2022年3月15日,在银保监会举行的“银行业保险业深入推进金融消费者保护”专题发布会上,银保监会消保局局长郭武平明确表示,今年将组织开展银行业保险业个人信息保护专项整治,推动银行业保险业落实《个人信息保护法》,提升个人信息使用的规范性,保护消费者信息安全权。
保险行业的个人信息保护现状和重点如何?《个人信息保护法》的施行将对保险行业提出哪些合规要求?对此,笔者拟推出“保险业个人信息保护必答题”系列文章,对个保法时代保险业面临的合规问题进行分析与解读。作为系列文章的开篇,本文将简要概述保险行业个人信息保护的相关特征,然后就保险行业在个人信息收集和存储中的合规义务进行梳理和分析。
2021年11月1日,《个人信息保护法》(“《个保法》”)正式实施。对于保险行业而言,个人信息保护并非今时今日之课题,作为保险消费者权益保护的重要内容之一,保险行业长期关注个人信息保护。比如,早在2012年原湖南保监局便印发了《湖南保险机构客户个人信息保护工作监管指引》(湘保监发〔2012〕56号),用于指导湖南保险机构客户个人信息保护工作。《个保法》的实施开启了个人信息保护的新篇章,也对保险行业的个人信息保护提出了更高的合规要求。
(一)保险业是一个“数据行业”
保险,属于天然的“个人信息”行业。究其原因,保险业的本质是建立在风险认知基础之上的,而风险的重要特征是基于信息不对称,保险公司势必要获取更多的信息以破解经营活动中的不对称问题,实现有效风险管理。从这一视角看,保险业对于个人信息的搜集使用是“基因”决定的。
大数法则决定了保险存在的前提和基础是“大数”的集合。大数法则是保险行业中的一种运营法则,是保险业赖以建立的数理基础,通过对保险集合中的大量风险单位进行观察,估测出损失发生的概率,保险公司通过搜集大量个人的特定信息,以估测损失模式,合理确定保费。根据保险大数法则,保险公司承保的每类标的数据必须足够大,才能取得所需数量规律。从这一视角看,保险业对于个人信息的收集使用是“立业之本”。
保险业创新发展均离不开对个人信息的“触碰”。如在汽车保险中,基于智能网联车技术,开展“按使用付费(UBI)”的产品创新这种保险产品,不仅能够使汽车保险定价更为科学,还能帮助驾驶人员纠正不良的驾驶习惯,确保行车安全。而作为前提,保险公司需要获得更多驾驶人员的个人驾驶行为信息[1]。保险公司在开展产品和服务的创新过程中,势必涉及大量的客户个人信息。从这一视角来看,对“个人信息”的“触碰”是保险业发展的基础逻辑和必要前提。
(二)保险公司个人信息使用的特点
保险公司对于个人信息的收集使用具有以下特点:
- 范围广,不仅包括投保人、被保险人,还包括受益人,甚至包括被保险人的其他近亲属。
- 内容多,部分险种涉及生物识别、医疗健康、金融账户等个人敏感信息,以及不满十四周岁未成年人的个人信息。
- 期限长,尤其是寿险业保存的个人信息往往是从客户投保到去世的整个期间。
(三)保险业个人信息保护工作存在的个别问题
近日,工信部通报了2022年第一批侵害用户权益的App,泰康保险旗下泰康医生App位列通报名单,所涉问题为强制、频繁、过度索取权限。2021年,阳光保险亦因违法违规收集使用个人信息被海南省网信办通报并责令限期整改。据统计,从2020年初至2021年3月间,有79款金融类App被工信部及其下属部门通报,其中涉及多款保险类App,所涉问题均为违规收集用户信息、隐私政策不合规。
域外同样有多起保险公司未合规处理个人信息被予以处罚的案例。比如:
- 2020年6月,德国西南部最大的健康保险公司AOK因在没有合法依据的情况下向客户发送市场营销信息,且未实施适当的技术和数据保护措施来保障数据安全,被德国国家数据保护局处以124万欧元罚款。
2021年12月,国家计算机网络应急技术处理协调中心会同中国网络空间安全协会发布《App违法违规收集使用个人信息监测分析报告》。基于报告监测数据,结合对保险业App统计分析,笔者将收集使用个人信息行为中的主要违法违规情形概括为四类:
- 一是违反必要原则,收集与其提供的服务无关的个人信息;
二、保险业个人信息收集和存储活动
的合规义务
保险公司是典型的个人信息处理者。在个人信息的全生命周期中,《个保法》明确了个人信息处理者需要遵循的原则和要求。本文将着眼于梳理和分析保险业个人信息的收集和存储阶段的合规“必答题”。
(一)保险业个人信息收集中的合规义务
第一,个人信息收集应确保最小必要原则。
从《民法典》第1035条、《个保法》第6条等法律规范中可以引申出个人信息收集的“最小必要原则”,其包括两层含义,一是必要性,以收集与服务场景有关的必要个人信息为限,不得从事与服务场景无关的个人信息处理活动;二是最小性,收集信息的方式以对个人权益影响最小方式优先。
保险公司收集的个人信息的内容和类型应与实现其产品或服务的业务功能直接关联,获取个人信息的数量应是实现其业务功能所必需的最少数量。实践中常见问题包括:收集的个人信息类型与现有业务功能无关;仅以改善服务质量、提升用户体验等为由,收集用户不必要个人信息;通过一揽子授权收集用户个人信息等。
《常见类型移动互联网应用程序必要个人信息范围规定》(“《范围规定》”)对常见APP类型、对应的APP基本功能和必要个人信息范围作出列举,示例说明实现功能所必需的个人信息内容。以投连险为例,《范围规定》虽未明确该类App必要个人信息范围,参考对同为金融业的投资理财类和手机银行类App的规定,可以初步认为“注册用户移动电话号码、用户姓名、证件类型和号码、证件有效期限、保险费支付账户及其相关信息”可能为必要范围。鉴于不同险种所需信息差异,保险公司不应局限于该规定列举的信息,仍需考量信息收集与功能目的的强关联性和匹配性,以及特定的行业监管要求。例如,为办理实名制登记收集个人信息的,保险行业应参照《个人保险实名制管理办法(征求意见稿)》对实名信息的限定,仅收集“投保人、被保险人、受益人的姓名、身份证件类型、证件号码、证件有效期和所办理保险业务的种类、基本内容、投保人实名缴费信息”,不得擅自扩大实名信息使用范围,不得强迫、诱导提供实名信息之外的信息。虽该《管理办法》处于征求意见阶段,但仍对保险行业个人信息收集必要范围的确定具有参考意义。
第二,个人信息收集应确保公开透明。
隐私政策是用户获知收集、使用个人信息的目的、方式和范围等最直观的方式,应做到隐私政策的通俗易懂、明确具体、易获取且告知完整、真实、准确。在实践中,应当注意避免下列情形:未设有隐私政策、隐私政策难以访问(通常多于4次点击被认为是难以访问的)[2]等。
以“中国人保”为例,进入App首页后通过点击“我的→设置→关于我们→隐私权政策”4步可以获得《中国人保APP隐私政策》。同时在“关于我们”页面,还设置有“撤回同意隐私权政策”,用户点击进入后操作即可撤回同意并退出。
第三,“敏感个人信息”收集确保获得单独同意。
《个保法》将个人信息进一步划分为“一般个人信息”与“敏感个人信息”,并设立专章强化“敏感个人信息”的保护问题。保险经营过程中不可避免会涉及“敏感个人信息”,可能包括生物识别、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
根据《个保法》、《信息安全技术个人信息安全规范》等要求,个人信息,包括“敏感个人信息”的收集应当获得用户的明示同意。所谓“明示同意”即要求不得采用默认勾选、默示等方式,虽在司法实践中仍存在一定数量网络平台因用户协议注册页面自动勾选“已阅读”或“同意”选项而被认定为非法获取公民个人信息的案例。但据笔者观察,目前大部分保险App的授权模式从以前的默认同意更改为默认不同意,并在登录页面要求用户勾选同意方可进入应用。
更值得关注的是,《个保法》要求“处理敏感个人信息应当取得个人的单独同意”,而何谓“单独同意”,《个保法》则付之阙如,现行法律法规也未作出明确可行的界定。参照《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号)(“《人脸识别司法解释》”),可以初见端倪。《人脸识别司法解释》规定,信息处理者处理人脸信息的,应征得自然人或者其监护人的单独同意。对于“单独同意”,最高院认为“信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的,不应认定为取得单独同意”。这要求保险公司不能将“敏感个人信息”与一般个人信息相互混杂糅合,仅通过隐私政策对敏感信息进行概括同意、一揽子授权等方式仍有可能被认定为未取得客户单独同意或接受。
保险公司应通过单独的“告知同意界面”的交互设计(如通过单独弹窗)或者以电子签名等方式取得用户单独同意。同时,保险公司亦应重点关注用户同意的有效性,通过书面、口头等方式主动作出纸质或电子形式的声明,或者作出肯定性动作(如主动勾选、主动点击“同意”、“注册”、“发送”,主动填写等)。结合具体应用场景,以弹窗方式明确告知,获得即时授权,避免存在意思表示瑕疵。
(二)保险业个人信息存储中的合规义务
近期,中国人民银行网站显示,某头部寿险公司总公司因未按规定履行客户身份识别义务、未按规定保存客户身份资料和交易记录、与身份不明的客户进行交易三项违法行为被罚470万元,分管运营及合规的相关高管也分别被罚款7万元。
对于个人信息存储的合规要求主要表现在期限最短、本地化存储和分类加密三个方面。本文笔者将主要探讨个人信息存储期限问题。
如上所述,个人信息的留存期限需在隐私政策中予以明示。但《个保法》仅对个人信息的保存期限作出了“实现处理目的所必要的最短时间”的笼统性规定。何为最短时间?《个保法》并未就此并给出明确答案,保险公司仍需根据实际涉及处理的信息种类,在其他法律法规和部门规章中,寻找对应的关于特定种类个人信息保存期限的规定。
法律法规 | 具体内容 |
《电子商务法》第31条 | 电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。 |
《反洗钱法》第19条 | 客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。 |
《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(部委规章)第46条 | 金融机构应当按照下列期限保存客户身份资料及交易记录: (一)客户身份资料自业务关系结束后或者一次性交易结束后至少保存5年; (二)交易记录自交易结束后至少保存5年。 |
《电子保单业务规范》(JR/T 0174-2019) | 4.5归档规范 c)所有电子归档文件,一年期以上的电子保单的存储有效期为自保险终止之日起不少于10年,一年期及以下短期电子保单的存储有效期为自保险终止之日起不少于5年。 |
《个人保险实名制管理办法(征求意见稿)》第12条 | 保险实名查验登记系统应当按照必要、最少的原则记录实名信息,所记录的实名信息的保存期限原则上不超过相应保险合同有效期。保险合同有效期结束后,保险实名查验登记系统应当主动删除相应的实名信息记录。 |
纵观上述法律规范对相关数据保存期限的规定,一般均为最短时长(不少于三年),只有下限,没有上限。
实践中隐私政策中关于个人信息留存期限条款,主要呈现为以下三种表现形式:一是分类详述型。以华为为例,华为在其于2021年7月9日更新的《关于华为服务支持与隐私的声明》中将其收集和使用的数据,按照数据的类型明确告知用户该等数据的对应留存期限。二是归纳举例型。该类型的信息处理者采用“归纳+举例”的形式,以《个保法》及相关法律结合自身隐私保护的目的作为原则归纳,后选择列举了1-2种信息处理的场景中或相关法律法规规定中对留存期限的具体要求。三是“一言蔽之”型。该类型的信息处理者仅在隐私政策所述目的所需的期限内保留个人信息,未明确具体的留存期限[3]。笔者以为其中第二、三种类型的表述难以充分满足目前《个保法》下的合规要求。
在法律规范参考标准尚不明确的情况下,保险业如何在隐私政策规范表述个人信息留存期限,以符合《个保法》的合规要求。笔者倾向于认为首要是进行个人信息分类,依据不同使用目的适用不同保存期限。保险公司基于业务场景根据个人信息种类、内容、目的进行分类,适用不同类别个人信息所需留存的必要时间。同时保险公司应遵循法律法规明确的最短数据保存时限要求,理清实现个人信息保护目的而需要留存的最长时间,形成“合理区间”,在隐私政策中进行明示,并注意时限届满后进行删除或匿名化处理。
个人信息的合理利用与数据的自由流转成为推动数据经济发展的两架巨轮。个人信息是个人意志自由与人格尊严的彰显,对其商业化利用,定当“取之有道,用之有方”。对于个人信息能够有效保护的,除了技术(尤其是加密技术),就是制度(主要是法律制度),法者,治之端也。培育个人信息保护的法治思维模式,为个人信息筑牢防护堤坝,是数字经济时代最重要的制度基建之一。
[1] 参见王和:《金融保险业的“欲罢不能”,基于<个人信息保护法>的思考》,载王和空间公众号2021年9月7日,https://mp.weixin.qq.com/s/h_d3j1AJMxh1L4VZiNccEw。
[2] 参见国家互联网信息办公室秘书局 工业和信息化部办公厅 公安部办公厅 国家市场监督管理总局办公厅关于印发《App违法违规收集使用个人信息行为认定方法》的通知(国信办秘字〔2019〕191号)。
[3] 参见《闲话隐私政策中的个人信息保护期限》,载网数方圆公众号2021年11月6日,https://mp.weixin.qq.com/s/tH-XwnDQAmaYJQmpRZmBtQ。
邦信阳中建中汇陈云开律师授课2020年公平竞争审查业务培训班
本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。本文系邦信阳中建中汇律师原创文章,转载请完整注明作者信息及出处。