摘要:近年来, 保险行业电话销售模式蜂拥而起, 各家保险公司相继自建电话呼叫中心, 开展各类电话销售, 呼出电话号码来源真假难辨, 造成消费者反映强烈的电销扰民问题。2017年6月1日, 《网络安全法》以及最新刑事司法解释正式施行, 标志着我国个人信息保护的刑事立法适用主体广、入刑门槛低、适用刑罚严厉的特点更为明确。在此背景下, 准确理解立法制度与适用, 对保险企业有效防范刑事风险至关重要。
关键词:保险公司,客户信息,风险分析,风险应对
1 保险公司客户信息安全管理相关定义
客户信息是指在保险公司业务办理过程中, 或经营管理中收集的与客户相关联的信息集合, 包括个人或团体客户的相关基础信息、客户分类、社会关系、联系方式、交易行为、销售数据、营销计划、分析模型、服务交互等信息, 其中个人客户的证件信息、电话信息、资产信息是保险公司客户信息管理的核心内容。
安全管理是指客户信息作为保险公司的重要数据资产, 需通过技术和管理手段, 根据信息的重要程度对其采取适当的安全防护措施, 保护其可用性、完整性和保密性。
2 保险公司客户信息管理现状
客户信息是企业的核心资源, 准确掌握客户信息, 是把握客户需求变化, 调整经营策略必须夯实的基础, 也是大数据背景下各行各业对客户实施分类管理, 推行精细化营销, 提供差异化服务, 打造企业核心竞争力最重要的前提。近几年, 随着行业监管制度的不断完善, 保险企业在客户信息管理方面取得进展, 但是比较银行业而言, 仍然存在较大差距, 客户信息质量管理效果并不理想。其主要原因有以下几个方面:
一是业务渠道外化, 保险公司客户信息掌控能力较弱。一直以来, 保险公司业务来源主要依靠汽车经销商、银行中介、保险营销员等代理渠道获取, 这些渠道不是保险公司的自有渠道, 与保险公司都是合作关系, 哪家保险公司给的代理费高, 就把保险业务给哪家保险公司。保险公司经营一般实行续保制, 尤其是机动车辆等财险保险, 每年都要进行续保, 每年都有续保代理费, 为了避免第二年续保时保险公司和客户直接联系后不再支付手续费, 保险代理渠道为客户投保时, 提供虚假客户信息的行为就比较普遍。
二是信息系统功能不完善, 保险公司大多没有实现严格统一的客户信息收集标准和录入规范。因保险公司业务渠道的外化和多元化, 各销售渠道都有自己建设的保险业务出单系统, 这些系统的客户信息管控功能有待完善, 甚至人为原因缺失, 但是却以“外挂”方式接入保险公司的业务系统。业务发展压力下, 保险公司在面对“客户信息管理重要”还是“业务发展重要”的博弈时, 无一例外地选择“业务发展”, 默许销售渠道撤销或减少客户信息管控功能的行为, 因此从源头规范、有效录入客户信息难以实现。
三是客户信息使用时存在重复性和无序性, 同一客户分配给不同的销售渠道和销售人员进行续保的现象比较普遍, 引发销售渠道、销售团队和销售人员之间的利益冲突, 也导致客户体验较差。部分渠道或人员利益受损, 客户对保险公司客户信息管理机制不再信任, 两类人员同时不愿意提供真实信息, 进一步导致公司客户电话数据失真。
以上原因的存在, 使保险公司更加倾向于采用外部采集方式, 获取客户真实信息用于业务拓展。尤其是近几年, 随着家庭自用车辆普及和家庭收入水平的增长, 个人客户成为各家保险公司争抢的优质业务资源, 相应个人信息也成为保险公司收集和使用的重点对象。
3 我国个人信息刑事保护的内容
随着近年公民个人信息受侵害的案例越来越多, 现象愈演愈烈, 个人信息安全的相关法律、政策、规范正在加速完善, 刑事立法活动中普遍将个人信息保护作为重要的修法内容, 刑事保护已成为我国目前在个人信息保护领域应用最为活跃的法律机制。
2012年, 第十一届全国人民代表大会常务委员会第三十次会议通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》, 规定:企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密, 不得泄露、篡改、毁损, 不得出售或者非法向他人提供, 违反决定行为的, 依法给予警告、罚款、没收违法所得、吊销许可证, 记入社会信用档案并予以公布, 依法给予治安管理处罚, 依法追究刑事责任。
2015年, 第7次修正《中华人民共和国刑法》时, 对“侵犯公民个人信息罪”量刑增加一档并增加从重处罚的情形, 对向他人出售或者提供公民个人信息行为, 情节严重的处三年以下有期徒刑或者拘役, 情节特别严重的处三年以上七年以下有期徒刑;单位犯罪的, 对单位判处罚金的同时, 对其直接负责的主管人员和其他直接责任人员, 依照该款规定处罚。
2017年, 两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》, 同时《网络安全法》正式实施, 进一步规范了个人信息罪的罪名罪状、定罪量刑标准、相关法律适用, 甚至涉及诉讼中的举证责任分配问题。
4 保险行业客户信息安全管理风险分析
一是保险公司客户信息安全管理的范围进一步扩大。两高《解释》对个人信息的界定, 在“身份识别信息”基础上新增了“个人活动情况信息”, 包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。其中, 行踪轨迹信息、通信内容、征信信息、财产信息属于高度敏感信息, 定罪门槛最低。以上个人信息类别, 特别是高敏感度信息, 基本都属于保险行业的基础业务信息范畴, 数据总量大, 分布范围广, 存储系统多, 一旦出现管理漏洞, 会面临严重的法律风险。
二是列入刑事责任追究的行为范围进一步扩大。我国刑事立法重点打击个人信息犯罪链条两端行为, 即非法提供和非法获取两大类。其中, “出售”和“非法发布”, 同属于“非法提供”的行为方式;“窃取”、“无法提供获取信息的正当性”、“在提供服务过程中, 违反国家规定收集个人信息”, 全部视作“非法获取”。根据保险行业客户信息管理现状, 导致法律风险的行为主要体现在“非法收集”方面, 包括:未遵循合法、正当、必要原则收集信息;未公开收集信息的规则, 使用目的、使用方式和使用范围;未经过被收集者的同意进行收集;收集了与所提供服务无关的个人信息。另外, 保险公司在“非法提供”方面也会存在以下风险:未经匿名化处理发布客户信息, 导致客户信息泄露;信息系统管控不到位, 导致客户信息泄露;未经客户同意使用其个人信息进行业务销售。
5 保险公司客户信息安全管理风险应对
在我国, “侵害个人信息罪”适用于单位犯罪, 单位可作为违法主体被追究刑事责任, 判处罚金, 同时, 单位直接负责的主管人员和其他直接责任人员也承担相应刑责。对于日常运营中处理敏感数据的保险企业及其经营者而言, 应尽快建立完备的客户信息安全管理体系, 制定系统的风险防范策略予以应对。
一是完善客户信息安全管理制度、标准、流程和系统。保险公司应从客户信息的获取, 到分配, 到使用, 形成统一的管理标准, 避免无序、混乱、重复;同时, 将管理标准形成管控规则后嵌入各业务系统, 从源头控制客户信息获取时的有效性和真实性。
二是实施客户信息分类分级管理, 防止信息泄漏。保险公司应结合业务场景, 系统梳理数据类别、安全级别, 针对不同级别, 实施强弱有别的安全防护。对涉及客户信息的存储、展示、下载的风险点, 定期开展客户信息安全管理检查, 严格执行客户信息使用的审核流程。特别是在个人信息获取、对外提供环节, 需要征得客户同意并对其信息进行数据匿名化, 避免出现数据外泄等重大责任事故。
三是规范客户信息收集管理, 提供服务过程中面向客户收集个人信息时进行合规管控。包括保障客户知情权, 公开信息收集规则、收集目的、收集方式和收集范围;获得客户的同意, 结合业务所适用的具体法规、规章, 满足行业合规要求;审查所收集信息与保险业务提供的相关性, 满足收集信息的合法、正当、必要原则;不收集法律禁止收集的个人信息, 如个人的宗教信仰、基因、指纹、血型、疾病和病史信息等。
