各銀保監局,各保險公司、各保險專業中介機構、各保險兼業代理機構:
經銀保監會同意,現將《保險中介機構信息化工作監管辦法》印發給你們,請遵照執行。
2021年1月5日
(請各銀保監局轉發至轄內各保險專業中介機構、各保險兼業代理機構)
保險中介機構信息化工作監管辦法
第一章 總則
第一條 為加強保險中介監管,提高保險中介機構信息化工作與經營管理水準,推動保險中介行業高品質發展,根據《中華人民共和國保險法》《中華人民共和國網路安全法》《保險代理人監管規定》《保險經紀人監管規定》《保險公估人監管規定》等法律、行政法規,制定本辦法。
第二條 在中華人民共和國境內依法設立的保險中介機構適用本辦法。
第三條 本辦法所稱保險中介機構,是指保險代理人(不含個人代理人)、保險經紀人和保險公估人,包括法人機構和分支機構。保險代理人(不含個人代理人)包括保險專業代理機構和保險兼業代理機構。
本辦法所稱保險中介機構信息化工作,是指保險中介機構將電腦、通信、網路等現代資訊技術,應用於業務處理、經營管理和內部控制等方面,以持續提高運營效率、優化內部資源配置和提升風險防範水準為目的所開展的工作。其中保險兼業代理機構信息化工作,僅指該機構與保險兼業代理業務相關的信息化工作。
本辦法所稱信息化突發事件,是指資訊系統或信息化基礎設施出現故障、受到網路攻擊,導致保險中介機構在同一省份的營業網點、電子渠道業務中斷3小時以上,或在兩個及以上省份的營業網點、電子渠道業務中斷30分鐘以上;或者因網路欺詐或其他資訊安全事件,導致保險中介機構或客戶資金損失1000萬元以上,或造成重大社會影響;或者保險中介機構丟失或洩露大量重要數據或客戶資訊等,已經或可能造成重大損失、嚴重影響。
第四條 保險中介機構信息化工作應當符合中華人民共和國法律、行政法規和中國銀行保險監督管理委員會(以下簡稱銀保監會)監管制度要求。
保險中介機構信息化工作要遵循安全性、可靠性和有效性相統一、技術路線與業務發展方向相一致、資訊系統與管理需求相匹配的原則。
第五條 保險中介機構是本機構信息化工作的責任主體,保險中介機構法定代表人或主要負責人對本機構信息化工作承擔首要責任。
第六條 銀保監會及其派出機構依法對保險中介機構信息化工作實施監督管理。
第二章 基本要求
第七條 保險中介機構應履行以下信息化工作職責:
(一)貫徹國家網路安全與信息化工作的法律、行政法規、技術標準和銀保監會監管制度。
(二)制定本機構信息化工作規劃,確保與總體業務規劃相一致。
(三)制定信息化工作制度,建立分工合理、職責明確、報告關係清晰的信息化管理機制。
(四)編制信息化預算,保障信息化工作所需資金。
(五)開展本機構信息化建設,確保完整掌握本機構資訊系統和數據的管理權。
(六)制定本機構信息化突發事件應急預案,組織開展應急演練,及時報告、快速響應和處置本機構發生的信息化突發事件。
(七)配合銀保監會及其派出機構開展的信息化工作監督檢查,如實提供相關文件資料,並按照監管意見進行整改。
(八)開展信息化培訓,強化本機構人員的信息化意識、資訊安全意識和軟體正版化意識。
(九)銀保監會規定的其他信息化工作職責。
第八條 保險中介機構應自主開展信息化工作。信息化工作與關聯企業(含股東、參股企業、其他關聯企業)有關聯的,保險中介機構應厘清與關聯企業之間的信息化工作職責,各自承擔資訊安全管理責任。保險中介機構的重要信息化機制、設施及其管理應保持獨立完整,與關聯企業相關設施有效隔離,嚴格規範資訊系統和數據的訪問、使用、轉移、複製等行為,不得違規向關聯企業洩露保單、個人資訊等數據資訊。重要信息化機制、設施包括但不限於信息化治理與規劃,業務、財務、人員等重要資訊系統及其中的數據資訊。
信息化事項外包給關聯企業的,應按照本辦法外包要求實施有效管理。
第九條 保險中介法人機構應指定一名高級管理人員統籌負責法人機構及分支機構的信息化管理工作。
第十條 保險中介法人機構應設置信息化部門或信息化崗位,負責信息化工作的正式工作人員不少於一人。分支機構應有正式工作人員輔助法人機構開展信息化工作。
第十一條 申請開展保險中介業務的法人機構應按照本辦法開展信息化建設,並向機構營業執照登記註冊地銀保監會派出機構報送信息化工作情況報告,報告內容應包括信息化管理機制和制度情況、資訊系統滿足本辦法第十七條要求的情況、資訊系統採購合同或知識産權證書等。
設立保險中介機構分支機構,保險中介法人機構或其省級分支機構應向分支機構營業執照登記註冊地銀保監會派出機構報送法人機構及該分支機構的信息化工作情況報告。
第十二條 保險中介法人機構應加強分支機構信息化管理,除法律、行政法規和銀保監會監管制度另有規定外,法人機構與分支機構應使用同一套資訊系統。法人機構應督促分支機構及時錄入經營數據,通過資訊系統對各分支機構的經營情況進行管理與監控。
第十三條 保險中介機構應按監管要求通過保險中介監管相關資訊系統及時向銀保監會及其派出機構報告監管事項、報送監管數據。
第十四條 保險中介機構發生信息化突發事件的,應按照銀保監會信息化突發事件資訊報告相關規定在24小時內向機構營業執照登記註冊地銀保監會派出機構報告資訊。特別重大、可能造成嚴重社會影響的信息化突發事件發生後,保險中介機構應在30分鐘內電話報告相關資訊、1小時內書面報告資訊。
第十五條 保險中介機構應使用正版軟體,禁止複製、傳播或使用非授權軟體。對本機構擁有自主知識産權的資訊系統採取有效措施加以保護,切實提高軟體正版化意識和知識産權保護意識。
第十六條 保險中介機構應主動跟蹤、研究、應用新興資訊技術,在防範風險的前提下積極推進業務創新與服務創新,提升核心競爭力。
第三章 資訊系統
第十七條 保險中介法人機構應根據業務規模和發展需要,建立相匹配的業務管理、財務管理和人員管理等資訊系統,並符合以下要求:
(一)業務管理系統能夠記錄並管理業務協議、保險業務詳細情況、客戶資訊、相關憑證和其他業務情況等。
(二)財務管理系統能夠記錄並管理財務總賬、科目明細賬、應收應付、會計報表、發票等。
(三)人員管理系統能夠記錄並管理保險中介從業人員的基本資訊、入職離職、用工合同、執業登記、人力薪酬、培訓和獎懲等情況。
(四)業務管理、財務管理與人員管理系統的數據能夠匹配一致、相互驗證。
(五)通過技術手段實現與合作保險公司的系統互通、業務互聯、數據對接。
(六)能夠生成符合監管要求的資料檔案,通過技術手段實現與保險中介監管相關資訊系統的數據對接。
(七)能夠按照合作機構、分支機構、業務類別、業務渠道、險種、收支口徑、區域、時間等維度對機構經營情況進行匯總和分析。
(八)具備用戶許可權管理功能,能夠按照不同角色為用戶配置數據的增加、刪除、修改和查看許可權。
(九)具備日誌管理功能,能夠記錄用戶操作行為和操作時間。
(十)遵循國家標準化管理部門和銀保監會發佈的相關行業標準和技術規範。
第十八條 保險中介機構可採取自主開發、合作開發、定制開發、外包開發和購買雲服務等形式建設資訊系統。
保險中介機構應充分認識和有效控制信息化建設相關的風險,不論以何種方式建設資訊系統,保險中介機構均應遵守本辦法、承擔資訊安全管理責任。
第十九條 採用合作開發、定制開發、外包開發和購買雲服務等外包模式建設資訊系統的,保險中介機構應識別和分析資訊科技外包風險,加強對外包服務商的資質審查,加強對外包服務的風險管理,規範外包合同條款,明確外包範圍、責任邊界、安全保密和個人資訊保護責任,採取有效手段保障數據和資訊系統安全且持續可控。保險中介機構應提高自主研發能力,逐步降低對外包服務商的依賴。
第二十條 保險中介機構應按照最少功能、最小許可權原則合理確定資訊系統訪問許可權並定期檢查核對,確保用戶許可權與其工作職責相匹配。嚴格控制系統訪問許可權,禁止未經授權查看、下載數據。嚴格控制通過系統後臺修改數據,確需修改的要做到事前批准、事中監控和事後留痕。
第二十一條 保險中介機構應通過資訊系統全面、準確、完整地記錄管理業務、財務和人員等情況,確保資訊系統記錄管理的數據與真實業務經營情況一致。
保險中介機構應在各保險業務環節發生之日起3個工作日內,將業務明細數據錄入資訊系統,如同時涉及財務、人員事項應同步完成財務和人員明細數據錄入。
第二十二條 保險中介機構開展資訊系統投産、變更或數據遷移等工作的,應組織風險評估,編制實施計劃,制定系統回退和應急處置方案,開展演練測試和培訓,審慎實施,並在實施完成後進行有效性驗證。
第四章 資訊安全
第二十三條 保險中介機構應建立健全資訊安全管理制度,部署實施邊界防護、病毒防護、入侵檢測、數據備份、災難恢復等資訊安全措施,保障業務持續和數據安全。
第二十四條 保險中介機構應按照國家網路安全等級保護相關規定,合理確定資訊系統的安全等級,並按照國家網路安全等級保護相關標準進行防護,獲得相應的國家網路安全等級保護認證。
第二十五條 保險中介機構應對重要數據採取保護措施,保障數據在收集、存儲、傳輸、使用、提供、備份、恢復和銷毀等過程中的安全,合法使用數據,嚴防數據洩露、篡改和損毀,保障數據的完整性、保密性和可用性。
保險中介機構應採取可靠措施進行數據存儲和備份,定期開展備份數據恢復驗證。系統數據應至少保存五年,系統日誌應至少保存六個月。
第二十六條 保險中介機構收集、處理和應用數據涉及到個人資訊的,應遵循合法、正當、必要的原則,遵守國家相關法律、行政法規,符合與個人資訊安全相關的國家標準。
未經允許或授權,保險中介機構不得收集與其提供的服務無關的個人資訊;不得違反法律、行政法規和合同約定收集、使用、提供和處理個人資訊;不得洩露、篡改個人資訊。
第二十七條 保險中介機構應加強對臺式電腦、攜帶型電腦、智慧手機、平板電腦、移動存儲介質等終端設備的管理,根據法律、行政法規要求和本機構網路安全實際情況對終端設備選擇實施登錄控制、病毒防護、軟體安裝與卸載管理、移動存儲介質管理、固定資産管理、網路准入、違規監測等安全措施。
第二十八條 保險中介機構應經常開展信息化培訓、資訊安全培訓和保密教育,與員工簽訂資訊安全和保密協議,督促員工履行與其工作崗位相應的資訊安全和保密職責。
第五章 監督管理
第二十九條 銀保監會在有效防範保險中介市場風險、維護資訊安全的基礎上,建立健全符合保險中介行業發展特點的信息化監管機制,引導保險中介機構不斷提高信息化工作水準,推動保險公司與中介機構系統對接,營造透明、規範、高效的市場環境,促進保險中介行業高品質發展。
第三十條 銀保監會負責制定保險中介機構信息化工作監管制度,授權各派出機構開展保險中介機構信息化工作日常監管、指導與檢查。
銀保監會及其派出機構應加強風險識別、評估和預警,合理分配資源,統籌監管聯動,有序開展監管工作。
第三十一條 銀保監會及其派出機構應審查保險中介機構信息化工作。
保險中介機構信息化工作不符合本辦法要求的,視為不符合《保險代理人監管規定》第七條、第十二條、第十八條,《保險經紀人監管規定》第七條、第十六條,《保險公估人監管規定》第十六條、第十八條等相關條件,不得經營保險中介業務。
第三十二條 銀保監會及其派出機構重點對存在下列情形的保險中介機構進行信息化工作檢查:
(一)信息化工作存在重大安全隱患或不符合本辦法要求的。
(二)發生信息化突發事件的。
(三)違反銀保監會信息化突發事件資訊報告相關規定的。
(四)對嚴重資訊安全隱患未採取整改措施或整改不力的。
(五)惡意對資訊系統或數據進行篡改、刪除或關閉,逃避監督檢查的。
(六)違規收集、使用、提供和處理個人資訊或洩露、篡改個人資訊的。
(七)向銀保監會及其派出機構報送數據、報表、報告,存在誤報、漏報、錯報、遲報等行為的。
(八)銀保監會及其派出機構認為有必要進行信息化工作檢查的其他情形。
第三十三條 銀保監會及其派出機構依據法律、行政法規和相關規定,對違反本辦法的保險中介機構採取監管措施或實施行政處罰,並追究相關人員責任。
第六章 附則
第三十四條 保險中介機構應按照本辦法進行信息化工作自查,在本辦法實施之日起一年內完成整改。完成整改後,保險中介機構法人機構將信息化工作情況報告報送至機構營業執照登記註冊地銀保監會派出機構。
第三十五條 本辦法由銀保監會負責解釋和修訂。
第三十六條 本辦法自2021年2月1日起施行,《關於加強保險中介機構信息化建設的通知》(保監發〔2007〕28號)同時廢止。