三、金融科技网络信息安全监管环境分析
随着信息技术的发展与广泛应用,网络信息安全的问题逐渐显露,从1994年起,国家层面已经注意到信息技术对国民生活的重要性,以及信息技术在应用过程中所存在的网络信息安全问题,国家层面陆续发布了《中华人民共和国计算机信息系统安全保护条例》、《关于维护互联网安全的决定》、《计算机病毒防治管理办法》、《互联网新闻信息服务管理规定》、《电子出版物管理规定》、《中国互联网络域名管理办法》等法律法规。特别是在2016年我国先后发布了《中华人民共和国网络安全法》《国家网络空间安全战略》,阐明了我国关于网络空间发展和安全的立场,指导网络安全工作,维护国家在网络空间的主权、安全和发展利益。
经过多年的发展,我国保险业已基本形成具有“监管主体多维化”“监管制度严格化”“监管内容精细化”“监管手段科技化”“监管政策地域化”几大特征的信息安全监管框架。
四、监管主体多维化
我国保险行业网络信息安全主要受网信办、公安部、银行保险监督管理委员会等部门多个维度的监督管理。
保险作为金融机构,是国家重要基础设施之一,国家法律对金融机构信息安全具有监管要求。《网络安全法》规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。这种“1+N”的监管体制,既符合当前互联网与现实社会全面融合的特点和监管需要,也满足国家对网络安全重点保护、预防为主、责任明确、严格管理的原则。
(一)公安机关行使计算机网络信息安全保护监督管理工作
1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,赋予公安机关行使对计算机信息系统安全保护工作的监督管理职权,规定由公安机关牵头落实信息系统安全等级保护制度。
1995年全国人大发布《中华人民共和国人民警察法》,明确公安机关具有监督管理计算机信息系统安全的职责。
1997年执行的《计算机信息网络国际联网安全保护管理办法》,公安机关的监督职权扩大到信息网络国际联网领域。
2017年实施的《网络安全法》,在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
以上法律法规强化了公安机关在网络信息安全监督管理方面的主导地位,网络安全等级保护制度也成为了国家监管、保护国家重要基础设施网络安全的有力抓手。
(二)人民银行是金融领域的行政主管单位
1.在全国金融风险管理方面,央行需要对金融机构、金融资金流向的信息安全全面掌握。例如《关于进一步加强银行业金融机构信息安全保障工作的指导意见》《国库资金风险管理办法》《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》《金融机构大额交易和可疑交易报告管理办法》等制度文件,要求各金融机构需要保障金融系统和数据的可用性和完整性。
2.央行在管理金融交易、结算清算等方面的管理要求,需要保障经济信息、全国交易信息的信息安全风险。例如《关于加强条码支付安全管理的通知》《关于强化银行卡磁条交易安全管理的通知》《关于开展支付安全风险专项排查工作的通知》等。
3.央行在统筹规划、建设和使用国家基础数据过程中要保障数据的安全性。例如《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《个人信用信息基础数据库管理暂行办法》《企业信用信息基础数据库管理暂行办法(征求意见稿)》《关于进一步加强征信信息安全管理的通知》等管理办法。
(三)银保监会是保险机构的直接监管部门
保险机构在业务快速发展过程中,积累了客户数据、交易数据、外部数据等海量数据,数据已经成为保险公司的重要资产和核心竞争力,数据的安全保障也成为了监管的重点,早在2008年,原保监会为有效控制防范信息系统风险,发布了《保险业信息系统灾难恢复管理指引》,2011年进一步发布了《保险公司信息系统安全管理指引(试行)》,2021年12月30日,银保监会发布《银行保险机构信息科技外包风险监管办法》,对保险机构提出信息安全相关的制度要求,对保险机构明确提出了风险管理的要求,该指引涵盖了信息科技风险管理的各个领域,进一步加强了保险机构信息科技风险管理,确保了业务的连续性。原保监会在2015年启动了“保单登记平台”的建设,后续又建设了“监管数据标准化系统”,要求金融机构加强数据治理保障数据安全的同时,按照《信息安全技术个人信息安全规范》、《保险信息安全风险评估指标体系规范》、《保险移动应用信息安全基本要求》、《保险行业网络建设基本规范》及《云计算保险风险评估指引》等规章、标准,加强对系统、信息及数据安全的保护。
(四)接受工信部的监管
1.保险机构在使用信息网络资源时,需要遵循工信部相关规定
《互联网域名管理办法》、《规范互联网信息服务市场秩序若干规定》等规章在基础信息网络方面的相关规定,如在注册互联网域名需要提供真实准确的信息,在运营和使用互联网域名时禁止提供的服务内容等要求,在提供信息时不得实施侵犯其他互联网信息服务提供者合法权益的行为,收集用户信息时应征得用户的同意,同时应当加强系统安全防护等要求。
2.保险机构互联网应用系统中发布的内容信息应接受国家互联网信息办公室的监管
保险机构在其发布互联网应用系统上经常会增加一些额外的信息服务,如公众账号、新闻、微博、即时通讯等功能,而这些功能和其中流转的内容信息必须满足国家互联网信息办公室出台的相关规定。如《互联网新闻信息服务管理规定》规定在申请、运行信息服务时应遵循的相关规定,其中包括信息安全管理和技术措施,以及相关知识产权的保障要求;《互联网新闻信息服务新技术新应用安全评估管理规定》规定在发布相关内容服务时如果采用了新技术新应用,需开展自评估并接受评估机构评估,审查信息安全管理制度和技术保障措施是否配套健全;在发布移动互联网应用程序时,应遵照《移动互联网应用程序信息服务管理规定》执行,包括要求App提供者对注册用户的实名制、建立健全用户信息安全保护机制、建立健全信息内容审核管理机制、尊重用户合法权益,以及记录并保存用户日志六十日等要求。
五、监管制度严格化
我国监管层面的制度随着信息科技的发展不断发展和强化,逐步形成了严格的网络信息安全保障制度,例如应按照网络安全等级保护制度要求,对信息系统进行定级、备案、测评和整改;应选用通过信息安全检测和评估认证的安全产品;应遵循商用密码管理制度;须按互联网信息服务安全管理制度要求进行备案;2019年,市场监管总局和中央网信办发布了《移动互联网应用程序(App)安全认证实施规则》,在2019年1月25日中央网信办、工业和信息化部、公安部、市场监管总局决定,自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
六、监管内容精细化
网络信息安全的监管从原则性监管正逐步向精细化监管迈进。20世纪90年代更多的关注破坏计算机系统的犯罪,进入21世纪逐步关注金融行业系统可用性和安全风险的识别。时至今日,已经颁布《网络安全法》、《个人信息安全规范》、《数据安全法》及《个人信息保护法》,网络信息安全的监管正从基础设施和系统的安全性向数据和隐私方向演进。
数字化时代,所有信息都可以通过数字进行定义和标识,数据就是源源不断的资源,国家监管正在逐步精细到数据处理过程,以保障数据资源规范地流动并创造价值。银保监会也要求各保险机构加强数据治理,提高数据质量,充分发挥数据价值,提升经营管理水平,由高速增长向高质量发展转变。
七、监管手段科技化
科技的快速发展催生了互联网众筹、互联网保险等业务的同时,也带来了金融诈骗、网络信息安全及洗钱等问题。为应对新问题,监管部门正在充分运用人工智能、大数据和云计算等新技术,着力解决好监管过程中的信息不对称难题,以切实提高合规管理的能力和水平。
监管部门通过人工智能和大数据等科技化监管手段的应用,如银保监会就有统信上报、保单登记、监管数据标准化及保险实名查验登记等系统,在业务层面对金融诈骗、洗钱、个人信息泄露等行为特征进行识别和追溯,提高分析和处理效率,强化对金融机构业务操作层面的监管水平;通过搭建数据集中化存储和分析平台,对金融机构信息系统运行状况、网络信息安全风险情况进行精准化的规则匹配,发现潜在风险,并以事件和问责的形式,推动金融机构快速响应和处置整改,形成完整而高效的工作机制,这就倒逼保险机构在网络信息安全风险管理方面必须采用科技化的手段和机制,否则将在应对监管问责时处于被动地位。
八、监管政策地域化
因为我国各地区信息技术发展不均衡,信息产业结构也不同,所以各地方政府对网络信息安全监管的要求侧重点也不一样。北京、上海、重庆、杭州、贵阳、大连等城市近几年分别发布了促进大数据发展、关注个人信息保护等网络信息安全规范和要求。《粤港澳大湾区发展规划纲要》中要求大湾区内城市建立健全网络与信息安全信息通报预警机制,加强实时监测、通报预警、应急处置工作,构建网络安全综合防御体系。不久的将来,网络安全监管政策地域化的趋势也将更为明显。
(未完待续)