30 9 月 2024

每個 P&C 承運人都需要瞭解的有關數據保護和隱私的資訊

2018 年，數據洩露事件成為全球頭條新聞。 T-Mobile、Quora、Google、Orbitz 和 Facebook 等公司受到影響，暴露了數百萬人的個人資訊。

在當今高度互聯的世界中，數據保護和隱私是嚴重的問題，它們在許多州立法機構中佔據中心位置。數據安全的風險和挑戰應該是財產和意外傷害保險領域的公司、代理人和經紀人最關心的問題。

保險數據安全和隱私的主要問題

數據安全、保護和隱私問題每天都在出現。是什麼導致了這些攻擊，如何阻止它們？

“數據洩露的發生可能有多種原因。一些公司被駭客入侵。數據可能處理不當或出售給第三方。網站安全系統中的漏洞可能會使資訊得不到保護，“Business Insider 的 Paige Leskin 說。

公司面臨著一個持續緊迫的需求，即保護客戶和業務數據，同時仍然使通信變得簡單且可供所有人訪問。 2018 年是許多州採取積極監管措施來應對這一挑戰的第一年。隨著保險數據安全立法的增加，保險公司圍繞此類法律的問題變得更加複雜。

拼湊法規

保險提供者面臨的最大問題之一是各州缺乏一致的數據安全和隱私要求。

各州對數據保護和隱私問題的反應都是拼湊在一起的。所有50個州目前都有數據洩露通知法，但大多數州並未特別在保險背景下解決網路安全問題，Lewis Brisbois Bisgaard & Smith LLP的律師 Bindu Nair和Sean B. Hoar表示。

例如，加利福尼亞州的數據隱私法賦予了消費者對其個人數據前所未有的控制權，這給在該州運營的保險公司帶來了挑戰和機遇，Don Jergler 在《保險雜誌》上說。

Nair 和 Hoar 表示，這些法律目前因州而異，但美國財政部正在批准制定全國性數據洩露法的想法。

數據保護成本

數據保護法規的變化也導致了財產和意外傷害保險公司的成本擔憂，尤其是當這些公司已經面臨汽車保險註冊人數下降和財產損失索賠增加的雙重挑戰時。

“真正的影響將是合規成本的巨大膨脹，這可能不是該機構當前預算的一部分，”網络責任專家理查·費爾南德斯（Richard Fernandez）預測。

該成本將包括對專門從事網路安全和合規性的員工的需求，這是最近頒布的幾項州法律要求的。律師 Kimberly Horn 表示，由於各個法院對涉及客戶數據洩露的民事訴訟做出了不同的裁決，保險公司也面臨著日益複雜的法律環境。

各州對數據安全採取行動

由於聯邦政府對保險數據安全沒有統一的回應，美國各州已經開始自行監管這個問題。紐約州和羅德島州頒布了有關保險數據保護和隱私的規則，而南卡羅來納州、密歇根州和俄亥俄州於 2018 年通過了一項示範法。

其他州（包括喬治亞州、伊利諾伊州、肯塔基州、馬里蘭州和弗吉尼亞州）正在考慮制定保險數據安全法。 PropertyCasualty360 的 Christopher M. Brubaker 表示，這種國家發起的變革要求當地財產和意外傷害保險公司面對日益複雜的監管環境。

紐約

紐約為針對保險的數據保護法規鋪平了道路。該州金融服務部（DFS）於2017年實施了一項網路安全法規。它要求保險公司對數據訪問實施多因素身份驗證，並在72小時內報告網路安全事件。 CCSI 董事總經理 Larry Bianculli 表示，它還涉及以首席資訊安全官（CISO）的形式對治理和問責制的額外要求。

NAIC 保險數據安全示範法於 2017 年底發布，以紐約法規為基礎。幾個州已經完全採用了示範法，而其他州正在考慮頒布示範法的一些條款的法案。

南卡羅來納州

南卡羅來納州於 2018 年 5 月成為第一個採用 NAIC 保險數據安全示範法的州，成為頭條新聞。

南卡羅來納州的法律要求根據南卡羅來納州保險法獲得許可的個人和公司滿足有關數據安全的新要求。 Alston & Bird的律師 Nameir Abbas說，法律的核心是需要創建一個全面的書面資訊安全程式（WISP）。

如果發生數據洩露，保險公司需要調查事件，評估其性質和範圍，識別洩露的資訊，並“採取合理措施恢復洩露信息的安全性”，White & Williams LLP的 Joshua Mooney、Richard Borden和Sedgwick Jeanite 表示。保險公司還需要向該州的保險部門報告某些事件。

密歇根州和俄亥俄州

密歇根州和俄亥俄州也於 2018 年 12 月頒佈了保險數據安全法，採用了 NAIC 保險數據安全示範法。新法律適用於由各州保險部門許可的任何個人或公司。

密歇根州的法律還納入了該州的《防止身份盜竊法》的幾項規定，Alston & Bird的律師和網路安全回應團隊成員 Kate Hanniford說。

俄亥俄州的法律僅涵蓋在俄亥俄州開展業務的保險公司、代理機構和經紀人。 “在俄亥俄州以外註冊的再保險公司以及在另一個州特許和獲得許可的風險自留集團和採購集團被排除在該法案之外，”盛德律師事務所的律師兼合夥人 Edward R. McNicholas 和 Thomas D. Cunningham 說。

瞭解保險數據安全示範法

RSM 的安全、隱私和風險總監 Matt Franko 表示，NAIC 保險數據安全示範法“為要求保險組織運行完整的網路安全計劃建立了一個法律框架”。該框架涵蓋了廣泛的數據安全問題，從網路安全測試和董事會監督到事件回應計劃和違規通知程式。

該示範法已被多個州採用，其他州立法機構正在考慮該法。它的受歡迎程度使其值得 P&C 保險公司、代理人和經紀人考慮。

Baker Hostetler 的律師 Andreas Kaitsounis 和 Shea M. Leitch 說，這項立法定義了三個值得注意的條款。首先，示範法對非公開資訊的定義很寬泛，不僅包括客戶的個人資訊，還包括某些類型的敏感商業資訊。

“僅舉一個例子，這意味著削弱實體業務運營的勒索軟體事件可能會觸發通知義務，即使該事件不涉及個人資訊，”Kaitsounis 和 Leitch 說。

該示範法還對資訊安全計劃提出了嚴格的要求，包括書面計劃、事件回應計劃以及組織內部和第三方關係中的監督要求。

最後，示範法的保密條款相當廣泛，保護與網路安全事件相關的資訊免受公共記錄請求、傳票或私人民事訴訟的影響。

儘管 NAIC 積極推動各州採用其示範法，但示範法本身在由州立法機構頒布之前無效。迄今為止，有幾個州已經頒布了示範法，並進行了修改以適應他們自己現有的保險監管體系。

例如，雖然示範法只給保險公司一年的時間來遵守其規定，但密歇根州已經頒佈了一個系統，可以在更長的時間內分階段實施這些要求。 PropertyCasualty360 的 Lawrence R. Hamilton、Jeffrey P. Taft 和 Matthew Bisanz 表示，該法律於 2021 年 1 月 20 日生效，保險公司有一年時間來遵守大部分規定，有兩年時間來滿足第三方服務提供者的要求。

示範法要求保險公司遵循州對數據洩露通知的一般要求。然而，律師兼股東 Josephine Cicchetti 表示，俄亥俄州和密歇根州都用僅適用於該法案涵蓋的保險代理人、經紀人和公司的具體數據洩露通知要求取代了這一語言。

隨著各州繼續測試自己的示範法反覆運算，保險公司將需要注意數據隱私法規的性質在不同地區和隨著時間的推移而變化。

圖片來自：Sergey Nivens/©123RF.com、swollowpp/©123RF.com、stylephotographs/©123RF.com

新聞