保险行业经营安全刑事风险合规防范和协同治理机制构建(中)
2023-11-15刘伯嵩叶子祥上海市静安区人民检察院
吕 颢 顾 文 刘伯嵩 叶子祥 上海市静安区人民检察院
接《保险行业经营安全刑事风险合规防范和协同治理机制构建(上)》(见本刊2023年第8期)
四、开展保险行业经营安全刑事风险合规防范的企业架构基础及基本流程
保险机构应当针对保险行业经营安全刑事风险合规防范和协同治理的需求,根据《保险公司合规管理办法》等规定,进一步完善企业架构,在此基础之上构建合规工作开展的基本流程,确保经营安全刑事风险合规防范和协同治理相关机制能够真正得到贯彻落实。
(一)保险行业经营安全刑事风险合规防范的企业架构基础和管理职责分工
有效的企业架构和管理职责分工是保险机构针对经营安全刑事风险开展合规防范和有效治理的前提。保险机构应当通过对保险黑产犯罪开展类型化研究,切实强化风险底线思维,将风险防范融入公司治理,进一步有针对性地完善现有管理机制,建立合规管理体系,对保险黑产犯罪实现“控源头、抓关键、强管理”。在此过程中,保险机构应当注重三方面问题。
1.切实实现刑事风险合规管理制度内嵌于经营业务具体环节之中
保险机构应当将刑事风险合规管理制度有效嵌入到经营业务的具体环节当中,与法律风险防范、审计监察、内控及风险管理等工作相统筹、相衔接,并建立全员合规责任制,明确管理人员和各岗位人员的合规责任并督促其有效落实,确保合规管理闭环。在具体过程中,与对一般经营风险或其他民事风险开展合规管理相比,保险机构应当尤其注意开展刑事风险合规管理的方法、措施、即时性要求等,通过制定举报制度、完善稽查措施、限制审批时长等方式,切实达到刑事风险合规管理的要求。
2.切实构建三道防线合规管理框架
《保险公司合规管理办法》第二十条规定了保险公司应当建立三道防线的合规管理框架。保险机构应当参照上述规定,明确董事会、监事会和总经理的刑事合规职责,针对经营安全刑事风险合规管理需求,构建三道防线合规管理框架,确保三道防线各司其职、协调配合,有效参与合规管理并形成合力。其中,保险机构各部门和分支机构履行第一道防线职责:主动进行日常合规管理,定期进行刑事风险合规自查,并向合规管理部门或者合规岗位提供合规风险信息或者刑事风险点,支持并配合合规风险监测和评估。保险机构合规管理部门履行第二道防线职责:合规管理部门应当为企业各部门和分支机构的业务活动提供刑事风险合规支持,组织、协调、监督各部门和分支机构开展合规管理各项工作,同时,合规管理部门可以根据合规风险的监测情况主动向内部审计部门提出开展审计工作的建议。保险机构内部审计部门履行第三道防线职责,定期对公司的刑事风险合规管理情况进行独立审计,并将审计情况和结论通报合规管理部门。
3.切实加强完善合规管理协调
刑事风险的快速蔓延性和广泛性均要求保险机构必须构建完善的内部沟通交流协调机制,以增强合规管理效果。对此,保险机构应当在合规管理部门、内部审计部门以及其他部门和分支机构之间建立明确的合作和信息交流机制。合规管理部门应当加强与保险机构各部门和分支机构的分工配合协作;相关业务部门和分支机构应当主动配合合规管理部门进行日常合规管理、风险评估审查、合规专项调查及相关处置整改等工作,识别业务范围内经营安全管理要求,制定并落实业务管理制度和风险防范措施;合规管理部门应当与法务部门、审计部门、监察部门等具有合规管理职能的其他监督部门加强协调配合,定期召开专门会议交流工作情况和合规信息。
(二)开展保险行业经营安全刑事风险合规防范的基本流程
保险机构应当制定合规工作基本流程规范,确保合规管理有迹可循、有证可查。
1.构建保险黑产犯罪辨识及预警机制
第一,保险机构应当延伸前端触角、前移监控关口,建立异常行为上报专门渠道和监管初步研判、处理机制。通过整合现有的保单登记系统、从业人员管理系统等信息数据管理平台,建立以保险机构为轴点、以其分支机构为支点的分布式异常行为监督管理上报端口,保险机构对异常行为开展筛选、过滤、研判,从而强化与监管对涉刑风险的数据监控和信息共享,提高刑事风险监控预警的及时性、前瞻性。
第二,保险机构应当开展合规风险定向评估管理。保险机构应当定期组织识别、评估和监测以下事项的合规风险:业务行为、财务行为、资金运用行为、机构管理行为、数据管理行为及其他可能引发合规风险的行为。在开展评估时,保险机构应当对可能存在的经营安全管理漏洞及违法犯罪风险进行全面评估,重点识别保单销售、转保、转贷、退保等业务存在的风险。
第三,保险机构应当依托监管部门与刑事司法部门联合开展案件处置工作。对于监管部门开展初查并认定具备刑事风险的案件,检察机关、公安部门应及时介入办理案件;对经过审查后认定确实存在刑事风险的异常行为的案件,检察机关、公安部门应第一时间立案查处、对犯罪嫌疑人采取强制措施、开展证据扣押及保全等;坚持“早发现、早干预、早纠正”,由检察机关主导开展专项合规监管,引导保险机构及时弥补漏洞、开展处置,提升处置效率,阻遏风险的扩散和蔓延。
2.构建覆盖全流程的保险黑产防范合规内控工作规范
第一,构建全面覆盖的内控体系。针对当前保险黑产犯罪几近无孔不入、无缝不钻的渗透式发展趋势,保险机构应当确保管理规范能贯穿决策、执行、监督和反馈的全过程,覆盖各项业务流程和管理活动,进而覆盖所有部门、岗位和人员。
第二,有针对性地构建分阶段管理体系。保险机构统筹内设部门,基于“流程—节点—风险点—控制措施—违规事件”关联模型,有针对性地构建分级分层管理的主动式管理机制。“董监高”应当筹备并组建专门的合规部门来牵头整体合规管理工作,并通过制定规范来推动内设部门在流程上建立合理制约、相互监督、切实有效的监督机制,确保监督的互嵌性和有效性。
第三,建立专门合规报告制度。由保险机构的专门合规部门与内设部门在保障信息准确性、完整性和可验证性的前提下,负责上报可能存在的黑产犯罪苗头情况,确保决策层及时了解并采取预防、纠正和补救措施。3.构建动态调整管理体系
第一,制定经营安全刑事合规计划,开展合规调查。保险机构结合保险经营安全管理情况及评估结果,根据自身的经营范围、行业特征、监管政策、风险识别等因素,制定并不断调整和完善合规计划。在制定经营安全刑事合规计划后,保险机构应当按照董事会及其授权的专业委员会、总经理或合规负责人的要求,结合经营安全管理的实际工作需要,就合规风险评估中出现的问题、保险违法犯罪活动等情况,要求合规管理部门开展独立合规调查,就调查情况和结论作专门报告,分析问题出现的根源、管理体系漏洞和责任,并向提出要求的机构报送该报告。
第二,细化管理内容指标,设置相应功能标准。在确定管理内容时,保险机构应将管理内容细化为风险管理、经营管理、资质管理等具体的功能事项,设置相应的功能标准,区分已达标和未达标的功能事项,分别设置不同的考核措施。值得注意的是,在构建动态调整管理体系的同时,尤其应当注意管理措施在标准上的一致性,防止出现保险黑产人员利用不同业态之间的不同管理标准实施技术性套利和灰黑产牟利行为。
第三,区分不同情况采取适应性管理措施。对于不同层级的分支机构、不同内设部门、不同业务规模、不同业务形态,保险机构应当区分不同情况,采取适应性管理措施,根据情况变化及时优化调整。针对存在高危刑事风险漏洞的业务、部门或者分支机构,保险机构应当尽快优化治理结构、弥补管理漏洞,杜绝刑事风险。
4.及时处理经营安全刑事风险
保险机构应当建立经营安全事件处理制度,针对企业内部人员伙同他人实施保险黑产违法犯罪行为,及时启动应急预案,采取必要措施妥善处置。
关于相关经营安全刑事风险处理情况,保险机构应当建立保险经营安全刑事风险合规记录台账,全面记录合规管理、专项调查、风险评估、处置整改、司法介入等情况,系统梳理企业开展经营活动过程中可能面临的经营安全刑事风险,并报送相关部门备案。
五、开展保险行业经营安全刑事风险合规治理的具体路径
正如前文所述,保险行业经营安全刑事风险贯穿于保险业务全流程、各环节,涉嫌的犯罪类型包括诈骗、非法经营、侵犯公民个人信息、职务犯罪等,涉嫌人员包括保险代理人、保险公司内勤人员等,具有风险面广、治理链长、治理对象广泛等特征。对此,在实现保险行业经营安全刑事风险合规管理过程中,相关措施应当覆盖保险业务各个环节,贯穿决策、执行、监督和反馈全流程,并确保所有保险业务、部门和人员均已纳入合规工作体系。
对不同类型的保险行业经营安全刑事风险,应当有针对性地推进刑事合规分项分类管理框架,制定对应的刑事风险应对预案,形成刑事风险管理动态调整机制,并确保该机制妥善运行。结合当前保险行业合规工作开展进程、司法查处保险黑产犯罪情况、保险行业具体工作流程等,保险机构开展保险行业经营安全刑事风险合规治理的具体路径应当细分为保险从业人员合规管理、保险业务合规管理、保险消费者个人信息合规管理三部分。
(一)保险从业人员合规管理
落实保险从业人员合规管理,构建保险从业人员合规管理机制是完善保险行业经营安全刑事风险合规的首要路径。在开展保险黑产刑事犯罪治理过程中,检察机关发现,保险从业人员与社会闲散人员、前保险从业人员相互勾结,实施犯罪行为,是实施保险黑产犯罪的重要载体。与此同时,保险行业存在人员流动性大、人员基数大、人员构成结构复杂等特点,若仅通过保险机构进行管理,确实会力有未逮。对此,开展保险行业经营安全刑事风险合规治理,应当从全面制定管理规范、加强保险从业人员日常管理、强化人员教育培训、完善责任追究机制等方面开展相关工作。
1.全面制定管理规范
保险行业应当结合《保险公司合规管理办法》《关于进一步加强保险业诚信建设的通知》《关于深入整治“代理退保”黑产乱象的通知》《银行保险机构消费者权益保护管理办法》等规定,针对经营安全刑事风险,制定专门的保险行业经营安全刑事风险合规防范规章制度,明确保险从业人员行为规范,落实合规政策,并为保险从业人员执行合规政策提供指南。
保险机构应当根据不同岗位的特点和刑事风险情况,有针对性地制定工作岗位的业务操作程序和规范,要求保险从业人员严格遵守监管规定及行业自律规范,落实相关刑事风险合规防范要求。例如,对于销售人员,保险机构应当对其销售行为予以严格规范,同时应当禁止其以购买、交换、私自留存等方式违规获取保险消费者个人信息。
保险行业还应当建立保险从业人员统一管理制度及配套的从业人员数据库,并要求保险机构积极配合,在日常工作中强化信息报送和披露,确保信息的时效性和准确性,防止出现冒充保险从业人员、冒用他人身份注册成为保险从业人员等情况。
2.加强保险从业人员日常管理
保险机构应当加强对保险从业人员的日常管理,严格防控保险从业人员与保险黑产人员相互勾结的情况出现。
第一,加强关键环节管理,实现对保险从业人员执业全流程的管理。一是严格把好“招人关”。保险机构在招聘人员时,应当严格遵守法律、行政法规、监管规定等,对应聘人员的从业资格、工作经历、“前科”情况等开展资质审查;对查证不符合规定要求的人员,保险机构不得录用并及时报送监管部门备案。二是规范抓好“用人关”。对于在职人员,保险机构应当定期排查经营安全管理过程中可能发生的违规使用或外借业务账号、虚假出勤、套用身份等涉保险黑产行为;利用信息手段对从业人员异常使用业务账号情况进行预警提示,加大分析排查力度,防止消费者个人信息泄露;通过指纹锁、面部识别等技术手段,强化在职人员身份审核,防止在职人员违规外借账号。三是严格把控离职交接。对于保险机构的离职人员,保险机构应当严格执行规定,即时停用其信息系统访问权限,要求其交接或销毁保单信息等敏感资料,确保消费者个人信息安全。
第二,加强关键人员合规管理。保险机构应当结合刑事风险合规管理要求,加强对以下重点人员的合规管理:(1)管理人员。保险机构应促进管理人员切实提升合规意识,带头依法依规开展经营管理活动,认真履行合规管理职责,强化考核与监督问责。(2)重要风险岗位人员。保险机构应根据合规风险评估情况明确界定重要风险岗位,有针对性地加大培训力度,使重要风险岗位人员熟悉并严格遵守业务涉及的各项规定,加强监督检查和违规行为追责。(3)新入职人员。保险机构应督促新入职人员加强全面合规学习,确保其在开展业务前熟悉并严格遵守业务涉及的各项规定,加强对其带教监督和教育培训。
第三,完善数据信息权限管理制度。对于直接与保险消费者接触的保险销售人员、因客户关系维护需要使用保险消费者个人信息的维护人员以及因其他工作需要接触保险消费者个人信息的内勤人员,根据其职责情况与实际需要使用信息的情况,保险机构应当建立数据信息权限分级管理制度,根据保险消费者个人信息敏感程度,规定不同职级、不同工作范围的保险从业人员可以使用及禁止使用的信息范围,严格防止消费者敏感信息违规外泄。保险机构还应当对保险从业人员进行保密风险提示,降低违法犯罪风险,同时明确涉密人员,设定保密登记程序和信息接触权限。对于容易出现保险消费者个人信息泄露风险的设备,保险机构应当严格规范其使用人员、使用目的、使用方式和报废后流通情况。对于尚未电子化的涉密信息,保险机构应当明确涉密信息集中存放的范围,并明确规定保密期限和传递、保存、销毁要求;对相关涉密信息存放的区域,保险机构应当明确访问限制要求,确保信息安全。
3.强化人员教育培训
保险机构应当结合岗位要求,对保险从业人员开展教育培训。在开展保险从业人员教育培训的过程中,保险机构应当实施人员分类培训管理,并对涉及重大刑事风险的重点岗位和重点人员开展重点合规培训。
第一,实施人员分类培训管理。保险机构应当对销售人员、内勤人员、管理人员分类开展区分职责和培训内容的合规培训,从而有针对性地开展对特定刑事风险的法治教育。在培训过程中,保险机构应当确保保险从业人员真正形成与其岗位相适配的刑事底线思维、从业合规观念和风险防范意识,确保其形成刑事风险防范责任观念。
第二,针对涉及重大刑事风险的重点岗位和重点人员开展重点合规培训。针对涉及重大刑事风险的重点岗位和重点人员,包括保险机构管理人员、重大风险岗位人员和新入职人员,保险机构应当对其加强重点合规培训,确保其形成合规管理意识。
4.完善责任追究机制
针对违反企业合规义务、政策、流程和程序的人员,保险机构应当完善问责与惩戒机制:对查证属实参加保险黑产活动、给保险机构造成损失的员工,视其情节不同,通过训诫、警告、降级、降职、调离、解雇等途径对其采取违规处分;对于涉嫌黑产犯罪的员工,应当及时向监管部门、司法部门汇报其涉嫌违法犯罪的情况,由相应部门对其采取对应措施。
除此之外,对于存在涉黑产违法犯罪行为的人员,监管部门应牵头保险行业组织及保险机构构建完善的失信惩戒机制。监管部门应当牵头建立征信披露平台,在行业监管层面整合机构报送数据,及时根据监管及刑事处理动态,将涉黑产犯罪、违法行为从业人员的事件行为信息全面纳入管理。保险机构应当积极配合监管部门建立从业人员数据库,加强从业人员信息报送和披露工作,确保信息的时效性和准确性。对于存在不良信用的人员,监管部门应当在从业资格取得、任职资格、业务开展等方面根据行为的差异化评价给予不同限制。
(二)保险业务合规管理
落实保险业务合规管理,构建保险业务监管机制是完善保险行业经营安全刑事风险合规的重要路径。从当前司法机关开展保险黑产刑事犯罪治理的情况来看,保险黑产人员牟取不法利益,大多数是套用保险业务的名义来包装其实质违法行为,通过串通、诱导等方式,冒用保险从业人员、保险消费者等名义,实施套利行为。因此,开展保险业务合规管理,是有效阻断保险黑产人员非法套利的重要途径。综合保险黑产犯罪实施实际情况,保险机构应当从加强销售行为管理、完善保单业绩审查、严格发放保单佣金、规范保单投诉处理等方面开展工作,实现保险业务合规管理。
1.加强销售行为管理
从监管部门到保险机构,对于不良销售行为的管理一直是重中之重。近年来,我国陆续出台了《保险销售行为管理办法》《关于进一步加强保险业诚信建设的通知》等相关规定,对不良保险销售行为予以规范。但是从保险黑产犯罪治理情况来看,部分保险从业人员在开展保单销售过程中,存在以恶意夸大保单利益、隐瞒保费缴费时限、谎称代理全额退保、虚构免费送保等行为为手段,骗取保险消费者信任,再向保险消费者、保险机构骗取不正当利益的行为。从保险行业经营安全刑事风险合规防控的角度审视上述行为,笔者认为,上述行为显然超出一般销售误导的范畴,已涉嫌刑事犯罪。这些行为看似能够在短期内为保险机构带来保单利益,但是从长期来看,不仅导致保险消费者实际利益受损,还会导致保险消费者对保险销售误导行为的投诉,从而导致保险机构损失扩大。对此,保险机构应当加强对保险销售行为的管理,以确保保险销售行为能够符合经营安全刑事风险合规管理要求。
第一,加强保单销售行为管理,确保符合刑事风险合规管理要求。保险机构应当要求保险从业人员严格遵守监管规定及行业自律规范,不得违反相关规定召开产品说明会、组织客户活动;在销售保单时,不得实施夸大保单利益、变相返利、允诺退保、诱导撬单等不法行为。与此同时,保险机构应当加强对从业人员开展产品说明、组织客户活动的审批管理。对于从事违法销售的人员,应当及时报送监管部门处罚;对于涉嫌刑事犯罪行为的人员,应当及时移送司法机关处理。此外,保险机构还应当夯实对保险从业人员开展保单销售行为的管理责任,要求销售人员在销售保单时,不得实施夸大保单利益、变相返利、允诺退保、诱导撬单等不法行为。
第二,加强保险消费者身份核验,防止不法人员冒用保险消费者身份实施刑事犯罪行为。保险机构应对保险消费者投保使用的身份信息、社会信用等情况的真实性进行严格审核,确认保险消费者身份的真实性。在处理退保、理赔等情况时,保险机构应当严格履责,对发现保险消费者冒用身份或使用虚假信息等情况,应及时按照保险合同及相关规章制度进行处理。
2.完善保单业绩审查
第一,严格配合监管要求,完成保单及时上传工作。保险机构应当配合监管部门要求,及时上传保单登记、保费收取、保单续保、保单贷款等业务信息,以满足监管部门对保险消费者个人信息开展核查比对的相关工作要求。在因故未能完成相关信息录入上传时,保险机构应当及时跟进审查,并确保取得保险消费者本人的确认,防止出现弄虚作假等违法犯罪行为。
第二,强化对保单品质的管理责任。保险机构应当强化对销售行为及保单品质的管理责任,对保单销售业绩开展真实性审核,对投保、退保、转投保、理赔等重点环节加强审查复核,结合佣金奖惩机制,加大对制作虚假保险单证、挂单等情形的惩处力度,通过业绩追溯机制明确保险代理人和各层级管理人员责任。
3.严格发放保单佣金
保险机构应当严格把控保单佣金发放流程。对于正常销售并已取得保险消费者确认的保单,保险机构应当及时发放保单佣金;对于存在违规异地展业、保险消费者无法联系、保险业务员与实际展业人员不一致、保单签字系代签或伪造等情况的异常保单,保险机构应当在充分审核保单真实性后再发放佣金;对于确认存在异常情况的保单,保险机构应当通过佣金冻结、追回已发放佣金、处罚等方式,及时对异常保单责任人员跟进处理。
4.规范保单投诉处理
保险机构应当正确理解监管规定,配合监管部门甄别黑产投诉退保件与正常投诉退保件。对于监管部门反馈的反复投退保、多次投诉非正常退保、代理退保等投保异常风险客户,保险机构应当严格依照规定对相关保单进行处理;对于正常投诉退保件,保险机构应配合第三方调解机构妥善处理;对于异常退保件,保险机构应当开展甄别核查;对于经核查系虚假保险单证、挂单后恶意投诉退保等情形的,保险机构应当严格依据相关法律法规处理,并及时向司法机关移送可能涉嫌犯罪的相关线索与材料。
(三)保险消费者个人信息合规管理
落实保险消费者个人信息合规管理,构建保险消费者个人信息合规管理机制是完善保险行业经营安全刑事风险合规的根本路径。保险机构在经营过程中,借由物联网、云储存等信息传输交互系统平台存储了大量投保保单、资金使用、投融资等保险消费者个人信息,既包括保险消费者及其家人的私密信息,也包括保险消费者投资、融资的交易信息。在保险黑产犯罪中,因保险机构对从业人员在保险消费者个人信息存取、管理、使用和交易方面缺乏严格规范,导致大量保险消费者个人信息被无序滥用,其社会危害性难以估量(廖凡,2019)。对此,笔者建议应当从以下方面构建保险消费者个人信息合规管理机制。
1.结合数据权利属性完善“三阶段”法治化保障体系
要实现保险消费者个人信息合规监管,真正实现对保险消费者合法权益的保护,最直接、最有效的方法就是诉诸立法。但在当前管理实践尚在探索、上位法尚未作出具体要求、具体指标尚未完善等情况下,直接立法有可能导致数据合规管理本身失去治理弹性,进而沦为闲置的管理制度。
对此,应当结合数据权利属性,在以立法谦抑为重点开展必要性考量、以社会共识为中心开展重要性考量以及以权利成本为核心开展可行性考量完善的基础上,推动形成“案例—解释—立法”“三阶段”法治化保障体系(王庆廷,2018)。在监管部门、行政部门及司法部门开展实际监管、执法、司法工作过程中,由各职权部门依据其职责,在发现一类问题并开展治理的过程中总结并发布典型案例;嗣后再总结类似问题治理手段的基本原则和边界,实现治理方式从碎片化向整合化的复原,逐步完成全面化的展示,促进相关问题逐一呈现、可能存在风险不断削减、需要规范的要素逐步明确,进而实现监管、执法、司法的逐步协调,形成治理引导范式(宋保振,2020;王庆廷,2018)。
2.完善对数据信息的全流程管理措施,推进构建行业管理闭环
从当前保险消费者个人信息管理情况来看,若要加强完善对保险消费者个人信息的合规管理,则必然需要完善保险机构在保险业务开展全流程中的合规管理措施,从而推进构建保险行业监管闭环。对此,保险机构应当从获取保险消费者个人信息、数据信息分类、数据溯源管理、数据风险处置等方面加强保险业务全流程中的保险消费者个人信息合规管理,构建覆盖全流程的常态化核查工作机制。
第一,加强保险消费者个人信息获取管理。保险消费者与保险机构签订合同是保险消费者个人信息为他人所获取的第一步,也是最容易导致保险消费者个人信息被不当获取并利用的一步。对此,笔者建议保险机构应当通过如下方法加强保险消费者个人信息获取管理。
一是保险消费者个人信息合规管理应当覆盖与保险消费者相关的所有数据。司法机关在治理保险黑产犯罪的司法实务中发现,在大数据系统建设的背景下,保险消费者仅泄露包括保单号、姓名等少数信息,即可以通过大数据查询并全面补足关于该保险消费者的所有信息,进而导致更为严重的信息泄露后果。对此,保险行业经营安全刑事风险合规防范机制应当覆盖与保险消费者相关的所有数据,细化构建管理二级指标,加强数据信息管理广度建设;完善数据信息管理颗粒度建设,推进数据信息管理深度建设。
二是以最小化获取保险消费者个人信息为基本原则。在数据获取过程中,保险机构应当要求保险从业人员根据最小必要原则获取保险消费者个人信息,并将上述最小必要原则以合同重点条文、销售人员详细说明、开展回访等方式确保保险消费者已明确知晓,确保对保险消费者个人信息的收集、处理、转让等行为能够得到保险消费者的明确授权。对于敏感信息,保险机构应当要求保险消费者在授权时提供明示同意。在处理未成年保险消费者的相关个人信息时,保险机构还应当确保获得其监护人、法定代理人的明示同意,确保数据来源的合法性。
三是第一时间对保险消费者个人信息开展加密处理,确保信息的安全性。司法机关在审理保险黑产犯罪案例中发现,保险黑产人员利用保险机构在保险消费者个人信息储存的安全漏洞,非法获取保险消费者个人信息,进而用于实施犯罪。有鉴于此,保险机构、保险从业人员在经营过程中生成或获取保险消费者的数据信息后,应当第一时间采取加密处理等必要的安全保护措施,在收集、传输、存储、加工、使用、提供、公开保险消费者个人信息的过程中,应当符合规范要求;在法律规定的必要情况下,应当及时删除保险消费者个人信息或者进行匿名化处理。
第二,构建统一的保险消费者个人信息分类分级管理制度。保险机构通过保险业务获取保险消费者个人信息后,应当在信息集成基础上,严格按照保险消费者个人信息的敏感程度,实施分级分类管理。在开展保险消费者个人信息管理的过程中,应当根据信息敏感程度,将保险消费者个人信息分为一般个人信息与敏感个人信息,实施不同数据分级加密、查询权限分级控制、查询场景严格控制等措施,确保不同信息在对应场景中得到合理使用而不是泛滥使用甚至非法使用。对于敏感信息,保险机构应当注意及时开展数据梳理并建立统一标签,形成动态管理方式,推动重要敏感数据使用、处理、保护的全流程规范化操作(许多奇,2020)。
第三,构建保险消费者个人信息溯源管理制度。保险消费者个人信息在保险机构内储存、流转、使用、提供、加工等流程阶段,保险机构应当构建保险消费者个人信息溯源管理制度,全链条防止保险消费者个人信息泄露和被不当滥用。
一是以数据储存时间最短化为数据储存原则。在数据使用处理过程中,应当确保保险消费者个人信息储存时间最短化,严格按照相关法律法规的要求以及保险机构与保险消费者在合同中约定的情况和范围使用信息,并采用权限管理与加密等技术保障数据安全。在特定时间之外,保险机构应当对保险消费者的部分敏感信息,比如联系方式、住址、未成年被保险人等信息予以加密或者删除处理。
二是以企业为管理主体构建数据溯源追查系统。在开展保险消费者个人信息合规管理过程中,应当以保险机构为管理主体、以监管部门为指导单位,对保险机构内部数据信息产生流动的情况构建数据溯源追查系统。对于企业内部数据信息产生流动的情况,保险机构可以通过后台系统登录日志及使用留痕记录,记录所有敏感数据信息的操作行为,通过及时质询查明是否存在异常行为。保险机构对于数据在企业内的流通全过程留痕追踪,防止数据在流转过程中出现权责不明、管理重叠或管理真空,准确识别风险发生的节点,降低数据泄露风险。
三是构建保险机构向保险消费者必要披露机制。保险机构在处理保险消费者个人信息时,应当通过有效途径向作为利益关联人员的特定保险消费者披露相关数据信息处理使用情况。对于保险消费者明确作出撤回授权同意、禁止特定用途、要求限于合理范围使用等意思表示的情况下,保险机构应当依据保险消费者的意愿执行,从而充分保障保险消费者作为数据信息主体的权利。
第四,加强数据风险处置措施。针对在保险黑产犯罪治理过程中发现的常见保险消费者个人信息风险,保险机构应当加强数据风险处置措施,定期对相关经营管理和业务行为进行监测和评估,并采用适当的控制和应对措施来降低风险,必要时停止风险行为。
一是构建数据安全事件预防机制。在构建保险消费者合规管理机制时,保险机构应当设立专门针对数据要素的隐私合约,加强对保险消费者个人信息的保护(锁凌燕、吴海青,2021)。在出现对保险消费者个人信息管理库未授权访问、数据滥用、数据泄露等安全事件时,保险机构应当及时记录有关事件内容,评估事件可能发生的影响,采用必要措施控制事态、消除隐患,同时按照相关规定及时上报监管部门,并告知相关保险消费者。
二是构建保险消费者个人信息筛查机制。由监管部门定期对保险消费者个人信息管理库开展重复性筛查,从而发现存在重复投保、无效投保、提供虚假信息、多次退保等异常投保行为的保险消费者。对存在上述行为的保险消费者,监管部门、保险机构应当通过及时回访、开展社会信用调查、了解投保情况等,查明是否存在保险黑产犯罪情况。
三是加强对第三方合作机构的管理。保险机构在数据处理中,在多个场合下会出现将数据授权给第三方使用的情况。在这种情况下,保险机构应当注意相对第三方公开发布包括企业价值观、合规要求、举报渠道等在内的个人信息合规规范,确保第三方知晓并遵守上述个人信息合规规范。与此同时,保险机构应当划分第三方的个人信息保护合规风险等级,在相关合同中明确第三方的合规责任与义务,开展持续性管理和定期合规审查。在与第三方开展个人信息保护合规相关的具体业务行为时,保险机构应检查该行为是否符合个人信息保护方面的法律法规要求,采用必要、充分的技术保护措施,并参照相关国际标准和国内标准对第三方进行有效监督。(待续)