全新功能
立即訂閱Yahoo!E保網推播通知,隨時掌握各種保險知識及各項最新活動&優惠訊息!
保險數據安全之防護應有必要的監理作為 – 以美國為借鏡
發佈日期 / 2025-07-04
3444 148
〈本專區由Yahoo邀約採訪編輯〉
二十一世紀資訊科技之發展,尤其是數據技術與網際網路的發展,使得海量數據用做預測分析,並已讓公家機構與私人企業獲得較以往更多的利益,故大數據又被稱為「數位時代的燃油」(the oil of the digital era)。美國在全世界乃是處於科技領先之地位,對於大數據科技於金融業與保險業的運用,即金融科技與保險科技的發展,亦屬領先地位之一,故其保險業以大數據科技作為廣告行銷、核保定價及理賠管理已屬現在進行式。然而,各州對於大數據科技運用所產生對於消費者權利之侵害而產生市場失靈之情況,亦有耳聞。
由於保險事務於美國主要乃是州的管轄事務,故對於保險事項的立法,個別州的行為可能更為積極。由於大數據科技於二十世紀末開始,即有運用在保險業,故時序進入在二十一世紀時,部分州即有對此加以探討並就個別問題於州法中為因應。例如,紐約州的金融服務局(New York Department of Financial Services, NYDFS)曾對人壽保險公司發佈了一項指導性的指引,要求以大數據分析的演算法及預測模型來對保險為核保定價之保險人之應注意事項,要求不得放入種族(race)、膚色(color)、信仰(creed)、國籍(national origin)、家庭暴力受害者(status as a victim
of domestic violence)、性別傾向(sexual orientation)等因子,及任何形式得為此等因子的替代因子;另外,如加州(California)州長於2021年10月簽署了州立法機關修正通過之加州隱私權法(California Privacy Rights Act, CPRA)及該州民事法典中有關數據違反通知及數據安全之規定,其對於個人基因及醫療數據隱私及安全,以及對於該等基因與醫療之使用限制為相關規範。除了此等個別事項的法規訂立與頒布外,對於保險業運用數據安全性的規範,較有規模立法乃是美國保險監理官協會(National Association of Insurance Commissioners)於2016年開始,歷時一年半的時間所訂立的「保險數據安全模範法」(Insurance
Data Security Model Law),此模範法並成為目前有相關立法之州的多數選擇作為立法的參考基礎。
保險數據安全模範法共計十三個條文,其於第二條立法目的明文規定,此法的目的乃是要建立數據安全標準,以及調查網路安全事件的標準及應通知保險主管機關;但是,本法案並不能被解釋為能夠成為對違反行為之民事上損害賠償的請求權基礎,也不能被解釋為會影響其他法律規定而存在的請求權基礎。換言之,此模範法乃是被定性為保險主管機關管理保險人等受規範之人與主體於市場上行為的監理法規,而非私人主體間的請求的權利基礎。
除此之外,此模範法主要內容包含了以下:
①資訊安全計畫的實施,應包含保護非公開資料安全性或完整性及對資料系統免受到威脅、侵害,避免未具有授權的侵入或使用且最小化相關的傷害,以及訂定對非公開資料的保存時間表及不再需要時的銷毀機制,並定期重新評估(第四條);
②網路安全事件的調查,包括風險評估和風險管理,以及對第三方服務提供者的監督,且應對於相關的記錄保留五年,以提供保險監理主管機關為查核(第五條);
③向州保險監理機主管關發出通知網路安全事件,包括但不限於向相關州保險監理官提供ⓐ資訊如何暴露、遺失、被盜或洩露的描述;ⓑ該事件是如何被發現的;ⓒ資訊系統受到損害的時期;ⓓ該州受影響的消費者總數;ⓔ以及為糾正此種情況而正在採取的努力(第六條);
④保險監理主管機關的查核權,對於其下轄之人或主體,均得為檢查和調查,且若有證據證明有違反行為存在時,得採取適當措施(第七條);
⑤保險監理主管機關對資料的保密,對於因此法持有、知悉的相關資料,主管機關及其人員,原則上應予以保密,縱使為民事訴訟所要求,亦不得提供,但若為保險主管機關於執行本法之必要且接受方亦允諾遵守保密義務時,得將相關資料提供或出示予國際、國內相關公權力機關(第八條)。
美國因保險監理主要權限乃是由州掌握,因此,聯邦政府財政部在2017年10月所提出的相關報告中,即敦促各州應該訂立相關州法。截至2025年5月2日為止的統計資料,已有26個州已於州法規中,依照保險數據安全模範法來立法,其包含阿拉巴馬州(Alabama)、阿拉斯加州(Alaska)、康乃狄克州(Connecticut)、德拉瓦州(Delaware)、夏威夷州(Hawaii)、伊利諾州(Illinois)、印第安納州(Indiana)、愛荷華州(Iowa)、肯塔基州(Kentucky)、露易斯安那州(Louisiana)、緬因州(Maine)、馬里蘭州(Maryland)、密西根州(Michigan)、明尼蘇達州(Minnesota)、密西西比州(Mississippi)、新罕布夏州(New Hampshire)、北達科他州(North Dakota)、俄亥俄州(Ohio)、奧克拉荷馬州(Oklahoma)、賓州(Pennsylvania)、羅德島州(Rhode Island)、南卡羅萊納州(South Carolina)、田納西州(Tennessee)、佛蒙特州(Vermont)、維吉尼亞州(Virginia)、威斯康辛州(Wisconsin);亦有已決定採納模範法,但未完成立法程序的州,計有密蘇里州(Missouri)、愛達荷州(Idaho)等2州。因此,總計有28個州採取模範法的已採取或即將採取模範法的規範模式。顯見,其有可採之處。
我國主管機關對於大數據運用於保險業的安全防護問題,雖已注意到,但並未如同美國有如此具體的立法。日後,若對於此議題有立法規範之必要,或可參考美國多數州的立法模式,參考保險數據安全模範法之內涵,訂立適合我國數據安全防護的專法。
焦點議題作家
-
詹芳書 教授-東吳大學東吳大學財務工程與精算數學系教授(現正借調擔任財團法人保險事業發展中心總經理)、台灣風險與保險學會理事、財團法人保險事業發展中心總經理;曾任東吳大學教務長、商學院副院長、財務工程與精算數學系主任、台灣風險與保險學會監事、南山人壽保險股份有限公司獨立董事、國際康健人壽保險股份有限公司獨立董事、陸家嘴國泰人壽保險股份有限公司獨立董事;專長為精算科學、保險財務管理、清償能力分析及保險商品創新。
-
吳政隆 教授-東吳大學現任東吳大學巨量資料管理學院資料科學系教授。專長為文字探勘、深度學習、自然語言處理、情感計算。
-
李志峰 教授-東吳大學現任東吳大學法學院專任教授及財經法研究中心主任,東吳法律學報執行編輯,同時也兼任金管會保險局保險商品審查委員,金融消費評議中心評議委員,汽車交通事故特別補償基金法律顧問,上市公司獨立董事,保險事業發展中心/金融法制暨犯罪防治中心講師,並具有仲裁人,律師及地政士資格;曾於律師事務所、國際性保險經紀人公司擔任專職律師,以及於外商保險公司擔任法務經理;專長為保險法、海商法、運動法及國際貿易索賠實務。
-
葉向原 教授-東吳大學現任東吳大學巨量資料管理學院資料科學系教授;專長為人工智慧、機器學習、深度學習創新應用。
-
葉啟洲 教授-國立政治大學現任政治大學法學院特聘教授、法學院副院長暨法律學系主任,風險管理與保險學系兼任教授,以及人壽保險公司獨立董事。曾經兼任財團法人保險安定基金董事,參與過幾家保險公司的接管工作;也曾兼任財團法人金融消費評議中心的評議委員。葉教授進入學術界之前,曾擔任律師、法官,在擔任法官期間以公費留學前往德國進修,獲得德國弗萊堡大學法學博士,專長為民法和保險法。
-
張士傑 教授-國立政治大學現任國立政治大學風險管理與保險學系教授、中國信託金融控股公司獨立董事、台灣人壽保險公司獨立董事、台壽保產物保險公司獨立董事;曾任中華民國風險管理學會理事長、行政院勞工退休基金監理委員會委員、金融消費評議委員、行政院金融監督管理委員會專任委員、財團法人保險事業發展中心董事;專長為風險管理與保險、精算科學、退休金財務、資產配置。
-
彭金隆 教授-國立政治大學現任金管會主任委員、政大風險管理與保險學系教授、金融科技研究中心保險科技實驗室執行長,Cardif銀行保險研究中心主任。曾任政大風險管理與保險學系系主任、財團法人交通事故特別補償基金監察人、金融消費評議中心董事、台灣風險與保險學會秘書長、金管會人身保險保單審察委員、金融總會副秘書長;研究專長為保險市場、銀行保險、金融控股公司、保險科技與保險監理法規與制度等。
-
Shell沛(Tim嫂)與Tim哥一同經營新媒體公司,現為總經理及兩性情感話題類別的Youtuber
-
東京海上日動火災保險公司東京海上日動前身為「東京海上保險會社」,自1879年創建以來即自許為「日本國內產險業界的Leading Company」,以嚴謹、穩健的態度經營公司,時至今日,事業版圖已擴及海內外各保險相關領域,海外據點遍佈全球38個國家與地區。 隨著時代、環境的變遷,東京海上日動總是與全世界的客戶站在一起迎接挑戰,並持續不間斷地提供最佳的風險管理解決方案,帶給客戶完全的安心與信賴。 與此同時,我們也不忘善盡企業責任、回饋社會,朝「好公司Good Company」向前邁進。
