强监管下的保险中介机构数据合规工作：解读《保险中介机构信息化工作监管办法》

强监管下的保险中介机构数据合规工作：解读《保险中介机构信息化工作监管办法》

张晓宇 夏晨斌  罗旷怡

耀时建议

《保险中介机构信息化工作监管办法》释放了强烈的规范化与强监管的信号，是《网络安全法》个人信息保护及数据安全要求在保险中介领域的具体体现和具体落实。该《办法》不同于以往的规范性文件，本身具有较为完整的规范条款设置和明确的罚则规定，具有较强的法律强制力。建议保险代理人（不含个人代理人）、保险经纪人、保险公估人等保险中介提高信息与数据合规意识，及时与专业团队沟通，按照《办法》规定，结合自身业务与发展实际开展信息化自查与整改工作。

2021年1月5日，中国银保监会制定了《保险中介机构信息化工作监管办法》（以下简称《办法》），该办法自2021年2月1日起施行，《关于加强保险中介机构信息化建设的通知》（以下简称《通知》）同时废止。现就重要规定进行解读。

Part1  新旧《办法》《通知》对比分析

1、内涵不同

《通知》的出台目的是“为了加强保险中介机构的信息化建设，提高保险中介机构的经营管理水平”，重在加强保险中介的信息化建设，信息化管理与监管问题并不突出。而《办法》的出台目的则是“为加强保险中介监管，提高保险中介机构信息化工作与经营管理水平”，重在加强保险中介的信息化工作管理和相关监管工作，有强监管的信息号和内涵，相关保险中介机构要提前做好合规风险预警工作。

2、依据法律规范不同

相较于《通知》，办法明确依据《中华人民共和国保险法》《中华人民共和国网络安全法》《保险代理人监管规定》《保险经纪人监管规定》《保险公估人监管规定》等法律法规制定，原《通知》制定法律依据中的《行政许可法》被《国网络安全法》所取代，这意味着保险中介机构在进行信息化业务和管理的时候必须遵照《网络安全法》的有关规定执行。也标志着国家对保险中介信息化管理工作要求和态度的转向，相关保险中介机构要切实提高隐私与个人信息保护等网络安全意识。

3、罚则效果不同

《通知》采用的是一般政府规范性文件，目的、任务、步骤与要求的写作方法，虽然文本中规定了“...将按照有关保险法律法规予以处理”，但是缺乏明确的罚则规定和条款指向，法律强制力效果较弱。《办法》共有六章，分别是第一章 总则（第1-6条）、第二章 基本要求（第7-16条）、第三章 信息系统（第17-22条）、第四章 信息安全（第23-28条）、第五章 监督管理（第29-33条）、第六章 附则（第34-36条），其中第五章明确了监管机构的监督工作内容、罚则和条款指向。《办法》具有较强的法律强制力，是信息与网络安全要求在保险中介事务中的具体体现。

Part2  逐章解读

1、总则章

1.1主体

1.1.1适用主体

该《办法》适用主体为在中国境内（意味着同时包括外资保险中介）依法设立的保险代理人（不含个人代理人）、保险经纪人和保险公估人，包括法人机构和分支机构。其中保险代理人（不含个人代理人）包括保险专业代理机构和保险兼业代理机构。

1.1.2监管主体

该《办法》的实施与监管主体是银保监会及其派出机构。

1.1.3责任主体

保险中介机构是本机构信息化工作的责任主体，保险中介机构法定代表人或主要负责人对本机构信息化工作承担首要责任。

1.2信息化工作的定义

保险中介机构运用计算机、通信、网络等现代信息技术，进行业务处理、经营管理和内部控制等方面工作。

1.3信息化突发事件的定义

1.3.1业务中断事件

信息系统或信息化基础设施出现故障、受到网络攻击，导致保险中介机构在同一省份的营业网点、电子渠道业务中断3小时以上，或在两个及以上省份的营业网点、电子渠道业务中断30分钟以上；

1.3.2资金损失事件

因网络欺诈或其它信息安全事件，导致保险中介机构或客户资金损失1000万元以上，或造成重大社会影响；

1.3.3数据泄露事件

保险中介机构丢失或泄露大量重要数据或客户信息等，已经或可能造成重大损失、严重影响。

1.4特别提醒

该《办法》规定的信息化突发事件为穷尽式列举，仅包含以上三个方面，相关保险中介机构可以有的放矢，按照规定的三个方面提前设置好合规预警和风控机制。其中，特别需要注意数据泄露事件部分，《办法》所规定的危及要件为“或可能造成重大损失、严重影响”，这意味着只要数据泄露具有实害危险而不需要产生实害结果，保险中介机构就有可能面临处罚，因此，需要特别重视数据合规工作。

2、基本要求章

2.1突发事件报送程序

《办法》第14条规定，保险中介机构发生信息化突发事件的，应按照银保监会信息化突发事件信息报告相关规定在24小时内向机构营业执照登记注册地银保监会派出机构报告信息。特别重大、可能造成严重社会影响的信息化突发事件发生后，保险中介机构应在30分钟内电话报告相关信息、1小时内书面报告信息。

2.2信息化工作职责

《办法》第7条规定了九条信息化工作职责，在此不一一列举。第7条1至8款为具体的列举式规定，第9款为兜底条款。

2.3不得向关联企业泄露数据

《办法》第8条规定，信息化工作与关联企业（含股东、参股企业、其他关联企业）有关联的，保险中介机构的重要信息化机制、设施（包括但不限于信息化治理与规划，业务、财务、人员等重要信息系统及其中的数据信息）及其管理应保持独立完整，与关联企业相关设施有效隔离。但本条并未具体说明如何合规的进行信息系统和数据的访问、使用、转移、复制等行为。尽管如此有关保险中介仍可以提前在以上列举的若干环节，参照《网络安全法》提前制定规范化措施。

2.4具体工作要求

《办法》第9至13条对有关工作作出了具体要求。

2.4.1明确主管人员

应指定一名高级管理人员作为信息化工作的负责人。耀时预测银保监会可能会要求保险中介内部成立相关工作领导小组。

2.4.2明确工作人员

应设置信息化部门或信息化岗位，负责信息化工作的正式工作人员不少于一人。分支机构应有正式工作人员辅助法人机构开展信息化工作。

2.4.3编制工作情况报告

应按照本办法开展信息化建设，并向机构营业执照登记注册地银保监会派出机构报送信息化工作情况报告，报告内容应包括信息化管理机制和制度情况、信息系统满足本办法第十七条要求的情况、信息系统采购合同或知识产权证书等。

2.4.5系统统一与数据录入要求

除法律、行政法规和银保监会监管制度另有规定外，法人机构与分支机构应使用同一套信息系统。法人机构应督促分支机构及时录入经营数据，通过信息系统对各分支机构的经营情况进行管理与监控。

2.4.6及时报送

应按监管要求通过保险中介监管相关信息系统及时向银保监会及其派出机构报告监管事项、报送监管数据。

3、信息系统章

3.1信息系统建设

《办法》第18、19条对信息系统开发和非自主开发的特别注意义务进行了规定。

3.1.1系统开发

保险中介机构可采取自主开发、合作开发、定制开发、外包开发和购买云服务等形式建设信息系统。但不论何种形式，保险中介机构均应遵守本办法、承担信息安全管理责任。

3.1.2非自主开发特别注意义务

采取非自主开发的保险中介机构应识别和分析信息科技外包风险，加强对外包服务商的资质审查，加强对外包服务的风险管理，规范外包合同条款，明确外包范围、责任边界、安全保密和个人信息保护责任，采取有效手段保障数据和信息系统安全且持续可控。

同时附有非强制性的提高自主研发能力，逐步降低对外包服务商的依赖的义务。

3.2信息系统规范要求

《办法》第17条定义信息信息系统包括业务管理系统、财务管理系统、人员管理系统等三大方面，并提出了10条共性与个性合规性要求。具体为：

3.3数据真实性与系统访问权限

《办法》第20、21条对数据真实性和系统访问权限进行了规定，第21条要求保险中介机构应通过信息系统全面、准确、完整地记录管理业务、财务和人员等情况，并确保信息系统记录管理的数据与真实业务经营情况一致。第20条要求严格控制系统访问权限，禁止未经授权查看、下载数据。严格控制通过系统后台修改数据，确需修改的要做到事前批准、事中监控和事后留痕。这要求保险中介应建立相关审批手续，并建立系统安全审计机制，制定并留存相关活动台账资料被查。

3.4信息系统投产、变更或数据迁移

《办法》第22条允许保险中介进行信息系统的投产、变更与数据迁移活动，但应组织风险评估，编制实施计划，制定系统回退和应急处置方案，开展演练测试和培训，审慎实施，并在实施完成后进行有效性验证。

4、信息安全章

4.1安全体系与等级保护

《办法》第23、24条对保险中介机构的安全体系与等级保护作出规定。要求保险中介机构应建立健全信息安全管理制度，部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施，保障业务持续和数据安全。保险中介机构应按照国家网络安全等级保护相关规定，合理确定信息系统的安全等级，并按照国家网络安全等级保护相关标准进行防护，获得相应的国家网络安全等级保护认证。

4.2数据安全

4.2.1保证数据完整、保密、可用

《办法》第25条要求保险中介机构应对重要数据采取保护措施，保障数据在收集、存储、传输、使用、提供、备份、恢复和销毁等过程中的安全，合法使用数据，严防数据泄露、篡改和损毁，保障数据的完整性、保密性和可用性。

4.2.2数据存储、备份要求

保险中介机构应采取可靠措施进行数据存储和备份，定期开展备份数据恢复验证。系统数据应至少保存五年，系统日志应至少保存六个月。

4.3个人信息保护

4.3.1基本原则

《办法》第26条要求保险中介机构收集、处理和应用数据涉及到个人信息应遵循合法、正当、必要的原则，遵守国家相关法律、行政法规，符合与个人信息安全相关的国家标准。

4.3.2不得违规收集、使用、泄露、篡改个人信息

未经允许或授权，保险中介机构不得收集与其提供的服务无关的个人信息；不得违反法律、行政法规和合同约定收集、使用、提供和处理个人信息；不得泄露、篡改个人信息。

4.4终端安全管理

《办法》第27条要求保险中介机构应加强对台式计算机、便携式计算机、智能手机、平板电脑、移动存储介质等终端设备的管理，根据法律、行政法规要求和本机构网络安全实际情况对终端设备选择实施登录控制、病毒防护、软件安装与卸载管理、移动存储介质管理、固定资产管理、网络准入、违规监测等安全措施。

4.5员工教育培训

《办法》第28条要求保险中介机构应经常开展信息化培训、信息安全培训和保密教育，与员工签订信息安全和保密协议，督促员工履行与其工作岗位相应的信息安全和保密职责。

5、监督管理章

5.1引导保险中介机构不断提高信息化工作水平 

《办法》第29条规定银保监会在有效防范保险中介市场风险、维护信息安全的基础上，建立健全符合保险中介行业发展特点的信息化监管机制，引导保险中介机构不断提高信息化工作水平，推动保险公司与中介机构系统对接，营造透明、规范、高效的市场环境，促进保险中介行业高质量发展。

5.2银保监会及其派出机构的监管分工

《办法》第30条规定银保监会负责制定保险中介机构信息化工作监管制度，授权各派出机构开展保险中介机构信息化工作日常监管、指导与检查。

5.3不合规不得经营中介业务

《办法》第31条明确了罚则的法律适用指向，违反《办法》相关规定的“视为不符合《保险代理人监管规定》第七条、第十二条、第十八条，《保险经纪人监管规定》第七条、第十六条，《保险公估人监管规定》第十六条、第十八条规定”，并规定其不得经营保险中介业务。

5.4重点检查情形

《办法》第32条规定银保监会及其派出机构重点对存在下列情形的保险中介机构进行信息化工作检查：

（一）信息化工作存在重大安全隐患或不符合本办法要求的。

（二）发生信息化突发事件的。

（三）违反银保监会信息化突发事件信息报告相关规定的。

（四）对严重信息安全隐患未采取整改措施或整改不力的。

（五）恶意对信息系统或数据进行篡改、删除或关闭，逃避监督检查的。

（六）违规收集、使用、提供和处理个人信息或泄露、篡改个人信息的。

（七）向银保监会及其派出机构报送数据、报表、报告，存在误报、漏报、错报、迟报等行为的。

（八）银保监会及其派出机构认为有必要进行信息化工作检查的其他情形。

5.5责任追究

《办法》第33条规定银保监会及其派出机构依据法律、行政法规和相关规定，对违反本办法的保险中介机构采取监管措施或实施行政处罚，并追究相关人员责任。依据《办法》总则与基本要求部分的规定，相关责任人员应涵概法人或直接负责人、主管或分管信息化工作的相关高级管理人员、专门（分支机构兼职辅助）工作人员和其他直接侵权、违规责任人。

6、附则章

附则部分主要规定了中介机构的自查与整改义务。保险中介机构应按照本办法进行信息化工作自查，并在本办法实施之日起一年内（2022年2月1日前）完成整改。

完成整改后，保险中介机构法人机构应将信息化工作情况报告报送至机构营业执照登记注册地银保监会派出机构。《办法》附则中并没有直接载明未报送和未整改的相关责任，但耀时预测，按照前述规定，保监会及其派出机构极有可能在自查整改不到位时进行督办，并按照《办法》规定进行专项整改，对整改工作仍不到位的按照《办法》规定予以处罚，情节严重的不得再经营保险中介业务，并承担相应法律责任。

本文不代表耀时律师事务所或其律师出具的法律意见或建议。

如需转载或引用本文的任何内容，请注明来源。

如您对本文议题有疑问或者有意向进一步交流的，欢迎扫描文末中台服务部微信二维码

江苏耀时律师事务所是一家专业提供高端法商服务的律师事务所。总部位于中国南京，在法国里昂设有欧洲办公室，在马来西亚吉隆坡设有东南亚办公室。耀时律师具备中、英、德、日语工作能力，在法商服务领域深耕多年，客户评价“具备极出色的项目管理能力”。我们致力于为“全球企业走进中国，中国企业走向世界”贡献耀时力量，采用先进的“专业律师+服务大中台模式”，所有服务产品以”全流程管理“、“高性价比”为设计理念，保证客户在获得高质量法律服务的同时尽可能降低合规成本。同时，我们特别关注“技术驱动法律”，在信息技术及其他电子设备方面进行了大量投资，以支持我们不同地区办公室团队成员共享统一数据库，支持业务开展。

地址：江苏省南京市雨花台区安德门大街56号

世茂城品国际广场B栋207

电话：+ 86（025）83707073

邮箱：xeoninfo@163.com