一、背景介绍
保险机构金融机构的重要组成部分,是国家层面的重要基础设施,承担着融通资金、服务实体经济、防范金融风险和服务大众的重要作用,是关乎国计民生的重要行业领域。保险科技的快速发展改变了原有保险行业的业务模式,从原有的电子化模式向移动化、便利化和智能化方向创新发展,创造了移动展业、互联网保险等新模式。保险科技也是一种集约化的业务模式,通过打通保险机构内部系统流程,简化业务流程,提升运营效率,降低了服务成本,结合大数据和运营推广,进一步扩大了用户范围,创造了更多的商业价值。
传统保险机构朝着数字化转型的同时,越来越多的主体参与到我国金融保险科技行业当中。互联网企业凭借技术积累在金融科技领域频频发力,同时大量传统企业如联通、国美、苏宁等,通过大量的用户数据积累和零售环节,积极开拓消费金融市场。
快速的技术发展和大量的参与者,放大了我国保险业的网络信息安全风险,也影响着整个金融行业乃至整个社会的稳定。
科技与网络信息安全风险相伴相生的,随着技术的发展与演进也会不断引入新的风险。而应对风险最有效的途径就是风险的管理。自1994年我国发布《中华人民共和国计算机信息系统安全保护条例》以来,我国就已经步入了网络信息安全立法的阶段,现已形成宪法、法律、法规、行政部门规章、司法解释和行业自律守则等多层面的信息安全法律体系。作为强监管的金融行业,一方面要接受来自主管单位如中央人民银行、银行保险监督管理委员会的监管,另一方面还要接受公安部和工信部等其他行政部门的约束。
为更有效地满足保险科技网络信息安全的监管要求,笔者通过梳理和分析我国保险科技网络信息安全的法律法规和监管规定,提出保险机构在网络信息安全领域所面临的合规风险,结合国家信息安全标准,供保险机构日常管理与运维工作参考之用,以便从安全管理战略、人员组织架构、文化与意识、流程与机制、架构与技术五位一体寻找保险机构网络信息安全监管合规路径。
二、2021年度金融科技相关重要法规及政策
2021年是“十四五”开局之年,在愈加复杂多变的安全环境下,国家从立法层面持续提升全社会对网络安全的关注与重视程度,密集颁布多项网络安全相关法律法规,同时,各行业、各地区紧锣密鼓出台与之配套的落地实施条例及政策性文件,体现出把安全发展贯穿于国家发展各领域和全过程的决心。以下梳理总结出2021年发布的金融相关网络安全相关重要法规及政策,以供参考。
(一)重磅及网络安全政策法规
1.《中华人民共和国数据安全法》
2021年9月1日起实施全国人大常委会发布的《中华人民共和国数据安全法》。确立数据分类分级管理,数据安全审查,数据安全风险评估、监测预警和应急处置等基本制度;明确相关主体依法依规开展数据活动,建立健全数据安全管理制度,加强风险监测和及时处置数据安全事件等义务和责任,通过严格规范数据处理活动,切实加强数据安全保护。
《数据安全法》的施行,对于整个行业的推动性作用极为明显,众多安全厂商纷纷加码数据安全,一些原本更为垂直的非数据安全企业,也开始基于自身能力开始介入该领域,而近两年所诞生的新兴安全企业当中有不少都是专注于数据安全中的各个细分领域。与此同时,数据安全领域在产投方面的表现也持续活跃,在网络安全产业相关的全年投资事件中,与数据安全领域相关的占比接近18%,在细分领域事件数量排名中位居第一。
2.《中华人民共和国个人信息保护法》
2021年11月1日起实施全国人大常委会发布的《中华人民共和国个人信息保护法》。建立以“告知—同意”为核心的个人信息处理规则,全面规制个人信息处理各环节、全流程;明确个人信息处理活动中的个人权利;强化个人信息处理者的保护义务;完善社会热议的敏感个人信息采集、大数据杀熟、个人信息跨境流动、未成年人信息保护、大型网络平台义务、国家机关处理个人信息等相关制度;明确网络身份认证公共服务。
3.《关键信息基础设施安全保护条例》
2021年9月1日起实施国务院发布《关键信息基础设施安全保护条例》。明确重点行业和领域重要网络设施、信息系统属于关基设施,国家对关基设施实行重点保护,采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关基设施免受攻击、侵入、干扰和破坏,依法惩治违法犯罪活动。强化和落实关基设施运营者主体责任。
4.《网络安全审查办法》
2021年12月28日国家网信办、国家发改委、工信部等13部门印发了《网络安全审查办法》。将网络平台运营者开展数据处理活动影响或可能影响国家安全等情形纳入网络安全审查,明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。并新增《数据安全法》规定处理。
5.《网络产品安全漏洞管理规定》
2021年9月1日起实施工信部、国家网信办、公安部发布的《网络产品安全漏洞管理规定》。网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。对于从事漏洞发现、收集、发布等活动的组织和个人,明确其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。
6.《党委(党组)网络安全工作责任制实施办法》
2021年8月4日中共中央办公厅发布《党委(党组)网络安全工作责任制实施办法》。这是《中国共产党党内法规体系》唯一收录的网络安全领域的党内法规。按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
7.《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》
2021年7月12日工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》。到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。一批网络安全关键核心技术实现突破,达到先进水平。新兴技术与网络安全融合创新明显加快,网络安全产品、服务创新能力进一步增强。
(二)数据安全及个人信息保护方面相关政策
1.《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》
2021年12月22日工信部发布《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》。风险信息报送指有关单位向工信部、地方工信主管部门、地方通管局报送数据安全风险信息的行为;风险信息共享指经上述部门审核、授权后,向有关单位告知风险提示的行为;风险信息报送与共享工作坚持“及时、客观、准确、真实、完整”原则,不得迟报、瞒报、谎报。
2.《网络数据安全管理条例(征求意见稿)》
2021年11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》。国家建立数据分类分级保护制度,数据处理者按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,对一般数据、重要数据、核心数据等不同级别的数据采取不同的保护措施。
3.《关于开展信息通信服务感知提升行动的通知》
2021年11月1日,工信部发布《关于开展信息通信服务感知提升行动的通知》。建立个人信息保护“双清单”(已收集个人信息清单、与第三方共享个人信息清单),推动实现服务举措优化,实现服务能力提升。
4.《数据出境安全评估办法(征求意见稿)》
2021年10月29日,国家网信办发布《数据出境安全评估办法(征求意见稿)》。数据处理者向境外提供数据,符合以下情形之一的:关基设施收集和产生的个人信息和重要数据、出境数据中包含重要数据、处理个人信息达到一百万人的个人信息处理者向境外提供个人信息、累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
5.《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》
2021年8月21日,最高检印发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》。要求从严把握以下方面:生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护;儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护;教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护;对因时间、空间等联结形成的特定对象的个人信息加强精准保护。
6.《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
2021年7月28日,最高法发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。从人格权和侵权责任角度明确滥用人脸识别技术处理人脸信息行为的性质和责任。
7.《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
2021年4月26日,工信部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。确立“知情同意”“最小必要”两项重要原则;细化App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出投诉举报、监督检查、处置措施、风险提示四方面规范要求。
8.《常见类型移动互联网应用程序必要个人信息范围规定》
2021年3月12日,国家网信办、工信部等四部门发布《常见类型移动互联网应用程序必要个人信息范围规定》,5月1日实施。明确地图导航、网约车、即时通信、网络购物等39类常见App必要个人信息范围,不得因用户不同意收集非必要的个人信息,而拒绝用户使用App基本功能服务。
9.《互联网信息服务管理办法(修订草案征求意见稿)》
2021年1月8日,国家网信办发布《互联网信息服务管理办法(修订草案征求意见稿)》。要求互联网信息服务提供者、互联网网络接入服务提供者建立安全管理制度、用户信息保护制度,采取安全防范措施,加强公共信息巡查,防止所收集、使用的身份信息、日志信息泄漏、毁损、丢失。
(三)金融领域网络安全相关政策
1.《关于加强支付受理终端及相关业务管理的通知》
2021年10月12日,央行发布《关于加强支付受理终端及相关业务管理的通知》。要求银行、支付机构、清算机构建立交易信息分类分级管理规则,采取必要安全技术措施确保交易信息安全,防止交易信息泄露、被篡改或丢失。
2.《关于做好小微企业银行账户优化服务和风险防控工作的指导意见》
2021年10月9日,央行发布《关于做好小微企业银行账户优化服务和风险防控工作的指导意见》。要求强化账户全生命周期管理,建立账户分类分级管理体系。建立健全小微企业银行账户事前事中事后全生命周期管理机制。
3.《系统重要性银行附加监管规定(试行)》
2021年9月30日,央行、银保监会发布《系统重要性银行附加监管规定(试行)》,12月1日实施。要求系统重要性银行应当全面梳理经营管理中的风险领域和薄弱环节,建立覆盖所有实质性风险领域的风险数据加总和风险报告体系。
4.《关于规范金融业开源技术应用与发展的意见》
2021年9月28日,央行、中央网信办等五部门颁发《关于规范金融业开源技术应用与发展的意见》。要求金融机构在使用开源技术时,遵循“安全可控、合规使用、问题导向、开放创新”等原则,鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等。
5.《征信业务管理办法》
2021年9月27日,央行审议通过《征信业务管理办法》,2022年1月1日实施。规定征信机构应当制定涉及所有业务活动和设备设施的安全管理制度,采集信用信息遵循“最少必要”原则,并对信用信息整理、保存、加工及提供、使用作出详细规定。
6.《非银行支付机构重大事项报告管理办法》
2021年7月23日,央行发布《非银行支付机构重大事项报告管理办法》。要求支付机构发生风险事件或者突发情况的,应当按照央行相关规定和本办法的要求及时报告。事后报告事项分为一类事项和二类事项。
7.《中国银保监会监管数据安全管理办法(试行)》
2021年1月15日,银保监会发布《中国银保监会监管数据安全管理办法(试行)》。明确监管数据安全管理实行归口管理,以及监管数据采集、存储和加工处理的要求,并要求定期开展自查,发现监管数据安全缺陷、漏洞等风险时,应立即采取补救措施。
8.《保险中介机构信息化工作监管办法》
2021年1月5日,银保监会发布《保险中介机构信息化工作监管办法》。规定保险中介机构合理确定信息系统的安全等级,按照国家网络安全等级保护相关标准进行防护,部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施。
(四)各省市密集出台数据条例
全国各省、市已经正式颁布相关数据条例如下:
1.江苏出台主要面向公共数据领域的公共数据管理办法。
2.深圳和上海出台涉及公共数据及个人数据的数据条例。
3.浙江、广东出台的为数字经济条例。《浙江省数字经济促进条例》首次将数字经济领域的相关基础性概念上升为法律概念,聚焦数字基础设施、数据资源两大支撑和数字产业化、产业数字化、治理数字化三大重点;而《广东省数字经济促进条例》聚焦“数字产业化、产业数字化”两大核心,突出制造业数字化转型,做好数据资源开发利用保护和技术创新。
4.福建、山东、安徽、吉林、山西、海南、天津、贵州出台面向公共数据领域的大数据条例。
(未完待续)