经银保监会同意,现将《保险中介机构信息化工作监管办法》印发给你们,请遵照执行。
(请各银保监局转发至辖内各保险专业中介机构、各保险兼业代理机构)
第一章 总则
第一条 为加强保险中介监管,提高保险中介机构信息化工作与经营管理水平,推动保险中介行业高质量发展,根据《中华人民共和国保险法》《中华人民共和国网络安全法》《保险代理人监管规定》《保险经纪人监管规定》《保险公估人监管规定》等法律、行政法规,制定本办法。
第二条 在中华人民共和国境内依法设立的保险中介机构适用本办法。
第三条 本办法所称保险中介机构,是指保险代理人(不含个人代理人)、保险经纪人和保险公估人,包括法人机构和分支机构。保险代理人(不含个人代理人)包括保险专业代理机构和保险兼业代理机构。
本办法所称保险中介机构信息化工作,是指保险中介机构将计算机、通信、网络等现代信息技术,应用于业务处理、经营管理和内部控制等方面,以持续提高运营效率、优化内部资源配置和提升风险防范水平为目的所开展的工作。其中保险兼业代理机构信息化工作,仅指该机构与保险兼业代理业务相关的信息化工作。
本办法所称信息化突发事件,是指信息系统或信息化基础设施出现故障、受到网络攻击,导致保险中介机构在同一省份的营业网点、电子渠道业务中断3小时以上,或在两个及以上省份的营业网点、电子渠道业务中断30分钟以上;或者因网络欺诈或其它信息安全事件,导致保险中介机构或客户资金损失1000万元以上,或造成重大社会影响;或者保险中介机构丢失或泄露大量重要数据或客户信息等,已经或可能造成重大损失、严重影响。
第四条 保险中介机构信息化工作应当符合中华人民共和国法律、行政法规和中国银行保险监督管理委员会(以下简称银保监会)监管制度要求。
保险中介机构信息化工作要遵循安全性、可靠性和有效性相统一、技术路线与业务发展方向相一致、信息系统与管理需求相匹配的原则。
第五条 保险中介机构是本机构信息化工作的责任主体,保险中介机构法定代表人或主要负责人对本机构信息化工作承担首要责任。
第六条 银保监会及其派出机构依法对保险中介机构信息化工作实施监督管理。
第二章 基本要求
第七条 保险中介机构应履行以下信息化工作职责:
(一)贯彻国家网络安全与信息化工作的法律、行政法规、技术标准和银保监会监管制度。
(二)制定本机构信息化工作规划,确保与总体业务规划相一致。
(三)制定信息化工作制度,建立分工合理、职责明确、报告关系清晰的信息化管理机制。
(四)编制信息化预算,保障信息化工作所需资金。
(五)开展本机构信息化建设,确保完整掌握本机构信息系统和数据的管理权。
(六)制定本机构信息化突发事件应急预案,组织开展应急演练,及时报告、快速响应和处置本机构发生的信息化突发事件。
(七)配合银保监会及其派出机构开展的信息化工作监督检查,如实提供相关文件资料,并按照监管意见进行整改。
(八)开展信息化培训,强化本机构人员的信息化意识、信息安全意识和软件正版化意识。
(九)银保监会规定的其他信息化工作职责。
第八条 保险中介机构应自主开展信息化工作。信息化工作与关联企业(含股东、参股企业、其他关联企业)有关联的,保险中介机构应厘清与关联企业之间的信息化工作职责,各自承担信息安全管理责任。保险中介机构的重要信息化机制、设施及其管理应保持独立完整,与关联企业相关设施有效隔离,严格规范信息系统和数据的访问、使用、转移、复制等行为,不得违规向关联企业泄露保单、个人信息等数据信息。重要信息化机制、设施包括但不限于信息化治理与规划,业务、财务、人员等重要信息系统及其中的数据信息。
信息化事项外包给关联企业的,应按照本办法外包要求实施有效管理。
第九条 保险中介法人机构应指定一名高级管理人员统筹负责法人机构及分支机构的信息化管理工作。
第十条 保险中介法人机构应设置信息化部门或信息化岗位,负责信息化工作的正式工作人员不少于一人。分支机构应有正式工作人员辅助法人机构开展信息化工作。
第十一条 申请开展保险中介业务的法人机构应按照本办法开展信息化建设,并向机构营业执照登记注册地银保监会派出机构报送信息化工作情况报告,报告内容应包括信息化管理机制和制度情况、信息系统满足本办法第十七条要求的情况、信息系统采购合同或知识产权证书等。
设立保险中介机构分支机构,保险中介法人机构或其省级分支机构应向分支机构营业执照登记注册地银保监会派出机构报送法人机构及该分支机构的信息化工作情况报告。
第十二条 保险中介法人机构应加强分支机构信息化管理,除法律、行政法规和银保监会监管制度另有规定外,法人机构与分支机构应使用同一套信息系统。法人机构应督促分支机构及时录入经营数据,通过信息系统对各分支机构的经营情况进行管理与监控。
第十三条 保险中介机构应按监管要求通过保险中介监管相关信息系统及时向银保监会及其派出机构报告监管事项、报送监管数据。
第十四条 保险中介机构发生信息化突发事件的,应按照银保监会信息化突发事件信息报告相关规定在24小时内向机构营业执照登记注册地银保监会派出机构报告信息。特别重大、可能造成严重社会影响的信息化突发事件发生后,保险中介机构应在30分钟内电话报告相关信息、1小时内书面报告信息。
第十五条 保险中介机构应使用正版软件,禁止复制、传播或使用非授权软件。对本机构拥有自主知识产权的信息系统采取有效措施加以保护,切实提高软件正版化意识和知识产权保护意识。
第十六条 保险中介机构应主动跟踪、研究、应用新兴信息技术,在防范风险的前提下积极推进业务创新与服务创新,提升核心竞争力。
第三章 信息系统
第十七条 保险中介法人机构应根据业务规模和发展需要,建立相匹配的业务管理、财务管理和人员管理等信息系统,并符合以下要求:
(一)业务管理系统能够记录并管理业务协议、保险业务详细情况、客户信息、相关凭证和其他业务情况等。
(二)财务管理系统能够记录并管理财务总账、科目明细账、应收应付、会计报表、发票等。
(三)人员管理系统能够记录并管理保险中介从业人员的基本信息、入职离职、用工合同、执业登记、人力薪酬、培训和奖惩等情况。
(四)业务管理、财务管理与人员管理系统的数据能够匹配一致、相互验证。
(五)通过技术手段实现与合作保险公司的系统互通、业务互联、数据对接。
(六)能够生成符合监管要求的数据文件,通过技术手段实现与保险中介监管相关信息系统的数据对接。
(七)能够按照合作机构、分支机构、业务类别、业务渠道、险种、收支口径、区域、时间等维度对机构经营情况进行汇总和分析。
(八)具备用户权限管理功能,能够按照不同角色为用户配置数据的增加、删除、修改和查看权限。
(九)具备日志管理功能,能够记录用户操作行为和操作时间。
(十)遵循国家标准化管理部门和银保监会发布的相关行业标准和技术规范。
第十八条 保险中介机构可采取自主开发、合作开发、定制开发、外包开发和购买云服务等形式建设信息系统。
保险中介机构应充分认识和有效控制信息化建设相关的风险,不论以何种方式建设信息系统,保险中介机构均应遵守本办法、承担信息安全管理责任。
第十九条 采用合作开发、定制开发、外包开发和购买云服务等外包模式建设信息系统的,保险中介机构应识别和分析信息科技外包风险,加强对外包服务商的资质审查,加强对外包服务的风险管理,规范外包合同条款,明确外包范围、责任边界、安全保密和个人信息保护责任,采取有效手段保障数据和信息系统安全且持续可控。保险中介机构应提高自主研发能力,逐步降低对外包服务商的依赖。
第二十条 保险中介机构应按照最少功能、最小权限原则合理确定信息系统访问权限并定期检查核对,确保用户权限与其工作职责相匹配。严格控制系统访问权限,禁止未经授权查看、下载数据。严格控制通过系统后台修改数据,确需修改的要做到事前批准、事中监控和事后留痕。
第二十一条 保险中介机构应通过信息系统全面、准确、完整地记录管理业务、财务和人员等情况,确保信息系统记录管理的数据与真实业务经营情况一致。
保险中介机构应在各保险业务环节发生之日起3个工作日内,将业务明细数据录入信息系统,如同时涉及财务、人员事项应同步完成财务和人员明细数据录入。
第二十二条 保险中介机构开展信息系统投产、变更或数据迁移等工作的,应组织风险评估,编制实施计划,制定系统回退和应急处置方案,开展演练测试和培训,审慎实施,并在实施完成后进行有效性验证。
第四章 信息安全
第二十三条 保险中介机构应建立健全信息安全管理制度,部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施,保障业务持续和数据安全。
第二十四条 保险中介机构应按照国家网络安全等级保护相关规定,合理确定信息系统的安全等级,并按照国家网络安全等级保护相关标准进行防护,获得相应的国家网络安全等级保护认证。
第二十五条 保险中介机构应对重要数据采取保护措施,保障数据在收集、存储、传输、使用、提供、备份、恢复和销毁等过程中的安全,合法使用数据,严防数据泄露、篡改和损毁,保障数据的完整性、保密性和可用性。
保险中介机构应采取可靠措施进行数据存储和备份,定期开展备份数据恢复验证。系统数据应至少保存五年,系统日志应至少保存六个月。
第二十六条 保险中介机构收集、处理和应用数据涉及到个人信息的,应遵循合法、正当、必要的原则,遵守国家相关法律、行政法规,符合与个人信息安全相关的国家标准。
未经允许或授权,保险中介机构不得收集与其提供的服务无关的个人信息;不得违反法律、行政法规和合同约定收集、使用、提供和处理个人信息;不得泄露、篡改个人信息。
第二十七条 保险中介机构应加强对台式计算机、便携式计算机、智能手机、平板电脑、移动存储介质等终端设备的管理,根据法律、行政法规要求和本机构网络安全实际情况对终端设备选择实施登录控制、病毒防护、软件安装与卸载管理、移动存储介质管理、固定资产管理、网络准入、违规监测等安全措施。
第二十八条 保险中介机构应经常开展信息化培训、信息安全培训和保密教育,与员工签订信息安全和保密协议,督促员工履行与其工作岗位相应的信息安全和保密职责。
第五章 监督管理
第二十九条 银保监会在有效防范保险中介市场风险、维护信息安全的基础上,建立健全符合保险中介行业发展特点的信息化监管机制,引导保险中介机构不断提高信息化工作水平,推动保险公司与中介机构系统对接,营造透明、规范、高效的市场环境,促进保险中介行业高质量发展。
第三十条 银保监会负责制定保险中介机构信息化工作监管制度,授权各派出机构开展保险中介机构信息化工作日常监管、指导与检查。
银保监会及其派出机构应加强风险识别、评估和预警,合理分配资源,统筹监管联动,有序开展监管工作。
第三十一条 银保监会及其派出机构应审查保险中介机构信息化工作。
保险中介机构信息化工作不符合本办法要求的,视为不符合《保险代理人监管规定》第七条、第十二条、第十八条,《保险经纪人监管规定》第七条、第十六条,《保险公估人监管规定》第十六条、第十八条等相关条件,不得经营保险中介业务。
第三十二条 银保监会及其派出机构重点对存在下列情形的保险中介机构进行信息化工作检查:
(一)信息化工作存在重大安全隐患或不符合本办法要求的。
(二)发生信息化突发事件的。
(三)违反银保监会信息化突发事件信息报告相关规定的。
(四)对严重信息安全隐患未采取整改措施或整改不力的。
(五)恶意对信息系统或数据进行篡改、删除或关闭,逃避监督检查的。
(六)违规收集、使用、提供和处理个人信息或泄露、篡改个人信息的。
(七)向银保监会及其派出机构报送数据、报表、报告,存在误报、漏报、错报、迟报等行为的。
(八)银保监会及其派出机构认为有必要进行信息化工作检查的其他情形。
第三十三条 银保监会及其派出机构依据法律、行政法规和相关规定,对违反本办法的保险中介机构采取监管措施或实施行政处罚,并追究相关人员责任。
第六章 附则
第三十四条 保险中介机构应按照本办法进行信息化工作自查,在本办法实施之日起一年内完成整改。完成整改后,保险中介机构法人机构将信息化工作情况报告报送至机构营业执照登记注册地银保监会派出机构。
第三十五条 本办法由银保监会负责解释和修订。
第三十六条 本办法自2021年2月1日起施行,《关于加强保险中介机构信息化建设的通知》(保监发〔2007〕28号)同时废止。
为加强保险中介监管,提高保险中介机构信息化工作与经营管理水平,构建新型保险中介市场体系,推动保险中介行业高质量发展,银保监会近日印发了《保险中介机构信息化工作监管办法》(以下简称《办法》),有关部门负责人就《办法》回答了记者提问。
一、制定《办法》的背景和意义是什么?
近年来,保险业持续健康发展,保险中介机构的规模数量不断增加,市场地位不断提高,但保险中介机构的经营管理水平与合规程度相对滞后,部分保险中介机构存在信息化治理不完备、信息系统建设不规范、信息安全机制不健全等问题,信息化能力和水平已成为影响保险中介机构合规经营、健康发展的短板。为此,拟通过制定发布《办法》,从信息化治理、信息系统建设、信息安全机制、分支机构管理等方面对保险中介机构信息化工作提出要求。
《办法》的制定出台,将促进保险中介机构加强信息化建设、提高经营管理水平,为加强保险中介领域的事中事后监管、构建新型保险中介市场体系提供有效抓手,在提高风险防范能力的同时,也将推动保险中介行业高质量发展。
二、《办法》的主要内容是什么?
《办法》共6章36条,对保险中介机构信息化工作提出全面要求。一是在总则中明确《办法》的制定目的、适用范围、基本原则、责任主体和监管部门。二是在基本要求中规定保险中介机构的信息化工作机构职责、关联企业隔离要求、高管负责制度、信息化岗位要求、业务申请条件、分支机构管理、监管报送要求、突发事件报告等内容。三是提出信息系统建设要求,明确保险中介机构信息系统的基本功能、建设方式、外包管理、权限管理、数据录入、系统变更等要求。四是明确信息安全要求,对保险中介机构信息化工作的安全体系、等级保护、数据安全、个人信息保护、终端安全、教育培训等提出要求。五是规定保险中介机构信息化工作监督管理的有关内容,包括监管理念、监管分工、审查、现场检查、责任追究等,明确提出:不符合《办法》要求的视为不满足《保险代理人监管规定》《保险经纪人监管规定》《保险公估人监管规定》对于信息化建设和管理的相关规定,不得经营保险中介业务。六是在附则中明确《办法》的实施时间、过渡期整改要求、解释权和此前发布的相关规范性文件的废止,要求保险中介机构在《办法》实施之日起一年内完成整改并向监管部门报送报告。
三、保险中介机构开展信息化建设与管理应遵循哪些原则?
《办法》规定,保险中介机构信息化建设应当符合法律、行政法规和银保监会监管制度要求,遵循安全性、可靠性和有效性相统一、技术路线与业务发展方向相一致、信息系统与管理需求相匹配的基本原则。保险中介机构信息系统应能够及时、完整、准确记录财务、业务、人员情况,实现与合作保险公司的系统互通、业务互联、数据对接,能够生成符合监管要求的数据文件,通过技术手段实现与保险中介监管相关信息系统的数据对接。
四、保险兼业代理机构信息化工作能否适当降低标准、参照《办法》执行?
《办法》规范的对象包括保险专业中介机构(以下简称专业机构)和保险兼业代理机构(以下简称兼业机构),对兼业机构提出了与专业机构相同的信息化工作要求。征求意见过程中,有部分单位提出,考虑到兼业机构多、散、小的特点(尤其是车商、旅行社等),建议降低对兼业机构的要求或规范对象不包含兼业机构。我们研究后认为,兼业机构虽然只是兼营保险代理业务,但在代理活动中其业务环节和涉及的消费者个人信息与专业机构基本一致,而且中小兼业机构在保险代理业务管理、财务管理和从业人员管理上往往不如专业机构规范,更需加强监管,故兼业机构应该在保险代理业务方面与专业机构保持一致的信息化工作要求。
五、保险中介机构信息化工作应当如何与关联企业有效隔离?
《办法》规定,保险中介机构的重要信息化机制、设施及其管理应保持独立完整,与关联企业相关设施有效隔离,严格规范信息系统和数据的访问、使用、转移、复制等行为,不得违规向关联企业泄露保单、个人信息等数据信息。信息化事项外包给关联企业的,应按照《办法》外包要求实施有效管理。保险中介机构在确保数据安全、独立的前提下,可与关联企业采用同一套信息系统。
六、《办法》要求保险中介机构应与合作保险公司系统互通、业务互联、数据对接,与保险中介监管相关信息系统数据对接,此项要求是出于什么考虑?
当前,部分保险中介机构与合作保险公司间的业务信息交互不规范、不透明,业务流程难以追溯,监管数据报送不准确、不及时。《办法》从夯实行业发展基础的角度出发,提出保险中介机构和保险公司、监管部门数据对接的要求,规范保险中介机构、保险公司、监管部门之间的信息交互行为,使保险公司与保险中介机构业务信息交互规范、透明、可追溯,促进保险中介机构提高经营管理水平,提升保险中介市场运行效率,改善保险中介监管数据质量和报送时效,提升监管效能。
七、业务规模较小的保险中介机构如何有效控制信息系统建设成本?
《办法》起草过程中,充分考虑了中小保险中介机构的实际情况,明确保险中介机构可采取自主开发、合作开发、定制开发、外包开发和购买云服务等形式建设信息系统。几种建设方式成本渐次降低,保险中介机构可根据自身实际情况选择合适的建设方式,但应充分认识和有效控制信息化建设相关的风险,不论以何种方式建设信息系统,保险中介机构均应遵守《办法》、承担信息安全管理责任。
当前有部分第三方机构以云服务的方式提供面向保险中介机构的业务、财务和人员管理信息系统,也能够为保险中介机构与保险公司、监管部门之间的数据交互提供服务。在合规、安全的前提下,保险中介机构可以采用此类方式建设信息系统,以满足《办法》要求。
八、不符合《办法》规定的保险中介机构在业务许可、业务备案和经营活动中会受到哪些影响?
《办法》规定,不符合《办法》要求的保险中介机构,视为不满足《保险代理人监管规定》第七条、第十二条、第十八条,《保险经纪人监管规定》第七条、第十六条,《保险公估人监管规定》第十六条、第十八条的有关要求,不得经营保险中介业务。
相关行业分析报告参考《2020年中国保险中介行业分析报告-市场竞争现状与未来趋势预测》。
【版权提示】观研报告网倡导尊重与保护知识产权。未经许可,任何人不得复制、转载、或以其他方式使用本网站的内容。如发现本站文章存在版权问题,烦请提供版权疑问、身份证明、版权证明、联系方式等发邮件至kf@chinabaogao.com,我们将及时沟通与处理。