來源：藍鯨財經

　　信息安全成為近日關注熱點，在數字化時代，除違法違規使用和收集用戶信息外，因數據管理存在疏漏和導致用戶信息泄露的事件同樣值得關注與警惕。聚焦于保險業，對于手握大量用戶個人身份信息、資金支付信息以及健康、習慣等數據的保險機構而言，保護用戶信息尤為關鍵。而在近期，南非保險服務商QSure、法國安盛保險機構接連陷入信息泄露事件，值得行業機構加強警惕。

　　專家向藍鯨保險介紹，我國保險業目前數據安全性環境存在明顯不足，缺乏專門制度與規范，且機構管理意識不強，存在制度缺失或執行力有限的情況。在此基礎上，建議保險機構在多個環節加強管理，專人專責，同時對數據進行分級管理，實行脫敏技術加工，并限制訪問權限。據保險業內人士介紹，當前數字化轉型的背景下，保險數據保護，需要實時查漏補缺，并重視技術應用及創新。

　　保險數據屢遭攻擊，數據流失導致資源、利益流失

　　就在近日，南非保險服務商QSure卷入一起數據泄露事件，據了解，QSure是一家與保險公司、保險中介公司等機構的合作伙伴，通過定制的專業收款和支付服務為保險公司提供助力，為南非250余家中介機構服務。

　　據媒體報道，QSure用戶銀行賬戶信息等敏感信息被第三方盜取，QSure相關負責人回應，“這些數據涉及QSure的投保人，包括銀行信息，僅限于賬戶持有人姓名、銀行賬戶號碼和銀行分行代碼。QSure數據庫中沒有保存投保人的身份號碼、信用卡信息、任何形式的聯系方式或保單內容，因此不可能受到影響”。

　　期間，在發現服務器異常活動后，QSure對外部連接進行暫停，隨后在受保護的環境中恢復運作，同時尋求網絡安全公司協助調查。同時，其合作的保險公司Hollard提醒，如果網絡犯罪分子利用被泄露的數據，會導致欺詐與身份盜竊的風險增加。

　　無獨有偶，今年5月，法國安盛保險公司聲明，其在亞洲的運營遭勒索軟件攻擊，造成安盛在泰國的下屬機構Inter Partners Asia處理的部分數據泄露。2020年末，瑞典最大的保險公司Folksam證實，其在一次內部審計中，發現與數字合作伙伴共享了近百萬客戶的個人信息，這些信息在社交媒體上泄露。

　　對于保險機構而言，掌握著大量投保人個人身份信息、支付信息、健康數據、保單記錄等，涉及消費者個人隱私及財產安全。監管也在數度強調信息安全重要性，根據《保險法》等法規文件，保險機構對在辦理保險業務中獲取的投保人、被保險人、受益人的業務和財產情況及個人隱私，負有保密義務。

　　“現代經濟正在快速數字化，數據往往就意味著經濟利益，非法獲取和買賣數據現象越來越嚴重，數據流失意味著資源與利益的流失”，首都經貿大學保險系副主任李文中向藍鯨保險分析道。同時他提出，“隨著消費者自我保護意識的提升，保險公司加強消費者隱私保護一方面有利于維護客戶之間的良好關系；另一方面可以防止公司陷入法律風險之中。再次，海量保險數據不僅涉及保險公司的利益、消費者的個人隱私，還會涉及國家安全。因此，搭建防火墻非常必要且緊迫”。

　　“保險機構對于用戶隱私數據都非常重視”，一位保險中介機構相關負責人從保險機構立場向藍鯨保險表示，“一方面源自于監管要求，另一方面，則是因為數據保密是客戶與保險主體構建信任的關鍵，一旦發生數據泄露事件，無論是因為內控問題或是遭受攻擊，都會導致用戶對保險機構的信任缺失，造成難以挽回的影響”。

　　保險業數據安全環境仍存不足，機構應將數據安全管理提至戰略高度

　　多年前，我國保險機構曾暴露過數起客戶信息泄露風險，2013年，某保險公司近80萬份保單信息可在其合作公司網站中公開查詢；2015年，補天漏洞平臺白帽子提交了一份關于某保險公司存在數據泄漏風險的漏洞信息，涉及數據包括客戶身份證、銀行卡號等敏感信息以及保險公司與其他機構合作的金額、開戶公司、內部業務人員賬號密碼等相關機密。

　　盡管近年來我國保險業未有大型數據安全風險暴露，但關于“保險公司泄露個人身份信息及聯系方式”“醫療數據、駕駛行為習慣數據的獲取與保護”等爭議始終存在。

　　“我國保險業的數據安全環境存在明顯不足”，李文中向藍鯨保險分析指出，“首先，缺少保險數據安全管理方面的專門法律制度和管理規范；其次，保險機構數據安全管理意識不強，制度缺失或者雖有制度但往往流于形式”。

　　當前，銀保監會正在法規中強調數據安全的重要性，細化規則，填補漏洞。如在今年發布的《保險中介機構信息化工作監管辦法中》，也明確要求，保險中介機構在信息化工作方面應與關聯企業有效隔離，不得違規泄露數據信息。

　　一方面，需要監管夯實，另一方面，需要保險機構繼續強化數據安全管理，李文中建議，保險機構應將保險數據安全管理提升至戰略高度。“保險機構應當建立數據安全管理制度，強化相關人員的法律責任，具體應從以下環節加強管理：首先，保險公司需要在數據錄入、存儲、復制、傳輸等環節加強管理，既要采用技術手段防數據泄漏，又要安排專門人員分別負責相關工作。其次，保險公司需要對所有數據進行分級管理，一方面對某些數據進行脫敏技術加工，另一方面授予不同級別人員不同的訪問權限”。

　　據藍鯨保險了解，近年來，諸多保險機構正在強化數據安全管理建設的執行，以某家互聯網保險公司為例，其數據安全體系的建設主要采取安全管理和安全技術防控并重的方式，數據安全管理方面配備數據安全管理矩陣，從能力、場景和管理執行三個維度建設安全管理；技術方面，從技術架構維度，包括網絡層、終端層、基礎設施層、業務應用等層次進行分級分類控制，并引入技術進行識別、保護、檢測、響應及處理。

　　某保險集團，根據大數據平臺的部署架構，在資源、鑒權、認證、接入、網絡五個層面進行安全體系的建設。其中包括接入層跳板機機制，大數據平臺和接入層跳板機皆采用雙網卡形式鏈接，平臺內部通過私網（萬兆網卡）鏈接。外部無法直接訪問私網，須通過接入層跳板機進行訪問。

　　“數據保護是復雜且需要持續完善、加固的工作”，一位保險科技業內人士向藍鯨保險表示，經過近年來的建設，保險公司、保險中介機構以及第三方平臺均已經搭建相對牢固的管理體系和制度，但在行業數字化轉型、科技發展迅速的背景下，需要機構時時查漏補缺，而最優狀態是實現安全左移，探索、創新新技術，預判并執行安全風險和漏洞控制，扎牢數據保護的籬笆”。

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：張玫