文/中国再保险(集团)股份有限公司内控合规与法律事务部资深律师张坤
落实《个人信息保护法》将对保险机构个人信息处理行为、数据合作、业务创新、合规管理等产生重要影响,并且保险行业个人信息处理活动的监管也将影响监管机构的规则制定和执法活动等。本文梳理了我国个人信息立法沿革和法律体系,结合《个人信息保护法》的主要内容分析了对保险行业可能产生的影响,并提出了应对的建议。
2021年8月20日,全国人大常委会审议通过了《个人信息保护法》,这是我国第一部关于个人信息保护的专门立法,在个人信息保护方面具有里程碑意义。保险行业与数据相伴,保险业务运营中的投保、核保、理赔、精算管理、产品开发、风险控制、员工管理等各个环节都会涉及个人信息的处理。
落实《个人信息保护法》将对保险机构个人信息处理行为、数据合作、业务创新、合规管理等产生重要影响,并且保险行业个人信息处理活动的监管也将影响监管机构的规则制定和执法活动等。
本文梳理了我国个人信息立法沿革和法律体系,结合《个人信息保护法》的主要内容分析了对保险行业可能产生的影响,并提出了应对的建议,以期对保险行业落实《个人信息保护法》,做好个人信息保护工作有所裨益。
我国个人信息保护立法沿革与体系
个人信息保护单独立法并非我国独有,以欧盟《通用数据保护条例》(GDPR)为代表,根据欧华律师事务所数据保护法律手册统计,全球范围内180多个国家或地区都制定了个人信息保护法规。虽然《个人信息保护法》新近发布,但我国个人信息保护的立法已经持续较长时间,包括以下维度:
法律层面。一是刑事立法。我国个人信息保护立法具有刑事先行的特点,在2009年刑法修正案(七)和2015年刑法修正案(九)中都将侵犯公民个人信息的行为作为犯罪行为。
二是个人信息保护专门立法。2012年全国人大常委会制定了加强网络信息保护的法律性质文件,这是我国第一个个人信息保护的专门法律性文件,直到2021年《个人信息保护法》制定,标志着我国个人信息保护专门立法的完成。
三是民事立法。2020年《民法典》首次将个人信息作为一种人格权益,对隐私权和个人信息进行了区分,并规定了个人信息处理的原则和条件等。
四是网络安全立法。2016年《网络安全法》从网络运行安全、网络信息安全两个维度保障我国网络空间的安全,而个人信息保护则是网络信息安全的重要内容。此外,消费者权益保护法以及上述法律配套的行政法规、司法解释中也对个人信息处理进行了更为细化的规范。
行业监管层面。就金融行业而言,人民银行在2011年、2012年连续两年发布关于做好个人金融信息保护工作的通知,是金融领域最早的个人金融信息保护专门规定。目前,《个人金融信息(数据)保护试行办法》也已列入中国人民银行的规章制度制定计划。
除个人金融信息专门保护规定外,金融行业在征信管理、反洗钱、金融消费者保护、互联网业务、数据治理等方面会有个人信息处理或保护的要求。单就保险行业而言,保险行业关于个人信息处理或保护的规定,零星规定在信息系统安全管理、销售行为可回溯管理、互联网保险业务管理等监管规定中。另外,在保险中介、销售从业人员相关监管规定中有关于不得泄露隐私的规定。
《个人信息保护法》对保险行业的影响
保险机构在提供保险服务时,需要处理大量投保人、被保险人、受益人的个人信息,不仅数量多,而且涉及保险运营的投保、核保、理赔等全流程。《个人信息保护法》实施后,保险行业需要关注以下几方面的影响。
保险行业个人信息保护执法活动将不断强化。在《个人信息保护法》出台之前,金融领域个人信息保护执法活动主要由人民银行依据《消费者权益保护法》、银保监会依据行业监督管理规定开展。
多家银行、支付机构被处以罚款,违规行为包括侵害消费者个人信息依法得到保护的权利、数据泄露、客户信息保护机制不健全、客户信息收集环节不规范、客户数据访问控制管理不规范、未经授权查询、客户敏感信息管理不善、违规存储客户敏感信息、个人金融信息使用不当等。
此外,监管机构也会通报行业内违反个人信息保护的行为,对金融机构起到警示作用。但保险机构被处罚或通报的情形较少。按照规定,金融监管机构可直接依据《个人信息保护法》调查、处理违法个人信息处理活动。《个人信息保护法》生效后,金融监管机构对个人信息处理活动的执法也将更加活跃。
《个人信息保护法》对违规行为的处罚力度大大提高,对于情节严重的最高可处五千万元以下或者上一年度营业额百分之五以下罚款,这与以处罚严厉而著称的GDPR基本相当。
对于个人信息处理违法行为侵害人数众多时,《个人信息保护法》明确可以由相关机构提起公益诉讼。对此最高人民检察院制定了《关于贯彻执行个人信息保护法推进个人信息保护公司诉讼检察工作的通知》,对于敏感信息、重点人群、重点领域和大规模个人信息予以重点保护。
未来,执法活动将不断强化也将传导至保险机构,这将对保险机构的个人信息保护内部管理造成较大压力。
需要真实、准确、完整地履行告知义务。《个人信息保护法》要求个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理规则。笔者认为,各保险机构在履行告知义务要特别关注以下情形:
一是告知义务的独立性。很多人认为《个人信息保护法》所确立的个人信息处理模式是“告知+同意”模式,但笔者认为该表述与《个人信息保护法》的规定有所偏差。
虽然取得个人同意是较为普遍的做法,但同意仅是《个人信息保护法》规定处理个人信息的合法性基础之一,更准确的表述应为“告知+合法性基础”的模式,这种模式下告知与同意相独立,即使不须个人同意的情形下,也要向个人告知处理规则。
二是线下投保的告知。与欧盟GDPR不同,我国《个人信息保护法》所界定的个人信息不仅包括结构化数据,也包括非结构化的数据,这使得纸质个人信息也落入个人信息保护法的保护范围。
通过对比线下投保和线上投保个人信息处理的过程发现,各保险机构线上投保(包括网站、应用程序(App)和微信公众号或小程序)的个人信息处理告知相对详细,但在线下投保的纸质告知书或授权文件的告知则较为简略,有的仅有“您同意***公司使用您提供的个人数据”的表述,对处理目的、处理方式等缺少告知。
根据银保监会及保险业协会数据,保险行业线上业务保费规模仅占6.4%左右,线下业务仍是主要方式,保险机构所持有的个人信息也更多依靠线下业务获取。对保险机构而言,保障线下业务合法收集个人信息对其数据处理、业务创新等更为重要。建议保险机构统筹管理线上、线下的处理规则,细化线下处理个人信息的规则,既可以单独告知,也可以在投保须知或理赔须知中告知。
三是告知非基于同意的处理规则。如前所述,告知与同意并无必然联系。目前各保险机构个人信息处理规则中对非基于同意的处理规则较为概括。以履行法定义务为例,少数保险机构列明了具体的法律依据,如《反洗钱法》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《保险销售行为可回溯管理暂行办法》等。
但大多数信息处理规则仅照搬了相关法律的原则性规定,如“为履行法定职责或者法定义务所必需”等。建议保险机构在个人信息处理规则中细化非基于同意的处理规则,特别是履行法定义务和合理使用公开信息的情形下,建议明确列明需要履行哪些法定义务、处理哪些信息及处理方式等,这也是企业梳理处理个人信息合法性基础的必然工作。此外,保险机构还要注意处理规则便于查阅和保存、变更后重新告知等义务 ......
付费¥5
阅读全文
本文编辑:秦婷
热门跟贴