銀保監會:保險中介機構不得違規向關聯企業泄露保單等數據信息
原標題:中國銀保監會有關部門負責人就《保險中介機構信息化工作監管辦法》答記者問
爲加強保險中介監管,提高保險中介機構信息化工作與經營管理水平,構建新型保險中介市場體系,推動保險中介行業高質量發展,銀保監會近日印發了《保險中介機構信息化工作監管辦法》(以下簡稱《辦法》),有關部門負責人就《辦法》回答了記者提問。
一、制定《辦法》的背景和意義是什麼?
近年來,保險業持續健康發展,保險中介機構的規模數量不斷增加,市場地位不斷提高,但保險中介機構的經營管理水平與合規程度相對滯後,部分保險中介機構存在信息化治理不完備、信息系統建設不規範、信息安全機制不健全等問題,信息化能力和水平已成爲影響保險中介機構合規經營、健康發展的短板。爲此,擬通過制定發佈《辦法》,從信息化治理、信息系統建設、信息安全機制、分支機構管理等方面對保險中介機構信息化工作提出要求。
《辦法》的制定出臺,將促進保險中介機構加強信息化建設、提高經營管理水平,爲加強保險中介領域的事中事後監管、構建新型保險中介市場體系提供有效抓手,在提高風險防範能力的同時,也將推動保險中介行業高質量發展。
二、《辦法》的主要內容是什麼?
《辦法》共6章36條,對保險中介機構信息化工作提出全面要求。一是在總則中明確《辦法》的制定目的、適用範圍、基本原則、責任主體和監管部門。二是在基本要求中規定保險中介機構的信息化工作機構職責、關聯企業隔離要求、高管負責制度、信息化崗位要求、業務申請條件、分支機構管理、監管報送要求、突發事件報告等內容。三是提出信息系統建設要求,明確保險中介機構信息系統的基本功能、建設方式、外包管理、權限管理、數據錄入、系統變更等要求。四是明確信息安全要求,對保險中介機構信息化工作的安全體系、等級保護、數據安全、個人信息保護、終端安全、教育培訓等提出要求。五是規定保險中介機構信息化工作監督管理的有關內容,包括監管理念、監管分工、審查、現場檢查、責任追究等,明確提出:不符合《辦法》要求的視爲不滿足《保險代理人監管規定》《保險經紀人監管規定》《保險公估人監管規定》對於信息化建設和管理的相關規定,不得經營保險中介業務。六是在附則中明確《辦法》的實施時間、過渡期整改要求、解釋權和此前發佈的相關規範性文件的廢止,要求保險中介機構在《辦法》實施之日起一年內完成整改並向監管部門報送報告。
三、保險中介機構開展信息化建設與管理應遵循哪些原則?
《辦法》規定,保險中介機構信息化建設應當符合法律、行政法規和銀保監會監管制度要求,遵循安全性、可靠性和有效性相統一、技術路線與業務發展方向相一致、信息系統與管理需求相匹配的基本原則。保險中介機構信息系統應能夠及時、完整、準確記錄財務、業務、人員情況,實現與合作保險公司的系統互通、業務互聯、數據對接,能夠生成符合監管要求的數據文件,通過技術手段實現與保險中介監管相關信息系統的數據對接。
四、保險兼業代理機構信息化工作能否適當降低標準、參照《辦法》執行?
《辦法》規範的對象包括保險專業中介機構(以下簡稱專業機構)和保險兼業代理機構(以下簡稱兼業機構),對兼業機構提出了與專業機構相同的信息化工作要求。徵求意見過程中,有部分單位提出,考慮到兼業機構多、散、小的特點(尤其是車商、旅行社等),建議降低對兼業機構的要求或規範對象不包含兼業機構。我們研究後認爲,兼業機構雖然只是兼營保險代理業務,但在代理活動中其業務環節和涉及的消費者個人信息與專業機構基本一致,而且中小兼業機構在保險代理業務管理、財務管理和從業人員管理上往往不如專業機構規範,更需加強監管,故兼業機構應該在保險代理業務方面與專業機構保持一致的信息化工作要求。
五、保險中介機構信息化工作應當如何與關聯企業有效隔離?
《辦法》規定,保險中介機構的重要信息化機制、設施及其管理應保持獨立完整,與關聯企業相關設施有效隔離,嚴格規範信息系統和數據的訪問、使用、轉移、複製等行爲,不得違規向關聯企業泄露保單、個人信息等數據信息。信息化事項外包給關聯企業的,應按照《辦法》外包要求實施有效管理。保險中介機構在確保數據安全、獨立的前提下,可與關聯企業採用同一套信息系統。
六、《辦法》要求保險中介機構應與合作保險公司系統互通、業務互聯、數據對接,與保險中介監管相關信息系統數據對接,此項要求是出於什麼考慮?
當前,部分保險中介機構與合作保險公司間的業務信息交互不規範、不透明,業務流程難以追溯,監管數據報送不準確、不及時。《辦法》從夯實行業發展基礎的角度出發,提出保險中介機構和保險公司、監管部門數據對接的要求,規範保險中介機構、保險公司、監管部門之間的信息交互行爲,使保險公司與保險中介機構業務信息交互規範、透明、可追溯,促進保險中介機構提高經營管理水平,提升保險中介市場運行效率,改善保險中介監管數據質量和報送時效,提升監管效能。
七、業務規模較小的保險中介機構如何有效控制信息系統建設成本?
《辦法》起草過程中,充分考慮了中小保險中介機構的實際情況,明確保險中介機構可採取自主開發、合作開發、定製開發、外包開發和購買雲服務等形式建設信息系統。幾種建設方式成本漸次降低,保險中介機構可根據自身實際情況選擇合適的建設方式,但應充分認識和有效控制信息化建設相關的風險,不論以何種方式建設信息系統,保險中介機構均應遵守《辦法》、承擔信息安全管理責任。
當前有部分第三方機構以雲服務的方式提供面向保險中介機構的業務、財務和人員管理信息系統,也能夠爲保險中介機構與保險公司、監管部門之間的數據交互提供服務。在合規、安全的前提下,保險中介機構可以採用此類方式建設信息系統,以滿足《辦法》要求。
八、不符合《辦法》規定的保險中介機構在業務許可、業務備案和經營活動中會受到哪些影響?
《辦法》規定,不符合《辦法》要求的保險中介機構,視爲不滿足《保險代理人監管規定》第七條、第十二條、第十八條,《保險經紀人監管規定》第七條、第十六條,《保險公估人監管規定》第十六條、第十八條的有關要求,不得經營保險中介業務。
附:中國銀保監會辦公廳關於印發保險中介機構信息化工作監管辦法的通知
附:中國銀保監會辦公廳關於印發保險中介機構信息化工作監管辦法的通知
各銀保監局,各保險公司、各保險專業中介機構、各保險兼業代理機構:
經銀保監會同意,現將《保險中介機構信息化工作監管辦法》印發給你們,請遵照執行。
2021年1月5日
(請各銀保監局轉發至轄內各保險專業中介機構、各保險兼業代理機構)
保險中介機構信息化工作監管辦法
第一章總則
第一條爲加強保險中介監管,提高保險中介機構信息化工作與經營管理水平,推動保險中介行業高質量發展,根據《中華人民共和國保險法》《中華人民共和國網絡安全法》《保險代理人監管規定》《保險經紀人監管規定》《保險公估人監管規定》等法律、行政法規,制定本辦法。
第二條在中華人民共和國境內依法設立的保險中介機構適用本辦法。
第三條本辦法所稱保險中介機構,是指保險代理人(不含個人代理人)、保險經紀人和保險公估人,包括法人機構和分支機構。保險代理人(不含個人代理人)包括保險專業代理機構和保險兼業代理機構。
本辦法所稱保險中介機構信息化工作,是指保險中介機構將計算機、通信、網絡等現代信息技術,應用於業務處理、經營管理和內部控制等方面,以持續提高運營效率、優化內部資源配置和提升風險防範水平爲目的所開展的工作。其中保險兼業代理機構信息化工作,僅指該機構與保險兼業代理業務相關的信息化工作。
本辦法所稱信息化突發事件,是指信息系統或信息化基礎設施出現故障、受到網絡攻擊,導致保險中介機構在同一省份的營業網點、電子渠道業務中斷3小時以上,或在兩個及以上省份的營業網點、電子渠道業務中斷30分鐘以上;或者因網絡欺詐或其它信息安全事件,導致保險中介機構或客戶資金損失1000萬元以上,或造成重大社會影響;或者保險中介機構丟失或泄露大量重要數據或客戶信息等,已經或可能造成重大損失、嚴重影響。
第四條保險中介機構信息化工作應當符合中華人民共和國法律、行政法規和中國銀行保險監督管理委員會(以下簡稱銀保監會)監管制度要求。
保險中介機構信息化工作要遵循安全性、可靠性和有效性相統一、技術路線與業務發展方向相一致、信息系統與管理需求相匹配的原則。
第五條保險中介機構是本機構信息化工作的責任主體,保險中介機構法定代表人或主要負責人對本機構信息化工作承擔首要責任。
第六條銀保監會及其派出機構依法對保險中介機構信息化工作實施監督管理。
第二章基本要求
第七條保險中介機構應履行以下信息化工作職責:
(一)貫徹國家網絡安全與信息化工作的法律、行政法規、技術標準和銀保監會監管制度。
(二)制定本機構信息化工作規劃,確保與總體業務規劃相一致。
(三)制定信息化工作制度,建立分工合理、職責明確、報告關係清晰的信息化管理機制。
(四)編制信息化預算,保障信息化工作所需資金。
(五)開展本機構信息化建設,確保完整掌握本機構信息系統和數據的管理權。
(六)制定本機構信息化突發事件應急預案,組織開展應急演練,及時報告、快速響應和處置本機構發生的信息化突發事件。
(七)配合銀保監會及其派出機構開展的信息化工作監督檢查,如實提供相關文件資料,並按照監管意見進行整改。
(八)開展信息化培訓,強化本機構人員的信息化意識、信息安全意識和軟件正版化意識。
(九)銀保監會規定的其他信息化工作職責。
第八條保險中介機構應自主開展信息化工作。信息化工作與關聯企業(含股東、參股企業、其他關聯企業)有關聯的,保險中介機構應釐清與關聯企業之間的信息化工作職責,各自承擔信息安全管理責任。保險中介機構的重要信息化機制、設施及其管理應保持獨立完整,與關聯企業相關設施有效隔離,嚴格規範信息系統和數據的訪問、使用、轉移、複製等行爲,不得違規向關聯企業泄露保單、個人信息等數據信息。重要信息化機制、設施包括但不限於信息化治理與規劃,業務、財務、人員等重要信息系統及其中的數據信息。
信息化事項外包給關聯企業的,應按照本辦法外包要求實施有效管理。
第九條保險中介法人機構應指定一名高級管理人員統籌負責法人機構及分支機構的信息化管理工作。
第十條保險中介法人機構應設置信息化部門或信息化崗位,負責信息化工作的正式工作人員不少於一人。分支機構應有正式工作人員輔助法人機構開展信息化工作。
第十一條申請開展保險中介業務的法人機構應按照本辦法開展信息化建設,並向機構營業執照登記註冊地銀保監會派出機構報送信息化工作情況報告,報告內容應包括信息化管理機制和制度情況、信息系統滿足本辦法第十七條要求的情況、信息系統採購合同或知識產權證書等。
設立保險中介機構分支機構,保險中介法人機構或其省級分支機構應向分支機構營業執照登記註冊地銀保監會派出機構報送法人機構及該分支機構的信息化工作情況報告。
第十二條保險中介法人機構應加強分支機構信息化管理,除法律、行政法規和銀保監會監管制度另有規定外,法人機構與分支機構應使用同一套信息系統。法人機構應督促分支機構及時錄入經營數據,通過信息系統對各分支機構的經營情況進行管理與監控。
第十三條保險中介機構應按監管要求通過保險中介監管相關信息系統及時向銀保監會及其派出機構報告監管事項、報送監管數據。
第十四條保險中介機構發生信息化突發事件的,應按照銀保監會信息化突發事件信息報告相關規定在24小時內向機構營業執照登記註冊地銀保監會派出機構報告信息。特別重大、可能造成嚴重社會影響的信息化突發事件發生後,保險中介機構應在30分鐘內電話報告相關信息、1小時內書面報告信息。
第十五條保險中介機構應使用正版軟件,禁止複製、傳播或使用非授權軟件。對本機構擁有自主知識產權的信息系統採取有效措施加以保護,切實提高軟件正版化意識和知識產權保護意識。
第十六條保險中介機構應主動跟蹤、研究、應用新興信息技術,在防範風險的前提下積極推進業務創新與服務創新,提升核心競爭力。
第三章信息系統
第十七條保險中介法人機構應根據業務規模和發展需要,建立相匹配的業務管理、財務管理和人員管理等信息系統,並符合以下要求:
(一)業務管理系統能夠記錄並管理業務協議、保險業務詳細情況、客戶信息、相關憑證和其他業務情況等。
(二)財務管理系統能夠記錄並管理財務總賬、科目明細賬、應收應付、會計報表、發票等。
(三)人員管理系統能夠記錄並管理保險中介從業人員的基本信息、入職離職、用工合同、執業登記、人力薪酬、培訓和獎懲等情況。
(四)業務管理、財務管理與人員管理系統的數據能夠匹配一致、相互驗證。
(五)通過技術手段實現與合作保險公司的系統互通、業務互聯、數據對接。
(六)能夠生成符合監管要求的數據文件,通過技術手段實現與保險中介監管相關信息系統的數據對接。
(七)能夠按照合作機構、分支機構、業務類別、業務渠道、險種、收支口徑、區域、時間等維度對機構經營情況進行彙總和分析。
(八)具備用戶權限管理功能,能夠按照不同角色爲用戶配置數據的增加、刪除、修改和查看權限。
(九)具備日誌管理功能,能夠記錄用戶操作行爲和操作時間。
(十)遵循國家標準化管理部門和銀保監會發布的相關行業標準和技術規範。
第十八條保險中介機構可採取自主開發、合作開發、定製開發、外包開發和購買雲服務等形式建設信息系統。
保險中介機構應充分認識和有效控制信息化建設相關的風險,不論以何種方式建設信息系統,保險中介機構均應遵守本辦法、承擔信息安全管理責任。
第十九條採用合作開發、定製開發、外包開發和購買雲服務等外包模式建設信息系統的,保險中介機構應識別和分析信息科技外包風險,加強對外包服務商的資質審查,加強對外包服務的風險管理,規範外包合同條款,明確外包範圍、責任邊界、安全保密和個人信息保護責任,採取有效手段保障數據和信息系統安全且持續可控。保險中介機構應提高自主研發能力,逐步降低對外包服務商的依賴。
第二十條保險中介機構應按照最少功能、最小權限原則合理確定信息系統訪問權限並定期檢查覈對,確保用戶權限與其工作職責相匹配。嚴格控制系統訪問權限,禁止未經授權查看、下載數據。嚴格控制通過系統後臺修改數據,確需修改的要做到事前批准、事中監控和事後留痕。
第二十一條保險中介機構應通過信息系統全面、準確、完整地記錄管理業務、財務和人員等情況,確保信息系統記錄管理的數據與真實業務經營情況一致。
保險中介機構應在各保險業務環節發生之日起3個工作日內,將業務明細數據錄入信息系統,如同時涉及財務、人員事項應同步完成財務和人員明細數據錄入。
第二十二條保險中介機構開展信息系統投產、變更或數據遷移等工作的,應組織風險評估,編制實施計劃,制定系統回退和應急處置方案,開展演練測試和培訓,審慎實施,並在實施完成後進行有效性驗證。
第四章信息安全
第二十三條保險中介機構應建立健全信息安全管理制度,部署實施邊界防護、病毒防護、入侵檢測、數據備份、災難恢復等信息安全措施,保障業務持續和數據安全。
第二十四條保險中介機構應按照國家網絡安全等級保護相關規定,合理確定信息系統的安全等級,並按照國家網絡安全等級保護相關標準進行防護,獲得相應的國家網絡安全等級保護認證。
第二十五條保險中介機構應對重要數據採取保護措施,保障數據在收集、存儲、傳輸、使用、提供、備份、恢復和銷燬等過程中的安全,合法使用數據,嚴防數據泄露、篡改和損毀,保障數據的完整性、保密性和可用性。
保險中介機構應採取可靠措施進行數據存儲和備份,定期開展備份數據恢復驗證。系統數據應至少保存五年,系統日誌應至少保存六個月。
第二十六條保險中介機構收集、處理和應用數據涉及到個人信息的,應遵循合法、正當、必要的原則,遵守國家相關法律、行政法規,符合與個人信息安全相關的國家標準。
未經允許或授權,保險中介機構不得收集與其提供的服務無關的個人信息;不得違反法律、行政法規和合同約定收集、使用、提供和處理個人信息;不得泄露、篡改個人信息。
第二十七條保險中介機構應加強對臺式計算機、便攜式計算機、智能手機、平板電腦、移動存儲介質等終端設備的管理,根據法律、行政法規要求和本機構網絡安全實際情況對終端設備選擇實施登錄控制、病毒防護、軟件安裝與卸載管理、移動存儲介質管理、固定資產管理、網絡准入、違規監測等安全措施。
第二十八條保險中介機構應經常開展信息化培訓、信息安全培訓和保密教育,與員工簽訂信息安全和保密協議,督促員工履行與其工作崗位相應的信息安全和保密職責。
第五章監督管理
第二十九條銀保監會在有效防範保險中介市場風險、維護信息安全的基礎上,建立健全符合保險中介行業發展特點的信息化監管機制,引導保險中介機構不斷提高信息化工作水平,推動保險公司與中介機構系統對接,營造透明、規範、高效的市場環境,促進保險中介行業高質量發展。
第三十條銀保監會負責制定保險中介機構信息化工作監管制度,授權各派出機構開展保險中介機構信息化工作日常監管、指導與檢查。
銀保監會及其派出機構應加強風險識別、評估和預警,合理分配資源,統籌監管聯動,有序開展監管工作。
第三十一條銀保監會及其派出機構應審查保險中介機構信息化工作。
保險中介機構信息化工作不符合本辦法要求的,視爲不符合《保險代理人監管規定》第七條、第十二條、第十八條,《保險經紀人監管規定》第七條、第十六條,《保險公估人監管規定》第十六條、第十八條等相關條件,不得經營保險中介業務。
第三十二條銀保監會及其派出機構重點對存在下列情形的保險中介機構進行信息化工作檢查:
(一)信息化工作存在重大安全隱患或不符合本辦法要求的。
(二)發生信息化突發事件的。
(三)違反銀保監會信息化突發事件信息報告相關規定的。
(四)對嚴重信息安全隱患未採取整改措施或整改不力的。
(五)惡意對信息系統或數據進行篡改、刪除或關閉,逃避監督檢查的。
(六)違規收集、使用、提供和處理個人信息或泄露、篡改個人信息的。
(七)向銀保監會及其派出機構報送數據、報表、報告,存在誤報、漏報、錯報、遲報等行爲的。
(八)銀保監會及其派出機構認爲有必要進行信息化工作檢查的其他情形。
第三十三條銀保監會及其派出機構依據法律、行政法規和相關規定,對違反本辦法的保險中介機構採取監管措施或實施行政處罰,並追究相關人員責任。
第六章附則
第三十四條保險中介機構應按照本辦法進行信息化工作自查,在本辦法實施之日起一年內完成整改。完成整改後,保險中介機構法人機構將信息化工作情況報告報送至機構營業執照登記註冊地銀保監會派出機構。
第三十五條本辦法由銀保監會負責解釋和修訂。
第三十六條本辦法自2021年2月1日起施行,《關於加強保險中介機構信息化建設的通知》(保監發〔2007〕28號)同時廢止。
