公司修订并发布《数据安全管理办法》（以下简称“”《办法》），明确该政策适用于集团总部及各成员机构，并要求各成员机构在遵循循法律法规、监管规定及集团总部相关管理规定的前提下，结合自身实际，制定本机构的数据安全管理相关制度或实施细则。

      《办法》明确数据的收集、存储、处理、传输、使用、销毁各个环节的安全管理要求。在数据收集方面，采集数据必须合法、正当，不得收集与其提供的产品和服务无关的个人信息，在采集前应向个人信息主体明确告知所收集和使用个人信息的目的、方式和范围，并获得个人信息主体的明示同意。收集个人信息应当限于实现金融业务处理目的的最小范围，不得过度收集个人信息。在数据存储方面，敏感级及以上数据存储应采取数据加密、身份认证、权限控制等技术措施，防止勒索病毒、木马后门等攻击。个人身份鉴别数据不得明文存储、传输和展示。敏感级及以上数据达到使用或者保存期限后，应当采取技术措施及时删除或者销毁，确保数据不可恢复。存储个人信息不应超出收集使用规则中的存储期限，用户注销账号后应及时删除其个人信息。在数据处理方面，涉及个人信息处理的应用程序等系统产品，应提供有效 的更正、删除个人信息及注销个人账号功能，应当在合理时间和代价范围内予以更正、删除或注销账号，不得设置不必要或不合理条件。在公司发布市场的客户端软件中，均提供用户注销的功能，并在产品的隐私协议中明确向用户说明个人数据访问、修改、删除的方法和路径。

       此外，公司要求如需向外部提供个人信息，应当履行向个人告知并取得其同意等相关事项的义务。除履行法律法规等监管要求如国家安全、国防安全、公共安全、公共卫生等法定义务，未经被收集者同意不得向第三方提供个人数据。个人生物识别信息原则上不共享、不对外提供。如因交易需要向第三方提供个人信息，必须遵守“最小必要”原则，并征得个人信息主体同意，并采取措施包括不限于数据加密、匿名化处理、脱敏等。如委托第三方处理个人信息的，应当在合同或者协议条款内明确受托人对个人信息的保护义务、保护措施和期限等，要求受托人未经同意不得转委托他人处理个人信息。

       为预防和减少网络安全事件造成的损失和危害，制定并发布了《数据防泄漏管理办法》《网络安全事件应急预案》，并明确网络安全事件应急子预案清单（SOP）。其中针对信息泄露事件，专门制定了《数据泄露事件应急处置手册》，其中对数据泄露事件的事件防范、事后应对和分级报告等方面进行了具体规定。公司通过管理和技术手段进行数据泄露事件的事前防范，通过开展数据安全相关应急演练，来验证事后应对和处置措施的有效性。

       在预防预警方面，公司建立了网络安全事件预警监测机制。根据网络安全事件等级及威胁的严重性和紧急程度，将网络安全事件预警等级进行分级，并制定相应的预警发布和预警响应流程。在应急响应方面，公司相关部门及机构应及时向监管进行汇报，并通过封锁、缓解、追踪、消除和恢复等手段进行网络安全事件应急处置。在后期处置方面，应急协调办公室应组织相关部门对网络安全事件的起因、性质、影响、损失、责任和经验教训等进行调查和评估。相关方应根据调查和评估意见，认真落实整改工作。

       公司发布《中国太平洋保险（集团）股份有限公司信息科技外包管理办法》，对重要外包的备选服务提供商组织开展尽职调查。尽职调查应包括但不限于：服务提供商的内部控制和管理能力，服务提供商的网络和信息安全保障能力等。对于符合重要外包条件的非驻场外包供应商，重点调查服务提供商是否有管理制度和技术措施保障本公司数据的完整性和保密性等。公司与供应商签订的合同中包含《安全保密协议》，凡是涉及收集用户信息的网络产品或服务，供应商必须遵守相关法律行政法规关于个人信息保护的规定，并向集团征求书面同意。

       此外，公司要求供应商填写《中国太保科技外包信息安全承诺书》，承诺严格遵守中国太保信息安全策略、制度和各项信息安全管理要求，为中国太保提供安全、合规的产品和服务。制定《科技外包信息安全评估表》对重要供应商开展评估,内容包括供应商的数据安全政策建立和执行情况,安全体系认证情况等。

       公司每年聘请第三方外部专业机构开展ISO27001（信息安全管理体系）和ISO29151（个人身份信息保护管理体系）年度认证审核。公司自2010年起取得ISO27001信息安全管理体系认证，自2018年起取得ISO29151个人身份信息保护实践指南认证。两项认证范围覆盖中国太保集团总部及所有子公司，通过认证标志着公司信息安全管理和个人信息保护管理符合国际标准。

       公司将数据安全与隐私保护要求整合到《中国太平洋保险（集团）股份有限公司应用系统信息安全管理办法》中，在产品开发加入数据安全的具体要求，并在项目立项、需求设计分析、测试等各阶段进行安全审核，加强产品端的数据安全。公司每年对发布市场的客户端软件进行外部检测，对其产品的数据安全和隐私保护情况进行检查和认证，确保满足监管要求。中国太保携手上海市信息网络安全管理协会、头部安全厂商等生态合作伙伴共同发起创立“网络安全保险创新联盟”，进一步聚合产业力量，共同应对日趋严峻的网络安全挑战，在网络安全领域深度布局。在实际应用层面，太保科技搭建“网络安全险风控护航平台”，深化产服融合，探索从“产品+保险”到“保险+服务”的网络安全服务模式转变，为客户提供从预防到应对、从技术到理赔的全方位网络安全保障，共同打造数字安全防线。

       公司每年组织网络安全、数据安全各类安全培训，培训内容包括数据安全、数据管理、隐私保护、数据安全分类分级等，培训范围覆盖所有员工。2024年，在全司内开展两次覆盖全员的网络安全意识培训，累计学习人次达 78.4万，测试人数超11万人次。在专业技能领域，不仅组织应用开发安全持证培训、防范社工培训、信息安全专业技能培训等技能培训，还开展了法律监管政策、个人信息保护、网络安全事件应急处理等热点的网络安全技术交流分享会，从而共力推动网络安全工作，助推科技赋能业务高效发展。邀请内外部专家交流分享网络安全技术，并每月向全体员工刊发信息安全意识宣导电子专刊，提升全体员工网络安全防护意识和技能水平。公司每年举办“网络安全宣传周”活动，提升社会公众数据安全意识。公司网络安全宣传周活动以“网络安全为大家，网络安全靠大家——数智赋能，安全相伴”为主题，通过专项课程、知识竞赛、微视频评选、典型案例申报等线上活动，以及主题讲座、案例体验、趣味活动等线下沉浸体验，传统媒介与新平台共同发力，注重针对性、娱乐性和互动感，普及数字中国建设、个人敏感信息保护、人工智能安全等安全知识。