李偉華 錦天城律師事務(wù)所

一、前言

隨著網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展，我國已進(jìn)入信息時代和網(wǎng)絡(luò)時代，數(shù)據(jù)和個人信息的合理使用與保護(hù)變得更加重要。隨著《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）以及《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）等相關(guān)法律法規(guī)的出臺，我國目前已形成以上述三法為核心的數(shù)據(jù)安全和個人信息保護(hù)的聯(lián)動體系。保險行業(yè)所經(jīng)營的保險業(yè)務(wù)是人們?nèi)粘Ｉ钪薪佑|較為頻繁的金融產(chǎn)品之一，保險行業(yè)企業(yè)獲取的數(shù)據(jù)和個人信息存在體量大、范圍廣、種類多等特點，更有可能直接關(guān)系到每個人的個人隱私和切身利益。因此，保險公司在數(shù)據(jù)安全和個人信息保護(hù)方面面臨著多種風(fēng)險，對此展開研究有其必要性和緊迫性。

隨著保險業(yè)數(shù)字化轉(zhuǎn)型的深入，特別是常態(tài)化疫情防控形勢下，“零接觸”的全面線上金融業(yè)務(wù)越來越廣泛，數(shù)據(jù)泄露的風(fēng)險敞口也在增加。相比傳統(tǒng)的封閉式架構(gòu)，基于移動互聯(lián)網(wǎng)的線上金融采取開放式架構(gòu)，更易成為攻擊目標(biāo)。技術(shù)促進(jìn)業(yè)務(wù)創(chuàng)新，但也有兩面性，例如，云平臺數(shù)據(jù)匯集使單體風(fēng)險演化為系統(tǒng)風(fēng)險、大數(shù)據(jù)時代的個人隱私數(shù)據(jù)易被濫用等，這些都需要重點關(guān)注。另外，保險的未來業(yè)務(wù)場景與外部場景環(huán)環(huán)相扣，其中個人金融信息保護(hù)成為發(fā)展的防線和底線。近年來，金融機構(gòu)成為黑客主要攻擊目標(biāo)，攻擊者從炫耀技術(shù)到詐騙勒索，目的不一，防范攻擊的復(fù)雜嚴(yán)峻形勢可見一斑。

與此同時，在進(jìn)入數(shù)字化時代之后，保險機構(gòu)的競爭力在于能夠充分發(fā)揮數(shù)據(jù)要素的效用，依托人工智能等技術(shù)了解客戶、觸達(dá)客戶并獲得其信息。依托數(shù)據(jù)要素經(jīng)營的未來業(yè)務(wù)發(fā)展，必須合法合規(guī)整合多方、海量、高維、異構(gòu)的數(shù)據(jù)，并采用數(shù)字化的運營模式，才能及時了解經(jīng)營管理狀態(tài)，降低經(jīng)濟(jì)環(huán)境不確定性、市場與周期波動、客戶需求變化帶來的風(fēng)險。數(shù)字化運營的內(nèi)生需要必須加大數(shù)據(jù)的集中程度，同時也將帶來更大的數(shù)據(jù)泄露風(fēng)險。當(dāng)前很多金融機構(gòu)正在全力推進(jìn)數(shù)據(jù)中臺、數(shù)據(jù)湖建設(shè)，但是傳統(tǒng)的授權(quán)模式、復(fù)雜的交換渠道也需要配套做徹底的改變，需要技術(shù)、思維與管理齊頭并進(jìn)，才能化解與之相伴相生的個人金融信息數(shù)據(jù)集中泄露風(fēng)險。

筆者認(rèn)為，從2018 年歐盟《通用數(shù)據(jù)保護(hù)條款》（General Data Protection Regulation，簡稱GDPR），到我國《個人信息保護(hù)法》《數(shù)據(jù)安全法》，包括《個人信息安全規(guī)范》（《信息安全技術(shù)個人信息安全規(guī)范》GB/T 35273-2020，2020年10月1日實施）和《個人金融信息保護(hù)技術(shù)規(guī)范》（《個人金融信息保護(hù)技術(shù)規(guī)范》JR/T 0171-2020，2020年2月13日實施）等國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)相繼出臺，全球個人金融信息安全保護(hù)的司法與監(jiān)管持續(xù)完善，并不斷趨嚴(yán)。根據(jù)新的司法與監(jiān)管要求，數(shù)據(jù)權(quán)益代表了數(shù)據(jù)的權(quán)利和利益，貫穿在數(shù)據(jù)流轉(zhuǎn)的整個生命周期，即使個人信息被授權(quán)使用，個人依然沒有放棄自己個人信息的合法權(quán)利。在數(shù)據(jù)已成為重要生產(chǎn)要素并成為智能化發(fā)展基石的情況下，這些改變勢必對個人金融信息數(shù)據(jù)保護(hù)提出新的要求。

近期，中國銀保監(jiān)會相繼出臺了《保險銷售行為管理辦法（征求意見稿）》以及《關(guān)于開展銀行保險機構(gòu)侵害個人信息權(quán)益亂象專項整治工作的通知》，有針對性地就保險機構(gòu)保護(hù)消費者個人信息提出了具體的自查與整改要求。筆者相信，在不久的將來，還會有更多關(guān)系到銀行業(yè)保險業(yè)數(shù)據(jù)安全與個人信息保護(hù)的規(guī)定出臺。

為了使保險企業(yè)進(jìn)一步了解法律法規(guī)的要求，同時明確自身面臨的風(fēng)險，筆者結(jié)合自身經(jīng)驗，就保險業(yè)務(wù)典型場景中所涉及的數(shù)據(jù)安全與個人信息保護(hù)相關(guān)問題展開分析，歸納具體的風(fēng)險要點，并提出相應(yīng)的解決方案。

二、保險業(yè)務(wù)場景法律分析

由于保險產(chǎn)品的特殊性，保險行業(yè)區(qū)別于其他行業(yè)，有著獨特的業(yè)務(wù)邏輯與運作模式，從而形成了其特有的業(yè)務(wù)流、資金流以及數(shù)據(jù)流。因此，保險企業(yè)在執(zhí)行《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》以及其他相關(guān)法律法規(guī)與國家/行業(yè)標(biāo)準(zhǔn)時，會面臨許多有別于其他行業(yè)的問題，為此，有必要根據(jù)保險業(yè)務(wù)典型場景按序逐一進(jìn)行研析。

（一）保險產(chǎn)品設(shè)計

保險公司經(jīng)營保險業(yè)務(wù)，保險產(chǎn)品是保險業(yè)務(wù)的基礎(chǔ)與核心，其在設(shè)計保險產(chǎn)品時，往往需要收集大量的數(shù)據(jù)作為確定保險產(chǎn)品保障范圍及厘定保險產(chǎn)品價格的理論依據(jù)，這些數(shù)據(jù)可能是保險公司自身多年的經(jīng)驗積累，也可能會由外部數(shù)據(jù)供應(yīng)商進(jìn)行采集。如何確保合法合規(guī)地采集并使用這些數(shù)據(jù)，應(yīng)成為保險公司在這一業(yè)務(wù)環(huán)節(jié)中關(guān)注的重點。

保險公司在收集使用數(shù)據(jù)時，應(yīng)先判斷數(shù)據(jù)的性質(zhì)，即根據(jù)相關(guān)法律法規(guī)的要求，判斷其是否包含重要數(shù)據(jù)、個人信息，并進(jìn)一步判斷個人信息中是否還包含敏感個人信息。保險公司如果建立了數(shù)據(jù)分級分類制度，就可以針對不同種類與等級的數(shù)據(jù)或個人信息采取不同的處理或保護(hù)措施。同時，要關(guān)注數(shù)據(jù)來源的合法性。如果涉及外部數(shù)據(jù)供應(yīng)商，應(yīng)重點檢查其業(yè)務(wù)資質(zhì)、數(shù)據(jù)來源、授權(quán)范圍；如果所處理的數(shù)據(jù)中包含個人信息，則應(yīng)確保數(shù)據(jù)供應(yīng)方已適當(dāng)履行了《個人信息保護(hù)法》中的各項規(guī)定，如履行“告知—同意”義務(wù)等。保險公司作為數(shù)據(jù)的采集方，不但應(yīng)關(guān)注數(shù)據(jù)來源的合法合規(guī)性，而且還應(yīng)進(jìn)一步留意在數(shù)據(jù)采集過程中可能存在的數(shù)據(jù)泄露、數(shù)據(jù)源偽造、數(shù)據(jù)篡改等安全風(fēng)險。

實踐中，建議根據(jù)《數(shù)據(jù)安全法》的相關(guān)規(guī)定，保險公司應(yīng)建立健全全流程數(shù)據(jù)安全管理制度，針對數(shù)據(jù)生命周期中數(shù)據(jù)的各個環(huán)節(jié)制定適當(dāng)?shù)木唧w規(guī)則與流程；同時，公司可以通過合同以及其他法律文件對第三方數(shù)據(jù)采集方予以監(jiān)督管理，在合作前對其是否有合法資質(zhì)且是否在授權(quán)范圍內(nèi)使用數(shù)據(jù)展開必要的驗證與審查；保持對重要數(shù)據(jù)以及國家核心數(shù)據(jù)的敏感度，采取一切必要手段判斷所收集的數(shù)據(jù)中有無觸及該范圍，可考慮通過協(xié)議等法律文件要求外部數(shù)據(jù)采集方履行告知義務(wù)，避免在重要數(shù)據(jù)或國家核心數(shù)據(jù)識別上的疏忽引發(fā)相關(guān)風(fēng)險。

（二）保險營銷

保險公司在開展保險營銷過程中，會自行或通過中介渠道直接或間接向營銷對象、潛在客戶或現(xiàn)存客戶提供保險資訊、展示企業(yè)形象、推介保險產(chǎn)品等，在此過程中會接觸到大量的個人信息并使用，建議保險公司針對以下注意事項，檢視相應(yīng)的流程是否充分覆蓋、責(zé)任部門是否明確。

1.保險中介業(yè)務(wù)

保險中介銷售即保險公司通過保險中介向目標(biāo)客戶開展的保險營銷活動。如何對保險中介在個人信息保護(hù)方面進(jìn)行有效管控，是否需要對不同類型中介進(jìn)行一刀切式的管理？目前我國的保險市場對于這些問題如何規(guī)制尚不清晰。

在討論上述這個問題前，筆者認(rèn)為應(yīng)考慮不同種類中介機構(gòu)的法律性質(zhì)及其在《個人信息保護(hù)法》下的第三方類型。

從表1 中的內(nèi)容可以看出，保險代理人與保險經(jīng)紀(jì)人根據(jù)其業(yè)務(wù)性質(zhì)不同，其在《個人信息保護(hù)法》下的第三方類型會有所區(qū)別，甚至保險經(jīng)紀(jì)人在其從事不同的業(yè)務(wù)項目時，第三方類型也會有所差異。因此，根據(jù)不同的第三方類型，保險公司應(yīng)根據(jù)不同的法律要求，對中介機構(gòu)采取差異化管理，準(zhǔn)備符合法律法規(guī)不同要求的法律文本。具體來說，不同類型的第三方在《個人信息保護(hù)法》下的權(quán)利義務(wù)的主要區(qū)別點，可參考表2。

在厘清中介的第三方法律地位以及需要承擔(dān)的責(zé)任與義務(wù)后，保險公司應(yīng)根據(jù)法律法規(guī)的要求，對中介進(jìn)行差異化管控，比如保險經(jīng)紀(jì)人向保險公司提供客戶個人信息的，保險公司應(yīng)確認(rèn)其是否依法履行了“告知—同意”義務(wù)，并且告知及同意的范圍是否包含本保險公司；而針對保險代理機構(gòu)，保險公司則應(yīng)加強監(jiān)督管理，確保個人信息收集使用等各環(huán)節(jié)的合法合規(guī)性，并對第三方采取適當(dāng)有效的管理措施。

2.個人保險代理人

個人保險代理人是一個較為特殊的群體，其在本質(zhì)上是保險銷售的渠道，接受保險公司委托開展保險營銷業(yè)務(wù)并代為收集客戶個人信息，但也有一定的企業(yè)員工屬性，如個人保險代理人接受保險公司的業(yè)績考核與管理。一方面，保險公司對其個人信息進(jìn)行處理；另一方面，個人保險代理人自身也掌握著客戶的個人信息。個人保險代理人人數(shù)眾多，管理難度大，如果在數(shù)據(jù)安全與個人信息保護(hù)方面不予以重視，極有可能對保險公司造成風(fēng)險。因此，建議保險公司對個人保險代理人進(jìn)行管理，主要可以從以下兩個方面考慮：一方面，保險公司應(yīng)妥善處理個人保險代理人自身的個人信息，在代理人招募、代理關(guān)系存續(xù)期間以及代理關(guān)系終止后的各個階段，采取適當(dāng)?shù)拇胧┯枰怨芸兀唇?jīng)個人保險代理人同意，不得將其個人信息用于除保險代理業(yè)務(wù)以外的其他場景；另一方面，針對個人保險代理人掌握的客戶信息，保險公司也應(yīng)掌握一定的管控主動權(quán)，比如控制個人保險代理人獲悉的客戶個人信息，解除代理關(guān)系時盡可能收回客戶個人信息等。

?表1 不同種類中介機構(gòu)的法律性質(zhì)及其在《個人信息保護(hù)法》下的第三方類型

?表2 不同類型的第三方在《個人信息保護(hù)法》下的權(quán)利義務(wù)的主要區(qū)別點

2022年7月，中國銀保監(jiān)會起草了《保險銷售行為管理辦法（征求意見稿）》，強調(diào)了“保險公司、中介妥善保護(hù)個人信息的義務(wù)，加強第三方合作機構(gòu)對于個人信息的管控義務(wù)”以及“銷售人員離職后，不提供后續(xù)保單服務(wù)或慫恿退保”等事項。筆者認(rèn)為，這與《個人信息保護(hù)法》內(nèi)容進(jìn)行了有效銜接，十分到位。

3.傳統(tǒng)保險營銷手段

為提高銷售效率，保險公司常常會采取一些營銷手段，比如交叉銷售、贈險獲客或通過活動贈送禮品收集個人信息。在《個人信息保護(hù)法》出臺后，這些營銷方式將面臨一定的挑戰(zhàn)?！秱€人信息保護(hù)法》規(guī)定，“個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意?！倍鲜鲞@些營銷手段在收集個人信息時，往往改變了原收集個人信息時的目的，因此保險公司在實踐中應(yīng)注意以下事項：第一，主動向個人客戶或潛在個人客戶履行“告知—同意”義務(wù)；第二，上述的“告知—同意”義務(wù)既可以在剛開始收集個人信息時履行，也可以在向其營銷前履行；第三，針對贈險或禮品贈送的對象，保險公司還應(yīng)確保其信息來源的合法合規(guī)性。

（三）投保

一份保險合同涉及各種相關(guān)人員，而處理這些人員的個人信息在《個人信息保護(hù)法》下的合法基礎(chǔ)是什么？哪些情況需要獲得對方同意？哪些情況可以豁免同意？只有搞清楚這些問題，才能讓保險公司針對不同對象制定對應(yīng)的措施，避免在投保時錯誤操作導(dǎo)致違反法律規(guī)定。

那么，在投保過程中究竟會涉及到哪幾類人員的個人信息？筆者認(rèn)為，除了最常見的投保人、被保險人以及受益人之外，還有相關(guān)企業(yè)投保的聯(lián)系人、雇主責(zé)任險下投保企業(yè)的員工個人信息等；而后分析保險公司在處理上述個人信息時，以下這些情況可以豁免個人的同意：（1）投保人作為保險合同當(dāng)事人，保險公司可根據(jù)《個人信息保護(hù)法》第十三條第二款的規(guī)定在投保過程中處理其個人信息應(yīng)豁免獲取其同意；而其他個人，如被保險人、受益人等無法根據(jù)此條規(guī)定得到同意的豁免。（2）《保險法》第十八條規(guī)定保險合同應(yīng)包括“投保人、被保險人的姓名或者名稱、住所，以及人身保險的受益人的姓名或者名稱、住所”，此條涉及被保險人與受益人，但個人信息的范圍僅包括名稱與住所，與實踐中（保險公司需收集被保險人與受益人更詳細(xì)的個人信息）的要求會有一定差距。（3）根據(jù)《人身保險客戶信息真實性管理暫行辦法》（保監(jiān)發(fā)〔2013〕82號）、《金融機構(gòu)客戶盡職調(diào)查和客戶身份資料及交易記錄保存管理辦法》（中國人民銀行中國銀行保險監(jiān)督管理委員會中國證券監(jiān)督管理委員會令〔2022〕第1 號）相關(guān)規(guī)定內(nèi)容，針對某類型保險產(chǎn)品，如人壽保險合同和具有投資性質(zhì)的保險合同、保險費金額人民幣5 萬元以上或者外幣等值1 萬美元以上的財產(chǎn)保險合同和健康保險、意外傷害保險以及保險期間超過一年的個人人身保險合同，保險公司都有義務(wù)收集被保險人及受益人的詳細(xì)個人信息，包括姓名、性別、出生日期、身份證件或身份證明文件的類型、號碼等。因此，保險公司似乎可根據(jù)《個人信息保護(hù)法》第十三條第三款的規(guī)定，即“履行法定義務(wù)”處理被保險人與受益人的個人信息，而無需獲得個人的同意。（4）除了上述情況外，未被列入上述類型的保險產(chǎn)品，以及非上述人員，如投保雇主責(zé)任險時收集企業(yè)客戶員工個人信息，則未查詢到可以適用豁免同意的法律依據(jù)。

鑒于上述分析，保險公司針對不同性質(zhì)的客戶投保不同產(chǎn)品時應(yīng)采取不同的投保要求，比如在投保單上設(shè)計對應(yīng)的話術(shù)請客戶勾選簽字同意，并通過適當(dāng)?shù)姆绞较騻€人展示《隱私政策》之類的文件，以滿足《個人信息保護(hù)法》中個人信息處理者向個人履行告知義務(wù)的要求。

（四）核保

保險核保泛指保險人在對投保標(biāo)的信息全面掌握、核實的基礎(chǔ)上，對可保風(fēng)險進(jìn)行評判與分類，進(jìn)而確定是否承保以及承保條件的過程。作為核保的評判依據(jù)，人身保險會要求投保人如實告知或提供被保險人的健康狀況、既往就診記錄、病歷資料或職業(yè)內(nèi)容等信息；財產(chǎn)保險則會要求提供保險標(biāo)的既往出險情況、實施的安全措施等相關(guān)資料。在保險公司開展核保工作時，建議注意以下情況：

1.核保信息收集范圍

目前保險機構(gòu)在核保時除了為保險風(fēng)險評估而收集信息，還會收集一些客戶的其他類型個人信息（如消費偏好、未來投資計劃等）作為用戶畫像信息的標(biāo)簽信息，為進(jìn)一步開展?fàn)I銷打下基礎(chǔ)或開展大數(shù)據(jù)分析。而保險公司收集的這些信息若與評判投保風(fēng)險關(guān)系不大，則可能超出了保險業(yè)務(wù)辦理的必要信息收集范圍，也有悖于《個人信息保護(hù)法》中的“直接相關(guān)”與“最小范圍”原則。因此，建議保險公司核保時收集客戶個人信息的范圍應(yīng)事先確定（最好通過核保手冊等書面文件確定），避免過度向客戶索要與保險標(biāo)的風(fēng)險評估無關(guān)的信息資料帶來的風(fēng)險。如確有必要收集的，則建議妥善做好“告知—同意”等《個人信息保護(hù)法》規(guī)定的各項義務(wù)。

2.核保信息保存期限

保險公司核保信息一般與保險合同一并保存，因此保存期限也會保持一致。根據(jù)《保險法》第八十七條的要求，“保險業(yè)務(wù)經(jīng)營活動有關(guān)的賬簿、原始憑證和有關(guān)資料的保管期限，自保險合同終止之日起計算，保險期間在一年以下的不得少于五年，保險期間超過一年的不得少于十年?！钡ｋU公司對于拒保、參與保險招投標(biāo)未中標(biāo)導(dǎo)致保險合同未最終訂立的情形似乎沒有特別關(guān)注，保存期限也沒有明確規(guī)定，這樣有可能與《個人信息保護(hù)法》“個人信息的保存期限應(yīng)當(dāng)為實現(xiàn)處理目的所必要的最短時間”的原則相違背。鑒于此，建議保險公司針對因上述情況收集的個人信息，除非另有監(jiān)管規(guī)定，盡量在業(yè)務(wù)目的完成后予以刪除或作匿名化處理，并制定出明確的刪除或銷毀流程，并由專人負(fù)責(zé)執(zhí)行。

（五）再保險

再保險是指保險人在原保險合同的基礎(chǔ)上，通過簽訂分保合同，將其所承保的部分風(fēng)險和責(zé)任向其他保險人或再保險人進(jìn)行保險的行為。再保業(yè)務(wù)中，直保人可能會將客戶的數(shù)據(jù)或個人信息與再保險人共享。在再保險業(yè)務(wù)場景下，再保險人應(yīng)被歸類于《個人信息保護(hù)法》下的哪種類型的第三方，從而該采取怎樣的對應(yīng)措施、采用哪些符合實際的法律文本內(nèi)容，本節(jié)將圍繞上述問題展開討論。

1.再保險人的第三方類型

從目前通行的再保險業(yè)務(wù)模式來看，再保險人與經(jīng)營直保業(yè)務(wù)的保險公司在業(yè)務(wù)關(guān)系上相對獨立，保險公司與再保險公司建立再保險業(yè)務(wù)關(guān)系后，其對于再保險人的管控度相對較低，并無彼此監(jiān)督管理的權(quán)利或義務(wù)。通常情況下，保險公司根據(jù)再保險業(yè)務(wù)需要將直?？蛻魝€人信息提供給再保險人，再保險人會根據(jù)自己的業(yè)務(wù)需要進(jìn)行處理，包括大數(shù)據(jù)分析、予以轉(zhuǎn)分保等，并且，即使在雙方再保險業(yè)務(wù)結(jié)束后，再保險公司也不會將在業(yè)務(wù)開展過程中收集到的個人信息返還保險公司或刪除銷毀。因此，鑒于再保險業(yè)務(wù)的現(xiàn)狀，筆者認(rèn)為再保險人的第三方類型為獨立第三方個人信息處理者。

2.再保險業(yè)務(wù)豁免單獨同意可能性

再保險人既然定位為獨立第三方個人信息處理者，就需要滿足表2 中的相關(guān)要求。首先就是保險公司在向再保險公司提供個人信息前應(yīng)取得個人的“單獨同意”，這也是目前保險公司與再保險公司在實踐中遇到的比較大的問題之一。往往在客戶投保時，保險公司還沒有確定具體的再保險業(yè)務(wù)接收人，即再保險公司，從而錯過了最好的取得投保人個人單獨同意的時機；并且，如果客戶拒絕同意或事后撤回同意，又會對再保險業(yè)務(wù)開展產(chǎn)生不利影響。上述這些情況該如何處理，以下對在此業(yè)務(wù)場景下豁免單獨同意的可能性予以討論。

對于單獨同意，目前法律界一致的觀點是，個人信息處理者取得個人單獨同意義務(wù)的前提條件是處理個人信息的合法基礎(chǔ)為“取得個人的同意（援引《個人信息保護(hù)法》第十三條第一款）”，如果處理個人信息的合法基礎(chǔ)為該條款的其余幾項，則豁免個人信息處理者取得個人同意或單獨同意的義務(wù)。

檢索相關(guān)法律與監(jiān)管規(guī)定，《保險法》第二十八條與《再保險業(yè)務(wù)管理規(guī)定》第十五條分別規(guī)定了“應(yīng)再保險接受人的要求，再保險分出人應(yīng)當(dāng)將其自負(fù)責(zé)任及原保險的有關(guān)情況書面告知再保險接受人”，以及“再保險分出人應(yīng)當(dāng)及時將影響再保險定價和分保條件的重要信息向再保險接受人書面告知；再保險合同成立后，再保險分出人應(yīng)當(dāng)及時向再保險接受人提供重大賠案信息、賠款準(zhǔn)備金等對再保險接受人的償付能力計算、準(zhǔn)備金計提及預(yù)期賠付有重大影響的信息”。因此，保險公司是否能借助以上法律與監(jiān)管規(guī)定，確定保險人根據(jù)“為履行法定義務(wù)”從而豁免取得客戶個人的單獨同意？但筆者認(rèn)為仍有以下障礙：（1）保險公司向再保險公司提供個人信息是基于雙方簽訂的再保險協(xié)議，該協(xié)議本身屬于雙方自行決定的商業(yè)性決定。雖然有《保險法》與《再保險業(yè)務(wù)管理規(guī)定》相關(guān)條款，但是否可以將再保險業(yè)務(wù)完全歸于“履行法定義務(wù)”有待商榷。（2）保險公司向客戶收集個人信息與其向再保險公司提供個人信息、處理個人信息的目的不同，前者是為訂立保險合同，而后者是以履行再保險合同為目的?；诓煌膫€人信息處理目的，是否依然可以適用豁免同意的情形也需要進(jìn)一步考證。

因此，關(guān)于上述對于再保險業(yè)務(wù)保險公司是否可以豁免取得單獨同意問題，建議保險公司與保險監(jiān)管部門進(jìn)行溝通，如實反饋保險行業(yè)在操作過程中的問題與難點，在取得監(jiān)管部門認(rèn)可的前提下開展業(yè)務(wù)。

3.其他問題

當(dāng)然，再保險業(yè)務(wù)可能出現(xiàn)的問題還不限于這些，譬如某個人直接向再保險公司行使自己在《個人信息保護(hù)法》下的各項權(quán)利，再保險人如何應(yīng)對？再保險公司向其他再保險人轉(zhuǎn)分保時，是否也需要履行“告知—同意”義務(wù)，又如何具體實施？這些疑問，都需要在日后的業(yè)務(wù)開展中不斷去摸索并采取適當(dāng)?shù)姆绞饺ヂ鋵嵔鉀Q。

（六）理賠

保險理賠是指在保險標(biāo)的發(fā)生保險事故而使被保險人財產(chǎn)受到損失或人身生命受到損害或保單約定的其他保險事故發(fā)生而需要給付保險金時，保險公司根據(jù)合同約定履行賠償或給付責(zé)任的行為。在處理理賠申請時，保險公司會向客戶或相關(guān)機構(gòu)收集或調(diào)查與保險事故相關(guān)的事實情況、證明資料，如就診記錄、損失憑證、公證文書、訴訟裁判文書等。保險公司往往委托保險公估人或調(diào)查公司等外部機構(gòu)對保險事故開展調(diào)查取證工作，所涉及的信息都是客戶的保險事故信息，大部分可能屬于敏感個人信息，包括住院病歷、體檢結(jié)果等，如何處理好這些信息也是保險公司需要關(guān)注的合規(guī)要點。

1.公估人與調(diào)查公司的第三方類型

公估公司與調(diào)查公司的第三方類型如何確定，筆者根據(jù)其工作的方式、服務(wù)的內(nèi)容以及與保險公司的業(yè)務(wù)關(guān)系，傾向于將其歸為受委托個人信息處理者。因此，保險公司應(yīng)格外注意以下幾點：（1）保險公司對公估或調(diào)查機構(gòu)應(yīng)執(zhí)行嚴(yán)格的審查和監(jiān)督措施，包括確保其業(yè)務(wù)資質(zhì)、調(diào)查渠道等的合法合規(guī)性。若外部機構(gòu)調(diào)查所獲數(shù)據(jù)或個人信息來源于非法渠道，保險公司將面臨較大法律風(fēng)險與聲譽風(fēng)險；（2）外部機構(gòu)處理的數(shù)據(jù)及個人信息有無超出約定的處理目的、處理方式；（3）保險公司是否有限制或制止外部機構(gòu)未經(jīng)公司同意的轉(zhuǎn)委托；（4）委托調(diào)查事項結(jié)束后，外部機構(gòu)是否可以繼續(xù)存儲調(diào)查時收集到的數(shù)據(jù)或個人信息，保險公司是否有相應(yīng)機制監(jiān)督外部機構(gòu)實施數(shù)據(jù)及個人信息的刪除或匿名化措施。

2.理賠資料的保存期限

理賠資料應(yīng)如何保存，尤其是涉及拒賠或相對于理賠申請少賠的情況，因其后續(xù)可能引發(fā)糾紛甚至訴訟仲裁，建議保險公司明確保存期限的原則，根據(jù)不同情況的理賠資料采取不同策略的保存期限。

（七）履行監(jiān)管規(guī)定的義務(wù)

在保險機構(gòu)履行監(jiān)管規(guī)定的義務(wù)時，如開展公司治理、遞交監(jiān)管報告等，保險機構(gòu)需要收集處理相關(guān)人員的個人信息的，往往認(rèn)為這些行為是履行“法定義務(wù)”而無需做什么，而《個人信息保護(hù)法》規(guī)定的豁免同意，卻依然需要對個人進(jìn)行告知。對此，筆者梳理以下幾種情況：

1.信息公開披露

為滿足《保險公司信息披露管理辦法》的要求，保險公司在官網(wǎng)上公開披露董事、監(jiān)事和高級管理人員與法定代表人的有關(guān)個人信息時，保險公司應(yīng)考慮向相關(guān)人員告知其個人信息公開披露的情況，包括信息類型、目的、途徑、方式等。

2.關(guān)聯(lián)方信息

根據(jù)《銀行保險機構(gòu)關(guān)聯(lián)交易管理辦法》的要求，保險機構(gòu)應(yīng)收集關(guān)聯(lián)自然人的個人信息，除本機構(gòu)的董事、監(jiān)事和高級管理人員外，還包括自然人股東、實控人、一致行動人、最終受益人等，及前述人員的近親屬。保險機構(gòu)有必要向這些自然人，尤其是向他們的近親屬履行告知義務(wù)，并建立有效可行的流程確保實施。

3.其他監(jiān)管報告

保險機構(gòu)為履行監(jiān)管要求向監(jiān)管部門或其指定的機構(gòu)提供相關(guān)數(shù)據(jù)及個人信息時也應(yīng)注意，這些人員的個人信息提供應(yīng)遵循《個人信息保護(hù)法》的相關(guān)要求，并確保相關(guān)個人信息不被非監(jiān)管報告的目的濫用。

三、展望兼結(jié)語

雖然《數(shù)據(jù)安全法》與《個人信息保護(hù)法》已經(jīng)出臺一年，但是由于國家政策標(biāo)準(zhǔn)和法規(guī)的執(zhí)行細(xì)則仍然處于草擬階段，許多企業(yè)在如何正確解讀及執(zhí)行落地方面還處在學(xué)習(xí)及觀望中。筆者上述圍繞保險業(yè)務(wù)場景下數(shù)據(jù)安全與個人信息保護(hù)問題展開的相關(guān)分析，僅停留于皮毛，尚未觸及深處，還需要整個保險行業(yè)加以重視，更需要《保險法》理論界和實務(wù)界不斷地進(jìn)行深入研究。不過，結(jié)合目前的發(fā)展情況，根據(jù)中國信息通信研究院云計算與大數(shù)據(jù)研究所《數(shù)據(jù)安全治理實踐指南1.0》的相關(guān)內(nèi)容，筆者大膽預(yù)測數(shù)據(jù)安全與個人信息保護(hù)可能會有以下兩大發(fā)展趨勢：

1.數(shù)據(jù)安全與個人信息保護(hù)實踐的“行業(yè)化”和“場景化”。不同行業(yè)、不同場景面臨的數(shù)據(jù)安全風(fēng)險與潛在威脅不盡相同，因此相關(guān)行業(yè)必須結(jié)合自身特點開展數(shù)據(jù)安全治理。

2.數(shù)據(jù)安全與個人信息保護(hù)從“離散型”向“體系化”演進(jìn)。數(shù)據(jù)安全與個人信息 保護(hù)問題由來已久，“離散型”的補丁式解決方法已不能完全適應(yīng)企業(yè)當(dāng)前的發(fā)展需要。如何整合有效資源，平衡數(shù)據(jù)安全與個人信息保護(hù)與業(yè)務(wù)發(fā)展，推動“體系化”數(shù)據(jù)安全治理建設(shè)，是行業(yè)與企業(yè)需要考慮的問題。

如前言所述，銀保監(jiān)會于今年8 月開展了銀行業(yè)保險業(yè)個人信息保護(hù)專項整治工作，并強調(diào)“現(xiàn)在各行各業(yè)都把信息作為競爭的核心，可是個人信息保護(hù)也存在很多問題和漏洞，所以要全面推動銀行業(yè)保險業(yè)切實落實《個人信息保護(hù)法》，以提升個人信息使用的規(guī)范性、保護(hù)消費者信息安全權(quán)”。因此，筆者深信，保險公司一定能借此機會盡快把數(shù)據(jù)安全與個人信息保護(hù)提上重要的議事日程，對發(fā)現(xiàn)的問題及時整改，叫停糾正，規(guī)范個人信息處理和管理行為。展望未來，我國保險業(yè)也一定會全面提升消費者個人信息保護(hù)工作水平。