法規名稱: | 保險業辦理人身保險數位理賠服務自律規範 |
---|---|
公發布日: | 民國 114 年 04 月 29 日 |
第 一 章 總則(共通性規範)
立法目的
為使保險業辦理人身保險數位理賠(下稱數位理賠或本服務)申請業務及
理賠申請身分認證有一致性規範,以增進理賠之服務效能,提供消費者便
利的服務並保障其權益,特訂定本自律規範。
數位理賠服務定義
本自律規範所稱數位理賠服務,係指受益人以非紙本方式(如影像文件或
電子資訊傳輸),經由保險業所提供「影像理賠」、「超商門市之超商多
媒體服務機」、「理賠聯盟鏈」、「業務員協助申請(行動理賠)」提出
理賠申請,由保險業依所收到之理賠申請影像文件或電子資訊傳輸先行受
理、審核並完成理賠之服務。
本自律規範適用範圍不包含財產保險附加之人身保險。
身分認證及同意方式
保險業辦理本服務,受益人須完成身分驗證與同意之表示意思程序。
受益人擇一以下列方式完成身分認證:
一、保險存摺帳號:受益人透過自然人憑證、晶片金融卡身分識別或行動
身分識別(Mobile ID) 結合國民身分證資料驗證等身分驗證方式,
向壽險公會註冊申請保險存摺服務之帳號,並藉此帳號進行身分認證
。
二、強化版行動身分識別:保險業經取得受益人同意後,由受益人透過載
有 4G/5G 門號 SIM 卡之行動裝置,經過第三方認證機構向受益人
所屬之電信業者,以受益人之行動電話號碼、身分證號碼及生日,與
電信業者之行動門號租用人申辦資料比對,確認為一致,並向發證機
關查詢確認身分證資訊(包括身分證字號、發證日期、發證地點及領
補換類別)之正確性,所進行之身分驗證作業。
三、行動服務申請:經由保險業業務人員見證為受益人本人,並請其填寫
相關服務聲明暨同意書。
四、網頁或行動應用程式(APP) :受益人依「保險業辦理電子商務應注
意事項」之身分驗證作業,經由網路與保險業網站專區、網頁或行動
應用程式(APP) ,完成註冊及身分驗證程序,以親臨保險業方式辦
理者,亦同。
五、其他經主管機關核准之認證方式。
受益人得擇一以下列方式完成同意之意思表示:
一、數位:受益人完成第二項第一款或第二項第二款之身分認證後,應取
得電子簽章憑證機構核發之憑證,用於簽署理賠申請文件,而為同意
之意思表示。
二、紙本:受益人於保險業所出具之紙本同意書上簽章。
三、其他經主管機關核准之同意方式。
法令遵循
保險業辦理本服務,除本自律規範規定外,並應遵守「保險法」、「消費
者保護法」、「金融消費者保護法」、「個人資料保護法」、「電子簽章
法」、「洗錢防制法」、「資恐防制法」、「金融機構防制洗錢辦法」、
「保險公司與辦理簡易人壽保險業務之郵政機構及其他經金融監督管理委
員會指定之金融機構防制洗錢及打擊資恐內部控制與稽核制度實施辦法」
、「保險業招攬及核保理賠辦法」、「保險業辦理資訊安全防護自律規範
」、「保險業作業委託他人處理應注意事項」、「金融業申請業務試辦作
業要點」等相關法令及自律規範之規定。
保險業開辦「理賠聯盟鏈」服務,應向壽險公會遞交「中華民國人壽保險
商業同業公會保險科技運用共享平台服務申請書」,遵守相關服務暨權利
義務約定事項,並由保險業總機構法令遵循主管出具符合法令規章及內部
規範之書面意見並簽署,留存壽險公會。
告知義務
保險業辦理本服務,應於公司官方網站公告服務內容項目(包括申請條件
及步驟、同意書下載、並以顯著文字提醒受益人於影像送件後正本文件須
於規定時限繳回保險業)。
數位理賠服務相關宣導文件應由保險業統一製作,並應充分向業務人員說
明作業流程與應注意事項。
保險業辦理本服務,應於申請操作頁面提供受益人檢視或同意,確認輸入
之內容無誤。
保險業辦理本服務,應以簡訊、E-Mail或客戶留存之聯絡方式等方式(概
括但不限於上述形式)通知受益人辦理結果,以保障保戶權益。
內稽內控
保險業辦理本服務,應將本自律規範內容納入內部控制及內部稽核項目,
並依據「保險業內部控制及稽核制度實施辦法」相關規定辦理。
保險業辦理本服務,應訂定內部控制作業處理程序,內容應至少包括作業
流程、行政控管機制、系統控管機制、風險識別及相對應控管機制等內容
,以作為辦理數位理賠服務之準據。
保險業辦理本服務,應依相關法令及理賠內部控制作業進行理賠審核。
資訊安全及資料保存
資料及檔案之傳輸與儲存應依主管機關要求之資訊安全防護相關規範辦理
。
針對所傳輸或儲存之申請人個人資料或敏感資料,應建置適當之保護設備
或技術,採取適當之存取管制。
應監控並建立資通安全事件通報程序。遇事件發生時,相關單位及人員依
循通報程序辦理。
保險業應取得資訊安全管理制度(ISMS)認證,上開認證或制度導入範圍
應涵蓋本服務所介接之對外前端系統。保險業應取得個人資訊管理制度(
PIMS)認證,上開認證或制度導入範圍應涵蓋本服務之直接作業單位。
保險業應對委外廠商服務系統與環境固有資安風險進行資安風險評估,其
內容包括但不限於人員作業安全、系統/機器作業安全、資料處理安全及
委外廠商查核。
定期檢視本服務相關資訊系統之安全性及資訊安全控管制度之有效性,並
依檢視結果,採行必要之矯正與預防措施。
保險業辦理本服務已歸檔儲存之理賠申請電子文件等相關資料,其保存期
限不得低於理賠結案日後五年。
保險業與第三方合作辦理數位理賠服務,應符合下列事項:
一、保險業應確保第三方未保留受益人理賠資訊。
二、保險業與第三方進行資料傳輸時,應至少使用專屬網路(如 VPN),
或加密機制(如 SFTP) 。
爭議申訴與犯罪防制
保險業應設置免費服務專線處理客戶因本服務引發之申訴與抱怨,對客戶
之申訴與抱怨應積極進行處理,並迅速給予妥適回應。
保險業辦理本服務,若發現有疑似保險犯罪情事,應通報相關保險業與財
團法人金融法制暨犯罪防制中心。
第 二 章 分則(各業務專屬規範)
影像理賠
影像理賠服務係指受益人經由保險業所建置之網站專區、網頁或行動應用
程式(APP) 提出理賠申請,並自主上傳或授權指定之醫療院所將理賠申
請文件之影像或格式化欄位資訊傳送予保險業,再將前述紙本文件繳回保
險業(透過醫療院所傳遞者不在此限);保險業依所收到之理賠文件影像
或格式化欄位資訊先行受理、審核並完成理賠之服務。
本條服務適用範圍如下:
一、申請人以具完全行為能力之受益人本人為限。
二、險種以有效個人人身保險契約之健康保險、傷害保險的醫療保險金給
付(日額型、實支實付型)、失能及重大/特定傷(疾)病保險金為
限,並排除旅行平安保險、團體保險及待記名式保單。
三、理賠金限匯款方式給付至受益人本人帳戶。
四、當次理賠核付金額逾新臺幣三十萬元,需待紙本文件繳回保險業後始
能進行理賠核付(透過醫療院所傳遞者不在此限)。
五、應由保險業指定專責單位辦理。
本條服務風險管控措施如下:
一、受益人首次申請需簽署同意書(含延續性個資與特種個資同意事項)
,如以紙本簽署者,將簽署完畢之同意書拍照或掃描上傳,並將同意
書正本於十日內繳回首家保險業。
二、受益人如未繳回正(紙)本文件,應於系統設定受益人未來之理賠案
件無法再次使用本條服務之機制。
三、正(紙)本文件繳回後,與影像進行比對是否一致。
四、應將本條服務納入年度定期自行查核作業檢視範圍,並應每半年對影
像送件之理賠送件之理賠文件進行一定比例(不得低於百分之十)抽
查,以確保文件正確性。
五、經聯繫受益人,仍未繳回文件者,應啟動調查機制,以確認文件真偽
。
六、如發現文件偽造等情事,應依法進行告訴及追償,並於系統設定受益
人未來之理賠案件無法再次使用本條服務之機制。
七、透過醫療院所傳遞者,不適用第二、三、五目之規定。
保險業辦理本條服務,至少應每半年定期檢討辦理結果是否符合以下條件
,如未符合者,應擬具改善計畫並提報董事會:
一、理賠正確率(包含給付範圍、給付金額與給付對象)不低於傳統理賠
申請方式。
二、平均理賠日數應少於傳統理賠申請日數至少一日。
三、正本繳回率應與傳統理賠案件相同,即百分之一百或針對全數未繳回
者啟動調查機制,並確認文件真偽(如:調查人員持文件影本至醫療
院所確認)。
第三方合作
第三方合作服務係指受益人經由保險業提供於第三方合作超商門市之超商
多媒體服務機(KIOSK) 進行理賠申請,由超商多功能事務機掃描上傳理
賠申請文件,並將理賠申請文件紙本交至超商門市櫃台繳回保險業,由保
險業依所收到之理賠申請文件影像資料先行受理、審核並完成理賠之服務
。
本條服務適用範圍如下:
一、本條服務準用第九條第二項之規定辦理。
二、未符合前款適用條件之理賠申請案件,保險業應主動通知保戶,並告
知保戶將於收到紙本文件後以傳統理賠程序辦理。
本條服務風險管控措施如下:
一、本條服務準用第九條第三項第二、三、五、六款之規定辦理。
二、受益人首次申請需簽署同意書(含延續性個資與特種個資同意事項)
,並應於申請前或掃描上傳後翌日起十五日內將紙本繳回保險業。
三、應將本條服務納入年度定期自行查核作業檢視範圍,並每月對經由本
條服務送件之理賠文件進行一定比例(不得低於百分之十)抽查,以
確保文件正確性。
四、為確保本條服務資訊安全,保險業應對委外廠商超商多媒體服務機(
KIOSK) 服務系統與環境固有資安風險進行資安風險評估,其內容包
括但不限於人員作業安全、系統/機器作業安全、資料處理安全及委
外廠商查核。
五、每年應對委外廠商執行至少一次委外事項查核,查核範圍應包括超商
多媒體服務機(KIOSK) 及委外廠商機房,超商多媒體服務機(
KIOSK) 查核項目至少應包括存取管控及資料安全、委外廠商機房查
核項目至少應包括門禁管理、存取管控及資料安全,以確保本條服務
之資訊作業安全。
本條服務交寄提醒與簡訊通知如下:
一、受益人於超商多媒體服務機(KIOSK) 操作上傳完成後,保險業應於
超商多媒體服務機(KIOSK) 頁面提醒受益人應將理賠申請資料送交
門市櫃台始完成申請之訊息,並產製相關寄件單據供保戶進行寄送。
二、理賠受理及結案後,應以系統自動發送方式,分別發送簡訊通知保戶
。
本條服務資訊安全保護服務:
一、受益人於超商門市之超商多媒體服務機(KIOSK) 啟動理賠申請服務
時,超商多媒體服務機(KIOSK) 資訊中心應即時呼叫保險業系統,
另保戶於超商多媒體服務機(KIOSK) 送出理賠申請資料及相關影像
檔案時,保險業系統應同步存取超商多媒體服務機(KIOSK) 資訊中
心掃描服務,並取回保戶理賠申請檔案及刪除軌跡,以確保受益人資
訊不落地暫存。
二、受益人於輸入端(事務機)輸入資料至超商多媒體服務機 (KIOSK)
以及超商多媒體服務機(KIOSK) 將資料傳輸至機房伺服器之過程,
保險業應確保資料不落地暫存,且未暫存於委外廠商處,以確保保戶
資料不外洩。
保險業辦理本條服務,至少應每半年定期檢討辦理結果是否符合以下條件
,如未符合者,應擬具改善計畫並提報董事會:
一、理賠正確率(包含給付範圍、給付金額與給付對象)不低於傳統理賠
之正確率。
二、平均理賠處理日數應少於傳統理賠處理日數至少一日。
三、紙本文件繳回率應符合下列任一標準:
(一)紙本文件繳回比率應達百分之百。
(二)針對全數紙本文件未繳回者啟動調查機制,並確認文件真偽(如:
調查人員持文件影本至醫療院所確認)。
四、未有保戶資料留存於超商多媒體服務機(KIOSK) 或委外廠商機房之
情事。
理賠聯盟鏈
理賠聯盟鏈係指受益人經由首家保險公司所建置之網站專區、網頁、行動
應用程式(APP) 自主上傳或授權指定之醫療院所將理賠申請文件之影像
或格式化欄位資訊傳送予保險業或依第十二條所定行動理賠向該公司提出
理賠申請,並同意將相關文件影像資料透過壽險公會「保險科技運用共享
平台」一併轉送受益人所指定保險業。轉收保險公司即可就電子傳送的資
訊欄位及文件影像資料進行受理審核並完成理賠之服務。
本條服務適用範圍準用第九條第二項之規定辦理。
本條服務風險控管措施如下:
一、本條服務準用第九條第三項第一、二、三、五、六、七款之規定辦理
。
二、受益人申請「理賠聯盟鏈」服務後,仍需將申請理賠之紙本文件繳回
首家保險公司,以供檢視核對與受益人提供之影像是否一致,並通知
轉收保險公司已收到受益人繳回之文件。
三、保險業辦理本條服務,應訂定「理賠聯盟鏈」推播通知作業處理程序
,並納入內部控制制度。
四、首家保險公司形式審核影像檔案後,最遲應於收受理賠文件三個工作
日內,傳送予轉收保險業,惟如不符理賠申請要件或轉送範圍者,即
不予進行資料轉送作業。
五、轉收保險公司收受理賠申請後,如申請人並非該公司保戶(被保險人
)或所投保險種不符理賠聯盟鏈服務範圍時,得以簡訊、E-Mail 或
申請人留存之聯絡方式等方式通知申請人。
六、轉收保險公司接到「理賠聯盟鏈」非保戶資料,應於三個月內刪除其
內部相關影像檔。
七、保險業應將本條服務納入年度定期自行查核作業檢視範圍,並應每半
年對該等申辦案件之理賠文件進行一定比例(不得低於百分之一)抽
查,以確保文件正確性。
八、第一款準用第九條第三項第二款之情形,應由首家保險公司依該規定
辦理。
本條服務資料傳輸與資訊安全如下:
一、本條服務運用區塊鏈技術防止檔案遭竄改。
二、壽險公會「保險科技運用共享平台」留存資料傳輸與接收紀錄,保險
業得隨時透過區塊鏈技術檢視紀錄與傳送狀態。
三、針對所傳輸或儲存之申請人個人資料或敏感資料,壽險公會及保險業
應建置適當之保護設備或技術,採取適當之存取管制。
四、保險業應監控並建立資通安全事件通報程序。遇事件發生時,相關單
位及人員依循通報程序辦理。
保險業辦理本條服務,至少應每半年定期檢討辦理結果是否符合以下條件
,如未符合者,應擬具改善計畫並提報董事會:
一、轉送成功率:首家保險業連線轉送保戶相關申請資料予其他接收公司
之成功率,應達百分之一百。
二、符合個人資料保護規定情形:未發生違反個人資料保護法相關規定所
涉個資侵害事件,應達百分之一百。
三、保險業就「理賠聯盟鏈」案件認有疑似詐欺情形而主動報送「財團法
人金融法制暨犯罪防制中心」件數,不得超過對比該公司就保戶透過
傳統紙本方式申請理賠認有疑似詐欺情形而主動報送該中心件數。
業務員協助申請(行動理賠)
業務員協助申請(行動理賠)服務係指透過保險業業務員或服務人員提供
之行動裝置輸入受益人理賠申請資料,並經受益人同意上傳或授權指定之
醫療院所將理賠申請文件之影像或格式化欄位資訊傳送予保險業,保險業
即可就電子傳送的資訊欄位及文件影像資料進行受理、審核並完成理賠之
服務。
本條服務風險控管措施如下:
一、保險業業務員或服務人員辦理本條服務,應符合「保險業經營行動服
務自律規範」第五條之規範。
二、業務員或服務人員須使用所屬公司配給之帳號及密碼,始得登入行動
裝置之作業系統內;登入後應於行動裝置上,完成受益人申請理賠服
務相關資料之輸入。
三、由受益人瀏覽並確認申請理賠相關資料輸入內容後,於行動裝置上親
自簽名,使用保險存摺帳號或強化版行動身分識別進行身分識別及完
成同意之意思表示通過者,可無須於行動裝置上簽名。
四、保險業應採第三條所定之身分認證及同意方式,確認受益人有透過行
動裝置申請理賠服務事項之意思,並向受益人收取申請理賠所需相關
文件資料。
五、應建立收回申請理賠相關文件之控管機制,惟透過醫療院所傳遞者不
在此限。
本條服務資訊安全控管如下:
一、對於業務員或服務人員登入行動裝置作業系統之身分認證安全控管,
應依設定密碼之安全控管作業進行密碼設定與身分驗證。
二、辦理本條服務輸入之申請資料,須以帳戶及密碼登入後,始能查閱相
關內容。
三、申請資料不得儲存於行動裝置。但因連線問題無法即時回傳系統時,
應將已輸入資料檔案以 AES 加密或相當等級以上之加密方式暫存於
行動裝置至多 12 小時,並不得以任何方式轉存出,逾時將自動刪除
或封鎖,以確保資訊安全。
四、系統設定已簽署完成之申請資料不得修改,如修改則須經再次簽署始
得上傳。
五、已簽署之申請資料傳輸至主機系統時,系統應即同步刪除行動裝置留
存之申請資料。
六、業務員或服務人員登入密碼應定期更換,頻率不得高於九十日,逾期
未變更者,各會員應暫停其系統登入之權限,以避免盜用之情形。
七、明訂業務員或服務人員遺失行動裝置之標準通報流程以及接獲通報後
之標準處理作業流程。
八、建立備援機制相關規範。
九、定期檢視本條服務相關資訊系統之安全性及資訊安全控管制度之有效
性,並依檢視結果,採行必要之矯正與預防措施。
附則
罰則
保險業違反本自律規範,經查核屬實者,得經所屬公會理(監)事會決議
後視情節輕重予以糾正,或處以新臺幣二十萬元以上六十萬元以下之罰款
,並呈報主管機關。
保險業所屬公會未依前項規定申報或處理者,主管機關得為必要之處置。
施行程序
本自律規範由中華民國人壽保險商業同業公會與中華民國產物保險商業同
業公會共同訂定,經各該公會理(監)事會決議通過,報主管機關備查後
施行,修正時亦同。