从广东保险行业客户信息保护指引看监管变化

10月10日,广东省保协寿险工作委员会发布了《广东人身保险客户信息保护指引(2023年修订)》(以下简称《指引》)。《指引》在国家金融监督管理总局广东监管局指导下完成,为进一步加强人身保险公司客户信息管理,维护人身保险公司客户信息安全,切实保障客户权益,指明了具体方向。《指引》分为五个章节,共二十条。包含总则、保密规定、授权管理、安全管理及附则五个方面。


《指引》内容圈重点


1. 对于保护的目标有了清晰的界定。保护指引对“客户信息”进行重新定义,由“客户敏感信息”范围扩大至“客户信息”。


2. 对于客户信息授权使用的过程,有了更细致的要求。

- 遵循“最少够用”原则,严格衡量使用客户信息的必要性、具体内容、具体数量和使用方式;

- 进一步细化客户信息授权使用环节的权限要求,明确要求客户信息系统权限设置应与岗位职责相符合,对销售人员查询权限明确范围;明确要求业务系统具备客户信息查询日志、数据采集记录日志、下载脱敏过滤、信息屏蔽、系统流转等安全防护功能;

- 进一步细化客户信息数据存储设备的功能要求,要求具备网络隔离、打印水印设置、信息查询界面、终端管控、USB 拷贝信息监控、访问监控日志、第三方机构以加密方式存储等安全防护能力。


3. 审计信息的细化以及明确。对于客户信息系统的等保认证、第三方合作的风险评估、事后的追溯追责能力、应急处置机制以及泄露客户信息的定责处罚等细则进一步阐释。


本指引对于指导人身保险公司加强客户信息管理,补齐客户信息保护制度短板具有实际落地的指导意义。同时,该指引切实保障客户权益,提升金融消费者信心、维护金融安全与稳定,进一步推动了保险业消费者权益保护体制机制建设向前迈进的步伐。



《指引》分类整理


1. 对“客户信息”进行重新定义

第一章 总则


第二条  本指引适用于在广东境内(深圳除外)经营业务的所有人身保险会员公司(以下简称保险公司)。

第三条  “客户信息”是指客户姓名、身份证件号码、联系地址、电子邮箱、手机号码及收付费银行账户信息等可识别到个人的信息。

第四条  客户信息使用,是指保险公司相关岗位人员在满足安全要求的前提下,对客户信息进行查询、统计和分析,将相关结果运用于内控管理和客户服务等工作的过程。


2. 细化客户信息授权使用环节的权限要求

第三章  授权管理


第八条  保险公司应建立完善的客户信息使用授权审批制度,明确可使用客户信息的岗位及人员,并妥善保管授权资料。客户信息的授权审批制度包括但不限于以下内容:

(一)应严格管理本公司人员相关系统权限,系统权限设置应与岗位职责相符合,对于非必要人员不得授权,对于转岗、离职人员应及时注销权限。各条线人员妥善保管本人系统权限密码,严禁通过他人权限处理客户信息,或将本人权限提供给他人处理客户信息。

(二)明确可以授权使用USB、外发邮件、访问外网、打印客户信息的岗位及人员,非授权人员不得具有以上权限,原则上不得向销售人员授予以上权限。

(三)明确可以申请业务系统账号的岗位及人员,非账号所有人不得进入业务系统进行查询,严禁销售人员拥有查询非其本人客户信息的权限。

(四)明确可以向客户信息管理部门申请采集或导出数据的岗位及人员;未经审批,任何人员不得擅自采集或导出数据。

(五)对非法获取及使用同业公司客户数据的个人及公司,要求有相应的问责处罚手段。


3. 细化客户信息数据存储设备的功能要求

第四章  安全管理


第九条  保险公司在使用客户信息过程中,为预防泄露客户信息,需满足安全操作要求,并遵循“最少够用”原则,严格衡量使用客户信息的必要性、具体内容、具体数量和使用方式等。


第十条  保险公司的办公系统设置应具有以下安全防护功能:

(一)在公司内部办公网络及外部网络之间,建立防火墙进行网络隔离;对外部入侵有相应的检测及防护技术手段,对钓鱼邮件有拦截功能。

(二)打印客户信息时应设置水印,显示打印人信息;若打印机不具有水印显示打印功能,则需在打印区域安装摄像头或通过有效方式监测客户信息打印的具体人员;对于拟废弃的打印材料,需做粉碎处理。

(三)查询客户信息系统界面应设置水印,显示查询人员或查询账号信息。

(四)公司设置防泄露终端管控软件,对包含客户信息的文档,外发或者拷贝时,进行监控,通过后台监控,记录备案,保护客户信息,保证日常工作开展。

(五)可监控USB拷贝资料情况,限定USB拷贝权限,对特定电脑的拷贝时间和人员等信息可追踪查询。

(六)建立访问外网监控日志,对访问时间、内容及访问人员等信息可追踪查询。

(七)在符合国家相关法律情况下,保险公司与第三方机构合作进行客户信息处理或外包涉及客户信息处理工作的,须与合作机构签订保密协议并定期评估第三方合作机构的信息安全风险,明确涉及客户信息范围和第三方机构数据安全管理职责。要求第三方机构以加密方式存储客户信息,确保存储环境安全并将不再使用的客户信息及时销毁,防止客户信息泄露,保证信息安全。


第十一条  保险公司的业务系统设置应具有以下安全防护功能:

(一)建立客户信息查询日志,包括记录查询时间、查询内容及查询账号等信息。

(二)建立数据采集记录日志,包括记录采集时间、采集内容及采集人员等信息。

(三)下载客户信息数据功能需做脱敏过滤处理。

(四)电销渠道的销售系统展示页面须对客户信息进行屏蔽,以掩码显示。

(五)电销渠道的客户信息须通过系统流转,禁止流转含有客户信息的打印清单。

(六)客户信息账号管理应有健全的密码管理机制,设置密码要求具备双因素认证以及强度鉴定。


第十五条  保险公司应指定相关部门监控客户信息使用情况:

(一)建立客户信息文档在电脑中的储存管理和监控制度,要求存储客户数据的电脑或硬盘、USB移动存储设备及网络共享云盘均应开启加密功能

(二)根据工作需要不定期自查或抽查,并对发现的问题及时进行整改,要求每年至少开展一次检查


4. 明确客户信息系统需要进行等保认证

第十条(九)由广东省内人身保险公司自行开发或维护的涉及客户信息的系统,需按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,对信息系统安全等级保护状况进行认证。


5. 新增保险公司开展宣传教育培训要求

第十八条  保险公司应加强对各级岗位人员客户信息安全宣传教育培训,进一步提高基层岗位人员的客户信息安全意识。