80万份保单信息遭泄露

　　2月26日，凯迪社区上的一个帖子一经发出便引发大量关注。

　　名为“perfectwld1”的发帖人称，他当日进入中国人寿注册汽车救援卡时发现，中国人寿的合作网站“众宜风险管理”搜索信息栏中可以随意查找出所有投保人的信息。

　　据称，在搜索中输入名字，即可查出同名同姓或者相近的一串人，包含身份证号、手机号；他又输入一个“李”字，结果出来几千个姓李人的资料，包括险种、手机号、身份证号、密码一应俱全。

　　“所有有救援卡可以登录进去的人，都可以尽情查询别人的详细资料！我不知道该提醒谁，只有发帖提醒大家！”该发帖人呼吁道。

　　随后，微博名为“壹叶知秋寒”的网友据此登录了该网站，进入随机查询后发现投保人信息数据库中共有79.23万条信息。“现在没时间，不然可以一个个扒下来卖钱。”他甚至调侃说。

　　而这项“特殊功能”已经失效。法治周末记者日前试图登录查询进行验证时发现，该网站显示出只有一个关于公司网站泄露保险客户信息一事的致歉声明。

　　这份不到300字的声明中显示：“按照保险监管要求，为切实保障客户权益，保险公司需为投保意外险的客户提供保险信息查询平台。我公司作为第三方服务公司，所属网站提供的查询界面就是为了满足保险客户及时查询其本人的意外险投保信息。”

　　该公司坦言：“由于我公司工作失误，在网站近期的系统功能升级中存在一定的漏洞，并由此给与我公司合作的保险公司及保险客户造成了一定的不良影响，在此，我公司深表歉意。”

　　最后还表示：“我公司正积极与各合作保险公司进行沟通，采取措施在满足客户本人查询的条件下，为客户的信息做好保密工作。”

　　与此同时，中国人寿在2月27日也公开致歉，称上述原因是由于中国人寿四川省分公司开展业务合作的成都众宜康健科技有限公司所属的“众宜风险管理网”，2月22日升级操作失误所致。发生问题的查询模块已关闭。

　　此外，中国人寿官方网站、中国人寿核心业务数据与“众宜风险管理网”不存在互动通道。

　　第三方机构埋安全隐患

　　据法治周末记者了解，“众宜风险管理”网站版权所有者为“成都众宜康健科技有限公司”，该公司目前的主要业务是提供救援，其主要客户是购买各类意外险的客户，例如在网上代理销售中国人寿的意外险。

　　因此，作为中国人寿的一个代理公司，该网站与中国人寿确实是合作关系。该事件也让保险公司在与第三方机构合作的模式下管理投保人信息安全的隐患暴露无疑。

　　“在当前保险行业中，为了迅速地扩展业务，保险公司往往会采取与第三方机构合作的发展模式，这种行为并不罕见。”一位长期从事保险行业的梅经理告诉法治周末记者。

　　中国人寿一位内部人士也曾表示，目前，各个分公司都有可能与第三方机构开展业务合作，中国人寿的后台不可能对第三方机构信息监控得那么密集。

　　不过他也提出，此次被泄露信息的客户并不是中国人寿的后台客户，而是出现泄密客户资料的网站通过销售与中国人寿产品有关的相关客户。该网站被泄密的客户中有中国人寿的客户，可能也有别的保险公司的客户。

　　首都经济贸易大学劳动经济学院副院长朱俊生指出，由于第三方机构的运作比较独立，所以保险公司与第三方机构只是合作的关系，对其客户的信息管理不可能全部用自己公司管理客户信息的方式进行严格管理，这就在客观上存在保险公司客户由于第三方机构的原因导致信息泄密的情况，上述事件就是一个明显的案例。

　　他进一步表示，保险公司以后在与第三方机构开展业务合作的时候，一定要加强对第三方机构资质的审查，特别加强对第三方机构信息管理能力的审查，以避免上述事件的再次发生。

　　IT律师赵占领则告诉法治周末记者：“第三方机构的责任之外，中国人寿本身也应起到一定的监督作用。因此除了公开道歉并停止信息的继续泄露外，中国人寿还可以考虑给出一个象征性的补偿，表明承担责任的一个积极态度，如保险期限延长和适度提高保额等。”

　　信息安全监管有待完善

　　对保险客户信息的保护，相关监管部门其实早有规定。

　　保监会《人身意外伤害保险业务经营标准》中就明确规定：“保险公司提供保单查询服务时，应注意保护投保人和被保险人的隐私。”

　　不过即便如此，在现实生活中，保险公司方面泄露个人信息的现象却非常普遍，消费者的个人信息泄露问题已经十分严重。

　　“泄露个人信息的行为可以通过追究其刑事、民事、行政责任等3种方式加以限制。”赵占领分析认为，“追究刑事责任的方式最为严厉，使用起来限制也较多，总体来讲还不是常规的保护个人信息的一种手段。”

　　至于民事手段，即用户个人去维权，追究涉事公司的责任。赵占领表示：“一是取证困难，二是无法证明损失，成本高、收益低，目前也基本很少看到用民事手段去维权的。”

　　在他看来，相对于追究刑事责任和民事责任来说，对涉事公司追究行政责任，比如罚款、关闭网站等，这才应该是更常规的手段。

　　赵占领进一步分析道：“由相关监管部门对保险公司、网站等的安全水平、信息保护水平进行评测，如果出现泄露个人信息情况，造成损失的情况下，可以对其追究行政责任。”

　　“像泄露消费者个人信息的这种行为，保险监管者在监管、评级的时候，应当将此作为一个重要权重。”中国人民大学法学院教授刘俊海认为，“央行建立了个人征信系统，对法人、金融机构也应该建立征信系统，对于侵犯消费者个人隐私的公司，也要将其拉入黑名单。”