《保险公司个人信息保护内部审计实践探究.docx》由会员分享,可在线阅读,更多相关《保险公司个人信息保护内部审计实践探究.docx(12页珍藏版)》请在第壹文秘上搜索。
1、保险公司个人信息保护内部审计实践探究摘要本文从保险公司内部审计视角出发,对个人信息保护内部审计内容和方法进行了探讨,同时介绍了部分审计实践案例,内部审计部门充分发挥建设性作用,促进保险公司进一步强化个人信息保护管理、防范个人信息泄露风险,也为其他保险公司个人信息保护的审计实务工作提供了借鉴。关键词保险公司个人信息保护内部审计一、保险公司个人信息保护审计的必要性根据国家监管要求,保险公司作为重要的个人信息持有者、处理者,定期开展个人信息保护合规审计,已成为一项法定事项。内部审计应及时关注公司在个人信息保护领域存在的风险隐患和管控疏漏,更好地利用大数据分析等数字化手段开展个人信息保护内部审计工作,
2、确保审计覆盖个人信息处理活动全生命周期流程的各个阶段,推动保险公司个人信息保护水平提升。二、保险公司个人信息保护审计的内容与方法围绕客户个人信息保护的制度建设、权限管理、采集存储、使用处理及调用、外部合作等环节,检查公司落实客户个人数据全生命周期的各项安全管理要求等情况,重点关注是否存在信息系统管控漏洞,是否发生重大泄露、篡改、丢失个人信息的案件,是否造成公司重大损失。(一)制度建设关注制度体系的健全性,是否建立客户个人信息安全管理工作机制,是否建立和完善客户个人数据统一管理制度、客户信息管理的技术规范及标准,是否完善并细化涉及客户个人信息岗位的职责和管理流程。1 .获取被审计机构关于个人信息
3、保护方面的领导机构、管理制度、实施细则、操作流程、岗位说明书等文件,了解被审计机构个人信息保护工作机制建立情况,管理制度中的内容是否符合监管部门有关个人信息保护及公司制度的相关要求。根据上述文件资料,核查是否按规定完善并细化相关制度条款,流程是否具备可操作性,机构和部门是否明确规定客户信息安全相关岗位的管理责任和技术实施标准,对应的岗位说明书内容是否符合监管和公司要求。2 .访谈相关人员,了解被审计机构个人信息保护工作具体开展情况,是否按规定配备相关岗位人员,工作流程是否存在疏漏环节,是否按照规定开展相关培训等,相关人员对公司客户信息安全等管理制度是否清楚,执行过程中是否遇到问题或者存在制度内
4、容无法执行的情形。根据访谈情况,抽查被审计机构个人信息保护工作过程的培训、协议等相关资料,核对是否符合监管要求和公司制度要求,核查个人信息保护岗位工作人员的工作是否符合岗位说明书的要求,是否按照操作流程开展工作。(二)权限管理关注权限管理的有效性,是否明确涉及客户信息系统权限的申请资格、授权规则及管控机制;是否加强客户信息管理及使用的权限设置;涉及客户信息的用户权限是否经授权审批,权限范围是否超出其工作职责范围;授权人员是否将权限移交他人使用,发生岗位变动或离职的,其权限是否及时收回;系统对使用记录是否留痕存档。1 .向公司IT、应用系统管理部门了解涉及客户信息的系统情况,公司对系统用户权限的
5、申请资格、管控流程和授权规则等是否有明确标准,系统用户权限是否存在未经账号权限管理系统进行授权审批的情况,经系统授权审批的用户权限是否符合公司授权管理制度要求,系统对客户信息的使用、导出等操作记录是否留痕存档以便于核查追溯。2 .获取涉及客户信息系统的用户权限清单,调取相应权限申请记录,核查申请权限审批记录是否符合公司相关要求。调取相应人员工作岗位职责表,结合系统权限清单,核查其权限范围是否超出其工作职责范围。3 .获取审计期间离职、岗位变动及轮岗人员清单,与系统用户权限清单比对,核查涉及客户信息系统用户权限的离职或岗位变动、轮岗人员是否办理交接手续,其系统权限是否进行及时清理,人员离岗后其系
6、统账号是否仍有登录、查询、操作等记录。4 .现场实地检查员工办公电脑,查看是否按要求安装数据防泄漏软件,是否私自安装具有存储、传输功能的相关软件,是否保存客户敏感信息的数据电子清单。查看账户登录信息,是否存在擅自将工号授权他人使用,使用的系统和应用模块是否涉及客户信息泄露等。(三)采集与存储关注客户信息采集的规范性,是否向客户明确告知并取得客户的有效授权,是否设置客户撤回授权的通道;是否超出业务办理所必需的范围,是否通过非法途径或非合规途径采集客户信思;通过网络运营平台采集信息时,是否与客户签署隐私条款,是否以默认授权、功能捆绑等形式强迫、误导客户同意收集其个人信息。关注客户信息存储的真实性和
7、完整性,是否存在个人信息被泄露、篡改、毁损或挪作他用等情况;是否根据信息字段的敏感性进行相应的权限管理和系统加密处理;是否建立客户信息纸质档案的审批、调用制度;是否擅自修改客户信息。1 .核查公司官网、官微、APP等销售平台披露的隐私内容,是否包含采集信息时需向客户明确告知的使用目的、方式、范围、保存期限及到期后处理等规则,是否与客户签署隐私条款并获得客户的有效授权,是否设置客户撤回授权的便利通道。测试上述平台的信息采集与存储环节,是否明确告知客户采集、使用、处理等事项,是否为客户提供查询、更正、删除个人信息的途径和方法,采集的信息是否为办理业务所必需,是否存在过度收集客户信息等情况。2 .获
8、取格式化保险合同、投保单及保全、理赔业务办理申请表等纸质资料,核查是否包含无法选择的不合理授权条款,是否存在强制客户同意将其信息用于与所办理业务无关的用途或故意模糊授权事项范围等,是否以默认授权等形式误导客户同意收集其个人信息。3 .访谈公司业务员,了解其日常开展客户经营活动或面访客户等情况,在获取客户信息时,是否告知客户个人信息的使用用途,公司对业务员获取的信息是否采取适当措施确保客户信息安全,防止出现客户信息被泄露的风险。4 .现场对涉及客户信息的系统进行穿行测试,从查询显示、复制粘贴、导出保存等环节核查系统存储功能,核查系统是否对敏感信息字段进行相应权限管理和加密处理;对涉及客户信息的关
9、键岗位人员,抽查其电脑存储资料,查看客户信息是否得到必要的加密处理,是否违规收集客户信息、违规保存客户关键信息的电子资料。5 .核查客户信息的纸质档案是否严格保管并建立调用审批流程,调用记录是否登记造册;到办公场所开展突击检查,包含客户信息的申请表、提示书、投保单、合同协议等纸质业务材料是否按照档案管理要求统一装订、锁柜保管;是否存在已填写的纸质材料由业务员私自保存且长期未上交等情况。6 .向IT部门了解公司的日常监控措施,对于客户信息存储到系统后,是否存在未经授权或审批擅自修改客户信息等情况,是否开展定期或不定期的自查或抽查;了解公司对办公电脑等设备的管理流程,在维修或报废处理时,是否安排专
10、人对具有存储功能的硬盘进行统一处理,是否存在将电脑及硬盘直接交于第三方销毁等情况。(四)使用处理及调用关注客户信息使用和处理的规范性,处理前是否向客户告知相关处理事项;是否未经同意公开客户个人信息,或将客户信息用于其他用途;处理未成年人信息前是否取得其监护人同意;利用个人信息进行自动化决策时,对客户在交易价格等交易条件上是否实行不合理的差别待遇;在进行信息推送、商业营销时是否向客户提供便捷的拒绝方式。关注客户信息调用的合规性,在客户数据导出时是否经合理授权及审批,是否采取去标识化处理客户信息,重要信息是否经脱敏处理,是否采用不安全的存储设备进行拷贝;是否未经审批私自打印、复制客户信息,是否擅自
11、对外发布或外传客户信息;是否明确客户信息的使用时限,超过使用时限的客户数据是否及时回收或销毁。1 .了解公司在处理客户个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向客户告知个人信息处理的目的、方式、期限、范围等事项,是否取得客户同意,涉及不满14周岁未成年人个人信息的,是否取得其监护人的同意。调取保全、理赔等业务处理清单,获取相应申请资料,核查代办业务是否获得客户授权,是否存在未经客户同意的情况下,擅自办理业务或冒充客户办理业务等。2 .获取公司各类保险产品的保费明细清单,核查是否存在同类产品保费不同的情况,如存在需进一步核实原因;是否存在通过大数据、人工智能等技术进行精准营销
12、获客、自动化推送决策、算法杀熟等情况;在进行信息推送、商业营销时,是否向客户提供了便捷的拒绝方式。3 .访谈公司相关人员,在开展续期收费、高端客户经营、质押贷款逾期催收等营销服务、客户服务活动时,从系统调用的客户信息是否经公司审批,重要信息的传输方式及终端是否经公司授权;公司是否存在与第三方机构或个人传输客户个人信息等情况,如存在需进一步了解是否向客户告知具体的共享信息内容、传输目的及共享信息的第三方名称,是否获得客户同意,传输的个人信息是否采取去标识化处理;公司使用客户信息时是否明确使用期限,超出使用期限的客户数据是否及时回收或销毁。4 .现场测试数据防泄漏系统,在进行客户数据的网络传输、硬
13、盘拷贝时,系统是否有拦截报警功能,是否针对导出数据等行为设置审批及授权程序;获取数据防泄漏监控日志清单,根据文档名称以及数据防泄漏类型,核查是否存在涉及个人客户信息电子资料被导出或拷贝等情况,如存在需筛选对应的账户工号,进一步了解其操作目的以及是否存在泄露情况。5 .现场对通过界面展示客户信息的系统进行穿行测试,除日常业务查询模块外,是否存在数据导出、下载、保存等模块,相关系统是否对其展示的客户敏感信息进行去标识化处理;重要客户数据是否可以通过网络邮箱、移动硬盘等进行网络传输、设备存储等;系统是否对复制、打印客户信息进行限制。6 .提取保全代办业务、理赔报案明细清单,筛选代办人较为集中的保全业
14、务数据,筛选报案人与被保险人关系为公司雇员、业务员的报案清单,调取对应申请资料,结合电话回访核查对应业务是否获得客户授权,是否存在未经客户同意擅自修改、篡改客户信息等情况。7 .调取投诉清单,结合投诉内容,核查是否存在以产品升级、提升服务体验等为由,要求客户提供身份证号码等个人信息的相关投诉,如存在需进一步核实投诉处理过程和结果,是否存在以误导方式获取客户信息的情况;以关键词搜索“泄露”“骚扰”“推销电话”“个人信息”等内容,如存在需进一步核实具体的投诉内容和相应的处理过程,核查是否存在泄露客户信息等情况。(五)外部合作关注外部合作业务的合规性,是否与第三方服务机构签署保密协议,是否对保密协议
15、中外部数据的合规性进行审核;是否在客户授权范围内向第三方传输客户信息;委托合作方处理个人信息时,是否与受托人约定委托处理的内容,是否对受托人的个人信息处理活动进行监督;是否在客户授权范围内对外提供客户信息,是否根据协议提供脱敏、去标识化数据。1 .调取与公司开展外部合作的第三方机构清单,核查是否与第三方机构签署保密协议,协议内容是否明确合作机构个人信息安全保护的责任和义务;若存在委托合作方处理个人信息的,是否与受托人约定委托处理的目的、期限、处理方式、个人信息种类、保护措施等,是否采取合理措施对受托人的个人信息处理活动进行监督。2 .在与第三方机构开展业务时,传输的客户信息是否超出合作协议范围
16、,是否在客户同意的授权范围内。现场核查对外提供客户信息的传递方式,是否存在以移动硬盘拷贝、邮箱发送、网络传输等不安全的渠道传输客户信息,如果是系统对接或人工提数等方式,核查系统传输信息的安全性,是否根据协议提供脱敏、去标识化的客户信息。3 .获取终止合作的第三方机构清单,结合协议内容,了解公司是否及时阻断系统提数程序,是否监督第三方机构及时删除或销毁在合作期间获得的客户个人信息。三、保险公司个人信息保护审计发现的问题近年来,根据国家对个人信息保护的审计要求,内部审计人员梳理了保险公司个人信息保护的审计内容及方法,同时开展了覆盖总公司及所有分公司的法定专项审计项目,发现了一批个人信息保护方面的问题,通过审计“对账销号”进行闭环整改,堵塞了公司在经营过程中存在管控漏洞,取得了一定的审计成效。(一)防泄漏软件部分功能失效易导致信息泄露风险公司防泄漏软件作为对内外部信息进行集中监控和管理的软件,是办公终端访问公司内部网络
