為保險(xiǎn)企業(yè)深入解讀:銀保監(jiān)會(huì)《關(guān)于開(kāi)展銀行保險(xiǎn)機(jī)構(gòu)侵害個(gè)人信息權(quán)益亂象專項(xiàng)整治工作的通知》
作者:梁琦 李偉華 2022-08-17近日,銀保監(jiān)會(huì)辦公廳向各銀保監(jiān)局、各銀行與保險(xiǎn)機(jī)構(gòu)下發(fā)了《關(guān)于開(kāi)展銀行保險(xiǎn)機(jī)構(gòu)侵害個(gè)人信息權(quán)益亂象專項(xiàng)整治工作的通知》(“《通知》”),拉開(kāi)了銀行保險(xiǎn)行業(yè)全面開(kāi)展《個(gè)人信息保護(hù)法》(“《個(gè)保法》”)履行情況的檢查序幕。那么,就《通知》包含哪些內(nèi)容、我們保險(xiǎn)企業(yè)應(yīng)該如何應(yīng)對(duì)等問(wèn)題,本文將給出深入的解讀與實(shí)操建議,希望給保險(xiǎn)行業(yè)企業(yè)在執(zhí)行時(shí)一定的啟發(fā)和幫助。
一、整治工作要點(diǎn)
該《通知》的主要內(nèi)容有以下幾點(diǎn): 1、整治對(duì)象:涉及保險(xiǎn)行業(yè)的整治對(duì)象為保險(xiǎn)集團(tuán)(控股)公司與保險(xiǎn)公司,包括產(chǎn)壽險(xiǎn)、互聯(lián)網(wǎng)保險(xiǎn)企業(yè),此次未將保險(xiǎn)中介機(jī)構(gòu)與再保險(xiǎn)機(jī)構(gòu)納入整治對(duì)象范圍; 2、個(gè)人信息范圍:此次整治目的明確,突出為切實(shí)維護(hù)消費(fèi)者合法權(quán)益的重點(diǎn),主要針對(duì)消費(fèi)者的個(gè)人信息,不包括保險(xiǎn)企業(yè)的員工或保險(xiǎn)代理人的個(gè)人信息; 3、整治方式:采取與既往監(jiān)管整治活動(dòng)相似的方式,即自查與抽查相結(jié)合; 4、工作時(shí)間:8-9月開(kāi)展自查并整改,9月20日前提交自查整改報(bào)告;9-11月監(jiān)管機(jī)構(gòu)抽查; 5、檢查范圍:基本涵蓋個(gè)人信息處理的生命周期各環(huán)節(jié),并突出保險(xiǎn)行業(yè)的業(yè)務(wù)特點(diǎn)與常見(jiàn)問(wèn)題; 6、長(zhǎng)效機(jī)制:要求建立健全個(gè)人信息保護(hù)制度機(jī)制,完善業(yè)務(wù)規(guī)則和操作流程,全面提升工作水平。
二、整治內(nèi)容解讀
《通知》列舉了在個(gè)人信息處理生命周期的各個(gè)環(huán)節(jié)上,保險(xiǎn)行業(yè)發(fā)現(xiàn)的侵害個(gè)人信息權(quán)益的主要表現(xiàn)形式,此也是本次整治工作的核心內(nèi)容,保險(xiǎn)企業(yè)應(yīng)重點(diǎn)圍繞這些內(nèi)容開(kāi)展自查工作。以下將結(jié)合筆者在實(shí)踐中遇到的個(gè)人信息處理各環(huán)節(jié)中經(jīng)常存在的亂象,對(duì)其進(jìn)行逐一分析,從本質(zhì)上找出保險(xiǎn)企業(yè)可能存在的問(wèn)題,梳理出涉及的法律法規(guī),幫助保險(xiǎn)企業(yè)確立各自的檢查重點(diǎn): (一)個(gè)人信息收集 1、表現(xiàn)形式 (1) 未經(jīng)同意收集個(gè)人信息。 (2) 超出業(yè)務(wù)辦理所必需的范圍收集個(gè)人信息。 (3) 強(qiáng)制要求同意使用信息。 (4) 要求給予不合理的授權(quán)。 (5) 要求概括授權(quán)。 (6) 消費(fèi)者信息審核不嚴(yán)謹(jǐn)。 2、涉及問(wèn)題 (1)處理個(gè)人信息缺少合法基礎(chǔ) 根據(jù)《個(gè)保法》的要求收集處理個(gè)人信息的,應(yīng)具有合法性基礎(chǔ),諸如取得個(gè)人同意,為訂立、履行合同所必需等情形,在需取得同意為處理前提的情況時(shí),企業(yè)未取得個(gè)人同意而直接處理個(gè)人信息違反《個(gè)保法》要求。 (2)取得個(gè)人同意存在瑕疵 《個(gè)保法》規(guī)定,消費(fèi)者所做出的同意應(yīng)在“自愿、明確”前提下,采取“誤導(dǎo)、欺詐、脅迫”等手段取得的消費(fèi)者同意存在瑕疵,如企業(yè)通過(guò)各種強(qiáng)制或不正當(dāng)手段收集處理個(gè)人信息同樣違反《個(gè)保法》的要求。 (3)過(guò)度收集個(gè)人信息 收集與服務(wù)內(nèi)容無(wú)關(guān)的個(gè)人信息,違反了《個(gè)保法》“直接相關(guān)”、“最小范圍”以及“不得過(guò)度收集個(gè)人信息”的原則。 (4)未履行個(gè)人信息處理的告知義務(wù),或告知內(nèi)容含糊不清 保險(xiǎn)企業(yè)收集處理個(gè)人信息前,可以通過(guò)《隱私政策》或《個(gè)人信息保護(hù)政策》等文件向消費(fèi)者履行“告知”義務(wù),消費(fèi)者在“充分知情”的前提下做出的同意方為有效; 而告知內(nèi)容應(yīng)確保“真實(shí)、準(zhǔn)確、完整”,含糊的告知內(nèi)容不符合《個(gè)保法》的相關(guān)要求,容易引起投訴或糾紛。 (5)收集外部數(shù)據(jù),未盡到對(duì)數(shù)據(jù)供應(yīng)商審慎的調(diào)查義務(wù) 對(duì)從外部收集的數(shù)據(jù)或個(gè)人信息應(yīng)采取謹(jǐn)慎的態(tài)度,對(duì)數(shù)據(jù)提供方的資質(zhì)、取得數(shù)據(jù)的授權(quán)范圍進(jìn)行必要的檢查與確認(rèn),如涉及個(gè)人信息的則提供方是否履行相應(yīng)《個(gè)保法》的義務(wù)。 (6)數(shù)據(jù)準(zhǔn)確性欠缺 《個(gè)保法》規(guī)定處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量,避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響。 (二)個(gè)人信息存儲(chǔ)和傳輸 1、表現(xiàn)形式 (1) 電子數(shù)據(jù)存儲(chǔ)管理混亂 (2) 紙質(zhì)材料保存管理混亂。 (3) 通過(guò)不安全渠道傳輸個(gè)人信息。 (4) 因系統(tǒng)或操作原因?qū)е滦畔⑼庑埂?/p> 2、涉及問(wèn)題 (1) 未針對(duì)數(shù)據(jù)及個(gè)人信息進(jìn)行分級(jí)分類 企業(yè)未對(duì)所處理的數(shù)據(jù)及個(gè)人信息進(jìn)行分級(jí)分類管理,或未區(qū)分敏感個(gè)人信息與一般個(gè)人信息,而《數(shù)據(jù)安全法》(“《數(shù)安法》”)與《個(gè)保法》要求企業(yè)對(duì)處理的數(shù)據(jù)與個(gè)人信息進(jìn)行分類分級(jí)的管理,并且針對(duì)敏感個(gè)人信息應(yīng)采取更高的要求,是企業(yè)對(duì)數(shù)據(jù)與個(gè)人信息管理的基本前提。 (2)缺少數(shù)據(jù)全流程安全管理制度 《數(shù)安法》要求企業(yè)建立健全的全流程數(shù)據(jù)安全管理制度(包括數(shù)字化與紙質(zhì)化數(shù)據(jù)),《個(gè)保法》也要求制定內(nèi)部管理制度和操作規(guī)程,企業(yè)在管理數(shù)據(jù)及個(gè)人信息的生命周期過(guò)程中,對(duì)數(shù)據(jù)的下載、存儲(chǔ)、記錄以及傳輸?shù)拳h(huán)節(jié)應(yīng)做出必要的規(guī)定并采取技術(shù)手段予以限制。 (3)對(duì)所處理的個(gè)人信息未采取加密、去標(biāo)識(shí)化等安全技術(shù)措施 《個(gè)保法》要求企業(yè)在處理個(gè)人信息時(shí),應(yīng)采取相應(yīng)的加密、去標(biāo)識(shí)化等措施,避免明文留存,防止個(gè)人信息未經(jīng)授權(quán)的訪問(wèn)以及泄露、篡改、丟失。 (4)未履行教育培訓(xùn)工作,導(dǎo)致企業(yè)員工數(shù)據(jù)安全意識(shí)單薄 《數(shù)安法》與《個(gè)保法》均要求對(duì)企業(yè)開(kāi)展數(shù)據(jù)安全的教育和培訓(xùn)。 (三)個(gè)人信息查詢 1、表現(xiàn)形式 (1)查詢權(quán)限管理混亂。 (2)查詢業(yè)務(wù)操作不規(guī)范。 2、涉及問(wèn)題 (1)未建立數(shù)據(jù)分級(jí)分類機(jī)制以及數(shù)據(jù)全流程安全管理制度 導(dǎo)致無(wú)法針對(duì)不同風(fēng)險(xiǎn)等級(jí)或類別的數(shù)據(jù)采取差異化管控,從而致使無(wú)法對(duì)不同崗位員工接觸數(shù)據(jù)的權(quán)限予以有效管理。 (2)未建立企業(yè)人員系統(tǒng)權(quán)限管理制度或機(jī)制 未識(shí)別出企業(yè)數(shù)據(jù)安全的關(guān)鍵崗位,對(duì)不同部門不同工作崗位所需要合理接觸數(shù)據(jù)或個(gè)人信息的范圍無(wú)明確界定; 未制定適應(yīng)公司情況的員工系統(tǒng)權(quán)限管理制度,用以明確員工系統(tǒng)權(quán)限的申請(qǐng)、修改、作廢等審核流程。 (四)個(gè)人信息使用 1、表現(xiàn)形式 (1)用于不當(dāng)營(yíng)銷。 (2)用于不當(dāng)催收(適用于銀行機(jī)構(gòu))。 (3)擅自辦理業(yè)務(wù)。 (4) 撤回同意后繼續(xù)使用。 2、涉及問(wèn)題 (1)違規(guī)收集消費(fèi)者個(gè)人信息進(jìn)行處理 未適當(dāng)履行《個(gè)保法》“告知-同意”義務(wù),即向消費(fèi)者開(kāi)展?fàn)I銷活動(dòng),甚至冒充消費(fèi)者辦理業(yè)務(wù),違反個(gè)保法規(guī)定,或可能觸犯刑法。 (2)變更個(gè)人信息處理目的、方式、種類時(shí),未重新取得個(gè)人同意 企業(yè)采取“跨渠道銷售”“交叉銷售”等營(yíng)銷方式或通過(guò)贈(zèng)險(xiǎn)、宣傳活動(dòng)等取得消費(fèi)者個(gè)人信息后,未向消費(fèi)者履行明確告知義務(wù)并取得同意就直接開(kāi)展其他保險(xiǎn)的營(yíng)銷活動(dòng),有悖于《個(gè)保法》相關(guān)法律規(guī)定。 (3)消費(fèi)者在《個(gè)保法》下的各項(xiàng)權(quán)利無(wú)法實(shí)現(xiàn) 企業(yè)未建立內(nèi)部機(jī)制與流程,消費(fèi)者在《個(gè)保法》下的各項(xiàng)相關(guān)權(quán)利難以得到實(shí)施; 消費(fèi)者明示拒絕或撤回同意后,保險(xiǎn)企業(yè)根據(jù)《保險(xiǎn)法》或監(jiān)管規(guī)定雖有繼續(xù)保存消費(fèi)者個(gè)人信息的義務(wù),但應(yīng)當(dāng)考慮停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理,尤其應(yīng)停止繼續(xù)對(duì)消費(fèi)者開(kāi)展?fàn)I銷活動(dòng)。 (五)個(gè)人信息提供 1、表現(xiàn)形式 (1)未經(jīng)同意向他人或外部機(jī)構(gòu)提供信息。 (2)違反法律、行政法規(guī)和國(guó)家網(wǎng)信部門規(guī)定,向境外提供個(gè)人信息。 2、涉及問(wèn)題 (1)未識(shí)別或準(zhǔn)確識(shí)別第三方性質(zhì) 保險(xiǎn)企業(yè)無(wú)法判斷企業(yè)的業(yè)務(wù)合作方在《個(gè)保法》下的第三方法律性質(zhì),未針對(duì)性的采取措施及履行法定義務(wù),從而導(dǎo)致個(gè)人信息管理混亂并造成法律風(fēng)險(xiǎn); 上述情況主要體現(xiàn)在:針對(duì)獨(dú)立處理者,個(gè)人信息處理者(個(gè)人信息提供方)未履行“告知-同意”義務(wù);針對(duì)委托處理者,未根據(jù)《個(gè)保法》要求履行相關(guān)監(jiān)督管理、刪除或返還等義務(wù)。 (2)未履行個(gè)人信息出境合法程序 個(gè)人信息出境前,應(yīng)履行安全評(píng)估、認(rèn)證以及簽訂標(biāo)準(zhǔn)合同等合法程序; 符合《數(shù)據(jù)出境安全評(píng)估辦法》中申報(bào)網(wǎng)信辦安全評(píng)估的企業(yè),應(yīng)盡快開(kāi)展申報(bào)安全評(píng)估的相關(guān)準(zhǔn)備工作; 向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供境內(nèi)數(shù)據(jù)前,應(yīng)先獲得國(guó)家主管機(jī)關(guān)批準(zhǔn); 銀保監(jiān)會(huì)規(guī)定,業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)應(yīng)存放在中國(guó)境內(nèi),具有獨(dú)立的數(shù)據(jù)存儲(chǔ)設(shè)備以及相應(yīng)的安全防護(hù)和異地備份措施。 (六)個(gè)人信息刪除 1、表現(xiàn)形式 (1)未明確個(gè)人信息刪除要求。 (2)未及時(shí)刪除個(gè)人信息。 2、涉及問(wèn)題 (1)不掌握個(gè)人信息的保存期限 企業(yè)應(yīng)在不同業(yè)務(wù)場(chǎng)景下,根據(jù)相適應(yīng)的業(yè)務(wù)目的與法律法規(guī)監(jiān)管規(guī)定,確定個(gè)人信息需保存的最短合理期限; 保單中的個(gè)人信息的保存期限,可參考《保險(xiǎn)法》相關(guān)規(guī)定;在其他業(yè)務(wù)場(chǎng)景下收集的個(gè)人信息,應(yīng)根據(jù)法律法規(guī)及監(jiān)管規(guī)定、業(yè)務(wù)特點(diǎn)、目的是否實(shí)現(xiàn)等因素,綜合考慮保存的最短合理時(shí)間。 (2)企業(yè)無(wú)正當(dāng)理由繼續(xù)保存消費(fèi)者個(gè)人信息 如因拒保等原因,最終未訂立保險(xiǎn)合同的,則企業(yè)應(yīng)及時(shí)刪除、銷毀消費(fèi)者的個(gè)人信息。 (3)企業(yè)缺少有效的個(gè)人信息刪除、銷毀的制度或機(jī)制 企業(yè)無(wú)數(shù)據(jù)全流程安全管理制度,導(dǎo)致無(wú)有效的個(gè)人信息刪除、銷毀程序與方式; 保險(xiǎn)企業(yè)對(duì)個(gè)人保險(xiǎn)代理人處理保管消費(fèi)者個(gè)人信息,采取有效管理措施。 (七)第三方合作 1、表現(xiàn)形式 (1)與第三方合作機(jī)構(gòu)合作不審慎。 (2)違反規(guī)定向第三方合作機(jī)構(gòu)提供個(gè)人信息。 2、涉及問(wèn)題 (1)未識(shí)別或準(zhǔn)確識(shí)別第三方合作機(jī)構(gòu)法律性質(zhì) 保險(xiǎn)企業(yè)未準(zhǔn)確判斷業(yè)務(wù)合作方(有個(gè)人信息轉(zhuǎn)移),在《個(gè)保法》下的法律性質(zhì),導(dǎo)致無(wú)法有針對(duì)性的采取措施并履行義務(wù)。 (2)缺少對(duì)第三方合作機(jī)構(gòu)的有效管控 保險(xiǎn)企業(yè)對(duì)第三方處理個(gè)人信息的管控不足導(dǎo)致風(fēng)險(xiǎn),未履行《個(gè)保法》要求的相應(yīng)義務(wù),如在委托處理個(gè)人信息時(shí)的監(jiān)督義務(wù)。 (3)提供的個(gè)人信息應(yīng)與第三方合作的目的與內(nèi)容不匹配 向第三方提供的個(gè)人信息與業(yè)務(wù)目的與內(nèi)容不匹配,導(dǎo)致未做到《個(gè)保法》所所所要求的“實(shí)現(xiàn)處理目的的最小范圍”。 (4)未采取加密、去標(biāo)識(shí)化等技術(shù)手段 與第三方數(shù)據(jù)傳輸?shù)姆绞脚c渠道,未達(dá)到有效保護(hù)數(shù)據(jù)的安全水平。
三、自查與整改建議
面對(duì)上述較為繁重的檢查任務(wù),保險(xiǎn)企業(yè)如何開(kāi)展自查與整改工作,建議從以下幾個(gè)方面展開(kāi):
(一)梳理排摸 1、企業(yè)自身梳理 梳理企業(yè)收集個(gè)人信息的業(yè)務(wù)場(chǎng)景及對(duì)應(yīng)的處理目的、方式、敏感程度、個(gè)人信息種類及數(shù)據(jù)體量等基本情況,尤其對(duì)企業(yè)的線上線下業(yè)務(wù)所收集個(gè)人信息的合法性、正當(dāng)性、合理性予以審核; 在各個(gè)業(yè)務(wù)場(chǎng)景下,明確收集個(gè)人信息活動(dòng)所適用的個(gè)人信息處理合法基礎(chǔ),并明確在各業(yè)務(wù)場(chǎng)景下收集個(gè)人信息的合理范圍; 2、第三方合作梳理 梳理企業(yè)有個(gè)人信息轉(zhuǎn)移業(yè)務(wù)的合作方,以及所涉?zhèn)€人信息的種類、數(shù)量、敏感程度等情況,并根據(jù)服務(wù)內(nèi)容、法律關(guān)系、義務(wù)履行可能性以及后期風(fēng)險(xiǎn)程度,綜合判斷第三方的法律性質(zhì)與類型; 梳理第三方合作所需的“最小范圍”的個(gè)人信息; 3、個(gè)人信息出境 排摸保險(xiǎn)企業(yè)個(gè)人信息出境的情況,包括個(gè)人數(shù)據(jù)的處理數(shù)量、個(gè)人信息出境數(shù)量以及系統(tǒng)權(quán)限分配等情況,充分了解本企業(yè)個(gè)人信息出境的目的與合法必要性,按照最新監(jiān)管要求,執(zhí)行相關(guān)個(gè)人信息出境的合法程序。 (二)建章立制 1、制定適合公司實(shí)際情況與業(yè)務(wù)模式的《隱私政策》或《個(gè)人信息保護(hù)政策》,履行告知義務(wù); 2、對(duì)所處理的數(shù)據(jù)及個(gè)人信息進(jìn)行數(shù)據(jù)及個(gè)人信息分級(jí)分類工作,并制定相應(yīng)制度與機(jī)制; 3、針對(duì)數(shù)據(jù)生命周期中各個(gè)環(huán)節(jié),制定數(shù)據(jù)全流程安全管理制度; 4、企業(yè)各部門間配合建立個(gè)人信息主體行權(quán)方式與流程,確保個(gè)人順利行使《個(gè)保法》所規(guī)定的個(gè)人權(quán)利; 5、建立一套關(guān)于系統(tǒng)權(quán)限授予、變更、撤銷等管理制度與機(jī)制; 6、建立公司收集或采購(gòu)?fù)獠繑?shù)據(jù)的評(píng)審機(jī)制與流程,對(duì)數(shù)據(jù)提供者的資質(zhì)與數(shù)據(jù)使用范圍進(jìn)行必要的審核; 7、建立健全對(duì)第三方數(shù)據(jù)與個(gè)人信息管理的制度與機(jī)制,以及對(duì)應(yīng)的合作協(xié)議條款; 8、建立個(gè)人信息出境的內(nèi)部審核流程與機(jī)制。 (三)落地執(zhí)行 1、管理層面 識(shí)別企業(yè)中處理數(shù)據(jù)與個(gè)人信息的關(guān)鍵性崗位,并通過(guò)簽署保密協(xié)議等形式對(duì)其工作中的數(shù)據(jù)處理行為予以有效管理; 對(duì)企業(yè)人員(包括內(nèi)部與外部人員)設(shè)置合理且與其工作內(nèi)容相適應(yīng)系統(tǒng)權(quán)限; 積極開(kāi)展數(shù)據(jù)安全與個(gè)人信息保護(hù)宣傳與培訓(xùn)工作,建立與培養(yǎng)員工數(shù)據(jù)安全意識(shí)。 2、技術(shù)層面 通過(guò)技術(shù)手段,對(duì)所處理的個(gè)人信息,尤其是敏感個(gè)人信息采取加密、去標(biāo)識(shí)化等安全技術(shù)措施; 針對(duì)不同等級(jí)的數(shù)據(jù)或個(gè)人信息,采取相適應(yīng)的技術(shù)管控手段,防止企業(yè)人員隨意下載、存儲(chǔ)或?yàn)E用; 技術(shù)上,對(duì)企業(yè)所處理的個(gè)人信息,尤其是敏感個(gè)人信息采取加密、去標(biāo)識(shí)化等安全技術(shù)措施,避免明文展示; 3、 業(yè)務(wù)層面 針對(duì)不同業(yè)務(wù)場(chǎng)景以及個(gè)人信息處理合法基礎(chǔ),采取適當(dāng)?shù)拇胧┞男小案嬷?同意”義務(wù),如線上線下業(yè)務(wù)如何分別有效進(jìn)行告知及獲取消費(fèi)者同意; 對(duì)現(xiàn)有客戶,如改變個(gè)人信息處理的目的、方式、種類的,應(yīng)重新履行“告知-同意”義務(wù); 進(jìn)一步加強(qiáng)電話銷售等營(yíng)銷活動(dòng)的內(nèi)部管控,結(jié)合《個(gè)保法》各項(xiàng)要求避免擾民情況發(fā)生。
四、結(jié)語(yǔ)
個(gè)人信息作為保險(xiǎn)業(yè)務(wù)的重要因素,保險(xiǎn)企業(yè)應(yīng)予以高度重視。而在短短的一個(gè)多月內(nèi)需要完成銀保監(jiān)會(huì)要求的全部自查和整改工作,也面臨著非常大的挑戰(zhàn)。建議保險(xiǎn)企業(yè)通過(guò)制定長(zhǎng)中短期的規(guī)劃與戰(zhàn)略,逐步實(shí)施及提高企業(yè)對(duì)數(shù)據(jù)以及個(gè)人信息全生命周期的管理水平,不斷提升企業(yè)數(shù)據(jù)安全及業(yè)務(wù)質(zhì)量;同時(shí)可以酌情聘請(qǐng)外部機(jī)構(gòu),比如既掌握法律技能又熟悉保險(xiǎn)業(yè)務(wù)的律師事務(wù)所、咨詢公司等,協(xié)助保險(xiǎn)企業(yè)開(kāi)展自查與整改,通過(guò)內(nèi)外部資源協(xié)力完成此次專項(xiàng)檢查。
延伸閱讀: 研究|路在何方:保險(xiǎn)行業(yè)開(kāi)展數(shù)據(jù)安全與個(gè)人信息保護(hù)之分析與建議(一) 研究|路在何方:保險(xiǎn)行業(yè)開(kāi)展數(shù)據(jù)安全與個(gè)人信息保護(hù)之分析與建議(二)
