保險公司個人信息保護內部審計實踐探究

楊棟

[摘要]本文從保險公司內部審計視角出發，對個人信息保護內部審計內容和方法進行了探討，同時介紹了部分審計實踐案例，內部審計部門充分發揮建設性作用，促進保險公司進一步強化個人信息保護管理、防范個人信息泄露風險，也為其他保險公司個人信息保護的審計實務工作提供了借鑒。

[關鍵詞]保險公司? ?個人信息保護? ?內部審計

一、保險公司個人信息保護審計的必要性

根據國家監管要求，保險公司作為重要的個人信息持有者、處理者，定期開展個人信息保護合規審計，已成為一項法定事項。內部審計應及時關注公司在個人信息保護領域存在的風險隱患和管控疏漏，更好地利用大數據分析等數字化手段開展個人信息保護內部審計工作，確保審計覆蓋個人信息處理活動全生命周期流程的各個階段，推動保險公司個人信息保護水平提升。

二、保險公司個人信息保護審計的內容與方法

圍繞客戶個人信息保護的制度建設、權限管理、采集存儲、使用處理及調用、外部合作等環節，檢查公司落實客戶個人數據全生命周期的各項安全管理要求等情況，重點關注是否存在信息系統管控漏洞，是否發生重大泄露、篡改、丟失個人信息的案件，是否造成公司重大損失。

（一）制度建設

關注制度體系的健全性，是否建立客戶個人信息安全管理工作機制，是否建立和完善客戶個人數據統一管理制度、客戶信息管理的技術規范及標準，是否完善并細化涉及客戶個人信息崗位的職責和管理流程。

1.獲取被審計機構關于個人信息保護方面的領導機構、管理制度、實施細則、操作流程、崗位說明書等文件，了解被審計機構個人信息保護工作機制建立情況，管理制度中的內容是否符合監管部門有關個人信息保護及公司制度的相關要求。根據上述文件資料，核查是否按規定完善并細化相關制度條款，流程是否具備可操作性，機構和部門是否明確規定客戶信息安全相關崗位的管理責任和技術實施標準，對應的崗位說明書內容是否符合監管和公司要求。

2.訪談相關人員，了解被審計機構個人信息保護工作具體開展情況，是否按規定配備相關崗位人員，工作流程是否存在疏漏環節，是否按照規定開展相關培訓等，相關人員對公司客戶信息安全等管理制度是否清楚，執行過程中是否遇到問題或者存在制度內容無法執行的情形。根據訪談情況，抽查被審計機構個人信息保護工作過程的培訓、協議等相關資料，核對是否符合監管要求和公司制度要求，核查個人信息保護崗位工作人員的工作是否符合崗位說明書的要求，是否按照操作流程開展工作。

（二）權限管理

關注權限管理的有效性，是否明確涉及客戶信息系統權限的申請資格、授權規則及管控機制；是否加強客戶信息管理及使用的權限設置；涉及客戶信息的用戶權限是否經授權審批，權限范圍是否超出其工作職責范圍；授權人員是否將權限移交他人使用，發生崗位變動或離職的，其權限是否及時收回；系統對使用記錄是否留痕存檔。

1.向公司IT、應用系統管理部門了解涉及客戶信息的系統情況，公司對系統用戶權限的申請資格、管控流程和授權規則等是否有明確標準，系統用戶權限是否存在未經賬號權限管理系統進行授權審批的情況，經系統授權審批的用戶權限是否符合公司授權管理制度要求，系統對客戶信息的使用、導出等操作記錄是否留痕存檔以便于核查追溯。

2.獲取涉及客戶信息系統的用戶權限清單，調取相應權限申請記錄，核查申請權限審批記錄是否符合公司相關要求。調取相應人員工作崗位職責表，結合系統權限清單，核查其權限范圍是否超出其工作職責范圍。

3.獲取審計期間離職、崗位變動及輪崗人員清單，與系統用戶權限清單比對，核查涉及客戶信息系統用戶權限的離職或崗位變動、輪崗人員是否辦理交接手續，其系統權限是否進行及時清理，人員離崗后其系統賬號是否仍有登錄、查詢、操作等記錄。

4.現場實地檢查員工辦公電腦，查看是否按要求安裝數據防泄漏軟件，是否私自安裝具有存儲、傳輸功能的相關軟件，是否保存客戶敏感信息的數據電子清單。查看賬戶登錄信息，是否存在擅自將工號授權他人使用，使用的系統和應用模塊是否涉及客戶信息泄露等。

（三）采集與存儲

關注客戶信息采集的規范性，是否向客戶明確告知并取得客戶的有效授權，是否設置客戶撤回授權的通道；是否超出業務辦理所必需的范圍，是否通過非法途徑或非合規途徑采集客戶信息；通過網絡運營平臺采集信息時，是否與客戶簽署隱私條款，是否以默認授權、功能捆綁等形式強迫、誤導客戶同意收集其個人信息。關注客戶信息存儲的真實性和完整性，是否存在個人信息被泄露、篡改、毀損或挪作他用等情況；是否根據信息字段的敏感性進行相應的權限管理和系統加密處理；是否建立客戶信息紙質檔案的審批、調用制度；是否擅自修改客戶信息。

1.核查公司官網、官微、APP等銷售平臺披露的隱私內容，是否包含采集信息時需向客戶明確告知的使用目的、方式、范圍、保存期限及到期后處理等規則，是否與客戶簽署隱私條款并獲得客戶的有效授權，是否設置客戶撤回授權的便利通道。測試上述平臺的信息采集與存儲環節，是否明確告知客戶采集、使用、處理等事項，是否為客戶提供查詢、更正、刪除個人信息的途徑和方法，采集的信息是否為辦理業務所必需，是否存在過度收集客戶信息等情況。

2.獲取格式化保險合同、投保單及保全、理賠業務辦理申請表等紙質資料，核查是否包含無法選擇的不合理授權條款，是否存在強制客戶同意將其信息用于與所辦理業務無關的用途或故意模糊授權事項范圍等，是否以默認授權等形式誤導客戶同意收集其個人信息。

3.訪談公司業務員，了解其日常開展客戶經營活動或面訪客戶等情況，在獲取客戶信息時，是否告知客戶個人信息的使用用途，公司對業務員獲取的信息是否采取適當措施確保客戶信息安全，防止出現客戶信息被泄露的風險。

4.現場對涉及客戶信息的系統進行穿行測試，從查詢顯示、復制粘貼、導出保存等環節核查系統存儲功能，核查系統是否對敏感信息字段進行相應權限管理和加密處理；對涉及客戶信息的關鍵崗位人員，抽查其電腦存儲資料，查看客戶信息是否得到必要的加密處理，是否違規收集客戶信息、違規保存客戶關鍵信息的電子資料。

5.核查客戶信息的紙質檔案是否嚴格保管并建立調用審批流程，調用記錄是否登記造冊；到辦公場所開展突擊檢查，包含客戶信息的申請表、提示書、投保單、合同協議等紙質業務材料是否按照檔案管理要求統一裝訂、鎖柜保管；是否存在已填寫的紙質材料由業務員私自保存且長期未上交等情況。

6.向IT部門了解公司的日常監控措施，對于客戶信息存儲到系統后，是否存在未經授權或審批擅自修改客戶信息等情況，是否開展定期或不定期的自查或抽查；了解公司對辦公電腦等設備的管理流程，在維修或報廢處理時，是否安排專人對具有存儲功能的硬盤進行統一處理，是否存在將電腦及硬盤直接交于第三方銷毀等情況。

（四）使用處理及調用

關注客戶信息使用和處理的規范性，處理前是否向客戶告知相關處理事項；是否未經同意公開客戶個人信息，或將客戶信息用于其他用途；處理未成年人信息前是否取得其監護人同意；利用個人信息進行自動化決策時，對客戶在交易價格等交易條件上是否實行不合理的差別待遇；在進行信息推送、商業營銷時是否向客戶提供便捷的拒絕方式。關注客戶信息調用的合規性，在客戶數據導出時是否經合理授權及審批，是否采取去標識化處理客戶信息，重要信息是否經脫敏處理，是否采用不安全的存儲設備進行拷貝；是否未經審批私自打印、復制客戶信息，是否擅自對外發布或外傳客戶信息；是否明確客戶信息的使用時限，超過使用時限的客戶數據是否及時回收或銷毀。

1.了解公司在處理客戶個人信息前，是否以顯著方式、清晰易懂的語言真實、準確、完整地向客戶告知個人信息處理的目的、方式、期限、范圍等事項，是否取得客戶同意，涉及不滿14周歲未成年人個人信息的，是否取得其監護人的同意。調取保全、理賠等業務處理清單，獲取相應申請資料，核查代辦業務是否獲得客戶授權，是否存在未經客戶同意的情況下，擅自辦理業務或冒充客戶辦理業務等。

2.獲取公司各類保險產品的保費明細清單，核查是否存在同類產品保費不同的情況，如存在需進一步核實原因；是否存在通過大數據、人工智能等技術進行精準營銷獲客、自動化推送決策、算法殺熟等情況；在進行信息推送、商業營銷時，是否向客戶提供了便捷的拒絕方式。

3.訪談公司相關人員，在開展續期收費、高端客戶經營、質押貸款逾期催收等營銷服務、客戶服務活動時，從系統調用的客戶信息是否經公司審批，重要信息的傳輸方式及終端是否經公司授權；公司是否存在與第三方機構或個人傳輸客戶個人信息等情況，如存在需進一步了解是否向客戶告知具體的共享信息內容、傳輸目的及共享信息的第三方名稱，是否獲得客戶同意，傳輸的個人信息是否采取去標識化處理；公司使用客戶信息時是否明確使用期限，超出使用期限的客戶數據是否及時回收或銷毀。

4.現場測試數據防泄漏系統，在進行客戶數據的網絡傳輸、硬盤拷貝時，系統是否有攔截報警功能，是否針對導出數據等行為設置審批及授權程序；獲取數據防泄漏監控日志清單，根據文檔名稱以及數據防泄漏類型，核查是否存在涉及個人客戶信息電子資料被導出或拷貝等情況，如存在需篩選對應的賬戶工號，進一步了解其操作目的以及是否存在泄露情況。

5.現場對通過界面展示客戶信息的系統進行穿行測試，除日常業務查詢模塊外，是否存在數據導出、下載、保存等模塊，相關系統是否對其展示的客戶敏感信息進行去標識化處理；重要客戶數據是否可以通過網絡郵箱、移動硬盤等進行網絡傳輸、設備存儲等；系統是否對復制、打印客戶信息進行限制。

6.提取保全代辦業務、理賠報案明細清單，篩選代辦人較為集中的保全業務數據，篩選報案人與被保險人關系為公司雇員、業務員的報案清單，調取對應申請資料，結合電話回訪核查對應業務是否獲得客戶授權，是否存在未經客戶同意擅自修改、篡改客戶信息等情況。

7.調取投訴清單，結合投訴內容，核查是否存在以產品升級、提升服務體驗等為由，要求客戶提供身份證號碼等個人信息的相關投訴，如存在需進一步核實投訴處理過程和結果，是否存在以誤導方式獲取客戶信息的情況；以關鍵詞搜索“泄露”“騷擾”“推銷電話”“個人信息”等內容，如存在需進一步核實具體的投訴內容和相應的處理過程，核查是否存在泄露客戶信息等情況。

（五）外部合作

關注外部合作業務的合規性，是否與第三方服務機構簽署保密協議，是否對保密協議中外部數據的合規性進行審核；是否在客戶授權范圍內向第三方傳輸客戶信息；委托合作方處理個人信息時，是否與受托人約定委托處理的內容，是否對受托人的個人信息處理活動進行監督；是否在客戶授權范圍內對外提供客戶信息，是否根據協議提供脫敏、去標識化數據。

1.調取與公司開展外部合作的第三方機構清單，核查是否與第三方機構簽署保密協議，協議內容是否明確合作機構個人信息安全保護的責任和義務；若存在委托合作方處理個人信息的，是否與受托人約定委托處理的目的、期限、處理方式、個人信息種類、保護措施等，是否采取合理措施對受托人的個人信息處理活動進行監督。

2.在與第三方機構開展業務時，傳輸的客戶信息是否超出合作協議范圍，是否在客戶同意的授權范圍內?，F場核查對外提供客戶信息的傳遞方式，是否存在以移動硬盤拷貝、郵箱發送、網絡傳輸等不安全的渠道傳輸客戶信息，如果是系統對接或人工提數等方式，核查系統傳輸信息的安全性，是否根據協議提供脫敏、去標識化的客戶信息。

3.獲取終止合作的第三方機構清單，結合協議內容，了解公司是否及時阻斷系統提數程序，是否監督第三方機構及時刪除或銷毀在合作期間獲得的客戶個人信息。

三、保險公司個人信息保護審計發現的問題

近年來，根據國家對個人信息保護的審計要求，內部審計人員梳理了保險公司個人信息保護的審計內容及方法，同時開展了覆蓋總公司及所有分公司的法定專項審計項目，發現了一批個人信息保護方面的問題，通過審計“對賬銷號”進行閉環整改，堵塞了公司在經營過程中存在管控漏洞，取得了一定的審計成效。

（一）防泄漏軟件部分功能失效易導致信息泄露風險

公司防泄漏軟件作為對內外部信息進行集中監控和管理的軟件，是辦公終端訪問公司內部網絡的準入規則之一，即未安裝防泄漏軟件的設備將無法訪問內部網絡。在某分公司現場審計時發現部分辦公終端的防泄漏軟件狀態異常，審計人員將測試用敏感信息文件向外網郵箱發送、本地紙質打印均可正常進行，防泄漏客戶端未產生任何響應或提示，相關操作未被攔截，通過IT后臺調取信息防泄漏攔截清單，發現異常終端的信息傳輸情況未被后臺記錄。防泄漏軟件的“敏感信息攔截”核心功能失效，導致信息保護失效，存在較嚴重的風險漏洞。

（二）在未獲得客戶授權的情況下違規采集個人信息

“智能面訪”工具是公司業務員使用最多、運用最廣的客戶積累工具之一，即客戶通過微信掃描業務員提供的二維碼，依次錄入客戶姓名、手機號碼、證件號等信息后即可提交。審計測試后發現，該工具在客戶信息采集的過程中，未獲取客戶授權、未與客戶簽署隱私條款，也未告知客戶所收集個人信息的目的、方式和范圍，存在違規采集客戶個人信息的情況。

（三）存儲及處理使用客戶個人信息環節存在安全隱患

1.業務員可通過公司某APP“保單”模塊，查閱本人銷售客戶的所有數字投保單，該數字投保單包含客戶姓名、身份證號碼、聯系方式、地址、投保金額等個人隱私信息，并且上述敏感信息均未進行脫敏處理，業務員可以隨意通過微信、個人郵箱、QQ等工具傳輸客戶數字投保單涉及的隱私信息，存在信息安全隱患。

2.部分基層機構存在私自留存且隨意擺放客戶紙質敏感資料的情況，涉及身份證復印件、銀行卡（存折）復印件、客戶既往理賠資料等文件，以及手工抄錄的客戶姓名、身份證號、手機號等信息，存在客戶信息泄露風險。

3.個別機構IT部門個別員工的電腦及公共移動硬盤中留存政?？蛻衾碣r明細、客戶回訪補訪明細等敏感信息，私自保存多個部門共計60余名員工的內網登錄賬號及密碼，以及公司多個后臺系統登錄網址、賬號、密碼等，存在數據安全泄露風險。

（四）外部合作機構對客戶信息處理不規范

個別分公司將團政業務客戶理賠工作委托第三方外包供應商經辦，審計發現外包服務人員獲取客戶結算清單數據后，再通過個人微信或U盤將數據傳輸至分公司，用于核對結算外包服務費；分公司調查員通過個人外部郵箱將客戶理賠資料傳輸至理賠外包供應商經辦人員個人郵箱，用于委托理賠調查。上述理賠清單、理賠資料含有客戶姓名、身份證號、手機號碼等敏感信息。審計人員對雙方的協議進行核查，發現協議并未約定上述信息的脫敏處理及傳輸方式，也未對業務到期后客戶信息的刪除、銷毀方式進行約定。

四、提升保險公司個人信息保護審計效果的建議

在全面數字化轉型的新時期，保險行業個人信息保護事關金融消費者權益保護和個人信息安全等重要問題，個人信息保護法的施行也對內部審計提出了更高的要求。保險公司內部審計需充分發揮其監督、評價、服務、咨詢等功能，推動公司在合規經營的前提下實現高質量發展，具體來說可以從以下三方面著手。

（一）對標國家監管要求，開展全面分析研究

個人信息保護合規審計屬于新興審計領域，需要對個人信息保護法以及監管要求進行分析研究，結合本公司的制度規定及業務流程，梳理內部體制機制以及制度規定上是否符合國家及監管的硬性要求，在此基礎上對公司個人信息保護的審計依據、審計范圍及事項、重點審計內容及風險點、審計程序及方法等開展研究，同時將個人信息保護法定審計列入全年審計計劃中，確保審計全覆蓋。

（二）培養復合型審計人才，切實提高審計能力

個人信息保護合規審計對內部審計人員的審計能力提出了更高要求，一方面要有信息系統及數據分析的審計能力，信息的采集、存儲、處理使用等往往基于平臺、系統、軟件、數據等開展，這就決定了審計人員要有信息系統及數據處理的能力；另一方面要加強培訓管理，打造業務精通、一專多能的審計隊伍，切實提升審計人員的專業能力，推動個人信息保護內部審計工作順利開展。

（三）注重審計整改，做好審計下半篇文章

審計不僅要準確揭示問題，后續還需追根溯源，查原因、堵漏洞、補短板，推動審計整改閉環管理。發揮審計監督的精準性、有效性，一方面要剖析問題背后的體制機制障礙、管理控制漏洞、執行操作缺陷，提出切實可行的審計建議；另一方面還要協調部門之間協同聯動開展審計整改，有針對性地跟蹤督促、情況反饋、對賬銷號，將審計整改的制度優勢轉化為治理效能。

[作者單位：中國太平洋保險（集團）股份有限公司審計中心，郵政編碼：200010，電子郵箱：dyang124@126.com]