中国银行保险报网讯【记者 谭乐之】

目前，我国形成以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（以下简称“三法”）为核心的网络法律体系，为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度保障，也为网络安全保险在中国的发展提供了强有力的法律基础。

9月6日，由《中国银行保险报》主办，循环智能、水滴保险经纪、飞书协办的“加速数字化转型，赋能高质量发展”第十五届中国保险业信息技术峰会在山东省烟台市举办。在峰会的圆桌论坛环节，与会嘉宾分别就保险业推动“三法”落地、数据安全融入险企顶层设计、数据共享和数据安全等角度展开激烈讨论。

保险业推动“三法”落地

在“三法”出台的大背景下，与会嘉宾分享了保险业在推动网络安全保障落地方面的具体做法。

“网络安全的相关工作，其实各方各面都需要关注。”泰康集团信息安全部总经理李瑞荣介绍，泰康集团除了遵循“三法”之外，还一定程度向国际相关标准看齐。“公司内部非常重视，我们董事长作为信息安全领导小组的负责人也在推进相关的工作。”

“最重要的，不仅仅是从约束、制约角度看待‘三法’，还要以更加积极、更正面的态度去认识这三部法律所带来的正面意义。”中国人寿寿险研发中心客户服务产品总监石大立提出，“三法”间有内在的逻辑联系，包括网络安全、数据安全、个人信息保护三方面，“三法”其实也为保险公司网络安全工作划定了三个主要的方向。

“最主要的还是网络安全。在移动互联的大背景下，越来越多的互联网应用和对外合作通过API（应用程序界面）把能力提供出来，这实际上给日常运营安全带来了诸多挑战。这也意味着我们需要构建安全的网络边界和纵深的防护体系。只有建立在安全的基础上，我们的业务、交易才是可信的，客户才能对我们有信心。”

横琴人寿数据中心总监曲洪涛同样认为，“三法”给网络安全工作提出了非常明确的指导标准和建议。横琴人寿通过“将网络安全纳入到公司全面风险管理体系”和“相关网络安全工作尽可能前置”两个方面，来具体开展相关的网络安全保障工作。

现代财险信息科技中心大数据部副总经理张杰认为，“三法”对保险行业一定影响，具体体现在网络安全意识增强、经营难度加大、技术要求提高三方面。安全意识增强，即保险公司对数据安全、数据合规使用的意识增强；经营难度增大，即从合规角度，对保险公司提出了更高的要求；技术要求提高，即数据安全合规要贯穿数据全生命周期，要满足最小化数据采集、存储、传输等要求，技术要求有所提高。

数据安全融入顶层设计

随着“三法”落地，从保险机构又该如何从管理体系、公司架构等方面保障网络安全？这一问题同样引起了与会嘉宾的探讨。

“对于数据安全这块怎么做，我们分了几个维度。”李瑞荣介绍，第一，在组织维度层面，对于大型金融集团公司而言，数据安全应该涉及每一部门和个人，推进一定是体系化的；第二，在制度层面，需要有顶层的战略方针；第三，在人员层面，需要成立专门的信息安全团队，将数据安全工作落地；第四，在考核机制层面，需要以考核形成闭环，最终把数据安全的工作扎实推进。

对于数据安全方面，中国人寿同样也做了一定的制度设计，对产品团队、研发团队进行了相应的责任明确。石大立介绍，安全责任应该落在产品经理的头上，中国人寿也设立了专门的网络安全合规检查员、个人信息保护政策检查员等，以从整个软件开发的全生命周期审视工作是否合法合规。

“光依靠单一的安全部门，肯定不能把数据安全工作在方方面面做得特别细致，只有通过制度设计，把开发团队的主体意识调动起来，才能使安全合规工作有较大的促进。”石大立说。

在数据共享和安全之间抉择

在打通“数据孤岛”、实现数据共享的过程中，保险公司又该如何保护数据安全？

“如果不建立相应机制，无法实现数据共享，没有把数据安全责任履行好，我们就无法将数据开放给别人。”中国网络空间安全协会网络治理与国际合作工委会副秘书长王波认为，数据共享和数据安全的矛盾问题，需要从使用制度、监管等多维度考量。

张杰则从多方安全计算、隐私计算、个人信息技术保护等方面分享了自己的思考。张杰认为，保险业还处在萌芽和探索的阶段，原因在于三方面，一是技术新，不光是保险业，其他行业也均在探索阶段；二是保险业行业特性，涉及个人敏感信息更多，对监管的合规要求也相应更高；三是各个选取的数据应用能力和意愿有关，具体体现在“数据试着用”“数据不敢用”“数据不会用”“数据不能用”“数据没得用”五个方面。

“通常都是保险公司从外部引入数据到公司内部，保险公司将自身数据共享到外部的例子少之又少。”张杰表示，其背后的核心原因就是“数据不敢用，说白了对外部环境不放心。”

与会嘉宾认为，数据被复制出去，相当于保险公司对数据失去了控制权。丢失业务是小，若数据被他人恶意利用，造成不可估量的损失才是大。