手机看中经经济日报微信中经网微信

保单个人信息去哪儿了?

2016年12月30日 07:05   来源:中国经济网-《经济日报》   李晨阳

  ▲ 互联网技术迅猛发展的同时,大数据所蕴含的商业价值也得到广泛认可,保险客户的个人信息被非法获取、买卖早已成为公开的秘密

  ▲ 针对保险消费者个人隐私保护问题,需要建立严格的数据审核、批准程序,加强对大数据滥用、侵犯个人隐私等行为的管理和惩戒

  “先生您好,您之前购买的某款保险马上就要到期了,我们现在向您推荐一个险种,特别适合您……”这类保险推销电话相信不少人都接到过,可是,每次听到电话那头的陌生人准确无误地说出自己的个人信息以及此前的投保记录时,您是否感到种种疑惑和不安?消费者个人信息和投保记录为何被其他人知晓?究竟是谁、通过何种方式泄露了保单个人信息?

  多环节存在泄露问题

  家住北京市朝阳区的张先生告诉记者,自己一年前买了一辆汽车,买车时在4S店投保了交强险、第三者责任保险和车辆损失险等险种,现在只剩两个月即满保障期限,之后需要重新购买。就这期间,张先生接到多个保险公司的推销电话,推销人员对张先生的姓名、身份证号码和车牌号码等个人信息和投保时间了如指掌,这让张先生不得不怀疑自己的保单信息遭到泄露。

  无独有偶,记者在采访中发现,与张先生有着相同遭遇的人不在少数。一位资深保险从业人员向记者坦言,客户在整个投保过程中,很多环节有可能发生信息泄露。比如,客户在购置一辆新车时,第一次购买各类保险都要通过4S店来完成投保,一些车商会把很多客户投保资料“打包”卖出;一旦车辆损坏需要修理,汽修厂也有机会拿到客户的保单信息;另外,保险公司的系统还可能被黑客入侵,客户信息被盗出,然后被卖出获利。

  记者在一家4S店询问店内保险代销人员,是否对客户信息进行妥善保管时,该人员表示,“客户的投保信息公司都会进行统一存档,但是不排除有些工作人员离职时私自把信息复制一份带走的情况。另外,有时公司系统存在被黑客入侵的情况,也造成客户信息泄露”。

  非法买卖成行业顽疾

  信息保护形势不容乐观。早前就有国内某大型保险公司身陷“泄露门”,该公司在系统功能升级中存在漏洞,致使大约80万份保单信息包括险种、手机号、身份证号、密码等可公开下载。此后不久,有多家保险公司被曝系统存在问题,数千万客户的信息面临泄露风险。

  目前,客户信息泄露已经成为行业顽疾,风险不容小觑。据补天平台(漏洞响应平台,帮助企业避免因安全漏洞遭受损失)最近的数据显示,某寿险公司的核心业务系统和保单系统存在漏洞;另有某保险公司数百万保单记录和支付信息被爆有泄露风险;还有某互联网保险公司网站因源码问题,公司数据库能够被直接访问,大量敏感信息伴随盗出风险。

  据记者了解,这些通过非法手段获取的客户投保信息,在网络上或通过其他非法渠道被廉价打包卖出,包括客户的车险、寿险和万能险等信息,1万条信息卖价约为500元。而有业内人士表示,在背靠互联网时代的今天,大数据所蕴含的商业价值越来越大,保险客户的个人信息被非法获取、买卖也早已成为公开的秘密。

  在互联网保险飞速发展,投保变得更加方便快捷的同时,对险企如何保证客户信息安全提出全新的挑战。数据显示,“十二五”期间,互联网保费规模从2011年的32亿元飙升至2015年的2234亿元,增长了约69.81倍,在保险业总保费中的比重从0.2%攀升至9.2%。

  去年10月,保监会就下发了《保险机构信息化监管规定(征求意见稿)》(以下简称《意见稿》)规定,要求保险机构设立由董事会直接领导管理下的信息化工作委员会来防范和化解新技术风险,切实维护保险业信息安全。

  保险机构信息化是指保险机构将计算机、通信、网络等现代信息技术,应用于业务交易处理、经营管理和内部控制等方面。“目前,各家险企均借助互联网技术来革新原有的经营模式,但支撑互联网保险发展的大数据、云计算等新技术发展还不成熟。”业内人士认为。

  多管齐下保障信息安全

  早在2015年,人民银行等十部门就发布了《关于促进互联网金融健康发展的指导意见》,其中要求保险公司开展互联网保险业务,应遵循安全性、保密性和稳定性原则,加强风险管理,完善内控系统,确保交易安全、信息安全和资金安全。

  “网络漏洞可以通过安全编程的方法来降低漏洞发生概率,同时要做好及时修复。”360安全专家表示,提升网络管理人员的安全意识,强化口令,防止内部系统被黑客轻易攻破。

  中国保险信息技术管理有限责任公司董事长吴晓军认为,针对大数据时代保险消费者个人隐私保护问题,需要建立严格的数据审核、批准程序,引入安全审计和安全威慑手段,加强对大数据滥用、侵犯个人隐私等行为的管理和惩戒,防止保险消费者个人隐私的随意泄露。

  也有市场人士认为,险企要抓紧完善风险体系、建立追踪和应急机制,全方位加强保单管理,实现数据资源采集、传输、利用等全流程的规范管理。

  在保障客户信息安全方面,英大泰和财险公司相关负责人在接受《经济日报》记者采访时表示:“公司系统上线之前都必须经过安全测评,要求账号权限三分立;系统上线后,数据提取、修改都需要审批流程。其中,数据库审计要保证每一笔操作都能监控,同时根据库表的级别程度设置不同的审计策略,防止客户信息泄露。”

  当记者问到,如果发现公司内部人员泄露和倒卖客户信息会如何处理时,该负责人说:“保监会要求我们应立即开除,情节严重的,还应移交司法机关。”(经济日报记者  李晨阳)

(责任编辑:梁靖雪)