在当今数字化时代,个人信息的保护已成为各行各业亟待解决的重要问题。保险行业作为处理大量敏感个人信息的行业之一,面临着独特的挑战和责任。随着保险科技的快速发展和数字化转型的推进,个人信息的收集、存储和使用变得更加频繁和复杂,也更容易受到安全威胁。近日,在《中国银行保险报》的发起和支持下,德勤中国网络安全团队对保险业个人信息治理课题展开研究,并撰写发布《创变领航 坚韧致远:保险业个人信息治理破局新攻略》报告,探讨保险行业个人信息保护所面临的难点与挑战,提出应对策略与思考。
德勤中国网络安全服务合伙人何晓明表示:“报告从监管要求、治理体系、合规共享等方面对个人信息保护形势进行梳理,剖析保险行业中存在的难点与挑战。结合业内实践和先进经验,提出相关领域的见解,并给出相应的应对策略和推进方法。希望通过本报告的研究和分析,能够为保险行业在数字化转型时代的个人信息保护提供有益的参考和借鉴,助力保险机构更好地应对数字化转型时代的个人信息保护挑战,为保险行业相关从业人员提供有价值的信息与洞见。”
一、数字化转型时代下保险行业个人信息保护能力建设的难点与挑战
在可持续增长和业务创新的推动下,数字化转型技术将重塑保险行业的各个环节价值链,从而推动保险保障类型、产品内涵、业务模式和行业生态发生根本性的变革。这个过程会涉及大量个人信息加工和应用,而个人信息受到监管部门、保险机构以及数据主体的重点关注。如何构建一个既符合监管要求,又满足自身业务发展需求与响应数据主体权利诉求的个人信息保护体系,是整个保险行业面临的挑战。这需要保险行业从业人员深入思考探讨,并积极布局应对策略。
保险机构需要投入更多资源以跟踪监管趋势和变化,及时实现“外规内化”、满足自身防护能力要求。同时,保险机构需要在不断创新业务模式和技术应用过程中,确保落实防护能力要求、加强个人信息保护,避免因技术创新而引发新的合规风险。
随着保险科技的发展和保险业务场景的多元化,保险机构管理层次复杂、协同业务部门众多,个人信息保护面临更多挑战。构建一套能够贯通上下各组织层级、协同前后各业务环节的个人信息保护治理模式至关重要。在纵向贯通方面,保险机构需明确各层级的职责和权限,确保个人信息得到合规使用和管理;在横向协同方面,保险机构需构建跨职能、跨组织的协作机制,指导各部门开展个人信息保护相关活动。
为了在混业经营模式下实现个人信息数据安全流通和合规共享,不仅需要考虑保险机构自身的管理规范和技术措施,还需要提高对个人信息主体权力的关注度,确保在安全合规的前提下,实现个人数据要素的流通共享。
二、数字化转型背景下对保险行业个人信息保护能力建设的思考与应对
1. 外规内化,健全个人信息治理体系
面对强监管环境、保险行业的复杂业态以及保险机构自身内部治理及协同机制不完善的情况,保险机构应积极主动采取内外结合的应对措施提升个人信息保护管控水平。对机构内部需要建立明确的个人信息保护内部治理机制,并将监管要求进行内化;对监管、客户等外部需要统一对接归口,并建立透明的沟通机制。
2. 建章立制,体系化增强个人信息管理能力
完善分类分级管理制度,明确个人信息保护策略
(1)明确适用的个人信息分类分级标准;
(2)结合个人信息生命周期细化差异化的管理要求;
(3) 推动分类分级管理要求落地和持续改进。
落地个人信息安全影响评估(PIA),护航创新业务发展
(1)明确评估流程和责任方,设计有效评估工具;
(2)加强业务团队数据能力建设,推动业务部门主动触发所辖个人信息处理活动影响评估;
(3)建立个人信息处理活动台账,对风险问题完成整改追踪。
加强第三方数据合作安全评估,坚持个人信息管理责任不外包
共筑个人信息保护长城,加强个人信息处理第三方管理,明确职责划分。保险业经常面临多险企及第三方机构共同处理客户个人信息的场景,如未在合作过程中明确双方或多方主体性质、权利义务、违规责任承担等内容,一旦发生个人信息安全事件, 双方或多方之间的责任划分、赔偿分摊比例等问题将引发更多次生风险。
选择个人信息出境路由,释放跨境业务红利
(1)识别当地的个人信息出境要求和豁免条件,选择恰当的合规路径;
(2)评估数据出境安全风险;
(3)完成相应监管申报,并保持对监管动态的追踪和出境申报材料的更新。
3. 技术破局,强化个人信息安全合规利用
通过体系化建设个人信息保护技术能力,实现对个人信息全生命周期的安全性与完整性,同时也能有效保护个人隐私,确保数据处理与利用符合各种法规与合规性要求。报告对隐私增强、代理重加密、移动应用合规检测等技术如何应用到个人信息安全合规保护场景进行探讨,助力保险机构对个人信息技术体系的建设。
图:数据应用的价值与挑战
4. 动态持续追踪,增强运营韧性
保险机构在个人信息安全运营中同时面临着外部和内部的压力;外部压力包括个人信息主体权利响应、个人信息事件等;内部压力包括个人信息共享红线把控、个人信息安全共享要求满足等统筹安全和发展的压力。报告从个人信息主体权利响应、共享安全风险应对、安全运营机制等角度提出应对策略。
5. 盱衡全局,制定特定的推进策略
保险机构在制定个人信息保护应对策略时,需充分考虑内外部环境因素,结合法律法规、行业规定、技术发展以及公司自身的业务需求和风险状况,实施定制化的推进策略。为了方便保险机构根据特定需求和情况,从全局视角统筹个人信息保护策略,报告对个人信息保护总体策略给出构建模型。
图:个人信息保护模型
在数字化转型时代,如何建立与本机构相适应的个人信息治理、管理和技术框架,实现安全合规发展的目标是各保险机构的重要议题。这一目标的实现需要各机构充分理解自身禀赋,包括存量数据资源、技术架构支撑、科技管理模式、数据应用能力等,结合市场需求、业务发展需要、技术能力和风险管控能力,制定个人信息治理战略,层层分解,明确实施路径和发展路线图,明确优先任务,在安全合规的前提下,充分释放个人信息特殊数据要素的价值。
随着保险业务线上化、数字化、智能化的日益普遍,个人信息保护已成为保险行业的核心议题。考虑到不同机构在企业规模、业务模式、数字化成熟度等方面的差异,在个人信息保护方面面临的具体难点挑战和应对策略也会不同,德勤希望通过本报告为保险行业的相关从业人提供有价值的信息与洞见,共同促进行业发展。
点击文末“阅读原文”
获取完整报告
如您对报告内容感兴趣,或希望进一步深入交流,敬请联络:
韩国斌
德勤中国保险业风险咨询主管合伙人
电话:+86 755 3637 6998
电子邮件:ghan@deloitte.com.cn
何晓明
德勤中国网络安全服务合伙人
电话:+86 10 8512 5312
电子邮件:the@deloitte.com.cn
薛厂厂
德勤中国网络安全服务副总监
电话:+86 531 8165 1283
电子邮件:cxue@deloitte.com.cn
免责声明:
第三方机构如想转载德勤微信文章,请原文转载(不得修改)。如文章内容有改动,须在发布前获得德勤的审核批准。同时,请必须在文章内附以下信息及免责声明:
本通信中所含内容乃一般性信息,任何德勤有限公司、其成员所或它们的关联机构(统称为“德勤网络”)并不因此构成提供任何专业建议或服务。任何德勤网络内的机构均不对任何方因使用本通信而导致的任何损失承担责任。
点击“阅读原文”,下载报告全文。
