澎湃新闻记者 胡志婷

银保监会对保险中介信息化工作提出全面要求。

1月12日保险人员管岗位职责，银保监会网站发布了《保险中介机构信息化工作监管办法》（以下简称《办法》），由总则、基本原则、基本原则等6章36条组成。要求、信息系统、信息安全、监督管理及补充规定。 《办法》自2021年2月1日起施行。

可见，近年来，保险业持续健康发展，保险中介规模和数量不断增加，市场地位不断提高。 但保险中介机构经营管理水平、合规水平相对滞后，部分保险中介机构存在信息治理不完善、信息系统建设不规范、信息安全机制不完善等问题，信息化能力和水平成为短板。影响保险中介机构的合规经营和健康发展。

《办法》所称保险中介机构信息化工作，是指保险中介机构在业务处理、经营管理、内部控制等方面应用计算机、通信、网络等现代信息技术，不断提高经营效率、优化内部控制。流程。 为配置资源、提高风险防范水平而开展的工作。 其中，兼营保险代理机构的信息化工作仅指与该机构兼营保险代理业务相关的信息化工作。

从适用对象来看，包括专业保险中介机构、保险兼职代理机构等，应当符合《办法》的要求。 但在征求意见过程中，有单位提出，考虑到副业机构（特别是车行、旅行社等）多、散、小的特点，建议降低兼职要求。机构或将兼职机构排除在监管对象之外。 。

银保监会相关部门负责人表示，经研究认为，兼职机构虽然只从事保险代理业务，但其业务环节和代理活动涉及的消费者个人信息基本都是保险代理机构。与专业机构、中小型兼职机构一样，保险代理机构的业务管理、财务管理、员工管理往往不如专业机构规范，需要加强。 因此，兼职机构在保险代理业务方面应保持与专业机构相同的信息化工作要求。

根据《办法》，保险中介机构应当独立开展信息化工作。 保险中介机构的重要信息机制、设施和管理应当保持独立完整，与关联企业（包括股东、股份制企业和其他关联企业）相关设施有效隔离，接入、使用、转让、应严格规范信息系统和数据的传输。 禁止复制等行为，不得违规向关联公司泄露保单、个人信息等数据信息。

在信息系统方面，《办法》明确保险中介法人机构应当根据业务规模和发展需要，建立相配套的业务管理、财务管理、人事管理等信息系统。

目前，一些保险中介机构与合作保险公司之间的业务信息交互不规范、不透明，业务流程难以追溯，监管数据报送不准确、不及时。 《办法》提出了保险中介机构、保险公司、监管机构之间的数据对接要求，规范保险中介机构、保险公司、监管机构之间的信息交换行为，使保险公司与保险中介机构之间的业务信息互通。标准化、透明。 、可追溯，推动保险中介提高经营管理水平，提高保险中介市场运行效率，提高保险中介监管数据质量和报送时效性，提升监管效率。

保险公司信息系统建设可以采取自主开发、合作开发、定制开发、外包开发、购买云服务等形式。 信息技术事项外包给关联企业的，应当按照本办法的外包要求实施有效管理。 保险中介机构在保证数据安全、独立的前提下，可以与所属企业使用同一信息系统。

同时，《办法》还指出，保险中介机构应当按照最少功能、最少权限的原则，合理确定信息系统的访问权限，并定期检查，确保用户权限与其工作职责相匹配。 严格控制系统访问权限，禁止未经授权的查看和下载数据。 通过系统后台严格控制数据的修改。 如果确实需要修改，必须提前批准、过程中监控、事后追踪。

《办法》明确，保险中介机构应当建立健全信息安全管理制度，部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施，确保业务连续性和数据安全。 保险中介机构应当采取可靠的数据存储和备份措施，并定期进行备份数据恢复验证。 系统数据应至少保留五年，系统日志应至少保留六个月。

值得注意的是，《办法》规定，保险中介机构不符合《办法》要求的，视为不符合《保险代理人监管规定》第七条、第十二条、第十八条和《保险代理机构管理办法》第七条、第十二条、第十八条的规定。根据《监管条例》第七条、第十六条和《保险公估人监管条例》第十六条、第十八条的相关要求，不得经营保险中介业务。

保险中介机构信息化工作监管办法附后

第一章 一般规定

第一条 为加强保险中介机构监管，提高保险中介机构信息化工作和经营管理水平，促进保险中介行业高质量发展，根据《中华人民共和国保险法》，制定本办法。根据《中华人民共和国网络安全法》、《保险代理人监管条例》、《保险经纪人监管条例》、《保险公估人监管条例》等法律、行政法规，本办法被制定。

第二条 在中华人民共和国境内依法设立的保险中介机构，适用本办法。

第三条 本办法所称保险中介机构是指保险代理人（不含个人代理人）、保险经纪人、保险公估人，包括法人单位和分支机构。 保险代理人（不含个人代理人）包括专业保险代理机构和兼职保险代理机构。

本办法所称保险中介机构信息化工作，是指保险中介机构在业务处理、业务管理、内部控制等方面应用计算机、通信、网络等现代信息技术，不断提高运营效率、优化服务水平。内部资源分配。 提高风险防范水平。 其中，兼营保险代理机构的信息化工作仅指与该机构兼营保险代理业务相关的信息化工作。

本办法所称信息化突发事件，是指信息系统、信息基础设施发生故障或者网络攻击，导致同省保险中介机构营业网点、电子渠道中断3小时以上或者2小时以上的突发事件。上述省份营业网点、电子渠道中断30分钟以上； 或因网络诈骗等信息安全事件，给保险中介机构或者客户造成1000万元以上资金损失，或者造成重大社会影响的； 保险中介机构丢失、泄露大量重要数据或客户信息已造成或可能造成重大损失和严重影响。

第四条 保险中介机构信息化工作应当遵守中华人民共和国法律、行政法规和中国银行保险监督管理委员会（以下简称中国银行保险监督管理委员会）的监管制度要求。

保险中介信息化工作必须遵循安全性、可靠性、有效性相统一、技术路线与业务发展方向相一致、信息系统与管理需求相匹配的原则。

第五条 保险中介机构是机构信息化工作的责任主体。 保险中介机构的法定代表人或者主要负责人对机构信息化工作负主要责任。

第六条 中国银行保险监督管理委员会及其派出机构依法对保险中介机构信息化工作进行监督管理。

第二章 基本要求

第七条 保险中介机构应当履行下列信息工作职责：

（一）贯彻执行国家网络安全和信息化工作的法律、行政法规、技术标准和银保监会监管制度。

（2）制定组织的信息化工作计划，确保与总体业务计划的一致性。

（三）制定信息工作制度，建立分工合理、职责明确、报告关系明确的信息管理机制。

（四）编制信息化预算，保证信息化工作所需经费。

（五）开展机构信息化建设，确保机构信息系统和数据管理权限完全掌控。

（六）制定本机构信息突发事件应急预案，组织开展应急演练，对本机构发生的信息突发事件及时报告、快速响应、处理。

（七）配合银保监会及其派出机构对信息化工作的监督检查，如实提供相关文件和信息，并按照监管意见进行整改。

（八）开展信息化培训，强化组织人员的信息化意识、信息安全意识和软件正版意识。

（九）中国银行保险监督管理委员会规定的其他信息工作职责。

第八条 保险中介机构应当独立开展信息化工作。 信息化工作涉及关联企业（包括股东、股份企业及其他关联企业）的，保险中介应与关联企业明确信息化工作职责，并各自承担信息安全管理责任。 保险中介重要信息化机制、设施和管理应当保持独立完整，与所属企业相关设施有效隔离，严格规范信息系统和数据的访问、使用、转移、复制等行为，不得泄露保险信息向关联企业违规提供政策、个人信息等数据信息。 重要信息机制和设施包括但不限于信息治理和规划、业务、财务、人事等重要信息系统及其中的数据信息。

信息技术事项外包给关联企业的，应当按照本办法的外包要求实施有效管理。

第九条 保险中介法人机构应当指定一名高级管理人员，协调法人机构及分支机构的信息管理工作。

第十条 保险中介法人机构应当设立信息部门或者信息岗位，负责信息工作的正式工作人员不少于1名。 分支机构应当有正式工作人员协助法人单位开展信息化工作。

第十一条 申请开展保险中介业务的法人机构应当按照本办法开展信息化建设，并向该机构营业执照注册地中国银行保险监督管理委员会派出机构提交信息化工作报告。 报告内容包括信息化管理机制和机构情况、符合本办法第十七条要求的信息系统、信息系统采购合同或知识产权证书等。

保险中介法人机构设立分支机构时，保险中介法人机构或其省级分行应当向中国银行保险监督管理委员会所在地中国银行保险监督管理委员会派出机构提交法人机构及分支机构信息化工作报告。分支机构营业执照注册地。

第十二条 保险中介法人机构应当加强分支机构的信息管理。 除法律、行政法规和中国银行保险监督管理委员会监管制度另有规定外，法人机构与分支机构应当使用同一信息系统。 法人机构应当督促分支机构及时录入经营数据，通过信息系统管理和监控各分支机构的经营状况。

第十三条 保险中介应当按照监管要求，及时通过保险中介监管相关信息系统向中国银行保险监督管理委员会及其派出机构报送监管事项、报送监管数据。

第十四条 保险中介机构发生信息化突发事件，应当按照规定在24小时内向该机构营业执照注册地中国银保监会派出机构报告信息。中国银行保险监督管理委员会关于信息化突发事件信息报告的相关规定。 发生特别严重、可能造成严重社会影响的信息化突发事件后，保险中介机构应当在30分钟内以电话方式报告相关信息，并在1小时内以书面形式报告信息。

第十五条 保险中介机构应当使用正版软件，禁止复制、传播或者使用未经授权的软件。 采取有效措施保护本组织具有自主知识产权的信息系统，切实提高软件正品和知识产权保护意识。

第十六条 保险中介机构应当主动跟踪、研究和应用新兴信息技术，积极推动业务创新和服务创新，在防范风险的前提下增强核心竞争力。

第三章信息系统

第十七条 保险中介法人应当根据业务规模和发展需要，建立相配套的业务管理、财务管理、人事管理等信息系统，并符合下列要求：

（1）业务管理系统可以记录和管理业务协议、保险业务明细、客户信息、相关凭证及其他业务情况等。

（2）财务管理系统可以记录和管理财务总账、明细账、应收应付账款、会计报表、发票等。

（三）人事管理系统可记录和管理保险中介从业人员的基本信息、入职与离职、劳动合同、执业注册、人力薪酬、培训、奖惩等。

（四）业务管理、财务管理、人事管理系统中的数据能够一致、相互验证。

（五）通过技术手段实现与合作保险公司的系统互通、业务互联、数据对接。

（六）能够生成符合监管要求的数据文件，并通过技术手段实现与保险中介监管相关信息系统的数据对接。

（七）能够按照合作机构、分支机构、业务类别、业务渠道、保险种类、收支、地域、时间等维度对机构运营情况进行汇总分析。

(8)具有用户权限管理功能，可以根据不同的角色为用户配置数据的添加、删除、修改和查看权限。

(9)具有日志管理功能，可以记录用户操作行为和操作时间。

（十）符合国家标准化管理部门、中国银行保险监督管理委员会颁布的相关行业标准和技术规范。

第十八条 保险中介机构可以采取自主开发、合作开发、定制开发、外包开发、购买云服务等方式建设信息系统。

保险中介机构应充分认识并有效控制信息化建设的风险。 保险中介机构无论如何建设信息系统，都应当遵守本办法，承担信息安全管理责任。

第十九条 采用合作开发、定制开发、外包开发、购买云服务等外包模式建设信息系统的，保险中介机构应当识别、分析信息技术外包风险，加强对外包服务商的资质审核，外包服务审查。 风险管理，规范外包合同条款，明确外包范围、责任边界、安全保密和个人信息保护责任，采取有效手段确保数据和信息系统的安全性和持续可控。 保险中介机构应提高自主研发能力，逐步减少对外包服务商的依赖。

第二十条 保险中介机构应当按照最少功能、最少权限的原则，合理确定信息系统访问权限，并定期检查，确保用户权限与其工作职责相匹配。 严格控制系统访问权限，禁止未经授权的查看和下载数据。 通过系统后台严格控制数据的修改。 如果确实需要修改，必须提前批准、过程中监控、事后追踪。

第二十一条 保险中介机构应当通过信息系统全面、准确、完整地记录和​​管理业务、财务、人员信息，确保信息系统记录和管理的数据与实际业务相符。

保险中介机构应当自各保险业务环节之日起3个工作日内将业务明细数据录入信息系统。 若同时涉及财务和人事事项，财务和人事明细数据录入应同时完成。

第二十二条 保险中介机构进行信息系统调试、变更或者数据迁移时，应当组织风险评估，制定实施方案，制定系统回滚和应急预案，开展演练、测试和培训，审慎实施，并保证有效性。实施完成后进行验证。

第四章 信息安全

第二十三条 保险中介机构应当建立健全信息安全管理制度，部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施，确保业务连续性和数据安全。

第二十四条 保险中介机构应当按照国家有关网络安全等级保护规定，合理确定信息系统的安全等级，按照国家有关网络安全等级保护标准进行保护，并取得相应的国家网络安全等级保护认证。

第二十五条 保险中介机构应当对重要数据采取保护措施，确保数据在采集、存储、传输、使用、提供、备份、恢复和销毁过程中的安全，合法使用数据，严格防止数据泄露、篡改和毁损。 。 ，确保数据的完整性、机密性和可用性。

保险中介机构应当采取可靠的数据存储和备份措施保险人员管岗位职责，并定期进行备份数据恢复验证。 系统数据应至少保留五年，系统日志应至少保留六个月。

第二十六条 保险中介机构收集、处理、应用涉及个人信息的数据，应当遵循合法、正当、必要的原则，遵守国家有关法律、行政法规，符合个人信息安全相关国家标准。

未经许可或授权，保险中介机构不得收集与其提供的服务无关的个人信息； 不得违反法律、行政法规和合同约定收集、使用、提供、处理个人信息； 他们不得泄露或篡改个人信息。

第二十七条 保险中介机构应当加强对台式电脑、便携式电脑、智能手机、平板电脑、移动存储介质等终端设备的管理，根据法律、行政法规的要求和网络安全的实际选择和实施终端设备。组织的情况。 登录控制、病毒防护、软件安装卸载管理、移动存储介质管理、固定资产管理、网络访问、违规监控等安全措施。

第二十八条 保险中介机构应当定期开展信息化培训、信息安全培训和保密教育，与从业人员签订信息安全和保密协议，督促从业人员履行与其岗位相对应的信息安全和保密责任。

第五章 监督管理

第二十九条 中国银行保险监督管理委员会应当在有效防范保险中介市场风险、维护信息安全的基础上，建立健全符合保险中介行业发展特点的信息监管机制，引导保险中介不断完善信息监管体系。提高信息化工作水平，推动保险公司与中介系统对接，营造透明、规范、高效的市场环境，推动保险中介行业高质量发展。

第三十条 中国银保监会负责制定保险中介机构信息化工作监管制度，授权各派出机构对保险中介机构信息化工作进行日常监督、指导和检查。

银保监会及其派出机构要加强风险识别、评估和预警，合理配置资源，协调监管联动，有序开展监管工作。

第三十一条 中国银行保险监督管理委员会及其派出机构对保险中介机构信息化工作进行审核。

保险中介机构信息化工作不符合本办法要求的，视为不符合《保险代理人监管条例》第七条、第十二条、第十八条和《保险代理人监管条例》第七条、第十八条的规定。 《保险经纪人监管条例》第十六条、第十六条、第十八条以及《保险公估人监管条例》其他相关条件的，不得经营保险中介业务。

第三十二条 中国银行保险监督管理委员会及其派出机构对下列情况的保险中介机构信息化工作进行重点检查：

（一）信息工作存在重大安全隐患或者不符合本办法要求的。

（二）发生信息突发事件的。

（三）违反中国银行保险监督管理委员会信息化应急信息报告相关规定的。

（四）对严重信息安全风险未采取整改措施或者整改措施不力的。

（五）恶意篡改、删除、关闭信息系统或者数据逃避监督检查的。

（六）违规收集、使用、提供、处理个人信息或者泄露、篡改个人信息。

（七）向中国银行保险监督管理委员会及其派出机构报送数据、报表、报告，存在错报、漏报、误报、迟报等情况。

（八）中国银行保险监督管理委员会及其派出机构认为需要对信息化工作进行检查的其他情形。

第三十三条 中国银行保险监督管理委员会及其派出机构依照法律、行政法规和有关规定，对保险中介机构违反本办法的行为，采取监管措施或者行政处罚，并追究相关人员责任。

第六章附则

第三十四条 保险中介机构应当按照本办法对信息化工作进行自查，并自本办法施行之日起一年内完成整改。 保险中介机构法人机构完成整改后，应当向机构营业执照注册地中国银行保险监督管理委员会派出机构提交信息化工作报告。

第三十五条 本办法由中国银行保险监督管理委员会负责解释和修改。

第三十六条 本办法自2021年2月1日起施行，《关于加强保险中介机构信息化建设的通知》（保监发[2007]28号）同时废止。