第三十七条 保险机构应严格按照网络安全相关法律法规,建立完善与互联网保险业务发展相适应的信息技术基础设施和安全保障体系,提升信息化和网络安全保障能力:
(一)按照国家相关标准要求,采取边界防护、入侵检测、数据保护以及灾难恢复等技术手段,加强信息系统和业务数据的安全管理。
(二)制定网络安全应急预案,定期开展应急演练,建立快速应急响应机制,开展网络安全实时监测,发现问题后立即采取防范和处置措施,并按照银行业保险业突发事件报告、应对相关规定及时向负责日常监管的银保监会或其派出机构、当地公安网安部门报告。
(三)对提供技术支持和客户服务的合作机构加强合规管理,督促其保障服务质量和网络安全,其相关信息系统至少应获得网络安全等级保护二级认证。
(四)防范假冒网站、假冒互联网应用程序等与互联网保险业务相关的违法犯罪活动,开辟专门渠道接受公众举报。
第三十八条 保险机构应承担客户信息保护的主体责任,收集、处理及使用个人信息应遵循合法、正当、必要的原则,保证信息收集、处理及使用的安全性和合法性:
(一)建立客户信息保护制度,明确数据安全责任人,构建覆盖全生命周期的客户信息保护体系,防范信息泄露。
(二)督促提供技术支持、客户服务等服务的合作机构建立有效的客户信息保护制度,在合作协议中明确约定客户信息保护责任,保障客户信息安全,明确约定合作机构不得限制保险机构获取客户投保信息,不得限制保险机构获取能够验证客户真实身份的相关信息。
(三)保险机构收集、处理及使用个人信息,应征得客户同意,获得客户授权。未经客户同意或授权,保险机构不得将客户信息用于所提供保险服务之外的用途,法律法规另有规定的除外。
第三十九条 保险机构应制定互联网保险业务经营中断应急处置预案。因突发事件、政策变化等原因导致互联网保险业务经营中断的,保险机构应在官方网站和自营网络平台及时发布公告,说明原因及后续处理方式,并按照银行业保险业突发事件报告、应对相关规定及时向负责日常监管的银保监会或其派出机构报告。
第四十条 保险机构应建立健全反洗钱内部控制制度、客户尽职调查制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度,履行《中华人民共和国反洗钱法》规定的反洗钱义务。
保险机构原则上应要求投保人使用本人账户支付保费。退保时保费应退还至原交费账户或投保人本人其他账户。保险金应支付到被保险人账户、受益人账户或保险合同约定的其他账户。保险机构应核对投保人账户信息的真实性。
第四十一条 保险机构应建立健全互联网保险业务反欺诈制度,加强对互联网保险欺诈的监控和报告,及时有效处置欺诈案件。保险机构应积极参与风险信息共享的行业协同机制,提高风险识别和反欺诈能力。