路在何方:保險行業開展數據安全與個人信息保護之分析與建議(一)
作者:梁琦 李偉華 2022-05-09一、法律背景
隨著網絡信息技術的高速發展,我國已跨入信息和互聯網時代,因此對于數據安全和個人信息的保護與合理使用變得更加重要。隨著《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)、《中華人民共和國數據安全法》(以下簡稱“《數據安全法》”)以及《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”,《個人信息保護法》、《數據安全法》與《網絡安全法》合稱“三法”)的出臺,我國目前已經形成以上述三法為核心的數據安全和個人信息保護的聯動體系。
保險行業企業作為人們日常生活中接觸較為頻繁的機構之一,其獲取的數據和個人信息存在體量大、范圍廣、種類多等特點,更有可能直接關系到每人的個人隱私和切身利益。因此,保險行業企業在數據安全和個人信息保護方面更有緊迫性。
本文將結合保險行業企業的業務特點,歸納和梳理相關數據和個人信息保護的合規要點。
二、保險行業對數據需求
保險是在大數據原則基礎上發展起來的業務,從其誕生那天起,就與數據有天然聯系。保險對數據的需求可歸納為:
1. 營銷需求
利用數據分析客戶的消費習慣、購買能力,對其保險需求預測,開展精準營銷,有效觸達和說服潛在客戶。保險一般作為弱需求的非剛需產品,數據是觸達和挖掘潛在客戶的有力武器。
2. 風控需求
在設計保險產品時,各類風險數據就決定了產品的保障范圍以及合理定價。而在核保和理賠過程中,也有利用數據開展風險識別和防控的需求,例如:如何識別帶病投保、重復投保、反欺詐,防范騙保等等。
3. 創新需求
預測保險產品市場發展趨勢,推出滿足市場需求的產品。隨著技術進步及數據處理能力的提高,基于精算的保險產品可更為多樣化。起購點低、高頻次、參與靈活的保險產品成為趨勢,這些創新產品的出現,都是在一定數據體量的基礎上分析發展而來。
三、保險業務合規風險分析
由于保險產品的特殊性,保險行業區別于其他行業,它有著獨特的業務邏輯與運作模式,從而形成了其特有的業務流、資金流以及數據流。因此,保險行業企業在執行《網絡安全法》、《數據安全法》、《個人信息保護法》以及相關的法規與國家標準時,會面臨許多不同于與其他行業企業的問題。為了使保險行業企業進一步了解三法的相關細則,同時明確自身企業所面臨的風險,我們結合自身經驗,對保險業務典型場景中涉及到的數據安全與個人信息保護相關問題予以歸納總結。
業務場景 | 合規風險要點 | 涉及企業 |
保險營銷 | 保險相關企業在開展保險營銷過程中,會通過各種渠道或方式,直接或間接向營銷對象、潛在客戶或現存客戶提供保險資訊、展示企業形象、推介保險產品等,在此過程中會對數據及個人信息進行收集處理,建議針對以下注意事項,檢視相應的合規流程是否充分覆蓋,責任部門是否明確: 1. 直接銷售 由保險公司直接向客戶開展營銷活動時應重點關注營銷對象以及目標客戶個人信息來源的合法性,保險公司是否能以有效方式履行“告知-同意”的義務。 2. 中介銷售 保險公司通過保險中介向客戶開展保險營銷活動時應注意: a) 保險中介所針對的營銷對象或目標客戶信息來源是否合法合規,是否存在通過多層供應商層層提供個人信息等情況,如何綜合判斷可能存在的風險隱患并規避風險; b) 保險中介是否依法履行“告知-同意”的義務,告知應包含哪些內容可確保保險中介向保險公司提供客戶信息行為的合法性。 3. 交叉銷售 為提高銷售效率,保險公司可能會針對基于不同目的或在不同業務條線下的現存客戶開展跨渠道或跨業務條線的交叉銷售活動。如交叉銷售行為與原先收集處理個人信息的目的、方式或種類不同的,保險公司直接對個人信息進行處理的話可能存在風險,考慮在實踐操作中如何避免。 4. 贈險獲客 保險公司通過向個人贈送保險的方式作為獲客手段,為后續開展進一步營銷活動做準備,應注意: a) 贈險客戶的個人信息來源是否合法; b) 與交叉銷售類似,如保險公司贈送保險時收集使用個人信息的目的、方式或種類與后續開展保險營銷活動的內容不符,則保險公司直接處理贈險客戶個人信息將面臨風險,應如何應對; c) 保險公司通過其他渠道獲客,是否也應根據個人信息使用目的、方式或種類是否變更的原則判斷是否需要重新履行相關義務。 5. 用戶畫像 保險相關企業往往采取用戶畫像的方式篩選購買意向較高的客戶以提高銷售活動的效率。但在進行用戶畫像時,保險相關企業應注意哪些方面以避免可能存在的風險。 6. 保險營銷員增員 保險相關企業進行保險營銷員增員時應關注以下事項: a) 增員對象個人信息的來源是否合法,采取哪些措施可降低風險; b) 增員對象在被錄用前,企業使用其個人信息的合理范圍是什么,超出合理使用范圍企業將面臨的風險; c) 在營銷員與保險相關企業關系存續期間,企業使用營銷員個人信息的目的、方法和種類如果與建立業務關系時不同的,企業應如何應對以符合法律要求; d) 雙方營銷關系終止后,保險公司應如何保存營銷員個人信息,保存期限如何確定。針對可能有違規追責、民事糾紛等情況的離職營銷員應當如何正確處理。 | l 人壽保險公司 l 財產保險公司 l 保險中介機構 |
保險核保 | 保險核保泛指保險人在對投保的標的信息全面掌握、核實的基礎上,對可保風險進行評判與分類,進而確定是否承保以及承保條件的過程。作為核保評判依據,人身保險會要求投保人如實告知或提供投被保人的健康狀況、既往就診記錄、病例資料或職業內容等信息;財產保險則會要求提供保險標的既往出險情況、實施的安全措施等相關資料。因此,保險企業在核保時應注意: 1. 收集核保信息 a) 保險公司核保時收集客戶信息的范圍應如何確定,過度向客戶索要與保險標的風險評估無關的信息資料存在的風險; b) 如何證明所收集的客戶信息與保險核保的關系; c) 如何解決客戶投保所提交信息中可能存在“重要數據”,而保險公司遺漏識別,未依法采取必要保護措施的風險。 2. 核保信息保存期限 a) 確認承保并建立保險合同關系的核保信息以及核保資料保存期限如何確定; b) 對于拒保、經紀人詢價或參與保險招投標,保險合同未成立但已經收集客戶數據和個人信息的情況,保險公司是否可以繼續保存并使用,保存期限與使用的范圍如何確定。 3. 風險數據 利用其他同類風險保險標的數據進行評估及定價的,若其中包含有其他客戶保密信息或個人信息的,保險公司如何處理符合法律法規的要求。 4. 查勘與體檢 財產保險公司核保聘請外部風險查勘機構協助核保人員對保險標的進行風險評估,人壽保險公司核保會要求人身保險的投保人、被保險人進行身體檢查,核保人員根據查勘和體檢的結果以確定保險的承保條件及保費水平。保險公司對所聘請的風險查勘機構、體檢機構處理數據或個人信息未予以約束或開展必要管理可能會存在風險。 | l 人壽保險公司 l 財產保險公司 l 保險中介機構 l 提供核保咨詢服務的TPA公司 |
共保業務 | 兩個或兩個以上保險人聯合承保同一保險業務的保險行為,各保險人與投保人共同商訂共保協議的保險費率、保險期限、保險責任等,若保險標的發生損失,各保險人按各自承保的比例分攤損失。共保人之間一般會共享客戶的投保信息,在開展共保業務過程中應注意: 1. 共同處理者 根據《個人信息保護法》第二十條:“兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當……”共保業務中的共保人之間是否屬于共同處理者?在共保關系中如何確認各共保人就數據或個人信息處理的權利義務,避免將來可能引發的糾紛。 2. 共保協議 開展共保業務并且在簽訂共保協議時應注意: a) 是否明確約定客戶數據或個人信息的收集方,收集方的權利義務有哪些; b) 有無約定發生數據或個人信息泄露時的處置方式,如何確定共保人之間的通知及協助等義務; c) 發生數據或個人信息泄露引起損害賠償的,共保人之間如何確定責任的承擔; d) 是否約定處理客戶投訴以及協助客戶行使個人信息權利的主要職責承擔者,其他各方如何協助。 | l 人壽保險公司 l 財產保險公司 |
再保業務 | 再保險指保險人將其承擔的保險業務,以分保形式部分轉移給再保險人的。再保業務中,直保人可能會將客戶的數據或個人信息與再保人共享,在開展再保業務過程中應注意: 1. 處理范圍 a) 考慮直保公司向再保公司所提供的數據或個人信息范圍,如何確保符合合理合法、直接相關、最小范圍的原則; b) 考慮再保人超出再保險業務范圍處理獲取的個人信息的風險,如何約束。 2. 跨境傳輸 向境外再保公司進行分保的,應考慮雙方如何協作履行數據及個人信息跨境的相關義務,包括但不限于告知、取得單獨同意、個人信息保護影響評估、跨境評估、簽訂標準合同等。 3. 客戶服務 針對客戶投訴或行使個人信息權利的訴求,直保人與再保人之間如何約定彼此的權利義務確保順利實施。 4. 轉分保 再保人將所承接的保險風險進行轉分保的,如需提供個人信息的,是否需要向個人履行“告知-同意”義務,如何有效的執行。 | l 人壽保險公司 l 財產保險公司 l 再保險公司 |
保險理賠 | 保險理賠是指在保險標的發生保險事故而使被保險人財產受到損失或人身生命受到損害時,或保單約定的其它保險事故發生而需要給付保險金時,保險公司根據合同約定履行賠償或給付責任的行為。在處理理賠申請時,保險企業會向客戶收集或調查與保險事故相關的事實情況、證明資料,如就診記錄、損失憑證、公證文書、訴訟裁判文書等。在理賠過程中應注意: 1. 外部機構 保險公司委托保險公估人或調查公司等外部機構對保險事故開展調查取證工作的。 a) 保險公司如何對公估或調查機構執行審查和監督措施,若外部機構調查所獲數據或個人信息來源于非法渠道,保險公司將面臨較大風險; b) 外部機構處理的數據及個人信息有無超出約定的處理目的、處理方式; c) 公司是否有措施限制或制止外部機構未經公司同意轉委托; d) 委托調查事項結束后,外部機構是否可以繼續存儲調查時收集到的數據或個人信息,保險公司是否有機制監督外部機構實施數據及個人信息的除或匿名化措施。 2. 理賠資料保存期限 a) 保險公司對保險理賠資料的保存期限如何確定; b) 對可能引發爭議的理賠案件,是否可以延長保存期限,延長多久。 | l 人壽保險公司 l 財產保險公司 l 保險公估機構、調查公司 |
監管報告公司治理 | 在保險機構履行監管規定的義務時,比如開展公司治理、遞交監管報告等原因,保險機構需要收集處理相關人員的個人信息的,建議注意以下要點: 1. 信息披露 為滿足《保險公司信息披露管理辦法》的要求,保險企業在公司官網上公開披露董事、監事和高級管理人員與法定代表人的有關個人信息時,保險公司建議考慮是否有必要向相關人員告知其個人信息公開披露的情況,是否需要獲得其同意。 2. 關聯方信息 為滿足《銀行保險機構關聯交易管理辦法》的要求,保險機構應收集關聯自然人的個人信息,除本機構的董事、監事和高級管理人員外,還包括自然人股東、實控人、一致行動人、最終受益人等,及其前述人員的近親屬。保險機構是否有必要向簽署關聯自然人(尤其是近親屬)履行告知義務,如何建立有效可行的流程確保實施。 3. 監管報告 保險行業機構為履行監管要求,向監管部門或其指定的機構提供相關數據及個人信息。 a) 向監管提供個人信息的,是否要履行“告知-同意”義務,如何適當執行; b) 提供數據及個人信息的范圍如何界定; c) 傳輸數據及個人信息的方法有哪些需要注意的地方,如在微信群中直接回復是否妥當。 | l 人壽保險公司 l 財產保險公司 l 保險中介機構 l 再保險公司 |
注:上述保險行業業務場景以及風險分析,是基于通常情況下的一般保險行業業務場景,僅供參考。建議保險行業企業在實踐或落實法律法規要求時,綜合考慮各方面的因素加以判斷。
