第三方机构埋安全隐患

据法治周末记者了解，“众宜风险管理”网站版权所有者为“成都众宜康健科技有限公司”，该公司目前的主要业务是提供救援，其主要客户是购买各类意外险的客户，例如在网上代理销售中国人寿的意外险。

因此，作为中国人寿的一个代理公司，该网站与中国人寿确实是合作关系。该事件也让保险公司在与第三方机构合作的模式下管理投保人信息安全的隐患暴露无疑。

“在当前保险行业中，为了迅速地扩展业务，保险公司往往会采取与第三方机构合作的发展模式，这种行为并不罕见。”一位长期从事保险行业的梅经理告诉法治周末记者。

中国人寿一位内部人士也曾表示，目前，各个分公司都有可能与第三方机构开展业务合作，中国人寿的后台不可能对第三方机构信息监控得那么密集。

不过他也提出，此次被泄露信息的客户并不是中国人寿的后台客户，而是出现泄密客户资料的网站通过销售与中国人寿产品有关的相关客户。该网站被泄密的客户中有中国人寿的客户，可能也有别的保险公司的客户。

首都经济贸易大学劳动经济学院副院长朱俊生指出，由于第三方机构的运作比较独立，所以保险公司与第三方机构只是合作的关系，对其客户的信息管理不可能全部用自己公司管理客户信息的方式进行严格管理，这就在客观上存在保险公司客户由于第三方机构的原因导致信息泄密的情况，上述事件就是一个明显的案例。

他进一步表示，保险公司以后在与第三方机构开展业务合作的时候，一定要加强对第三方机构资质的审查，特别加强对第三方机构信息管理能力的审查，以避免上述事件的再次发生。

IT律师赵占领则告诉法治周末记者：“第三方机构的责任之外，中国人寿本身也应起到一定的监督作用。因此除了公开道歉并停止信息的继续泄露外，中国人寿还可以考虑给出一个象征性的补偿，表明承担责任的一个积极态度，如保险期限延长和适度提高保额等。”

信息安全监管有待完善

对保险客户信息的保护，相关监管部门其实早有规定。

保监会《人身意外伤害保险业务经营标准》中就明确规定：“保险公司提供保单查询服务时，应注意保护投保人和被保险人的隐私。”

不过即便如此，在现实生活中，保险公司方面泄露个人信息的现象却非常普遍，消费者的个人信息泄露问题已经十分严重。

“泄露个人信息的行为可以通过追究其刑事、民事、行政责任等3种方式加以限制。”赵占领分析认为，“追究刑事责任的方式最为严厉，使用起来限制也较多，总体来讲还不是常规的保护个人信息的一种手段。”

至于民事手段，即用户个人去维权，追究涉事公司的责任。赵占领表示：“一是取证困难，二是无法证明损失，成本高、收益低，目前也基本很少看到用民事手段去维权的。”

在他看来，相对于追究刑事责任和民事责任来说，对涉事公司追究行政责任，比如罚款、关闭网站等，这才应该是更常规的手段。

赵占领进一步分析道：“由相关监管部门对保险公司、网站等的安全水平、信息保护水平进行评测，如果出现泄露个人信息情况，造成损失的情况下，可以对其追究行政责任。”

“像泄露消费者个人信息的这种行为，保险监管者在监管、评级的时候，应当将此作为一个重要权重。”中国人民大学法学院教授刘浚认为，“央行建立了个人征信系统，对法人、金融机构也应该建立征信系统，对于侵犯消费者个人隐私的公司，也要将其拉入黑名单。”

刘俊海还表示：“立法机关准备制定公民个人信息保护法，个人希望加快这部法律的起草进度，进一步加大个人信息、当然也包括隐私信息的保护力度，特别是明确公民个人信息受到侵害以后的民事赔偿责任的追究机制等。”