保險(xiǎn)業(yè)數(shù)據(jù)安全與《個(gè)人信息保護(hù)法》合規(guī)要點(diǎn)解析

李偉華 錦天城律師事務(wù)所

一、前言

隨著網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展，我國已進(jìn)入信息時(shí)代和網(wǎng)絡(luò)時(shí)代，數(shù)據(jù)和個(gè)人信息的合理使用與保護(hù)變得更加重要。隨著《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）以及《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）等相關(guān)法律法規(guī)的出臺(tái)，我國目前已形成以上述三法為核心的數(shù)據(jù)安全和個(gè)人信息保護(hù)的聯(lián)動(dòng)體系。保險(xiǎn)行業(yè)所經(jīng)營的保險(xiǎn)業(yè)務(wù)是人們?nèi)粘Ｉ钪薪佑|較為頻繁的金融產(chǎn)品之一，保險(xiǎn)行業(yè)企業(yè)獲取的數(shù)據(jù)和個(gè)人信息存在體量大、范圍廣、種類多等特點(diǎn)，更有可能直接關(guān)系到每個(gè)人的個(gè)人隱私和切身利益。因此，保險(xiǎn)公司在數(shù)據(jù)安全和個(gè)人信息保護(hù)方面面臨著多種風(fēng)險(xiǎn)，對此展開研究有其必要性和緊迫性。

隨著保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的深入，特別是常態(tài)化疫情防控形勢下，“零接觸”的全面線上金融業(yè)務(wù)越來越廣泛，數(shù)據(jù)泄露的風(fēng)險(xiǎn)敞口也在增加。相比傳統(tǒng)的封閉式架構(gòu)，基于移動(dòng)互聯(lián)網(wǎng)的線上金融采取開放式架構(gòu)，更易成為攻擊目標(biāo)。技術(shù)促進(jìn)業(yè)務(wù)創(chuàng)新，但也有兩面性，例如，云平臺(tái)數(shù)據(jù)匯集使單體風(fēng)險(xiǎn)演化為系統(tǒng)風(fēng)險(xiǎn)、大數(shù)據(jù)時(shí)代的個(gè)人隱私數(shù)據(jù)易被濫用等，這些都需要重點(diǎn)關(guān)注。另外，保險(xiǎn)的未來業(yè)務(wù)場景與外部場景環(huán)環(huán)相扣，其中個(gè)人金融信息保護(hù)成為發(fā)展的防線和底線。近年來，金融機(jī)構(gòu)成為黑客主要攻擊目標(biāo)，攻擊者從炫耀技術(shù)到詐騙勒索，目的不一，防范攻擊的復(fù)雜嚴(yán)峻形勢可見一斑。

與此同時(shí)，在進(jìn)入數(shù)字化時(shí)代之后，保險(xiǎn)機(jī)構(gòu)的競爭力在于能夠充分發(fā)揮數(shù)據(jù)要素的效用，依托人工智能等技術(shù)了解客戶、觸達(dá)客戶并獲得其信息。依托數(shù)據(jù)要素經(jīng)營的未來業(yè)務(wù)發(fā)展，必須合法合規(guī)整合多方、海量、高維、異構(gòu)的數(shù)據(jù)，并采用數(shù)字化的運(yùn)營模式，才能及時(shí)了解經(jīng)營管理狀態(tài)，降低經(jīng)濟(jì)環(huán)境不確定性、市場與周期波動(dòng)、客戶需求變化帶來的風(fēng)險(xiǎn)。數(shù)字化運(yùn)營的內(nèi)生需要必須加大數(shù)據(jù)的集中程度，同時(shí)也將帶來更大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。當(dāng)前很多金融機(jī)構(gòu)正在全力推進(jìn)數(shù)據(jù)中臺(tái)、數(shù)據(jù)湖建設(shè)，但是傳統(tǒng)的授權(quán)模式、復(fù)雜的交換渠道也需要配套做徹底的改變，需要技術(shù)、思維與管理齊頭并進(jìn)，才能化解與之相伴相生的個(gè)人金融信息數(shù)據(jù)集中泄露風(fēng)險(xiǎn)。

筆者認(rèn)為，從2018 年歐盟《通用數(shù)據(jù)保護(hù)條款》（General Data Protection Regulation，簡稱GDPR），到我國《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》，包括《個(gè)人信息安全規(guī)范》（《信息安全技術(shù)個(gè)人信息安全規(guī)范》GB/T 35273-2020，2020年10月1日實(shí)施）和《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》JR/T 0171-2020，2020年2月13日實(shí)施）等國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)相繼出臺(tái)，全球個(gè)人金融信息安全保護(hù)的司法與監(jiān)管持續(xù)完善，并不斷趨嚴(yán)。根據(jù)新的司法與監(jiān)管要求，數(shù)據(jù)權(quán)益代表了數(shù)據(jù)的權(quán)利和利益，貫穿在數(shù)據(jù)流轉(zhuǎn)的整個(gè)生命周期，即使個(gè)人信息被授權(quán)使用，個(gè)人依然沒有放棄自己個(gè)人信息的合法權(quán)利。在數(shù)據(jù)已成為重要生產(chǎn)要素并成為智能化發(fā)展基石的情況下，這些改變勢必對個(gè)人金融信息數(shù)據(jù)保護(hù)提出新的要求。

近期，中國銀保監(jiān)會(huì)相繼出臺(tái)了《保險(xiǎn)銷售行為管理辦法（征求意見稿）》以及《關(guān)于開展銀行保險(xiǎn)機(jī)構(gòu)侵害個(gè)人信息權(quán)益亂象專項(xiàng)整治工作的通知》，有針對性地就保險(xiǎn)機(jī)構(gòu)保護(hù)消費(fèi)者個(gè)人信息提出了具體的自查與整改要求。筆者相信，在不久的將來，還會(huì)有更多關(guān)系到銀行業(yè)保險(xiǎn)業(yè)數(shù)據(jù)安全與個(gè)人信息保護(hù)的規(guī)定出臺(tái)。

為了使保險(xiǎn)企業(yè)進(jìn)一步了解法律法規(guī)的要求，同時(shí)明確自身面臨的風(fēng)險(xiǎn)，筆者結(jié)合自身經(jīng)驗(yàn)，就保險(xiǎn)業(yè)務(wù)典型場景中所涉及的數(shù)據(jù)安全與個(gè)人信息保護(hù)相關(guān)問題展開分析，歸納具體的風(fēng)險(xiǎn)要點(diǎn)，并提出相應(yīng)的解決方案。

二、保險(xiǎn)業(yè)務(wù)場景法律分析

由于保險(xiǎn)產(chǎn)品的特殊性，保險(xiǎn)行業(yè)區(qū)別于其他行業(yè)，有著獨(dú)特的業(yè)務(wù)邏輯與運(yùn)作模式，從而形成了其特有的業(yè)務(wù)流、資金流以及數(shù)據(jù)流。因此，保險(xiǎn)企業(yè)在執(zhí)行《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》以及其他相關(guān)法律法規(guī)與國家/行業(yè)標(biāo)準(zhǔn)時(shí)，會(huì)面臨許多有別于其他行業(yè)的問題，為此，有必要根據(jù)保險(xiǎn)業(yè)務(wù)典型場景按序逐一進(jìn)行研析。

（一）保險(xiǎn)產(chǎn)品設(shè)計(jì)

保險(xiǎn)公司經(jīng)營保險(xiǎn)業(yè)務(wù)，保險(xiǎn)產(chǎn)品是保險(xiǎn)業(yè)務(wù)的基礎(chǔ)與核心，其在設(shè)計(jì)保險(xiǎn)產(chǎn)品時(shí)，往往需要收集大量的數(shù)據(jù)作為確定保險(xiǎn)產(chǎn)品保障范圍及厘定保險(xiǎn)產(chǎn)品價(jià)格的理論依據(jù)，這些數(shù)據(jù)可能是保險(xiǎn)公司自身多年的經(jīng)驗(yàn)積累，也可能會(huì)由外部數(shù)據(jù)供應(yīng)商進(jìn)行采集。如何確保合法合規(guī)地采集并使用這些數(shù)據(jù)，應(yīng)成為保險(xiǎn)公司在這一業(yè)務(wù)環(huán)節(jié)中關(guān)注的重點(diǎn)。

保險(xiǎn)公司在收集使用數(shù)據(jù)時(shí)，應(yīng)先判斷數(shù)據(jù)的性質(zhì)，即根據(jù)相關(guān)法律法規(guī)的要求，判斷其是否包含重要數(shù)據(jù)、個(gè)人信息，并進(jìn)一步判斷個(gè)人信息中是否還包含敏感個(gè)人信息。保險(xiǎn)公司如果建立了數(shù)據(jù)分級分類制度，就可以針對不同種類與等級的數(shù)據(jù)或個(gè)人信息采取不同的處理或保護(hù)措施。同時(shí)，要關(guān)注數(shù)據(jù)來源的合法性。如果涉及外部數(shù)據(jù)供應(yīng)商，應(yīng)重點(diǎn)檢查其業(yè)務(wù)資質(zhì)、數(shù)據(jù)來源、授權(quán)范圍；如果所處理的數(shù)據(jù)中包含個(gè)人信息，則應(yīng)確保數(shù)據(jù)供應(yīng)方已適當(dāng)履行了《個(gè)人信息保護(hù)法》中的各項(xiàng)規(guī)定，如履行“告知—同意”義務(wù)等。保險(xiǎn)公司作為數(shù)據(jù)的采集方，不但應(yīng)關(guān)注數(shù)據(jù)來源的合法合規(guī)性，而且還應(yīng)進(jìn)一步留意在數(shù)據(jù)采集過程中可能存在的數(shù)據(jù)泄露、數(shù)據(jù)源偽造、數(shù)據(jù)篡改等安全風(fēng)險(xiǎn)。

實(shí)踐中，建議根據(jù)《數(shù)據(jù)安全法》的相關(guān)規(guī)定，保險(xiǎn)公司應(yīng)建立健全全流程數(shù)據(jù)安全管理制度，針對數(shù)據(jù)生命周期中數(shù)據(jù)的各個(gè)環(huán)節(jié)制定適當(dāng)?shù)木唧w規(guī)則與流程；同時(shí)，公司可以通過合同以及其他法律文件對第三方數(shù)據(jù)采集方予以監(jiān)督管理，在合作前對其是否有合法資質(zhì)且是否在授權(quán)范圍內(nèi)使用數(shù)據(jù)展開必要的驗(yàn)證與審查；保持對重要數(shù)據(jù)以及國家核心數(shù)據(jù)的敏感度，采取一切必要手段判斷所收集的數(shù)據(jù)中有無觸及該范圍，可考慮通過協(xié)議等法律文件要求外部數(shù)據(jù)采集方履行告知義務(wù)，避免在重要數(shù)據(jù)或國家核心數(shù)據(jù)識別上的疏忽引發(fā)相關(guān)風(fēng)險(xiǎn)。

（二）保險(xiǎn)營銷

保險(xiǎn)公司在開展保險(xiǎn)營銷過程中，會(huì)自行或通過中介渠道直接或間接向營銷對象、潛在客戶或現(xiàn)存客戶提供保險(xiǎn)資訊、展示企業(yè)形象、推介保險(xiǎn)產(chǎn)品等，在此過程中會(huì)接觸到大量的個(gè)人信息并使用，建議保險(xiǎn)公司針對以下注意事項(xiàng)，檢視相應(yīng)的流程是否充分覆蓋、責(zé)任部門是否明確。

1.保險(xiǎn)中介業(yè)務(wù)

保險(xiǎn)中介銷售即保險(xiǎn)公司通過保險(xiǎn)中介向目標(biāo)客戶開展的保險(xiǎn)營銷活動(dòng)。如何對保險(xiǎn)中介在個(gè)人信息保護(hù)方面進(jìn)行有效管控，是否需要對不同類型中介進(jìn)行一刀切式的管理？目前我國的保險(xiǎn)市場對于這些問題如何規(guī)制尚不清晰。

在討論上述這個(gè)問題前，筆者認(rèn)為應(yīng)考慮不同種類中介機(jī)構(gòu)的法律性質(zhì)及其在《個(gè)人信息保護(hù)法》下的第三方類型。

從表1 中的內(nèi)容可以看出，保險(xiǎn)代理人與保險(xiǎn)經(jīng)紀(jì)人根據(jù)其業(yè)務(wù)性質(zhì)不同，其在《個(gè)人信息保護(hù)法》下的第三方類型會(huì)有所區(qū)別，甚至保險(xiǎn)經(jīng)紀(jì)人在其從事不同的業(yè)務(wù)項(xiàng)目時(shí)，第三方類型也會(huì)有所差異。因此，根據(jù)不同的第三方類型，保險(xiǎn)公司應(yīng)根據(jù)不同的法律要求，對中介機(jī)構(gòu)采取差異化管理，準(zhǔn)備符合法律法規(guī)不同要求的法律文本。具體來說，不同類型的第三方在《個(gè)人信息保護(hù)法》下的權(quán)利義務(wù)的主要區(qū)別點(diǎn)，可參考表2。

在厘清中介的第三方法律地位以及需要承擔(dān)的責(zé)任與義務(wù)后，保險(xiǎn)公司應(yīng)根據(jù)法律法規(guī)的要求，對中介進(jìn)行差異化管控，比如保險(xiǎn)經(jīng)紀(jì)人向保險(xiǎn)公司提供客戶個(gè)人信息的，保險(xiǎn)公司應(yīng)確認(rèn)其是否依法履行了“告知—同意”義務(wù)，并且告知及同意的范圍是否包含本保險(xiǎn)公司；而針對保險(xiǎn)代理機(jī)構(gòu)，保險(xiǎn)公司則應(yīng)加強(qiáng)監(jiān)督管理，確保個(gè)人信息收集使用等各環(huán)節(jié)的合法合規(guī)性，并對第三方采取適當(dāng)有效的管理措施。

2.個(gè)人保險(xiǎn)代理人

個(gè)人保險(xiǎn)代理人是一個(gè)較為特殊的群體，其在本質(zhì)上是保險(xiǎn)銷售的渠道，接受保險(xiǎn)公司委托開展保險(xiǎn)營銷業(yè)務(wù)并代為收集客戶個(gè)人信息，但也有一定的企業(yè)員工屬性，如個(gè)人保險(xiǎn)代理人接受保險(xiǎn)公司的業(yè)績考核與管理。一方面，保險(xiǎn)公司對其個(gè)人信息進(jìn)行處理；另一方面，個(gè)人保險(xiǎn)代理人自身也掌握著客戶的個(gè)人信息。個(gè)人保險(xiǎn)代理人人數(shù)眾多，管理難度大，如果在數(shù)據(jù)安全與個(gè)人信息保護(hù)方面不予以重視，極有可能對保險(xiǎn)公司造成風(fēng)險(xiǎn)。因此，建議保險(xiǎn)公司對個(gè)人保險(xiǎn)代理人進(jìn)行管理，主要可以從以下兩個(gè)方面考慮：一方面，保險(xiǎn)公司應(yīng)妥善處理個(gè)人保險(xiǎn)代理人自身的個(gè)人信息，在代理人招募、代理關(guān)系存續(xù)期間以及代理關(guān)系終止后的各個(gè)階段，采取適當(dāng)?shù)拇胧┯枰怨芸?，未?jīng)個(gè)人保險(xiǎn)代理人同意，不得將其個(gè)人信息用于除保險(xiǎn)代理業(yè)務(wù)以外的其他場景；另一方面，針對個(gè)人保險(xiǎn)代理人掌握的客戶信息，保險(xiǎn)公司也應(yīng)掌握一定的管控主動(dòng)權(quán)，比如控制個(gè)人保險(xiǎn)代理人獲悉的客戶個(gè)人信息，解除代理關(guān)系時(shí)盡可能收回客戶個(gè)人信息等。

?表1 不同種類中介機(jī)構(gòu)的法律性質(zhì)及其在《個(gè)人信息保護(hù)法》下的第三方類型

?表2 不同類型的第三方在《個(gè)人信息保護(hù)法》下的權(quán)利義務(wù)的主要區(qū)別點(diǎn)

2022年7月，中國銀保監(jiān)會(huì)起草了《保險(xiǎn)銷售行為管理辦法（征求意見稿）》，強(qiáng)調(diào)了“保險(xiǎn)公司、中介妥善保護(hù)個(gè)人信息的義務(wù)，加強(qiáng)第三方合作機(jī)構(gòu)對于個(gè)人信息的管控義務(wù)”以及“銷售人員離職后，不提供后續(xù)保單服務(wù)或慫恿退?！钡仁马?xiàng)。筆者認(rèn)為，這與《個(gè)人信息保護(hù)法》內(nèi)容進(jìn)行了有效銜接，十分到位。

3.傳統(tǒng)保險(xiǎn)營銷手段

為提高銷售效率，保險(xiǎn)公司常常會(huì)采取一些營銷手段，比如交叉銷售、贈(zèng)險(xiǎn)獲客或通過活動(dòng)贈(zèng)送禮品收集個(gè)人信息。在《個(gè)人信息保護(hù)法》出臺(tái)后，這些營銷方式將面臨一定的挑戰(zhàn)?！秱€(gè)人信息保護(hù)法》規(guī)定，“個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意?！倍鲜鲞@些營銷手段在收集個(gè)人信息時(shí)，往往改變了原收集個(gè)人信息時(shí)的目的，因此保險(xiǎn)公司在實(shí)踐中應(yīng)注意以下事項(xiàng)：第一，主動(dòng)向個(gè)人客戶或潛在個(gè)人客戶履行“告知—同意”義務(wù)；第二，上述的“告知—同意”義務(wù)既可以在剛開始收集個(gè)人信息時(shí)履行，也可以在向其營銷前履行；第三，針對贈(zèng)險(xiǎn)或禮品贈(zèng)送的對象，保險(xiǎn)公司還應(yīng)確保其信息來源的合法合規(guī)性。

（三）投保

一份保險(xiǎn)合同涉及各種相關(guān)人員，而處理這些人員的個(gè)人信息在《個(gè)人信息保護(hù)法》下的合法基礎(chǔ)是什么？哪些情況需要獲得對方同意？哪些情況可以豁免同意？只有搞清楚這些問題，才能讓保險(xiǎn)公司針對不同對象制定對應(yīng)的措施，避免在投保時(shí)錯(cuò)誤操作導(dǎo)致違反法律規(guī)定。

那么，在投保過程中究竟會(huì)涉及到哪幾類人員的個(gè)人信息？筆者認(rèn)為，除了最常見的投保人、被保險(xiǎn)人以及受益人之外，還有相關(guān)企業(yè)投保的聯(lián)系人、雇主責(zé)任險(xiǎn)下投保企業(yè)的員工個(gè)人信息等；而后分析保險(xiǎn)公司在處理上述個(gè)人信息時(shí)，以下這些情況可以豁免個(gè)人的同意：（1）投保人作為保險(xiǎn)合同當(dāng)事人，保險(xiǎn)公司可根據(jù)《個(gè)人信息保護(hù)法》第十三條第二款的規(guī)定在投保過程中處理其個(gè)人信息應(yīng)豁免獲取其同意；而其他個(gè)人，如被保險(xiǎn)人、受益人等無法根據(jù)此條規(guī)定得到同意的豁免。（2）《保險(xiǎn)法》第十八條規(guī)定保險(xiǎn)合同應(yīng)包括“投保人、被保險(xiǎn)人的姓名或者名稱、住所，以及人身保險(xiǎn)的受益人的姓名或者名稱、住所”，此條涉及被保險(xiǎn)人與受益人，但個(gè)人信息的范圍僅包括名稱與住所，與實(shí)踐中（保險(xiǎn)公司需收集被保險(xiǎn)人與受益人更詳細(xì)的個(gè)人信息）的要求會(huì)有一定差距。（3）根據(jù)《人身保險(xiǎn)客戶信息真實(shí)性管理暫行辦法》（保監(jiān)發(fā)〔2013〕82號）、《金融機(jī)構(gòu)客戶盡職調(diào)查和客戶身份資料及交易記錄保存管理辦法》（中國人民銀行中國銀行保險(xiǎn)監(jiān)督管理委員會(huì)中國證券監(jiān)督管理委員會(huì)令〔2022〕第1 號）相關(guān)規(guī)定內(nèi)容，針對某類型保險(xiǎn)產(chǎn)品，如人壽保險(xiǎn)合同和具有投資性質(zhì)的保險(xiǎn)合同、保險(xiǎn)費(fèi)金額人民幣5 萬元以上或者外幣等值1 萬美元以上的財(cái)產(chǎn)保險(xiǎn)合同和健康保險(xiǎn)、意外傷害保險(xiǎn)以及保險(xiǎn)期間超過一年的個(gè)人人身保險(xiǎn)合同，保險(xiǎn)公司都有義務(wù)收集被保險(xiǎn)人及受益人的詳細(xì)個(gè)人信息，包括姓名、性別、出生日期、身份證件或身份證明文件的類型、號碼等。因此，保險(xiǎn)公司似乎可根據(jù)《個(gè)人信息保護(hù)法》第十三條第三款的規(guī)定，即“履行法定義務(wù)”處理被保險(xiǎn)人與受益人的個(gè)人信息，而無需獲得個(gè)人的同意。（4）除了上述情況外，未被列入上述類型的保險(xiǎn)產(chǎn)品，以及非上述人員，如投保雇主責(zé)任險(xiǎn)時(shí)收集企業(yè)客戶員工個(gè)人信息，則未查詢到可以適用豁免同意的法律依據(jù)。

鑒于上述分析，保險(xiǎn)公司針對不同性質(zhì)的客戶投保不同產(chǎn)品時(shí)應(yīng)采取不同的投保要求，比如在投保單上設(shè)計(jì)對應(yīng)的話術(shù)請客戶勾選簽字同意，并通過適當(dāng)?shù)姆绞较騻€(gè)人展示《隱私政策》之類的文件，以滿足《個(gè)人信息保護(hù)法》中個(gè)人信息處理者向個(gè)人履行告知義務(wù)的要求。

（四）核保

保險(xiǎn)核保泛指保險(xiǎn)人在對投保標(biāo)的信息全面掌握、核實(shí)的基礎(chǔ)上，對可保風(fēng)險(xiǎn)進(jìn)行評判與分類，進(jìn)而確定是否承保以及承保條件的過程。作為核保的評判依據(jù)，人身保險(xiǎn)會(huì)要求投保人如實(shí)告知或提供被保險(xiǎn)人的健康狀況、既往就診記錄、病歷資料或職業(yè)內(nèi)容等信息；財(cái)產(chǎn)保險(xiǎn)則會(huì)要求提供保險(xiǎn)標(biāo)的既往出險(xiǎn)情況、實(shí)施的安全措施等相關(guān)資料。在保險(xiǎn)公司開展核保工作時(shí)，建議注意以下情況：

1.核保信息收集范圍

目前保險(xiǎn)機(jī)構(gòu)在核保時(shí)除了為保險(xiǎn)風(fēng)險(xiǎn)評估而收集信息，還會(huì)收集一些客戶的其他類型個(gè)人信息（如消費(fèi)偏好、未來投資計(jì)劃等）作為用戶畫像信息的標(biāo)簽信息，為進(jìn)一步開展?fàn)I銷打下基礎(chǔ)或開展大數(shù)據(jù)分析。而保險(xiǎn)公司收集的這些信息若與評判投保風(fēng)險(xiǎn)關(guān)系不大，則可能超出了保險(xiǎn)業(yè)務(wù)辦理的必要信息收集范圍，也有悖于《個(gè)人信息保護(hù)法》中的“直接相關(guān)”與“最小范圍”原則。因此，建議保險(xiǎn)公司核保時(shí)收集客戶個(gè)人信息的范圍應(yīng)事先確定（最好通過核保手冊等書面文件確定），避免過度向客戶索要與保險(xiǎn)標(biāo)的風(fēng)險(xiǎn)評估無關(guān)的信息資料帶來的風(fēng)險(xiǎn)。如確有必要收集的，則建議妥善做好“告知—同意”等《個(gè)人信息保護(hù)法》規(guī)定的各項(xiàng)義務(wù)。

2.核保信息保存期限

保險(xiǎn)公司核保信息一般與保險(xiǎn)合同一并保存，因此保存期限也會(huì)保持一致。根據(jù)《保險(xiǎn)法》第八十七條的要求，“保險(xiǎn)業(yè)務(wù)經(jīng)營活動(dòng)有關(guān)的賬簿、原始憑證和有關(guān)資料的保管期限，自保險(xiǎn)合同終止之日起計(jì)算，保險(xiǎn)期間在一年以下的不得少于五年，保險(xiǎn)期間超過一年的不得少于十年?！钡ｋU(xiǎn)公司對于拒保、參與保險(xiǎn)招投標(biāo)未中標(biāo)導(dǎo)致保險(xiǎn)合同未最終訂立的情形似乎沒有特別關(guān)注，保存期限也沒有明確規(guī)定，這樣有可能與《個(gè)人信息保護(hù)法》“個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間”的原則相違背。鑒于此，建議保險(xiǎn)公司針對因上述情況收集的個(gè)人信息，除非另有監(jiān)管規(guī)定，盡量在業(yè)務(wù)目的完成后予以刪除或作匿名化處理，并制定出明確的刪除或銷毀流程，并由專人負(fù)責(zé)執(zhí)行。

（五）再保險(xiǎn)

再保險(xiǎn)是指保險(xiǎn)人在原保險(xiǎn)合同的基礎(chǔ)上，通過簽訂分保合同，將其所承保的部分風(fēng)險(xiǎn)和責(zé)任向其他保險(xiǎn)人或再保險(xiǎn)人進(jìn)行保險(xiǎn)的行為。再保業(yè)務(wù)中，直保人可能會(huì)將客戶的數(shù)據(jù)或個(gè)人信息與再保險(xiǎn)人共享。在再保險(xiǎn)業(yè)務(wù)場景下，再保險(xiǎn)人應(yīng)被歸類于《個(gè)人信息保護(hù)法》下的哪種類型的第三方，從而該采取怎樣的對應(yīng)措施、采用哪些符合實(shí)際的法律文本內(nèi)容，本節(jié)將圍繞上述問題展開討論。

1.再保險(xiǎn)人的第三方類型

從目前通行的再保險(xiǎn)業(yè)務(wù)模式來看，再保險(xiǎn)人與經(jīng)營直保業(yè)務(wù)的保險(xiǎn)公司在業(yè)務(wù)關(guān)系上相對獨(dú)立，保險(xiǎn)公司與再保險(xiǎn)公司建立再保險(xiǎn)業(yè)務(wù)關(guān)系后，其對于再保險(xiǎn)人的管控度相對較低，并無彼此監(jiān)督管理的權(quán)利或義務(wù)。通常情況下，保險(xiǎn)公司根據(jù)再保險(xiǎn)業(yè)務(wù)需要將直保客戶個(gè)人信息提供給再保險(xiǎn)人，再保險(xiǎn)人會(huì)根據(jù)自己的業(yè)務(wù)需要進(jìn)行處理，包括大數(shù)據(jù)分析、予以轉(zhuǎn)分保等，并且，即使在雙方再保險(xiǎn)業(yè)務(wù)結(jié)束后，再保險(xiǎn)公司也不會(huì)將在業(yè)務(wù)開展過程中收集到的個(gè)人信息返還保險(xiǎn)公司或刪除銷毀。因此，鑒于再保險(xiǎn)業(yè)務(wù)的現(xiàn)狀，筆者認(rèn)為再保險(xiǎn)人的第三方類型為獨(dú)立第三方個(gè)人信息處理者。

2.再保險(xiǎn)業(yè)務(wù)豁免單獨(dú)同意可能性

再保險(xiǎn)人既然定位為獨(dú)立第三方個(gè)人信息處理者，就需要滿足表2 中的相關(guān)要求。首先就是保險(xiǎn)公司在向再保險(xiǎn)公司提供個(gè)人信息前應(yīng)取得個(gè)人的“單獨(dú)同意”，這也是目前保險(xiǎn)公司與再保險(xiǎn)公司在實(shí)踐中遇到的比較大的問題之一。往往在客戶投保時(shí)，保險(xiǎn)公司還沒有確定具體的再保險(xiǎn)業(yè)務(wù)接收人，即再保險(xiǎn)公司，從而錯(cuò)過了最好的取得投保人個(gè)人單獨(dú)同意的時(shí)機(jī)；并且，如果客戶拒絕同意或事后撤回同意，又會(huì)對再保險(xiǎn)業(yè)務(wù)開展產(chǎn)生不利影響。上述這些情況該如何處理，以下對在此業(yè)務(wù)場景下豁免單獨(dú)同意的可能性予以討論。

對于單獨(dú)同意，目前法律界一致的觀點(diǎn)是，個(gè)人信息處理者取得個(gè)人單獨(dú)同意義務(wù)的前提條件是處理個(gè)人信息的合法基礎(chǔ)為“取得個(gè)人的同意（援引《個(gè)人信息保護(hù)法》第十三條第一款）”，如果處理個(gè)人信息的合法基礎(chǔ)為該條款的其余幾項(xiàng)，則豁免個(gè)人信息處理者取得個(gè)人同意或單獨(dú)同意的義務(wù)。

檢索相關(guān)法律與監(jiān)管規(guī)定，《保險(xiǎn)法》第二十八條與《再保險(xiǎn)業(yè)務(wù)管理規(guī)定》第十五條分別規(guī)定了“應(yīng)再保險(xiǎn)接受人的要求，再保險(xiǎn)分出人應(yīng)當(dāng)將其自負(fù)責(zé)任及原保險(xiǎn)的有關(guān)情況書面告知再保險(xiǎn)接受人”，以及“再保險(xiǎn)分出人應(yīng)當(dāng)及時(shí)將影響再保險(xiǎn)定價(jià)和分保條件的重要信息向再保險(xiǎn)接受人書面告知；再保險(xiǎn)合同成立后，再保險(xiǎn)分出人應(yīng)當(dāng)及時(shí)向再保險(xiǎn)接受人提供重大賠案信息、賠款準(zhǔn)備金等對再保險(xiǎn)接受人的償付能力計(jì)算、準(zhǔn)備金計(jì)提及預(yù)期賠付有重大影響的信息”。因此，保險(xiǎn)公司是否能借助以上法律與監(jiān)管規(guī)定，確定保險(xiǎn)人根據(jù)“為履行法定義務(wù)”從而豁免取得客戶個(gè)人的單獨(dú)同意？但筆者認(rèn)為仍有以下障礙：（1）保險(xiǎn)公司向再保險(xiǎn)公司提供個(gè)人信息是基于雙方簽訂的再保險(xiǎn)協(xié)議，該協(xié)議本身屬于雙方自行決定的商業(yè)性決定。雖然有《保險(xiǎn)法》與《再保險(xiǎn)業(yè)務(wù)管理規(guī)定》相關(guān)條款，但是否可以將再保險(xiǎn)業(yè)務(wù)完全歸于“履行法定義務(wù)”有待商榷。（2）保險(xiǎn)公司向客戶收集個(gè)人信息與其向再保險(xiǎn)公司提供個(gè)人信息、處理個(gè)人信息的目的不同，前者是為訂立保險(xiǎn)合同，而后者是以履行再保險(xiǎn)合同為目的?；诓煌膫€(gè)人信息處理目的，是否依然可以適用豁免同意的情形也需要進(jìn)一步考證。

因此，關(guān)于上述對于再保險(xiǎn)業(yè)務(wù)保險(xiǎn)公司是否可以豁免取得單獨(dú)同意問題，建議保險(xiǎn)公司與保險(xiǎn)監(jiān)管部門進(jìn)行溝通，如實(shí)反饋保險(xiǎn)行業(yè)在操作過程中的問題與難點(diǎn)，在取得監(jiān)管部門認(rèn)可的前提下開展業(yè)務(wù)。

3.其他問題

當(dāng)然，再保險(xiǎn)業(yè)務(wù)可能出現(xiàn)的問題還不限于這些，譬如某個(gè)人直接向再保險(xiǎn)公司行使自己在《個(gè)人信息保護(hù)法》下的各項(xiàng)權(quán)利，再保險(xiǎn)人如何應(yīng)對？再保險(xiǎn)公司向其他再保險(xiǎn)人轉(zhuǎn)分保時(shí)，是否也需要履行“告知—同意”義務(wù)，又如何具體實(shí)施？這些疑問，都需要在日后的業(yè)務(wù)開展中不斷去摸索并采取適當(dāng)?shù)姆绞饺ヂ鋵?shí)解決。

（六）理賠

保險(xiǎn)理賠是指在保險(xiǎn)標(biāo)的發(fā)生保險(xiǎn)事故而使被保險(xiǎn)人財(cái)產(chǎn)受到損失或人身生命受到損害或保單約定的其他保險(xiǎn)事故發(fā)生而需要給付保險(xiǎn)金時(shí)，保險(xiǎn)公司根據(jù)合同約定履行賠償或給付責(zé)任的行為。在處理理賠申請時(shí)，保險(xiǎn)公司會(huì)向客戶或相關(guān)機(jī)構(gòu)收集或調(diào)查與保險(xiǎn)事故相關(guān)的事實(shí)情況、證明資料，如就診記錄、損失憑證、公證文書、訴訟裁判文書等。保險(xiǎn)公司往往委托保險(xiǎn)公估人或調(diào)查公司等外部機(jī)構(gòu)對保險(xiǎn)事故開展調(diào)查取證工作，所涉及的信息都是客戶的保險(xiǎn)事故信息，大部分可能屬于敏感個(gè)人信息，包括住院病歷、體檢結(jié)果等，如何處理好這些信息也是保險(xiǎn)公司需要關(guān)注的合規(guī)要點(diǎn)。

1.公估人與調(diào)查公司的第三方類型

公估公司與調(diào)查公司的第三方類型如何確定，筆者根據(jù)其工作的方式、服務(wù)的內(nèi)容以及與保險(xiǎn)公司的業(yè)務(wù)關(guān)系，傾向于將其歸為受委托個(gè)人信息處理者。因此，保險(xiǎn)公司應(yīng)格外注意以下幾點(diǎn)：（1）保險(xiǎn)公司對公估或調(diào)查機(jī)構(gòu)應(yīng)執(zhí)行嚴(yán)格的審查和監(jiān)督措施，包括確保其業(yè)務(wù)資質(zhì)、調(diào)查渠道等的合法合規(guī)性。若外部機(jī)構(gòu)調(diào)查所獲數(shù)據(jù)或個(gè)人信息來源于非法渠道，保險(xiǎn)公司將面臨較大法律風(fēng)險(xiǎn)與聲譽(yù)風(fēng)險(xiǎn)；（2）外部機(jī)構(gòu)處理的數(shù)據(jù)及個(gè)人信息有無超出約定的處理目的、處理方式；（3）保險(xiǎn)公司是否有限制或制止外部機(jī)構(gòu)未經(jīng)公司同意的轉(zhuǎn)委托；（4）委托調(diào)查事項(xiàng)結(jié)束后，外部機(jī)構(gòu)是否可以繼續(xù)存儲(chǔ)調(diào)查時(shí)收集到的數(shù)據(jù)或個(gè)人信息，保險(xiǎn)公司是否有相應(yīng)機(jī)制監(jiān)督外部機(jī)構(gòu)實(shí)施數(shù)據(jù)及個(gè)人信息的刪除或匿名化措施。

2.理賠資料的保存期限

理賠資料應(yīng)如何保存，尤其是涉及拒賠或相對于理賠申請少賠的情況，因其后續(xù)可能引發(fā)糾紛甚至訴訟仲裁，建議保險(xiǎn)公司明確保存期限的原則，根據(jù)不同情況的理賠資料采取不同策略的保存期限。

（七）履行監(jiān)管規(guī)定的義務(wù)

在保險(xiǎn)機(jī)構(gòu)履行監(jiān)管規(guī)定的義務(wù)時(shí)，如開展公司治理、遞交監(jiān)管報(bào)告等，保險(xiǎn)機(jī)構(gòu)需要收集處理相關(guān)人員的個(gè)人信息的，往往認(rèn)為這些行為是履行“法定義務(wù)”而無需做什么，而《個(gè)人信息保護(hù)法》規(guī)定的豁免同意，卻依然需要對個(gè)人進(jìn)行告知。對此，筆者梳理以下幾種情況：

1.信息公開披露

為滿足《保險(xiǎn)公司信息披露管理辦法》的要求，保險(xiǎn)公司在官網(wǎng)上公開披露董事、監(jiān)事和高級管理人員與法定代表人的有關(guān)個(gè)人信息時(shí)，保險(xiǎn)公司應(yīng)考慮向相關(guān)人員告知其個(gè)人信息公開披露的情況，包括信息類型、目的、途徑、方式等。

2.關(guān)聯(lián)方信息

根據(jù)《銀行保險(xiǎn)機(jī)構(gòu)關(guān)聯(lián)交易管理辦法》的要求，保險(xiǎn)機(jī)構(gòu)應(yīng)收集關(guān)聯(lián)自然人的個(gè)人信息，除本機(jī)構(gòu)的董事、監(jiān)事和高級管理人員外，還包括自然人股東、實(shí)控人、一致行動(dòng)人、最終受益人等，及前述人員的近親屬。保險(xiǎn)機(jī)構(gòu)有必要向這些自然人，尤其是向他們的近親屬履行告知義務(wù)，并建立有效可行的流程確保實(shí)施。

3.其他監(jiān)管報(bào)告

保險(xiǎn)機(jī)構(gòu)為履行監(jiān)管要求向監(jiān)管部門或其指定的機(jī)構(gòu)提供相關(guān)數(shù)據(jù)及個(gè)人信息時(shí)也應(yīng)注意，這些人員的個(gè)人信息提供應(yīng)遵循《個(gè)人信息保護(hù)法》的相關(guān)要求，并確保相關(guān)個(gè)人信息不被非監(jiān)管報(bào)告的目的濫用。

三、展望兼結(jié)語

雖然《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》已經(jīng)出臺(tái)一年，但是由于國家政策標(biāo)準(zhǔn)和法規(guī)的執(zhí)行細(xì)則仍然處于草擬階段，許多企業(yè)在如何正確解讀及執(zhí)行落地方面還處在學(xué)習(xí)及觀望中。筆者上述圍繞保險(xiǎn)業(yè)務(wù)場景下數(shù)據(jù)安全與個(gè)人信息保護(hù)問題展開的相關(guān)分析，僅停留于皮毛，尚未觸及深處，還需要整個(gè)保險(xiǎn)行業(yè)加以重視，更需要《保險(xiǎn)法》理論界和實(shí)務(wù)界不斷地進(jìn)行深入研究。不過，結(jié)合目前的發(fā)展情況，根據(jù)中國信息通信研究院云計(jì)算與大數(shù)據(jù)研究所《數(shù)據(jù)安全治理實(shí)踐指南1.0》的相關(guān)內(nèi)容，筆者大膽預(yù)測數(shù)據(jù)安全與個(gè)人信息保護(hù)可能會(huì)有以下兩大發(fā)展趨勢：

1.數(shù)據(jù)安全與個(gè)人信息保護(hù)實(shí)踐的“行業(yè)化”和“場景化”。不同行業(yè)、不同場景面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)與潛在威脅不盡相同，因此相關(guān)行業(yè)必須結(jié)合自身特點(diǎn)開展數(shù)據(jù)安全治理。

2.數(shù)據(jù)安全與個(gè)人信息保護(hù)從“離散型”向“體系化”演進(jìn)。數(shù)據(jù)安全與個(gè)人信息 保護(hù)問題由來已久，“離散型”的補(bǔ)丁式解決方法已不能完全適應(yīng)企業(yè)當(dāng)前的發(fā)展需要。如何整合有效資源，平衡數(shù)據(jù)安全與個(gè)人信息保護(hù)與業(yè)務(wù)發(fā)展，推動(dòng)“體系化”數(shù)據(jù)安全治理建設(shè)，是行業(yè)與企業(yè)需要考慮的問題。

如前言所述，銀保監(jiān)會(huì)于今年8 月開展了銀行業(yè)保險(xiǎn)業(yè)個(gè)人信息保護(hù)專項(xiàng)整治工作，并強(qiáng)調(diào)“現(xiàn)在各行各業(yè)都把信息作為競爭的核心，可是個(gè)人信息保護(hù)也存在很多問題和漏洞，所以要全面推動(dòng)銀行業(yè)保險(xiǎn)業(yè)切實(shí)落實(shí)《個(gè)人信息保護(hù)法》，以提升個(gè)人信息使用的規(guī)范性、保護(hù)消費(fèi)者信息安全權(quán)”。因此，筆者深信，保險(xiǎn)公司一定能借此機(jī)會(huì)盡快把數(shù)據(jù)安全與個(gè)人信息保護(hù)提上重要的議事日程，對發(fā)現(xiàn)的問題及時(shí)整改，叫停糾正，規(guī)范個(gè)人信息處理和管理行為。展望未來，我國保險(xiǎn)業(yè)也一定會(huì)全面提升消費(fèi)者個(gè)人信息保護(hù)工作水平。