30 9 月 2024

每个 P&C 承运人都需要了解的有关数据保护和隐私的信息

2018 年，数据泄露事件成为全球头条新闻。 T-Mobile、Quora、Google、Orbitz 和 Facebook 等公司受到影响，暴露了数百万人的个人信息。

在当今高度互联的世界中，数据保护和隐私是严重的问题，它们在许多州立法机构中占据中心位置。数据安全的风险和挑战应该是财产和意外伤害保险领域的公司、代理人和经纪人最关心的问题。

保险数据安全和隐私的主要问题

数据安全、保护和隐私问题每天都在出现。是什么导致了这些攻击，如何阻止它们？

“数据泄露的发生可能有多种原因。一些公司被黑客入侵。数据可能处理不当或出售给第三方。网站安全系统中的漏洞可能会使信息得不到保护，“Business Insider 的 Paige Leskin 说。

公司面临着一个持续紧迫的需求，即保护客户和业务数据，同时仍然使通信变得简单且可供所有人访问。 2018 年是许多州采取积极监管措施来应对这一挑战的第一年。随着保险数据安全立法的增加，保险公司围绕此类法律的问题变得更加复杂。

拼凑法规

保险提供商面临的最大问题之一是各州缺乏一致的数据安全和隐私要求。

各州对数据保护和隐私问题的反应都是拼凑在一起的。所有50个州目前都有数据泄露通知法，但大多数州并未特别在保险背景下解决网络安全问题，Lewis Brisbois Bisgaard & Smith LLP的律师 Bindu Nair和Sean B. Hoar表示。

例如，加利福尼亚州的数据隐私法赋予了消费者对其个人数据前所未有的控制权，这给在该州运营的保险公司带来了挑战和机遇，Don Jergler 在《保险杂志》上说。

Nair 和 Hoar 表示，这些法律目前因州而异，但美国财政部正在批准制定全国性数据泄露法的想法。

数据保护成本

数据保护法规的变化也导致了财产和意外伤害保险公司的成本担忧，尤其是当这些公司已经面临汽车保险注册人数下降和财产损失索赔增加的双重挑战时。

“真正的影响将是合规成本的巨大膨胀，这可能不是该机构当前预算的一部分，”网络责任专家理查德·费尔南德斯（Richard Fernandez）预测。

该成本将包括对专门从事网络安全和合规性的员工的需求，这是最近颁布的几项州法律要求的。律师 Kimberly Horn 表示，由于各个法院对涉及客户数据泄露的民事诉讼做出了不同的裁决，保险公司也面临着日益复杂的法律环境。

各州对数据安全采取行动

由于联邦政府对保险数据安全没有统一的回应，美国各州已经开始自行监管这个问题。纽约州和罗德岛州颁布了有关保险数据保护和隐私的规则，而南卡罗来纳州、密歇根州和俄亥俄州于 2018 年通过了一项示范法。

其他州（包括佐治亚州、伊利诺伊州、肯塔基州、马里兰州和弗吉尼亚州）正在考虑制定保险数据安全法。 PropertyCasualty360 的 Christopher M. Brubaker 表示，这种国家发起的变革要求当地财产和意外伤害保险公司面对日益复杂的监管环境。

纽约

纽约为针对保险的数据保护法规铺平了道路。该州金融服务部（DFS）于 2017 年实施了一项网络安全法规。它要求保险公司对数据访问实施多因素身份验证，并在 72 小时内报告网络安全事件。 CCSI 董事总经理 Larry Bianculli 表示，它还涉及以首席信息安全官（CISO）的形式对治理和问责制的额外要求。

NAIC 保险数据安全示范法于 2017 年底发布，以纽约法规为基础。几个州已经完全采用了示范法，而其他州正在考虑颁布示范法的一些条款的法案。

南卡罗来纳州

南卡罗来纳州于 2018 年 5 月成为第一个采用 NAIC 保险数据安全示范法的州，成为头条新闻。

南卡罗来纳州的法律要求根据南卡罗来纳州保险法获得许可的个人和公司满足有关数据安全的新要求。 Alston & Bird的律师 Nameir Abbas说，法律的核心是需要创建一个全面的书面信息安全程序（WISP）。

如果发生数据泄露，保险公司需要调查事件，评估其性质和范围，识别泄露的信息，并“采取合理措施恢复泄露信息的安全性”，White & Williams LLP的 Joshua Mooney、Richard Borden和Sedgwick Jeanite 表示。保险公司还需要向该州的保险部门报告某些事件。

密歇根州和俄亥俄州

密歇根州和俄亥俄州也于 2018 年 12 月颁布了保险数据安全法，采用了 NAIC 保险数据安全示范法。新法律适用于由各州保险部门许可的任何个人或公司。

密歇根州的法律还纳入了该州的《防止身份盗窃法》的几项规定，Alston & Bird的律师和网络安全响应团队成员 Kate Hanniford说。

俄亥俄州的法律仅涵盖在俄亥俄州开展业务的保险公司、代理机构和经纪人。 “在俄亥俄州以外注册的再保险公司以及在另一个州特许和获得许可的风险自留集团和采购集团被排除在该法案之外，”盛德律师事务所的律师兼合伙人 Edward R. McNicholas 和 Thomas D. Cunningham 说。

了解保险数据安全示范法

RSM 的安全、隐私和风险总监 Matt Franko 表示，NAIC 保险数据安全示范法“为要求保险组织运行完整的网络安全计划建立了一个法律框架”。该框架涵盖了广泛的数据安全问题，从网络安全测试和董事会监督到事件响应计划和违规通知程序。

该示范法已被多个州采用，其他州立法机构正在考虑该法。它的受欢迎程度使其值得 P&C 保险公司、代理人和经纪人考虑。

Baker Hostetler 的律师 Andreas Kaitsounis 和 Shea M. Leitch 说，这项立法定义了三个值得注意的条款。首先，示范法对非公开信息的定义很宽泛，不仅包括客户的个人信息，还包括某些类型的敏感商业信息。

“仅举一个例子，这意味着削弱实体业务运营的勒索软件事件可能会触发通知义务，即使该事件不涉及个人信息，”Kaitsounis 和 Leitch 说。

该示范法还对信息安全计划提出了严格的要求，包括书面计划、事件响应计划以及组织内部和第三方关系中的监督要求。

最后，示范法的保密条款相当广泛，保护与网络安全事件相关的信息免受公共记录请求、传票或私人民事诉讼的影响。

尽管 NAIC 积极推动各州采用其示范法，但示范法本身在由州立法机构颁布之前无效。迄今为止，有几个州已经颁布了示范法，并进行了修改以适应他们自己现有的保险监管体系。

例如，虽然示范法只给保险公司一年的时间来遵守其规定，但密歇根州已经颁布了一个系统，可以在更长的时间内分阶段实施这些要求。 PropertyCasualty360 的 Lawrence R. Hamilton、Jeffrey P. Taft 和 Matthew Bisanz 表示，该法律于 2021 年 1 月 20 日生效，保险公司有一年时间来遵守大部分规定，有两年时间来满足第三方服务提供商的要求。

示范法要求保险公司遵循州对数据泄露通知的一般要求。然而，律师兼股东 Josephine Cicchetti 表示，俄亥俄州和密歇根州都用仅适用于该法案涵盖的保险代理人、经纪人和公司的具体数据泄露通知要求取代了这一语言。

随着各州继续测试自己的示范法迭代，保险公司将需要注意数据隐私法规的性质在不同地区和随着时间的推移而变化。

图片来自：Sergey Nivens/©123RF.com、swollowpp/©123RF.com、stylephotographs/©123RF.com

新闻