李伟华 锦天城律师事务所

一、前言

随着网络信息技术的高速发展，我国已进入信息时代和网络时代，数据和个人信息的合理使用与保护变得更加重要。随着《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）以及《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等相关法律法规的出台，我国目前已形成以上述三法为核心的数据安全和个人信息保护的联动体系。保险行业所经营的保险业务是人们日常生活中接触较为频繁的金融产品之一，保险行业企业获取的数据和个人信息存在体量大、范围广、种类多等特点，更有可能直接关系到每个人的个人隐私和切身利益。因此，保险公司在数据安全和个人信息保护方面面临着多种风险，对此展开研究有其必要性和紧迫性。

随着保险业数字化转型的深入，特别是常态化疫情防控形势下，“零接触”的全面线上金融业务越来越广泛，数据泄露的风险敞口也在增加。相比传统的封闭式架构，基于移动互联网的线上金融采取开放式架构，更易成为攻击目标。技术促进业务创新，但也有两面性，例如，云平台数据汇集使单体风险演化为系统风险、大数据时代的个人隐私数据易被滥用等，这些都需要重点关注。另外，保险的未来业务场景与外部场景环环相扣，其中个人金融信息保护成为发展的防线和底线。近年来，金融机构成为黑客主要攻击目标，攻击者从炫耀技术到诈骗勒索，目的不一，防范攻击的复杂严峻形势可见一斑。

与此同时，在进入数字化时代之后，保险机构的竞争力在于能够充分发挥数据要素的效用，依托人工智能等技术了解客户、触达客户并获得其信息。依托数据要素经营的未来业务发展，必须合法合规整合多方、海量、高维、异构的数据，并采用数字化的运营模式，才能及时了解经营管理状态，降低经济环境不确定性、市场与周期波动、客户需求变化带来的风险。数字化运营的内生需要必须加大数据的集中程度，同时也将带来更大的数据泄露风险。当前很多金融机构正在全力推进数据中台、数据湖建设，但是传统的授权模式、复杂的交换渠道也需要配套做彻底的改变，需要技术、思维与管理齐头并进，才能化解与之相伴相生的个人金融信息数据集中泄露风险。

笔者认为，从2018 年欧盟《通用数据保护条款》（General Data Protection Regulation，简称GDPR），到我国《个人信息保护法》《数据安全法》，包括《个人信息安全规范》（《信息安全技术个人信息安全规范》GB/T 35273-2020，2020年10月1日实施）和《个人金融信息保护技术规范》（《个人金融信息保护技术规范》JR/T 0171-2020，2020年2月13日实施）等国家标准及行业标准相继出台，全球个人金融信息安全保护的司法与监管持续完善，并不断趋严。根据新的司法与监管要求，数据权益代表了数据的权利和利益，贯穿在数据流转的整个生命周期，即使个人信息被授权使用，个人依然没有放弃自己个人信息的合法权利。在数据已成为重要生产要素并成为智能化发展基石的情况下，这些改变势必对个人金融信息数据保护提出新的要求。

近期，中国银保监会相继出台了《保险销售行为管理办法（征求意见稿）》以及《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》，有针对性地就保险机构保护消费者个人信息提出了具体的自查与整改要求。笔者相信，在不久的将来，还会有更多关系到银行业保险业数据安全与个人信息保护的规定出台。

为了使保险企业进一步了解法律法规的要求，同时明确自身面临的风险，笔者结合自身经验，就保险业务典型场景中所涉及的数据安全与个人信息保护相关问题展开分析，归纳具体的风险要点，并提出相应的解决方案。

二、保险业务场景法律分析

由于保险产品的特殊性，保险行业区别于其他行业，有着独特的业务逻辑与运作模式，从而形成了其特有的业务流、资金流以及数据流。因此，保险企业在执行《网络安全法》《数据安全法》《个人信息保护法》以及其他相关法律法规与国家/行业标准时，会面临许多有别于其他行业的问题，为此，有必要根据保险业务典型场景按序逐一进行研析。

（一）保险产品设计

保险公司经营保险业务，保险产品是保险业务的基础与核心，其在设计保险产品时，往往需要收集大量的数据作为确定保险产品保障范围及厘定保险产品价格的理论依据，这些数据可能是保险公司自身多年的经验积累，也可能会由外部数据供应商进行采集。如何确保合法合规地采集并使用这些数据，应成为保险公司在这一业务环节中关注的重点。

保险公司在收集使用数据时，应先判断数据的性质，即根据相关法律法规的要求，判断其是否包含重要数据、个人信息，并进一步判断个人信息中是否还包含敏感个人信息。保险公司如果建立了数据分级分类制度，就可以针对不同种类与等级的数据或个人信息采取不同的处理或保护措施。同时，要关注数据来源的合法性。如果涉及外部数据供应商，应重点检查其业务资质、数据来源、授权范围；如果所处理的数据中包含个人信息，则应确保数据供应方已适当履行了《个人信息保护法》中的各项规定，如履行“告知—同意”义务等。保险公司作为数据的采集方，不但应关注数据来源的合法合规性，而且还应进一步留意在数据采集过程中可能存在的数据泄露、数据源伪造、数据篡改等安全风险。

实践中，建议根据《数据安全法》的相关规定，保险公司应建立健全全流程数据安全管理制度，针对数据生命周期中数据的各个环节制定适当的具体规则与流程；同时，公司可以通过合同以及其他法律文件对第三方数据采集方予以监督管理，在合作前对其是否有合法资质且是否在授权范围内使用数据展开必要的验证与审查；保持对重要数据以及国家核心数据的敏感度，采取一切必要手段判断所收集的数据中有无触及该范围，可考虑通过协议等法律文件要求外部数据采集方履行告知义务，避免在重要数据或国家核心数据识别上的疏忽引发相关风险。

（二）保险营销

保险公司在开展保险营销过程中，会自行或通过中介渠道直接或间接向营销对象、潜在客户或现存客户提供保险资讯、展示企业形象、推介保险产品等，在此过程中会接触到大量的个人信息并使用，建议保险公司针对以下注意事项，检视相应的流程是否充分覆盖、责任部门是否明确。

1.保险中介业务

保险中介销售即保险公司通过保险中介向目标客户开展的保险营销活动。如何对保险中介在个人信息保护方面进行有效管控，是否需要对不同类型中介进行一刀切式的管理？目前我国的保险市场对于这些问题如何规制尚不清晰。

在讨论上述这个问题前，笔者认为应考虑不同种类中介机构的法律性质及其在《个人信息保护法》下的第三方类型。

从表1 中的内容可以看出，保险代理人与保险经纪人根据其业务性质不同，其在《个人信息保护法》下的第三方类型会有所区别，甚至保险经纪人在其从事不同的业务项目时，第三方类型也会有所差异。因此，根据不同的第三方类型，保险公司应根据不同的法律要求，对中介机构采取差异化管理，准备符合法律法规不同要求的法律文本。具体来说，不同类型的第三方在《个人信息保护法》下的权利义务的主要区别点，可参考表2。

在厘清中介的第三方法律地位以及需要承担的责任与义务后，保险公司应根据法律法规的要求，对中介进行差异化管控，比如保险经纪人向保险公司提供客户个人信息的，保险公司应确认其是否依法履行了“告知—同意”义务，并且告知及同意的范围是否包含本保险公司；而针对保险代理机构，保险公司则应加强监督管理，确保个人信息收集使用等各环节的合法合规性，并对第三方采取适当有效的管理措施。

2.个人保险代理人

个人保险代理人是一个较为特殊的群体，其在本质上是保险销售的渠道，接受保险公司委托开展保险营销业务并代为收集客户个人信息，但也有一定的企业员工属性，如个人保险代理人接受保险公司的业绩考核与管理。一方面，保险公司对其个人信息进行处理；另一方面，个人保险代理人自身也掌握着客户的个人信息。个人保险代理人人数众多，管理难度大，如果在数据安全与个人信息保护方面不予以重视，极有可能对保险公司造成风险。因此，建议保险公司对个人保险代理人进行管理，主要可以从以下两个方面考虑：一方面，保险公司应妥善处理个人保险代理人自身的个人信息，在代理人招募、代理关系存续期间以及代理关系终止后的各个阶段，采取适当的措施予以管控，未经个人保险代理人同意，不得将其个人信息用于除保险代理业务以外的其他场景；另一方面，针对个人保险代理人掌握的客户信息，保险公司也应掌握一定的管控主动权，比如控制个人保险代理人获悉的客户个人信息，解除代理关系时尽可能收回客户个人信息等。

▶表1 不同种类中介机构的法律性质及其在《个人信息保护法》下的第三方类型

▶表2 不同类型的第三方在《个人信息保护法》下的权利义务的主要区别点

2022年7月，中国银保监会起草了《保险销售行为管理办法（征求意见稿）》，强调了“保险公司、中介妥善保护个人信息的义务，加强第三方合作机构对于个人信息的管控义务”以及“销售人员离职后，不提供后续保单服务或怂恿退保”等事项。笔者认为，这与《个人信息保护法》内容进行了有效衔接，十分到位。

3.传统保险营销手段

为提高销售效率，保险公司常常会采取一些营销手段，比如交叉销售、赠险获客或通过活动赠送礼品收集个人信息。在《个人信息保护法》出台后，这些营销方式将面临一定的挑战。《个人信息保护法》规定，“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”而上述这些营销手段在收集个人信息时，往往改变了原收集个人信息时的目的，因此保险公司在实践中应注意以下事项：第一，主动向个人客户或潜在个人客户履行“告知—同意”义务；第二，上述的“告知—同意”义务既可以在刚开始收集个人信息时履行，也可以在向其营销前履行；第三，针对赠险或礼品赠送的对象，保险公司还应确保其信息来源的合法合规性。

（三）投保

一份保险合同涉及各种相关人员，而处理这些人员的个人信息在《个人信息保护法》下的合法基础是什么？哪些情况需要获得对方同意？哪些情况可以豁免同意？只有搞清楚这些问题，才能让保险公司针对不同对象制定对应的措施，避免在投保时错误操作导致违反法律规定。

那么，在投保过程中究竟会涉及到哪几类人员的个人信息？笔者认为，除了最常见的投保人、被保险人以及受益人之外，还有相关企业投保的联系人、雇主责任险下投保企业的员工个人信息等；而后分析保险公司在处理上述个人信息时，以下这些情况可以豁免个人的同意：（1）投保人作为保险合同当事人，保险公司可根据《个人信息保护法》第十三条第二款的规定在投保过程中处理其个人信息应豁免获取其同意；而其他个人，如被保险人、受益人等无法根据此条规定得到同意的豁免。（2）《保险法》第十八条规定保险合同应包括“投保人、被保险人的姓名或者名称、住所，以及人身保险的受益人的姓名或者名称、住所”，此条涉及被保险人与受益人，但个人信息的范围仅包括名称与住所，与实践中（保险公司需收集被保险人与受益人更详细的个人信息）的要求会有一定差距。（3）根据《人身保险客户信息真实性管理暂行办法》（保监发〔2013〕82号）、《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》（中国人民银行中国银行保险监督管理委员会中国证券监督管理委员会令〔2022〕第1 号）相关规定内容，针对某类型保险产品，如人寿保险合同和具有投资性质的保险合同、保险费金额人民币5 万元以上或者外币等值1 万美元以上的财产保险合同和健康保险、意外伤害保险以及保险期间超过一年的个人人身保险合同，保险公司都有义务收集被保险人及受益人的详细个人信息，包括姓名、性别、出生日期、身份证件或身份证明文件的类型、号码等。因此，保险公司似乎可根据《个人信息保护法》第十三条第三款的规定，即“履行法定义务”处理被保险人与受益人的个人信息，而无需获得个人的同意。（4）除了上述情况外，未被列入上述类型的保险产品，以及非上述人员，如投保雇主责任险时收集企业客户员工个人信息，则未查询到可以适用豁免同意的法律依据。

鉴于上述分析，保险公司针对不同性质的客户投保不同产品时应采取不同的投保要求，比如在投保单上设计对应的话术请客户勾选签字同意，并通过适当的方式向个人展示《隐私政策》之类的文件，以满足《个人信息保护法》中个人信息处理者向个人履行告知义务的要求。

（四）核保

保险核保泛指保险人在对投保标的信息全面掌握、核实的基础上，对可保风险进行评判与分类，进而确定是否承保以及承保条件的过程。作为核保的评判依据，人身保险会要求投保人如实告知或提供被保险人的健康状况、既往就诊记录、病历资料或职业内容等信息；财产保险则会要求提供保险标的既往出险情况、实施的安全措施等相关资料。在保险公司开展核保工作时，建议注意以下情况：

1.核保信息收集范围

目前保险机构在核保时除了为保险风险评估而收集信息，还会收集一些客户的其他类型个人信息（如消费偏好、未来投资计划等）作为用户画像信息的标签信息，为进一步开展营销打下基础或开展大数据分析。而保险公司收集的这些信息若与评判投保风险关系不大，则可能超出了保险业务办理的必要信息收集范围，也有悖于《个人信息保护法》中的“直接相关”与“最小范围”原则。因此，建议保险公司核保时收集客户个人信息的范围应事先确定（最好通过核保手册等书面文件确定），避免过度向客户索要与保险标的风险评估无关的信息资料带来的风险。如确有必要收集的，则建议妥善做好“告知—同意”等《个人信息保护法》规定的各项义务。

2.核保信息保存期限

保险公司核保信息一般与保险合同一并保存，因此保存期限也会保持一致。根据《保险法》第八十七条的要求，“保险业务经营活动有关的账簿、原始凭证和有关资料的保管期限，自保险合同终止之日起计算，保险期间在一年以下的不得少于五年，保险期间超过一年的不得少于十年。”但保险公司对于拒保、参与保险招投标未中标导致保险合同未最终订立的情形似乎没有特别关注，保存期限也没有明确规定，这样有可能与《个人信息保护法》“个人信息的保存期限应当为实现处理目的所必要的最短时间”的原则相违背。鉴于此，建议保险公司针对因上述情况收集的个人信息，除非另有监管规定，尽量在业务目的完成后予以删除或作匿名化处理，并制定出明确的删除或销毁流程，并由专人负责执行。

（五）再保险

再保险是指保险人在原保险合同的基础上，通过签订分保合同，将其所承保的部分风险和责任向其他保险人或再保险人进行保险的行为。再保业务中，直保人可能会将客户的数据或个人信息与再保险人共享。在再保险业务场景下，再保险人应被归类于《个人信息保护法》下的哪种类型的第三方，从而该采取怎样的对应措施、采用哪些符合实际的法律文本内容，本节将围绕上述问题展开讨论。

1.再保险人的第三方类型

从目前通行的再保险业务模式来看，再保险人与经营直保业务的保险公司在业务关系上相对独立，保险公司与再保险公司建立再保险业务关系后，其对于再保险人的管控度相对较低，并无彼此监督管理的权利或义务。通常情况下，保险公司根据再保险业务需要将直保客户个人信息提供给再保险人，再保险人会根据自己的业务需要进行处理，包括大数据分析、予以转分保等，并且，即使在双方再保险业务结束后，再保险公司也不会将在业务开展过程中收集到的个人信息返还保险公司或删除销毁。因此，鉴于再保险业务的现状，笔者认为再保险人的第三方类型为独立第三方个人信息处理者。

2.再保险业务豁免单独同意可能性

再保险人既然定位为独立第三方个人信息处理者，就需要满足表2 中的相关要求。首先就是保险公司在向再保险公司提供个人信息前应取得个人的“单独同意”，这也是目前保险公司与再保险公司在实践中遇到的比较大的问题之一。往往在客户投保时，保险公司还没有确定具体的再保险业务接收人，即再保险公司，从而错过了最好的取得投保人个人单独同意的时机；并且，如果客户拒绝同意或事后撤回同意，又会对再保险业务开展产生不利影响。上述这些情况该如何处理，以下对在此业务场景下豁免单独同意的可能性予以讨论。

对于单独同意，目前法律界一致的观点是，个人信息处理者取得个人单独同意义务的前提条件是处理个人信息的合法基础为“取得个人的同意（援引《个人信息保护法》第十三条第一款）”，如果处理个人信息的合法基础为该条款的其余几项，则豁免个人信息处理者取得个人同意或单独同意的义务。

检索相关法律与监管规定，《保险法》第二十八条与《再保险业务管理规定》第十五条分别规定了“应再保险接受人的要求，再保险分出人应当将其自负责任及原保险的有关情况书面告知再保险接受人”，以及“再保险分出人应当及时将影响再保险定价和分保条件的重要信息向再保险接受人书面告知；再保险合同成立后，再保险分出人应当及时向再保险接受人提供重大赔案信息、赔款准备金等对再保险接受人的偿付能力计算、准备金计提及预期赔付有重大影响的信息”。因此，保险公司是否能借助以上法律与监管规定，确定保险人根据“为履行法定义务”从而豁免取得客户个人的单独同意？但笔者认为仍有以下障碍：（1）保险公司向再保险公司提供个人信息是基于双方签订的再保险协议，该协议本身属于双方自行决定的商业性决定。虽然有《保险法》与《再保险业务管理规定》相关条款，但是否可以将再保险业务完全归于“履行法定义务”有待商榷。（2）保险公司向客户收集个人信息与其向再保险公司提供个人信息、处理个人信息的目的不同，前者是为订立保险合同，而后者是以履行再保险合同为目的。基于不同的个人信息处理目的，是否依然可以适用豁免同意的情形也需要进一步考证。

因此，关于上述对于再保险业务保险公司是否可以豁免取得单独同意问题，建议保险公司与保险监管部门进行沟通，如实反馈保险行业在操作过程中的问题与难点，在取得监管部门认可的前提下开展业务。

3.其他问题

当然，再保险业务可能出现的问题还不限于这些，譬如某个人直接向再保险公司行使自己在《个人信息保护法》下的各项权利，再保险人如何应对？再保险公司向其他再保险人转分保时，是否也需要履行“告知—同意”义务，又如何具体实施？这些疑问，都需要在日后的业务开展中不断去摸索并采取适当的方式去落实解决。

（六）理赔

保险理赔是指在保险标的发生保险事故而使被保险人财产受到损失或人身生命受到损害或保单约定的其他保险事故发生而需要给付保险金时，保险公司根据合同约定履行赔偿或给付责任的行为。在处理理赔申请时，保险公司会向客户或相关机构收集或调查与保险事故相关的事实情况、证明资料，如就诊记录、损失凭证、公证文书、诉讼裁判文书等。保险公司往往委托保险公估人或调查公司等外部机构对保险事故开展调查取证工作，所涉及的信息都是客户的保险事故信息，大部分可能属于敏感个人信息，包括住院病历、体检结果等，如何处理好这些信息也是保险公司需要关注的合规要点。

1.公估人与调查公司的第三方类型

公估公司与调查公司的第三方类型如何确定，笔者根据其工作的方式、服务的内容以及与保险公司的业务关系，倾向于将其归为受委托个人信息处理者。因此，保险公司应格外注意以下几点：（1）保险公司对公估或调查机构应执行严格的审查和监督措施，包括确保其业务资质、调查渠道等的合法合规性。若外部机构调查所获数据或个人信息来源于非法渠道，保险公司将面临较大法律风险与声誉风险；（2）外部机构处理的数据及个人信息有无超出约定的处理目的、处理方式；（3）保险公司是否有限制或制止外部机构未经公司同意的转委托；（4）委托调查事项结束后，外部机构是否可以继续存储调查时收集到的数据或个人信息，保险公司是否有相应机制监督外部机构实施数据及个人信息的删除或匿名化措施。

2.理赔资料的保存期限

理赔资料应如何保存，尤其是涉及拒赔或相对于理赔申请少赔的情况，因其后续可能引发纠纷甚至诉讼仲裁，建议保险公司明确保存期限的原则，根据不同情况的理赔资料采取不同策略的保存期限。

（七）履行监管规定的义务

在保险机构履行监管规定的义务时，如开展公司治理、递交监管报告等，保险机构需要收集处理相关人员的个人信息的，往往认为这些行为是履行“法定义务”而无需做什么，而《个人信息保护法》规定的豁免同意，却依然需要对个人进行告知。对此，笔者梳理以下几种情况：

1.信息公开披露

为满足《保险公司信息披露管理办法》的要求，保险公司在官网上公开披露董事、监事和高级管理人员与法定代表人的有关个人信息时，保险公司应考虑向相关人员告知其个人信息公开披露的情况，包括信息类型、目的、途径、方式等。

2.关联方信息

根据《银行保险机构关联交易管理办法》的要求，保险机构应收集关联自然人的个人信息，除本机构的董事、监事和高级管理人员外，还包括自然人股东、实控人、一致行动人、最终受益人等，及前述人员的近亲属。保险机构有必要向这些自然人，尤其是向他们的近亲属履行告知义务，并建立有效可行的流程确保实施。

3.其他监管报告

保险机构为履行监管要求向监管部门或其指定的机构提供相关数据及个人信息时也应注意，这些人员的个人信息提供应遵循《个人信息保护法》的相关要求，并确保相关个人信息不被非监管报告的目的滥用。

三、展望兼结语

虽然《数据安全法》与《个人信息保护法》已经出台一年，但是由于国家政策标准和法规的执行细则仍然处于草拟阶段，许多企业在如何正确解读及执行落地方面还处在学习及观望中。笔者上述围绕保险业务场景下数据安全与个人信息保护问题展开的相关分析，仅停留于皮毛，尚未触及深处，还需要整个保险行业加以重视，更需要《保险法》理论界和实务界不断地进行深入研究。不过，结合目前的发展情况，根据中国信息通信研究院云计算与大数据研究所《数据安全治理实践指南1.0》的相关内容，笔者大胆预测数据安全与个人信息保护可能会有以下两大发展趋势：

1.数据安全与个人信息保护实践的“行业化”和“场景化”。不同行业、不同场景面临的数据安全风险与潜在威胁不尽相同，因此相关行业必须结合自身特点开展数据安全治理。

2.数据安全与个人信息保护从“离散型”向“体系化”演进。数据安全与个人信息 保护问题由来已久，“离散型”的补丁式解决方法已不能完全适应企业当前的发展需要。如何整合有效资源，平衡数据安全与个人信息保护与业务发展，推动“体系化”数据安全治理建设，是行业与企业需要考虑的问题。

如前言所述，银保监会于今年8 月开展了银行业保险业个人信息保护专项整治工作，并强调“现在各行各业都把信息作为竞争的核心，可是个人信息保护也存在很多问题和漏洞，所以要全面推动银行业保险业切实落实《个人信息保护法》，以提升个人信息使用的规范性、保护消费者信息安全权”。因此，笔者深信，保险公司一定能借此机会尽快把数据安全与个人信息保护提上重要的议事日程，对发现的问题及时整改，叫停纠正，规范个人信息处理和管理行为。展望未来，我国保险业也一定会全面提升消费者个人信息保护工作水平。