路在何方:保險行業(yè)開展數(shù)據(jù)安全與個人信息保護之分析與建議(一)
作者:梁琦 李偉華 2022-05-09一、法律背景
隨著網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展,我國已跨入信息和互聯(lián)網(wǎng)時代,因此對于數(shù)據(jù)安全和個人信息的保護與合理使用變得更加重要。隨著《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)、《中華人民共和國數(shù)據(jù)安全法》(以下簡稱“《數(shù)據(jù)安全法》”)以及《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“《網(wǎng)絡(luò)安全法》”,《個人信息保護法》、《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》合稱“三法”)的出臺,我國目前已經(jīng)形成以上述三法為核心的數(shù)據(jù)安全和個人信息保護的聯(lián)動體系。
保險行業(yè)企業(yè)作為人們?nèi)粘I钪薪佑|較為頻繁的機構(gòu)之一,其獲取的數(shù)據(jù)和個人信息存在體量大、范圍廣、種類多等特點,更有可能直接關(guān)系到每人的個人隱私和切身利益。因此,保險行業(yè)企業(yè)在數(shù)據(jù)安全和個人信息保護方面更有緊迫性。
本文將結(jié)合保險行業(yè)企業(yè)的業(yè)務(wù)特點,歸納和梳理相關(guān)數(shù)據(jù)和個人信息保護的合規(guī)要點。
二、保險行業(yè)對數(shù)據(jù)需求
保險是在大數(shù)據(jù)原則基礎(chǔ)上發(fā)展起來的業(yè)務(wù),從其誕生那天起,就與數(shù)據(jù)有天然聯(lián)系。保險對數(shù)據(jù)的需求可歸納為:
1. 營銷需求
利用數(shù)據(jù)分析客戶的消費習(xí)慣、購買能力,對其保險需求預(yù)測,開展精準營銷,有效觸達和說服潛在客戶。保險一般作為弱需求的非剛需產(chǎn)品,數(shù)據(jù)是觸達和挖掘潛在客戶的有力武器。
2. 風(fēng)控需求
在設(shè)計保險產(chǎn)品時,各類風(fēng)險數(shù)據(jù)就決定了產(chǎn)品的保障范圍以及合理定價。而在核保和理賠過程中,也有利用數(shù)據(jù)開展風(fēng)險識別和防控的需求,例如:如何識別帶病投保、重復(fù)投保、反欺詐,防范騙保等等。
3. 創(chuàng)新需求
預(yù)測保險產(chǎn)品市場發(fā)展趨勢,推出滿足市場需求的產(chǎn)品。隨著技術(shù)進步及數(shù)據(jù)處理能力的提高,基于精算的保險產(chǎn)品可更為多樣化。起購點低、高頻次、參與靈活的保險產(chǎn)品成為趨勢,這些創(chuàng)新產(chǎn)品的出現(xiàn),都是在一定數(shù)據(jù)體量的基礎(chǔ)上分析發(fā)展而來。
三、保險業(yè)務(wù)合規(guī)風(fēng)險分析
由于保險產(chǎn)品的特殊性,保險行業(yè)區(qū)別于其他行業(yè),它有著獨特的業(yè)務(wù)邏輯與運作模式,從而形成了其特有的業(yè)務(wù)流、資金流以及數(shù)據(jù)流。因此,保險行業(yè)企業(yè)在執(zhí)行《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》以及相關(guān)的法規(guī)與國家標準時,會面臨許多不同于與其他行業(yè)企業(yè)的問題。為了使保險行業(yè)企業(yè)進一步了解三法的相關(guān)細則,同時明確自身企業(yè)所面臨的風(fēng)險,我們結(jié)合自身經(jīng)驗,對保險業(yè)務(wù)典型場景中涉及到的數(shù)據(jù)安全與個人信息保護相關(guān)問題予以歸納總結(jié)。
業(yè)務(wù)場景 | 合規(guī)風(fēng)險要點 | 涉及企業(yè) |
保險營銷 | 保險相關(guān)企業(yè)在開展保險營銷過程中,會通過各種渠道或方式,直接或間接向營銷對象、潛在客戶或現(xiàn)存客戶提供保險資訊、展示企業(yè)形象、推介保險產(chǎn)品等,在此過程中會對數(shù)據(jù)及個人信息進行收集處理,建議針對以下注意事項,檢視相應(yīng)的合規(guī)流程是否充分覆蓋,責(zé)任部門是否明確: 1. 直接銷售 由保險公司直接向客戶開展營銷活動時應(yīng)重點關(guān)注營銷對象以及目標客戶個人信息來源的合法性,保險公司是否能以有效方式履行“告知-同意”的義務(wù)。 2. 中介銷售 保險公司通過保險中介向客戶開展保險營銷活動時應(yīng)注意: a) 保險中介所針對的營銷對象或目標客戶信息來源是否合法合規(guī),是否存在通過多層供應(yīng)商層層提供個人信息等情況,如何綜合判斷可能存在的風(fēng)險隱患并規(guī)避風(fēng)險; b) 保險中介是否依法履行“告知-同意”的義務(wù),告知應(yīng)包含哪些內(nèi)容可確保保險中介向保險公司提供客戶信息行為的合法性。 3. 交叉銷售 為提高銷售效率,保險公司可能會針對基于不同目的或在不同業(yè)務(wù)條線下的現(xiàn)存客戶開展跨渠道或跨業(yè)務(wù)條線的交叉銷售活動。如交叉銷售行為與原先收集處理個人信息的目的、方式或種類不同的,保險公司直接對個人信息進行處理的話可能存在風(fēng)險,考慮在實踐操作中如何避免。 4. 贈險獲客 保險公司通過向個人贈送保險的方式作為獲客手段,為后續(xù)開展進一步營銷活動做準備,應(yīng)注意: a) 贈險客戶的個人信息來源是否合法; b) 與交叉銷售類似,如保險公司贈送保險時收集使用個人信息的目的、方式或種類與后續(xù)開展保險營銷活動的內(nèi)容不符,則保險公司直接處理贈險客戶個人信息將面臨風(fēng)險,應(yīng)如何應(yīng)對; c) 保險公司通過其他渠道獲客,是否也應(yīng)根據(jù)個人信息使用目的、方式或種類是否變更的原則判斷是否需要重新履行相關(guān)義務(wù)。 5. 用戶畫像 保險相關(guān)企業(yè)往往采取用戶畫像的方式篩選購買意向較高的客戶以提高銷售活動的效率。但在進行用戶畫像時,保險相關(guān)企業(yè)應(yīng)注意哪些方面以避免可能存在的風(fēng)險。 6. 保險營銷員增員 保險相關(guān)企業(yè)進行保險營銷員增員時應(yīng)關(guān)注以下事項: a) 增員對象個人信息的來源是否合法,采取哪些措施可降低風(fēng)險; b) 增員對象在被錄用前,企業(yè)使用其個人信息的合理范圍是什么,超出合理使用范圍企業(yè)將面臨的風(fēng)險; c) 在營銷員與保險相關(guān)企業(yè)關(guān)系存續(xù)期間,企業(yè)使用營銷員個人信息的目的、方法和種類如果與建立業(yè)務(wù)關(guān)系時不同的,企業(yè)應(yīng)如何應(yīng)對以符合法律要求; d) 雙方營銷關(guān)系終止后,保險公司應(yīng)如何保存營銷員個人信息,保存期限如何確定。針對可能有違規(guī)追責(zé)、民事糾紛等情況的離職營銷員應(yīng)當如何正確處理。 | l 人壽保險公司 l 財產(chǎn)保險公司 l 保險中介機構(gòu) |
保險核保 | 保險核保泛指保險人在對投保的標的信息全面掌握、核實的基礎(chǔ)上,對可保風(fēng)險進行評判與分類,進而確定是否承保以及承保條件的過程。作為核保評判依據(jù),人身保險會要求投保人如實告知或提供投被保人的健康狀況、既往就診記錄、病例資料或職業(yè)內(nèi)容等信息;財產(chǎn)保險則會要求提供保險標的既往出險情況、實施的安全措施等相關(guān)資料。因此,保險企業(yè)在核保時應(yīng)注意: 1. 收集核保信息 a) 保險公司核保時收集客戶信息的范圍應(yīng)如何確定,過度向客戶索要與保險標的風(fēng)險評估無關(guān)的信息資料存在的風(fēng)險; b) 如何證明所收集的客戶信息與保險核保的關(guān)系; c) 如何解決客戶投保所提交信息中可能存在“重要數(shù)據(jù)”,而保險公司遺漏識別,未依法采取必要保護措施的風(fēng)險。 2. 核保信息保存期限 a) 確認承保并建立保險合同關(guān)系的核保信息以及核保資料保存期限如何確定; b) 對于拒保、經(jīng)紀人詢價或參與保險招投標,保險合同未成立但已經(jīng)收集客戶數(shù)據(jù)和個人信息的情況,保險公司是否可以繼續(xù)保存并使用,保存期限與使用的范圍如何確定。 3. 風(fēng)險數(shù)據(jù) 利用其他同類風(fēng)險保險標的數(shù)據(jù)進行評估及定價的,若其中包含有其他客戶保密信息或個人信息的,保險公司如何處理符合法律法規(guī)的要求。 4. 查勘與體檢 財產(chǎn)保險公司核保聘請外部風(fēng)險查勘機構(gòu)協(xié)助核保人員對保險標的進行風(fēng)險評估,人壽保險公司核保會要求人身保險的投保人、被保險人進行身體檢查,核保人員根據(jù)查勘和體檢的結(jié)果以確定保險的承保條件及保費水平。保險公司對所聘請的風(fēng)險查勘機構(gòu)、體檢機構(gòu)處理數(shù)據(jù)或個人信息未予以約束或開展必要管理可能會存在風(fēng)險。 | l 人壽保險公司 l 財產(chǎn)保險公司 l 保險中介機構(gòu) l 提供核保咨詢服務(wù)的TPA公司 |
共保業(yè)務(wù) | 兩個或兩個以上保險人聯(lián)合承保同一保險業(yè)務(wù)的保險行為,各保險人與投保人共同商訂共保協(xié)議的保險費率、保險期限、保險責(zé)任等,若保險標的發(fā)生損失,各保險人按各自承保的比例分攤損失。共保人之間一般會共享客戶的投保信息,在開展共保業(yè)務(wù)過程中應(yīng)注意: 1. 共同處理者 根據(jù)《個人信息保護法》第二十條:“兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應(yīng)當……”共保業(yè)務(wù)中的共保人之間是否屬于共同處理者?在共保關(guān)系中如何確認各共保人就數(shù)據(jù)或個人信息處理的權(quán)利義務(wù),避免將來可能引發(fā)的糾紛。 2. 共保協(xié)議 開展共保業(yè)務(wù)并且在簽訂共保協(xié)議時應(yīng)注意: a) 是否明確約定客戶數(shù)據(jù)或個人信息的收集方,收集方的權(quán)利義務(wù)有哪些; b) 有無約定發(fā)生數(shù)據(jù)或個人信息泄露時的處置方式,如何確定共保人之間的通知及協(xié)助等義務(wù); c) 發(fā)生數(shù)據(jù)或個人信息泄露引起損害賠償?shù)模脖H酥g如何確定責(zé)任的承擔; d) 是否約定處理客戶投訴以及協(xié)助客戶行使個人信息權(quán)利的主要職責(zé)承擔者,其他各方如何協(xié)助。 | l 人壽保險公司 l 財產(chǎn)保險公司 |
再保業(yè)務(wù) | 再保險指保險人將其承擔的保險業(yè)務(wù),以分保形式部分轉(zhuǎn)移給再保險人的。再保業(yè)務(wù)中,直保人可能會將客戶的數(shù)據(jù)或個人信息與再保人共享,在開展再保業(yè)務(wù)過程中應(yīng)注意: 1. 處理范圍 a) 考慮直保公司向再保公司所提供的數(shù)據(jù)或個人信息范圍,如何確保符合合理合法、直接相關(guān)、最小范圍的原則; b) 考慮再保人超出再保險業(yè)務(wù)范圍處理獲取的個人信息的風(fēng)險,如何約束。 2. 跨境傳輸 向境外再保公司進行分保的,應(yīng)考慮雙方如何協(xié)作履行數(shù)據(jù)及個人信息跨境的相關(guān)義務(wù),包括但不限于告知、取得單獨同意、個人信息保護影響評估、跨境評估、簽訂標準合同等。 3. 客戶服務(wù) 針對客戶投訴或行使個人信息權(quán)利的訴求,直保人與再保人之間如何約定彼此的權(quán)利義務(wù)確保順利實施。 4. 轉(zhuǎn)分保 再保人將所承接的保險風(fēng)險進行轉(zhuǎn)分保的,如需提供個人信息的,是否需要向個人履行“告知-同意”義務(wù),如何有效的執(zhí)行。 | l 人壽保險公司 l 財產(chǎn)保險公司 l 再保險公司 |
保險理賠 | 保險理賠是指在保險標的發(fā)生保險事故而使被保險人財產(chǎn)受到損失或人身生命受到損害時,或保單約定的其它保險事故發(fā)生而需要給付保險金時,保險公司根據(jù)合同約定履行賠償或給付責(zé)任的行為。在處理理賠申請時,保險企業(yè)會向客戶收集或調(diào)查與保險事故相關(guān)的事實情況、證明資料,如就診記錄、損失憑證、公證文書、訴訟裁判文書等。在理賠過程中應(yīng)注意: 1. 外部機構(gòu) 保險公司委托保險公估人或調(diào)查公司等外部機構(gòu)對保險事故開展調(diào)查取證工作的。 a) 保險公司如何對公估或調(diào)查機構(gòu)執(zhí)行審查和監(jiān)督措施,若外部機構(gòu)調(diào)查所獲數(shù)據(jù)或個人信息來源于非法渠道,保險公司將面臨較大風(fēng)險; b) 外部機構(gòu)處理的數(shù)據(jù)及個人信息有無超出約定的處理目的、處理方式; c) 公司是否有措施限制或制止外部機構(gòu)未經(jīng)公司同意轉(zhuǎn)委托; d) 委托調(diào)查事項結(jié)束后,外部機構(gòu)是否可以繼續(xù)存儲調(diào)查時收集到的數(shù)據(jù)或個人信息,保險公司是否有機制監(jiān)督外部機構(gòu)實施數(shù)據(jù)及個人信息的除或匿名化措施。 2. 理賠資料保存期限 a) 保險公司對保險理賠資料的保存期限如何確定; b) 對可能引發(fā)爭議的理賠案件,是否可以延長保存期限,延長多久。 | l 人壽保險公司 l 財產(chǎn)保險公司 l 保險公估機構(gòu)、調(diào)查公司 |
監(jiān)管報告公司治理 | 在保險機構(gòu)履行監(jiān)管規(guī)定的義務(wù)時,比如開展公司治理、遞交監(jiān)管報告等原因,保險機構(gòu)需要收集處理相關(guān)人員的個人信息的,建議注意以下要點: 1. 信息披露 為滿足《保險公司信息披露管理辦法》的要求,保險企業(yè)在公司官網(wǎng)上公開披露董事、監(jiān)事和高級管理人員與法定代表人的有關(guān)個人信息時,保險公司建議考慮是否有必要向相關(guān)人員告知其個人信息公開披露的情況,是否需要獲得其同意。 2. 關(guān)聯(lián)方信息 為滿足《銀行保險機構(gòu)關(guān)聯(lián)交易管理辦法》的要求,保險機構(gòu)應(yīng)收集關(guān)聯(lián)自然人的個人信息,除本機構(gòu)的董事、監(jiān)事和高級管理人員外,還包括自然人股東、實控人、一致行動人、最終受益人等,及其前述人員的近親屬。保險機構(gòu)是否有必要向簽署關(guān)聯(lián)自然人(尤其是近親屬)履行告知義務(wù),如何建立有效可行的流程確保實施。 3. 監(jiān)管報告 保險行業(yè)機構(gòu)為履行監(jiān)管要求,向監(jiān)管部門或其指定的機構(gòu)提供相關(guān)數(shù)據(jù)及個人信息。 a) 向監(jiān)管提供個人信息的,是否要履行“告知-同意”義務(wù),如何適當執(zhí)行; b) 提供數(shù)據(jù)及個人信息的范圍如何界定; c) 傳輸數(shù)據(jù)及個人信息的方法有哪些需要注意的地方,如在微信群中直接回復(fù)是否妥當。 | l 人壽保險公司 l 財產(chǎn)保險公司 l 保險中介機構(gòu) l 再保險公司 |
注:上述保險行業(yè)業(yè)務(wù)場景以及風(fēng)險分析,是基于通常情況下的一般保險行業(yè)業(yè)務(wù)場景,僅供參考。建議保險行業(yè)企業(yè)在實踐或落實法律法規(guī)要求時,綜合考慮各方面的因素加以判斷。
