车险还没到期,保险公司的推销电话便狂轰滥炸般袭来;意外险保障刚刚开始,医疗险优惠信息也一同到账;分红险还没交满期,就有自称保险客服的人打电话说可以办理保险收益升级……你是否遇到过如此精准的营销?
这些精准营销背后并不是巧合,而是猖獗的保单信息倒卖。北京商报记者调查发现,在一些社交平台,“卖家”出售的保单信息不仅包括投保人及被保险人姓名、保费、保额、保单号、险种名称,甚至连业务员名字、销售的银行网点都赫然在列,令人瞠目结舌。
尽管个人信息保护相关法律不断完善,监管趋严,但这些保单信息倒卖黑产并没有销声匿迹,只是提高了警觉,操作也更加隐蔽,形式与手段也愈加多样化……
保单不保险 令人后怕的电话
“她非常准确地说出了我买了什么保险,交了多少钱,连保险业务员名字都能随口说出。”近日,家住北京的张牧之(化名)向北京商报记者谈起了一通令人后怕的电话。
张牧之告诉记者,电话那头的女子自称某寿险公司售后服务人员,虽然没有自报名字和工号,却能把自己的保单信息说得非常准确,核对完保单信息就推荐了一项“保单升级”活动,声称可以让保单获得更高收益。
“我咨询了自己的保险代理人才知道,这可能是一场骗局,保险公司并没有这种服务。”张牧之表示,最让人担心的一点,是电话中和她核对的相关敏感信息都很精准。
张牧之的遭遇并非个例,而等待他们的并不是高收益、保险升级,而是退保投新、退保理财等骗局。
近日,某保险公司四川分公司公布的案例显示,周女士接到“客服人员”来电,被告知“保险公司”推出“保单升级”活动,升级后的产品收益更高。周女士办理了“保单升级”服务后,持有的原保单被退保,退保金竟被用来投资了某理财项目。
为何“客服人员”对张牧之的保单信息如数家珍?谁动了“张牧之们”的保单?
警惕性高 多次要求更换聊天软件
随着《个人信息保护法》等一系列法律法规发布,社会各方对个人信息的保护越发趋严。但是这些个人信息倒卖黑产并没有销声匿迹,只是操作也更加隐蔽。
在QQ平台的一些保险行业联盟群、行业交流群中,依然会有很多“卖家”通过QQ头像、QQ空间或者发消息暗示其业务并没有停止。
“不要打字,有事发语音。”“这里说话不方便,有飞机号吗?”“你下载个空投资料传给你。”……
北京商报记者在跟“卖家”一次又一次交流中发现,这些保单信息交易极为隐蔽,记者在沟通过程中多次被要求使用QQ电话交流,拒绝打字聊天,还被要求更换其他社交软件沟通,多是一些国外即时通信软件。在记者沟通过程中,“卖家”还多次提醒,要及时删除聊天记录、清除沟通痕迹。
甚至记者在申请好友通过验证后,由于购买信息时有所犹豫,对方很快就将记者删除好友。
此外,对于保单信息的称呼,“卖家”也有自己的暗语,个人信息叫“资料”“资源”,保单信息是“保单资料”。甚至还有“卖家”在QQ空间声称有“手剥料”,记者多番询问得知,所谓“手剥料”,是电话销售时用的手机号码名单。
信息精准 5毛一条500条起售
如此不能见光的手段下,一条保单信息究竟多少钱?
北京商报记者在一个名叫“保险中介加盟交流”的QQ群中卧底数天发现,一位昵称为“无昵称”的群管理员在群中偶有留言表示:“需要资料可联系,长期合作近可面谈。”
记者点开其头像加好友交流,对方抢先通过QQ电话发问:“想要什么资料?”当记者表示需要保险类用户信息时,对方告诉记者,什么样的保险资料都有,年金险、分红险、投连险都能找到。资料包括客户姓名、年龄、手机号、保单号、被保险人姓名、保费、保额等。
随即,该人士向记者提供了四份“样品”图片并迅速撤回图片。让人意想不到的是,如此隐秘的数据,价格并不高,甚至还可以讨价还价。“最低9毛钱一条,500条起售,要的越多越便宜”,也就是说,几百元就可以得到上千条涉及大量个人隐私的保单数据信息。
“你放心,别人都是几万条地从我这里拿,肯定不会骗人,给你的都是最新的资料。”为了打消记者的顾虑和犹豫,“卖家”对记者表示,“我这里有几百万条库存,根本卖不过来,不可能一份资料重复卖。”
为了求证事实真相,记者自称是需要大量保单信息的客户,并多番讨价还价,最终用300元买下来600多条保单信息,发现这是某中型寿险公司一款养老年金险的客户保单信息。令人震惊的是,虽然一条信息均价不到0.5元,但这位“卖家”提供的保单信息极其全面,不仅包括投保人及被保险人的姓名、年龄、险种名称、保费、保额、保单号、缴费方式、合同号、手机号、备用手机号,甚至连保险业务员的名字、销售的银行网点都赫然在列。
记者随机挑选了5条保单信息进行致电核实发现,保单信息中提到的投保人姓名、电话号码、保费金额、投保网点等信息基本上吻合。
对于“卖家”倒卖保单信息的行为,北京格丰律师事务所合伙人、律师郭玉涛告诉北京商报记者,这涉嫌违反《个人信息保护法》。郭玉涛解释,根据《个人信息保护法》第十条,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
“内鬼”泄露+系统漏洞
几毛钱就可以买到一张保单信息,不禁让人反思这些隐私数据是如何流通到“卖家”手里的,到底是哪一环节出了问题?
“对于保险公司来说,这些客户信息就是无形的资产,很多客户还需要继续缴纳保费,也有继续签单的可能,保险公司非常看重老客户,是不会主动让这些数据流通到别人手里的。”一位保险中介机构负责人告诉北京商报记者。
不过,保险公司不主动流通数据,并不代表不会有保险公司“内鬼”利欲熏心,为了钱财铤而走险。北京商报记者查阅相关裁判文书发现,某大型寿险公司职工刘某某、马某某就曾参与保单信息倒卖。根据裁判文书信息,刘某某在某大型寿险公司工作期间,联合同事马某某等人,使用员工账户查询、筛选客户的保单信息,并将这部分信息以10元/条的价格出售给一私募机构员工。刘某某出售的有效保单信息接近3万条,违法所得约26万元,刘某某从中获利18.54万元,向马某某支付2.6万元。
除了“内鬼”主动泄露,也有可能是内部系统漏洞导致信息遭窃取。此前业内就有曝出某保险公司网站因源码问题,公司数据库能够被直接访问,大量敏感信息有泄露风险。在一家互联网保险中介机构负责网络安全的工作人员在跟记者交流中坦言,虽然现在各保险公司内部系统安全性不断提升,但“黑客”的技术也在“与时俱进”,难免会有一些保险公司的内部系统有不完善之处,导致敏感信息被窃取。
此外,一些保险代理人离职跳槽,4S店上车险等环节都可能发生保单泄露,甚至在个别机构眼中,客户信息是资源置换的筹码。一位4S店汽车销售对记者表示,同行之间会进行客户资源置换,而在多次倒手中,这些信息很难被保密。
重拳严罚 新规齐力断后路
金融消费者个人信息安全,不仅关系到广大消费者的切身利益,也关系到经济社会的健康发展。一起又一起威胁个人金融信息安全事件时有发生,已引发监管部门持续关注。
北京商报记者了解到,早在2020年,央行就出台《个人金融信息保护技术规范》,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
随着《个人信息保护法》正式实施,金融信息安全监管也在持续升级。今年3月15日,银保监会消保局局长郭武平在新闻发布会上提出,银保监会今年将加大监管力度,重点开展银行业保险业个人信息保护专项整治,推动银行业保险业切实落实《个人信息保护法》,提升个人信息使用的规范性,保护消费者信息安全权。
在金融机构个人信息保护公司排查方面,近日银保监会下发了《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求银行保险机构全面摸排自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况,深入查找个人信息保护方面存在的问题,列出问题清单,并完成整改。
针对保险公司“内鬼”倒卖客户信息等行为,银保监会更是加大了惩治力度。北京商报记者梳理发现,今年以来,先后有5名保险公司员工或保险代理人因违反法律规定侵犯公民个人信息、利用职务便利泄露在业务活动中知悉的投保人、被保险人个人信息等行为被禁止进入保险业。
“魔”高一尺 险企如何“道”高一丈
保险公司是客户信息的收集者、储存者和使用者,保险客户的保单信息被非法搜集、销售、倒卖,保险公司承担着不可推卸的责任与义务。业内人士指出,在保单信息倒卖过程中,保险公司作为数据来源方,并不“纯白无辜”。
那么,在猖獗的保单信息倒卖中,保险公司该如何筑牢防火墙,保护客户信息不被不法分子获取?首都经贸大学保险系副主任李文中建议,一方面,保险公司需要制定和完善相关内部管理制度,明确各个岗位在客户信息保护方面的责任,加大对违法违规人员的惩处。
另一方面,保险公司需要在数据录入、存储、复制、传输等环节加强管理,既要采用技术手段防数据拷贝、拍照和传输,又要安排专门人员分别负责相关工作,以便于出现问题后进行倒查追责。
“保险公司需要对所有数据进行分级管理,一方面对某些数据进行脱敏技术加工,另一方面授予不同级别人员不同的访问权限。”李文中补充表示。
对于信息倒卖手段“与时俱进”,中国精算师协会副会长王和表示,最重要的是“以技制数”,即通过利用隐私计算等技术,从根本上解决刚性保护问题。包括可信硬件、密码学、联邦学习、差分计算、边缘计算、区块链等,通过基于隐私计算的解决方案,以满足向“不求所有,但知所在,确保能用”经营理念转变的需要。
北京商报金融调查小组