保险行业个人信息保护专项审计管理案例分析
北京中天恒会计师事务所(特殊普通合伙)
严宏 于芳华
一、案例背景
某保险公司,下设10家省级分公司、56家市级支公司,主营人寿保险、健康保险、意外伤害保险等业务,服务客户超800万人,每年处理投保、核保、理赔、客户服务等相关个人信息超千万条,其中包含大量健康状况、生物识别信息(人脸、指纹)、财务信息等敏感个人信息。近年来,该机构因电话营销扰民、客户信息泄露投诉频发,被监管部门多次约谈,此次被列为专项审计重点对象,审计基准日为2025年1月1日至2025年12月31日,审计范围覆盖其总公司、3家重点省级分公司及10家市级支公司,涵盖全业务流程及第三方合作机构。
二、保险行业个人信息保护专项审计项目介绍
(一)保险行业个人信息保护专项审计的现状
为落实国家互联网信息办公室、国家金融监督管理总局联合开展的个人信息保护专项整治工作要求,严格执行《中华人民共和国个人信息保护法》《银行保险机构数据安全管理办法》等法律法规及行业规范,中介机构接受监管部门委托,组建专项审计组,对某保险公司开展个人信息保护专项审计。
(二)保险行业个人信息保护专项审计案例介绍
1、保险行业个人信息保护专项审计核心依据
为严格落实个人信息保护相关法律法规及监管要求,筑牢保险行业个人信息安全防线,依据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国保险法》《中华人民共和国网络安全法》等核心法律,《银行保险机构数据安全管理办法》《个人信息保护合规审计管理办法》《保险销售行为管理办法》《个人信息出境安全评估办法》等监管规章,以及《信息安全技术 个人信息安全规范》(GB/T 35273-2022)、《保险行业个人信息保护管理办法》等行业标准与规范,结合当前保险行业个人信息保护工作实际,特制定本专项审计工作方案,用于指导本次专项审计全流程工作,确保审计工作有序、规范、高效开展。
2、保险行业个人信息保护专项审计的目标
本次专项审计以“合规核查、风险防控、长效提升”为核心,明确以下三大目标,确保审计工作靶向精准、成效显著:
(1)合规核查目标:全面核查保险机构个人信息全生命周期(收集、存储、使用、加工、传输、提供、公开、删除、销毁)处理活动的合规性,重点识别信息收集未获有效同意、敏感信息处理未履行特别告知义务、违规共享转让个人信息、超范围使用个人信息、信息销毁不规范等违法违规问题,明确违规事实、责任主体及违规程度。
(2)风险评估目标:系统评估保险机构个人信息保护治理体系、管理制度、技术防控措施、应急处置机制的健全性与有效性;检验个人信息保护负责人履职情况、全员合规培训成效、个人信息保护影响评估(PIA)开展质量、合规自查落实情况;识别个人信息保护领域的重大风险隐患(如数据泄露、非法交易、自动化决策不公等),分析风险成因,划分风险等级。
(3)长效提升目标:针对审计发现的问题,提出具有针对性、可操作性的审计建议,推动保险机构建立健全个人信息保护长效机制,完善管理制度、优化技术措施、强化人员培训、健全整改闭环;督促保险机构落实主体责任,加强对第三方合作机构的管控,提升行业个人信息保护整体水平,切实保障保险消费者合法权益,助力保险行业高质量发展。
3、保险行业个人信息保护专项审计范围
本次专项审计坚持“全面覆盖、重点突出”的原则,明确以下审计范围,确保不留盲区、不存死角:
(1)、时间范围:审计基准日为2025年1月1日至2025年12月31日,涵盖该期间内所有个人信息处理相关活动;针对重大违规问题、历史遗留问题,可追溯至以前年度;针对审计过程中发现的延伸性问题,可延伸至审计现场工作结束日。
(2)、机构范围:
核心机构:保险公司总公司、省级分公司、市级支公司,涵盖人身保险公司、财产保险公司、健康保险公司、意外伤害保险公司等各类保险机构;
关联机构:保险中介机构(保险代理公司、保险经纪公司、保险公估公司),包括线上线下各类中介主体;
合作机构:与保险机构存在个人信息处理合作的第三方机构,包括数据服务商、技术服务商(如系统开发、运维机构)、营销合作方(如线上引流、线下推广机构)、第三方支付机构、医疗机构、征信机构等,重点核查合作过程中的个人信息共享、传输合规性。
(3)、业务范围:覆盖保险行业全险种、全业务流程,重点聚焦以下核心场景:
营销推广环节:线上线下客户信息采集、潜在客户挖掘、电话/短信营销、社交媒体营销等;
投保承保环节:投保人/被保险人信息采集、健康告知、身份验证、保单信息录入与审核等;
核保理赔环节:理赔资料收集(病历、诊断证明等)、理赔调查、赔付信息录入与反馈等;
客户服务环节:客户咨询、保单查询、保全服务、退保/保单贷款、投诉处理等;
数据管理环节:个人信息存储、备份、迁移、脱敏处理、共享转让、出境传输、删除销毁等;
技术支撑环节:个人信息处理系统的开发、运维、安全防护,自动化决策(如核保、定价)的合规性等。
(4)信息范围:涵盖与保险业务相关的全部个人信息,重点包括:
个人基本信息:姓名、身份证号、联系方式(电话、邮箱、住址)、出生日期、性别、职业等;
敏感个人信息:健康状况(病历、诊断证明、体检报告)、财务状况(收入、资产、负债)、生物识别信息(人脸、指纹、声纹)、未成年人信息、婚姻状况、既往病史等;
业务关联信息:保单信息(保单号、险种、保额、缴费记录)、理赔记录(理赔金额、理赔原因、理赔进度)、投保意愿、客户投诉记录等;
其他关联信息:客户在保险机构的行为轨迹、偏好设置、第三方共享获取的个人信息等。
4、保险行业个人信息保护专项审计方法与技巧
结合保险行业个人信息处理的特点,本次专项审计采用“常规审计与技术审计相结合、全面核查与重点抽查相结合、资料查阅与实地核查相结合”的方式,运用多种审计方法与技巧,提升审计效率与精准度,确保审计工作落到实处。
(1)常规审计方法
1)资料查阅法:全面查阅被审计机构的相关资料,包括治理架构文件、管理制度、业务资料、系统数据、培训档案、自查报告、整改资料、应急处置记录、投诉处理记录、PIA报告、第三方合作协议等。查阅过程中,重点关注资料的真实性、完整性、合规性,对照法律法规及监管要求,识别违规问题,固定审计证据。对于纸质资料,做好查阅记录、复印留存;对于电子资料,做好备份、截图留存,确保证据可追溯。
2)人员访谈法:针对不同岗位人员开展分层访谈,包括个人信息保护负责人、各部门负责人、营销人员、理赔人员、数据管理人员、技术人员、一线客服人员等,必要时访谈被审计机构的管理层、董事会成员。访谈过程中,明确访谈目的,围绕审计重点提问,了解个人信息处理的实际流程、管理制度的落实情况、存在的问题与困难,核实资料查阅中发现的疑点,补充审计证据。访谈需做好访谈记录,由访谈对象签字确认,确保访谈内容的真实性。
3)实地核查法:深入被审计机构的办公场所、存储机房、业务网点等实地,查看个人信息处理的实际情况。重点查看存储机房的安全管理、存储设备的防护情况;查看一线业务人员个人信息收集、使用的操作流程;查看应急处置设备、设施的配备情况;查看纸质个人信息资料的存放、保管、销毁情况。实地核查过程中,做好现场记录、拍照留存,对发现的问题及时核实、固定证据。
4)抽查法:考虑到保险机构个人信息数据量大、业务范围广,采用抽查法开展审计,提高审计效率。根据风险导向原则,确定抽查范围、抽查比例,重点抽查高风险环节、高风险场景、高风险机构的相关资料、业务数据。抽查样本需具有代表性,涵盖不同险种、不同分支机构、不同业务场景,确保抽查结果能够反映整体情况。对抽查发现的问题,可扩大抽查范围,深入核查是否存在普遍性、系统性问题。
5)比较分析法:将被审计机构的个人信息保护管理制度、业务流程、处理方式等,与最新法律法规、监管要求、行业标准进行对比,识别合规差距;将不同分支机构、不同业务部门的个人信息处理情况进行对比,分析存在的差异,查找突出问题;将被审计机构的自查结果与审计发现的问题进行对比,核实自查工作的真实性、有效性;将历史审计数据与本次审计数据进行对比,分析个人信息保护工作的改进情况。
(2)技术审计方法
针对保险行业个人信息数据量大、类型复杂、存储分散的特点,运用技术手段开展审计,实现对个人信息处理活动的全方位、深层次核查,提升审计精准度。
1)大数据审计法:采集被审计机构的个人信息相关业务数据(如投保数据、理赔数据、客户信息数据、共享数据等),运用大数据分析工具,对数据进行清洗、比对、分析,识别违规问题。重点分析是否存在过度收集个人信息、超范围使用个人信息、违规共享个人信息、超期限存储个人信息等问题;分析个人信息数据的完整性、准确性,识别数据泄露、篡改等风险;通过数据关联分析,发现隐藏的违规行为(如虚假收集、非法交易个人信息)。
2)系统测试法:对被审计机构的个人信息处理系统(如投保系统、理赔系统、客户管理系统、数据存储系统)进行技术测试,核查系统的安全防护能力、合规性。重点测试系统的加密功能、访问控制功能、日志审计功能、数据备份功能、脱敏处理功能等;测试系统是否存在安全漏洞,是否能够有效防范非法访问、数据泄露等风险;测试系统的操作日志是否完整、可追溯,是否能够准确记录个人信息处理的全过程。
3)漏洞扫描法:运用漏洞扫描工具,对被审计机构的网络系统、存储设备、个人信息处理系统等进行全面扫描,识别系统存在的安全漏洞、薄弱环节(如未及时更新系统补丁、密码设置简单、权限管理混乱等);针对扫描发现的漏洞,核实是否存在信息泄露风险,督促被审计机构及时整改,防范安全隐患。
4)日志分析法:调取个人信息处理系统的操作日志、访问日志、传输日志等,运用日志分析工具,对日志进行全面分析,核实个人信息处理活动的合规性。重点分析是否存在未经授权访问个人信息、违规下载、传输个人信息的行为;分析操作日志的完整性、真实性,识别异常操作、违规操作,固定相关审计证据。
(3)审计技巧
1)聚焦重点,精准突破:结合风险导向原则,聚焦敏感个人信息处理、第三方共享、自动化决策、信息出境等高风险环节,以及投诉集中、曾发生信息泄露事件的高风险机构,优先配置审计资源,深入核查,精准识别重大违规问题与风险隐患,避免“面面俱到、重点不清”。
2)注重细节,挖掘隐性问题:在资料查阅、人员访谈、实地核查过程中,注重细节排查,关注看似合规的表面现象背后的隐性问题。例如,查看隐私政策时,重点关注是否存在模糊表述、隐瞒信息的情况;访谈一线人员时,关注实际操作与管理制度的差异;分析数据时,关注异常数据、关联数据,挖掘隐藏的违规行为。
3)证据固定,确保证据链完整:审计过程中,及时固定审计证据,确保证据的真实性、合法性、关联性,形成完整的证据链。对于纸质资料,复印留存并注明来源、查阅日期;对于电子资料,截图、备份并保存原始文件;对于访谈记录、现场记录,由相关人员签字确认;对于技术测试、漏洞扫描结果,留存测试报告、扫描记录,确保审计结论有充分的证据支撑。
4)多方印证,核实问题真实性:对于发现的疑点、问题,采用“多方印证”的方式,结合资料查阅、人员访谈、实地核查、技术测试等多种方法,核实问题的真实性、违规程度。例如,对于涉嫌违规共享个人信息的问题,可结合共享协议、共享台账、系统日志、客户回访等方式,全面核实违规事实。
5)加强沟通,提升审计效率:审计过程中,加强与被审计机构的沟通对接,及时反馈审计进展,核实相关情况,争取被审计机构的配合;对于复杂的违规问题、技术问题,加强与外部专家、监管部门的沟通,获取专业指导,提升审计效率与准确性。
三、保险行业个人信息保护专项审计难点
结合本次审计实际,重点面临以下4个难点,通过优化审计方法、强化专业支撑,逐一突破,确保审计工作顺利推进。
数据量大、类型复杂,审计精准度难以保障:被审计机构个人信息数据量大,涵盖800余万客户的基本信息、敏感个人信息及业务关联信息,数据格式多样,分散存储于投保、理赔、客户管理等多个系统,部分历史数据未规范归档,给数据核查、比对分析带来较大难度,需依托大数据审计工具,优化数据清洗、分析流程,提升审计精准度。
第三方合作机构审计难度大:被审计机构与12家第三方机构(含数据服务商、营销合作方、医疗机构)存在个人信息共享合作,部分第三方机构未按要求提供个人信息处理相关资料,且审计组对第三方机构的审计权限有限,难以全面核查其个人信息收集、传输、使用的合规性,需通过被审计机构协调配合,调取合作协议、共享台账及第三方合规资质证明,结合系统日志分析,间接核实违规事实。
隐性违规行为难以识别:部分违规行为具有隐蔽性,如营销人员私下留存客户信息、未经同意擅自转发客户敏感信息、线上隐私政策存在模糊表述等,此类行为未留下明确书面记录,仅通过资料查阅难以发现,需结合人员访谈、客户回访、系统日志分析等多种方式,多方印证,挖掘隐性违规问题。
违规问题定性难度大:部分个人信息处理行为处于合规边界,如敏感个人信息告知义务的履行程度、个人信息存储期限的界定等,缺乏明确的量化标准,且被审计机构对部分违规行为存在异议,需结合法律法规及行业标准,组织审计组及外部专家集体研判,确保问题定性准确、公允。
四、保险行业个人信息保护专项审计内容及审计程序
本次专项审计聚焦保险机构个人信息全生命周期处理活动,结合治理体系建设情况,分五大模块开展审计,明确各模块审计内容、审计重点及具体审计程序,确保审计内容全面、程序规范、重点突出。
(一)个人信息保护治理体系审计
1. 审计内容
重点审计保险机构个人信息保护治理架构、管理制度、责任落实、合规培训、自查自纠等情况,评估治理体系的健全性与有效性。
2. 审计重点
治理架构:是否建立健全个人信息保护领导小组,明确董事会、监事会、高级管理层的职责;是否指定个人信息保护负责人,明确其履职权限、工作内容,确保其能够独立、有效开展工作;是否明确各部门、各岗位的个人信息保护职责,形成“全员参与、层层负责”的责任体系。
管理制度:是否结合行业特点与自身业务实际,制定完善的个人信息保护管理制度,包括信息收集、存储、使用、加工、传输、提供、删除、销毁等各环节的管理规定;是否制定敏感个人信息处理专项管理制度、个人信息保护应急处置预案、第三方合作信息安全管理制度、个人信息出境管理制度等专项制度;管理制度是否符合最新法律法规及监管要求,是否及时修订更新。
责任落实:是否将个人信息保护工作纳入各部门、各岗位的绩效考核,明确考核指标、考核标准;是否建立个人信息保护责任追究机制,对违规处理个人信息的行为,是否依法追究相关人员责任;个人信息保护负责人是否按要求履行职责,定期向董事会、监管部门报告个人信息保护工作情况。
合规培训:是否制定个人信息保护全员培训计划,定期开展培训(包括新员工入职培训、在职员工定期培训);培训内容是否涵盖法律法规、管理制度、业务流程、风险防控、应急处置等内容;是否对核心岗位人员(如营销人员、理赔人员、数据管理人员、技术人员)开展专项培训,提升其合规意识与专业能力;是否建立培训档案,记录培训情况、考核结果。
自查自纠:是否定期开展个人信息保护合规自查工作,明确自查频率、自查范围、自查流程;自查内容是否全面,是否重点排查高风险环节、高风险场景;对自查发现的问题,是否建立台账,明确整改责任、整改时限,是否完成整改闭环;自查报告是否真实、完整,是否按要求向监管部门报送。
3. 审计程序
查阅被审计机构的治理架构文件(如董事会决议、领导小组章程、岗位职责说明书等),核实个人信息保护治理架构的建立情况、职责分工情况。
查阅个人信息保护相关管理制度、专项制度,对比最新法律法规及监管要求,评估制度的合规性、完整性、可操作性;查阅制度修订记录,核实制度是否及时更新。
查阅绩效考核文件、责任追究记录,核实个人信息保护责任落实情况、责任追究情况;与个人信息保护负责人、各部门负责人访谈,了解其履职情况、工作中存在的困难。
查阅培训计划、培训课件、培训档案、考核结果,核实培训开展情况、培训成效;随机抽取部分员工进行访谈或测试,了解其对个人信息保护法律法规、管理制度的掌握程度。
查阅自查报告、自查台账、整改资料,核实自查工作开展情况、问题整改情况;随机抽取部分自查发现的问题,核实整改的真实性、有效性。
(二)个人信息收集环节审计
1. 审计内容
重点审计保险机构个人信息收集的合法性、必要性、规范性,核查收集环节是否符合法定要求,是否存在违规收集个人信息的行为。
2. 审计重点
收集合法性:收集个人信息是否获得被收集者的有效同意,同意方式是否明确、具体、可撤回;是否通过欺诈、胁迫、诱导等方式获取个人信息;收集敏感个人信息是否获得被收集者的单独同意(书面、口头或其他有效方式),是否充分告知敏感个人信息的处理目的、处理方式、处理范围及可能存在的风险;是否明确告知被收集者撤回同意的方式、途径,撤回同意后是否停止相关个人信息处理活动。
收集必要性:收集的个人信息是否与保险业务开展直接相关,是否超出业务需要收集无关个人信息;是否存在过度收集个人信息的行为(如收集与投保、理赔无关的个人信息,强制要求收集非必要的敏感个人信息);是否遵循“最小必要”原则,仅收集实现业务目的所需的最少个人信息。
收集规范性:收集个人信息时,是否明确告知被收集者个人信息的处理目的、处理方式、处理范围、保存期限、权利救济途径等核心信息;告知内容是否清晰、易懂,是否存在模糊表述、隐瞒信息的情况;线上收集个人信息(如官网、APP、小程序)时,是否设置清晰的同意按钮,是否提供不同意的选项,是否强制要求用户同意所有权限才能使用服务;线下收集个人信息(如纸质投保单、线下营销)时,是否由被收集者签字确认,是否留存同意记录。
特殊群体信息收集:收集未成年人、老年人、残疾人等特殊群体的个人信息,是否符合相关法律法规要求;收集未成年人个人信息,是否获得其监护人的同意,是否采取针对性的保护措施;是否存在非法收集、使用未成年人敏感个人信息的行为。
第三方收集:通过第三方机构(如中介、数据服务商)收集个人信息的,是否核实第三方的合规资质,是否与第三方签订个人信息保护合作协议,明确双方权利义务、风险责任;是否确保第三方收集个人信息的行为符合法定要求,是否对第三方收集个人信息的过程进行监督。
3. 审计程序
查阅投保单、客户信息采集表、线上服务协议、隐私政策等资料,核实个人信息收集的范围、内容、告知方式、同意情况。
抽查线上收集渠道(官网、APP、小程序),测试隐私政策的公示情况、同意按钮的设置情况、权限获取情况,核实是否存在强制同意、过度收集的问题。
抽查线下收集资料,核实是否有被收集者签字确认,同意记录是否完整、规范;与营销人员、客户服务人员访谈,了解个人信息收集的实际流程、告知情况。
查阅第三方合作协议、第三方资质证明文件,核实第三方收集个人信息的合规性;抽查第三方提供的个人信息来源证明,核实信息收集的合法性。
随机抽取部分客户进行回访,了解其对个人信息收集的告知情况、同意情况,核实是否存在违规收集行为。
(三)个人信息存储与销毁环节审计
1. 审计内容
重点审计保险机构个人信息存储的安全性、合规性,以及个人信息删除、销毁的规范性,防范信息泄露、丢失、滥用风险。
2. 审计重点
存储安全性:个人信息存储是否采用加密、脱敏等安全技术措施,确保信息存储安全;存储系统是否符合信息安全等级保护要求(如等保三级及以上),是否定期开展安全测评;是否建立个人信息存储备份机制,定期进行数据备份,确保数据可恢复;是否加强存储设备的安全管理,防止存储设备丢失、被盗、被非法访问。
存储合规性:个人信息存储期限是否符合法律法规要求及业务需要,是否存在超期限存储个人信息的行为;存储的个人信息是否与收集时的目的一致,是否存在超出目的存储的情况;是否建立个人信息存储台账,记录信息存储的位置、期限、责任人;是否禁止将个人信息存储在境外服务器,如需出境存储,是否按要求完成个人信息出境安全评估、备案等手续。
删除规范性:当个人信息处理目的已实现、期限届满、被收集者撤回同意等情形时,是否及时删除个人信息;删除个人信息时,是否确保所有存储介质中的个人信息均被删除,是否存在删除不彻底、残留信息的情况;是否建立个人信息删除记录,记录删除的时间、方式、责任人。
销毁规范性:对于无法删除、需要销毁的个人信息(如纸质资料、存储设备),是否采用符合安全要求的销毁方式(如粉碎、格式化、物理销毁等),确保信息无法被恢复;销毁过程是否有专人监督,是否建立销毁记录,记录销毁的时间、地点、方式、数量、责任人;是否委托第三方机构销毁个人信息,如委托,是否核实第三方的合规资质,是否签订销毁协议,明确双方责任。
存储设备管理:对存储个人信息的服务器、电脑、移动存储设备(U盘、硬盘等),是否建立管理制度,明确管理责任人;是否定期对存储设备进行安全检查,及时发现并处置安全隐患;报废、处置存储设备时,是否先进行信息销毁,防止信息泄露。
3. 审计程序
查阅个人信息存储管理制度、安全技术方案,核实存储技术措施、备份机制、存储期限等情况。
实地查看个人信息存储机房、存储设备,检查存储设备的安全管理情况、加密措施落实情况;查阅信息安全等级保护测评报告,核实存储系统的安全等级。
查阅个人信息存储台账、备份记录,核实存储期限、备份情况;抽查部分个人信息,核实存储内容与收集目的的一致性。
查阅个人信息删除记录、销毁记录,核实删除、销毁的规范性、完整性;实地查看销毁现场(如纸质资料粉碎、存储设备销毁),或抽查第三方销毁协议、销毁报告,核实销毁成效。
检查存储设备的报废、处置流程,核实报废设备的信息销毁情况;与数据管理人员、技术人员访谈,了解存储、删除、销毁的实际操作流程。
(四)个人信息使用、加工与传输环节审计
1. 审计内容
重点审计保险机构个人信息使用、加工的合规性,以及个人信息传输(包括内部传输、外部共享、出境传输)的安全性、规范性,防范信息滥用、泄露风险。
2. 审计重点
使用与加工合规性:使用、加工个人信息是否符合收集时的目的,是否超出目的范围使用、加工;是否遵循“最小必要”原则,仅使用、加工实现业务目的所需的个人信息;是否对个人信息进行脱敏、去标识化处理,尤其是敏感个人信息,防止信息泄露;是否存在非法使用个人信息进行营销、推销,或向无关第三方提供个人信息的行为;自动化决策(如核保、定价、理赔审核)使用个人信息时,是否保证决策的公平、公正、透明,是否向被决策对象说明决策的依据、逻辑,是否提供申诉渠道。
内部传输规范性:个人信息在保险机构内部各部门、各分支机构之间传输时,是否建立传输管理制度,明确传输流程、安全措施;是否采用加密等安全技术手段,确保传输过程中的信息安全;是否明确内部传输的权限,禁止未经授权的部门、人员获取个人信息;是否建立内部传输记录,记录传输的时间、内容、接收方、责任人。
外部共享合规性:向第三方共享个人信息时,是否获得被收集者的单独同意(敏感个人信息)或有效同意(普通个人信息);是否与第三方签订个人信息保护合作协议,明确双方权利义务、风险责任,要求第三方采取相应的安全保护措施;是否对第三方的个人信息处理活动进行监督、评估,及时发现并处置第三方的违规行为;是否建立个人信息共享台账,记录共享的时间、内容、接收方、用途、责任人;是否存在未经同意擅自向第三方共享个人信息,或共享个人信息超出约定用途的行为。
出境传输合规性:向境外传输个人信息时,是否符合《个人信息出境安全评估办法》等相关要求,是否完成安全评估、备案等手续;是否与境外接收方签订个人信息出境合作协议,明确双方的安全保护责任;是否对境外接收方的个人信息处理活动进行监督,确保其符合我国法律法规要求;是否存在未经合规评估擅自向境外传输个人信息的行为。
技术防护:个人信息使用、加工、传输过程中,是否采取加密、访问控制、日志审计等技术措施,防范信息泄露、篡改、滥用;是否定期对技术防护措施进行检测、升级,确保其有效性。
3. 审计程序
查阅个人信息使用、加工管理制度,抽查个人信息使用、加工的相关记录,核实使用、加工的合规性;测试自动化决策系统,核实决策的公平性、透明度,查看申诉渠道的建立情况。
查阅内部传输管理制度、传输记录,检查内部传输的安全措施、权限控制情况;与内部各部门工作人员访谈,了解内部传输的实际流程。
查阅第三方合作协议、个人信息共享台账、同意记录,核实外部共享的合规性;抽查第三方的个人信息处理情况,核实第三方是否按约定用途使用个人信息,是否采取安全保护措施。
查阅个人信息出境安全评估报告、备案文件、出境合作协议,核实出境传输的合规性;与相关负责人访谈,了解境外接收方的监督情况。
检查个人信息使用、加工、传输过程中的技术防护措施,测试加密、访问控制、日志审计等功能的有效性;查阅技术检测报告,核实技术防护措施的运行情况。
(五)个人信息保护应急处置与权利保障审计
1. 审计内容
重点审计保险机构个人信息泄露等安全事件的应急处置能力,以及被收集者个人信息权利的保障情况,确保及时处置风险、维护消费者合法权益。
2. 审计重点
应急处置机制:是否建立个人信息保护应急处置预案,明确应急组织架构、应急响应流程、处置措施、责任分工;预案是否具有针对性、可操作性,是否结合保险行业特点,覆盖信息泄露、丢失、滥用等各类突发事件;是否定期开展应急演练,提升应急处置能力;是否建立应急处置台账,记录应急事件的发生时间、原因、处置过程、处置结果。
事件处置规范:发生个人信息泄露等安全事件时,是否及时启动应急预案,采取补救措施(如停止泄露、删除违规信息、通知相关人员);是否按要求向监管部门报告事件情况(包括事件性质、影响范围、处置措施、整改计划等);是否及时告知被泄露信息的被收集者,告知内容是否清晰、准确,是否提供相应的补救措施、权利救济途径。
权利保障情况:是否建立被收集者个人信息权利救济机制,明确被收集者查询、更正、补充、删除、撤回同意等权利的行使方式、途径、时限;是否及时响应被收集者的权利请求,在法定时限内完成处理并反馈;是否存在拒绝、拖延处理被收集者权利请求的行为;是否建立权利请求处理台账,记录请求内容、处理过程、处理结果。
投诉处理:是否建立个人信息保护相关投诉处理机制,明确投诉接收渠道、处理流程、处理时限;是否及时处理消费者关于个人信息保护的投诉,妥善解决投诉问题;是否建立投诉处理台账,记录投诉内容、处理过程、处理结果、客户满意度;对投诉集中的问题,是否及时分析原因,采取整改措施。
个人信息保护影响评估(PIA):是否在处理敏感个人信息、开展自动化决策、与第三方共享个人信息、向境外传输个人信息等重大个人信息处理活动前,开展PIA;PIA报告是否真实、完整,是否涵盖处理活动的合法性、合理性、安全性,是否提出风险防控措施;是否根据PIA结果优化个人信息处理活动,防范风险。
3. 审计程序
查阅个人信息保护应急处置预案、应急演练记录、应急处置台账,核实应急处置机制的健全性、应急演练的开展情况、应急事件的处置规范。
抽查个人信息安全事件的处置资料,核实事件报告、信息告知、补救措施的落实情况;与应急处置相关负责人访谈,了解应急处置的实际流程、能力建设情况。
查阅个人信息权利救济机制文件、权利请求处理台账,抽查部分权利请求的处理情况,核实权利保障的落实情况;随机抽取部分被收集者进行回访,了解其权利行使情况、对处理结果的满意度。
查阅投诉处理机制文件、投诉处理台账,抽查部分个人信息保护相关投诉的处理情况,核实投诉处理的及时性、有效性;分析投诉集中的问题,核实是否采取了整改措施。
查阅PIA报告,核实PIA开展的范围、内容、质量;与相关负责人访谈,了解PIA结果的运用情况、风险防控措施的落实情况。
五、保险行业个人信息保护专项审计问题与建议
(一)保险行业个人信息保护专项审计问题
本次审计聚焦个人信息全生命周期处理活动及治理体系建设,共发现违规问题18项,其中重大违规问题4项、一般违规问题14项,涵盖治理体系、收集、存储与销毁、使用加工与传输、应急处置与权利保障5个模块,具体如下:
1、个人信息保护治理体系不完善
(1)未建立健全个人信息保护领导小组,未明确董事会、高级管理层的个人信息保护职责,仅指定一名合规专员兼任个人信息保护负责人,履职权限不足,无法独立、有效开展工作。
(2)信息保护管理制度不健全,未制定敏感个人信息处理专项管理制度、第三方合作信息安全管理制度,现有管理制度未结合最新法律法规及监管要求及时修订,部分条款与《个人信息保护法》冲突。
(3)未将个人信息保护工作纳入各部门、各岗位绩效考核,未建立责任追究机制,对以往出现的客户信息泄露问题,未追究相关人员责任;全员合规培训频次不足,2025年仅开展1次全员培训,核心岗位人员未开展专项培训,部分营销人员对个人信息保护法律法规不熟悉。
2、个人信息收集环节违规问题突出
(1)违规过度收集个人信息,投保单中要求客户填写与投保无关的个人收入明细、家庭住址具体到门牌号等信息,线上APP投保时,强制要求获取客户通讯录、相册权限,否则无法使用投保服务,违反“最小必要”原则。
(2)敏感个人信息收集未履行单独同意义务,收集客户健康状况、人脸信息时,仅在隐私政策中笼统提及,未单独向客户告知处理目的、处理方式及风险,未获取客户单独同意;收集未成年人个人信息时,未获得其监护人的书面同意。
(3)通过第三方营销合作方收集个人信息时,未核实第三方合规资质,未签订个人信息保护合作协议,未对第三方收集个人信息的过程进行监督,部分第三方通过非法渠道获取客户信息后提供给被审计机构。
3、个人信息存储与销毁环节存在安全隐患
(1)个人信息存储未采取规范的加密、脱敏措施,部分敏感个人信息(如体检报告、人脸数据)以明文形式存储,存储系统未达到等保三级要求,未定期开展安全测评;未建立完善的个人信息存储备份机制,部分客户数据备份不及时,存在数据丢失风险。
(2)存在超期限存储个人信息问题,部分已终止保险合同的客户信息,未按规定及时删除,仍长期存储在系统中,最长存储期限超过5年,超出业务需要及法律法规要求。
(3)个人信息销毁不规范,纸质投保单、理赔资料销毁时,未采用粉碎等符合安全要求的销毁方式,仅进行简单撕毁,且无专人监督、无销毁记录;报废的存储设备未进行信息彻底销毁,直接变卖,存在信息泄露风险。
4、个人信息使用、加工与传输环节违规
(1)超范围使用个人信息,将客户个人信息用于与保险业务无关的营销推广活动,未经客户同意,向客户发送其他金融产品广告,部分营销人员私下将客户信息转发给其他保险机构,获取不正当利益。
(2)向第三方共享个人信息时,未获得客户有效同意,共向3家第三方数据服务商共享客户敏感个人信息,未签订合作协议,未对第三方个人信息处理活动进行监督,存在信息滥用风险。
(3)个人信息内部传输不规范,各分支机构之间传输客户信息时,未采用加密技术手段,未建立传输记录,部分未经授权的人员可随意访问、下载客户信息。
5、应急处置与权利保障不到位
(1)未建立完善的个人信息保护应急处置预案,未明确应急组织架构、处置流程及责任分工,2025年未开展任何应急演练,发生1起客户信息泄露事件后,未及时启动应急处置措施,未按要求向监管部门报告,也未告知被泄露信息的客户。
(2)未建立健全客户个人信息权利救济机制,未明确客户查询、更正、删除、撤回同意等权利的行使方式及时限,2025年共收到客户权利请求12起,均存在拖延处理、拒绝处理的情况,未建立权利请求处理台账。
(3)未按要求开展个人信息保护影响评估(PIA),在与第三方共享敏感个人信息、开展自动化核保等重大个人信息处理活动前,未开展PIA,未识别相关风险隐患。
(二)保险行业内部控制专项审计建议
本次保险行业内部控制专项审计案例,结合当前保险行业严监管态势和高频违规问题,为保险机构完善内部控制、防范经营风险、规范合规经营提出审计建议:
1. 保险机构需强化合规意识,坚守监管底线。当前金融监管部门对保险行业违规行为的惩戒力度持续加大,“五虚”问题、销售误导、中介违规等仍是监管重点,保险机构应提高思想认识,将合规经营贯穿于业务全流程,严格遵守《保险公司监管评级办法》等监管规定,摒弃“重业绩、轻合规”“重发展、轻内控”的理念,强化全员合规意识,从根源上杜绝违规行为的发生,切实保护投保人合法权益。
2. 完善内控体系,实现内控与业务深度融合。保险机构应结合自身业务特点和行业监管要求,全面梳理内部控制制度,修订完善销售、理赔、资金、中介等核心环节的内控流程,确保内控制度具有可操作性、针对性,避免内控与业务脱节;同时,加强内控流程的执行力度,明确各环节责任,建立健全岗位制衡机制,确保内控流程落地执行,充分发挥内部控制防范风险、规范管理的作用。
3. 强化重点领域管控,防范高频违规风险。针对保险行业销售误导、虚假理赔、虚列费用、中介违规等高频内控漏洞,保险机构应重点强化对这些领域的管控,建立专项监督机制,定期开展专项检查,及时发现和整改问题;加强对代理人、理赔人员、财务人员等关键岗位人员的管理和培训,提升其专业能力和合规意识,规范岗位操作,防范岗位风险。
4. 健全监督考核机制,强化责任追究。保险机构应建立健全内部控制监督机制,将日常监督与专项审计相结合,定期开展内部控制有效性评价,及时发现内控体系中的薄弱环节,持续优化内控体系;同时,完善考核评价体系,将内控执行情况、合规经营情况纳入部门及个人考核,与绩效挂钩,强化责任追究,对违规操作、内控执行不到位的部门和个人,严肃追究责任,形成“不敢违规、不能违规、不想违规”的良好氛围。
5. 加强科技赋能,提升内控管理效率。当前保险行业数字化转型加速,保险机构应充分利用大数据、人工智能等技术,完善业务系统、财务系统、代理人管理系统,实现数据互通共享,提升数据核查效率,及时发现数据异常和违规行为;利用数字化工具优化内控流程,实现内控流程的自动化、智能化监管,降低人工操作风险,提升内控管理的精细化、高效化水平,契合行业内控管理精细化的发展诉求。
