呂 顥 顧 文 劉伯嵩 葉子祥 上海市靜安區(qū)人民檢察院

接《保險行業(yè)經(jīng)營安全刑事風險合規(guī)防范和協(xié)同治理機制構建（上）》（見本刊2023年第8期）

四、開展保險行業(yè)經(jīng)營安全刑事風險合規(guī)防范的企業(yè)架構基礎及基本流程

保險機構應當針對保險行業(yè)經(jīng)營安全刑事風險合規(guī)防范和協(xié)同治理的需求，根據(jù)《保險公司合規(guī)管理辦法》等規(guī)定，進一步完善企業(yè)架構，在此基礎之上構建合規(guī)工作開展的基本流程，確保經(jīng)營安全刑事風險合規(guī)防范和協(xié)同治理相關機制能夠真正得到貫徹落實。

（一）保險行業(yè)經(jīng)營安全刑事風險合規(guī)防范的企業(yè)架構基礎和管理職責分工

有效的企業(yè)架構和管理職責分工是保險機構針對經(jīng)營安全刑事風險開展合規(guī)防范和有效治理的前提。保險機構應當通過對保險黑產(chǎn)犯罪開展類型化研究，切實強化風險底線思維，將風險防范融入公司治理，進一步有針對性地完善現(xiàn)有管理機制，建立合規(guī)管理體系，對保險黑產(chǎn)犯罪實現(xiàn)“控源頭、抓關鍵、強管理”。在此過程中，保險機構應當注重三方面問題。

1.切實實現(xiàn)刑事風險合規(guī)管理制度內嵌于經(jīng)營業(yè)務具體環(huán)節(jié)之中

保險機構應當將刑事風險合規(guī)管理制度有效嵌入到經(jīng)營業(yè)務的具體環(huán)節(jié)當中，與法律風險防范、審計監(jiān)察、內控及風險管理等工作相統(tǒng)籌、相銜接，并建立全員合規(guī)責任制，明確管理人員和各崗位人員的合規(guī)責任并督促其有效落實，確保合規(guī)管理閉環(huán)。在具體過程中，與對一般經(jīng)營風險或其他民事風險開展合規(guī)管理相比，保險機構應當尤其注意開展刑事風險合規(guī)管理的方法、措施、即時性要求等，通過制定舉報制度、完善稽查措施、限制審批時長等方式，切實達到刑事風險合規(guī)管理的要求。

2.切實構建三道防線合規(guī)管理框架

《保險公司合規(guī)管理辦法》第二十條規(guī)定了保險公司應當建立三道防線的合規(guī)管理框架。保險機構應當參照上述規(guī)定，明確董事會、監(jiān)事會和總經(jīng)理的刑事合規(guī)職責，針對經(jīng)營安全刑事風險合規(guī)管理需求，構建三道防線合規(guī)管理框架，確保三道防線各司其職、協(xié)調配合，有效參與合規(guī)管理并形成合力。其中，保險機構各部門和分支機構履行第一道防線職責：主動進行日常合規(guī)管理，定期進行刑事風險合規(guī)自查，并向合規(guī)管理部門或者合規(guī)崗位提供合規(guī)風險信息或者刑事風險點，支持并配合合規(guī)風險監(jiān)測和評估。保險機構合規(guī)管理部門履行第二道防線職責：合規(guī)管理部門應當為企業(yè)各部門和分支機構的業(yè)務活動提供刑事風險合規(guī)支持，組織、協(xié)調、監(jiān)督各部門和分支機構開展合規(guī)管理各項工作，同時，合規(guī)管理部門可以根據(jù)合規(guī)風險的監(jiān)測情況主動向內部審計部門提出開展審計工作的建議。保險機構內部審計部門履行第三道防線職責，定期對公司的刑事風險合規(guī)管理情況進行獨立審計，并將審計情況和結論通報合規(guī)管理部門。

3.切實加強完善合規(guī)管理協(xié)調

刑事風險的快速蔓延性和廣泛性均要求保險機構必須構建完善的內部溝通交流協(xié)調機制，以增強合規(guī)管理效果。對此，保險機構應當在合規(guī)管理部門、內部審計部門以及其他部門和分支機構之間建立明確的合作和信息交流機制。合規(guī)管理部門應當加強與保險機構各部門和分支機構的分工配合協(xié)作；相關業(yè)務部門和分支機構應當主動配合合規(guī)管理部門進行日常合規(guī)管理、風險評估審查、合規(guī)專項調查及相關處置整改等工作，識別業(yè)務范圍內經(jīng)營安全管理要求，制定并落實業(yè)務管理制度和風險防范措施；合規(guī)管理部門應當與法務部門、審計部門、監(jiān)察部門等具有合規(guī)管理職能的其他監(jiān)督部門加強協(xié)調配合，定期召開專門會議交流工作情況和合規(guī)信息。

（二）開展保險行業(yè)經(jīng)營安全刑事風險合規(guī)防范的基本流程

保險機構應當制定合規(guī)工作基本流程規(guī)范，確保合規(guī)管理有跡可循、有證可查。

1.構建保險黑產(chǎn)犯罪辨識及預警機制

第一，保險機構應當延伸前端觸角、前移監(jiān)控關口，建立異常行為上報專門渠道和監(jiān)管初步研判、處理機制。通過整合現(xiàn)有的保單登記系統(tǒng)、從業(yè)人員管理系統(tǒng)等信息數(shù)據(jù)管理平臺，建立以保險機構為軸點、以其分支機構為支點的分布式異常行為監(jiān)督管理上報端口，保險機構對異常行為開展篩選、過濾、研判，從而強化與監(jiān)管對涉刑風險的數(shù)據(jù)監(jiān)控和信息共享，提高刑事風險監(jiān)控預警的及時性、前瞻性。

第二，保險機構應當開展合規(guī)風險定向評估管理。保險機構應當定期組織識別、評估和監(jiān)測以下事項的合規(guī)風險：業(yè)務行為、財務行為、資金運用行為、機構管理行為、數(shù)據(jù)管理行為及其他可能引發(fā)合規(guī)風險的行為。在開展評估時，保險機構應當對可能存在的經(jīng)營安全管理漏洞及違法犯罪風險進行全面評估，重點識別保單銷售、轉保、轉貸、退保等業(yè)務存在的風險。

第三，保險機構應當依托監(jiān)管部門與刑事司法部門聯(lián)合開展案件處置工作。對于監(jiān)管部門開展初查并認定具備刑事風險的案件，檢察機關、公安部門應及時介入辦理案件；對經(jīng)過審查后認定確實存在刑事風險的異常行為的案件，檢察機關、公安部門應第一時間立案查處、對犯罪嫌疑人采取強制措施、開展證據(jù)扣押及保全等；堅持“早發(fā)現(xiàn)、早干預、早糾正”，由檢察機關主導開展專項合規(guī)監(jiān)管，引導保險機構及時彌補漏洞、開展處置，提升處置效率，阻遏風險的擴散和蔓延。

2.構建覆蓋全流程的保險黑產(chǎn)防范合規(guī)內控工作規(guī)范

第一，構建全面覆蓋的內控體系。針對當前保險黑產(chǎn)犯罪幾近無孔不入、無縫不鉆的滲透式發(fā)展趨勢，保險機構應當確保管理規(guī)范能貫穿決策、執(zhí)行、監(jiān)督和反饋的全過程，覆蓋各項業(yè)務流程和管理活動，進而覆蓋所有部門、崗位和人員。

第二，有針對性地構建分階段管理體系。保險機構統(tǒng)籌內設部門，基于“流程—節(jié)點—風險點—控制措施—違規(guī)事件”關聯(lián)模型，有針對性地構建分級分層管理的主動式管理機制?！岸O(jiān)高”應當籌備并組建專門的合規(guī)部門來牽頭整體合規(guī)管理工作，并通過制定規(guī)范來推動內設部門在流程上建立合理制約、相互監(jiān)督、切實有效的監(jiān)督機制，確保監(jiān)督的互嵌性和有效性。

第三，建立專門合規(guī)報告制度。由保險機構的專門合規(guī)部門與內設部門在保障信息準確性、完整性和可驗證性的前提下，負責上報可能存在的黑產(chǎn)犯罪苗頭情況，確保決策層及時了解并采取預防、糾正和補救措施。3.構建動態(tài)調整管理體系

第一，制定經(jīng)營安全刑事合規(guī)計劃，開展合規(guī)調查。保險機構結合保險經(jīng)營安全管理情況及評估結果，根據(jù)自身的經(jīng)營范圍、行業(yè)特征、監(jiān)管政策、風險識別等因素，制定并不斷調整和完善合規(guī)計劃。在制定經(jīng)營安全刑事合規(guī)計劃后，保險機構應當按照董事會及其授權的專業(yè)委員會、總經(jīng)理或合規(guī)負責人的要求，結合經(jīng)營安全管理的實際工作需要，就合規(guī)風險評估中出現(xiàn)的問題、保險違法犯罪活動等情況，要求合規(guī)管理部門開展獨立合規(guī)調查，就調查情況和結論作專門報告，分析問題出現(xiàn)的根源、管理體系漏洞和責任，并向提出要求的機構報送該報告。

第二，細化管理內容指標，設置相應功能標準。在確定管理內容時，保險機構應將管理內容細化為風險管理、經(jīng)營管理、資質管理等具體的功能事項，設置相應的功能標準，區(qū)分已達標和未達標的功能事項，分別設置不同的考核措施。值得注意的是，在構建動態(tài)調整管理體系的同時，尤其應當注意管理措施在標準上的一致性，防止出現(xiàn)保險黑產(chǎn)人員利用不同業(yè)態(tài)之間的不同管理標準實施技術性套利和灰黑產(chǎn)牟利行為。

第三，區(qū)分不同情況采取適應性管理措施。對于不同層級的分支機構、不同內設部門、不同業(yè)務規(guī)模、不同業(yè)務形態(tài)，保險機構應當區(qū)分不同情況，采取適應性管理措施，根據(jù)情況變化及時優(yōu)化調整。針對存在高危刑事風險漏洞的業(yè)務、部門或者分支機構，保險機構應當盡快優(yōu)化治理結構、彌補管理漏洞，杜絕刑事風險。

4.及時處理經(jīng)營安全刑事風險

保險機構應當建立經(jīng)營安全事件處理制度，針對企業(yè)內部人員伙同他人實施保險黑產(chǎn)違法犯罪行為，及時啟動應急預案，采取必要措施妥善處置。

關于相關經(jīng)營安全刑事風險處理情況，保險機構應當建立保險經(jīng)營安全刑事風險合規(guī)記錄臺賬，全面記錄合規(guī)管理、專項調查、風險評估、處置整改、司法介入等情況，系統(tǒng)梳理企業(yè)開展經(jīng)營活動過程中可能面臨的經(jīng)營安全刑事風險，并報送相關部門備案。

五、開展保險行業(yè)經(jīng)營安全刑事風險合規(guī)治理的具體路徑

正如前文所述，保險行業(yè)經(jīng)營安全刑事風險貫穿于保險業(yè)務全流程、各環(huán)節(jié)，涉嫌的犯罪類型包括詐騙、非法經(jīng)營、侵犯公民個人信息、職務犯罪等，涉嫌人員包括保險代理人、保險公司內勤人員等，具有風險面廣、治理鏈長、治理對象廣泛等特征。對此，在實現(xiàn)保險行業(yè)經(jīng)營安全刑事風險合規(guī)管理過程中，相關措施應當覆蓋保險業(yè)務各個環(huán)節(jié)，貫穿決策、執(zhí)行、監(jiān)督和反饋全流程，并確保所有保險業(yè)務、部門和人員均已納入合規(guī)工作體系。

對不同類型的保險行業(yè)經(jīng)營安全刑事風險，應當有針對性地推進刑事合規(guī)分項分類管理框架，制定對應的刑事風險應對預案，形成刑事風險管理動態(tài)調整機制，并確保該機制妥善運行。結合當前保險行業(yè)合規(guī)工作開展進程、司法查處保險黑產(chǎn)犯罪情況、保險行業(yè)具體工作流程等，保險機構開展保險行業(yè)經(jīng)營安全刑事風險合規(guī)治理的具體路徑應當細分為保險從業(yè)人員合規(guī)管理、保險業(yè)務合規(guī)管理、保險消費者個人信息合規(guī)管理三部分。

（一）保險從業(yè)人員合規(guī)管理

落實保險從業(yè)人員合規(guī)管理，構建保險從業(yè)人員合規(guī)管理機制是完善保險行業(yè)經(jīng)營安全刑事風險合規(guī)的首要路徑。在開展保險黑產(chǎn)刑事犯罪治理過程中，檢察機關發(fā)現(xiàn)，保險從業(yè)人員與社會閑散人員、前保險從業(yè)人員相互勾結，實施犯罪行為，是實施保險黑產(chǎn)犯罪的重要載體。與此同時，保險行業(yè)存在人員流動性大、人員基數(shù)大、人員構成結構復雜等特點，若僅通過保險機構進行管理，確實會力有未逮。對此，開展保險行業(yè)經(jīng)營安全刑事風險合規(guī)治理，應當從全面制定管理規(guī)范、加強保險從業(yè)人員日常管理、強化人員教育培訓、完善責任追究機制等方面開展相關工作。

1.全面制定管理規(guī)范

保險行業(yè)應當結合《保險公司合規(guī)管理辦法》《關于進一步加強保險業(yè)誠信建設的通知》《關于深入整治“代理退?！焙诋a(chǎn)亂象的通知》《銀行保險機構消費者權益保護管理辦法》等規(guī)定，針對經(jīng)營安全刑事風險，制定專門的保險行業(yè)經(jīng)營安全刑事風險合規(guī)防范規(guī)章制度，明確保險從業(yè)人員行為規(guī)范，落實合規(guī)政策，并為保險從業(yè)人員執(zhí)行合規(guī)政策提供指南。

保險機構應當根據(jù)不同崗位的特點和刑事風險情況，有針對性地制定工作崗位的業(yè)務操作程序和規(guī)范，要求保險從業(yè)人員嚴格遵守監(jiān)管規(guī)定及行業(yè)自律規(guī)范，落實相關刑事風險合規(guī)防范要求。例如，對于銷售人員，保險機構應當對其銷售行為予以嚴格規(guī)范，同時應當禁止其以購買、交換、私自留存等方式違規(guī)獲取保險消費者個人信息。

保險行業(yè)還應當建立保險從業(yè)人員統(tǒng)一管理制度及配套的從業(yè)人員數(shù)據(jù)庫，并要求保險機構積極配合，在日常工作中強化信息報送和披露，確保信息的時效性和準確性，防止出現(xiàn)冒充保險從業(yè)人員、冒用他人身份注冊成為保險從業(yè)人員等情況。

2.加強保險從業(yè)人員日常管理

保險機構應當加強對保險從業(yè)人員的日常管理，嚴格防控保險從業(yè)人員與保險黑產(chǎn)人員相互勾結的情況出現(xiàn)。

第一，加強關鍵環(huán)節(jié)管理，實現(xiàn)對保險從業(yè)人員執(zhí)業(yè)全流程的管理。一是嚴格把好“招人關”。保險機構在招聘人員時，應當嚴格遵守法律、行政法規(guī)、監(jiān)管規(guī)定等，對應聘人員的從業(yè)資格、工作經(jīng)歷、“前科”情況等開展資質審查；對查證不符合規(guī)定要求的人員，保險機構不得錄用并及時報送監(jiān)管部門備案。二是規(guī)范抓好“用人關”。對于在職人員，保險機構應當定期排查經(jīng)營安全管理過程中可能發(fā)生的違規(guī)使用或外借業(yè)務賬號、虛假出勤、套用身份等涉保險黑產(chǎn)行為；利用信息手段對從業(yè)人員異常使用業(yè)務賬號情況進行預警提示，加大分析排查力度，防止消費者個人信息泄露；通過指紋鎖、面部識別等技術手段，強化在職人員身份審核，防止在職人員違規(guī)外借賬號。三是嚴格把控離職交接。對于保險機構的離職人員，保險機構應當嚴格執(zhí)行規(guī)定，即時停用其信息系統(tǒng)訪問權限，要求其交接或銷毀保單信息等敏感資料，確保消費者個人信息安全。

第二，加強關鍵人員合規(guī)管理。保險機構應當結合刑事風險合規(guī)管理要求，加強對以下重點人員的合規(guī)管理：（1）管理人員。保險機構應促進管理人員切實提升合規(guī)意識，帶頭依法依規(guī)開展經(jīng)營管理活動，認真履行合規(guī)管理職責，強化考核與監(jiān)督問責。（2）重要風險崗位人員。保險機構應根據(jù)合規(guī)風險評估情況明確界定重要風險崗位，有針對性地加大培訓力度，使重要風險崗位人員熟悉并嚴格遵守業(yè)務涉及的各項規(guī)定，加強監(jiān)督檢查和違規(guī)行為追責。（3）新入職人員。保險機構應督促新入職人員加強全面合規(guī)學習，確保其在開展業(yè)務前熟悉并嚴格遵守業(yè)務涉及的各項規(guī)定，加強對其帶教監(jiān)督和教育培訓。

第三，完善數(shù)據(jù)信息權限管理制度。對于直接與保險消費者接觸的保險銷售人員、因客戶關系維護需要使用保險消費者個人信息的維護人員以及因其他工作需要接觸保險消費者個人信息的內勤人員，根據(jù)其職責情況與實際需要使用信息的情況，保險機構應當建立數(shù)據(jù)信息權限分級管理制度，根據(jù)保險消費者個人信息敏感程度，規(guī)定不同職級、不同工作范圍的保險從業(yè)人員可以使用及禁止使用的信息范圍，嚴格防止消費者敏感信息違規(guī)外泄。保險機構還應當對保險從業(yè)人員進行保密風險提示，降低違法犯罪風險，同時明確涉密人員，設定保密登記程序和信息接觸權限。對于容易出現(xiàn)保險消費者個人信息泄露風險的設備，保險機構應當嚴格規(guī)范其使用人員、使用目的、使用方式和報廢后流通情況。對于尚未電子化的涉密信息，保險機構應當明確涉密信息集中存放的范圍，并明確規(guī)定保密期限和傳遞、保存、銷毀要求；對相關涉密信息存放的區(qū)域，保險機構應當明確訪問限制要求，確保信息安全。

3.強化人員教育培訓

保險機構應當結合崗位要求，對保險從業(yè)人員開展教育培訓。在開展保險從業(yè)人員教育培訓的過程中，保險機構應當實施人員分類培訓管理，并對涉及重大刑事風險的重點崗位和重點人員開展重點合規(guī)培訓。

第一，實施人員分類培訓管理。保險機構應當對銷售人員、內勤人員、管理人員分類開展區(qū)分職責和培訓內容的合規(guī)培訓，從而有針對性地開展對特定刑事風險的法治教育。在培訓過程中，保險機構應當確保保險從業(yè)人員真正形成與其崗位相適配的刑事底線思維、從業(yè)合規(guī)觀念和風險防范意識，確保其形成刑事風險防范責任觀念。

第二，針對涉及重大刑事風險的重點崗位和重點人員開展重點合規(guī)培訓。針對涉及重大刑事風險的重點崗位和重點人員，包括保險機構管理人員、重大風險崗位人員和新入職人員，保險機構應當對其加強重點合規(guī)培訓，確保其形成合規(guī)管理意識。

4.完善責任追究機制

針對違反企業(yè)合規(guī)義務、政策、流程和程序的人員，保險機構應當完善問責與懲戒機制：對查證屬實參加保險黑產(chǎn)活動、給保險機構造成損失的員工，視其情節(jié)不同，通過訓誡、警告、降級、降職、調離、解雇等途徑對其采取違規(guī)處分；對于涉嫌黑產(chǎn)犯罪的員工，應當及時向監(jiān)管部門、司法部門匯報其涉嫌違法犯罪的情況，由相應部門對其采取對應措施。

除此之外，對于存在涉黑產(chǎn)違法犯罪行為的人員，監(jiān)管部門應牽頭保險行業(yè)組織及保險機構構建完善的失信懲戒機制。監(jiān)管部門應當牽頭建立征信披露平臺，在行業(yè)監(jiān)管層面整合機構報送數(shù)據(jù)，及時根據(jù)監(jiān)管及刑事處理動態(tài)，將涉黑產(chǎn)犯罪、違法行為從業(yè)人員的事件行為信息全面納入管理。保險機構應當積極配合監(jiān)管部門建立從業(yè)人員數(shù)據(jù)庫，加強從業(yè)人員信息報送和披露工作，確保信息的時效性和準確性。對于存在不良信用的人員，監(jiān)管部門應當在從業(yè)資格取得、任職資格、業(yè)務開展等方面根據(jù)行為的差異化評價給予不同限制。

（二）保險業(yè)務合規(guī)管理

落實保險業(yè)務合規(guī)管理，構建保險業(yè)務監(jiān)管機制是完善保險行業(yè)經(jīng)營安全刑事風險合規(guī)的重要路徑。從當前司法機關開展保險黑產(chǎn)刑事犯罪治理的情況來看，保險黑產(chǎn)人員牟取不法利益，大多數(shù)是套用保險業(yè)務的名義來包裝其實質違法行為，通過串通、誘導等方式，冒用保險從業(yè)人員、保險消費者等名義，實施套利行為。因此，開展保險業(yè)務合規(guī)管理，是有效阻斷保險黑產(chǎn)人員非法套利的重要途徑。綜合保險黑產(chǎn)犯罪實施實際情況，保險機構應當從加強銷售行為管理、完善保單業(yè)績審查、嚴格發(fā)放保單傭金、規(guī)范保單投訴處理等方面開展工作，實現(xiàn)保險業(yè)務合規(guī)管理。

1.加強銷售行為管理

從監(jiān)管部門到保險機構，對于不良銷售行為的管理一直是重中之重。近年來，我國陸續(xù)出臺了《保險銷售行為管理辦法》《關于進一步加強保險業(yè)誠信建設的通知》等相關規(guī)定，對不良保險銷售行為予以規(guī)范。但是從保險黑產(chǎn)犯罪治理情況來看，部分保險從業(yè)人員在開展保單銷售過程中，存在以惡意夸大保單利益、隱瞞保費繳費時限、謊稱代理全額退保、虛構免費送保等行為為手段，騙取保險消費者信任，再向保險消費者、保險機構騙取不正當利益的行為。從保險行業(yè)經(jīng)營安全刑事風險合規(guī)防控的角度審視上述行為，筆者認為，上述行為顯然超出一般銷售誤導的范疇，已涉嫌刑事犯罪。這些行為看似能夠在短期內為保險機構帶來保單利益，但是從長期來看，不僅導致保險消費者實際利益受損，還會導致保險消費者對保險銷售誤導行為的投訴，從而導致保險機構損失擴大。對此，保險機構應當加強對保險銷售行為的管理，以確保保險銷售行為能夠符合經(jīng)營安全刑事風險合規(guī)管理要求。

第一，加強保單銷售行為管理，確保符合刑事風險合規(guī)管理要求。保險機構應當要求保險從業(yè)人員嚴格遵守監(jiān)管規(guī)定及行業(yè)自律規(guī)范，不得違反相關規(guī)定召開產(chǎn)品說明會、組織客戶活動；在銷售保單時，不得實施夸大保單利益、變相返利、允諾退保、誘導撬單等不法行為。與此同時，保險機構應當加強對從業(yè)人員開展產(chǎn)品說明、組織客戶活動的審批管理。對于從事違法銷售的人員，應當及時報送監(jiān)管部門處罰；對于涉嫌刑事犯罪行為的人員，應當及時移送司法機關處理。此外，保險機構還應當夯實對保險從業(yè)人員開展保單銷售行為的管理責任，要求銷售人員在銷售保單時，不得實施夸大保單利益、變相返利、允諾退保、誘導撬單等不法行為。

第二，加強保險消費者身份核驗，防止不法人員冒用保險消費者身份實施刑事犯罪行為。保險機構應對保險消費者投保使用的身份信息、社會信用等情況的真實性進行嚴格審核，確認保險消費者身份的真實性。在處理退保、理賠等情況時，保險機構應當嚴格履責，對發(fā)現(xiàn)保險消費者冒用身份或使用虛假信息等情況，應及時按照保險合同及相關規(guī)章制度進行處理。

2.完善保單業(yè)績審查

第一，嚴格配合監(jiān)管要求，完成保單及時上傳工作。保險機構應當配合監(jiān)管部門要求，及時上傳保單登記、保費收取、保單續(xù)保、保單貸款等業(yè)務信息，以滿足監(jiān)管部門對保險消費者個人信息開展核查比對的相關工作要求。在因故未能完成相關信息錄入上傳時，保險機構應當及時跟進審查，并確保取得保險消費者本人的確認，防止出現(xiàn)弄虛作假等違法犯罪行為。

第二，強化對保單品質的管理責任。保險機構應當強化對銷售行為及保單品質的管理責任，對保單銷售業(yè)績開展真實性審核，對投保、退保、轉投保、理賠等重點環(huán)節(jié)加強審查復核，結合傭金獎懲機制，加大對制作虛假保險單證、掛單等情形的懲處力度，通過業(yè)績追溯機制明確保險代理人和各層級管理人員責任。

3.嚴格發(fā)放保單傭金

保險機構應當嚴格把控保單傭金發(fā)放流程。對于正常銷售并已取得保險消費者確認的保單，保險機構應當及時發(fā)放保單傭金；對于存在違規(guī)異地展業(yè)、保險消費者無法聯(lián)系、保險業(yè)務員與實際展業(yè)人員不一致、保單簽字系代簽或偽造等情況的異常保單，保險機構應當在充分審核保單真實性后再發(fā)放傭金；對于確認存在異常情況的保單，保險機構應當通過傭金凍結、追回已發(fā)放傭金、處罰等方式，及時對異常保單責任人員跟進處理。

4.規(guī)范保單投訴處理

保險機構應當正確理解監(jiān)管規(guī)定，配合監(jiān)管部門甄別黑產(chǎn)投訴退保件與正常投訴退保件。對于監(jiān)管部門反饋的反復投退保、多次投訴非正常退保、代理退保等投保異常風險客戶，保險機構應當嚴格依照規(guī)定對相關保單進行處理；對于正常投訴退保件，保險機構應配合第三方調解機構妥善處理；對于異常退保件，保險機構應當開展甄別核查；對于經(jīng)核查系虛假保險單證、掛單后惡意投訴退保等情形的，保險機構應當嚴格依據(jù)相關法律法規(guī)處理，并及時向司法機關移送可能涉嫌犯罪的相關線索與材料。

（三）保險消費者個人信息合規(guī)管理

落實保險消費者個人信息合規(guī)管理，構建保險消費者個人信息合規(guī)管理機制是完善保險行業(yè)經(jīng)營安全刑事風險合規(guī)的根本路徑。保險機構在經(jīng)營過程中，借由物聯(lián)網(wǎng)、云儲存等信息傳輸交互系統(tǒng)平臺存儲了大量投保保單、資金使用、投融資等保險消費者個人信息，既包括保險消費者及其家人的私密信息，也包括保險消費者投資、融資的交易信息。在保險黑產(chǎn)犯罪中，因保險機構對從業(yè)人員在保險消費者個人信息存取、管理、使用和交易方面缺乏嚴格規(guī)范，導致大量保險消費者個人信息被無序濫用，其社會危害性難以估量（廖凡，2019）。對此，筆者建議應當從以下方面構建保險消費者個人信息合規(guī)管理機制。

1.結合數(shù)據(jù)權利屬性完善“三階段”法治化保障體系

要實現(xiàn)保險消費者個人信息合規(guī)監(jiān)管，真正實現(xiàn)對保險消費者合法權益的保護，最直接、最有效的方法就是訴諸立法。但在當前管理實踐尚在探索、上位法尚未作出具體要求、具體指標尚未完善等情況下，直接立法有可能導致數(shù)據(jù)合規(guī)管理本身失去治理彈性，進而淪為閑置的管理制度。

對此，應當結合數(shù)據(jù)權利屬性，在以立法謙抑為重點開展必要性考量、以社會共識為中心開展重要性考量以及以權利成本為核心開展可行性考量完善的基礎上，推動形成“案例—解釋—立法”“三階段”法治化保障體系（王慶廷，2018）。在監(jiān)管部門、行政部門及司法部門開展實際監(jiān)管、執(zhí)法、司法工作過程中，由各職權部門依據(jù)其職責，在發(fā)現(xiàn)一類問題并開展治理的過程中總結并發(fā)布典型案例；嗣后再總結類似問題治理手段的基本原則和邊界，實現(xiàn)治理方式從碎片化向整合化的復原，逐步完成全面化的展示，促進相關問題逐一呈現(xiàn)、可能存在風險不斷削減、需要規(guī)范的要素逐步明確，進而實現(xiàn)監(jiān)管、執(zhí)法、司法的逐步協(xié)調，形成治理引導范式（宋保振，2020；王慶廷，2018）。

2.完善對數(shù)據(jù)信息的全流程管理措施，推進構建行業(yè)管理閉環(huán)

從當前保險消費者個人信息管理情況來看，若要加強完善對保險消費者個人信息的合規(guī)管理，則必然需要完善保險機構在保險業(yè)務開展全流程中的合規(guī)管理措施，從而推進構建保險行業(yè)監(jiān)管閉環(huán)。對此，保險機構應當從獲取保險消費者個人信息、數(shù)據(jù)信息分類、數(shù)據(jù)溯源管理、數(shù)據(jù)風險處置等方面加強保險業(yè)務全流程中的保險消費者個人信息合規(guī)管理，構建覆蓋全流程的常態(tài)化核查工作機制。

第一，加強保險消費者個人信息獲取管理。保險消費者與保險機構簽訂合同是保險消費者個人信息為他人所獲取的第一步，也是最容易導致保險消費者個人信息被不當獲取并利用的一步。對此，筆者建議保險機構應當通過如下方法加強保險消費者個人信息獲取管理。

一是保險消費者個人信息合規(guī)管理應當覆蓋與保險消費者相關的所有數(shù)據(jù)。司法機關在治理保險黑產(chǎn)犯罪的司法實務中發(fā)現(xiàn)，在大數(shù)據(jù)系統(tǒng)建設的背景下，保險消費者僅泄露包括保單號、姓名等少數(shù)信息，即可以通過大數(shù)據(jù)查詢并全面補足關于該保險消費者的所有信息，進而導致更為嚴重的信息泄露后果。對此，保險行業(yè)經(jīng)營安全刑事風險合規(guī)防范機制應當覆蓋與保險消費者相關的所有數(shù)據(jù)，細化構建管理二級指標，加強數(shù)據(jù)信息管理廣度建設；完善數(shù)據(jù)信息管理顆粒度建設，推進數(shù)據(jù)信息管理深度建設。

二是以最小化獲取保險消費者個人信息為基本原則。在數(shù)據(jù)獲取過程中，保險機構應當要求保險從業(yè)人員根據(jù)最小必要原則獲取保險消費者個人信息，并將上述最小必要原則以合同重點條文、銷售人員詳細說明、開展回訪等方式確保保險消費者已明確知曉，確保對保險消費者個人信息的收集、處理、轉讓等行為能夠得到保險消費者的明確授權。對于敏感信息，保險機構應當要求保險消費者在授權時提供明示同意。在處理未成年保險消費者的相關個人信息時，保險機構還應當確保獲得其監(jiān)護人、法定代理人的明示同意，確保數(shù)據(jù)來源的合法性。

三是第一時間對保險消費者個人信息開展加密處理，確保信息的安全性。司法機關在審理保險黑產(chǎn)犯罪案例中發(fā)現(xiàn)，保險黑產(chǎn)人員利用保險機構在保險消費者個人信息儲存的安全漏洞，非法獲取保險消費者個人信息，進而用于實施犯罪。有鑒于此，保險機構、保險從業(yè)人員在經(jīng)營過程中生成或獲取保險消費者的數(shù)據(jù)信息后，應當?shù)谝粫r間采取加密處理等必要的安全保護措施，在收集、傳輸、存儲、加工、使用、提供、公開保險消費者個人信息的過程中，應當符合規(guī)范要求；在法律規(guī)定的必要情況下，應當及時刪除保險消費者個人信息或者進行匿名化處理。

第二，構建統(tǒng)一的保險消費者個人信息分類分級管理制度。保險機構通過保險業(yè)務獲取保險消費者個人信息后，應當在信息集成基礎上，嚴格按照保險消費者個人信息的敏感程度，實施分級分類管理。在開展保險消費者個人信息管理的過程中，應當根據(jù)信息敏感程度，將保險消費者個人信息分為一般個人信息與敏感個人信息，實施不同數(shù)據(jù)分級加密、查詢權限分級控制、查詢場景嚴格控制等措施，確保不同信息在對應場景中得到合理使用而不是泛濫使用甚至非法使用。對于敏感信息，保險機構應當注意及時開展數(shù)據(jù)梳理并建立統(tǒng)一標簽，形成動態(tài)管理方式，推動重要敏感數(shù)據(jù)使用、處理、保護的全流程規(guī)范化操作（許多奇，2020）。

第三，構建保險消費者個人信息溯源管理制度。保險消費者個人信息在保險機構內儲存、流轉、使用、提供、加工等流程階段，保險機構應當構建保險消費者個人信息溯源管理制度，全鏈條防止保險消費者個人信息泄露和被不當濫用。

一是以數(shù)據(jù)儲存時間最短化為數(shù)據(jù)儲存原則。在數(shù)據(jù)使用處理過程中，應當確保保險消費者個人信息儲存時間最短化，嚴格按照相關法律法規(guī)的要求以及保險機構與保險消費者在合同中約定的情況和范圍使用信息，并采用權限管理與加密等技術保障數(shù)據(jù)安全。在特定時間之外，保險機構應當對保險消費者的部分敏感信息，比如聯(lián)系方式、住址、未成年被保險人等信息予以加密或者刪除處理。

二是以企業(yè)為管理主體構建數(shù)據(jù)溯源追查系統(tǒng)。在開展保險消費者個人信息合規(guī)管理過程中，應當以保險機構為管理主體、以監(jiān)管部門為指導單位，對保險機構內部數(shù)據(jù)信息產(chǎn)生流動的情況構建數(shù)據(jù)溯源追查系統(tǒng)。對于企業(yè)內部數(shù)據(jù)信息產(chǎn)生流動的情況，保險機構可以通過后臺系統(tǒng)登錄日志及使用留痕記錄，記錄所有敏感數(shù)據(jù)信息的操作行為，通過及時質詢查明是否存在異常行為。保險機構對于數(shù)據(jù)在企業(yè)內的流通全過程留痕追蹤，防止數(shù)據(jù)在流轉過程中出現(xiàn)權責不明、管理重疊或管理真空，準確識別風險發(fā)生的節(jié)點，降低數(shù)據(jù)泄露風險。

三是構建保險機構向保險消費者必要披露機制。保險機構在處理保險消費者個人信息時，應當通過有效途徑向作為利益關聯(lián)人員的特定保險消費者披露相關數(shù)據(jù)信息處理使用情況。對于保險消費者明確作出撤回授權同意、禁止特定用途、要求限于合理范圍使用等意思表示的情況下，保險機構應當依據(jù)保險消費者的意愿執(zhí)行，從而充分保障保險消費者作為數(shù)據(jù)信息主體的權利。

第四，加強數(shù)據(jù)風險處置措施。針對在保險黑產(chǎn)犯罪治理過程中發(fā)現(xiàn)的常見保險消費者個人信息風險，保險機構應當加強數(shù)據(jù)風險處置措施，定期對相關經(jīng)營管理和業(yè)務行為進行監(jiān)測和評估，并采用適當?shù)目刂坪蛻獙Υ胧﹣斫档惋L險，必要時停止風險行為。

一是構建數(shù)據(jù)安全事件預防機制。在構建保險消費者合規(guī)管理機制時，保險機構應當設立專門針對數(shù)據(jù)要素的隱私合約，加強對保險消費者個人信息的保護（鎖凌燕、吳海青，2021）。在出現(xiàn)對保險消費者個人信息管理庫未授權訪問、數(shù)據(jù)濫用、數(shù)據(jù)泄露等安全事件時，保險機構應當及時記錄有關事件內容，評估事件可能發(fā)生的影響，采用必要措施控制事態(tài)、消除隱患，同時按照相關規(guī)定及時上報監(jiān)管部門，并告知相關保險消費者。

二是構建保險消費者個人信息篩查機制。由監(jiān)管部門定期對保險消費者個人信息管理庫開展重復性篩查，從而發(fā)現(xiàn)存在重復投保、無效投保、提供虛假信息、多次退保等異常投保行為的保險消費者。對存在上述行為的保險消費者，監(jiān)管部門、保險機構應當通過及時回訪、開展社會信用調查、了解投保情況等，查明是否存在保險黑產(chǎn)犯罪情況。

三是加強對第三方合作機構的管理。保險機構在數(shù)據(jù)處理中，在多個場合下會出現(xiàn)將數(shù)據(jù)授權給第三方使用的情況。在這種情況下，保險機構應當注意相對第三方公開發(fā)布包括企業(yè)價值觀、合規(guī)要求、舉報渠道等在內的個人信息合規(guī)規(guī)范，確保第三方知曉并遵守上述個人信息合規(guī)規(guī)范。與此同時，保險機構應當劃分第三方的個人信息保護合規(guī)風險等級，在相關合同中明確第三方的合規(guī)責任與義務，開展持續(xù)性管理和定期合規(guī)審查。在與第三方開展個人信息保護合規(guī)相關的具體業(yè)務行為時，保險機構應檢查該行為是否符合個人信息保護方面的法律法規(guī)要求，采用必要、充分的技術保護措施，并參照相關國際標準和國內標準對第三方進行有效監(jiān)督。（待續(xù)）