說，個人數據有一部分是個人信息，還有一部分是敏感信息，應該有不同的保護定義和不同的防護標準。而且要進行全鏈路管理，比如財險公司和外部很多機構連接，包括汽車4S店、修理廠等，這些小公司的數據防護能力和大公司的技術相比，不在一個水平線上。由于數據是流動的，在任何環節都有可能造成泄露，因此要按照數據要素以及分級分類管理標準來進行防護，對有關主體提出相應的管理要求。

一家大型保險集團在嘗試構建數據共享與保護平臺。該公司數據安全相關負責人透露：“公司提出了‘B+’戰略，通過可信計算平臺和隱私保護計算技術把公司數據開放給全社會合作伙伴，讓他們運用我們的數據能力，但不是運用數據本身。這個過程也是雙向的，我們也要利用他們數據的價值，通過多方數據價值的綜合，提升創新能力?！?/p>

他表示，希望通過“B+”戰略把整個保險行業的生態帶動起來，不僅和保險同業合作，也和銀行、運營商、互聯網大廠及供應鏈上下游合作，共同把數據生產者要素作用發揮出來。目前，公司的可信計算平臺已經初現成效，和一些互聯網大廠的生態已經打通，下一步將做深場景，把更多業務與數據進行融合。

依然面臨諸多挑戰

有的公司已經行動起來，但尚有很多公司尤其是中小型公司對數據合規與安全使用的認識還不夠，并沒有完全重視起來。

仁和保險研究院院長王和表示，從目前情況看，大多數保險企業對個人信息保護法的重要性仍存在認識不足的問題，對法律實施之后行業和企業可能面臨的挑戰，乃至違規違法風險及其嚴重性，缺乏足夠認識，相應的流程調整、技術準備和應對預案均未系統落實。因此，解決認識不到位問題，是保險行業落實行動的前提和基礎。

除了認識不足，中小公司也確實有現實的難處。一家小型公司的總經理助理坦言，中小保險公司在業務管理和運營上和大公司差距很大。一方面，大公司對技術更重視，很多部署已到公司戰略層面，而中小公司的技術部門一般都相對弱勢。另一方面是資源問題，中小公司每年的技術支持預算僅有幾千萬元，很多新技術讓人“高不可攀”。

王和認為，從行業視角看，搭建具有行業公信力的隱私計算平臺是當務之急，應導入“聯盟鏈”和“可信環境”的概念，為“數據信托”模式創造條件。從企業的視角看，分布式和邊緣計算是一種選擇，即按照“數據不動算法動”的原則，避免實質性地處理個人信息，就避免了相關責任。同時，多方安全計算和聯邦學習技術，能夠較好地解決特定需求場景的隱私保護需要。

保險公司也要改變經營管理中“不合時宜”的觀念和做法，比如數據“多多益善”的舊觀念?！皬膫€人信息保護的視角看，更多的客戶信息意味著更大的責任、投入和風險。因此，保險公司應當轉變觀念，樹立數據‘夠用就好’的新觀念，同時解決好數據獲取和利用度的管理，建立基于數據風險的績效管理理念?！蓖鹾驼f。

（文章來源：上海證券報）