雖然按照台灣新的個資法,一旦資料洩漏的話,企業必須要負舉證責任,但在此之前,保戶必須要先舉證資料洩漏的來源確實來自某家保險公司。某保險公司風控主管表示,其實就以國外的個資外洩判例來說,定罪率都很低,所以從保險業評估個資法理賠的風險來看,其實並不算高。主要是因為通常一個人通常會有多張保單,既然有多家保單,那麼又是哪一家洩漏個資呢?這也是為什麼部份保險公司,仍然抱持著僥倖心態的原因之一。
個資法給各行各業帶來不同的衝擊,尤其像是保險業掌握了更多個人細節的資料,甚至是包括機敏的個人健康資訊,保險業究竟應該如何因應呢?
個資法規帶來的法規衝擊
由於個資法對於保險業的實際業務有很大的影響,包括在核保、理賠上,都會涉及到如醫療、健康檢查等特種資料的蒐集與處理(註1)。保險局副局長吳崇權也表示,這部份實在有必要盡快修訂現行的保險法,賦予包括保險公司、執行公益等單位來使用特種資料,排除受限制的範圍,雖然目前個資法的實施日期會往後延, 但目前保險產業在做法上還是會積極作業。
吳崇權說,現在個資處理的方式可以分為兩個方面來考量,一是新的資料取得, 多會符合規定,第二種情況就是在個資法實施以前就拿到的舊有資料,保險都是長期的企業,如果法律上規定該履行告知就必然需去告知,但是也有一些特殊狀況,應當允許可以不用告知,例如說本身目的就是為了要追蹤要保人有沒有道德危險?懷疑過去是否有詐欺行為?這時候就會將資料提供給保發中心或犯防單位,這種狀況下就不可能告知要保人用途,像這類的特殊目的或是與一些公共利益相關的資料使用都是必需要多審慎考量的,在實務面上盡量合理合法的避開這些問題,以期能夠兼顧情理法,目前保險法修訂的雛形已經出來,保險業者也都針對相關議題討論過好幾次,充分提供意見給法務部作為日後實行細則的考量。提到目前現階段保險業的個資保護工作,吳崇權語重心長的說,壽險的運作常常都是透過不同的通路在做,為了要提供服務等,有時候會跑太快,對於是否應該提供個資,如何使用等問題,可能都需要再多想想,尤其像是保經、保代(註2),畢竟跟保險公司的業務人員是不同,到底算不算是保險公司的資料使用者?這方面可能也都必須要再多加研議。
從實務流程看個資挑戰
以下提供一個A保險公司業務的流程範例。
.jpg)
紙本影印難控管
按照規定,保險業務員在與要保人簽訂完保單之後,必須要把紙本繳回公司掃描建檔,並且不能自行留存,當案件經過登打中心登打完畢,資料便會出現在該業務員的客戶管理系統,此時,業務員需透過公司的個人金控網站查詢。不過,A保險公司業務主管透露,其實還是會有很多人自行影印之後才交出去。像是信用卡號、銀行帳號會在轉帳授權書上,許多保險業務員為了要表現出其服務良好,多半會私自保留這類的資料。而這種個人行為,實際上依然是相當難以控管的一塊。
資料流須經多個部門
在這裡我們可以發現到,至少會有4個部門會看到資料,只是資料顯示的齊全度多寡而已,登打中心可能僅有部分資料,而理賠部門能夠接觸到資料,則可能是發生在保戶需要申請理賠時。
對於件數較少的保險公司,其經辦與登打部門可能是同一個,也有的為了成本考量所以將登打的工作委外,但如果成本上可以負擔的話,大部分的公司可能會選擇自己來,一方面較為安全,另一方面則是在效率上可以控管。
區隔資料困難
保險業裡最重要有兩大系統-受保、承保系統。受保系統是受理保單但並不一定正式受理,在經過核保之後,正式契約成立就會進入承保系統, 兩個業務業務型態不同,受保系統主要目的在於行銷,後者則是保險業務。但由於兩者共用資料庫, 因此在做資料分級分類的時候,不管個資在什麼地方或是存有哪些個資,資料的區隔非常困難。
系統老舊管不了 誰會稽核?
如果系統是採用開放端架構還比較能夠管控, 但是目前亦有不少保險公司仍採用老舊的封閉式AS 400,能夠理解、管理、操作的工程師並不多。例如C保險公司IT人力有60人,但能夠管理後端AS 400 系統的僅有2位,人力已不足,更遑論作權責分離, 所以管理的人有「球員兼裁判」的問題,並且保險業也缺乏安全的共識,認為只要放在封閉式系統便沒有問題,既沒有預算且也無法增加人力,抱持著僥倖的心態,但是其實後端的API以開放給前端應用程式作介接,自然不可能是完全封閉的。此外,針對這種老舊的封閉式系統的監控、Log管理工具並不多,不僅對於復原活動軌跡困難,懂得對老舊系統稽核的人也很少。目前仍有不少保險公司、老銀行還在使用舊系統。
專家認為要針對這些舊系統做處理跟防範在執行上相當有難度,建議或者可以把資料導出系統來做管理,將資料收攏分析。不過撇開技術問題,主要原因還是在於保險業並沒有這方面的安全意識。
只有「人員作業規範」可以規範
保險公司的著眼點應當放在究竟是如何善盡管理人責任。保險業目前最大的問題在於人的控管與業務運作是息息相關不可分割,如果釐清且證明資料的洩漏管道,與罰款金額高低多少有些關聯。
未來在修訂保險法後,如果在法律上保險公司能合法取得資料,那業務員應該也是當然使用者, 但僅限於業務範圍之內,假使在業務之外作客戶資料的濫用就是違法的,吳崇權認為,保險公司至少應該要做到教育訓練及規範的義務,應當充分的釐清授權人的責任,什麼能做什麼不能做?各自負起法律上的責任,屆時保險公司也必須要負起舉證責任,證明業務人員的確實越權,若放縱業務員的話就必須負起連帶責任。
所以首先要做出個資的定義,哪一種型態的個人資料被揭露時會包含醫療等機敏資料?有些保險公司的理賠程序不會經手業務人員,這就比較可能會歸責於保險公司而非業務人員。
當資料進了公司系統之後,可以透過現有的各種技術管控措施來解決,包括資安軟、硬體來控制,但更大的問題顯然在於許多人員都會經手資料,尤其是業務人員並不一定在公司內部作業,更加難以管控。目前的狀況是,當資料還沒有進公司系統的時候,只能在「業務人員作業規範」裡面去規範,進行教育訓練或道德勸說。由於業務人員在外簽定保單等,都是採用紙本作業,也因此完全沒辦法用系統做控制。
另外就是以目前的狀況來看,如果是單純個人基本的資料,像是身分證字號、電話、地址等,由於這些資料已經洩漏得到處都是了,所以一般民眾比較也比較不會因為這些資料花時間去跟保險公司斡旋,可以算是風險比較低的資料,但像是核保記錄、醫療理賠的記錄或是交易性的資料則比較容易引起問題,而且像是一般的業務人員也比較不會有這方面的資料,所以由公司洩漏的可能性比較高。
釐清個資保護責任
B保險公司風控主管透露,按照過去的案例看來,就曾發現業務人員會用自己的方式來保存建議書或客戶資料,利用自己電腦複製一份。實際上,業務員可以透過遠端連線,用自己的電腦連上個人專屬的客戶服務系統,透過帳號密碼的登入後,查詢客戶資料,像是客戶基本的姓名電話住址這種通訊錄資料,既可查詢亦可一次性的大量列印,但如果是更詳細的保單內容,就必須一個一個點開來列印。像這樣的作法,就比較能夠防範業務人員一次性的大量洩漏保單內容。
打好資安基本功 自助天助
此外也必須證明系統的安全通過驗證,是否有防火牆?流程控管機制做得如何?權限怎麼設定?帳號密碼是否定期更換?強度夠不夠?儲存客戶資料的政策是什麼?資料是不是有加密?是否管理到列印、擅打等委外問題?例如開放系統讓業務人員查詢或列印,但有沒有可能讓非業務人員也看到?此外也要對業務人員做適當的教育訓練或告知其規範,才能「推論」是業務人員造成的過失,凡事都要講求證據,必須要證明確實沒有管理上的疏失, 也因此在執行上非常困難。否則業務人員亦可舉出反證,例如說某個網站上就可以下載到資料,並且資料格式也與保險公司格式資料相同,可能是網站有弱點、漏洞,所以資料早已洩漏或是由內勤的員工洩漏。
該風控主管提到,保險公司應該盡量去做的,就是降低個資外洩的機率跟減少其影響,當上法院時,法官也會參考公正第三者的建議,像是會計師事務所或驗證公司的稽核報告,此外政府單位也有相關的主管機關會去做查核。且安全並無絕對,所以以國外的判例來看,若公司能證明資料確實有加密,安全控管也相當嚴格,稽核報告上也無重大缺失,通過國際的ISO安全認證等加分的控管措施,有可能罰則是會被降低的,以國外的作法例如說本來要罰一千萬變成罰五百萬,這就是因為立法精神主要是在鼓勵企業多採取一些安控措施。
結論
儘管對於流程方面的安全也有所疑慮,但大多未能提出什麼相對應的措施,這是因為大部份的業務單位,都認為過去在電腦資料保護法的時代就已經有所保護了,應該足夠,認定是對行銷衝擊比較大,較著眼在保險法的修訂方面。但是在其他流程系統面的部分,真的夠了嗎?
註1:相較於舊的電腦處理個人資料保護法,新的個人資料保護法新增了第六條,有關醫療、基因、性生活、健康檢查及犯
罪前科之個人資料,不得蒐集、處理或利用。除非是法律明文規定且有適當的安全維護措施。
註2:根據保險法規定。保險經紀人是代表消費者,基於被保險人的利益向保險公司洽訂保單,並且向承保的保險公司收取
「佣金」,經紀人可以是獨立經紀人,也可以是法人組織,不屬於任何保險公司,且可同時提供多家保險公司的商品資訊。
保險代理人則是根據代理契約或授權書,代表保險公司對外行銷、代理經營業務,是代表保險公司的,收取「費用」。保險
代理人收取的「費用」與保險經紀人收取的「佣金」,甚至是保險公司兩個不同的會計科目。
一般的保代是指銀行因為要代理保險公司的商品,所以必須成立保險經紀人、保險代理人,畢竟跟保險公司業務不同,到底算不立保險代理部,而壽險公司本身就是保險公司,因此不需要保險代理,又或者像是證券業為了要做所謂的財富管理,也會有所謂的保代。