筑牢安全防线 释放数据价值——以合规为基赋能保险业数字化转型
王淑艳/信息科技部
随着《数据安全法》《个人信息保护法》等法律法规的深入落地,数据安全已经成为数字经济时代各行各业发展的底线要求。保险业作为承载海量客户敏感信息的行业之一,如何在严格守住数据安全底线同时,充分释放数据要素的巨大价值,为数字化转型注入核心动力,已成为行业亟待破解的核心课题,更是我们肩负的重要使命。
数据安全是数据价值释放的前提和基础。只有建立覆盖数据采集、传输、存储、使用、共享、销毁全生命周期的闭环管控体系,实现“事前防范、事中控制、事后追溯”,才能为数据的安全合规使用筑牢坚实屏障。
统一敏感数据处理标准是管控体系的第一道关口。目前,公司已经建立覆盖姓名、证件号、手机号、地址等核心敏感字段的统一掩码规则,并针对不同业务岗位和场景制定差异化的使用标准流程:在录单、核保、批改、理赔处理、客户报案等业务操作环节,允许明码展示必要信息,保障业务正常开展;在保单生成、案件结案后的查询查看环节,默认执行脱敏处理;针对C端用户页面、内部查询页面、单证打印等不同展示场景,执行不同强度的脱敏策略,主动删除非必要字段显示,最大限度缩小敏感信息暴露范围。
针对单个保单、案件明码查看和批量数据导出等高频高风险操作,公司建立了“直接查看—验证码验证—公司审批”三类授权机制,实现权限与责任的精准匹配。电服理赔报案、反欺诈调查等特殊岗位,因业务刚需可直接查看相关信息;一般岗位人员查看单条敏感信息,需填写使用原因并通过验证码验证;人员清单、雇员清单等高敏感信息的查看与下载,必须经过公司审批,审批通过后生成加密文件发送至申请人,并建立材料销毁跟踪机制,要求限期完成销毁。
针对自带敏感信息的影像资料,我们增加了差异化的管控措施,影像下载需单独申请并通过验证码验证,下载文件自动添加包含使用范围、下载人、下载时间的水印,实现可追溯管理。同时全面加强外部链接与接口安全管控,对保单查询、续保等链接中的所有敏感参数进行加密处理,防止篡改和越权访问;所有外
部链接访问前必须完成登录验证;及时下线停止合作的渠道接口和无人使用的功能模块,从源头消除安全隐患。此外,我们还建立了全流程关键操作留痕机制,完整记录登录、查询、修改、导出、删除等所有数据操作行为,按监管要求保存操作日志年限,系统支持按人员、时间、业务号、操作类型等多维度进行检索,便于及时发现、精准定位和完整追溯。
数据安全不是为了限制数据使用,而是为了实现更安全、更合规、更高效地使用数据。在严格遵守数据安全法规的前提下,我们也将管控要求与赋能需求深度融入业务全流程,积极探索“数据可用不可见”的创新模式,推动数据应用从 “原始数据查询”向“决策支持输出”升级,在保护个人隐私的同时最大化释放数据价值。
如在客户洞察与营销场景中,改变依赖原始个人数据的传统模式,例如使用“30-40 岁有车一族”“高净值家庭”“健康险潜在客户”等标签化客户画像,替代原始姓名、年龄、收入等敏感信息;通过用户行为特征模型预测客户续保概率,无需向营销人员暴露原始联系方式即可实现精准触达,既提升了营销效率和转化率,又从根本上保护了客户隐私。在核保、理赔等核心风控场景中,我们摒弃基于原始个人信息的风险判断方式,通过聚合历史案件特征、用户行为模式、行业风险指数、区域风险等级、异常疑点线索等非个人敏感风险因子,构建智能化风险评估与评级模型。该模式不仅有效规避了个人信息泄露风险,还大幅提升了风险识别的精准性和处理效率,为公司风控体系升级提供了有力支撑。
数据安全既是公司数字化转型的底线要求,也是核心驱动力。站在行业数字化转型的关键节点,每一位华安人都应该深刻认识数据安全与发展的辩证关系,坚持统筹发展和安全,加快构建“管控有力、赋能有效、保障到位”的数据安全管控与赋能体系。
未来,我们也将持续深化数据安全技术创新与制度建设,不断完善全生命周期数据安全管理能力,同时积极探索更多“数据可用不可见”的应用场景,让数据要素在安全合规的轨道上充分流动、释放价值,为公司乃至整个保险业的高质量发展注入新动能。