互联网保险监管细则关注网络安全

2015年7月18日，中国人民银行等十部委联合印发了《关于促进互联网金融健康发展的指导意见》，明确了“互联网保险业务由保监会负责监管”。7月23日，保监会出台了《互联网保险业务监管暂行办法》，这是十部委互联网金融指导意见后出台的第一部行业监管细则，自2015年10月1日起施行，施行期限为3年。《办法》对互联网保险的网络安全问题十分关注。

互联网保险发展迅猛

中国保险行业协会数据显示，2014年中国互联网渠道保费收入达858.9亿元，同比增长195%。互联网渠道保费收入占总保费收入的比例由2013年的1.7%增长至4.2%，对全行业保费增长的贡献率达到18.9%，同比提高8.2个百分点。2011年，在中国经营互联网保险业务的保险公司有28家，到了2014年就达到了85家，其中中资公司58家、外资公司27家。从2011到2014年，不仅经营互联网保险业务的保险公司增加了两倍多，互联网渠道保费规模更是提升了26倍。

互联网保险业务的经营者不仅是“触网”的传统保险机构，还有一些专业互联网保险公司。继2013年中国首家专业互联网保险公司众安保险成立后，今年又多了三家专业互联网保险公司。今年5月，保监会批准筹建易安财产保险股份有限公司、安心财产保险有限责任公司和泰康在线财产保险股份有限公司三家互联网保险公司，陆续下发了牌照。这三家公司获批的经营范围主要包括货运险、信用保证保险、意外险、健康险、家财险、企财险等。

网络安全问题获关注

保险行业天生是一个与风险打交道的行业，而随着互联网保险的快速发展，网络安全已经成为保险行业本身所要面对和应对的一个风险。行业监管者已经认识到了网络安全对互联网保险持久健康发展的重要性，在《办法》中花了大段笔墨来明确相关监管要求。

目前我国经营互联网保险业务的85家公司中，有69家公司建立了自营网络平台，有68家公司与第三方电子商务平台开展了深度合作，其中52家公司同时利用自营网络平台、第三方网络平台开展业务。《办法》将开展互联网保险业务的网络平台分为保险机构自营网络平台与第三方网络平台两种，分别就网络安全保障提出了具体要求。《办法》要求自营网络平台要“具有支持互联网保险业务运营的信息管理系统，实现与保险机构核心业务系统的无缝实时对接，并确保与保险机构内部其他应用系统的有效隔离，避免信息安全风险在保险机构内外部传递与蔓延”，此外还要“具有完善的防火墙、入侵检测、数据加密以及灾难恢复等互联网信息安全管理体系”。而针对第三方网络平台，《办法》则要求“具有安全可靠的互联网运营系统和信息安全管理体系，实现与保险机构应用系统的有效隔离，避免信息安全风险在保险机构内外部传递与蔓延”。

此外，《办法》第十七条还提到“保险机构应加强业务数据的安全管理，采取防火墙隔离、数据备份、故障恢复等技术手段，确保与互联网保险业务有关的交易数据和信息的安全、真实、准确、完整”，“保险机构应防范假冒网站、APP 应用等针对互联网保险的违法犯罪活动，检查网页上对外链接的可靠性，开辟专门渠道接受公众举报，发现问题后应立即采取防范措施，并及时向保监会报告”。

加强客户信息保护

对很多企业而言，保护网络安全很大程度上就是保护客户信息安全。客户信息安全受到的威胁不仅来自网络故障、网络攻击，还来自企业本身对信息的不规范使用。客户信息数据是保险机构的重要资源，但这并不意味着保险机构能随便使用客户信息。在大数据时代，客户信息数据成为各行企业的一块宝藏。一些企业希望通过对客户信息价值的再挖掘、再利用，拓展其他业务，提升收益。企业这一思路本身无可厚非，但需要事先让客户了解到自己的信息将被用于什么，只有征得用户同意才能使用。

《办法》提出了明确要求，“保险机构应加强客户信息管理，确保客户资料信息真实有效，保证信息采集、处理及使用的安全性和合法性。对开展互联网保险业务过程中收集的客户信息，保险机构应严格保密，不得泄露，未经客户同意，不得将客户信息用于所提供服务之外的目的”。对于发生交易数据丢失或客户信息泄露，造成不良后果的保险机构，保监会可以责令其整改；情节严重的，依法予以行政处罚。