如您希望下载PDF版本,请点击文末“阅读原文”获取。
引言
在保险业数据合规前期系列解读中,我们分别详细介绍了保险业数据合规的典型案例、整体的法律体系以及保险业实践中的主要合规场景及要点。而对保险企业而言,构建一个健全的内部网络安全与数据合规体系对于保护客户信息、维护企业声誉以及遵守法律法规至关重要。一方面,保险行业涉及大量敏感个人信息,这些数据一旦泄露,不仅会导致客户信任度下降,还可能引发法律诉讼以及高额罚款。另一方面,随着网络攻击的增加,保险企业必须确保其系统能够抵御外部威胁,如黑客攻击和数据泄露。因此,本文在前期合规要点梳理的基础上,将进一步系统性地梳理保险公司将如何构建适合自身的网络安全与数据合规制度框架,以助力保险公司在内部管理实践中高效开展具体工作。
01
公司内部数据合规部门体系搭建相关法律法规要求
企业数据合规是激发企业“自律机制”的重要前提,建立数据合规体系对提升公司数据要素利用水平具有重要意义。根据我国现有法律法规,对公司内部数据合规提出了一系列要求,主要包括数据合规制度以及合规体系构建两方面。就数据合规制度而言,数据合规的具体要求往往星罗棋布地散见于不同法律、法规、乃至合规标准中,包括数据分类分级、全生命周期管理、安全风险应急处置制度、权限控制、合规风险评估审计制度以及数据合规安全教育和培训等。关于数据合规体系,我国法律法规强调了数据处理者需要履行包括采取技术措施和其他必要措施来保障网络安全、稳定运行,并根据需要配备数据安全管理人员,以有效应对网络安全事件。换言之,保险公司需要根据实际情况和安全需求,合理安排网络安全人员的投入。关于公司内部数据合规体系搭建的法律法规梳理如下表所述:
公司内部数据合规体系搭建法律法规梳理
(点击查看大图)
02
内部制度建设框架
保险公司在构建内部的网络安全与数据合规制度的初期,公司应充分考量与审视自身的业务经营实践与现有的内部管理制度等,不能盲目开展制度搭建工作。譬如,若公司仅在较为起步和初期的阶段,却相应制定了多维度和较为严格的网络安全与数据合规相关制度文本的,则可能会给公司带来较高的合规成本。相反,若较为成熟的保险公司却仅有部分纲领性的网络安全与数据合规相关制度文本的,则不利于整体经营业务的合规性乃至于损害公司在市场上的声誉等。
在此基础上,我们建议公司可有层次的开展具体的制度框架搭建工作,包括纲领性的制度、政策文件、指引类文件、模板类规定等。本章节将主要从网络安全类制度与数据合规类制度两个方面分别进行介绍。
1. 网络安全相关制度建设
针对网络安全相关制度文本而言,我们建议公司可起草、制定诸如《网络安全管理政策》等文本作为网络安全系列管理体系的纲领性文件,为公司网络安全系列管理体系的建立和运行提供顶层指导。在此基础上,公司可进一步细化网络安全相关的具体规定,主要可包括但不限于:网络安全组织建设类管理规定、网络安全风险应急处理类规定、访问权限类规定、信息资产安全管理类规定等。具体而言:
网络安全组织建设类管理规定:该类规定将主要明晰网络安全管理体系组织架构和相应人员职责,这同样是《网络安全法》等法律法规的中的明确要求,以保障公司的整体网络安全工作可有序开展。
网络安全风险应急处理类规定:该类规定明确和细化了网络安全应急预案的管理框架、应急预案的演练、预警机制、事件响应、保证措施以及相关人员职责划分等工作流程。
访问权限类规定:该类规定主要明确了访问控制的基本原则、业务要求、用户访问管理、用户责任以及系统和网络访问控制等方面的具体要求和流程,以尽量避免因公司内部因访问权限不明而产生的网络安全事件或损害个人信息主体的合法权益等。
信息资产安全管理类规定:该类规定主要确定员工在网络安全方面的行为准则,包括但不限于终端安全、账号权限安全、网络系统应用安全、邮件安全、数据安全、个人信息保护、介质安全、第三方人员安全和物理安全等方面,并规定违规行为的级别和相应的处罚原则。
以上仅为部分网络安全相关的制度文本列举,保险公司应充分结合自身现有的内部制度情况以及管理实践,在满足现行法律法规的要求与合规底线的情形下,搭建与完善公司的网络安全制度。
2. 数据合规相关制度建设
针对数据合规相关制度文本而言,我们建议公司可在起草、制定诸如《数据与个人信息保护政策》等文本作为数据合规系列管理体系的纲领性文件,以提供原则性的指引。在此基础上,保险公司可继续细化相关规定与文本,可包括但不限于:数据分级分类类规定与数据/个人信息全生命周期管理类规定等。
数据分级分类规定
保险公司的数据分级分类制度文本应当详细阐述数据的分类标准和保护级别,确保数据安全管理的系统性和全面性。
文本中应包含明确的数据分类框架,如将数据分为敏感、重要和一般三个等级,并对每一级别数据的保护措施和处理流程进行详细规定。此外,文本还应包含数据安全责任分配、数据访问控制、数据加密和脱敏处理、数据备份与恢复、以及数据泄露应急响应计划等内容。这些规定旨在确保保险公司能够对不同级别的数据采取相应的保护措施,从而有效管理和降低数据安全风险。特别地,若保险公司可能涉及处理重要数据的,则应当针对重要数据制定特殊的管理和使用规则,以充分满足合规要求。
通过对数据进行分级分类,保险公司能够更加精准地识别和保护最有价值的信息资产。这种做法有助于优化资源分配,将更多的精力和投资集中在保护高价值数据上,同时简化对低价值数据的管理。此外,数据分级分类还有助于提高对数据泄露的响应速度和效率,因为保险公司可以迅速识别受影响的数据类型,并采取相应的补救措施。这种精细化管理还能增强客户信任,因为它展示了保险公司对客户数据隐私和安全的承诺。最终,这种系统化的数据管理方法有助于保险公司遵守数据保护法规,避免潜在的法律风险和经济损失。
数据/个人信息全生命周期管理类规定
针对数据/个人信息全生命周期的管理是保险公司在数据合规制度建设过程中不可缺少的一部分。一方面,现行法律法规中针对数据/个人信息的全生命周期的保护规则已经较为明确,考虑到保险公司在具体展业过程中会涉及处理大量的数据和敏感个人信息,因此该类规定对保险公司而言至关重要。另一方面,完善的制度保障也能够增强客户对保险公司的信任,提升公司品牌形象,最终反哺公司的业务展开。
具体而言,保险公司在制定数据全生命周期保护制度时,需确保涵盖从数据的收集、存储、使用、共享、公开、删除等每一个环节。这包括配套建立严格的数据访问控制,实施加密技术以保护数据传输和存储的安全,以及制定详尽的数据备份和恢复计划以应对可能的数据丢失或损坏。就具体形式而言,可将全生命周期的合规要求与内部管理要求均放在同一制度文本中,亦可专门就数据/个人信息全生命周期的每一个环节均专门起草、制定具体的规定。
此外,针对特殊的数据/个人信息处理活动而言,我们也建议公司进行明确规定。如针对数据/个人信息跨境传输情况的,公司可建立从场景识别、合规判断到开展具体合规工作的标准化流程,以及若后续涉及开展诸如数据出境安全评估申报等监管合规工作的具体要求。再如根据《个人信息保护法》的要求,个人信息处理者在部分法定业务场景下需开展个人信息保护评估工作,则公司也可就这一具体要求起草与制定指引性文件,包括评估流程、评估内容等,并提供标准化的评估模板等以高效开展合规工作。
03
实践中合规体系搭建的基本流程与关键环节
在简单介绍保险公司内部制度建设框架后,保险公司若具体开展数据合规工作,可以将其分为四个流程,包括:事实发现、交互界面优化、合规制度构建,以及制度落地与责任落实。
事实发现:保险公司可全面开展公司内部的尽职调查,包括全面梳理公司现有的业务经营模式与内部管理实践中可能涉及到的个人信息处理活动场景,从全生命周期的维度了解个人信息的的处理目的、处理方式、涉及的个人信息种类等。具体可通过专门的业务培训、发放问卷清单、与具体负责人员进行访谈等方式进行。
交互界面优化:保险公司在明确企业合规现状的基础上,可起草或修订针对不同个人信息处理场景的合规文本,如用户使用协议、隐私政策、数据处理协议、员工知情告知书等。
合规制度构建:保险公司合规制度的构建需建立在自己的经营与管理的实际情况之上,以构建最契合自身的合规制度。同时,保险公司也要关注自身业务的发展,以定期更新相关合规制度。
制度落地与责任落实:保险公司可在企业内部进行宣传培训与应急预案演练,逐步推行、落实相关内部数据安全管理制度,并将责任落实到具体的部门和负责人员。
数据合规工作的落脚点在于制度的落地与责任的落实。通过前文的法律梳理我们理解,保险公司需要根据实际情况和安全需求,合理安排数据安全人员的投入。部分监管实践也表明,若公司没有依法明确相关组织,可能需要承担一定的法律责任,严重的可能会被责令停业整顿、吊销业务许可或行政执照,以及处以罚款。
在此基础上,如何搭建一个组织架构成为了公司数据合规工作的关键。其不仅可帮助企业满足相关法律法规中对组织架构的合规要求,还可以进一步赋能公司具体的业务活动。具体而言,公司的数据合规体系可大致分为决策层、管理层以及执行层。就决策层而言,公司可专门设立数据安全委员会以统筹公司整体数据安全的相关事项并进行决策;就管理层而言,可通过设立数据安全工作组来具体管理与负责不同场景下的数据安全实践,如公司若有新业务要上线的,那么由数据安全工作组来组织开展前述的尽调工作,并评估整体的网络安全与数据合规风险,并向决策层进行汇报。一般而言,该工作组可由相关部门的负责人组成,也方便统筹具体工作的开展;就执行层而言,则由各相关部门组成,包括法务部、合规部、信息科技部等。
04
主要部门的职责与联动
1. 主要部门的职责
如前所述,就数据合规体系的执行层而言,应由保险公司各部门(包括法务部门、合规部门、信息科技部门等)分工配合,在数据安全负责人及数据安全工作组的领导下开展具体合规工作。以下将对各部门在保险公司合规体系中的具体职责进行分别论述。
(1)法务部门的职责
在公司治理中,法务部门作为内部治理的重要组成部分,承担着确保公司内部运营符合法律法规、防范外部法律风险的职责。法务部门不仅在公司决策中提供法律支持,还应通过对业务活动的法律审查,减少公司对外的法律风险。具体而言,法务部门承担着控制公司保险业务实践中法律风险的职责。基于《个人信息保护法》《网络安全法》《数据安全法》等数据合规相关法律法规,法务部门应结合金融及保险行业的立法动态和监管趋势,对公司保险业务开展过程中所涉及的各类合同进行审查。合同审查应涵盖公司在数据收集、数据使用、数据对外提供、数据跨境传输等方面的合同,重点关注数据安全、个人信息保护、数据权利义务的分配以及违约责任等关键条款。法务部门应在确保合同在符合法律规定的前提下,最大程度地维护公司的利益。同时,法务部门还应制定和更新标准合同模板,如数据处理协议、保密协议等,供业务部门参考使用,提高合同管理的规范性和效率。
(2)合规部门的职责
合规部门在公司治理中可能与法务部门在职责上存在部分重合。但一般而言,法务部门更多侧重对外控制公司业务的法律风险,合规部门则更多在政策、制度以及公司内部日常运营中发挥作用。
首先,在政策制定方面,合规部门应根据国家法律法规和监管机构的要求,结合公司的保险业务特点,制定公司整体的合规政策。这些政策涵盖了公司运营的各个领域,包括数据安全管理制度、个人信息保护政策以及数据分类分级管理办法等。
其次,在制度建设方面,合规部门负责建立和完善公司内部的合规制度和流程。合规部门通过制定详细的操作规程、合规手册、内部控制制度等,将数据合规政策转化为可执行的具体措施。具体而言,合规部门通过制度建设,明确了各部门和岗位的合规职责和工作流程。同时,合规部门还应密切关注法律法规更新及保险行业合规水位,定期审查和更新制度流程,以适应业务实践的发展。
最后,在公司内部日常运营中,合规部门也发挥着监督和指导的作用。合规部门可通过日常监控、合规检查和内部审计等方式,评估各部门和员工对合规制度的执行情况,及时发现并纠正违规行为。合规部门还负责组织合规培训和宣导活动,提高员工的合规意识和能力。具体而言,合规部门应对公司的数据处理活动进行全面的法律风险识别和评估,找出潜在的合规风险点,如未经授权的个人信息收集、数据超范围使用等,并提出具体的风险控制措施。同时,法律部应针对具体的风险点制定数据合规培训计划,提高员工的法律意识和合规技能,减少合规风险。例如,在投保环节,因个人信息收集合规风险较高,合规部门应明确各类型保险必须收集的个人信息,并对各业务人员进行培训,确保不会超范围收集客户个人信息。
(3)信息科技部的职责
信息科技部作为公司信息系统和技术支持的核心部门,在数据合规体系同样发挥着重要作用。其主要职责是通过技术手段保障数据的安全性、完整性和可用性,确保公司在数据处理和使用过程中符合法律法规和监管要求。具体而言,信息科技部不仅负责信息系统的建设和维护,还在数据安全策略的制定、技术合规措施的实施和数据风险防控等方面发挥着关键作用。在数据合规管理中,信息科技部是技术层面的执行者和推动者,为公司的数据合规提供技术支持和保障。
首先,信息科技部负责实施数据安全的技术措施,确保公司在数据收集、存储、传输等处理活动中的安全性。信息科技部门可通过数据加密、访问控制、网络安全防护等技术手段,防止数据泄露和未经授权的访问以保障数据安全。同时,信息科技部需要建立健全的数据生命周期管理机制,对数据的收集、使用、存储和删除进行全生命周期管理,确保各环节符合法律法规和公司的数据合规政策。例如,在客服、理赔等阶段可能涉及客户敏感个人信息的查询,信息科技部应对展示的信息进行脱敏处理,如隐藏身份证号码和金融账户信息的部分内容,确保信息在不影响业务处理的前提下,减少数据泄露风险。
其次,信息科技部应建立数据安全监控和应急响应体系,实时监测信息系统的运行状态,及时发现和处理安全事件。在发生数据泄露或网络攻击等突发事件时,信息科技部负责启动应急预案,迅速采取措施控制事态,并配合相关部门调查。
2. 主要部门的联动
保险公司数据合规体系的搭建需要法务部门、合规部门以及信息科技部门等各部门的合作。通过多部门的协同工作,保险公司建立的数据合规体系才能有效运行,使数据合规体系及相关制度真正发挥作用。
法务部门首先负责梳理公司在数据合规方面的法律义务和风险点。基于对数据合规法律法规的理解,以及对金融和保险行业相关法规的立法动态和监管趋势的关注,法务部门明确公司应遵循的法律要求。此外,在与外部合作伙伴的业务合作(如数据共享、数据处理)中,法务部门负责审查和谈判相关合同,特别关注数据安全、个人信息保护、权责分配和违约责任等条款,以确保合同符合法律并保护公司利益。
合规部门在法务部门提供的法律解读基础上,将这些要求转化为公司内部的政策和制度。其职责包括制定和完善数据安全管理制度、个人信息保护政策、数据分类分级管理办法等,明确各部门和员工在数据处理过程中的合规责任与操作规范。同时,合规部门负责组织员工培训和宣导活动,提升公司整体的数据合规意识,推动合规文化建设。合规部门的定位是通过内部制度的建设和监督,确保法律法规要求在公司日常运营中得以落实。
信息科技部门从技术层面提供数据合规支持。根据合规部门制定的政策和制度,信息科技部门负责实施如数据加密、访问控制和网络安全防护等技术措施,以保障数据的机密性、完整性和可用性。同时,信息科技部门需在新技术或系统上线前与法务和合规部门共同进行合规性评估,以识别并解决潜在的技术合规风险。
换言之,在数据合规体系中,法务部门首先负责解读数据合规法律法规,明确公司义务与风险,并在对外合作中审查合同条款以保障数据安全;合规部门在法务解读基础上,将法律要求转化为公司内部政策,制定合规制度并推动全员合规意识的提升;信息科技部门则依据合规政策实施技术措施,如加密和安全监控,确保数据处理的技术合规性。通过法务提供法律支撑、合规部门内化要求和信息科技技术保障,三者形成协同机制,共同构建全面的数据合规体系。综上所述,法务部门、合规部门和信息科技部门通过紧密的协作与联动,共同构建了完善的公司内部数据合规体系。三者形成了法律、制度和技术的有机结合,确保公司的数据处理活动全面符合法律法规和监管要求,确保数据合规风险可控。
结论
在数字化时代,保险公司作为处理大量数据和敏感个人信息的行业主体,其网络安全与数据合规的重要性不言而喻。保险公司在构建网络安全与数据合规类制度时,必须认识到制度建设是保障数据安全和合规性的根本。这不仅涉及到保护客户隐私和公司声誉,更是遵守法律法规、维护市场秩序的关键。因此,保险公司在制定相关制度时,应根据自身的业务特点、技术能力、组织结构和风险承受能力,量身打造适合自己的制度框架。同时,制度建设不应是孤立的,而应注重不同部门之间的联动,形成跨部门的协作机制,确保从数据的采集、处理到存储、使用的每一个环节都能得到有效监管。此外,保险公司还需密切关注立法与监管动态,及时更新和调整制度内容,以适应不断变化的法律环境和市场需求。通过这样的制度建设,保险公司能够更好地应对网络安全挑战,保护数据资产,增强客户信任,从而在激烈的市场竞争中占据有利地位,实现可持续发展。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
吴真恺
律师
合规业务部
苏琦
律师助理
合规业务部
往期文章
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
