落实《个人信息保护法》将对保险机构个人信息处理行为、数据合作、业务创新、合规管理等产生重要影响，并且保险行业个人信息处理活动的监管也将影响监管机构的规则制定和执法活动等。本文梳理了我国个人信息立法沿革和法律体系，结合《个人信息保护法》的主要内容分析了对保险行业可能产生的影响，并提出了应对的建议。

2021年8月20日，全国人大常委会审议通过了《个人信息保护法》，这是我国第一部关于个人信息保护的专门立法，在个人信息保护方面具有里程碑意义。保险行业与数据相伴，保险业务运营中的投保、核保、理赔、精算管理、产品开发、风险控制、员工管理等各个环节都会涉及个人信息的处理。落实《个人信息保护法》将对保险机构个人信息处理行为、数据合作、业务创新、合规管理等产生重要影响，并且保险行业个人信息处理活动的监管也将影响监管机构的规则制定和执法活动等。本文梳理了我国个人信息立法沿革和法律体系，结合《个人信息保护法》的主要内容分析了对保险行业可能产生的影响，并提出了应对的建议，以期对保险行业落实《个人信息保护法》，做好个人信息保护工作有所裨益。

我国个人信息保护立法沿革与体系

个人信息保护单独立法并非我国独有，以欧盟《通用数据保护条例》（GDPR）为代表，根据欧华律师事务所数据保护法律手册统计，全球范围内180多个国家或地区都制定了个人信息保护法规。虽然《个人信息保护法》新近发布，但我国个人信息保护的立法已经持续较长时间，包括以下维度：

法律层面。一是刑事立法。我国个人信息保护立法具有刑事先行的特点，在2009年刑法修正案（七）和2015年刑法修正案（九）中都将侵犯公民个人信息的行为作为犯罪行为。二是个人信息保护专门立法。2012年全国人大常委会制定了加强网络信息保护的法律性质文件，这是我国第一个个人信息保护的专门法律性文件，直到2021年《个人信息保护法》制定，标志着我国个人信息保护专门立法的完成。三是民事立法。2020年《民法典》首次将个人信息作为一种人格权益，对隐私权和个人信息进行了区分，并规定了个人信息处理的原则和条件等。四是网络安全立法。2016年《网络安全法》从网络运行安全、网络信息安全两个维度保障我国网络空间的安全，而个人信息保护则是网络信息安全的重要内容。此外，消费者权益保护法以及上述法律配套的行政法规、司法解释中也对个人信息处理进行了更为细化的规范。

行业监管层面。就金融行业而言，人民银行在2011年、2012年连续两年发布关于做好个人金融信息保护工作的通知，是金融领域最早的个人金融信息保护专门规定。目前，《个人金融信息（数据）保护试行办法》也已列入中国人民银行的规章制度制定计划。除个人金融信息专门保护规定外，金融行业在征信管理、反洗钱、金融消费者保护、互联网业务、数据治理等方面会有个人信息处理或保护的要求。单就保险行业而言，保险行业关于个人信息处理或保护的规定，零星规定在信息系统安全管理、销售行为可回溯管理、互联网保险业务管理等监管规定中。另外，在保险中介、销售从业人员相关监管规定中有关于不得泄露隐私的规定。

《个人信息保护法》对保险行业的影响

保险机构在提供保险服务时，需要处理大量投保人、被保险人、受益人的个人信息，不仅数量多，而且涉及保险运营的投保、核保、理赔等全流程。《个人信息保护法》实施后，保险行业需要关注以下几方面的影响。

保险行业个人信息保护执法活动将不断强化。在《个人信息保护法》出台之前，金融领域个人信息保护执法活动主要由人民银行依据《消费者权益保护法》、银保监会依据行业监督管理规定开展。多家银行、支付机构被处以罚款，违规行为包括侵害消费者个人信息依法得到保护的权利、数据泄露、客户信息保护机制不健全、客户信息收集环节不规范、客户数据访问控制管理不规范、未经授权查询、客户敏感信息管理不善、违规存储客户敏感信息、个人金融信息使用不当等。此外，监管机构也会通报行业内违反个人信息保护的行为，对金融机构起到警示作用。但保险机构被处罚或通报的情形较少。按照规定，金融监管机构可直接依据《个人信息保护法》调查、处理违法个人信息处理活动。《个人信息保护法》生效后，金融监管机构对个人信息处理活动的执法也将更加活跃。

《个人信息保护法》对违规行为的处罚力度大大提高，对于情节严重的最高可处五千万元以下或者上一年度营业额百分之五以下罚款，这与以处罚严厉而著称的GDPR基本相当。对于个人信息处理违法行为侵害人数众多时，《个人信息保护法》明确可以由相关机构提起公益诉讼。对此最高人民检察院制定了《关于贯彻执行个人信息保护法推进个人信息保护公司诉讼检察工作的通知》，对于敏感信息、重点人群、重点领域和大规模个人信息予以重点保护。未来，执法活动将不断强化也将传导至保险机构，这将对保险机构的个人信息保护内部管理造成较大压力。

需要真实、准确、完整地履行告知义务。《个人信息保护法》要求个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理规则。笔者认为，各保险机构在履行告知义务要特别关注以下情形：

一是告知義务的独立性。很多人认为《个人信息保护法》所确立的个人信息处理模式是“告知+同意”模式，但笔者认为该表述与《个人信息保护法》的规定有所偏差。虽然取得个人同意是较为普遍的做法，但同意仅是《个人信息保护法》规定处理个人信息的合法性基础之一，更准确的表述应为“告知+合法性基础”的模式，这种模式下告知与同意相独立，即使不须个人同意的情形下，也要向个人告知处理规则。

二是线下投保的告知。与欧盟GDPR不同，我国《个人信息保护法》所界定的个人信息不仅包括结构化数据，也包括非结构化的数据，这使得纸质个人信息也落入个人信息保护法的保护范围。通过对比线下投保和线上投保个人信息处理的过程发现，各保险机构线上投保（包括网站、应用程序（App）和微信公众号或小程序）的个人信息处理告知相对详细，但在线下投保的纸质告知书或授权文件的告知则较为简略，有的仅有“您同意***公司使用您提供的个人数据”的表述，对处理目的、处理方式等缺少告知。根据银保监会及保险业协会数据，保险行业线上业务保费规模仅占6.4%左右，线下业务仍是主要方式，保险机构所持有的个人信息也更多依靠线下业务获取。对保险机构而言，保障线下业务合法收集个人信息对其数据处理、业务创新等更为重要。建议保险机构统筹管理线上、线下的处理规则，细化线下处理个人信息的规则，既可以单独告知，也可以在投保须知或理赔须知中告知。

三是告知非基于同意的处理规则。如前所述，告知与同意并无必然联系。目前各保险机构个人信息处理规则中对非基于同意的处理规则较为概括。以履行法定义务为例，少数保险机构列明了具体的法律依据，如《反洗钱法》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《保险销售行为可回溯管理暂行办法》等。但大多数信息处理规则仅照搬了相关法律的原则性规定，如“为履行法定职责或者法定义务所必需”等。建议保险机构在个人信息处理规则中细化非基于同意的处理规则，特别是履行法定义务和合理使用公开信息的情形下，建议明确列明需要履行哪些法定义务、处理哪些信息及处理方式等，这也是企业梳理处理个人信息合法性基础的必然工作。此外，保险机构还要注意处理规则便于查阅和保存、变更后重新告知等义务。

需要确保个人信息的处理具有合法性基础。《个人信息保护法》规定了同意、履行合同必须履行法定职责或法定义务、应对突发公共卫生事件、紧急情况下为保护自然人的生命健康和财产安全所必需、为公共利益实施新闻报道或舆论监督、合理处理公开信息等合法性基础。保险机构在处理个人信息时应确保至少符合一项合法性基础，特别是：

第一，关注同意的有效性。同意只有在符合个人在充分知情、自愿、明确的条件下方为有效，通过误导、欺诈、胁迫等方式处理个人信息均为违法行为。为确保同意的有效性，保险机构在获取同意时应注意以下几个问题。一是确保个人的自主选择。在个人信息主体主动做出选择下获取同意，避免默示同意或默认勾选。二是选择恰当的同意时机。告知一般需要在基本业务功能开启前进行，但同意建议在收集行为真正发生前获取，特别是告知的时间点和收集个人信息的时间点相差很大时，否则会在必要性方面受到挑战。如有的App或小程序弹出授权对话框声明“您的位置信息将用于后续购买保险时使用”，便存在时机不恰当的问题，更合理的做法应该是在购买保险时弹出授权后再收集，而非提前收集。此外要尽量避免授权同意的模式，获取同意时建议同步告知收集目的和相关处理规则等。三是避免捆绑方式同意。同意应当区分基本功能和附加功能，除提供产品或服务所必须外，不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或服务。此外，有的App还存在强制同意的问题，如要求“必须获取位置授权后才能访问网页”，点击拒绝后无法继续使用，但位置信息并非必要信息;还有的微信小程序拒绝同意非必要信息后连续弹窗，使小程序无法正常使用。

另外，还需要特别关注“单独同意”的场景。根据法律规定，向他人提供个人信息、公开个人信息、在公共场所收集的个人图像、身份识别信息用于维护公共安全以外的目的、处理敏感信息、向境外提供个人信息六种场景下，需要获得个人的单独同意。如果遇到这些场景，不能与其他个人信息处理活动合并在一起获得个人同意，就此类事项建议通过单独弹窗、发送邮件或短信、单独文件等方式告知后获得同意。

处理員工个人信息时，应尽量避免使用同意作为合法性基础，根据《个人信息保护法》规定“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”是一项独立的合法性基础，从中可以看出，我国对处理员工个人信息也倾向于不使用同意作为合法性基础。需要注意的是，同意作为处理个人信息的合法性基础具有脆弱性，个人主体可以随时撤回同意。所以，虽然同意是较为常见的合法性基础，但保险机构在处理个人信息时应先考虑其他合法性基础，而降低同意的优先性。

第二，对其他合法性基础进行梳理和评估。《个人信息保护法》调整了《网络安全法》将同意作为唯一合法性基础的做法。如依据同意以外的合法性基础，建议保险机构进行梳理和评估，包括但不限于处理依据、处理目的、处理信息类型和种类、对个人主体的影响等，确保个人信息处理的合法性原则。

个人信息使用须进一步规范。《个人信息保护法》深刻地影响着保险机构对个人信息的开发、利用，保险机构对个人信息的使用需要进一步规范。

第一，遵守目的限制。保险机构获得同意后收集的数据并不是可以无限制地使用，还必须符合目的限制要求。收集、使用个人信息的目的在告知时应向数据主体明确告知，不同信息有不同目的时，分别进行详细说明;同一信息有多个目的，按照信息对用户的影响程度排序，对用户影响最严重的优先进行说明。在使用过程中也要严格遵守目的限制的要求，如投保人仅同意用于理赔，就不得用于产品服务或开发等其他目的。

第二，规范第三方合作。保险机构与第三方进行合作时，可能涉及从第三方获取数据或向第三方转让个人信息，此为个人信息处理高风险环节。

一是从第三方获取数据。因保险业务特点和监管特征，保险行业个人信息从第三方获取的现象较为常见，包括：直保业务中保险公司从投保人获取被保险人、受益人个人信息;再保险业务中再保险人从直保公司获取个人信息;监管机构因履行监管职责从保险公司获取个人信息;其他情形，如基于核保、防范保险欺诈等目的开发风控系统，从医疗机构、征信机构、其他金融机构获取信息等。对于前三类情形，笔者认为，获取个人直接同意较为困难，而且都有其他合法性基础或合理目的。如保险公司获取被保险人、受益人信息是基于保险业务实名制的要求、办理再保险业务是基于风险分散的要求、监管机构是基于履行监管职责的要求。建议监管机构能够通过指引或监管规则明确相关主体无须获得同意，但仍然需要履行告知义务、遵守目的限制、采取安全技术措施义务等。对于其他情形，保险机构应尽量获取匿名化或去标志化的信息，对于保险公司开发产品、业务创新等，大部分情形下并没有使用可识别具体个人信息的需求，使用群体数据即可满足目的。即使基于风控目的需要使用可识别的个人信息，也尽量避免直接获取原始信息，如为了使用第三方提供的数据确定被保险人的最高保额，可以仅第三方提供结论性数据，而不直接获取相关信息。在必须获取原始信息的情况下，需要按照三重授权的原则，按照限定的目的使用个人信息。

二是向第三方提供数据。保险机构向第三方提供数据较为常见的情形包括：向保险集团内成员公司共享提供;向其他委托提供必要服务的合作伙伴共享提供;向再保险接受人共享提供;向监管机构共享提供;在保险科技开发中向科技企业提供样板数据等。对于保险集团而言，集团内数据的共享、融合，能够发挥数据的集合作用，但各国个人信息保护法规都没有对保险集团内数据共享做出豁免的规定。目前，保险集团内共享个人信息的目的主要包括推荐产品、开展市场调查与信息数据分析、提供咨询、售前售后服务、推荐感兴趣的信息等。集团内共享个人信息的目的大多不属于提供保险基础服务的必要目的，更多的为附加服务。基于此类目的的集团内共享，保险机构需要获得个人的同意，并且还要受限于个人主体对共享行为的单独拒绝或撤回同意。有的保险集团以集团名义收集、使用个人信息，要求信息主体授权集团所有成员公司使用其个人信息，这种做法容易造成个人信息处理者的混淆，可能导致同意存在瑕疵。

笔者认为，利用保险集团内集合数据进行数据分析或开发，在很多情形下并不需要可识别到具体个人的信息，即使在集团内共享也应避免提供原始个人信息，若提供去标志化、匿名化数据能够实现目的，应提供去标志化、匿名化的数据。确需向第三方（含集团内成员）提供个人信息时，需要获得单独同意并严格进行评估，包括合法、正当、必要评估、对个人权益的影响、对方采取的保护措施是否与风险程度相适应等。如果涉及跨境提供个人信息的，除进行评估外，还需要采取额外措施以使境外接收方处理个人信息的活动达到《个人信息保护法》规定的保护标准。涉及向境外监管机构提供信息的，必须得到主管机关的批准。保险机构还需要关注行业监管规定，是否有向第三方转让的禁止性规定等。

三是与第三方共同处理、委托第三方处理数据。《个人信息保护法》明确个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任;个人信息处理者委托处理个人信息的，应对受托人的个人信息处理活动进行监督。身份认定的不同将影响到保险机构与第三方的权利义务和责任承担方式。保险机构应特别注意共同处理人的连带责任，在与第三方合作过程中，如接入第三方软件开发工具包（SDK）、与保险科技企业合作等，应通过合同等方式明确各自身份性质，明确权利义务，避免承担不必要的责任。向第三方转让个人信息、与第三方共同处理、委托第三方处理，在向信息主体告知时，可以列明相关第三方。

四是规范自动化决策。保险机构的自动化决策应用也较为普遍，智能核保与风险定价、智能理赔、推荐感兴趣产品等场景都有可能涉及自动化决策。保险机构利用个人信息进行自动化决策，应当保证决策的透明度和结果公平合理，在透明度方面应告知数据主体基本逻辑并进行评估，确保符合合法、正当、必要等原则;在数据使用方面应尽量使用去标志化或匿名化的数据，减少对个人权益的影响。如果涉及自动推送或营销，应尽量使用群体画像，并保障个人的选择权和拒绝权。在保障个人拒绝权方面，一般应使拒绝与同意具有相同的便捷性，但有保险机构存在通过App或小程序获得同意，但拒绝需要拨打热线电话或发送邮件的情形。

五是对敏感信息进行强保护。对敏感信息进行强保护也是国际普遍做法，《个人信息保护法》规定的敏感信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及儿童个人信息。保险机构掌握的个人信息很多也会落入敏感信息保护中，需要对此类信息进行强保护，包括单独同意、强告知、评估以及儿童信息的强保护等。

个人信息保护影响评估和保障个人权利的压力增加。个人信息保护影响评估在之前主要为国家标准推荐做法，《个人信息保护法》将个人信息保护影响评估正式吸收为个人信息处理者的法定义务。今后保险机构个人信息保护工作将向“实质合规”迈进，不能仅停留在制定隐私政策、获取同意等形式合规手段。《个人信息保护法》规定的法定评估情形中，对于“其他对个人权益有重大影响的个人信息处理活动”，保险机构宜根据本公司实际情况明确需要进行评估的情形，笔者建议该等评估尽量宽泛，可以与日常数据合规审核相结合。

为保障《个人信息保护法》规定的个人在信息处理活动中的知情权、决定权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等，保险机构需要投入人力、物力建立权利响应机制。在前述个人权利中，保险机构需要特别关注可携带权和删除权。可携带权是最终版本新增的权利，可携带权主要是为了防止数据垄断，促进数据的流通。以保险行业为例，基于可携带权，自然人甲可以要求A保险公司将其持有的与甲有关的个人数据提供给B保险公司。关于提供的形式，GDPR要求以结构化、通用和机器可读的格式提供，《个人信息保护法》则尚未明确以何种形式提供，但要求符合国家网信部门规定条件，有待网信部门进一步明确。保险行业需要关注可携带权可能带来的数据竞争问题，如A保险机构通过向甲提供免费服务或对价等方式，促使甲请求B保险机构直接将其持有的甲的信息转让給A保险机构，而不需要B保险机构的同意。笔者认为需要对可携带权施加一些限制，比如保险机构对合法收集的个人信息通过再加工形成的不再属于个人信息的衍生数据，应属于保险机构自有数据，不能落入可携带权的范围。删除权是容易被个人信息处理者忽视的权利，对于删除权的落实往往不到位。《个人信息保护法》规定了个人有权请求删除的五种情形，这对保险机构个人信息保护动态化管理提出了更高的要求，促使保险机构保留期限前尽快挖掘、利用数据价值，不能让数据在系统里睡觉。当出现需要删除情形时，保险机构应当予以删除或将数据匿名化处理之后删除。在委托第三方处理时，当委托事项结束时应要求第三方及时删除。

保险业落实《个人信息保护法》的建议

树立底线思维，识别高风险场景。保险机构在个人信息保护工作中，要坚持底线思维，严防出现踩红线的情形。笔者认为，以下两方面工作需要特别重视：

一是防泄漏。个人信息泄露，特别是大规模的个人信息泄露，不仅会损害个人主体权益导致民事责任，也会引起公安机关或监管机构对本机构个人信息保护义务落实情况的倒查，可能导致刑事责任和行政责任，更会严重损害保险机构的声誉。防泄漏是保险机构个人信息保护工作的首要目标，保险机构可以通过技术手段保障个人信息的安全，使用对隐私保护友好的技术，如联邦学习、多方安全计算等隐私计算技术，实现个人信息的“可用不可见”，可以对防止泄露起到重要作用。对于载有个人信息的纸质文件，如保单、理赔申请表等，应进行物理上的安全保管。另一方面，保险机构要采取管理措施，避免非必要的人员接触到个人信息，对于拥有下载、复制、查询等权限的员工，可以通过建立审批机制、强验证、固定场所实施等措施防止道德风险。

二是防滥用。保险机构对个人信息的利用要符合目的限制，按照合法、正当、最小必要、诚信的原则处理。为防止滥用，笔者建议保险机构在使用个人信息前，特别是自动化决策等高风险行为，都要根据本公司实际进行评估。保险机构也应分清轻重缓急，关注本公司可能导致个人信息泄漏、滥用或违规的高风险场景，由点及面逐步落实《个人信息保护》的义务。通常而言，保险机构高风险场景包括合规要求多或个人感知明显的场景，如第三方提供或收集个人信息（包括集团系统内共享、委托第三方处理、向境外提供等）、向用户推销产品（包括电话销售、短信邮件营销）。对于高风险场景，保险机构应投入更多的精力进行管理，特别是在电话销售过程中，要确保个人信息能够用于推销。在电话销售中如何实现处理规则的告知也是难点，一般应在收集信息前应向客户提供隐私声明等文件，如以口头形式则需要进行录音。对于客户在电话中明确拒绝接受服务的，建议保险机构将该类电话号码建立清单管理，日后进行电话促销时应复查，在清单内的电话号码则不再进行电话营销。

建立个人信息保护管理机制。第一，明确组织架构、职责分工。保险机构应明确个人信息保护的责任部门，明确个人信息处理部门、信息技术部门、法律合规部门各自职责。如果达到国家规定的处理规模，保险机构还应当指定个人信息保护负责人。个人信息保护属于保险机构数据治理的重要内容，保险机构在建立自身数据治理体系时，要将个人信息保护或数据合规作为一项重要内容，个人信息保护机制也应与本公司数据治理体系相适应。

第二，建章立制、采取技术措施。保险机构应根据法律法规、监管规定，结合本公司实际制定个人信息保护规章制度，并可以参考国家标准、行业标准的建议，采取加密、去标志化等技术措施保障个人信息的安全。在委托第三方建设系统、开发App时，可以将个人信息保护需求作为开发的要求。

第三，个人信息分类分级和动态管理。不同种类的个人信息所要求的保护等级不同，在梳理掌握本机构个人信息的基础上，应当从个人信息保护角度进行分类分级，如敏感信息的识别、分类、划分保护等级等。同时，个人信息保护不是一劳永逸的，是一个动态变化的过程，需要进行动态管理，包括处理目的的动态管理、合法性基础的动态管理、保存期限的动态管理等。根据不同期间的不同要求，调整对个人信息的使用和保存方式。

第四，运用好个人信息保护工具。一是用好合同协议工具。特别是在与第三方合作过程中，明确双方主体性质、权利义务管理、违规责任承担等内容，保险机构可以制定合同或协议模板，以供业务部门使用。二是用好个人信息影响评估工具。开展个人信息影响评估既是法律规定的义务，也是进行个人信息保护管理的有效工具。个人信息影响评估单靠某个部门难以完成，通常需要数据处理部门、信息技术部门和法律合规部门的共同参与，如数据处理部门负责需求等合理性评估、信息技术部门负责安全保障技术措施充足性评估、法律合规部门负责合法合规性评估等。个人信息影响评估一般应在处理个人信息前开展，但在系统、应用程序开发的场景下，个人信息影响评估应在需求论证阶段便开始，并贯穿于开发、测试、验收各个环节进行。

第五，建立培训和安全审计机制。对于能够接触、处理到个人信息的岗位人员，保险机构应当重点进行培训，降低道德风险、操作风险，使其能够熟练掌握个人信息保护政策和相关流程。根据规定，个人信息保护机制也应建立类似三道防线的机制，定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第六，做好个人信息保护留痕管理。《个人信息保护法》在民事责任方面确定了个人信息处理者过错推定的归责原则，个人信息影响评估记录需要保留3年，而且在相关机构对保险机构进行检查时，保险机构也需要保留相关材料以证明个人信息处理的合规性。这都要求保险机构记录好个人信息处理活动，做好留痕管理。

完善保险行业个人信息處理监管规则，制定保险行业标准。此前，我国金融行业个人信息保护监管规则呈现以银行业为主的特点，如《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》《金融消费者权益保护实施办法》仅适用于银行机构或支付机构，《个人金融信息（数据）保护试行办法》也主要发给银行机构征求意见，保险行业自身的监管规则缺失。从完善保险业监管规则和制定行业标准方面，笔者建议：

第一，制定保险行业专门的监管规定。保险经营与银行、证券等业务存在明显不同，存在核保、理赔、再保险等特有业务场景，不能完全适用同一套监管规则。在一些国家或地区，监管机构针对保险业制定了单独的指引或规则。如中国香港个人资料私隐专员公署发布了《给保险业界的指引》提出了实用建议;新加坡人寿保险协会发布了落实新加坡个人数据保护法的实务守则，梳理了人寿保险业务中需要使用或披露个人信息的场景以及不同目的下存储个人信息的最短时间等。笔者建议制定保险行业专门的监管规定，一是指导保险机构开展个人信息保护工作;二是制定保险业个人信息保护管理办法，在监管规则中明确保险业个人信息保护行业监管层面的各项机制，规范保险机构为履行监管义务必须收集的个人信息，为保险机构处理个人信息奠定合法性基础。如统一明确保险机构为实现保险基本功能，在投保、核保、理赔、办理再保险等环节最少收集信息等。

第二，制定个人信息保护行业准则。监管机构或者行业协会可以统筹行业推广个人信息保护工作的良好实践，弥补单一保险机构开展个人信息保护工作具有局限性，可以推动行业数据的共享和使用。这些行业标准可以包括保险行业个人信息处理规则推荐条款、保险业个人信息共享指南、保险业个人信息影响评估指南、保险业应用程序开发测评指南、中小型保险机构个人信息保护指南、保险机构使用新技术（如人脸识别、人工智能等）指南等。

（张坤为中国再保险（集团）股份有限公司内控合规与法律事务部资深律师。本文编辑/秦婷）