保險行業敏感個人信息的識別方法與合規實踐:《網絡安全標準實踐指南——敏感個人信息識別指南(征求意見稿)》解讀
作者:李偉華 余佳薇 2024-08-15一、敏感個人信息的定義
《個人信息保護法》作為個人信息保護領域的基石,對敏感個人信息進行了明確定義:“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。”此前對于敏感個人信息的具體識別標準主要參考《信息安全技術個人信息安全規范(GB/T35273-2020)》(以下簡稱“《個人信息安全規范》”),但該標準對敏感個人信息的界定并不十分周延,不能完全解決實務中存在的具體情況界定的難題。
2024年6月11日,全國網絡安全標準化技術委員會發布了《網絡安全標準實踐指南——敏感個人信息識別指南(征求意見稿)》(以下簡稱“《征求意見稿》”),為敏感個人信息的識別提供了新的抓手。
《征求意見稿》不僅詳細闡述了敏感個人信息的識別技巧,還列舉了常見的敏感個人信息類別及其范例,旨在幫助各類組織明確敏感個人信息的涵蓋范圍,為敏感個人信息的處理、出境及保護工作提供有力的參考依據。
還需辨別的是,除了《個人信息保護法》中的敏感個人信息這一概念外,《數據安全法》及相關標準中,還有核心數據、重要數據、一般數據這一組概念。那么敏感個人信息與《數據安全法》中的三個概念是否存在一定的對應關系?答案是:單獨的一條“敏感個人信息”一定屬于“一般數據”。這是因為《數據安全法》中的數據,是指任何以電子或者其他方式對信息的記錄,其范圍涵蓋了個人信息及許多涉及國家重大利益的非個人信息。與后者相比,只對個人權益產生影響的數據,哪怕是個人敏感信息,從大局來看,影響也是較為微小的,因此只能被分為一般數據。但在特殊情況下,大量個人敏感信息匯聚或融合后成為整體的數據,若對國家安全、經濟運行、社會秩序、公共利益等產生嚴重危害,則可能被認定為重要數據或核心數據。
二、《征求意見稿》中敏感個人信息的分類及列舉
相較于《個人信息安全規范》與《個人信息保護法》對于敏感個人信息分類的錯位,《征求意見稿》依據《個人信息保護法》第二十八條調整了敏感個人信息的定義,并在列舉類別上保持一致,確保了法律法規之間的連貫性和互補性,也便于在實際操作中快速識別和處理敏感個人信息。
對保險行業而言,醫療健康信息、金融賬戶信息、不滿十四周歲未成年人的個人信息這幾類敏感個人信息,是投保與承保的過程中最有可能涉及到的。
醫療健康信息方面,在投保健康保險或重大疾病保險時,保險公司通常需要了解投保人的既往病史、體檢報告、醫療診斷記錄等信息,以便保險公司評估其健康狀況和承保風險。金融賬戶信息往往在保險保費支付和理賠過程中有所涉及。例如,某客戶在申請人壽保險的理賠時,需要向保險公司提供其銀行賬戶以便接收保險金支付。不滿十四周歲未成年人的個人信息則更為常見。家長為其未成年子女購買保險或以未成年子女為受益人時,需提供孩子的姓名、出生日期、身份證號碼等信息。
以上信息一旦遭到泄露,都可能給信息主體帶來嚴重危害。如隱私權受到侵犯、增加賬戶資金的風險、威脅到未成年人的人身安全等。因此,保險公司應當尤其注意這些敏感個人信息的處理規則,具體合規實踐可參考本文第四部分。
三、敏感個人信息識別判定依據
《個人信息安全規范》中,敏感個人信息的識別判定依據為“泄露”“非法提供”“濫用”三個角度,具體如下:
這三個判定角度,實際上都集中于一個核心標準:若該個人信息的使用違背主體意愿或超越了授權,將會給主體帶來重大風險,則該信息屬于個人敏感信息。這種判定標準,雖然契合了對“敏感”的一般理解,但依然十分籠統且模糊,對關鍵概念“重大風險”并沒有給出定義,因此在實踐中很難直接使用。
《征求意見稿》則將識別判定依據調整為以下三個維度:侵權后果角度的敏感個人信息定義、附錄舉例以及推斷出的信息屬性、多項一般個人信息匯聚融合后的整體屬性。
1 判定標準一
第一個判定標準,將重點放在個人信息遭到泄露或者非法使用的后果上,若導致自然人人格尊嚴、人身安全、財產安全受損,則應識別為敏感個人信息。而人格尊嚴、人身安全、財產安全是非常典型的侵權行為的客體,完全可以參考《民法典》侵權責任編、人格權編進行理解。這樣,即可保證這一判定標準的準確性。
例如,《征求意見稿》在這一定義的注釋中寫明:
維護個人的人格尊嚴包括維護生命權、身體權、健康權、姓名權、名稱權、肖像權、名譽權、榮譽權、隱私權以及其他人格權益。
這正是《民法典》第990條對人格權的定義。
此外,《征求意見稿》特意列舉了在個人信息領域侵害人格尊嚴、人身安全、財產安全的情形,以便理解:
-容易導致自然人人格尊嚴受到侵害的情形可能包括“人肉搜索”、非法侵入他人網絡賬戶、販賣個人信息、電信詐騙、損害個人名譽、歧視性差別待遇等。個人信息主體可能會因特定身份、宗教信仰、性取向、特定疾病和健康狀態等信息泄露遭到歧視性待遇。
-泄露、非法使用個人的行蹤軌跡信息,可能會造成個人信息主體的人身安全受到損害。
-泄露、非法使用金融賬戶信息,可能會造成個人信息主體的財產損失。
2 判定標準二
第二個判定標準,則使用了列舉的方法,與第一個概念性的判定標準相結合使用,基本可以完成常用場景下的敏感個人信息判定。
《個人信息安全規范》中也有敏感個人信息的列舉,與之相比,《征求意見稿》的列舉在細化程度上更進一步,也解決了實務中的一些爭議熱點,例如:
l 增加了指向具體國家標準的注釋;
l 生物識別信息中將“面部識別特征”改為了“人臉信息”即人臉識別數據;
l 此前列入其他信息類別的“宗教信仰”單獨列出并增加“宗教組織中的職位”“參加的宗教活動”“特殊宗教習俗”等具體情況;
l 在“特定身份信息”的識別上,關注點從個人身份證件轉移至“特定身份”,并明確了“身份證照片”屬于其他敏感個人信息,解決了實務中對于單一的身份證號碼或者身份證照片的判定問題;
l 醫療健康信息細分為 “與個人的身體或心理的傷害、疾病、殘疾、疾病風險或隱私有關的健康狀況信息”“在疾病預防、診斷、治療、護理、康復等醫療服務過程中收集和產生的個人信息” 兩類,并聚焦于“醫療”這一前綴,排除了個人疾病和醫療就診無關基本體質信息;
l 金融賬戶信息相較“個人財產信息”更為明確;
l 行蹤軌跡信息單獨列出;
l 其他敏感個人信息中明確定義了精準定位信息和犯罪記錄等。
3 判定標準三
第三個判定標準,則是對多項一般個人信息匯聚或融合后的整體的判定,若這個整體符合第一個判定標準,則該整體可以被認定為敏感個人信息。
整體認定的判斷方法,不僅適用于敏感個人信息,在個人信息的判定上同樣適用。以保險行業為例,單獨的健康信息因為無法識別到具體個人,顯然不屬于個人信息,但若結合投保人姓名、身份證號等,這一整體的信息則屬于個人信息,確切地說,屬于敏感個人信息。保險公司在承保時,必然會整體信息一并獲取,因此,必須遵守《個人信息保護法》的相關規定。
四、保險行業敏感個人信息的分類及識別
在深入探討保險行業的運作機制與數據生態后,本文將聚焦于保險行業敏感個人信息的識別方法與合規實踐。這不僅關乎保險企業的合法經營,更直接影響到保險客戶的個人信息安全與保險行業的可持續發展。因此,準確、全面地識別并妥善管理敏感個人信息,對于保險公司而言,其重要性不言而喻。
盡管識別敏感個人信息的重要性不言而喻,但在保險公司的日常運營中,這一任務卻面臨著諸多挑戰:
1. 信息種類繁多:保險業務涉及客戶信息的方方面面,包括但不限于身份信息、健康狀況、財務狀況、家庭關系等,這些信息在不同場景下可能具有不同的敏感度,增加了識別的難度。
2. 動態變化性:隨著保險產品的不斷創新和服務模式的演變,敏感個人信息的范圍也在不斷變化。保險公司需要持續跟蹤相關法律法規的更新,及時調整識別標準,確保合規性。
3. 技術挑戰:在大數據時代,海量數據的處理和分析對技術提出了更高要求。保險公司可能需要借助先進的技術手段,如人工智能、大數據分析等,提高敏感個人信息的識別效率和準確性,同時確保數據安全。
4. 人為因素:員工對敏感個人信息保護的意識和執行力也是影響識別效果的重要因素。部分員工可能因疏忽或缺乏相關知識而未能正確識別和處理敏感信息,增加了合規風險。
綜上所述,保險行業在識別敏感個人信息方面既面臨重要機遇,也需應對諸多挑戰。通過加強法律法規學習、提升技術水平、完善內部管理制度以及加強員工培訓等措施,保險公司可以更加有效地識別并管理敏感個人信息,為行業的健康發展奠定堅實基礎。
根據以上的分析,本文對保險行業的敏感個人信息也作了列舉。按保險種類分類列舉了可能涉及的敏感個人信息,并列出普遍可能涉及的敏感個人信息,以供保險公司相關從業人員參考。
除此以外,投保人辦理保險業務時,保險公司普遍可能收集的敏感個人信息包括:身份證號、身份證照片、職業身份信息、住址信息、個人收入明細、護照號碼、駕駛證信息、戶口信息、聲紋、人臉、銀行賬號、支付信息,以及不滿十四周歲未成年人的個人信息等。
在保險合同成立以后,合同中的相關信息在一定條件下也可能符合敏感個人信息的特征,包括:保單號、保險金額、理賠金額、保險變更信息等。這些信息雖然單獨來看并不能指向具體個人,但如果輔以其他背景信息或前提,如與保險公司的信息管理系統連接的情況下,則能夠定位到具體個人,同時,泄露或者非法使用時將會損害個人的財產安全,此時也有較大可能被認定為敏感個人信息。
建議保險公司參照以上識別方法及分類列舉,制定公司內部識別標準和流程,建立信息分類和標簽體系,對收集的信息進行分類管理。對于識別為敏感個人信息的信息合規處理方法,可參考本文下述部分。
注:本部分內容并非完全列舉,具有局限性,且為本文作者個人觀點,僅供保險行業從業人員參考。具體識別與判定,需以監管機構的意見為準。
五、保險公司敏感個人信息處理合規實踐
所謂個人信息的處理,是指個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。《個人信息保護法》第二章第二節專門規定了敏感個人信息的處理規則,本文將從該處理規則入手,結合保險公司可能涉及的個人信息處理方式,總結處理敏感個人信息必須遵守的合規要點。
1、處理敏感個人信息應當取得個人的單獨同意。
所謂單獨同意,意味著不能采取概括同意、授權捆綁等方式,且應當是明示同意。保險公司不僅應當就收集敏感個人信息取得投保人的單獨同意,還應當要求投保人取得被保險人、受益人等其他主體的單獨同意。
此外,保險公司可能將收集到的信息提供給第三方,例如再保險人、中國銀保信、增值服務供應商等。在這種情況下,不論個人信息是否被判定為敏感,都應當將第三方的聯系方式、處理目的、處理方式和個人信息的種類等列出,并取得信息主體的單獨同意。
為了避免風險,保險公司可通過讓投保人簽署確認書的方式,確認以上內容已經取得單獨同意,尤其是投保人并非信息主體的情況下。
需注意的是,若將敏感個人信息委托給第三方處理(例如將保單打印、系統開發、公估等外包給第三方公司),而非提供或共享,是否需要取得單獨同意?《個人信息保護法》規定,對于一般的個人信息,這種情況不僅無需獲得信息主體的同意,甚至無需告知,敏感個人信息是否同樣如此?本文認為,由于委托處理情況下,個人信息的控制權并未實質發生轉移,屬于保險公司處理個人信息的一種特別的方式,因此,亦無需“同意”這一步驟。至于是否需要告知,本文認為,只需要告知存在委托處理這一處理方式即可,具體處理方則無需告知。
2、處理敏感個人信息應當告知必要性以及對個人權益的影響。
在保險行業,多數敏感個人信息在整個投保至理賠的過程中,都具有必要性,《個人信息保護法》明確,處理敏感個人信息需要“具有特定的目的和充分的必要性”,保險公司在告知書時,可以從處理的目的出發對必要性進行告知,例如可采取如下表述:
“基于保險風險評估、數據風控、核保審核、理賠調查、再保等服務及風險核實的必要,我們可能會通過......的方式處理您的敏感個人信息,不會對您的個人權益造成非法侵害。”
“收集的敏感個人信息的目的是為了與您訂立保險合同、向您更加安全、便捷、高效地提供前述所涉全部保險服務,并且我們對您敏感個人信息的處理僅限于前述的特定目的。如您拒絕前述敏感個人信息的提供,將會影響我們向您提供特定業務功能或者服務。”
3、保險公司應當事前進行敏感個人信息保護影響評估,并對處理情況進行記錄。
個人信息保護影響評估,即Privacy Impact Assessment(簡稱為PIA),核心任務是識別、應對并持續跟蹤在處理敏感個人信息期間可能對信息主體合法權益造成的不利影響。
評估的內容應當按照《個人信息保護法》第五十六條規定的內容展開,需充分評估個人信息的處理目的、處理方式等是否合法、正當、必要;對個人權益的影響及安全風險;所采取的保護措施是否合法、有效并與風險程度相適應。此外,保險機構對個人信息保護影響評估和處理情況記錄至少保存三年。
具體的評估實施流程,則可以參照國家標準《信息安全技術個人信息安全影響評估指南(GB∕T 39335-2020)》執行。
結語
本文詳細探討了敏感個人信息的定義、分類及其在保險行業中的識別方法與合規實踐。通過分析《個人信息保護法》《信息安全技術個人信息安全規范(GB/T35273-2020)》和《網絡安全標準實踐指南——敏感個人信息識別指南(征求意見稿)》等法規和標準,本文為保險公司在實際操作中提供了具體的參考依據。同時,結合保險行業的特點,本文提出了相應的敏感個人信息處理合規措施。
需要注意的是,敏感個人信息的相關規定還在不斷細化和明確中,本文僅供參考和討論。對于保險行業中敏感個人信息的具體識別和判定,有待監管機構進一步確認。保險公司應當持續關注相關法律法規的變化,及時調整內部識別標準和合規措施,以確保在個人信息處理方面的合法合規性,保障客戶的權益。
感謝實習生張怡雯對本文作出的貢獻。
