资讯中心
车险业务个人信息泄露引关注 四个层面构建信息科技外包风险管理
很多私家车主都有过类似的遭遇。“您好,请问是××先生/女士吗?我是××保险公司的,您的车险就要到期了,最近办理车险有优惠活动,还有礼品赠送……”续保前,车险业务员的电话营销可谓如影随形,给车主的工作生活带来很大困扰。
据了解,在银行、保险行业,涉及客户数据的泄露情况较为突出。如近日银保监会官网对贵州银行存在的网络安全和科技外包风险管控不力披露了行政处罚公示,后者受到四十万元罚款等处罚措施。为此,银保监会近期完成了《银行保险机构信息科技外包风险监管办法(征求意见稿)》(下称《办法》)起草工作,银保业务领域中的个人信息安全问题引起关注。
业内人士表示,《办法》所适用的信息科技外包,是指银行保险机构将与本机构经营活动相关的信息科技活动委托给服务提供商进行持续处理的行为。银行保险机构与第三方合作当中涉及重要数据和个人信息处理的信息科技活动,按照《办法》相关要求进行管理。
“车险业务员是如何获取车主个人信息的呢?感觉他们特别‘神通广大’。”令车主刘先生纳闷的是,临近车险续保期,每天都会接到不同保险机构的电话、短信,就连此前从未接触过的保险公司、保险代理机构,也会给他致电询问是否需要办理车险。
对此,一位财险公司车险负责人分析表示,“车险接触到客户资料的环节非常多,与保险公司合作的技术服务公司、4S店、公估公司等都可能拿到车主的数据信息,实际很难准确定位是哪些具体环节导致泄露。”近几年的监管实践表明,信息科技外包是当前银行保险机构的风险多发领域,主要表现为:银行保险机构信息科技外包范围不断扩大;银行保险机构信息科技外包形式趋于多样;银行保险机构信息科技外包活动风险频发。
车险客户信息泄露问题由来已久,也一直是监管部门的重点关注对象。除车险外,在一些投诉平台上,信保业务也存在泄露个人信息、暴力催收等情况。一些融资类信保业务,借款人不能按照贷款合同约定的期限偿还贷款时,保险公司须按照保单合同约定,先向放款的机构进行赔付,之后再向借款人进行追偿,因此,部分保险公司需要向第三方提供保险客户信息。
有业内人士表示,在信息科技外包引发的风险中,较突出的是客户敏感信息泄露。就保险公司而言,由于其绝大部分业务档案都涉及商业秘密、客户信息等敏感信息,外包有时需要把机构的部分或者全部信息提供给第三方外包服务商。在外包业务管理的过程中,外包商及其内部员工有机会接触保险机构业务秘密甚至机密的资料,由于将业务发放给外包公司后,保险公司不易做到实时监管,随着信息传递范围的扩大,可能会因外包服务商缺乏内控约束而导致保险公司信息资源损失、核心技术及商业机密泄露等。
截至目前,从地方到全国,都有出台涉及监管风控外包的相关文件,而此次《办法》的起草则能进一步加强监管力度和监管约束,同时也将风控外包的监管范围从商业银行扩大到银保、保险机构。
据了解,《办法》主要围绕信息科技外包风险管理,着重考虑四个层面:
治理层面。为了保障信息科技外包与IT战略、业务战略的一致性,有效管控外包风险,需要在治理层面对信息科技外包作出框架性安排,提出监管要求,包括外包相关的组织架构、制度流程等。
管理层面。信息科技外包是一种流程性的活动。从监管角度,外包流程的每一个环节都存在风险,在管理层面对信息科技外包活动全流程的关键环节提出要求,核心是准入和监控评价,体现监管当局对银行保险机构开展信息科技外包工作当中风险控制活动的基本期望。
风险层面。外包过程中的风险管理和内部控制相互依存。从风险的维度,特别是对外包活动中可能产生的独特风险,如跨境外包风险、集中度风险、非驻场风险等,提出进一步的管理要求。
监管层面。为了对信息科技外包实施有效的监督管理,有必要从监管的角度,对事前报告、监管评估、风险监测、监督管理、现场核查、监管问责等措施作出原则规定。