人保财险遵循合法、正当、必要和诚信原则，严格落实权责一致、目的明确、选择同意、最小必要、确保安全、主体参与、公开透明等法律法规要求，切实保护个人信息权益。

一、管理架构

人保财险建立了由党委负责，网络和数据安全领导小组（以下简称“领导小组”）领导，网络和数据安全办公室牵头组织、推动落实个人信息保护工作的管理架构。

领导小组统筹管理个人信息保护工作，由公司党委书记、总裁任组长，党委委员、分管科技运营工作的公司领导任副组长，并作为公司个人信息保护负责人。各职能部门主要负责人为所辖业务领域的个人信息保护负责人。各省级分公司同步设立领导小组，明确个人信息保护负责人，负责统筹管理本辖区个人信息保护工作。

领导小组下设网络和数据安全办公室，按照领导小组要求牵头组织和协调总公司各职能部门及各级分支机构落实个人信息保护工作。

二、保护措施

管理制度和操作规程。依据国家对个人信息保护的法律法规要求形成个人信息保护制度、个人信息安全制度、个人信息收集规范、个人信息保护影响评估机制、个人信息安全事件应急机制等制度机制。通过系列制度明确各业务端口保护个人信息责任，建立侵害个人信息权益处罚机制。根据对个人信息权益的影响程度对处理个人信息的行为和类别等进行分类管理，按照风险程度建立事前评估、事中控制、事后监督的闭环管理机制。

坚持“告知-同意”原则。在官方网站、移动设备客户端APP、微信公众号、微信小程序、抖音小程序等网络运营平台公开个人信息处理规则。在涉及向第三方提供、公开个人信息、数据跨境、敏感个人信息处理等情形时单独获得客户同意。依法保障客户对本人信息行使访问、修改和删除的权利。按照业务处理“最小必要”原则收集个人信息，不从第三方非法获取个人信息，不过度收集办理业务非必要的个人信息。按照“最小权限”原则使用个人信息，严禁未经客户本人同意使用个人信息办理各类业务，严禁使用个人信息进行不当营销、不当催收。按照《个人信息保护法》《保险法》等相关规定，在法定存储期限内保存个人信息。

个人信息保护影响评估。按照法律、行政法规规定在个人信息处理活动前涉及处理敏感个人信息、利用个人信息自动化决策、委托其他个人信息者处理、向其他个人信息处理者提供、公开个人信息、向境外提供个人信息及其他对个人权益有重大影响的处理活动时，对处理目的、处理方式等个人权益的影响及安全风险，从处理活动的合法性、数据的安全性、业务的必要性、保护举措有效性等方面进行全面评估，及时预判潜在风险、优化应对举措，事前防范侵害客户个人信息合法权益的风险。

业务合作第三方个人信息保护。在合作协议中明确个人信息保护条款，明确双方个人信息保护的责任与义务。在合作项目实施前开展个人信息保护影响评估、数据安全评估，最小化数据传输范围。与合作机构系统对接时，采用接口鉴权、HTTPS安全传输协议、IP地址白名单、数据传输日志记录、数据加密等措施加强对接过程数据安全保护。业务合作中依法依规对第三方履行个人信息保护责任进行监督。推进合作方加强对工作人员的个人信息保护行为管控和培训，提升个人信息保护能力。不向第三方出租、出售个人信息，不为完成业务交易或服务以外目的的第三方提供个人信息（符合法律法规、监管要求等情形的除外）。

个人信息跨境提供和公开。因经营管理需要向境外提供个人信息时，严格落实国家网信部门组织的安全评估、开展个人信息保护认证等，向个人告知境外信息接受方信息，并取得个人的单独同意。除非法律法规、监管要求或取得客户同意，不主动公开个人信息。

个人信息安全举措。将信息安全要求纳入软件开发安全管理规范，在应用系统中嵌入数据安全防护能力，包括：数据访问权限管控、敏感信息屏蔽显示、客户信息展示页面中显示登录人员信息水印、客户信息打印中添加操作人员信息水印、禁止批量下载客户信息、禁止客户信息模糊查询等。采用防火墙、入侵检测系统、恶意代码防护系统等措施加强网络攻击防护。严格个人信息访问权限控制，建立集中的账号权限管理平台，按照“实名制”“人号岗权对应”“权限最小”“默认拒绝”等原则开展账号权限管理。数据传输和存储采取必要的加密措施，严防个人信息泄露。

员工培训教育。以“守信重诺 人保同行”消费者权益保护文化为先导，采用典型案例警示、“消保讲堂”、“人保学堂”、桌面屏保、线上有奖问答等方式开展覆盖总、省、地和县区各层级机构的全员培训教育，引导全体员工将保护个人信息内化于心、外化于行，促进全员知规、懂规、守规。

安全事件应急机制。针对个人信息被篡改、泄露、破坏、非法获取、非法利用等对个人或组织合法权益造成负面影响的安全事件形成应急预案，明确安全事件分级、预警、报告与处置机制，及时采取措施预防和减少事件造成的危害和损失。

个人信息保护合规审计。依据《个人信息保护合规审计管理办法》建立个人信息保护合规审计机制，明确审计计划，对处理个人信息遵守法律、行政法规的情况进行审查、评价和监督。

三、个人信息保护认证

人保财险积极推进个人信息保护能力认证，不断加强个人信息保护标准化程度，已通过个人金融信息保护能力II级认证。

个人金融信息保护能力认证