信息泄露將被禁售產品 保險機構網銷平台仍存漏洞

移動互聯網領域存在的各種漏洞再次讓人們繃緊了神經。

近日，網絡安全公司Zimperium研究人員警告，全球應用最廣泛的移動設備操作系統之一安卓(Android)存在“致命”安全漏洞，“黑客”隻需簡單發送一條彩信便能在用戶毫不知情的情況下完全控制手機，全球9.5億部手機受到威脅。

而《証券日報》在上周刊發的關於保險公司網銷平台存在高危漏洞相關報道(詳見7月23日《白帽黑客：部分銀行險企網絡平台存在漏洞》)見報后，發現此前存在漏洞的網銷平台，依然“漏洞百出”。 記者發現，不僅此前報道的保險公司網銷平台存在漏洞，一些大型保險中介機構的網銷平台也存在漏洞，甚至是一些地方的社保系統也存在漏洞。

保監會相關負責人近期明確表示，針對互聯網信息安全風險高的特點，保監會加大了對保險機構不嚴格履行信息披露和安全管理職責的懲戒力度。對因內部管理不力造成銷售誤導、信息丟失或泄露等嚴重事故的保險機構，保險監管機構可以及時責令其停止相關產品的銷售。

哪些機構未發現漏洞

根據中國保監會統計，2015年1-5月，共有91家保險公司涉足互聯網保險業務，累計實現保費收入659.93億元，互聯網保險業務規模佔比已達5.7%，比2014年同期提升1.5個百分點。

中國保監會財險部主任劉峰指出，目前互聯網保險市場有四類經營主體並存：保險公司自營、專業中介機構經營、保險機構與第三方網絡平台合作，以及專業互聯網保險公司。

在這四類主體中，保險公司近期被曝出網銷平台存在高危漏洞，那麼其他三類安全嗎？記者查閱國內的漏洞盒子、補天漏洞等漏洞檢測平台發現，目前已經投入運營的專業互聯網保險公司僅眾安保險一家，暫未發現漏洞﹔與保險機構合作的第三方網絡平台(目前國內保費份額最大的第三方網絡平台是淘寶保險)也未發現漏洞。

而專業中介機構經營的網銷平台卻被檢測出各類漏洞。

7月19日，補天漏洞響應平台檢測出某保險經紀有限公司多處SQL注入漏洞﹔7月15日，該平台檢測出另一家大型保險中介機構網站存在可泄露保單、身份証信息的漏洞﹔5月9日，該平台檢測出另一家保險經紀有限公司某保險系統可任意上傳文件導致服務器淪陷的漏洞。

如果說消費者在買保險后發現自己的信息被泄露了倒可以理解的話，那麼有一天自己出去旅游了一趟之后，發現自己的家庭地址、身份証號碼、電話等信息被“盜取”了，而且是通過保險渠道泄露的，是不是有些匪夷所思？

事實上，這樣的事情已經發生。3月份，補天漏洞平台發布了一條高危漏洞，該漏洞可造成某旅游網站一百七十萬件保單以及保單系統信息泄漏。公開資料顯示，該旅游網站是是國內最大的出境游社區,為用戶提供原創實用的出境游旅行指南和旅游攻略、旅行社區和問答交流平台，核心產品行程助手和窮游折扣幫助用戶在旅行的行前制定行程，完成機票、酒店預訂、簽訂、租車等服務。

值得贅言的是，記者在漏洞平台發現部分地方的人社局社保系統也存在漏洞。5月27日，補天漏洞平台發布了一則漏洞，該漏洞可使得廣東省某市人社局某系統漏洞4個庫共2500萬條敏感信息危險泄露，並可隨意發送短信。國家互聯網應急響應中心確認漏洞，並將漏洞評級為“中危”，並表示“CNVD確認並復現所述漏洞情況，已經轉由CNCERT下發給廣東分中心，由廣東分中心后續協調網站管理單位處置。”

保監會加強信息安全監管

保監會近日發布的《互聯網保險業務監管暫行辦法》(下稱《辦法》)答記者問中，對保險機構的信息安全問題也提出具體監管措施。

保監會相關負責人表示，針對互聯網信息安全風險高的特點，保監會要求保險機構加強信息安全管理，確保網絡保險交易數據及信息安全。同時，保監會還將加大了對保險機構不嚴格履行信息披露和安全管理職責的懲戒力度。對因內部管理不力造成銷售誤導、信息丟失或泄露等嚴重事故的保險機構，保險監管機構可以及時責令其停止相關產品的銷售，以確保保險機構切實履行信息披露和安全管理義務，更好地保護消費者利益。

雖然保險中介機構網銷平台被曝出漏洞，但險企官網與第三方網絡平台才是網銷保費收入的主要來源，因此保監會新發布的《辦法》也加強了對第三方網絡平台的管理。

保監會相關負責人表示，在互聯網保險業務發展過程中，部分第三方網絡平台對保險業務不熟悉，合規風控意識薄弱，出現了違規承諾收益、產品信息披露不合規等違法違規現象，引發了社會廣泛爭議，甚至是對保險業的負面評價和質疑。

因此，保監會明確了第三方網絡平台的業務邊界，強化了其參與互聯網保險業務的行為約束：一是明確職責定位，第三方網絡平台可以為保險機構開展互聯網業務提供輔助支持，若第三方網絡平台參與了互聯網業務的銷售、承保、理賠等關鍵環節，則必須取得相應的保險業務經營資格。二是強化合規管控。《辦法》明確了第三方網絡平台的業務規則，並要求保險機構加強對第三方網絡平台等合作單位的管控責任，切實履行將保險監管要求告知第三方網絡平台的義務。三是實施監督管理。《辦法》明確規定第三方網絡平台有配合保險監管部門日常監管和現場檢查的義務，若有違反，保險監管部門可以責令保險機構終止與其合作。