楊棟

[摘要]本文從保險公司內(nèi)部審計視角出發(fā)，對個人信息保護內(nèi)部審計內(nèi)容和方法進行了探討，同時介紹了部分審計實踐案例，內(nèi)部審計部門充分發(fā)揮建設(shè)性作用，促進保險公司進一步強化個人信息保護管理、防范個人信息泄露風(fēng)險，也為其他保險公司個人信息保護的審計實務(wù)工作提供了借鑒。

[關(guān)鍵詞]保險公司? ?個人信息保護? ?內(nèi)部審計

一、保險公司個人信息保護審計的必要性

根據(jù)國家監(jiān)管要求，保險公司作為重要的個人信息持有者、處理者，定期開展個人信息保護合規(guī)審計，已成為一項法定事項。內(nèi)部審計應(yīng)及時關(guān)注公司在個人信息保護領(lǐng)域存在的風(fēng)險隱患和管控疏漏，更好地利用大數(shù)據(jù)分析等數(shù)字化手段開展個人信息保護內(nèi)部審計工作，確保審計覆蓋個人信息處理活動全生命周期流程的各個階段，推動保險公司個人信息保護水平提升。

二、保險公司個人信息保護審計的內(nèi)容與方法

圍繞客戶個人信息保護的制度建設(shè)、權(quán)限管理、采集存儲、使用處理及調(diào)用、外部合作等環(huán)節(jié)，檢查公司落實客戶個人數(shù)據(jù)全生命周期的各項安全管理要求等情況，重點關(guān)注是否存在信息系統(tǒng)管控漏洞，是否發(fā)生重大泄露、篡改、丟失個人信息的案件，是否造成公司重大損失。

（一）制度建設(shè)

關(guān)注制度體系的健全性，是否建立客戶個人信息安全管理工作機制，是否建立和完善客戶個人數(shù)據(jù)統(tǒng)一管理制度、客戶信息管理的技術(shù)規(guī)范及標(biāo)準(zhǔn)，是否完善并細化涉及客戶個人信息崗位的職責(zé)和管理流程。

1.獲取被審計機構(gòu)關(guān)于個人信息保護方面的領(lǐng)導(dǎo)機構(gòu)、管理制度、實施細則、操作流程、崗位說明書等文件，了解被審計機構(gòu)個人信息保護工作機制建立情況，管理制度中的內(nèi)容是否符合監(jiān)管部門有關(guān)個人信息保護及公司制度的相關(guān)要求。根據(jù)上述文件資料，核查是否按規(guī)定完善并細化相關(guān)制度條款，流程是否具備可操作性，機構(gòu)和部門是否明確規(guī)定客戶信息安全相關(guān)崗位的管理責(zé)任和技術(shù)實施標(biāo)準(zhǔn)，對應(yīng)的崗位說明書內(nèi)容是否符合監(jiān)管和公司要求。

2.訪談相關(guān)人員，了解被審計機構(gòu)個人信息保護工作具體開展情況，是否按規(guī)定配備相關(guān)崗位人員，工作流程是否存在疏漏環(huán)節(jié)，是否按照規(guī)定開展相關(guān)培訓(xùn)等，相關(guān)人員對公司客戶信息安全等管理制度是否清楚，執(zhí)行過程中是否遇到問題或者存在制度內(nèi)容無法執(zhí)行的情形。根據(jù)訪談情況，抽查被審計機構(gòu)個人信息保護工作過程的培訓(xùn)、協(xié)議等相關(guān)資料，核對是否符合監(jiān)管要求和公司制度要求，核查個人信息保護崗位工作人員的工作是否符合崗位說明書的要求，是否按照操作流程開展工作。

（二）權(quán)限管理

關(guān)注權(quán)限管理的有效性，是否明確涉及客戶信息系統(tǒng)權(quán)限的申請資格、授權(quán)規(guī)則及管控機制；是否加強客戶信息管理及使用的權(quán)限設(shè)置；涉及客戶信息的用戶權(quán)限是否經(jīng)授權(quán)審批，權(quán)限范圍是否超出其工作職責(zé)范圍；授權(quán)人員是否將權(quán)限移交他人使用，發(fā)生崗位變動或離職的，其權(quán)限是否及時收回；系統(tǒng)對使用記錄是否留痕存檔。

1.向公司IT、應(yīng)用系統(tǒng)管理部門了解涉及客戶信息的系統(tǒng)情況，公司對系統(tǒng)用戶權(quán)限的申請資格、管控流程和授權(quán)規(guī)則等是否有明確標(biāo)準(zhǔn)，系統(tǒng)用戶權(quán)限是否存在未經(jīng)賬號權(quán)限管理系統(tǒng)進行授權(quán)審批的情況，經(jīng)系統(tǒng)授權(quán)審批的用戶權(quán)限是否符合公司授權(quán)管理制度要求，系統(tǒng)對客戶信息的使用、導(dǎo)出等操作記錄是否留痕存檔以便于核查追溯。

2.獲取涉及客戶信息系統(tǒng)的用戶權(quán)限清單，調(diào)取相應(yīng)權(quán)限申請記錄，核查申請權(quán)限審批記錄是否符合公司相關(guān)要求。調(diào)取相應(yīng)人員工作崗位職責(zé)表，結(jié)合系統(tǒng)權(quán)限清單，核查其權(quán)限范圍是否超出其工作職責(zé)范圍。

3.獲取審計期間離職、崗位變動及輪崗人員清單，與系統(tǒng)用戶權(quán)限清單比對，核查涉及客戶信息系統(tǒng)用戶權(quán)限的離職或崗位變動、輪崗人員是否辦理交接手續(xù)，其系統(tǒng)權(quán)限是否進行及時清理，人員離崗后其系統(tǒng)賬號是否仍有登錄、查詢、操作等記錄。

4.現(xiàn)場實地檢查員工辦公電腦，查看是否按要求安裝數(shù)據(jù)防泄漏軟件，是否私自安裝具有存儲、傳輸功能的相關(guān)軟件，是否保存客戶敏感信息的數(shù)據(jù)電子清單。查看賬戶登錄信息，是否存在擅自將工號授權(quán)他人使用，使用的系統(tǒng)和應(yīng)用模塊是否涉及客戶信息泄露等。

（三）采集與存儲

關(guān)注客戶信息采集的規(guī)范性，是否向客戶明確告知并取得客戶的有效授權(quán)，是否設(shè)置客戶撤回授權(quán)的通道；是否超出業(yè)務(wù)辦理所必需的范圍，是否通過非法途徑或非合規(guī)途徑采集客戶信息；通過網(wǎng)絡(luò)運營平臺采集信息時，是否與客戶簽署隱私條款，是否以默認(rèn)授權(quán)、功能捆綁等形式強迫、誤導(dǎo)客戶同意收集其個人信息。關(guān)注客戶信息存儲的真實性和完整性，是否存在個人信息被泄露、篡改、毀損或挪作他用等情況；是否根據(jù)信息字段的敏感性進行相應(yīng)的權(quán)限管理和系統(tǒng)加密處理；是否建立客戶信息紙質(zhì)檔案的審批、調(diào)用制度；是否擅自修改客戶信息。

1.核查公司官網(wǎng)、官微、APP等銷售平臺披露的隱私內(nèi)容，是否包含采集信息時需向客戶明確告知的使用目的、方式、范圍、保存期限及到期后處理等規(guī)則，是否與客戶簽署隱私條款并獲得客戶的有效授權(quán)，是否設(shè)置客戶撤回授權(quán)的便利通道。測試上述平臺的信息采集與存儲環(huán)節(jié)，是否明確告知客戶采集、使用、處理等事項，是否為客戶提供查詢、更正、刪除個人信息的途徑和方法，采集的信息是否為辦理業(yè)務(wù)所必需，是否存在過度收集客戶信息等情況。

2.獲取格式化保險合同、投保單及保全、理賠業(yè)務(wù)辦理申請表等紙質(zhì)資料，核查是否包含無法選擇的不合理授權(quán)條款，是否存在強制客戶同意將其信息用于與所辦理業(yè)務(wù)無關(guān)的用途或故意模糊授權(quán)事項范圍等，是否以默認(rèn)授權(quán)等形式誤導(dǎo)客戶同意收集其個人信息。

3.訪談公司業(yè)務(wù)員，了解其日常開展客戶經(jīng)營活動或面訪客戶等情況，在獲取客戶信息時，是否告知客戶個人信息的使用用途，公司對業(yè)務(wù)員獲取的信息是否采取適當(dāng)措施確?？蛻粜畔踩?，防止出現(xiàn)客戶信息被泄露的風(fēng)險。

4.現(xiàn)場對涉及客戶信息的系統(tǒng)進行穿行測試，從查詢顯示、復(fù)制粘貼、導(dǎo)出保存等環(huán)節(jié)核查系統(tǒng)存儲功能，核查系統(tǒng)是否對敏感信息字段進行相應(yīng)權(quán)限管理和加密處理；對涉及客戶信息的關(guān)鍵崗位人員，抽查其電腦存儲資料，查看客戶信息是否得到必要的加密處理，是否違規(guī)收集客戶信息、違規(guī)保存客戶關(guān)鍵信息的電子資料。

5.核查客戶信息的紙質(zhì)檔案是否嚴(yán)格保管并建立調(diào)用審批流程，調(diào)用記錄是否登記造冊；到辦公場所開展突擊檢查，包含客戶信息的申請表、提示書、投保單、合同協(xié)議等紙質(zhì)業(yè)務(wù)材料是否按照檔案管理要求統(tǒng)一裝訂、鎖柜保管；是否存在已填寫的紙質(zhì)材料由業(yè)務(wù)員私自保存且長期未上交等情況。

6.向IT部門了解公司的日常監(jiān)控措施，對于客戶信息存儲到系統(tǒng)后，是否存在未經(jīng)授權(quán)或?qū)徟米孕薷目蛻粜畔⒌惹闆r，是否開展定期或不定期的自查或抽查；了解公司對辦公電腦等設(shè)備的管理流程，在維修或報廢處理時，是否安排專人對具有存儲功能的硬盤進行統(tǒng)一處理，是否存在將電腦及硬盤直接交于第三方銷毀等情況。

（四）使用處理及調(diào)用

關(guān)注客戶信息使用和處理的規(guī)范性，處理前是否向客戶告知相關(guān)處理事項；是否未經(jīng)同意公開客戶個人信息，或?qū)⒖蛻粜畔⒂糜谄渌猛荆惶幚砦闯赡耆诵畔⑶笆欠袢〉闷浔O(jiān)護人同意；利用個人信息進行自動化決策時，對客戶在交易價格等交易條件上是否實行不合理的差別待遇；在進行信息推送、商業(yè)營銷時是否向客戶提供便捷的拒絕方式。關(guān)注客戶信息調(diào)用的合規(guī)性，在客戶數(shù)據(jù)導(dǎo)出時是否經(jīng)合理授權(quán)及審批，是否采取去標(biāo)識化處理客戶信息，重要信息是否經(jīng)脫敏處理，是否采用不安全的存儲設(shè)備進行拷貝；是否未經(jīng)審批私自打印、復(fù)制客戶信息，是否擅自對外發(fā)布或外傳客戶信息；是否明確客戶信息的使用時限，超過使用時限的客戶數(shù)據(jù)是否及時回收或銷毀。

1.了解公司在處理客戶個人信息前，是否以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向客戶告知個人信息處理的目的、方式、期限、范圍等事項，是否取得客戶同意，涉及不滿14周歲未成年人個人信息的，是否取得其監(jiān)護人的同意。調(diào)取保全、理賠等業(yè)務(wù)處理清單，獲取相應(yīng)申請資料，核查代辦業(yè)務(wù)是否獲得客戶授權(quán)，是否存在未經(jīng)客戶同意的情況下，擅自辦理業(yè)務(wù)或冒充客戶辦理業(yè)務(wù)等。

2.獲取公司各類保險產(chǎn)品的保費明細清單，核查是否存在同類產(chǎn)品保費不同的情況，如存在需進一步核實原因；是否存在通過大數(shù)據(jù)、人工智能等技術(shù)進行精準(zhǔn)營銷獲客、自動化推送決策、算法殺熟等情況；在進行信息推送、商業(yè)營銷時，是否向客戶提供了便捷的拒絕方式。

3.訪談公司相關(guān)人員，在開展續(xù)期收費、高端客戶經(jīng)營、質(zhì)押貸款逾期催收等營銷服務(wù)、客戶服務(wù)活動時，從系統(tǒng)調(diào)用的客戶信息是否經(jīng)公司審批，重要信息的傳輸方式及終端是否經(jīng)公司授權(quán)；公司是否存在與第三方機構(gòu)或個人傳輸客戶個人信息等情況，如存在需進一步了解是否向客戶告知具體的共享信息內(nèi)容、傳輸目的及共享信息的第三方名稱，是否獲得客戶同意，傳輸?shù)膫€人信息是否采取去標(biāo)識化處理；公司使用客戶信息時是否明確使用期限，超出使用期限的客戶數(shù)據(jù)是否及時回收或銷毀。

4.現(xiàn)場測試數(shù)據(jù)防泄漏系統(tǒng)，在進行客戶數(shù)據(jù)的網(wǎng)絡(luò)傳輸、硬盤拷貝時，系統(tǒng)是否有攔截報警功能，是否針對導(dǎo)出數(shù)據(jù)等行為設(shè)置審批及授權(quán)程序；獲取數(shù)據(jù)防泄漏監(jiān)控日志清單，根據(jù)文檔名稱以及數(shù)據(jù)防泄漏類型，核查是否存在涉及個人客戶信息電子資料被導(dǎo)出或拷貝等情況，如存在需篩選對應(yīng)的賬戶工號，進一步了解其操作目的以及是否存在泄露情況。

5.現(xiàn)場對通過界面展示客戶信息的系統(tǒng)進行穿行測試，除日常業(yè)務(wù)查詢模塊外，是否存在數(shù)據(jù)導(dǎo)出、下載、保存等模塊，相關(guān)系統(tǒng)是否對其展示的客戶敏感信息進行去標(biāo)識化處理；重要客戶數(shù)據(jù)是否可以通過網(wǎng)絡(luò)郵箱、移動硬盤等進行網(wǎng)絡(luò)傳輸、設(shè)備存儲等；系統(tǒng)是否對復(fù)制、打印客戶信息進行限制。

6.提取保全代辦業(yè)務(wù)、理賠報案明細清單，篩選代辦人較為集中的保全業(yè)務(wù)數(shù)據(jù)，篩選報案人與被保險人關(guān)系為公司雇員、業(yè)務(wù)員的報案清單，調(diào)取對應(yīng)申請資料，結(jié)合電話回訪核查對應(yīng)業(yè)務(wù)是否獲得客戶授權(quán)，是否存在未經(jīng)客戶同意擅自修改、篡改客戶信息等情況。

7.調(diào)取投訴清單，結(jié)合投訴內(nèi)容，核查是否存在以產(chǎn)品升級、提升服務(wù)體驗等為由，要求客戶提供身份證號碼等個人信息的相關(guān)投訴，如存在需進一步核實投訴處理過程和結(jié)果，是否存在以誤導(dǎo)方式獲取客戶信息的情況；以關(guān)鍵詞搜索“泄露”“騷擾”“推銷電話”“個人信息”等內(nèi)容，如存在需進一步核實具體的投訴內(nèi)容和相應(yīng)的處理過程，核查是否存在泄露客戶信息等情況。

（五）外部合作

關(guān)注外部合作業(yè)務(wù)的合規(guī)性，是否與第三方服務(wù)機構(gòu)簽署保密協(xié)議，是否對保密協(xié)議中外部數(shù)據(jù)的合規(guī)性進行審核；是否在客戶授權(quán)范圍內(nèi)向第三方傳輸客戶信息；委托合作方處理個人信息時，是否與受托人約定委托處理的內(nèi)容，是否對受托人的個人信息處理活動進行監(jiān)督；是否在客戶授權(quán)范圍內(nèi)對外提供客戶信息，是否根據(jù)協(xié)議提供脫敏、去標(biāo)識化數(shù)據(jù)。

1.調(diào)取與公司開展外部合作的第三方機構(gòu)清單，核查是否與第三方機構(gòu)簽署保密協(xié)議，協(xié)議內(nèi)容是否明確合作機構(gòu)個人信息安全保護的責(zé)任和義務(wù)；若存在委托合作方處理個人信息的，是否與受托人約定委托處理的目的、期限、處理方式、個人信息種類、保護措施等，是否采取合理措施對受托人的個人信息處理活動進行監(jiān)督。

2.在與第三方機構(gòu)開展業(yè)務(wù)時，傳輸?shù)目蛻粜畔⑹欠癯龊献鲄f(xié)議范圍，是否在客戶同意的授權(quán)范圍內(nèi)?，F(xiàn)場核查對外提供客戶信息的傳遞方式，是否存在以移動硬盤拷貝、郵箱發(fā)送、網(wǎng)絡(luò)傳輸?shù)炔话踩那纻鬏斂蛻粜畔?，如果是系統(tǒng)對接或人工提數(shù)等方式，核查系統(tǒng)傳輸信息的安全性，是否根據(jù)協(xié)議提供脫敏、去標(biāo)識化的客戶信息。

3.獲取終止合作的第三方機構(gòu)清單，結(jié)合協(xié)議內(nèi)容，了解公司是否及時阻斷系統(tǒng)提數(shù)程序，是否監(jiān)督第三方機構(gòu)及時刪除或銷毀在合作期間獲得的客戶個人信息。

三、保險公司個人信息保護審計發(fā)現(xiàn)的問題

近年來，根據(jù)國家對個人信息保護的審計要求，內(nèi)部審計人員梳理了保險公司個人信息保護的審計內(nèi)容及方法，同時開展了覆蓋總公司及所有分公司的法定專項審計項目，發(fā)現(xiàn)了一批個人信息保護方面的問題，通過審計“對賬銷號”進行閉環(huán)整改，堵塞了公司在經(jīng)營過程中存在管控漏洞，取得了一定的審計成效。

（一）防泄漏軟件部分功能失效易導(dǎo)致信息泄露風(fēng)險

公司防泄漏軟件作為對內(nèi)外部信息進行集中監(jiān)控和管理的軟件，是辦公終端訪問公司內(nèi)部網(wǎng)絡(luò)的準(zhǔn)入規(guī)則之一，即未安裝防泄漏軟件的設(shè)備將無法訪問內(nèi)部網(wǎng)絡(luò)。在某分公司現(xiàn)場審計時發(fā)現(xiàn)部分辦公終端的防泄漏軟件狀態(tài)異常，審計人員將測試用敏感信息文件向外網(wǎng)郵箱發(fā)送、本地紙質(zhì)打印均可正常進行，防泄漏客戶端未產(chǎn)生任何響應(yīng)或提示，相關(guān)操作未被攔截，通過IT后臺調(diào)取信息防泄漏攔截清單，發(fā)現(xiàn)異常終端的信息傳輸情況未被后臺記錄。防泄漏軟件的“敏感信息攔截”核心功能失效，導(dǎo)致信息保護失效，存在較嚴(yán)重的風(fēng)險漏洞。

（二）在未獲得客戶授權(quán)的情況下違規(guī)采集個人信息

“智能面訪”工具是公司業(yè)務(wù)員使用最多、運用最廣的客戶積累工具之一，即客戶通過微信掃描業(yè)務(wù)員提供的二維碼，依次錄入客戶姓名、手機號碼、證件號等信息后即可提交。審計測試后發(fā)現(xiàn)，該工具在客戶信息采集的過程中，未獲取客戶授權(quán)、未與客戶簽署隱私條款，也未告知客戶所收集個人信息的目的、方式和范圍，存在違規(guī)采集客戶個人信息的情況。

（三）存儲及處理使用客戶個人信息環(huán)節(jié)存在安全隱患

1.業(yè)務(wù)員可通過公司某APP“保單”模塊，查閱本人銷售客戶的所有數(shù)字投保單，該數(shù)字投保單包含客戶姓名、身份證號碼、聯(lián)系方式、地址、投保金額等個人隱私信息，并且上述敏感信息均未進行脫敏處理，業(yè)務(wù)員可以隨意通過微信、個人郵箱、QQ等工具傳輸客戶數(shù)字投保單涉及的隱私信息，存在信息安全隱患。

2.部分基層機構(gòu)存在私自留存且隨意擺放客戶紙質(zhì)敏感資料的情況，涉及身份證復(fù)印件、銀行卡（存折）復(fù)印件、客戶既往理賠資料等文件，以及手工抄錄的客戶姓名、身份證號、手機號等信息，存在客戶信息泄露風(fēng)險。

3.個別機構(gòu)IT部門個別員工的電腦及公共移動硬盤中留存政保客戶理賠明細、客戶回訪補訪明細等敏感信息，私自保存多個部門共計60余名員工的內(nèi)網(wǎng)登錄賬號及密碼，以及公司多個后臺系統(tǒng)登錄網(wǎng)址、賬號、密碼等，存在數(shù)據(jù)安全泄露風(fēng)險。

（四）外部合作機構(gòu)對客戶信息處理不規(guī)范

個別分公司將團政業(yè)務(wù)客戶理賠工作委托第三方外包供應(yīng)商經(jīng)辦，審計發(fā)現(xiàn)外包服務(wù)人員獲取客戶結(jié)算清單數(shù)據(jù)后，再通過個人微信或U盤將數(shù)據(jù)傳輸至分公司，用于核對結(jié)算外包服務(wù)費；分公司調(diào)查員通過個人外部郵箱將客戶理賠資料傳輸至理賠外包供應(yīng)商經(jīng)辦人員個人郵箱，用于委托理賠調(diào)查。上述理賠清單、理賠資料含有客戶姓名、身份證號、手機號碼等敏感信息。審計人員對雙方的協(xié)議進行核查，發(fā)現(xiàn)協(xié)議并未約定上述信息的脫敏處理及傳輸方式，也未對業(yè)務(wù)到期后客戶信息的刪除、銷毀方式進行約定。

四、提升保險公司個人信息保護審計效果的建議

在全面數(shù)字化轉(zhuǎn)型的新時期，保險行業(yè)個人信息保護事關(guān)金融消費者權(quán)益保護和個人信息安全等重要問題，個人信息保護法的施行也對內(nèi)部審計提出了更高的要求。保險公司內(nèi)部審計需充分發(fā)揮其監(jiān)督、評價、服務(wù)、咨詢等功能，推動公司在合規(guī)經(jīng)營的前提下實現(xiàn)高質(zhì)量發(fā)展，具體來說可以從以下三方面著手。

（一）對標(biāo)國家監(jiān)管要求，開展全面分析研究

個人信息保護合規(guī)審計屬于新興審計領(lǐng)域，需要對個人信息保護法以及監(jiān)管要求進行分析研究，結(jié)合本公司的制度規(guī)定及業(yè)務(wù)流程，梳理內(nèi)部體制機制以及制度規(guī)定上是否符合國家及監(jiān)管的硬性要求，在此基礎(chǔ)上對公司個人信息保護的審計依據(jù)、審計范圍及事項、重點審計內(nèi)容及風(fēng)險點、審計程序及方法等開展研究，同時將個人信息保護法定審計列入全年審計計劃中，確保審計全覆蓋。

（二）培養(yǎng)復(fù)合型審計人才，切實提高審計能力

個人信息保護合規(guī)審計對內(nèi)部審計人員的審計能力提出了更高要求，一方面要有信息系統(tǒng)及數(shù)據(jù)分析的審計能力，信息的采集、存儲、處理使用等往往基于平臺、系統(tǒng)、軟件、數(shù)據(jù)等開展，這就決定了審計人員要有信息系統(tǒng)及數(shù)據(jù)處理的能力；另一方面要加強培訓(xùn)管理，打造業(yè)務(wù)精通、一專多能的審計隊伍，切實提升審計人員的專業(yè)能力，推動個人信息保護內(nèi)部審計工作順利開展。

（三）注重審計整改，做好審計下半篇文章

審計不僅要準(zhǔn)確揭示問題，后續(xù)還需追根溯源，查原因、堵漏洞、補短板，推動審計整改閉環(huán)管理。發(fā)揮審計監(jiān)督的精準(zhǔn)性、有效性，一方面要剖析問題背后的體制機制障礙、管理控制漏洞、執(zhí)行操作缺陷，提出切實可行的審計建議；另一方面還要協(xié)調(diào)部門之間協(xié)同聯(lián)動開展審計整改，有針對性地跟蹤督促、情況反饋、對賬銷號，將審計整改的制度優(yōu)勢轉(zhuǎn)化為治理效能。

[作者單位：中國太平洋保險（集團）股份有限公司審計中心，郵政編碼：200010，電子郵箱：dyang124@126.com]