中國人壽的80萬份保單信息遭泄露，讓保險公司在與第三方機構合作的模式下管理投保人信息安全的隱患暴露無疑。對保險客戶信息的保護，相關監管部門早有規定。但現實生活中，個人信息泄露的現象卻屢禁不止

　　法治周末見習記者 蔡長春

　　近日，一家名叫“眾宜風險管理”的網站突現神奇，只要在搜索欄中輸入某個姓氏，就可以隨意查出中國人壽保險股份有限公司(以下簡稱“中國人壽”)投保人的大量個人信息。

　　對此，中國人壽迅速出面道歉，“眾宜風險管理”網更是直接停止了正常運營，網站頁面直接變成了一紙《關于我公司網站泄露保險客戶信息一事的致歉聲明》。

　　然而雙方處理態度雖好，卻并不能輕易抹去該事件所帶來的負面影響。這場“春光乍泄”，再一次讓眾多消費者為自己的個人信息安全問題捏了一把汗。

　　而除了道歉之外，中國人壽是否還會有更進一步的處理措施？未來將采取哪些措施進一步加強客戶的個人信息安全保護？法治周末記者就此問題多次致電中國人壽，不過截至發稿，對方始終沒有給出正面回應。

　　80萬份保單信息遭泄露

　　2月26日，凱迪社區上的一個帖子一經發出便引發大量關注。

　　名為“perfectwld1”的發帖人稱，他當日進入中國人壽注冊汽車救援卡時發現，中國人壽的合作網站“眾宜風險管理”搜索信息欄中可以隨意查找出所有投保人的信息。

　　據稱，在搜索中輸入名字，即可查出同名同姓或者相近的一串人，包含身份證號、手機號；他又輸入一個“李”字，結果出來幾千個姓李人的資料，包括險種、手機號、身份證號、密碼一應俱全。

　　“所有有救援卡可以登錄進去的人，都可以盡情查詢別人的詳細資料！我不知道該提醒誰，只有發帖提醒大家！”該發帖人呼吁道。

　　隨后，微博名為“壹葉知秋寒”的網友據此登錄了該網站，進入隨機查詢后發現投保人信息數據庫中共有79.23萬條信息。“現在沒時間，不然可以一個個扒下來賣錢�！彼�甚至調侃說。

　　而這項“特殊功能”已經失效。法治周末記者日前試圖登錄查詢進行驗證時發現，該網站顯示出只有一個關于公司網站泄露保險客戶信息一事的致歉聲明。

　　這份不到300字的聲明中顯示：“按照保險監管要求，為切實保障客戶權益，保險公司需為投保意外險的客戶提供保險信息查詢平臺。我公司作為第三方服務公司，所屬網站提供的查詢界面就是為了滿足保險客戶及時查詢其本人的意外險投保信息。”

　　該公司坦言：“由于我公司工作失誤，在網站近期的系統功能升級中存在一定的漏洞，并由此給與我公司合作的保險公司及保險客戶造成了一定的不良影響，在此，我公司深表歉意�！�

　　最后還表示：“我公司正積極與各合作保險公司進行溝通，采取措施在滿足客戶本人查詢的條件下，為客戶的信息做好保密工作�！�

　　與此同時，中國人壽在2月27日也公開致歉，稱上述原因是由于中國人壽四川省分公司開展業務合作的成都眾宜康健科技有限公司所屬的“眾宜風險管理網”，2月22日升級操作失誤所致。發生問題的查詢模塊已關閉。

　　此外，中國人壽官方網站、中國人壽核心業務數據與“眾宜風險管理網”不存在互動通道。

　　第三方機構埋安全隱患

　　據法治周末記者了解，“眾宜風險管理”網站版權所有者為“成都眾宜康健科技有限公司”，該公司目前的主要業務是提供救援，其主要客戶是購買各類意外險的客戶，例如在網上代理銷售中國人壽的意外險。

　　因此，作為中國人壽的一個代理公司，該網站與中國人壽確實是合作關系。該事件也讓保險公司在與第三方機構合作的模式下管理投保人信息安全的隱患暴露無疑。

　　“在當前保險行業中，為了迅速地擴展業務，保險公司往往會采取與第三方機構合作的發展模式，這種行為并不罕見。”一位長期從事保險行業的梅經理告訴法治周末記者。

　　中國人壽一位內部人士也曾表示，目前，各個分公司都有可能與第三方機構開展業務合作，中國人壽的后臺不可能對第三方機構信息監控得那么密集。

　　不過他也提出，此次被泄露信息的客戶并不是中國人壽的后臺客戶，而是出現泄密客戶資料的網站通過銷售與中國人壽產品有關的相關客戶。該網站被泄密的客戶中有中國人壽的客戶，可能也有別的保險公司的客戶。

　　首都經濟貿易大學勞動經濟學院副院長朱俊生指出，由于第三方機構的運作比較獨立，所以保險公司與第三方機構只是合作的關系，對其客戶的信息管理不可能全部用自己公司管理客戶信息的方式進行嚴格管理，這就在客觀上存在保險公司客戶由于第三方機構的原因導致信息泄密的情況，上述事件就是一個明顯的案例。

　　他進一步表示，保險公司以后在與第三方機構開展業務合作的時候，一定要加強對第三方機構資質的審查，特別加強對第三方機構信息管理能力的審查，以避免上述事件的再次發生。

　　IT律師趙占領則告訴法治周末記者：“第三方機構的責任之外，中國人壽本身也應起到一定的監督作用。因此除了公開道歉并停止信息的繼續泄露外，中國人壽還可以考慮給出一個象征性的補償，表明承擔責任的一個積極態度，如保險期限延長和適度提高保額等�！�

　　信息安全監管有待完善

　　對保險客戶信息的保護，相關監管部門其實早有規定。

　　保監會《人身意外傷害保險業務經營標準》中就明確規定：“保險公司提供保單查詢服務時，應注意保護投保人和被保險人的隱私�！�

　　不過即便如此，在現實生活中，保險公司方面泄露個人信息的現象卻非常普遍，消費者的個人信息泄露問題已經十分嚴重。

　　“泄露個人信息的行為可以通過追究其刑事、民事、行政責任等3種方式加以限制。”趙占領分析認為，“追究刑事責任的方式最為嚴厲，使用起來限制也較多，總體來講還不是常規的保護個人信息的一種手段�！�

　　至于民事手段，即用戶個人去維權，追究涉事公司的責任。趙占領表示：“一是取證困難，二是無法證明損失，成本高、收益低，目前也基本很少看到用民事手段去維權的。”

　　在他看來，相對于追究刑事責任和民事責任來說，對涉事公司追究行政責任，比如罰款、關閉網站等，這才應該是更常規的手段。

　　趙占領進一步分析道：“由相關監管部門對保險公司、網站等的安全水平、信息保護水平進行評測，如果出現泄露個人信息情況，造成損失的情況下，可以對其追究行政責任。”

　　“像泄露消費者個人信息的這種行為，保險監管者在監管、評級的時候，應當將此作為一個重要權重。”中國人民大學法學院教授劉俊海認為，“央行建立了個人征信系統，對法人、金融機構也應該建立征信系統，對于侵犯消費者個人隱私的公司，也要將其拉入黑名單。”

　　劉俊海還表示：“立法機關準備制定公民個人信息保護法，個人希望加快這部法律的起草進度，進一步加大個人信息、當然也包括隱私信息的保護力度，特別是明確公民個人信息受到侵害以后的民事賠償責任的追究機制等�！�