法規名稱: | 結合銀行定存場景的保障型保險銷售自律規範 |
---|---|
公發布日: | 民國 114 年 05 月 26 日 |
為使保險業與經主管機關許可兼營保險代理人或保險經紀人業務之銀行(
以下簡稱合作銀行)合作辦理一站式申辦定期存款與網路投保之業務(以
下簡稱本業務)有一致性的規範,並強化保險業對於合作銀行之相關管理
措施,以保障金融消費者之權益,特訂定本自律規範。
本業務係指要保人透過合作銀行之網路銀行(網頁或 App)註冊取得合作
銀行之網路投保資格後,同時開立定期存款帳戶及透過合作銀行向保險業
投保保障型保險,並授權合作銀行自定期存款帳戶之月配息撥入活期帳戶
進行保險費扣款。
前項保障型保險範圍係指定期人壽保險、傷害保險及其附加之實支實付型
傷害醫療保險。
保險業辦理本業務,除本自律規範外,並應遵守保險法、消費者保護法、
金融消費者保護法、個人資料保護法、金融服務業公平待客原則、保險業
辦理電子商務應注意事項、保險業經營電子商務自律規範、保險業辦理資
訊安全防護自律規範等相關法令及自律規範之規定,並應落實資訊安全防
護、防制洗錢控管及要保人權益保障。
保險業應要求合作銀行辦理本業務,應遵守本自律規範及前項應共同遵循
之規範、保險代理人公司保險經紀人公司辦理網路投保業務及網路保險服
務管理辦法、保險代理人業經營電子商務自律規範、保險代理人公司資訊
安全作業控管自律規範、保險經紀人資訊安全作業控管自律規範、保險代
理人公司(含兼營保險代理人業務之銀行)辦理檢核管理作業程序自律規
範、保險經紀人公司及銀行系統檢核作業自律規範、金融機構辦理電子銀
行業務安全控管作業基準等相關法令及自律規範之規定。
保險業應要求合作銀行辦理本業務執行時應包含下列風險控管及控制措施
:
一、要保人須登入合作銀行之網路銀行(網頁或 App),始能申辦本業務
。
二、要保人註冊合作銀行之網路投保會員,應同意「個人資料保護法告知
義務事項」、「同意網路投保聲明書」及「○○銀行網路保險服務定
型化契約」等相關文件。
三、要保人開立定期存款帳戶及透過合作銀行向保險業網路投保保障型商
品,應同意電子存單約定條款、網路投保聲明書、商品條款、個人資
料蒐集、處理及利用告知事項、保險資料使用同意書、保險費自動轉
帳付款約定條款等相關文件。
四、要保人授權合作銀行以定期存款帳戶之月配息撥入活期帳戶進行保險
費扣款。前段之授權方式係指以下列方式之一完成授權者:
(一)與合作銀行直連方式授權,並以一次性密碼(OTP) 、生物辨識、
行動身分識別(Mobile ID) 或金融行動身分識別(金融 Fast-ID
)確認身分後完成授權。
(二)運用台灣票據交換所電子化授權系統(eDDA)完成授權。
五、合作銀行須於一站式之申辦頁面上明確標示定期存款商品和保險商品
之契約存續為各自獨立,如其中一項商品期滿、失效或解除契約,不
影響他項商品效力。
六、合作銀行須全面電話訪問後,始得將要保資料傳送至保險業。
保險業自合作銀行收受要保資料,應確保要保人符合承保資格,完成核保
並於首次保險費扣款後,保險契約始成立生效,保險業應寄發電子保單予
客戶。
如要保人不符承保資格或未成功扣款,保險業應以簡訊或電子郵件等方式
通知要保人保險契約不成立。
合作銀行須於送件予保險業前進行全面電話訪問,以確保要保人之投保意
願及知悉保險契約成立時點,如經確認要保人並未投保者即不予受理。
前項電話訪問,若電話聯繫未成或拒訪者,合作銀行應補寄信件、簡訊或
電子郵件提醒相關投保權益。
第一項電話訪問過程應經要保人同意全程錄音並備份存檔,如要保人為聽
語障人士者,其確認投保意願之方式得以簡訊、電子郵件或足資辨識之方
式替代電話訪問。電話訪問紀錄應包含以下內容:
(一)要保人確認於合作銀行開立定期存款帳戶及網路投保保障型商品。
(二)要保人知悉合作銀行自定期存款帳戶之月配息撥入之活期帳戶進行
保險費扣款。
(三)要保人知悉保險契約將於一個月後成立。
保險業及合作銀行辦理本業務,應於申辦定期存款帳戶與網路投保時,確
保要保人無以下情形發生:
一、非要保人本人於合作銀行開立定期存款帳戶及網路投保。
二、保險費扣款帳戶與定期存款帳戶之月配息撥入之活期帳戶不一致。
保險業及合作銀行辦理本業務,應取得資訊安全管理系統國際標準認證(
ISO27001)、個人資料管理系統(PIMS)之認證,針對所傳輸之個人資料
應建置適當之保護設備或技術,並採取適當之存取管制。
一、保險業及合作銀行應留存相關交易及稽核軌跡,並留存紀錄,相關文
件保存期限至少五年。
二、資料及檔案之傳輸與儲存,應依主管機關要求之資訊安全防護相關規
範辦理。
三、保險業及合作銀行辦理本業務使用之 API,控管機制至少包括以下幾
點:
(一)保險業開發之 API,須進行程式版本控管、功能性驗證、程式源碼
掃描及安全性測試,經主管核准後上線至 APIM 平台。
(二)保險業提供合作銀行使用之 API,須依申請內容於 APIM 平台上進
行設定,限制外部使用來源,避免未經授權者使用此 API。
(三)APIM 軟體及人員之資訊安全防護配套措施:
1.APIM 軟體須定期進行安全性更新。
2.合作銀行須註冊審核通過,始得向保險業提出申請,並經保險業
之資訊與業務權責單位審核資格後,始可使用相關 API。
3.API 開發者與管理者分層負責,開發者僅能在測試環境中進行 A
PI 組裝與測試,正式環境僅能由管理者執行。
(四)強化 API 資訊安全之控管措施:
1.保險業須依財金資訊股份有限公司「開放應用程式介面(Open A
PI)業務安全控管作業規範」之安控要求辦理:
網路傳輸協定使用 HTTPS,正面表列並限制僅接受所需之 HTTPS
,採用 SSL 加密 TLS1.2 (含)以上版本;進行欄位格式檢查
、採取連線限制與逾時中斷等機制。
2.定期針對 API 管理主機弱點掃描與滲透測試,漏洞修補。
3.使用金鑰(API Key) 來進行識別認證。
4.每年定期檢視帳號與 API 授權合理性。
5.證據保全、軌跡留存(Log Management)。
6.即時事件監控。
四、保險公司及合作銀行應監控並建立資通安全事件通報程序,遇事件發
生時,相關單位及人員應依相關通報程序辦理。
保險業應將本自律規範相關作業程序納入內部控制及內部稽核項目,依「
保險業內部控制及稽核制度實施辦法」相關規定辦理。
保險業違反本自律規範經查核屬實者,提報各該公會理(監)事會,處以
新臺幣 5 萬元以上,新臺幣 20 萬元以下之罰款;前述處理情形並應於
1 個月內報主管機關。
保險業辦理本業務,應將本自律規範第三條至第七條所定規範,要求合作
銀行遵守並納入合約內容加強管理,並應明定違反時之處理機制。
本自律規範由中華民國人壽保險商業同業公會與中華民國產物保險商業同
業公會共同訂定,經各該公會理(監)事會決議通過,報主管機關備查後
施行,修正時亦同。