标签:合规业务-网络安全与数据合规,保险,电信、传媒、娱乐与高科技-数据及隐私权保护
引言
前一篇解读中(详见:保险业数据合规系列解读之一——保险业数据合规典型案例分析),我们梳理了保险业近年来被处罚的案例,特别是涉及到对从业人员和高管人员的经济处罚和限制从业,甚至于承担刑事责任。这不仅影响公司声誉,给公司带来经济损失(受到罚款的处罚),也直接对个人职业产生风险。直至今年,保险业仍然曝出一些较为严重的违法案例,可见保险业合规不仅必要而且紧迫。
本文在前期解读的基础上,将进一步详细梳理保险业数据合规的法律体系,特别是个人信息保护相关法律知识,为保险业数据合规提供快速指引,帮助企业精确找准法律依据,对照开展相应合规工作。
一、哪些法规是必需的?
数据领域立法体系庞大,对于非专业人士而言,具有相当的进入门槛和理解难度。对于保险业来说,可以将其归纳为“1+1”的法律框架——数据法律规定和保险行业数据合规专门体系。了解了“1+1”框架,就可以大致掌握主要的法律规定,再结合业务实践以及专业机构的协助,即可在数据领域识别风险并构建相应的合规措施。
1. 在数据法律规定方面,至少包括两个领域,数据安全和个人信息保护,其中个人信息保护对保险业尤为重要。数据安全领域,有必要了解《数据安全法》及相关配套规定。《数据安全法》要求企业开展数据分类分级工作,盘点所掌握的数据,按照相关指引划分为一般数据、重要数据和核心数据。其中,重要数据识别和保护工作最为重要。在个人信息保护领域,有必要了解《个人信息保护法》及相关配套规定。《个人信息保护法》规定了企业处理个人信息的要求,保护个人信息的义务以及个人对其个人信息的权利。
2. 在保险业行业法规方面,有必要了解国家金融监管总局(原中国银保监会)相关法律规定及专项要求,如《保险法》《保险公司管理规定》《关于银行保险机构侵害个人信息权益乱象专项整治工作的通知》,以及《银行保险机构数据管理办法(征求意见稿)》等。
此外,数据安全的前提是网络安全,因此也有必要了解和掌握《网络安全法》的相关内容。
二、保险业个人信息保护涉及哪些法律规定?
个人信息保护合规是保险业最为重要的部分,目前公开案例中对保险公司及其从业人员的处罚,主要是依据个人信息保护相关法律规定,违法事由也主要是违反个人信息保护相关规定。
1. 《个人信息保护法》主要内容解读
《个人信息保护法》是我国第一部个人信息保护的专门性、基础性法律,全面规范了个人信息的处理活动,明确了个人信息处理者的义务以及个人在个人信息处理活动中的权利等内容。
(1)明确个人信息的范围。个人信息的概念是个人信息保护的前提,也是重要的合规内容。明确什么是个人信息,对后续公司开展个人信息保护工作有很大的指引作用。《民法典》对个人信息认定采取的“识别说”,即能够单独或者与其他信息结合识别特定自然人作为确定该信息是否属于个人信息的标准。《个人信息保护法》中则采取的是“识别说+关联说”,即“与已识别或者可识别的自然人有关的各种信息”。
根据GB/T35273-2020《个人信息安全规范》,判定某项信息是否属于个人信息,应考虑两条路径,符合任一情形的信息,均属于个人信息:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人;二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。举例而言,公司目前有位员工是张三,对公司来说其已经知道了特定的自然人张三,那么在这个情况下,对公司而言关于特定自然人张三的所有信息都是个人信息,因此公司处理张三的个人信息时都必须遵循《个人信息保护法》的要求。此时,没有必要再从张三的单个信息是否能够直接识别张三或与其他信息结合出来识别张三,来认定该等信息是否属于个人信息。就具体个人信息的类型与字段而言,相应的国标等文件中也给出了示例,公司也可在具体实践中去进行对比与参考。在此基础上,《个人信息保护法》还提出了敏感个人信息的概念并进行特殊与严格的保护。
(2)确立个人信息处理的合法性基础。个人信息的处理活动,从客观上来说,就是对自然人的个人信息权益的侵害或影响,因此若无合法的根据或理由,则属于侵害个人信息权益的行为。简单来说,个人信息处理的合法理由有两大类:一是告知并取得个人的同意,其合法性来自个人信息主体的有效同意;二是法定理由,即在具备法律、行政法规规定情形或理由时,该处理活动就是合法的。个人信息处理的合法性基础是目前大部分公司在行业实践中的痛点与难点,往往会成为合规的风险点之一。
(3)多元化的个人信息跨境传输合规路径。目前个人信息跨境传输也是行业实践中的一大热点问题,《个人信息保护法》中给出了网信部门组织的安全评估、个人信息保护认证以及签署标准合同这三条路径,是数据出境的主要方法。同时,今年3月国家网信办出台了《促进与规范数据跨境流动规定》,对部分场景进行了豁免,对部分申报门槛和标准等进行了放宽,也是数据出境需要重点参考的法律规定之一。
(4)保障个人在个人信息处理活动中的权利。《个人信息保护法》通过第四章以专章的形式规定了个人在个人信息处理活动中享知情权、决定权、查阅复制权、可携带权、删除权等针对个人信息处理者的权利,可以有效实现对个人信息权益的保护。
(5)明确个人信息处理者义务。《个人信息保护法》第五章专门规定了个人信息处理者的义务,主要包括一般性义务和特殊义务。一般性义务主要有指定内部管理制度和操作规程、分类管理、采取技术措施、人员培训管理、制定并组织应急预案等;特殊义务则包括指定个人信息保护负责人、设立境内代表处、合规审计、个人信息保护影响评估、数据泄露通知、超大平台义务等。
(6)明确互联网平台义务。这主要是针对大型互联网平台即互联网生态中“守门人”(Gatekeeper)提出的监管合规义务,是借鉴了欧盟《数字市场法》《数字服务法》中关于大型在线平台和数字中介服务提供者的规定。根据《个人信息保护法》规定,所谓“守门人”是指“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,不过目前还没有关于何为“守门人”的权威认定标准。
2. 保险业个人信息保护合规面临哪些风险?
对于保险业个人信息保护合规而言,涉及保险业务的诸多场景,如投保、核保、理赔、客服等环节,我们亦将在后续系列解读中针对场景逐一分析合规要点。结合保险业个人信息保护处罚案例的情况,这里我们先强调合法性基础(同意)、自动化决策和个人信息权利响应的合规要求。
(1)合法性基础(同意)风险
《个人信息保护法》首次从法律层面明确个人信息处理多达七项的合法性依据,具体包括:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。
其中需要特别注意的是,合法性基础以告知同意为基础,而其他六种合法性基础为辅助。“告知”“同意”需要分开理解,告知的重点在于个人信息处理者的告知义务,《个人信息保护法》第十七条要求个人信息处理者以显著方式、清晰易懂的语言真实、准确、完整地向个人告知,这也是强化个人信息处理者自我合规的重要方式。即使是无需获取个人“同意”的情形,向用户进行告知可能仍然是必要的。这不仅是对公司是个不小的合规义务,同样也是在法务日常工作中容易忽视掉的合规要点。举例来说,某保险业务场景中,公司处理用户的姓名、身份证、手机号等个人信息是履行该保险业务合同所必需的个人信息,因此可能属于无需取得同意的情形。但在此基础上,这并不意味着公司不再需要履行“同意”的义务,即个人信息主体享有知情权,而个人信息处理者则也应当始终满足透明性的要求。
对于同意而言,是最为基础最为重要的合法性基础。但是,以保险业为例,公司的C端用户数量数以万计,如何取得每一个用户的同意是一件难事。一方面,大多数公司都会完善自身的隐私政策等对外文本,或在其他触客端向用户出具诸如《个人信息告知同意书》等文本,通过要求其勾选或签字等方式获得同意;另一方面,鉴于前述法条中也明确了无需取得同意的情形,大多数公司都希望能够主张自身符合某一条情形从而免去履行“同意”义务。对此我们理解,适用无需获取个人“同意”的合法性基础存在不确定性,建议仍以获取授权同意为原则,以充分保证公司开展个人信息处理活动的合法性基础。
(2)自动化决策风险
对于保险来说,自动化决策与商业营销是日常业务开展过程的一项重点工作,其中对个人信息处理的合规也提出了相应的要求。《个人信息保护法》中将自动化决策定义为通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。简单来说,就是在没有任何人工参与的情况下,通过计算机系统来作出相应的决策。根据《个人信息保护法》的规定,主要有三个方面的合规要点:
①禁止不合理的差别待遇。个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
②提供不针对个人特征和拒绝的选项。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝选项。
③自动化决策存在重大影响时的合规要求。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
此外,还应关注《互联网信息服务算法推荐管理规定》对包含个性化推荐在内的算法推荐服务提出的合规要求,如落实算法安全主体责任,建立健全算法机制机理审核、信息发布等管理制度和技术措施,配备与算法推荐服务规模相适应的专业人员和技术支撑,以及具有舆论属性或社会动员能力的算法推荐服务提供者需履行算法备案相关义务。
(3)个人信息权利响应风险
《个人信息保护法》第四章专门规定了个人在个人信息处理活动中的权利。实践中,用户对自身个人信息保护的意识已经越来越强烈,不少客户在与我们沟通项目中,也特别希望我们针对公司内部的个人信息响应渠道等内容,进行优化设计等,以应对越来越多的个人信息权利行使需求。对于保险业而言,应当积极响应用户的合法权利请求,具体来说包括以下合规要点:
①个人信息查询。面对用户的查询,我们应及时提供相应内容与答复,包括所持有的关于该APP用户的个人信息或个人信息的类型,上述信息的来源于使用目的,已经获得上述信息的第三方身份或类型等。
②个人信息更正。提供请求更正或补充信息的方法,例如在隐私政策里提供运营者的邮件、座机电话等。
③个人信息删除。当用户发现APP违反法律法规规定、违反双方约定收集个人信息时;或在个人信息处理者与第三方共享、转让个人信息时,用户要求删除的,APP运营商在删除的基础上要通知第三方删除个人信息等情形。
④个人撤回授权同意。APP为用户提供撤回同意的功能/选项,保障用户拒绝接收基于其个人信息推送商业广告的权利。
⑤注销账户。受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理。
⑥获取个人信息副本。APP应为用户提供获取以下类型个人信息副本的方法、或将以下类型个人信息副本传给指定第三方:本人的基本资料、身份信息;本人的健康生理信息、教育工作信息。
三、保险业关于个人信息保护的专门规定
除了国家层面顶层关于个人信息保护的法律规定,保险业亦有相应的法律规定,这些规定也通常是保险业主管部门对个人信息保护违法行为的处罚依据。主要包括:《保险法》《保险公司管理规定》《关于银行保险机构侵害个人信息权益乱象专项整治工作的通知》《银行保险机构数据管理办法(征求意见稿)》。
1. 《保险法》
《保险法》主要规范保险活动,明确保险合同、保险经营规则,对保险公司、保险代理人和保险经纪人提出要求。但其中亦有对个人信息保护的相关规定。
实践中,《保险法》第一百一十六条和第一百六十一条均为保险行业主管部门对个人信息保护违法行为的处罚依据,如在我们系列解读一中(详见:保险业数据合规系列解读之一——保险业数据合规典型案例分析),某保险公司因违规收集使用个人信息,被国家金融监督管理总局某地方监管局处罚案例中,即依据该条进行处罚。
值得注意的是,《个人信息保护法》处罚力度最高,对企业的罚款没有下限,而最高可至五千万元或者上一年度营业额的百分之五;对人员的处罚起点是十万元,最高可至一百万元,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。除了罚款和从业限制,违反《个人信息保护法》,还可能被没收违法所得,责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
如果监管机构依据《个人信息保护法》而不是《保险法》进行处罚,企业将面临更高的法律责任。而对于从业人员而言,《个人信息保护法》对相关人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人;《保险法》可禁止一定期限直至终身进入保险业。两者有所差异,《个人信息保护法》主要是在一定期限内限制担任企业高管等职位,而《保险法》则是可以终身禁止进入保险业。
2. 《保险公司管理规定》
《保险公司管理规定》主要规定了保险业主管部门的处罚权限,其第六十九条规定,保险机构或者其从业人员违反本规定,由中国保监会依照法律、行政法规进行处罚;法律、行政法规没有规定的,由中国保监会责令改正,给予警告,对由违法所得的处以违法所得1倍以上3倍以下罚款,但最高不得超过3万元,对没有违法所得的处以1万元以下罚款;涉嫌犯罪的,依法移交司法机关追究其刑事责任。
3. 《关于银行保险机构侵害个人信息权益乱象专项整治工作的通知》
2022年8月,在《个人信息保护法》正式生效近一年时,原中国银保监会向各银保监局、银行保险机构等下发《关于银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求各银行保险机构全面摸排本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理请款,深入查找本机构个人信息保护方面存在的问题,列出问题清单。各银行保险机构要逐一建档,确保整改到位、问责到位。对违反银行业保险业规章制度的问题,要依规处理;对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全权问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。
今年3月,国家金融监管总局办公厅向各监管局,各大型银行、股份制银行、外资银行、直销银行、理财公司,各保险集团(控股)公司、保险公司、保险专业中介机构下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》。指出“在个人信息处理具体执行层面发现大量问题或者隐患”,机构自查发现问题15万个,影响消费者约2亿人次,监管抽查发现问题5000多个,影响消费者超过1500万人次。具体问题有五个方面:
第一,个人信息收集方面,主要是强制同意、扩大授权、笼统授权等。例如,强制消费者同意将其信息提供给外部机构,并用于与其所办理业务无关的用途。部分公司在隐私政策和服务协议中,均要求客户同意将个人信息共享给该公司所属集团成员单位,用于提供服务、推荐产品、开展市场调查与信息数据分析等,而该授权与办理业务用途无关。
第二,个人信息存储和传输方面,主要是电子数据管理混乱、纸质材料管理不严,传输方式不安全等。例如,部分保险公司在互联网电脑中保存明文客户信息表格和身份证、驾驶证等图片;部分保险公司理赔中心调查人员通过个人电子邮箱向第三方公估公司公共邮箱发送消费者身份证号码、手机号码等信息。
第三,个人信息查询和使用方面,这可能是保险企业最为突出的问题,主要是违规查询账户信息、不当使用客户信息等。例如,银行保险公司员工可以无需授权直接查询所负责客户的账户信息。保险公司员工为满足公司考核要求,在客户不知情的情况下为数十名客户车辆投保车上人员责任险。部分保险机构为业绩达标,私自使用客户信息赠送保险等。
第四,个人信息第三方合作方面,主要是对第三方机构管控不到位,例如,与第三方机构签订的协议中未约定消费者个人信息保护内容,未及时发现和处置第三方机构侵害个人信息权益行为。
第五,个人信息提供和删除方面,主要是存在未经授权的对外提供、未及时删除个人信息等。
从通报内容来看,与《个人信息保护法》相关要求密切相关,对应了个人信息保护合规的关键要点,值得保险企业注意,并针对开展相关合规工作。
4. 《银行保险机构数据安全管理办法(征求意见稿)》
在保险业数据合规专门法规体系中,需要关注《银行保险机构数据安全管理办法(征求意见稿)》的相关规定及立法动向。该办法目前只有征求意见稿,立法仍在推进之中,但其作为国家金融监督管理总局成立后发布的第一部安全领域的行业管理办法,无疑具有针对性较高的参照意义。
今年3月,国家金融监管管理总局制定并发布《银行保险机构数据安全管理办法(征求意见稿)》,共九章八十一条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。该征求意见稿明确了个人信息保护框架包括数据收集、使用、共享、委托处理、共同处理、公开和跨境传输等多个环节,详细规定了银行保险机构在处理个人信息时的合规要求。
(1)数据收集:在收集个人信息时,必须遵循合法、正当、必要和诚信的原则。这不仅是《个人信息保护法》的要求,同时也是《管理办法》中特别强调的核心准则。保险机构在收集数据时,需确保其业务场景和数据的收集范围符合“合法、正当、必要”原则。
(2)数据使用:在使用个人信息时,保险机构必须严格遵守处理目的的限制,不能超出业务范围滥用数据。尤其对敏感信息的使用,更应遵循“必要和最低授权”的原则。通过这一规范,确保了数据使用过程中的透明度和合理性。
(3)数据共享:共享个人信息时,应当向数据主体告知具体的共享对象、信息种类、处理目的等,并取得其单独同意。这要求保险机构在数据共享过程中确保透明性,尤其是在与母公司、子公司或第三方共享数据时,需经过严格的合规审查和授权程序。
(4)数据委托处理:当保险机构将个人信息交由第三方处理时,必须签署明确的协议,并告知数据主体处理的目的和信息类型。这一要求旨在确保数据处理的全程合规,保护数据主体的知情权和选择权。
(5)数据共同处理:涉及两个或两个以上的数据处理者时,保险机构需明确划分处理权责,并确保联合处理的过程透明、合规。银行保险机构在进行共同处理时,必须确保所有参与者履行各自的安全义务,防止数据滥用。
(6)数据公开:公开个人信息前,需经过严格的审查,确保数据主体同意,且符合法定条件。未经授权的公开可能导致严重的法律后果,因此原则上保险机构非经单独同意不
(7)数据跨境传输:在进行个人信息的跨境传输时,机构需确保数据接收方具有足够的安全保护措施,并按照相关法律进行安全评估。数据的跨境传输通常涉及复杂的合规要求,因此保险机构必须严格遵循国家规定的传输流程进行申报或备案。
来源:金杜网络安全与数据合规团队整理
四、数据安全法律体系与保险业的关联
2021年6月10日,《数据安全法》正式出台,自2021年9月1日起施行。《数据安全法》共七章五十五条,包括了总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则。数据安全法律体系较为系统、复杂,但对于保险业数据合规而言,业务中可能涉及重要数据,且在赴境外上市等场景中会涉及数据安全审查,因此可主要关注分类分级保护制度和数据安全审查制度。
1. 数据分类分级保护制度
《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。” 《数据安全法》中的“数据分类分级”,采用了数据的“重要程度”+“危害程度”的立法手段,对数据实行分类分级保护,特别是将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”列为国家核心数据,实行更加严格的管理制度。
一般来说,重要数据识别是企业数据合规中的难点,对于保险企业来说亦是如此。《银行保险机构数据安全管理办法(征求意见稿)》中规定,重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模的数据,一旦被泄露或者篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全[的数据]。2024年3月22日,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》正式发布,其中附有重要数据识别指南,对企业识别重要数据及采取相应的保护措施具有重要参考作用。对于重要数据识别工作,企业应兼顾数据类型和数据规模,主动开展自识别工作,确保数据安全落实到位。
2. 数据安全审查制度
“国家安全审查”是我国《国家安全法》最先确立的一项国家安全审查与监管制度。根据《国家安全法》第五十九条的规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”
数据安全审查制度与网络安全审查是依法确立的国家安全审查制度中两项重要的安全审查制度。《数据安全法》第二十四条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”《网络安全法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”
《数据安全法》中的数据安全审查制度与《网络安全法》中的网络安全审查制度有所不同,前者的审查对象主要针对影响或者可能影响国家安全的数据处理活动,数据处理活动包括:数据的收集、存储、使用、加工、传输、提供、公开等;后者的审查对象主要是针对关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的情形。
值得注意的是,违反《数据安全法》将承担严厉的法律责任,《数据安全法》第六章明确了不履行或违反相关规定的法律责任,处罚金额上最高至1000万元或十倍违法所得,对构成犯罪的,依法追究刑事责任。
五、对企业合规的启示
总结来看,保险业数据合规最为紧迫的任务是个人信息保护。实践中,个人信息保护合规不仅是保险企业,对于很多企业来说,个人信息保护都是重要的合规内容。随着《个人信息保护法》实施近三年,个人信息保护监管活动越来越密集化、常态化,不仅有网信、工信等部门的常态化监管,也有行业主管部门的专项监管。对于企业而言,需要搭建个人信息保护合规体系,同时也有必要引入第三方专业机构的辅助,有效识别风险并采取应对措施。具体而言,主要有以下几个步骤:
1. 事实发现:全面开展公司内部的尽职调查,包括全面梳理公司现有的业务经营模式与内部管理实践中可能涉及到的个人信息处理活动场景,以全生命周期的维度了解个人信息的处理目的、处理方式、涉及的个人信息种类等。具体可通过专门的业务培训、发放问卷清单、与具体负责人员进行访谈等方式进行。
2. 交互界面优化:在明确企业合规现状的基础上,起草或修订针对不同个人信息处理场景的合规文本,如用户使用协议、隐私政策、数据处理协议、员工知情告知书等。
3. 合规制度构建:公司合规制度的构建必须立足于自身经营与管理的实际情况之上,以构建最契合自身需求的合规体系。与此同时,公司还需密切关注自身业务发展动态,以定期更新相关合规制度。
公司合规制度的构建必须立足于自身经营与管理的实际情况,以确保制定出最符合自身需求的合规体系。与此同时,公司还需密切关注业务发展的动态,定期更新和完善相关合规制度。
4. 制度落地与责任落实:在企业内部进行宣传培训与应急预案演练,逐步推行、落实相关内部数据安全管理制度,并将责任落实到具体的单位、部门和负责人员。
我们关于保险业数据合规系列文章的前两篇重点介绍了典型案例和法律体系,后续我们将进一步聚焦保险行业特点,结合保险业重要场景分析合规要点,敬请相关企业关注。
吴真恺、苏琦对本文亦有贡献。
扫码订阅“金杜律师事务所”,了解更多业务资讯
