互联网保险新规出炉,细化渠道融合、网络安全、全面监管要求

历时两年、三度征集修订意见,互联网保险监管大法最终落地,有六大要点,将自2021年2月1日起施行


文 | 《财经》记者 俞燕

编辑| 袁满


距离2020年结束还有17天之际,《互联网保险业务监管办法》(下称“《办法》”)在几经征求意见后正式出炉。在三个月的过渡期后,新规将自2021年2月1日起正式实施。届时,已经施行五年的《互联网保险业务监管暂行办法》,将正式走入历史。


五年来,无论是保险业自身,还是互联网技术和业态的发展乃至监管环境,皆已发生了诸多重大变化。2018年,原定实施时间为三年的《互联网保险业务监管暂行办法》到期,当年10月,银保监会发布首版修订征求意见稿,其后又于2019年12月和2020年9月发布了两版征求意见稿。


据了解,9月向社会公开征求意见时,收集的绝大多数意见已采纳或已纳入相关监管制度。


历时两年、三度征集修订意见,最终新规于2020年12月14日正式发布。


银保监会有关部门负责人在“答记者问”中表示,互联网保险监管办法的修订,主要把握了问题导向、统筹推进、服务实践和审慎包容的原则。


据介绍,《办法》主要有六个要点,首先是厘清互联网保险业务本质,明确制度适用和衔接政策;二是规定互联网保险业务经营要求,强化持牌经营原则,定义持牌机构自营网络平台,规定持牌机构经营条件,明确非持牌机构禁止行为;三是规范互联网保险营销宣传,规定管理要求和业务行为标准;四是全流程规范互联网保险售后服务,改善消费体验;五是按经营主体分类监管,在规定“基本业务规则”的基础上,针对互联网保险公司、保险公司、保险中介机构、互联网企业代理保险业务,分别规定了“特别业务规则”;六是创新完善监管政策和制度措施,做好政策实施过渡安排。


与两个多月前的版本(即2020年9月版)相比,正式发布的新规亦有一些调整。12月8日,银保监会主席郭树清在2020年新加坡金融科技节演讲时提及的数据隐私保护、网络安全、促进更公平的市场竞争、对同类业务统一监管标准等监管问题,亦在新规中有所体现。


信美人寿相互保险社董事长杨帆表示,《办法》的出台对于行业有里程碑式的意义,将对整个保险行业数字化的改革升级起到巨大的推动作用,“保险机构也将从企业基因、组织形态、技术架构、运营方式、交互路径、产品形态等六大方面做出改变。”


渠道融合细化政策衔接


在9月版本中,明确了线上线下融合的监管标准。统筹考虑互联网保险业务经营全流程各环节,特别是实践中各种渠道交错、线上线下融合的实际情况,规定了“同时适用线上和线下监管规则”“有利于消费者”的监管要求。


与9月版本相比,《办法》针对渠道融合的情形,进一步细化了政策衔接的适用方法。将2020年9月版中的“涉及线上线下融合开展保险销售或保险经纪业务的,同时适用线上和线下监管规则”的要求,改为“其线上和线下经营活动分别适用线上和线下监管规则”。如无法分开适用监管规则的,则同时适用线上和线下监管规则。如规则不一致者,则坚持合规经营和有利于消费者的原则。


从“同时”适用改为“分别”适用,虽两字之差,但体现了监管部门对于渠道融合的现实情况的包容,同时细化针对不同情况的处理原则,亦体现了不搞“一刀切”的监管弹性。


《办法》亦对通过互联网销售的保险产品和经营区域只做了原则性规定。银保监会有关部门负责人表示,下一步将根据互联网保险业务发展阶段、不同保险产品的服务保障需要,另行规定保险机构通过互联网销售保险产品的险种范围和相关条件。


此外,对于保险机构及其从业人员借助互联网保险业务名义进行线下销售的,包括从业人员借助移动展业工具进行面对面销售、从业人员收集投保信息后进行线上录入等情形,应满足其所属渠道相关监管规定,不适用《办法》。


同类业务、主体监管一视同仁


11月11日,银保监会副主席梁涛在第十五届21世纪亚洲金融论坛上表示,金融科技并没有改变金融的本质,因此依法将金融活动全面纳入监管,对同类业务、同类主体一视同仁。


《办法》确立了“机构持牌、人员持证”的原则。与9月版本相比,在监督管理一节增加了“对同类业务、同类主体一视同仁”的表述。


根据规定,只要满足《办法》规定的条件的保险机构(包括保险公司和保险中介机构),即可开展互联网保险业务,不需要申请业务许可或进行业务备案,且不得超出该机构许可证(备案表)上载明的业务范围。


银行类保险兼业代理机构可以经营互联网保险业务。银行类保险兼业代理机构经营互联网保险业务,除了要满足《办法》对保险机构的一般要求外,还要满足针对银行的专门要求。


互联网企业代理保险业务,除满足《办法》对保险机构的一般要求,还需持牌经营,有较强的合规管理能力、场景和流量优势、信息技术实力等,应实现业务独立运营,与主营业务实现业务隔离和风险隔离,不得将互联网保险业务转委托给其他机构或个人,以及建立售后服务快速反应机制等要求。


此外,《办法》进一步明确,自营网络平台是保险机构经营互联网保险业务的唯一载体,更是加强监管的主要抓手。根据规定,只有保险机构总公司设立的网络平台才是自营网络平台,保险机构分支机构以及与保险机构具有股权、人员等关联关系的非保险机构设立的网络平台,不属于自营网络平台,不得经营互联网保险业务。


对于保险机构从业人员通过微信朋友圈、公众号、微信群、微博、短视频、直播等方式参与互联网保险营销宣传的行为,《办法》强化了保险机构的主体责任,要求保险机构对从业人员进行执业登记和管理,标识其从事互联网保险业务的资质,从业人员须经所属机构授权后,方可开展互联网保险营销宣传。


在现实中,一些非保险机构通过打擦边球、涉嫌非法经营互联网保险业务,对此银保监会有关部门负责人在“答记者问”中表示,《办法》对非保险机构的行为边界作了明确规定,规定非保险机构不得开展以下互联网保险业务,一是提供保险产品咨询服务,二是比较保险产品、保费试算、报价比价,三是为投保人设计投保方案,四是代办投保手续,五是代收保费。


杨帆表示,在新规之下,保险公司、中介机构需要重新思考如何更好地利用网络化、数据化、智能化的技术来为客户提供更加便利的服务。


完善网络安全机制


12月8日,银保监会主席郭树清在2020年新加坡金融科技节演讲时指出,相对传统风险,网络风险扩散速度更快、范围更广、影响更大。突发性网络安全事件也对金融机构的应急管理提出了更高要求。


银保监会副主席梁涛亦在第十五届21世纪亚洲金融论坛上指出,要高度关注数字化转型带来的新型风险,特别是网络安全、数据保护、市场垄断等风险挑战,建立健全覆盖业务、网络、技术、数据等各领域,更加适应数字化时代要求的全面风险管理体系。


这些监管思路,在《办法》中亦进一步细化和完善。比如,要求保险机构建立客户信息保护制度,构建覆盖全生命周期的客户信息保护体系,防范信息泄露。


与9月版本相比,《办法》增加了“具有完善的网络安全监测、信息通报、应急处置工作机制”的要求,并要求贯彻落实国家网络安全等级保护制度,开展网络安全定级备案,定期开展等级保护测评,落实相应等级的安全保护措施。


对9月版本中规定的网络安全等级等方面的要求,进一步细化为“对于具有保险销售或投保功能的自营网络平台,以及支持该自营网络平台运营的信息管理系统和核心业务系统,相关自营网络平台和信息系统的安全保护等级应不低于三级;对于不具有保险销售和投保功能的自营网络平台,以及支持该自营网络平台运营的信息管理系统和核心业务系统,相关自营网络平台和信息系统的安全保护等级应不低于二级。”


《办法》要求投保页面必须属于保险机构的自营网络平台,以保障交易安全。并将开展互联网保险业务的保险机构及其自营网络平台应具备的条件之一的“网站接入地在中国境内”改为“服务接入地在中国境内”。此外,还增加了自营网络平台不是移动应用程序(APP)的情况。


在网络安全的规定中,《办法》细化了对加强信息报送的要求,增加了“发现问题后立即采取防范和处置措施,并按照银行业保险业突发事件报告、应对相关规定及时向负责日常监管的银保监会或其派出机构、当地公安网安部门报告”的要求。


对于业务中断,将9月版中的“立即向负责日常监管的银保监会或派出机构报告”,改为“按照银行业保险业突发事件报告、应对相关规定及时向负责日常监管的银保监会或其派出机构报告”,使处理流程更加规范。


在反洗钱的规定中,将9月版中的“保险机构应建立健全互联网保险业务反洗钱和反恐怖融资的风险评估、客户身份识别、身份资料保存和交易记录保存制度”,细化为“保险机构应建立健全反洗钱内部控制制度、客户尽职调查制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度,履行《反洗钱法》规定的反洗钱义务”。


《办法》将自2021年2月1日起正式施行。保险机构应依据新规对照整改,在施行之日起3个月内完成制度建设、营销宣传、销售管理、信息披露等问题整改,6个月内完成业务和经营等其他问题整改,12个月内完成自营网络平台网络安全等级保护认证。


据了解,下一步银保监会将通过制定配套细则,对互联网保险的经营条件和产品范围进行更灵活的管理。


互联网保险监管新规出炉后,将对互联网保险业态产生巨大的影响。如何在新的监管导向下探索数字化转型,亦是业界当前的一大重点。“以往的互联网业务主要围绕大流量来创新,未来将呈现多元化创新格局,更加突显用户价值,逐步走向与用户共同设计开发产品。”杨帆表示。


银保监会此前披露的数据显示,截至2020年上半年,互联网人身险保费收入同比增长12.2%,互联网财产保险公司保费收入同比增长44.2%。