落實(shí)《個人信息保護(hù)法》將對保險機(jī)構(gòu)個人信息處理行為、數(shù)據(jù)合作、業(yè)務(wù)創(chuàng)新、合規(guī)管理等產(chǎn)生重要影響，并且保險行業(yè)個人信息處理活動的監(jiān)管也將影響監(jiān)管機(jī)構(gòu)的規(guī)則制定和執(zhí)法活動等。本文梳理了我國個人信息立法沿革和法律體系，結(jié)合《個人信息保護(hù)法》的主要內(nèi)容分析了對保險行業(yè)可能產(chǎn)生的影響，并提出了應(yīng)對的建議。

2021年8月20日，全國人大常委會審議通過了《個人信息保護(hù)法》，這是我國第一部關(guān)于個人信息保護(hù)的專門立法，在個人信息保護(hù)方面具有里程碑意義。保險行業(yè)與數(shù)據(jù)相伴，保險業(yè)務(wù)運(yùn)營中的投保、核保、理賠、精算管理、產(chǎn)品開發(fā)、風(fēng)險控制、員工管理等各個環(huán)節(jié)都會涉及個人信息的處理。落實(shí)《個人信息保護(hù)法》將對保險機(jī)構(gòu)個人信息處理行為、數(shù)據(jù)合作、業(yè)務(wù)創(chuàng)新、合規(guī)管理等產(chǎn)生重要影響，并且保險行業(yè)個人信息處理活動的監(jiān)管也將影響監(jiān)管機(jī)構(gòu)的規(guī)則制定和執(zhí)法活動等。本文梳理了我國個人信息立法沿革和法律體系，結(jié)合《個人信息保護(hù)法》的主要內(nèi)容分析了對保險行業(yè)可能產(chǎn)生的影響，并提出了應(yīng)對的建議，以期對保險行業(yè)落實(shí)《個人信息保護(hù)法》，做好個人信息保護(hù)工作有所裨益。

我國個人信息保護(hù)立法沿革與體系

個人信息保護(hù)單獨(dú)立法并非我國獨(dú)有，以歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）為代表，根據(jù)歐華律師事務(wù)所數(shù)據(jù)保護(hù)法律手冊統(tǒng)計(jì)，全球范圍內(nèi)180多個國家或地區(qū)都制定了個人信息保護(hù)法規(guī)。雖然《個人信息保護(hù)法》新近發(fā)布，但我國個人信息保護(hù)的立法已經(jīng)持續(xù)較長時間，包括以下維度：

法律層面。一是刑事立法。我國個人信息保護(hù)立法具有刑事先行的特點(diǎn)，在2009年刑法修正案（七）和2015年刑法修正案（九）中都將侵犯公民個人信息的行為作為犯罪行為。二是個人信息保護(hù)專門立法。2012年全國人大常委會制定了加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的法律性質(zhì)文件，這是我國第一個個人信息保護(hù)的專門法律性文件，直到2021年《個人信息保護(hù)法》制定，標(biāo)志著我國個人信息保護(hù)專門立法的完成。三是民事立法。2020年《民法典》首次將個人信息作為一種人格權(quán)益，對隱私權(quán)和個人信息進(jìn)行了區(qū)分，并規(guī)定了個人信息處理的原則和條件等。四是網(wǎng)絡(luò)安全立法。2016年《網(wǎng)絡(luò)安全法》從網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全兩個維度保障我國網(wǎng)絡(luò)空間的安全，而個人信息保護(hù)則是網(wǎng)絡(luò)信息安全的重要內(nèi)容。此外，消費(fèi)者權(quán)益保護(hù)法以及上述法律配套的行政法規(guī)、司法解釋中也對個人信息處理進(jìn)行了更為細(xì)化的規(guī)范。

行業(yè)監(jiān)管層面。就金融行業(yè)而言，人民銀行在2011年、2012年連續(xù)兩年發(fā)布關(guān)于做好個人金融信息保護(hù)工作的通知，是金融領(lǐng)域最早的個人金融信息保護(hù)專門規(guī)定。目前，《個人金融信息（數(shù)據(jù)）保護(hù)試行辦法》也已列入中國人民銀行的規(guī)章制度制定計(jì)劃。除個人金融信息專門保護(hù)規(guī)定外，金融行業(yè)在征信管理、反洗錢、金融消費(fèi)者保護(hù)、互聯(lián)網(wǎng)業(yè)務(wù)、數(shù)據(jù)治理等方面會有個人信息處理或保護(hù)的要求。單就保險行業(yè)而言，保險行業(yè)關(guān)于個人信息處理或保護(hù)的規(guī)定，零星規(guī)定在信息系統(tǒng)安全管理、銷售行為可回溯管理、互聯(lián)網(wǎng)保險業(yè)務(wù)管理等監(jiān)管規(guī)定中。另外，在保險中介、銷售從業(yè)人員相關(guān)監(jiān)管規(guī)定中有關(guān)于不得泄露隱私的規(guī)定。

《個人信息保護(hù)法》對保險行業(yè)的影響

保險機(jī)構(gòu)在提供保險服務(wù)時，需要處理大量投保人、被保險人、受益人的個人信息，不僅數(shù)量多，而且涉及保險運(yùn)營的投保、核保、理賠等全流程?！秱€人信息保護(hù)法》實(shí)施后，保險行業(yè)需要關(guān)注以下幾方面的影響。

保險行業(yè)個人信息保護(hù)執(zhí)法活動將不斷強(qiáng)化。在《個人信息保護(hù)法》出臺之前，金融領(lǐng)域個人信息保護(hù)執(zhí)法活動主要由人民銀行依據(jù)《消費(fèi)者權(quán)益保護(hù)法》、銀保監(jiān)會依據(jù)行業(yè)監(jiān)督管理規(guī)定開展。多家銀行、支付機(jī)構(gòu)被處以罰款，違規(guī)行為包括侵害消費(fèi)者個人信息依法得到保護(hù)的權(quán)利、數(shù)據(jù)泄露、客戶信息保護(hù)機(jī)制不健全、客戶信息收集環(huán)節(jié)不規(guī)范、客戶數(shù)據(jù)訪問控制管理不規(guī)范、未經(jīng)授權(quán)查詢、客戶敏感信息管理不善、違規(guī)存儲客戶敏感信息、個人金融信息使用不當(dāng)?shù)?。此外，監(jiān)管機(jī)構(gòu)也會通報(bào)行業(yè)內(nèi)違反個人信息保護(hù)的行為，對金融機(jī)構(gòu)起到警示作用。但保險機(jī)構(gòu)被處罰或通報(bào)的情形較少。按照規(guī)定，金融監(jiān)管機(jī)構(gòu)可直接依據(jù)《個人信息保護(hù)法》調(diào)查、處理違法個人信息處理活動?！秱€人信息保護(hù)法》生效后，金融監(jiān)管機(jī)構(gòu)對個人信息處理活動的執(zhí)法也將更加活躍。

《個人信息保護(hù)法》對違規(guī)行為的處罰力度大大提高，對于情節(jié)嚴(yán)重的最高可處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，這與以處罰嚴(yán)厲而著稱的GDPR基本相當(dāng)。對于個人信息處理違法行為侵害人數(shù)眾多時，《個人信息保護(hù)法》明確可以由相關(guān)機(jī)構(gòu)提起公益訴訟。對此最高人民檢察院制定了《關(guān)于貫徹執(zhí)行個人信息保護(hù)法推進(jìn)個人信息保護(hù)公司訴訟檢察工作的通知》，對于敏感信息、重點(diǎn)人群、重點(diǎn)領(lǐng)域和大規(guī)模個人信息予以重點(diǎn)保護(hù)。未來，執(zhí)法活動將不斷強(qiáng)化也將傳導(dǎo)至保險機(jī)構(gòu)，這將對保險機(jī)構(gòu)的個人信息保護(hù)內(nèi)部管理造成較大壓力。

需要真實(shí)、準(zhǔn)確、完整地履行告知義務(wù)?！秱€人信息保護(hù)法》要求個人信息處理者在處理個人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個人告知處理規(guī)則。筆者認(rèn)為，各保險機(jī)構(gòu)在履行告知義務(wù)要特別關(guān)注以下情形：

一是告知義務(wù)的獨(dú)立性。很多人認(rèn)為《個人信息保護(hù)法》所確立的個人信息處理模式是“告知+同意”模式，但筆者認(rèn)為該表述與《個人信息保護(hù)法》的規(guī)定有所偏差。雖然取得個人同意是較為普遍的做法，但同意僅是《個人信息保護(hù)法》規(guī)定處理個人信息的合法性基礎(chǔ)之一，更準(zhǔn)確的表述應(yīng)為“告知+合法性基礎(chǔ)”的模式，這種模式下告知與同意相獨(dú)立，即使不須個人同意的情形下，也要向個人告知處理規(guī)則。

二是線下投保的告知。與歐盟GDPR不同，我國《個人信息保護(hù)法》所界定的個人信息不僅包括結(jié)構(gòu)化數(shù)據(jù)，也包括非結(jié)構(gòu)化的數(shù)據(jù)，這使得紙質(zhì)個人信息也落入個人信息保護(hù)法的保護(hù)范圍。通過對比線下投保和線上投保個人信息處理的過程發(fā)現(xiàn)，各保險機(jī)構(gòu)線上投保（包括網(wǎng)站、應(yīng)用程序（App）和微信公眾號或小程序）的個人信息處理告知相對詳細(xì)，但在線下投保的紙質(zhì)告知書或授權(quán)文件的告知則較為簡略，有的僅有“您同意***公司使用您提供的個人數(shù)據(jù)”的表述，對處理目的、處理方式等缺少告知。根據(jù)銀保監(jiān)會及保險業(yè)協(xié)會數(shù)據(jù)，保險行業(yè)線上業(yè)務(wù)保費(fèi)規(guī)模僅占6.4%左右，線下業(yè)務(wù)仍是主要方式，保險機(jī)構(gòu)所持有的個人信息也更多依靠線下業(yè)務(wù)獲取。對保險機(jī)構(gòu)而言，保障線下業(yè)務(wù)合法收集個人信息對其數(shù)據(jù)處理、業(yè)務(wù)創(chuàng)新等更為重要。建議保險機(jī)構(gòu)統(tǒng)籌管理線上、線下的處理規(guī)則，細(xì)化線下處理個人信息的規(guī)則，既可以單獨(dú)告知，也可以在投保須知或理賠須知中告知。

三是告知非基于同意的處理規(guī)則。如前所述，告知與同意并無必然聯(lián)系。目前各保險機(jī)構(gòu)個人信息處理規(guī)則中對非基于同意的處理規(guī)則較為概括。以履行法定義務(wù)為例，少數(shù)保險機(jī)構(gòu)列明了具體的法律依據(jù)，如《反洗錢法》《金融機(jī)構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》《保險銷售行為可回溯管理暫行辦法》等。但大多數(shù)信息處理規(guī)則僅照搬了相關(guān)法律的原則性規(guī)定，如“為履行法定職責(zé)或者法定義務(wù)所必需”等。建議保險機(jī)構(gòu)在個人信息處理規(guī)則中細(xì)化非基于同意的處理規(guī)則，特別是履行法定義務(wù)和合理使用公開信息的情形下，建議明確列明需要履行哪些法定義務(wù)、處理哪些信息及處理方式等，這也是企業(yè)梳理處理個人信息合法性基礎(chǔ)的必然工作。此外，保險機(jī)構(gòu)還要注意處理規(guī)則便于查閱和保存、變更后重新告知等義務(wù)。

需要確保個人信息的處理具有合法性基礎(chǔ)?！秱€人信息保護(hù)法》規(guī)定了同意、履行合同必須履行法定職責(zé)或法定義務(wù)、應(yīng)對突發(fā)公共衛(wèi)生事件、緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需、為公共利益實(shí)施新聞報(bào)道或輿論監(jiān)督、合理處理公開信息等合法性基礎(chǔ)。保險機(jī)構(gòu)在處理個人信息時應(yīng)確保至少符合一項(xiàng)合法性基礎(chǔ)，特別是：

第一，關(guān)注同意的有效性。同意只有在符合個人在充分知情、自愿、明確的條件下方為有效，通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息均為違法行為。為確保同意的有效性，保險機(jī)構(gòu)在獲取同意時應(yīng)注意以下幾個問題。一是確保個人的自主選擇。在個人信息主體主動做出選擇下獲取同意，避免默示同意或默認(rèn)勾選。二是選擇恰當(dāng)?shù)耐鈺r機(jī)。告知一般需要在基本業(yè)務(wù)功能開啟前進(jìn)行，但同意建議在收集行為真正發(fā)生前獲取，特別是告知的時間點(diǎn)和收集個人信息的時間點(diǎn)相差很大時，否則會在必要性方面受到挑戰(zhàn)。如有的App或小程序彈出授權(quán)對話框聲明“您的位置信息將用于后續(xù)購買保險時使用”，便存在時機(jī)不恰當(dāng)?shù)膯栴}，更合理的做法應(yīng)該是在購買保險時彈出授權(quán)后再收集，而非提前收集。此外要盡量避免授權(quán)同意的模式，獲取同意時建議同步告知收集目的和相關(guān)處理規(guī)則等。三是避免捆綁方式同意。同意應(yīng)當(dāng)區(qū)分基本功能和附加功能，除提供產(chǎn)品或服務(wù)所必須外，不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或服務(wù)。此外，有的App還存在強(qiáng)制同意的問題，如要求“必須獲取位置授權(quán)后才能訪問網(wǎng)頁”，點(diǎn)擊拒絕后無法繼續(xù)使用，但位置信息并非必要信息;還有的微信小程序拒絕同意非必要信息后連續(xù)彈窗，使小程序無法正常使用。

另外，還需要特別關(guān)注“單獨(dú)同意”的場景。根據(jù)法律規(guī)定，向他人提供個人信息、公開個人信息、在公共場所收集的個人圖像、身份識別信息用于維護(hù)公共安全以外的目的、處理敏感信息、向境外提供個人信息六種場景下，需要獲得個人的單獨(dú)同意。如果遇到這些場景，不能與其他個人信息處理活動合并在一起獲得個人同意，就此類事項(xiàng)建議通過單獨(dú)彈窗、發(fā)送郵件或短信、單獨(dú)文件等方式告知后獲得同意。

處理員工個人信息時，應(yīng)盡量避免使用同意作為合法性基礎(chǔ)，根據(jù)《個人信息保護(hù)法》規(guī)定“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”是一項(xiàng)獨(dú)立的合法性基礎(chǔ)，從中可以看出，我國對處理員工個人信息也傾向于不使用同意作為合法性基礎(chǔ)。需要注意的是，同意作為處理個人信息的合法性基礎(chǔ)具有脆弱性，個人主體可以隨時撤回同意。所以，雖然同意是較為常見的合法性基礎(chǔ)，但保險機(jī)構(gòu)在處理個人信息時應(yīng)先考慮其他合法性基礎(chǔ)，而降低同意的優(yōu)先性。

第二，對其他合法性基礎(chǔ)進(jìn)行梳理和評估?！秱€人信息保護(hù)法》調(diào)整了《網(wǎng)絡(luò)安全法》將同意作為唯一合法性基礎(chǔ)的做法。如依據(jù)同意以外的合法性基礎(chǔ)，建議保險機(jī)構(gòu)進(jìn)行梳理和評估，包括但不限于處理依據(jù)、處理目的、處理信息類型和種類、對個人主體的影響等，確保個人信息處理的合法性原則。

個人信息使用須進(jìn)一步規(guī)范?！秱€人信息保護(hù)法》深刻地影響著保險機(jī)構(gòu)對個人信息的開發(fā)、利用，保險機(jī)構(gòu)對個人信息的使用需要進(jìn)一步規(guī)范。

第一，遵守目的限制。保險機(jī)構(gòu)獲得同意后收集的數(shù)據(jù)并不是可以無限制地使用，還必須符合目的限制要求。收集、使用個人信息的目的在告知時應(yīng)向數(shù)據(jù)主體明確告知，不同信息有不同目的時，分別進(jìn)行詳細(xì)說明;同一信息有多個目的，按照信息對用戶的影響程度排序，對用戶影響最嚴(yán)重的優(yōu)先進(jìn)行說明。在使用過程中也要嚴(yán)格遵守目的限制的要求，如投保人僅同意用于理賠，就不得用于產(chǎn)品服務(wù)或開發(fā)等其他目的。

第二，規(guī)范第三方合作。保險機(jī)構(gòu)與第三方進(jìn)行合作時，可能涉及從第三方獲取數(shù)據(jù)或向第三方轉(zhuǎn)讓個人信息，此為個人信息處理高風(fēng)險環(huán)節(jié)。

一是從第三方獲取數(shù)據(jù)。因保險業(yè)務(wù)特點(diǎn)和監(jiān)管特征，保險行業(yè)個人信息從第三方獲取的現(xiàn)象較為常見，包括：直保業(yè)務(wù)中保險公司從投保人獲取被保險人、受益人個人信息;再保險業(yè)務(wù)中再保險人從直保公司獲取個人信息;監(jiān)管機(jī)構(gòu)因履行監(jiān)管職責(zé)從保險公司獲取個人信息;其他情形，如基于核保、防范保險欺詐等目的開發(fā)風(fēng)控系統(tǒng)，從醫(yī)療機(jī)構(gòu)、征信機(jī)構(gòu)、其他金融機(jī)構(gòu)獲取信息等。對于前三類情形，筆者認(rèn)為，獲取個人直接同意較為困難，而且都有其他合法性基礎(chǔ)或合理目的。如保險公司獲取被保險人、受益人信息是基于保險業(yè)務(wù)實(shí)名制的要求、辦理再保險業(yè)務(wù)是基于風(fēng)險分散的要求、監(jiān)管機(jī)構(gòu)是基于履行監(jiān)管職責(zé)的要求。建議監(jiān)管機(jī)構(gòu)能夠通過指引或監(jiān)管規(guī)則明確相關(guān)主體無須獲得同意，但仍然需要履行告知義務(wù)、遵守目的限制、采取安全技術(shù)措施義務(wù)等。對于其他情形，保險機(jī)構(gòu)應(yīng)盡量獲取匿名化或去標(biāo)志化的信息，對于保險公司開發(fā)產(chǎn)品、業(yè)務(wù)創(chuàng)新等，大部分情形下并沒有使用可識別具體個人信息的需求，使用群體數(shù)據(jù)即可滿足目的。即使基于風(fēng)控目的需要使用可識別的個人信息，也盡量避免直接獲取原始信息，如為了使用第三方提供的數(shù)據(jù)確定被保險人的最高保額，可以僅第三方提供結(jié)論性數(shù)據(jù)，而不直接獲取相關(guān)信息。在必須獲取原始信息的情況下，需要按照三重授權(quán)的原則，按照限定的目的使用個人信息。

二是向第三方提供數(shù)據(jù)。保險機(jī)構(gòu)向第三方提供數(shù)據(jù)較為常見的情形包括：向保險集團(tuán)內(nèi)成員公司共享提供;向其他委托提供必要服務(wù)的合作伙伴共享提供;向再保險接受人共享提供;向監(jiān)管機(jī)構(gòu)共享提供;在保險科技開發(fā)中向科技企業(yè)提供樣板數(shù)據(jù)等。對于保險集團(tuán)而言，集團(tuán)內(nèi)數(shù)據(jù)的共享、融合，能夠發(fā)揮數(shù)據(jù)的集合作用，但各國個人信息保護(hù)法規(guī)都沒有對保險集團(tuán)內(nèi)數(shù)據(jù)共享做出豁免的規(guī)定。目前，保險集團(tuán)內(nèi)共享個人信息的目的主要包括推薦產(chǎn)品、開展市場調(diào)查與信息數(shù)據(jù)分析、提供咨詢、售前售后服務(wù)、推薦感興趣的信息等。集團(tuán)內(nèi)共享個人信息的目的大多不屬于提供保險基礎(chǔ)服務(wù)的必要目的，更多的為附加服務(wù)?；诖祟惸康牡募瘓F(tuán)內(nèi)共享，保險機(jī)構(gòu)需要獲得個人的同意，并且還要受限于個人主體對共享行為的單獨(dú)拒絕或撤回同意。有的保險集團(tuán)以集團(tuán)名義收集、使用個人信息，要求信息主體授權(quán)集團(tuán)所有成員公司使用其個人信息，這種做法容易造成個人信息處理者的混淆，可能導(dǎo)致同意存在瑕疵。

筆者認(rèn)為，利用保險集團(tuán)內(nèi)集合數(shù)據(jù)進(jìn)行數(shù)據(jù)分析或開發(fā)，在很多情形下并不需要可識別到具體個人的信息，即使在集團(tuán)內(nèi)共享也應(yīng)避免提供原始個人信息，若提供去標(biāo)志化、匿名化數(shù)據(jù)能夠?qū)崿F(xiàn)目的，應(yīng)提供去標(biāo)志化、匿名化的數(shù)據(jù)。確需向第三方（含集團(tuán)內(nèi)成員）提供個人信息時，需要獲得單獨(dú)同意并嚴(yán)格進(jìn)行評估，包括合法、正當(dāng)、必要評估、對個人權(quán)益的影響、對方采取的保護(hù)措施是否與風(fēng)險程度相適應(yīng)等。如果涉及跨境提供個人信息的，除進(jìn)行評估外，還需要采取額外措施以使境外接收方處理個人信息的活動達(dá)到《個人信息保護(hù)法》規(guī)定的保護(hù)標(biāo)準(zhǔn)。涉及向境外監(jiān)管機(jī)構(gòu)提供信息的，必須得到主管機(jī)關(guān)的批準(zhǔn)。保險機(jī)構(gòu)還需要關(guān)注行業(yè)監(jiān)管規(guī)定，是否有向第三方轉(zhuǎn)讓的禁止性規(guī)定等。

三是與第三方共同處理、委托第三方處理數(shù)據(jù)?！秱€人信息保護(hù)法》明確個人信息處理者共同處理個人信息，侵害個人信息權(quán)益造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任;個人信息處理者委托處理個人信息的，應(yīng)對受托人的個人信息處理活動進(jìn)行監(jiān)督。身份認(rèn)定的不同將影響到保險機(jī)構(gòu)與第三方的權(quán)利義務(wù)和責(zé)任承擔(dān)方式。保險機(jī)構(gòu)應(yīng)特別注意共同處理人的連帶責(zé)任，在與第三方合作過程中，如接入第三方軟件開發(fā)工具包（SDK）、與保險科技企業(yè)合作等，應(yīng)通過合同等方式明確各自身份性質(zhì)，明確權(quán)利義務(wù)，避免承擔(dān)不必要的責(zé)任。向第三方轉(zhuǎn)讓個人信息、與第三方共同處理、委托第三方處理，在向信息主體告知時，可以列明相關(guān)第三方。

四是規(guī)范自動化決策。保險機(jī)構(gòu)的自動化決策應(yīng)用也較為普遍，智能核保與風(fēng)險定價、智能理賠、推薦感興趣產(chǎn)品等場景都有可能涉及自動化決策。保險機(jī)構(gòu)利用個人信息進(jìn)行自動化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平合理，在透明度方面應(yīng)告知數(shù)據(jù)主體基本邏輯并進(jìn)行評估，確保符合合法、正當(dāng)、必要等原則;在數(shù)據(jù)使用方面應(yīng)盡量使用去標(biāo)志化或匿名化的數(shù)據(jù)，減少對個人權(quán)益的影響。如果涉及自動推送或營銷，應(yīng)盡量使用群體畫像，并保障個人的選擇權(quán)和拒絕權(quán)。在保障個人拒絕權(quán)方面，一般應(yīng)使拒絕與同意具有相同的便捷性，但有保險機(jī)構(gòu)存在通過App或小程序獲得同意，但拒絕需要撥打熱線電話或發(fā)送郵件的情形。

五是對敏感信息進(jìn)行強(qiáng)保護(hù)。對敏感信息進(jìn)行強(qiáng)保護(hù)也是國際普遍做法，《個人信息保護(hù)法》規(guī)定的敏感信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及兒童個人信息。保險機(jī)構(gòu)掌握的個人信息很多也會落入敏感信息保護(hù)中，需要對此類信息進(jìn)行強(qiáng)保護(hù)，包括單獨(dú)同意、強(qiáng)告知、評估以及兒童信息的強(qiáng)保護(hù)等。

個人信息保護(hù)影響評估和保障個人權(quán)利的壓力增加。個人信息保護(hù)影響評估在之前主要為國家標(biāo)準(zhǔn)推薦做法，《個人信息保護(hù)法》將個人信息保護(hù)影響評估正式吸收為個人信息處理者的法定義務(wù)。今后保險機(jī)構(gòu)個人信息保護(hù)工作將向“實(shí)質(zhì)合規(guī)”邁進(jìn)，不能僅停留在制定隱私政策、獲取同意等形式合規(guī)手段?！秱€人信息保護(hù)法》規(guī)定的法定評估情形中，對于“其他對個人權(quán)益有重大影響的個人信息處理活動”，保險機(jī)構(gòu)宜根據(jù)本公司實(shí)際情況明確需要進(jìn)行評估的情形，筆者建議該等評估盡量寬泛，可以與日常數(shù)據(jù)合規(guī)審核相結(jié)合。

為保障《個人信息保護(hù)法》規(guī)定的個人在信息處理活動中的知情權(quán)、決定權(quán)、查閱復(fù)制權(quán)、可攜帶權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、解釋說明權(quán)等，保險機(jī)構(gòu)需要投入人力、物力建立權(quán)利響應(yīng)機(jī)制。在前述個人權(quán)利中，保險機(jī)構(gòu)需要特別關(guān)注可攜帶權(quán)和刪除權(quán)?？蓴y帶權(quán)是最終版本新增的權(quán)利，可攜帶權(quán)主要是為了防止數(shù)據(jù)壟斷，促進(jìn)數(shù)據(jù)的流通。以保險行業(yè)為例，基于可攜帶權(quán)，自然人甲可以要求A保險公司將其持有的與甲有關(guān)的個人數(shù)據(jù)提供給B保險公司。關(guān)于提供的形式，GDPR要求以結(jié)構(gòu)化、通用和機(jī)器可讀的格式提供，《個人信息保護(hù)法》則尚未明確以何種形式提供，但要求符合國家網(wǎng)信部門規(guī)定條件，有待網(wǎng)信部門進(jìn)一步明確。保險行業(yè)需要關(guān)注可攜帶權(quán)可能帶來的數(shù)據(jù)競爭問題，如A保險機(jī)構(gòu)通過向甲提供免費(fèi)服務(wù)或?qū)r等方式，促使甲請求B保險機(jī)構(gòu)直接將其持有的甲的信息轉(zhuǎn)讓給A保險機(jī)構(gòu)，而不需要B保險機(jī)構(gòu)的同意。筆者認(rèn)為需要對可攜帶權(quán)施加一些限制，比如保險機(jī)構(gòu)對合法收集的個人信息通過再加工形成的不再屬于個人信息的衍生數(shù)據(jù)，應(yīng)屬于保險機(jī)構(gòu)自有數(shù)據(jù)，不能落入可攜帶權(quán)的范圍。刪除權(quán)是容易被個人信息處理者忽視的權(quán)利，對于刪除權(quán)的落實(shí)往往不到位?！秱€人信息保護(hù)法》規(guī)定了個人有權(quán)請求刪除的五種情形，這對保險機(jī)構(gòu)個人信息保護(hù)動態(tài)化管理提出了更高的要求，促使保險機(jī)構(gòu)保留期限前盡快挖掘、利用數(shù)據(jù)價值，不能讓數(shù)據(jù)在系統(tǒng)里睡覺。當(dāng)出現(xiàn)需要刪除情形時，保險機(jī)構(gòu)應(yīng)當(dāng)予以刪除或?qū)?shù)據(jù)匿名化處理之后刪除。在委托第三方處理時，當(dāng)委托事項(xiàng)結(jié)束時應(yīng)要求第三方及時刪除。

保險業(yè)落實(shí)《個人信息保護(hù)法》的建議

樹立底線思維，識別高風(fēng)險場景。保險機(jī)構(gòu)在個人信息保護(hù)工作中，要堅(jiān)持底線思維，嚴(yán)防出現(xiàn)踩紅線的情形。筆者認(rèn)為，以下兩方面工作需要特別重視：

一是防泄漏。個人信息泄露，特別是大規(guī)模的個人信息泄露，不僅會損害個人主體權(quán)益導(dǎo)致民事責(zé)任，也會引起公安機(jī)關(guān)或監(jiān)管機(jī)構(gòu)對本機(jī)構(gòu)個人信息保護(hù)義務(wù)落實(shí)情況的倒查，可能導(dǎo)致刑事責(zé)任和行政責(zé)任，更會嚴(yán)重?fù)p害保險機(jī)構(gòu)的聲譽(yù)。防泄漏是保險機(jī)構(gòu)個人信息保護(hù)工作的首要目標(biāo)，保險機(jī)構(gòu)可以通過技術(shù)手段保障個人信息的安全，使用對隱私保護(hù)友好的技術(shù)，如聯(lián)邦學(xué)習(xí)、多方安全計(jì)算等隱私計(jì)算技術(shù)，實(shí)現(xiàn)個人信息的“可用不可見”，可以對防止泄露起到重要作用。對于載有個人信息的紙質(zhì)文件，如保單、理賠申請表等，應(yīng)進(jìn)行物理上的安全保管。另一方面，保險機(jī)構(gòu)要采取管理措施，避免非必要的人員接觸到個人信息，對于擁有下載、復(fù)制、查詢等權(quán)限的員工，可以通過建立審批機(jī)制、強(qiáng)驗(yàn)證、固定場所實(shí)施等措施防止道德風(fēng)險。

二是防濫用。保險機(jī)構(gòu)對個人信息的利用要符合目的限制，按照合法、正當(dāng)、最小必要、誠信的原則處理。為防止濫用，筆者建議保險機(jī)構(gòu)在使用個人信息前，特別是自動化決策等高風(fēng)險行為，都要根據(jù)本公司實(shí)際進(jìn)行評估。保險機(jī)構(gòu)也應(yīng)分清輕重緩急，關(guān)注本公司可能導(dǎo)致個人信息泄漏、濫用或違規(guī)的高風(fēng)險場景，由點(diǎn)及面逐步落實(shí)《個人信息保護(hù)》的義務(wù)。通常而言，保險機(jī)構(gòu)高風(fēng)險場景包括合規(guī)要求多或個人感知明顯的場景，如第三方提供或收集個人信息（包括集團(tuán)系統(tǒng)內(nèi)共享、委托第三方處理、向境外提供等）、向用戶推銷產(chǎn)品（包括電話銷售、短信郵件營銷）。對于高風(fēng)險場景，保險機(jī)構(gòu)應(yīng)投入更多的精力進(jìn)行管理，特別是在電話銷售過程中，要確保個人信息能夠用于推銷。在電話銷售中如何實(shí)現(xiàn)處理規(guī)則的告知也是難點(diǎn)，一般應(yīng)在收集信息前應(yīng)向客戶提供隱私聲明等文件，如以口頭形式則需要進(jìn)行錄音。對于客戶在電話中明確拒絕接受服務(wù)的，建議保險機(jī)構(gòu)將該類電話號碼建立清單管理，日后進(jìn)行電話促銷時應(yīng)復(fù)查，在清單內(nèi)的電話號碼則不再進(jìn)行電話營銷。

建立個人信息保護(hù)管理機(jī)制。第一，明確組織架構(gòu)、職責(zé)分工。保險機(jī)構(gòu)應(yīng)明確個人信息保護(hù)的責(zé)任部門，明確個人信息處理部門、信息技術(shù)部門、法律合規(guī)部門各自職責(zé)。如果達(dá)到國家規(guī)定的處理規(guī)模，保險機(jī)構(gòu)還應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人。個人信息保護(hù)屬于保險機(jī)構(gòu)數(shù)據(jù)治理的重要內(nèi)容，保險機(jī)構(gòu)在建立自身數(shù)據(jù)治理體系時，要將個人信息保護(hù)或數(shù)據(jù)合規(guī)作為一項(xiàng)重要內(nèi)容，個人信息保護(hù)機(jī)制也應(yīng)與本公司數(shù)據(jù)治理體系相適應(yīng)。

第二，建章立制、采取技術(shù)措施。保險機(jī)構(gòu)應(yīng)根據(jù)法律法規(guī)、監(jiān)管規(guī)定，結(jié)合本公司實(shí)際制定個人信息保護(hù)規(guī)章制度，并可以參考國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的建議，采取加密、去標(biāo)志化等技術(shù)措施保障個人信息的安全。在委托第三方建設(shè)系統(tǒng)、開發(fā)App時，可以將個人信息保護(hù)需求作為開發(fā)的要求。

第三，個人信息分類分級和動態(tài)管理。不同種類的個人信息所要求的保護(hù)等級不同，在梳理掌握本機(jī)構(gòu)個人信息的基礎(chǔ)上，應(yīng)當(dāng)從個人信息保護(hù)角度進(jìn)行分類分級，如敏感信息的識別、分類、劃分保護(hù)等級等。同時，個人信息保護(hù)不是一勞永逸的，是一個動態(tài)變化的過程，需要進(jìn)行動態(tài)管理，包括處理目的的動態(tài)管理、合法性基礎(chǔ)的動態(tài)管理、保存期限的動態(tài)管理等。根據(jù)不同期間的不同要求，調(diào)整對個人信息的使用和保存方式。

第四，運(yùn)用好個人信息保護(hù)工具。一是用好合同協(xié)議工具。特別是在與第三方合作過程中，明確雙方主體性質(zhì)、權(quán)利義務(wù)管理、違規(guī)責(zé)任承擔(dān)等內(nèi)容，保險機(jī)構(gòu)可以制定合同或協(xié)議模板，以供業(yè)務(wù)部門使用。二是用好個人信息影響評估工具。開展個人信息影響評估既是法律規(guī)定的義務(wù)，也是進(jìn)行個人信息保護(hù)管理的有效工具。個人信息影響評估單靠某個部門難以完成，通常需要數(shù)據(jù)處理部門、信息技術(shù)部門和法律合規(guī)部門的共同參與，如數(shù)據(jù)處理部門負(fù)責(zé)需求等合理性評估、信息技術(shù)部門負(fù)責(zé)安全保障技術(shù)措施充足性評估、法律合規(guī)部門負(fù)責(zé)合法合規(guī)性評估等。個人信息影響評估一般應(yīng)在處理個人信息前開展，但在系統(tǒng)、應(yīng)用程序開發(fā)的場景下，個人信息影響評估應(yīng)在需求論證階段便開始，并貫穿于開發(fā)、測試、驗(yàn)收各個環(huán)節(jié)進(jìn)行。

第五，建立培訓(xùn)和安全審計(jì)機(jī)制。對于能夠接觸、處理到個人信息的崗位人員，保險機(jī)構(gòu)應(yīng)當(dāng)重點(diǎn)進(jìn)行培訓(xùn)，降低道德風(fēng)險、操作風(fēng)險，使其能夠熟練掌握個人信息保護(hù)政策和相關(guān)流程。根據(jù)規(guī)定，個人信息保護(hù)機(jī)制也應(yīng)建立類似三道防線的機(jī)制，定期對其處理個人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

第六，做好個人信息保護(hù)留痕管理?！秱€人信息保護(hù)法》在民事責(zé)任方面確定了個人信息處理者過錯推定的歸責(zé)原則，個人信息影響評估記錄需要保留3年，而且在相關(guān)機(jī)構(gòu)對保險機(jī)構(gòu)進(jìn)行檢查時，保險機(jī)構(gòu)也需要保留相關(guān)材料以證明個人信息處理的合規(guī)性。這都要求保險機(jī)構(gòu)記錄好個人信息處理活動，做好留痕管理。

完善保險行業(yè)個人信息處理監(jiān)管規(guī)則，制定保險行業(yè)標(biāo)準(zhǔn)。此前，我國金融行業(yè)個人信息保護(hù)監(jiān)管規(guī)則呈現(xiàn)以銀行業(yè)為主的特點(diǎn)，如《中國人民銀行關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個人金融信息保護(hù)工作的通知》《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》僅適用于銀行機(jī)構(gòu)或支付機(jī)構(gòu)，《個人金融信息（數(shù)據(jù)）保護(hù)試行辦法》也主要發(fā)給銀行機(jī)構(gòu)征求意見，保險行業(yè)自身的監(jiān)管規(guī)則缺失。從完善保險業(yè)監(jiān)管規(guī)則和制定行業(yè)標(biāo)準(zhǔn)方面，筆者建議：

第一，制定保險行業(yè)專門的監(jiān)管規(guī)定。保險經(jīng)營與銀行、證券等業(yè)務(wù)存在明顯不同，存在核保、理賠、再保險等特有業(yè)務(wù)場景，不能完全適用同一套監(jiān)管規(guī)則。在一些國家或地區(qū)，監(jiān)管機(jī)構(gòu)針對保險業(yè)制定了單獨(dú)的指引或規(guī)則。如中國香港個人資料私隱專員公署發(fā)布了《給保險業(yè)界的指引》提出了實(shí)用建議;新加坡人壽保險協(xié)會發(fā)布了落實(shí)新加坡個人數(shù)據(jù)保護(hù)法的實(shí)務(wù)守則，梳理了人壽保險業(yè)務(wù)中需要使用或披露個人信息的場景以及不同目的下存儲個人信息的最短時間等。筆者建議制定保險行業(yè)專門的監(jiān)管規(guī)定，一是指導(dǎo)保險機(jī)構(gòu)開展個人信息保護(hù)工作;二是制定保險業(yè)個人信息保護(hù)管理辦法，在監(jiān)管規(guī)則中明確保險業(yè)個人信息保護(hù)行業(yè)監(jiān)管層面的各項(xiàng)機(jī)制，規(guī)范保險機(jī)構(gòu)為履行監(jiān)管義務(wù)必須收集的個人信息，為保險機(jī)構(gòu)處理個人信息奠定合法性基礎(chǔ)。如統(tǒng)一明確保險機(jī)構(gòu)為實(shí)現(xiàn)保險基本功能，在投保、核保、理賠、辦理再保險等環(huán)節(jié)最少收集信息等。

第二，制定個人信息保護(hù)行業(yè)準(zhǔn)則。監(jiān)管機(jī)構(gòu)或者行業(yè)協(xié)會可以統(tǒng)籌行業(yè)推廣個人信息保護(hù)工作的良好實(shí)踐，彌補(bǔ)單一保險機(jī)構(gòu)開展個人信息保護(hù)工作具有局限性，可以推動行業(yè)數(shù)據(jù)的共享和使用。這些行業(yè)標(biāo)準(zhǔn)可以包括保險行業(yè)個人信息處理規(guī)則推薦條款、保險業(yè)個人信息共享指南、保險業(yè)個人信息影響評估指南、保險業(yè)應(yīng)用程序開發(fā)測評指南、中小型保險機(jī)構(gòu)個人信息保護(hù)指南、保險機(jī)構(gòu)使用新技術(shù)（如人臉識別、人工智能等）指南等。

（張坤為中國再保險（集團(tuán)）股份有限公司內(nèi)控合規(guī)與法律事務(wù)部資深律師。本文編輯/秦婷）