重装上阵！险企“数据合规与安全”意识在觉醒

前不久，王女士接到一家保险自媒体工作人员来电，称注意到她所投保的一款意外险即将到期，希望帮她办理续保业务。王女士很疑惑，她都没有关注过这个微信公众号，保单信息是怎么泄露的。在她的再三追问下，工作人员才说，以前为她办理这份保单的中介机构是这家自媒体的股东，双方共享了客户信息。

从过去的违法买卖电话号码，到如今的泄露保单信息，保险行业长期存在的个人信息泄露问题越来越引发消费者关注。今年，个人信息保护法、数据安全法等相关法律法规的落地，不断倒逼保险行业直面数据安全问题。业内人士表示，与其他金融行业多涉及基础的个人信息不一样，保险行业关注和使用的数据很多触及个人隐私层面，比如健康医疗、驾驶行为，这些数据对机构以及个人都非常敏感，是审视险企经营合规与否的标尺和准绳。

从记者近期调研情况看，相关法律法规施行后，保险业对于数据合规、数据安全等数据治理方面的认识正在觉醒。一方面，险企管理层与业内专家召开闭门会，就保险业个人信息保护技术进行研讨；另一方面，部分保险公司设立专门部门或团队，从制度、技术、培训等层面着手重构数据合规管理体系。

保险业数据特征：敏感信息偏多

个人信息贯穿了保险产品创设到保险销售、保险理赔全链条，是保险业经营的基础要素，其中寿险业涉及的敏感信息尤其多。

泰康保险集团合规负责人靳毅表示，寿险机构处理的信息大部分都属于个人敏感信息。例如，生物识别、医疗健康、金融账户等信息，以及不满十四周岁未成年人的个人信息。长期保单或者包含死亡保险责任的保单在指定受益人方面，往往会涉及未成年人或者被保险人本身就是未成年人。

“寿险机构与客户的交互过程具有复杂性、长期性的特点，一份保险合同可能会覆盖保险消费者的整个生命周期，甚至死亡之后的财务安排。相关的信息存储、变更、交互，环节多、种类多、时间长、复杂程度高，既有金融保险的交易信息，也有生理、健康、疾病等生物医疗信息。”靳毅解释道。

这对大型保险集团的综合经营模式提出了挑战。靳毅介绍，为了强化协同，更好地为客户提供一站式服务和一揽子长寿、健康、富足解决方案，保险集团需要整合并打通下属各保险公司、保险资产管理公司，甚至医疗机构、养老机构的数据，提供大数据客户画像。在相关法律法规对个人信息保护提出了更高要求后，如何合规地进行客户画像和提供综合解决方案，成为保险公司迫切需要攻克的新课题。

同时，线上化经营趋势也给险企个人信息保护带来更大挑战。一位保险科技公司负责人表示，这些年保险公司做了大量的客户线上化工作，更多关注客户服务和生态对接。在这个过程中，如何做到信息安全、加强信息保护，面临非常巨大的挑战。“我也是保险业信息化建设战线上的老同志了，从业29年来，从来没有像现在这样明显地感受到数据安全的要求变高了。”他感慨道。

从数据采集开始合规探索进行时

随着相关法律法规的实施，做好数据合规与安全改造，一些合规探索正在保险公司展开。

一位健康险公司副总裁表示：“我们从最基础的工作开始，核保、核赔方面采购中国信保的合规数据作为承保理赔依据，并将进一步应用到产品开发上。今年年初，公司进行了所有数据的梳理和内部规范工作。下一步，公司将探索新技术比如隐私计算的应用，来进一步提高数据的安全性。”

“数据采集上要做到最小化采集，非必要不采集，这很关键。过多地采集个人数据，对下一步应用会带来巨大风险，不管从监管部门还是自身需要来说，‘知情同意’和‘最小必要’都是首先要做到的，一些经济发达地区很多年前就开始这样做了。”一家财险公司金融科技中心综合管理部总经理表示。

同时，要对数据进行分级分类管理。他说，个人数据有一部分是个人信息，还有一部分是敏感信息，应该有不同的保护定义和不同的防护标准。而且要进行全链路管理，比如财险公司和外部很多机构连接，包括汽车4S店、修理厂等，这些小公司的数据防护能力和大公司的技术相比，不在一个水平线上。由于数据是流动的，在任何环节都有可能造成泄露，因此要按照数据要素以及分级分类管理标准来进行防护，对有关主体提出相应的管理要求。

一家大型保险集团在尝试构建数据共享与保护平台。该公司数据安全相关负责人透露：“公司提出了‘B+’战略，通过可信计算平台和隐私保护计算技术把公司数据开放给全社会合作伙伴，让他们运用我们的数据能力，但不是运用数据本身。这个过程也是双向的，我们也要利用他们数据的价值，通过多方数据价值的综合，提升创新能力。”

他表示，希望通过“B+”战略把整个保险行业的生态带动起来，不仅和保险同业合作，也和银行、运营商、互联网大厂及供应链上下游合作，共同把数据生产者要素作用发挥出来。目前，公司的可信计算平台已经初现成效，和一些互联网大厂的生态已经打通，下一步将做深场景，把更多业务与数据进行融合。

依然面临诸多挑战

有的公司已经行动起来，但尚有很多公司尤其是中小型公司对数据合规与安全使用的认识还不够，并没有完全重视起来。

仁和保险研究院院长王和表示，从目前情况看，大多数保险企业对个人信息保护法的重要性仍存在认识不足的问题，对法律实施之后行业和企业可能面临的挑战，乃至违规违法风险及其严重性，缺乏足够认识，相应的流程调整、技术准备和应对预案均未系统落实。因此，解决认识不到位问题，是保险行业落实行动的前提和基础。

除了认识不足，中小公司也确实有现实的难处。一家小型公司的总经理助理坦言，中小保险公司在业务管理和运营上和大公司差距很大。一方面，大公司对技术更重视，很多部署已到公司战略层面，而中小公司的技术部门一般都相对弱势。另一方面是资源问题，中小公司每年的技术支持预算仅有几千万元，很多新技术让人“高不可攀”。

王和认为，从行业视角看，搭建具有行业公信力的隐私计算平台是当务之急，应导入“联盟链”和“可信环境”的概念，为“数据信托”模式创造条件。从企业的视角看，分布式和边缘计算是一种选择，即按照“数据不动算法动”的原则，避免实质性地处理个人信息，就避免了相关责任。同时，多方安全计算和联邦学习技术，能够较好地解决特定需求场景的隐私保护需要。

保险公司也要改变经营管理中“不合时宜”的观念和做法，比如数据“多多益善”的旧观念。“从个人信息保护的视角看，更多的客户信息意味着更大的责任、投入和风险。因此，保险公司应当转变观念，树立数据‘够用就好’的新观念，同时解决好数据获取和利用度的管理，建立基于数据风险的绩效管理理念。”王和说。

（文章来源：上海证券报）