保险公司个人信息保护内部审计实践探究

杨栋

[摘要]本文从保险公司内部审计视角出发，对个人信息保护内部审计内容和方法进行了探讨，同时介绍了部分审计实践案例，内部审计部门充分发挥建设性作用，促进保险公司进一步强化个人信息保护管理、防范个人信息泄露风险，也为其他保险公司个人信息保护的审计实务工作提供了借鉴。

[关键词]保险公司   个人信息保护   内部审计

一、保险公司个人信息保护审计的必要性

根据国家监管要求，保险公司作为重要的个人信息持有者、处理者，定期开展个人信息保护合规审计，已成为一项法定事项。内部审计应及时关注公司在个人信息保护领域存在的风险隐患和管控疏漏，更好地利用大数据分析等数字化手段开展个人信息保护内部审计工作，确保审计覆盖个人信息处理活动全生命周期流程的各个阶段，推动保险公司个人信息保护水平提升。

二、保险公司个人信息保护审计的内容与方法

围绕客户个人信息保护的制度建设、权限管理、采集存储、使用处理及调用、外部合作等环节，检查公司落实客户个人数据全生命周期的各项安全管理要求等情况，重点关注是否存在信息系统管控漏洞，是否发生重大泄露、篡改、丢失个人信息的案件，是否造成公司重大损失。

（一）制度建设

关注制度体系的健全性，是否建立客户个人信息安全管理工作机制，是否建立和完善客户个人数据统一管理制度、客户信息管理的技术规范及标准，是否完善并细化涉及客户个人信息岗位的职责和管理流程。

1.获取被审计机构关于个人信息保护方面的领导机构、管理制度、实施细则、操作流程、岗位说明书等文件，了解被审计机构个人信息保护工作机制建立情况，管理制度中的内容是否符合监管部门有关个人信息保护及公司制度的相关要求。根据上述文件资料，核查是否按规定完善并细化相关制度条款，流程是否具备可操作性，机构和部门是否明确规定客户信息安全相关岗位的管理责任和技术实施标准，对应的岗位说明书内容是否符合监管和公司要求。

2.访谈相关人员，了解被审计机构个人信息保护工作具体开展情况，是否按规定配备相关岗位人员，工作流程是否存在疏漏环节，是否按照规定开展相关培训等，相关人员对公司客户信息安全等管理制度是否清楚，执行过程中是否遇到问题或者存在制度内容无法执行的情形。根据访谈情况，抽查被审计机构个人信息保护工作过程的培训、协议等相关资料，核对是否符合监管要求和公司制度要求，核查个人信息保护岗位工作人员的工作是否符合岗位说明书的要求，是否按照操作流程开展工作。

（二）权限管理

关注权限管理的有效性，是否明确涉及客户信息系统权限的申请资格、授权规则及管控机制；是否加强客户信息管理及使用的权限设置；涉及客户信息的用户权限是否经授权审批，权限范围是否超出其工作职责范围；授权人员是否将权限移交他人使用，发生岗位变动或离职的，其权限是否及时收回；系统对使用记录是否留痕存档。

1.向公司IT、应用系统管理部门了解涉及客户信息的系统情况，公司对系统用户权限的申请资格、管控流程和授权规则等是否有明确标准，系统用户权限是否存在未经账号权限管理系统进行授权审批的情况，经系统授权审批的用户权限是否符合公司授权管理制度要求，系统对客户信息的使用、导出等操作记录是否留痕存档以便于核查追溯。

2.获取涉及客户信息系统的用户权限清单，调取相应权限申请记录，核查申请权限审批记录是否符合公司相关要求。调取相应人员工作岗位职责表，结合系统权限清单，核查其权限范围是否超出其工作职责范围。

3.获取审计期间离职、岗位变动及轮岗人员清单，与系统用户权限清单比对，核查涉及客户信息系统用户权限的离职或岗位变动、轮岗人员是否办理交接手续，其系统权限是否进行及时清理，人员离岗后其系统账号是否仍有登录、查询、操作等记录。

4.现场实地检查员工办公电脑，查看是否按要求安装数据防泄漏软件，是否私自安装具有存储、传输功能的相关软件，是否保存客户敏感信息的数据电子清单。查看账户登录信息，是否存在擅自将工号授权他人使用，使用的系统和应用模块是否涉及客户信息泄露等。

（三）采集与存储

关注客户信息采集的规范性，是否向客户明确告知并取得客户的有效授权，是否设置客户撤回授权的通道；是否超出业务办理所必需的范围，是否通过非法途径或非合规途径采集客户信息；通过网络运营平台采集信息时，是否与客户签署隐私条款，是否以默认授权、功能捆绑等形式强迫、误导客户同意收集其个人信息。关注客户信息存储的真实性和完整性，是否存在个人信息被泄露、篡改、毁损或挪作他用等情况；是否根据信息字段的敏感性进行相应的权限管理和系统加密处理；是否建立客户信息纸质档案的审批、调用制度；是否擅自修改客户信息。

1.核查公司官网、官微、APP等销售平台披露的隐私内容，是否包含采集信息时需向客户明确告知的使用目的、方式、范围、保存期限及到期后处理等规则，是否与客户签署隐私条款并获得客户的有效授权，是否设置客户撤回授权的便利通道。测试上述平台的信息采集与存储环节，是否明确告知客户采集、使用、处理等事项，是否为客户提供查询、更正、删除个人信息的途径和方法，采集的信息是否为办理业务所必需，是否存在过度收集客户信息等情况。

2.获取格式化保险合同、投保单及保全、理赔业务办理申请表等纸质资料，核查是否包含无法选择的不合理授权条款，是否存在强制客户同意将其信息用于与所办理业务无关的用途或故意模糊授权事项范围等，是否以默认授权等形式误导客户同意收集其个人信息。

3.访谈公司业务员，了解其日常开展客户经营活动或面访客户等情况，在获取客户信息时，是否告知客户个人信息的使用用途，公司对业务员获取的信息是否采取适当措施确保客户信息安全，防止出现客户信息被泄露的风险。

4.现场对涉及客户信息的系统进行穿行测试，从查询显示、复制粘贴、导出保存等环节核查系统存储功能，核查系统是否对敏感信息字段进行相应权限管理和加密处理；对涉及客户信息的关键岗位人员，抽查其电脑存储资料，查看客户信息是否得到必要的加密处理，是否违规收集客户信息、违规保存客户关键信息的电子资料。

5.核查客户信息的纸质档案是否严格保管并建立调用审批流程，调用记录是否登记造册；到办公场所开展突击检查，包含客户信息的申请表、提示书、投保单、合同协议等纸质业务材料是否按照档案管理要求统一装订、锁柜保管；是否存在已填写的纸质材料由业务员私自保存且长期未上交等情况。

6.向IT部门了解公司的日常监控措施，对于客户信息存储到系统后，是否存在未经授权或审批擅自修改客户信息等情况，是否开展定期或不定期的自查或抽查；了解公司对办公电脑等设备的管理流程，在维修或报废处理时，是否安排专人对具有存储功能的硬盘进行统一处理，是否存在将电脑及硬盘直接交于第三方销毁等情况。

（四）使用处理及调用

关注客户信息使用和处理的规范性，处理前是否向客户告知相关处理事项；是否未经同意公开客户个人信息，或将客户信息用于其他用途；处理未成年人信息前是否取得其监护人同意；利用个人信息进行自动化决策时，对客户在交易价格等交易条件上是否实行不合理的差别待遇；在进行信息推送、商业营销时是否向客户提供便捷的拒绝方式。关注客户信息调用的合规性，在客户数据导出时是否经合理授权及审批，是否采取去标识化处理客户信息，重要信息是否经脱敏处理，是否采用不安全的存储设备进行拷贝；是否未经审批私自打印、复制客户信息，是否擅自对外发布或外传客户信息；是否明确客户信息的使用时限，超过使用时限的客户数据是否及时回收或销毁。

1.了解公司在处理客户个人信息前，是否以显著方式、清晰易懂的语言真实、准确、完整地向客户告知个人信息处理的目的、方式、期限、范围等事项，是否取得客户同意，涉及不满14周岁未成年人个人信息的，是否取得其监护人的同意。调取保全、理赔等业务处理清单，获取相应申请资料，核查代办业务是否获得客户授权，是否存在未经客户同意的情况下，擅自办理业务或冒充客户办理业务等。

2.获取公司各类保险产品的保费明细清单，核查是否存在同类产品保费不同的情况，如存在需进一步核实原因；是否存在通过大数据、人工智能等技术进行精准营销获客、自动化推送决策、算法杀熟等情况；在进行信息推送、商业营销时，是否向客户提供了便捷的拒绝方式。

3.访谈公司相关人员，在开展续期收费、高端客户经营、质押贷款逾期催收等营销服务、客户服务活动时，从系统调用的客户信息是否经公司审批，重要信息的传输方式及终端是否经公司授权；公司是否存在与第三方机构或个人传输客户个人信息等情况，如存在需进一步了解是否向客户告知具体的共享信息内容、传输目的及共享信息的第三方名称，是否获得客户同意，传输的个人信息是否采取去标识化处理；公司使用客户信息时是否明确使用期限，超出使用期限的客户数据是否及时回收或销毁。

4.现场测试数据防泄漏系统，在进行客户数据的网络传输、硬盘拷贝时，系统是否有拦截报警功能，是否针对导出数据等行为设置审批及授权程序；获取数据防泄漏监控日志清单，根据文档名称以及数据防泄漏类型，核查是否存在涉及个人客户信息电子资料被导出或拷贝等情况，如存在需筛选对应的账户工号，进一步了解其操作目的以及是否存在泄露情况。

5.现场对通过界面展示客户信息的系统进行穿行测试，除日常业务查询模块外，是否存在数据导出、下载、保存等模块，相关系统是否对其展示的客户敏感信息进行去标识化处理；重要客户数据是否可以通过网络邮箱、移动硬盘等进行网络传输、设备存储等；系统是否对复制、打印客户信息进行限制。

6.提取保全代办业务、理赔报案明细清单，筛选代办人较为集中的保全业务数据，筛选报案人与被保险人关系为公司雇员、业务员的报案清单，调取对应申请资料，结合电话回访核查对应业务是否获得客户授权，是否存在未经客户同意擅自修改、篡改客户信息等情况。

7.调取投诉清单，结合投诉内容，核查是否存在以产品升级、提升服务体验等为由，要求客户提供身份证号码等个人信息的相关投诉，如存在需进一步核实投诉处理过程和结果，是否存在以误导方式获取客户信息的情况；以关键词搜索“泄露”“骚扰”“推销电话”“个人信息”等内容，如存在需进一步核实具体的投诉内容和相应的处理过程，核查是否存在泄露客户信息等情况。

（五）外部合作

关注外部合作业务的合规性，是否与第三方服务机构签署保密协议，是否对保密协议中外部数据的合规性进行审核；是否在客户授权范围内向第三方传输客户信息；委托合作方处理个人信息时，是否与受托人约定委托处理的内容，是否对受托人的个人信息处理活动进行监督；是否在客户授权范围内对外提供客户信息，是否根据协议提供脱敏、去标识化数据。

1.调取与公司开展外部合作的第三方机构清单，核查是否与第三方机构签署保密协议，协议内容是否明确合作机构个人信息安全保护的责任和义务；若存在委托合作方处理个人信息的，是否与受托人约定委托处理的目的、期限、处理方式、个人信息种类、保护措施等，是否采取合理措施对受托人的个人信息处理活动进行监督。

2.在与第三方机构开展业务时，传输的客户信息是否超出合作协议范围，是否在客户同意的授权范围内。现场核查对外提供客户信息的传递方式，是否存在以移动硬盘拷贝、邮箱发送、网络传输等不安全的渠道传输客户信息，如果是系统对接或人工提数等方式，核查系统传输信息的安全性，是否根据协议提供脱敏、去标识化的客户信息。

3.获取终止合作的第三方机构清单，结合协议内容，了解公司是否及时阻断系统提数程序，是否监督第三方机构及时删除或销毁在合作期间获得的客户个人信息。

三、保险公司个人信息保护审计发现的问题

近年来，根据国家对个人信息保护的审计要求，内部审计人员梳理了保险公司个人信息保护的审计内容及方法，同时开展了覆盖总公司及所有分公司的法定专项审计项目，发现了一批个人信息保护方面的问题，通过审计“对账销号”进行闭环整改，堵塞了公司在经营过程中存在管控漏洞，取得了一定的审计成效。

（一）防泄漏软件部分功能失效易导致信息泄露风险

公司防泄漏软件作为对内外部信息进行集中监控和管理的软件，是办公终端访问公司内部网络的准入规则之一，即未安装防泄漏软件的设备将无法访问内部网络。在某分公司现场审计时发现部分办公终端的防泄漏软件状态异常，审计人员将测试用敏感信息文件向外网邮箱发送、本地纸质打印均可正常进行，防泄漏客户端未产生任何响应或提示，相关操作未被拦截，通过IT后台调取信息防泄漏拦截清单，发现异常终端的信息传输情况未被后台记录。防泄漏软件的“敏感信息拦截”核心功能失效，导致信息保护失效，存在较严重的风险漏洞。

（二）在未获得客户授权的情况下违规采集个人信息

“智能面访”工具是公司业务员使用最多、运用最广的客户积累工具之一，即客户通过微信扫描业务员提供的二维码，依次录入客户姓名、手机号码、证件号等信息后即可提交。审计测试后发现，该工具在客户信息采集的过程中，未获取客户授权、未与客户签署隐私条款，也未告知客户所收集个人信息的目的、方式和范围，存在违规采集客户个人信息的情况。

（三）存储及处理使用客户个人信息环节存在安全隐患

1.业务员可通过公司某APP“保单”模块，查阅本人销售客户的所有数字投保单，该数字投保单包含客户姓名、身份证号码、联系方式、地址、投保金额等个人隐私信息，并且上述敏感信息均未进行脱敏处理，业务员可以随意通过微信、个人邮箱、QQ等工具传输客户数字投保单涉及的隐私信息，存在信息安全隐患。

2.部分基层机构存在私自留存且随意摆放客户纸质敏感资料的情况，涉及身份证复印件、银行卡（存折）复印件、客户既往理赔资料等文件，以及手工抄录的客户姓名、身份证号、手机号等信息，存在客户信息泄露风险。

3.个别机构IT部门个别员工的电脑及公共移动硬盘中留存政保客户理赔明细、客户回访补访明细等敏感信息，私自保存多个部门共计60余名员工的内网登录账号及密码，以及公司多个后台系统登录网址、账号、密码等，存在数据安全泄露风险。

（四）外部合作机构对客户信息处理不规范

个别分公司将团政业务客户理赔工作委托第三方外包供应商经办，审计发现外包服务人员获取客户结算清单数据后，再通过个人微信或U盘将数据传输至分公司，用于核对结算外包服务费；分公司调查员通过个人外部邮箱将客户理赔资料传输至理赔外包供应商经办人员个人邮箱，用于委托理赔调查。上述理赔清单、理赔资料含有客户姓名、身份证号、手机号码等敏感信息。审计人员对双方的协议进行核查，发现协议并未约定上述信息的脱敏处理及传输方式，也未对业务到期后客户信息的删除、销毁方式进行约定。

四、提升保险公司个人信息保护审计效果的建议

在全面数字化转型的新时期，保险行业个人信息保护事关金融消费者权益保护和个人信息安全等重要问题，个人信息保护法的施行也对内部审计提出了更高的要求。保险公司内部审计需充分发挥其监督、评价、服务、咨询等功能，推动公司在合规经营的前提下实现高质量发展，具体来说可以从以下三方面着手。

（一）对标国家监管要求，开展全面分析研究

个人信息保护合规审计属于新兴审计领域，需要对个人信息保护法以及监管要求进行分析研究，结合本公司的制度规定及业务流程，梳理内部体制机制以及制度规定上是否符合国家及监管的硬性要求，在此基础上对公司个人信息保护的审计依据、审计范围及事项、重点审计内容及风险点、审计程序及方法等开展研究，同时将个人信息保护法定审计列入全年审计计划中，确保审计全覆盖。

（二）培养复合型审计人才，切实提高审计能力

个人信息保护合规审计对内部审计人员的审计能力提出了更高要求，一方面要有信息系统及数据分析的审计能力，信息的采集、存储、处理使用等往往基于平台、系统、软件、数据等开展，这就决定了审计人员要有信息系统及数据处理的能力；另一方面要加强培训管理，打造业务精通、一专多能的审计队伍，切实提升审计人员的专业能力，推动个人信息保护内部审计工作顺利开展。

（三）注重审计整改，做好审计下半篇文章

审计不仅要准确揭示问题，后续还需追根溯源，查原因、堵漏洞、补短板，推动审计整改闭环管理。发挥审计监督的精准性、有效性，一方面要剖析问题背后的体制机制障碍、管理控制漏洞、执行操作缺陷，提出切实可行的审计建议；另一方面还要协调部门之间协同联动开展审计整改，有针对性地跟踪督促、情况反馈、对账销号，将审计整改的制度优势转化为治理效能。

[作者单位：中国太平洋保险（集团）股份有限公司审计中心，邮政编码：200010，电子邮箱：dyang124@126.com]