汇业评论

以《网络数据安全管理条例》发布为标志，中国网数合规领域法律制度已日趋完善，监管执法体系将专项治理与常态化监管有机结合，行业合规实践水平亦稳步提升中。根据笔者团队对保险业务领域的观察及从业者的沟通，伴随数字化转型的进一步推进，该业务领域对网数合规的关注度密切上升，无论国有还是外资保险公司在展业中都越来越重视网络数据合规问题。

基于行业天然的个人客户面向型与业务场景复杂性，个人信息保护问题压力颇重，加之主管部门的特殊规定，整体合规要求高、项目繁杂、涉及面广，成为业务转型中的痛点之一。本文基于相关领域立法、执法概况梳理，结合业务场景和链条，为从业与合规人士进行重点问题分析，以便网数合规落地提供参考。

一、 立法和执法概况

根据《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》《网络安全审查办法》《关键信息基础设施安全保护条例》《未成年人网络保护条例》《互联网信息服务算法推荐管理规定》等规定，网络数据安全目前构建的监管体系包括监管和主管两个维度。

1. 网络数据安全

一般网络数据安全监管体系包括：

1)  国家网信部门负责统筹协调网络安全、数据安全、个人信息保护和数据跨境工作；

2)  国家数据管理部门承担数据管理工作中相应的网络数据安全职责；

3)  国务院电信主管部门、公安部门、市场监督管理部门和其他有关机关在各自职责范围内负责网络数据安全保护和监督；

4)  公安机关、国家安全机关在各自职责范围内承担网络数据安全监管，打击犯罪；

5)  网络安全审查办公室负责制定网络安全审查相关制度规范，组织网络安全审查；

6)  在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作；

7)  国家网信部门负责统筹协调未成年人网络保护工作，国家网信部门、国家新闻出版、电影部门和国务院教育、电信、公安、民政、文化和旅游、卫生健康、市场监督管理、广播电视等有关部门依据各自职责做好未成年人网络保护工作；

8)  国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作。

受《数据安全法》《网络安全审查办法》强调，主管部门在本行业、本领域内的数据安全监管力度可能会有所加码。

2. 行业主管（金融监督管理机构）

对于保险业主管部门而言，结合近年专项执法行动和执法案例，有关数据安全的规定我们整理如下：

此外，2024年3月，为规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用，保护个人、组织的合法权益，国家金融监督管理总局起草了《银行保险机构数据安全管理办法（征）》（“征求意见稿”），向社会公开征求意见。据金融监管总局有关司局负责人介绍，征求意见稿旨在“充分发挥监管的‘指挥棒’作用，通过强化政策要求引导银行保险机构压实主体责任，完善内部制度，采取有效的措施加强数据管理和保护，确保客户信息和金融交易数据安全”，涵盖总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则，主要特点如下：

1)  落实数据安全责任制。明确主体责任负责人，机构数据安全第一责任人和直接责任人。

2)  明确数据安全归口管理部门。要求银行保险机构指定负责数据安全工作的主责部门，承担制度建设、数据安全工作推动展开的工作职责。

3)  将数据安全风险纳入全面风险管理体系。要求银行保险机构明确管理流程，主动评估风险，进行有效监测，防止安全事件发生。定期对数据安全开展审计、监督检查与评价。

4)  强化数据安全评估。要求银行保险机构开展相关数据处理活动时，应事先开展安全评估。

5)  建立数据安全保护基线。将数据纳入网络安全等级保护，在数据全生命周期内采取有效访问控制管理措施，采用安全有效的传输方式保障数据完整性、保密性、可用性。

(二)  执法情况

执法层面，以主管部门和工信部门行动较为活跃，刑事案件也时有发生。

1. 行业主管部门（金融监督管理机构）

2015年11月，国务院办公厅下发《关于加强金融消费者权益保护工作的指导意见》（国办发[2015]81号），强调金融机构应当采取有效措施加强对第三方合作机构的管理，明确双方权利义务关系，严格防控金融消费者信息泄露风险，保障金融消费者信息安全。

2022年8月，原中国银保监会向各银保监局、银行保险机构下发《关于银行保险机构侵害个人信息权益乱象专项整治工作的通知》。通知下发后，银行保险机构开展自查，监管部门适时进行督导和抽查。

2024年3月，国家金融监管总局向各监管局，各大型银行、股份制银行、外资银行、直销银行、理财公司，各保险集团（控股）公司、保险公司、保险专业中介机构下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》。通报指出专项治理发现的重大问题，并提出相关工作要求。在通报中，金融监管总局强调，“信息安全权是金融消费者八项基本权利之一”，要求“各监管局要提高对金融消费者个人信息保护工作重要性的认识，跟踪专项整治成效，紧盯薄弱环节、弥补短板弱项，综合运用非现场监管和现场检查等方式，严肃查处违法违规行为，在消费者权益保护监管评价、投诉督查等工作中持续关注银行保险机构个人信息保护工作情况，督促辖内银行保险机构健全消费者个人信息保护工作机制，推动全面提升行业个人信息保护水平”。以下是部分专项整治期间的监管执法案例：

2. 一般监管机构之工信部门

2013年，工信部出台《电信和互联网用户个人信息保护规定》（工信部令第24号），是工信部门执法检查的主要依据之一。随后，工信部连续发文《电信和互联网行业提升网络数据安全保护能力专项行动方案的通知》（2019）、《关于开展纵深推进APP侵害用户权益专项整治行动的通知》（2020）、《关于开展信息通信服务感知提升行动的通知》（2021），并开展一系列执法检查行动，部分摘录如下：

3.刑事司法案例

刑事案件中，以侵犯公民个人信息罪的判罚居多，根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017），将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额标准相应减半，属于“情节严重”，构成刑事犯罪的门槛更低。笔者团队分析最近的相关案例发现，客服、柜面人员及其他相关方为这类案件的主要犯罪主体，侵犯公民个人信息犯罪均在履职或提供服务的过程中发生，基本都构成“情节特别严重”，部分案例节选如下：

1)  2023年2月，上海市静安区人民法院经审理认定王某、孔某、蒋某在担任某某公司1盐城中心支公司客户服务岗位时，将履行职责过程中获得的公民个人信息出售给他人，情节特别严重，构成侵犯公民个人信息罪，依法判处王某有期徒刑三年，缓刑三年，并处罚金人民币十六万元；判处孔某有期徒刑二年，缓刑二年，并处罚金人民币十万元；蒋某有期徒刑一年，缓刑一年，并处罚金人民币三万元。【（2023）沪0106刑初97号】

2)  2023年9月，上海市静安区人民法院经审理认定单某于2019年8月至2020年12月在某某公司2担任柜面主管期间，利用其职务便利，非法获取一万余条保险用户信息，并向他人出售，情节特别严重，被判处有期徒刑三年、缓刑三年，并处罚金60万元。【(2023)沪0106刑初1051号】。

3)   2024年1月，上海市金山区人民法院经审理认为被告人廖某，通过向他人购买、利用保险公司账号调取等方式非法获取大量公民车辆保单、手机号码等信息，并通过微信将上述信息出售给杨某2（已被判刑）等人，违法所得共计约人民币6万元。被告人廖某出售的信息包括被保险人姓名、车牌号码、车架号、保险内容、保险期间及完整或部分身份证号码、地址、联系电话信息等内容。廖某犯《刑法》第二百五十三条的侵犯公民个人信息罪，情节特别严重，判处有期徒刑三年二个月，并处罚金人民币六万元；扣押的作案工具予以没收；违法所得予以追缴并没收。【(2023)沪0116刑初1049号】