张 岚 天安财产保险股份有限公司

一、前言

互联网、新科技向保险业的渗透渐趋深入，进军保险业的科技巨头BAT、走在科技应用前端的行业巨头、金融科技公司，积极将大数据、人工智能、区块链等互联网技术在保险应用层面的创新成果推向实践领域，这类以互联网、新科技为媒介的保险创新，本文将之统称为新科技应用。保险业对新科技的应用为行业发展开拓出广阔的空间，也促使保险业的业务风险特征发生变异，对行业的合规管理产生巨大的冲击。作为通过风险管理获利的保险业，如何发挥合规管理这一基础风险控制手段，维护保险业经营本质，实现行业基本经营价值，已成为业内合规管理工作需直面的时代命题。笔者拟就保险业应用新科技相关的问题及应对，陈述浅见，做抛砖引玉式探索。

二、保险业合规管理适应行业新科技运用的障碍与问题分析

笔者认为，保险业应用新科技创新业务渠道、业态、产品，对行业依法合规经营管理的挑战主要来自两方面，一是恰当的合规管控规则体系；二是适应管控要求的合规管理能力。在这两方面，保险行业合规管理工作现状均存在不足。

（一）现有合规管理规则体系不足以应对新科技应用的风控需要

合规经营的本质是守规，参照国际标准ISO19600第一版《合规管理体系-指南》对“规”的定义，“规”应包括合规要求和合规承诺，前者包括具有强制性的法律法规、监管条例规定等，后者涵盖企业内部规章和行业通行规则，而后者多为企业为落实合规管控职责对前者进行内化形成。当前，新科技引发的保险业创新应用迅猛发展，实践领先于法规制度的制定，传统保险业合规管理所参照的规范体系，面对创新的渠道、业态、产品，明显存在适用性不足、规则标准缺位等问题，不利于行业防范新科技应用的相关风险。

1.对保险业应用新科技进行合规经营管控的相关立法情况

2009年版《保险法》发布时，新科技在保险行业的应用尚处萌芽期，风险管控需求的明确性、必要性尚未形成。2011年起，我国互联网保险进入全面发展期，相关问题风险开始暴露，为规范相关的市场经营行为，行业监管部门开始进行相关监管政策立法。原保监会颁布《保险代理、经纪公司互联网保险业务监管办法（试行）》（2011年9月生效，2015年废止），2013年5月最高人民法院颁布《关于适用〈中华人民共和国保险法〉若干问题的解释（二）》，规定通过网络、电话等方式订立的保险合同，保险人以网页、音频、视频等形式对免除保险人责任条款予以提示和明确说明的，人民法院可以认定其履行了提示和明确说明义务。

此后，针对互联网保险快速发展，相关风险暴露，原保监会先后制定了三项监管规则：一是2013年8月在《保险公司开业验收指引》的基础上，针对专业网络保险公司开业验收，制定了有关补充条件，发布《关于专业网络保险公司开业验收有关问题的通知》。二是2015年7月，印发《互联网保险业务监管暂行办法》，就参与互联网保险业务的经营主体、经营条件、经营区域、信息披露、监督管理等方面，明确了基本的经营规范和监管要求。三是2016年1月，针对互联网平台保证保险业务存在的问题，重点对互联网平台选择、信息披露、内控管理等提出明确要求，颁布《关于加强互联网平台保证保险业务管理的通知》。

此外，2015年，人民银行等十部门发布《关于促进互联网金融健康发展的指导意见》，其中要求保险公司开展互联网保险业务，应遵循安全性、保密性和稳定性原则，加强风险管理，完善内控系统，确保交易安全、信息安全和资金安全。2018年1月，原保监会印发《打赢保险业防范化解重大风险攻坚战的总体方案》，提出了防控和处置新型保险业务风险任务，要求关注利用互联网技术推广的、影响客户信息安全的、互联网借贷相关的各类新型保险业务风险；关注财险公司、人身险公司、保险中介机构与第三方网络平台合作开展保险业务的风险隐患；采取有效措施汇总并评估各类互联网保险业务风险，以及非法开展互联网保险业务的风险。

2.对保险业应用新科技进行合规经营管控的相关行政立法之特点

一是立法层级不高，管控面窄。保险行业监管机构发布的保险业应用新科技的行政规章，均为规范性文件，没有专项法规、规章。现行有效的行政管控规则主要是针对互联网保险，而应用新科技的保险创新重点领域，尚存监管制度短板待补齐。

二是落地、衔接相关法律的行政法规，对法律原则重申复述多，细化为具体操作规则的少。依据《立法法》第六十五条第一款，原保监会可以就执行《保险法》规定需要制定行政法规。制定细化法律执行规则标准的行政规章，有利于业内机构把控合规边界，有效遵循法律，维护行业形象。例如，《保险法》及其司法解释赋予了保险机构较多的提醒、披露、风险揭示等义务，但没有对保险机构开展新型保险业务过程中履行义务的标准提出明确规则，现行有效的三类新型保险业务监管规范性文件，同样未给出清晰明确的规则。新型保险业务特有的网络虚拟属性，使包括保险人的明确说明、被保险人身份确认、合同签署过程等均具有非现场性，不但容易造成客户身份识别的反洗钱控制缺陷，也使客户身份真实性、电子合同有效性确认等环节容易发生交易纠纷、欺诈风险高发，因为规则的模糊性，使纠纷解决中对原因追本溯源责任划分存在难度。

（二）业内机构适应新科技应用合规管控的能力不足

新科技应用主导的保险业创新，对信息系统与数据资源依赖度极高。故意或过失导致的信息系统及网络故障、系统数据丢失、数据失真、被非法窃取等问题一旦发生，将对建立在网络与数据基础上的保险创新产生致命打击。同时，网络的开放与互动性，更易造成风险传染引发系统性风险。此类新科技应用产生的高风险新问题，依靠传统的合规管控手段，显然力有不逮，需要有足够的信息安全保护技术手段、来源广泛的多纬度标准数据，形成智能化的风险事前防范、事中管理、事后弥补的合规管理机制，方能确保此类风险防控的及时性、有效性。对照业内合规管理信息化水平现状，可以发现，我国保险业自1979年改革开放复业以来，经过四十年的高速发展，市场规模从零到2018年行业原保费收入38016.62亿元，但行业合规经营管理工作的信息化基础依然薄弱。

1.合规管理信息化系统基础薄弱

通过业内合规管理经验交流，笔者发现，同业机构建成投产覆盖业务全流程的合规信息化管理系统的极为少见，其阻力不在于缺乏意愿，障碍来自于机构系统建设的先天规划缺陷。

多数保险机构筹建初创时期，缺乏兼具IT背景与保险业务经验的复合型人才，系统建设整体规划不足，机构信息系统宏观架构建设存在缺陷，导致随业务的逐步发展，系统越建越多，但因没有设计相关规范标准，系统之间数据代码、数据标准、数理逻辑不统一，使系统相互间数据流对接困难，产生系统相互之间的割裂。此外，因各种原因导致的系统未完整嵌入、未及时更新公司合规管控标准的问题也不少见。这种信息系统基础状况，无法达到合规信息化系统实时、全景、透视化监测的需求，是合规信息化管理系统建设的最大障碍。

2.大数据基础薄弱

合规经营智能化管理的本质是利用实时高效的业务交易数据分析，识别业务及操作的规范性。因此，需要有大量经验数据积累，有合规专业人员将经验编制成“规则”“模型”，并且要有标准化、多维度、真实准确的相关数据的持续供给。在大数据智能分析领域，有一句名言“garbage in,garbage out"（垃圾进，垃圾出）。海量的数据，不经清洗筛选，不经标准化处理，会直接影响数据引用质量，导致分析结果的偏差。大数据的应用，需要有可持续起作用的数据质量保障机制，要有数据标准体系，还要有数据质量保障体系，失真的、不准确的、虚假的数据，比没有数据还危险。

随着我国保险机构数量如雨后春笋般迅速增长，机构建设与发展过程中，数据标准化管控工作并未先期或同步开展。业内机构普遍存在数据质量保障机制缺失、数据留存积累意识不足问题，尤其是合规管理最关注的非结构数据，因缺少会计核算类结构化数据“横平竖直，总分一致，内外一致”标准规则的规制，质量保证更难。

保险业务与管理操作基础数据质量堪忧，经验数据积累不完整，使合规管理开展大数据智能分析经验数据不足，降噪任务繁重。

3.适格合规管理人才紧缺

保险行业合规监管逐年趋严，合规管理专业人才持续紧缺。行业内具法律合规管理、保险业务处理、信息技术专业背景的三栖跨界复合型人才凤毛麟角。建立在网络信息技术基础上的保险业创新，需要以IT技术思维去利用合规管理经验，将维度丰富的庞杂数据与合规风险点关联起来，并通过信息技术开展智能化合规管理。行业合规经营复合型人才瓶颈，也是制约行业应对新技术运用保险创新合规经营风险挑战的巨大障碍。

三、策略建议：构建行业合规经营管控的动态适应能力

应对互联网新科技应用对保险行业依法合规经营的挑战，需要形成一种机制，能迅速、敏捷、柔性适应对应用新科技中渐次冒头的风险隐患予以控制的合规管理需求。换言之，就是行业合规经营的管理要形成一种动态适应能力，使行业监管、机构内部合规管理工作能够及时整合、构建和重新配置合规管理基础资源，以迅速应对不断变化的合规管理需求。笔者认为，这种动态适应能力的机制，可以从三个方面去构建。

（一）形成法规制度体系更新完善的动态机制

防范新科技应用风险，配套法律规制度的建立与完善是关键。如果对新技术应用保险创新，一味强调旧有法规制度的遵循，必然桎捁行业发展的思想、羁绊保险业科技创新的步伐。同时，不作为或观望等待规范管理的契机，可能致使风险处置错失良机，引发不可控甚至是系统性的风险。保险新科技应用产生的规则制度空白，以及新风险暴露无法及时识别并有效控制的问题，必须在合规管理的框架与体制内进行动态跟进修正，通过法规的创新应用及设计，指导实践领域及时反映风险变化，开展合规管理，使新科技应用保险创新能保持安全性与效益活力提升的平衡，促进创新机制和盈利模式的有序发展。

1.行政规章与法规的制定方面

（1）加大贴近实践的新科技应用创新管理的行政法规立法力度

及时摸清理顺各类保险科技创新的内涵与模式，从服务管理与业务模式的优化升级或实质改造、业内外机构满足市场新需求进行的产品创新或类保险产品开发、保险与其他金融行业业务交织融合等三个方面，对保险业应用新科技创新所引发的变化进行全面梳理，对变化导致的可能的新问题、新风险，从现有法规体系中寻找控制规则，探讨规则的适用性与完备性，有针对性地开展行业新科技运用风险管控行政法规与监管政策的完善工作。

一方面，对局部个体问题暴露出的法规空白，或经法规进一步解释可适用的问题，先以层级较低的规范性文件形式做试行的规范要求，条件成熟后，再及时整合形成针对某一类、某一领域的管控规则，以部门规章的形式固化。例如，保险业务数据共享平台规范管理、基因检测道德风险防范、非保险机构推出基于网络平台的“互助计划”的管理、新科技应用于保险业务运营管理过程中的合规管理基本要求等，可以先厘清问题，提出初步规范管理要求，建立基本风险管控标准。

另一方面，大力推进行业大数据与人工智能应用合规管控的前瞻性立法研究，加快立法步伐。对其中“信息科技风险”“用户信息数据共享的侵权风险”“公民隐私信息保护”等合规管控敏感问题，建立适合行业特点的行政规章。尤其是对行业巨头、金融科技公司开发开放使用大数据智能平台的行业创新热点，抓紧完善公平准入、有序竞争、防控滥用垄断地位相关的政策规则，保证行业的共同利益。

（2）及时针对业内企业落地法律规定的难点问题，出台配套实施细则

行业监管部门发布指导行业落实国家新颁布相关法律的规则标准，能切实促进行业对最新法律规范的认识与执行力度，使保险机构更好地把控合规边界。在信息科技应用无处不在的万物互联时代，进一步加强业内机构网络系统及数据、客户信息安全的保护力度，是维护行业形象、行业稳定发展的需要，也是维护保险业新科技创新保持健康活力的需要。

一是有必要针对保险行业特点，组织开展指导行业机构规范执行《中国人民共和国网络安全法》《信息安全技术个人信息安全规范》（GB/T 35273-2017）的相关行政立法工作，修订、细化、完善《保险公司信息化工作管理指引》《保险信息安全风险评估指标体系规范》等，为保险机构完善信息基础设施安全保护、数据安全、信息科技风险评估监测、客户信息安全维护等工作提供更具体规则。

二是有必要持续完善行业数据质量标准体系、行业数据质量管控体系，指导业内机构开展基础管理数据质量治理工作。

2.建立有活力的企业制度建设机制

一是在企业内部打造一支政策研究与制度管理专业团队，开展法律法规追踪研究，确保准确理解并推动法律与监管规定的制度内化。尤其需要通过对国内外互联网、大数据法律与监管政策的动态研究，形成新型保险业务风险合规管控需求的敏锐判断力，密切关注企业信息系统操作风险管控、信息技术知识产权风险管理、系统程序设计外包风险管控、信息管理关键业务岗位隔离、客户信息安全保护、大数据管理制度与流程等方面的制度建设进展，根据风险暴露，推动查遗补缺、更新完善工作。

二是建立快速形成对运用新科技进行创新研发及成果落地相关风险控制专项合规管理方案的固定工作程序。如，通过企业内部合规审核机制，在开发新产品、应用新技术手段、开拓新型业务模式的可行性研究和投产初期，充分跟踪分析开发及运行相关资料信息，评估风险可能与风险制约制度短板，及时制定含专用制度标准的专项合规管理方案，整合资源，确保方案落实。

（二）积极借助新科技的力量，提升行业整体合规经营管理的动态适应能力

新技术赋能保险业，为保险业的发展开拓了广阔空间，同时，区块链、人工智能、大数据等技术，也为合规经营管控能力带来跨越式提升的可能。

1．行业管理部门升级监管手段，提高合规监管的科技水平

采用大数据智能分析技术，对行业机构的经营行为合规行为进行动态监测，及时捕捉行业违规新动向，提高违规行为稽查效能，扩大合规稽查覆盖面，最大限度打消违规者侥幸幻想，应是未来应用新科技开展合规管理重要方式之一。

近年来，保险行业管理部门出台了大量数据统计与信息化管理的规范标准，在行业数据统计及标准化方面做了大量基础工作，监管层面打通行业基础管理数据统筹归集通道、解决行业监管数据孤岛问题、开展大数据应用已有一定基础。行业监管可以借此采用区块链分布式数据库技术建立保险行业合规监管数据仓库，提升数据的安全性和准确性，探索构建行业监管大数据监测平台，开展合规稽查智能分析监测工作。

2.业内机构积极推进信息化管控基础薄弱难题，提升合规管理信息化水平

一是推动公司内信息系统的整合，实现经营过程全环节数据信息及时有效沟通。探索运用区块连技术，实现系统间数据自我逻辑矫正。

二是加大信息数据标准化工作力度，建立企业内部数据采集、交换和存储的标准，应用分布式数据库技术将分散存储的合规管理基础信息数据，与销售管理、财务管理、资金应用、运营管理等不同系统的数据库连接组成合规审核、违规操作风险监测数据信息资源库。

三是建立完善数据安全维护机制，确保数据资料真实规范甄别、数据库日常维护检查、数据使用授权等工作规范有序。

四是进行合规管理经验数据整理，通过人机结合的智能数据分析，借助合规管理信息系统开展实时在线合规监测、检查、违规风险预警处置。

（三）开展有效的合规管理复合型人才队伍建设

宋词有云：“莫言世事只如棋，千载是非人共知。吾道废兴时否泰，人才进退国安危。”人才之于国家，可定兴衰；之于企业，是决定其他经营资源效能发挥的基础性资源。构建保险行业新科技应用创新合规经营管控的动态适应能力，无论是监管还是保险机构，复合型人才队伍建设都是关键。

笔者认为，在全行业适格复合型人才普遍紧缺的情况下，业内各类主体，积极整合内部人力资源，大力开展内部育才，应是解决自身适应新科技运用合规管理人才瓶颈的有效途径。一是有计划地对现有法律合规、信息技术部门中富有学习能力的业务骨干，通过岗位调配轮换方式进行渐进性、连续性复合型知识技能培训。鼓励现有合规人员参加各种层次信息科技专业知识培训，拓展现有合规人员的IT思维能力。二是建立有竞争力的人才培育晋升机制，吸引有潜力的法律、信息专业高校应届毕业生，通过以老带新、轮岗锻炼，形成有阶梯层次的复合型合规人才队伍。