軟體使用掛鉤監管評級 銀保監會重拳整頓信息“洩露門”

在愛車臨近續保期，許多車主會頻繁接到多家保險公司的連環Call，對方不僅能準確說出車險到期日期，還能詳細列舉此前投保險種；在理財型保險還未到期時，部分投保人也會接到勸說退保，轉而購買更高收益理財產品的電話……

在這些推銷電話背後暴露出客戶信息洩露的風險，而監管機構在加大處置力度的同時，也在不斷圍堵漏洞。8月6日，北京商報記者從業內獨家獲悉，近日銀保監會發布《關於做好2020年銀行業保險業推進使用正版軟體工作的通知》（以下簡稱《通知》），對各保險機構和監管機構提出規範軟體管理使用，相關指標不僅將納入相關監管評級當中，還將掀起自查和檢查“風暴”。

規範軟體管理 保障網絡安全

“圖便宜便低價購買盜版軟體，系統會輕易被黑客攻破。”某保險從業人士直言，一旦系統在漏洞防護或技術維護上出現問題，平台數據、用戶信息都會洩露。

為防範使用盜版軟體帶來的網絡安全漏洞和引發的法律、聲譽風險，也為了防範近期金融行業層出不窮的信息洩露行為，銀保監會在規範軟體管理使用方面提出了具體要求。

《通知》要求，包括政策性銀行、大型銀行、股份製銀行，外資銀行，金融資產管理公司，保險集團（控股）公司、保險公司、保險資產管理公司等在內的機構進一步完善長效機制建設，從軟體採購、資產管理、監督審計等環節加強制度建設，完善管控措施，注重工作實效；要加強運用技術手段統一軟體使用標準，限制隨意使用行為，定期開展軟體使用情況梳理，補齊短板。

同時，上述機構要在信息化預算安排、信息化項目建設和採購時同步規劃推進使用正版軟體，提升軟體資產管理精細化水準，確保在用所有軟體均符合授權要求，防範使用盜版軟體帶來的網絡安全漏洞和引發的法律、聲譽風險。銀保監會還表示，要積極探索使用自研、開源軟體彌補軟體授權短板，加大創新軟硬體產品應用力度，逐步解決推進使用正版軟體工作中的難點和痛點。

“保險業是數據密集型行業，所以網絡信息安全是數字時代保險公司健康運營的重要支持。”中國社會科學院保險與經濟發展研究中心副主任王向楠認為，保險公司儲存的個人或組織的數據要比絕大部分企業細致，涵蓋了客戶的多類身體隱私、財務特徵和經濟活動等信息，所以網絡信息安全建設是保險消費者隱私和數據保護的重要內容；同時，《通知》頒布，說明監管機構發揮了保護保險消費者權益以及推動行業穩定與發展的功能。

蘇寧金融研究院研究員陳嘉寧也表示，因為信息數據是銀行、保險這類金融行業的核心資產，如果信息洩露會造成極大風險，也影響企業聲譽。

圈硬性指標 掛鉤監管評級

此前，網絡用戶信息洩露問題在銀行業、保險業可謂“一波未平，一波又起”。如在銀行方面，8月5日兩家銀行因客戶信息保護不力各被罰100萬元；而在保險方面，北京商報記者於黑貓投訴平台搜索“保險、信息洩露”的關鍵詞，獲得198條搜索結果。其中，近期泰康保險洩露用戶信息、代替用戶投保“小樂行”保險產品的相關投訴尤為高發。

為確保金融機構加強信息管理，監管圈定出硬性指標，《通知》規定，2020年，銀保監會將在信息科技非現場監管信息系統中，統一銀行業保險業軟體使用情況報送內容和報送頻度，相關指標將納入銀行業信息科技監管評級和保險業償付能力評級當中。

為何監管將軟體使用狀況與償付能力進行掛鉤？王向楠解釋稱，公司的操作風險重要成因之一是信息系統，所以銀保監分局或銀保監會衡量公司的操作風險時應當考慮正版軟體的使用情況，此規定對此進行了明確。

陳嘉寧認為，與績效考評掛鉤的舉措有助於給企業指明整改方向，也有助於政策的落實。

此外，銀保監會還表示，要建立常態化工作機制，摸清自身軟體資產底數，健全軟體資產管理台账，認真組織報表填報，按時準確報送有關數據。軟體使用情況的報送數據，將統一納入銀保監會監管數據質量專項治理工作中。

而各銀保監局要做好本級和下級監管機構的使用正版軟體工作，確保本級和下級機構的軟體正版化，同時要積極督導轄內銀行保險機構建立健全軟體正版化工作機制，加強監督檢查。

“自查+檢查”上陣 建立網絡安全“防火牆”

除了將相關指標將納入銀行業信息科技監管評級和保險業償付能力評級當中，銀保監會還要求上述機構圍繞軟體正版化工作機制和制度建設落實情況、軟體台账建立、軟體採購合約和授權協議資料管理情況，以及計算機軟體的安裝管理等方面內容開展自查。

而對自查中發現的問題，銀保監會要求，機構要制定整改措施，並於2020年8月底前完成自查和整改工作。而2020年7月至11月（具體檢查時間根據疫情防控情況確定），國家版權局將成立督查組，隨機抽選部分銀行和保險機構，聘用第三方機構開展軟體使用情況核查，檢查結果將公開發布。

銀保監會也將結合行業信息科技監管工作，選擇部分銀行和保險機構開展軟體正版化現場檢查和快速巡查。

業內人士認為，《通知》明確規範保險機構的軟體使用，既保護了相關知識產權，也增強了保險機構的網絡信息安全和數字化程度。事實上，監管部門一直重視網絡安全管理。去年4月，銀保監會啟動網絡安全專項治理工作，發現個別機構客戶信息保護存在短板，處理客戶信息的專用終端安全管理不到位，客戶信息洩露風險較高；不少機構僅內部系統普遍存在較多安全漏洞。不法分子可以利用個別機構VPN弱口令問題滲透進入內部網絡，進而通過其內部系統漏洞控制多個系統。

對於如何防範信息洩露，加強網絡安全“防火牆”建設，王向楠建議稱，實現網絡安全建設與保險科技發展應同步規劃、同步實施、同步運行。

“考慮製訂保險部門的‘數據安全法’，其不應當僅是基於互聯網保險業務，而是涵蓋公司運營的各個方面。建設強製性的網絡安全事件匯報機制以及網絡安全事件的匿名匯報平台。”王向楠表示，由監管部門或行業協會組織開展壓力測試（韌力測試），對發現的漏洞或脆弱部分進行針對性的改進。他認為，保險公司應將網絡安全管理和數據資產保護進一步納入到公司治理和控制體系之中。

北京商報記者 陳婷婷 實習記者 周菡怡