前沿观察,

保险业数据合规系列解读之四——保险业数据合规体系搭建和重点步骤

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:合规业务-网络安全与数据合规保险电信、传媒、娱乐与高科技-数据及隐私权保护

引言

在保险业数据合规前期系列解读中,我们分别详细介绍了保险业数据合规的典型案例、整体的法律体系以及保险业实践中的主要合规场景及要点。而对保险企业而言,构建一个健全的内部网络安全与数据合规体系对于保护客户信息、维护企业声誉以及遵守法律法规至关重要。一方面,保险行业涉及大量敏感个人信息,这些数据一旦泄露,不仅会导致客户信任度下降,还可能引发法律诉讼以及高额罚款。另一方面,随着网络攻击的增加,保险企业必须确保其系统能够抵御外部威胁,如黑客攻击和数据泄露。因此,本文在前期合规要点梳理的基础上,将进一步系统性地梳理保险公司将如何构建适合自身的网络安全与数据合规制度框架,以助力保险公司在内部管理实践中高效开展具体工作。

一、公司内部数据合规部门体系搭建相关法律法规要求

企业数据合规是激发企业“自律机制”的重要前提,建立数据合规体系对提升公司数据要素利用水平具有重要意义。根据我国现有法律法规,对公司内部数据合规提出了一系列要求,主要包括数据合规制度以及合规体系构建两方面。就数据合规制度而言,数据合规的具体要求往往星罗棋布地散见于不同法律、法规、乃至合规标准中,包括数据分类分级、全生命周期管理、安全风险应急处置制度、权限控制、合规风险评估审计制度以及数据合规安全教育和培训等。关于数据合规体系,我国法律法规强调了数据处理者需要履行包括采取技术措施和其他必要措施来保障网络安全、稳定运行,并根据需要配备数据安全管理人员,以有效应对网络安全事件。换言之,保险公司需要根据实际情况和安全需求,合理安排网络安全人员的投入。关于公司内部数据合规体系搭建的法律法规梳理如下表所述:

公司内部数据合规体系搭建法律法规梳理


二、内部制度建设框架

保险公司在构建内部的网络安全与数据合规制度的初期,公司应充分考量与审视自身的业务经营实践与现有的内部管理制度等,不能盲目开展制度搭建工作。譬如,若公司仅在较为起步和初期的阶段,却相应制定了多维度和较为严格的网络安全与数据合规相关制度文本的,则可能会给公司带来较高的合规成本。相反,若较为成熟的保险公司却仅有部分纲领性的网络安全与数据合规相关制度文本的,则不利于整体经营业务的合规性乃至于损害公司在市场上的声誉等。

在此基础上,我们建议公司可有层次的开展具体的制度框架搭建工作,包括纲领性的制度、政策文件、指引类文件、模板类规定等。本章节将主要从网络安全类制度与数据合规类制度两个方面分别进行介绍。

1. 网络安全相关制度建设

针对网络安全相关制度文本而言,我们建议公司可起草、制定诸如《网络安全管理政策》等文本作为网络安全系列管理体系的纲领性文件,为公司网络安全系列管理体系的建立和运行提供顶层指导。在此基础上,公司可进一步细化网络安全相关的具体规定,主要可包括但不限于:网络安全组织建设类管理规定、网络安全风险应急处理类规定、访问权限类规定、信息资产安全管理类规定等。具体而言:

  • 网络安全组织建设类管理规定:该类规定将主要明晰网络安全管理体系组织架构和相应人员职责,这同样是《网络安全法》等法律法规的中的明确要求,以保障公司的整体网络安全工作可有序开展。
  • 网络安全风险应急处理类规定:该类规定明确和细化了网络安全应急预案的管理框架、应急预案的演练、预警机制、事件响应、保证措施以及相关人员职责划分等工作流程。
  • 访问权限类规定:该类规定主要明确了访问控制的基本原则、业务要求、用户访问管理、用户责任以及系统和网络访问控制等方面的具体要求和流程,以尽量避免因公司内部因访问权限不明而产生的网络安全事件或损害个人信息主体的合法权益等。
  • 信息资产安全管理类规定:该类规定主要确定员工在网络安全方面的行为准则,包括但不限于终端安全、账号权限安全、网络系统应用安全、邮件安全、数据安全、个人信息保护、介质安全、第三方人员安全和物理安全等方面,并规定违规行为的级别和相应的处罚原则。

以上仅为部分网络安全相关的制度文本列举,保险公司应充分结合自身现有的内部制度情况以及管理实践,在满足现行法律法规的要求与合规底线的情形下,搭建与完善公司的网络安全制度。

2. 数据合规相关制度建设

针对数据合规相关制度文本而言,我们建议公司可在起草、制定诸如《数据与个人信息保护政策》等文本作为数据合规系列管理体系的纲领性文件,以提供原则性的指引。在此基础上,保险公司可继续细化相关规定与文本,可包括但不限于:数据分级分类类规定与数据/个人信息全生命周期管理类规定等。

  • 数据分级分类规定

保险公司的数据分级分类制度文本应当详细阐述数据的分类标准和保护级别,确保数据安全管理的系统性和全面性。

文本中应包含明确的数据分类框架,如将数据分为敏感、重要和一般三个等级,并对每一级别数据的保护措施和处理流程进行详细规定。此外,文本还应包含数据安全责任分配、数据访问控制、数据加密和脱敏处理、数据备份与恢复、以及数据泄露应急响应计划等内容。这些规定旨在确保保险公司能够对不同级别的数据采取相应的保护措施,从而有效管理和降低数据安全风险。特别地,若保险公司可能涉及处理重要数据的,则应当针对重要数据制定特殊的管理和使用规则,以充分满足合规要求。

通过对数据进行分级分类,保险公司能够更加精准地识别和保护最有价值的信息资产。这种做法有助于优化资源分配,将更多的精力和投资集中在保护高价值数据上,同时简化对低价值数据的管理。此外,数据分级分类还有助于提高对数据泄露的响应速度和效率,因为保险公司可以迅速识别受影响的数据类型,并采取相应的补救措施。这种精细化管理还能增强客户信任,因为它展示了保险公司对客户数据隐私和安全的承诺。最终,这种系统化的数据管理方法有助于保险公司遵守数据保护法规,避免潜在的法律风险和经济损失。

  • 数据/个人信息全生命周期管理类规定

针对数据/个人信息全生命周期的管理是保险公司在数据合规制度建设过程中不可缺少的一部分。一方面,现行法律法规中针对数据/个人信息的全生命周期的保护规则已经较为明确,考虑到保险公司在具体展业过程中会涉及处理大量的数据和敏感个人信息,因此该类规定对保险公司而言至关重要。另一方面,完善的制度保障也能够增强客户对保险公司的信任,提升公司品牌形象,最终反哺公司的业务展开。

具体而言,保险公司在制定数据全生命周期保护制度时,需确保涵盖从数据的收集、存储、使用、共享、公开、删除等每一个环节。这包括配套建立严格的数据访问控制,实施加密技术以保护数据传输和存储的安全,以及制定详尽的数据备份和恢复计划以应对可能的数据丢失或损坏。就具体形式而言,可将全生命周期的合规要求与内部管理要求均放在同一制度文本中,亦可专门就数据/个人信息全生命周期的每一个环节均专门起草、制定具体的规定。

此外,针对特殊的数据/个人信息处理活动而言,我们也建议公司进行明确规定。如针对数据/个人信息跨境传输情况的,公司可建立从场景识别、合规判断到开展具体合规工作的标准化流程,以及若后续涉及开展诸如数据出境安全评估申报等监管合规工作的具体要求。再如根据《个人信息保护法》的要求,个人信息处理者在部分法定业务场景下需开展个人信息保护评估工作,则公司也可就这一具体要求起草与制定指引性文件,包括评估流程、评估内容等,并提供标准化的评估模板等以高效开展合规工作。

三、实践中合规体系搭建的基本流程与关键环节

在简单介绍保险公司内部制度建设框架后,保险公司若具体开展数据合规工作,可以将其分为四个流程,包括:事实发现交互界面优化合规制度构建,以及制度落地与责任落实

  • 事实发现:保险公司可全面开展公司内部的尽职调查,包括全面梳理公司现有的业务经营模式与内部管理实践中可能涉及到的个人信息处理活动场景,从全生命周期的维度了解个人信息的的处理目的、处理方式、涉及的个人信息种类等。具体可通过专门的业务培训、发放问卷清单、与具体负责人员进行访谈等方式进行。
  • 交互界面优化:保险公司在明确企业合规现状的基础上,可起草或修订针对不同个人信息处理场景的合规文本,如用户使用协议、隐私政策、数据处理协议、员工知情告知书等。
  • 合规制度构建:保险公司合规制度的构建需建立在自己的经营与管理的实际情况之上,以构建最契合自身的合规制度。同时,保险公司也要关注自身业务的发展,以定期更新相关合规制度。
  • 制度落地与责任落实:保险公司可在企业内部进行宣传培训与应急预案演练,逐步推行、落实相关内部数据安全管理制度,并将责任落实到具体的部门和负责人员。

数据合规工作的落脚点在于制度的落地与责任的落实。通过前文的法律梳理我们理解,保险公司需要根据实际情况和安全需求,合理安排数据安全人员的投入。部分监管实践也表明,若公司没有依法明确相关组织,可能需要承担一定的法律责任,严重的可能会被责令停业整顿、吊销业务许可或行政执照,以及处以罚款。

在此基础上,如何搭建一个组织架构成为了公司数据合规工作的关键。其不仅可帮助企业满足相关法律法规中对组织架构的合规要求,还可以进一步赋能公司具体的业务活动。具体而言,公司的数据合规体系可大致分为决策层管理层以及执行层。就决策层而言,公司可专门设立数据安全委员会以统筹公司整体数据安全的相关事项并进行决策;就管理层而言,可通过设立数据安全工作组来具体管理与负责不同场景下的数据安全实践,如公司若有新业务要上线的,那么由数据安全工作组来组织开展前述的尽调工作,并评估整体的网络安全与数据合规风险,并向决策层进行汇报。一般而言,该工作组可由相关部门的负责人组成,也方便统筹具体工作的开展;就执行层而言,则由各相关部门组成,包括法务部、合规部、信息科技部等。

四、主要部门的职责与联动

1. 主要部门的职责

如前所述,就数据合规体系的执行层而言,应由保险公司各部门(包括法务部门、合规部门、信息科技部门等)分工配合,在数据安全负责人及数据安全工作组的领导下开展具体合规工作。以下将对各部门在保险公司合规体系中的具体职责进行分别论述。

(1)法务部门的职责

在公司治理中,法务部门作为内部治理的重要组成部分,承担着确保公司内部运营符合法律法规、防范外部法律风险的职责。法务部门不仅在公司决策中提供法律支持,还应通过对业务活动的法律审查,减少公司对外的法律风险。具体而言,法务部门承担着控制公司保险业务实践中法律风险的职责。基于《个人信息保护法》《网络安全法》《数据安全法》等数据合规相关法律法规,法务部门应结合金融及保险行业的立法动态和监管趋势,对公司保险业务开展过程中所涉及的各类合同进行审查。合同审查应涵盖公司在数据收集、数据使用、数据对外提供、数据跨境传输等方面的合同,重点关注数据安全、个人信息保护、数据权利义务的分配以及违约责任等关键条款。法务部门应在确保合同在符合法律规定的前提下,最大程度地维护公司的利益。同时,法务部门还应制定和更新标准合同模板,如数据处理协议、保密协议等,供业务部门参考使用,提高合同管理的规范性和效率。

(2)合规部门的职责

合规部门在公司治理中可能与法务部门在职责上存在部分重合。但一般而言,法务部门更多侧重对外控制公司业务的法律风险,合规部门则更多在政策、制度以及公司内部日常运营中发挥作用。

首先,在政策制定方面,合规部门应根据国家法律法规和监管机构的要求,结合公司的保险业务特点,制定公司整体的合规政策。这些政策涵盖了公司运营的各个领域,包括数据安全管理制度、个人信息保护政策以及数据分类分级管理办法等。

其次,在制度建设方面,合规部门负责建立和完善公司内部的合规制度和流程。合规部门通过制定详细的操作规程、合规手册、内部控制制度等,将数据合规政策转化为可执行的具体措施。具体而言,合规部门通过制度建设,明确了各部门和岗位的合规职责和工作流程。同时,合规部门还应密切关注法律法规更新及保险行业合规水位,定期审查和更新制度流程,以适应业务实践的发展。

最后,在公司内部日常运营中,合规部门也发挥着监督和指导的作用。合规部门可通过日常监控、合规检查和内部审计等方式,评估各部门和员工对合规制度的执行情况,及时发现并纠正违规行为。合规部门还负责组织合规培训和宣导活动,提高员工的合规意识和能力。具体而言,合规部门应对公司的数据处理活动进行全面的法律风险识别和评估,找出潜在的合规风险点,如未经授权的个人信息收集、数据超范围使用等,并提出具体的风险控制措施。同时,法律部应针对具体的风险点制定数据合规培训计划,提高员工的法律意识和合规技能,减少合规风险。例如,在投保环节,因个人信息收集合规风险较高,合规部门应明确各类型保险必须收集的个人信息,并对各业务人员进行培训,确保不会超范围收集客户个人信息。

(3)信息科技部的职责

信息科技部作为公司信息系统和技术支持的核心部门,在数据合规体系同样发挥着重要作用。其主要职责是通过技术手段保障数据的安全性、完整性和可用性,确保公司在数据处理和使用过程中符合法律法规和监管要求。具体而言,信息科技部不仅负责信息系统的建设和维护,还在数据安全策略的制定、技术合规措施的实施和数据风险防控等方面发挥着关键作用。在数据合规管理中,信息科技部是技术层面的执行者和推动者,为公司的数据合规提供技术支持和保障。

首先,信息科技部负责实施数据安全的技术措施,确保公司在数据收集、存储、传输等处理活动中的安全性。信息科技部门可通过数据加密、访问控制、网络安全防护等技术手段,防止数据泄露和未经授权的访问以保障数据安全。同时,信息科技部需要建立健全的数据生命周期管理机制,对数据的收集、使用、存储和删除进行全生命周期管理,确保各环节符合法律法规和公司的数据合规政策。例如,在客服、理赔等阶段可能涉及客户敏感个人信息的查询,信息科技部应对展示的信息进行脱敏处理,如隐藏身份证号码和金融账户信息的部分内容,确保信息在不影响业务处理的前提下,减少数据泄露风险。

其次,信息科技部应建立数据安全监控和应急响应体系,实时监测信息系统的运行状态,及时发现和处理安全事件。在发生数据泄露或网络攻击等突发事件时,信息科技部负责启动应急预案,迅速采取措施控制事态,并配合相关部门调查。

2. 主要部门的联动

保险公司数据合规体系的搭建需要法务部门、合规部门以及信息科技部门等各部门的合作。通过多部门的协同工作,保险公司建立的数据合规体系才能有效运行,使数据合规体系及相关制度真正发挥作用。

法务部门首先负责梳理公司在数据合规方面的法律义务和风险点。基于对数据合规法律法规的理解,以及对金融和保险行业相关法规的立法动态和监管趋势的关注,法务部门明确公司应遵循的法律要求。此外,在与外部合作伙伴的业务合作(如数据共享、数据处理)中,法务部门负责审查和谈判相关合同,特别关注数据安全、个人信息保护、权责分配和违约责任等条款,以确保合同符合法律并保护公司利益。

合规部门在法务部门提供的法律解读基础上,将这些要求转化为公司内部的政策和制度。其职责包括制定和完善数据安全管理制度、个人信息保护政策、数据分类分级管理办法等,明确各部门和员工在数据处理过程中的合规责任与操作规范。同时,合规部门负责组织员工培训和宣导活动,提升公司整体的数据合规意识,推动合规文化建设。合规部门的定位是通过内部制度的建设和监督,确保法律法规要求在公司日常运营中得以落实。

信息科技部门从技术层面提供数据合规支持。根据合规部门制定的政策和制度,信息科技部门负责实施如数据加密、访问控制和网络安全防护等技术措施,以保障数据的机密性、完整性和可用性。同时,信息科技部门需在新技术或系统上线前与法务和合规部门共同进行合规性评估,以识别并解决潜在的技术合规风险。

换言之,在数据合规体系中,法务部门首先负责解读数据合规法律法规,明确公司义务与风险,并在对外合作中审查合同条款以保障数据安全;合规部门在法务解读基础上,将法律要求转化为公司内部政策,制定合规制度并推动全员合规意识的提升;信息科技部门则依据合规政策实施技术措施,如加密和安全监控,确保数据处理的技术合规性。通过法务提供法律支撑、合规部门内化要求和信息科技技术保障,三者形成协同机制,共同构建全面的数据合规体系。综上所述,法务部门、合规部门和信息科技部门通过紧密的协作与联动,共同构建了完善的公司内部数据合规体系。三者形成了法律、制度和技术的有机结合,确保公司的数据处理活动全面符合法律法规和监管要求,确保数据合规风险可控。

结论

在数字化时代,保险公司作为处理大量数据和敏感个人信息的行业主体,其网络安全与数据合规的重要性不言而喻。保险公司在构建网络安全与数据合规类制度时,必须认识到制度建设是保障数据安全和合规性的根本。这不仅涉及到保护客户隐私和公司声誉,更是遵守法律法规、维护市场秩序的关键。因此,保险公司在制定相关制度时,应根据自身的业务特点、技术能力、组织结构和风险承受能力,量身打造适合自己的制度框架。同时,制度建设不应是孤立的,而应注重不同部门之间的联动,形成跨部门的协作机制,确保从数据的采集、处理到存储、使用的每一个环节都能得到有效监管。此外,保险公司还需密切关注立法与监管动态,及时更新和调整制度内容,以适应不断变化的法律环境和市场需求。通过这样的制度建设,保险公司能够更好地应对网络安全挑战,保护数据资产,增强客户信任,从而在激烈的市场竞争中占据有利地位,实现可持续发展。

扫码订阅“金杜律师事务所”,了解更多业务资讯

最新文章
前沿观察
2024年12月31日,中国国家知识产权局发布了《人工智能相关发明专利申请指引(试行)》(下称“《指引》”),意在进一步明确和细化我国现行专利法律制度框架下人工智能领域的专利审查政策,回应创新主体普遍关切的热点法律问题。基于此,本文针对人工智能是否能成为发明专利的适格客体这一问题进行了探讨,并进一步对中美两国对于人工智能专利客体的适格性标准进行了比较研究,以期为出海企业在全球范围内的专利布局提供参考。知识产权-专利,人工智能

2025/01/15

前沿观察
2024年,我国经济以“稳中求进”为总基调,以“攻坚克难”为关键词, 新“国九条”和资本市场“1+N”政策落地见效。从“坚持把防控风险作为金融工作永恒主题”的战略方向, 到《关于加强监管防范风险推动资本市场高质量发展的若干意见》等资本市场风险防控工作的具体落实;从“金融监管要‘长牙带刺’、有棱有角”的深刻把握,到“零容忍”打击各类违法违规行为的从严监管;从“上市公司是市场之基,是投资价值的源泉” 这一正确认识,到出台上市公司市值管理指引、深化上市公司并购重组市场改革等一系列规范政策出台。 2024年,是引导和督促上市公司完善公司治理,建设建强以投资者为本的资本市场的重要一年。上市公司是国民经济的“基本盘”、“压舱石”和“优等生”,是经济高质量发展的重要微观基础。 上市退市方面,严把发行上市准入关,从源头上提高上市公司质量,严格强制退市标准,拓宽多元化退出渠道,2024年全年55家上市公司平稳退市 ;外资投资方面,发挥战略投资渠道引资潜力,支持长期投资、价值投资;股份减持方面,有效防范绕道减持,细化违规责任条款;市值管理方面,引导上市公司关注自身投资价值,切实提升投资价值;并购重组方面,深化上市公司并购重组市场改革,支持经济转型升级、实现高质量发展;强化监管方面,加强信息披露监管,严惩业绩造假,加强现金分红监管,增强投资者回报。在对上市公司的全链条监管下,我国着力打造安全、规范、透明、开放、有活力、有韧性的资本市场。 2024年,是全面实施“强本强基、严监严管”的关键一年。“金融的安全靠制度、活力在市场、秩序靠法治。”2024年全年,证监会办理各类案件739件,罚没款金额超过上一年的两倍。推动形成财务造假综合惩防体系,严肃查处欺诈发行、财务造假、违规减持、操纵市场等一批大要案 ;持续打击实控人等“关键少数”违法,助力维护中小投资者合法权益;强化行政、刑事、民事立体化追责,助力提高违法成本。突出“严”,立足“效”,着眼“准”,聚力“合”,以强有力行政执法工作护航资本市场高质量发展,不断增强投资者的获得感和投资安全感。 2024年,是资本市场波澜诡谲、上市公司犯罪查处愈发从严的一年。根据我们的不完全统计,本年度A股上市公司及关联主体涉嫌刑事犯罪或遭受刑事侵害的案件共有102起,涉及97家上市公司。 纵览上市公司刑事犯罪情况,财产与金融安全仍是高风险领域,操纵证券市场、违规内幕交易愈发成为上市公司犯罪重灾区。从执法趋势来看,司法机关针对上市公司犯罪案件,施行刑事追责、市场禁入、行政处罚、民事赔偿等多元手段,不仅打击直接的犯罪行为,还同步审查非法配资、“黑嘴”荐股、出具虚假审计报告、洗钱等上下游、前后手犯罪,致力维护资本市场秩序、保护中小投资者利益。 通过梳理及分析2024年度上市公司犯罪情况,我们形成本年度上市公司犯罪报告,继续揭示上市公司刑事风险的趋势与特点,以期从一般社会预防的角度,为上市公司及相关方增强刑事调查与合规意识、预防刑事法律风险提供帮助。争议解决与诉讼-刑事调查及辩护,证券与资本市场-上市公司常年法律顾问,金融机构-金融市场监管

2025/01/14

前沿观察
排污许可制是针对固定污染源环境监管的核心制度,也是环境监管制度的重大改革内容之一。2016年国务院印发《控制污染物排放许可制实施方案》,开始推行排污许可制度改革,原环境保护部先后印发《排污许可管理办法》(试行)和《排污许可管理办法》,从部门规章层面为推进排污许可制度提供了规章依据。2021年国务院制定《排污许可管理条例》,排污许可制度上升到“行政法规”层面,这一法规的出台,标志着排污许可制度改革取得了阶段性成果。 近年来,党中央、国务院对深化排污许可制度改革提出了新要求,党的二十大报告要求全面实行排污许可制,《中共中央 国务院关于全面推进美丽中国建设的意见》再次提出全面实行排污许可制要求,党的二十届三中全会通过的《中共中央关于进一步全面深化改革 推进中国式现代化的决定》,明确“落实以排污许可制为核心的固定污染源监管制度”的改革目标任务。在此背景下,2024年11月生态环境部发布了《全面实行排污许可制实施方案》(下称“《实施方案》”),这是落实党中央国务院部署,深化排污许可制度改革的一项重要举措。 根据《实施方案》提出的重点任务,深化排污许可制度改革的重点将聚焦进一步完善排污许可相关法律法规及标准技术规范体系等、落实以排污许可制为核心的固定污染源监管制度、全面落实固定污染源“一证式”管理、进一步加强排污许可基础保障建设等。深化排污许可制度改革提出的重点任务也包括对排污单位提出要求,即排污单位需构建基于排污许可证的环境管理制度。 本文拟结合我们长期为排污单位提供环境法律服务的经验,针对目前排污单位排污许可管理的状况、存在的问题及不足,就如何构建基于排污许可证的环境管理制度谈谈我们的看法,以供参考。合规业务-环境法

2025/01/13