来源:中国银行保险报网
2021年1月12日,银保监会发布《保险中介机构信息化工作监管办法》(以下简称《办法》),明确提出保险中介不得违规向关联企业泄露保单等数据信息。
近年来,保险中介机构规模数量不断增加,但部分保险中介机构存在信息化治理不完备、信息系统建设不规范、信息安全机制不健全等问题,已成为影响保险中介机构合规经营、健康发展的短板。
基于此,银保监会制定了《办法》。据银保监会相关部门负责人介绍,《办法》所称的保险中介机构信息化工作,是指保险中介机构将计算机、通信、网络等现代信息技术,应用于业务处理、经营管理和内部控制等方面,以持续提高运营效率、优化内部资源配置和提升风险防范水平为目的所开展的工作。其中保险兼业代理机构信息化工作,仅指该机构与保险兼业代理业务相关的信息化工作。就适用对象来看,包括保险专业中介机构和保险兼业代理机构均应遵循《办法》要求。
在征求意见过程中,有部分单位提出,考虑到兼业机构多、散、小的特点(尤其是车商、旅行社等),建议降低对兼业机构的要求或规范对象不包含兼业机构。
银保监会有关部门负责人表示,经研究后认为,兼业机构虽然只是兼营保险代理业务,但在代理活动中,其业务环节和涉及的消费者个人信息与专业机构基本一致,而且中小兼业机构在保险代理业务管理、财务管理和从业人员管理上往往不如专业机构规范,更需加强监管,故兼业机构应该在保险代理业务方面与专业机构保持一致的信息化工作要求。
根据《办法》,保险中介机构应自主开展信息化工作。保险中介机构的重要信息化机制、设施及其管理应保持独立完整,与关联企业(含股东、参股企业、其他关联企业)相关设施有效隔离,严格规范信息系统和数据的访问、使用、转移、复制等行为,不得违规向关联企业泄露保单、个人信息等数据信息。同时,《办法》明确,保险中介法人机构应根据业务规模和发展需要,建立相匹配的业务管理、财务管理和人员管理等信息系统。
《办法》还要求保险中介机构制定本机构信息化突发事件应急预案,组织开展应急演练,及时报告、快速响应和处置本机构发生的信息化突发事件。
根据《办法》,信息化突发事件是指信息系统或信息化基础设施出现故障、受到网络攻击,导致保险中介机构在同一省份的营业网点、电子渠道业务中断3小时以上,或在两个及以上省份的营业网点、电子渠道业务中断30分钟以上;或者因网络欺诈或其他信息安全事件,导致保险中介机构或客户资金损失1000万元以上,或造成重大社会影响;或者保险中介机构丢失或泄露大量重要数据或客户信息等,已经或可能造成重大损失、严重影响。
针对当前部分保险中介机构与合作保险公司间的业务信息交互不规范、不透明,业务流程难以追溯,监管数据报送不准确、不及时的问题,《办法》提出了保险中介机构和保险公司、监管部门数据对接的要求,规范保险中介机构、保险公司、监管部门之间的信息交互行为,使保险公司与保险中介机构业务信息交互规范、透明、可追溯,促进保险中介机构提高经营管理水平,提升保险中介市场运行效率,改善保险中介监管数据质量和报送时效,提升监管效能。
在信息系统的建设上,《办法》规定可由保险公司自主开发、合作开发、定制开发、外包开发和购买云服务等形式建设。针对信息化事项外包给关联企业的,《办法》要求实施有效管理。保险中介机构在确保数据安全、独立的前提下,可与关联企业采用同一套信息系统。
同时,《办法》还指出,保险中介机构应按照最少功能、最小权限原则合理确定信息系统访问权限并定期检查核对,确保用户权限与其工作职责相匹配。严格控制系统访问权限,禁止未经授权查看、下载数据。严格控制通过系统后台修改数据,确需修改的要做到事前批准、事中监控和事后留痕。
《办法》明确,保险中介机构应建立健全信息安全管理制度,部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施,保障业务持续和数据安全。保险中介机构应采取可靠措施进行数据存储和备份,定期开展备份数据恢复验证。系统数据应至少保存五年,系统日志应至少保存六个月。