保险业个人信息保护的监管规范路径刍议
2023-08-31黄志浩上海银保监局
黄志浩 上海银保监局
保险业作为金融业中典型的“个人信息”集中行业,在数字经济时代的人工智能、大数据、云计算等金融科技加持下,势必涉及大量的保险消费者个人信息。从监管法治的角度审视我国保险业个人信息保护规则,可以发现其存在诸多不周延之处,例如,对算法杀熟、跨境数据传输等关键问题缺少回应。因此,应借助本轮《保险法》修订等金融法治供给侧改革的关键时机,尽快建立多层次的保险业个人信息保护体系,厘清保险业个人信息保护的法治脉络,完善监管职权配置,增强各项规则的可执行性,以促进保险业依法经营与合规发展,保护金融消费者合法权益,落实“以人民为中心”的发展思想。
一、概论
(一)数字化新时期的保险业个人信息保护
自2022年原银保监会发布《关于银行业保险业数字化转型的指导意见》(银保监办发〔2022〕2号)以后,保险业的数字化转型已经不是选择题而是必答题。在当前金融科技赋能金融业发展的大背景下,越来越多的保险公司走上了数字化转型之路,采用人工智能、大数据等技术进行精准化营销获客、自动化决策,并进行大数据风险定价,提供品种丰富、定价科学的保险产品,以更好地满足人民群众对差异化保险产品的需求。但随之也出现了营销过度、信息泄露、算法杀熟等一系列个人信息保护的相关问题。
数据作为保险业数字化转型中的一项特殊资源,既有体现保险消费者公民权利“个人性”的一面,也有体现维持行业平稳运行“公共性”的一面,其有效的流转、利用与治理是保险业数字化转型中各项技术成败的关键。2021年正式实施的《个人信息保护法》在立法目的中对上述二元价值给予了较好的兼顾。具体到保险行业,其业务本质是建立在信息不对称基础之上的“风险定价”,即保险公司在经营过程中为了估测损失规模、合理确定保费,必然需要收集大量个人信息,甚至是个人金融账户信息、医疗信息等敏感信息。因此,有必要在《个人信息保护法》的基础上,对处于交易弱势地位的保险消费者的个人信息予以进一步的倾斜保护。2022年,原银保监会消保工作的重点便是对银行保险机构个人信息保护的检查。2023 年初,国家金融监督管理总局组建成立,标志着保险监管力度得到进一步加强,个人信息保护作为数字化时代金融消费者权益保护的一项重点内容,也得到进一步重视。因此,构建权责分明、规范有效的保险业个人信息保护监管法治框架已是当务之急和必然选择。
(二)我国保险业个人金融信息保护的法治进路
我国保险业的个人信息保护立法起步较晚。美国早在1996 年就根据保险行业的特殊情况,制订了《健康保险可移动性和责任法案》(Health Insurance Portability and Accountability Act,HIPAA),针对医疗保险中涉及个人信息的交易规则、医疗信息安全、医疗隐私、患者身份识别信息等问题作出详细的法律规定。我国在2009年的《刑法修正案(七)》中才将侵犯公民个人信息的行为定为犯罪行为,迈出了刑事先行的个人信息保护第一步。
在法律层面,2012 年,全国人大常委会制订了《关于加强网络信息保护的决定》,正式将个人信息作为一项专门法益予以保护。2017 年生效的《网络安全法》明确了网络环境下的个人信息保护问题。2020年《民法典》的出台,标志着在法律层面上首次将个人信息作为一种人格权益予以确立,个人信息保护的重要性被提到了一个新的高度。以此为基础,2021年《个人信息保护法》和《数据安全法》的出台,进一步奠定了包括个人信息在内的数据保护基本立法框架。
在金融行业监管层面,人民银行分别于2011年和2012年连续两年发布《关于银行业金融机构做好个人金融信息保护工作的通知》,是金融领域最早的关于个人金融信息保护的专门规定。单就保险行业而言,2014年,原保监会印发《关于加强保险消费者权益保护工作的意见》(保监发〔2014〕89 号),对个人信息保护作出了原则性规定。除此之外,保险业关于个人信息处理或保护的专项立法绝大多数还处于规则缺失的状态,只有部分原则性规定零星散见于关于信息系统安全管理、销售行为可回溯管理、互联网保险业务管理等监管规定中。例如,《互联网保险业务监管办法》中仅宣誓性地强调了个人信息收集的“合法、必要、最小”原则,对于实务中保险业务开展时收集个人信息的类型和边界、个人信息保护政策制定的要求和形式等并未作出进一步的细化规定,导致部分保险机构对个人信息保护规定的落实流于形式。
综上,我国保险领域的个人信息保护立法起步较晚且规制零散,缺乏协调性和体系化。考察目前对保险业个人信息保护的法律规范,主要依托于《个人信息保护法》等法律,具体权益保护的规则主要在金融监管部门的部门规章或规范性文件层面得以体现,且多为较抽象的金融业通用性规则。对于保险业相较于其他行业的一些特殊之处,如保险业自动化决策下的风险定价等,目前的监管规定还较少,相关监管工作在实际开展中仍缺乏有效的定性、定量依据,保险公司的合规成本也水涨船高。因此,理顺个人金融信息保护的规范体系、填补规则空白、回应业界关注的关键问题是监管法治建设的核心要点。
二、保险业个人金融信息保护的若干关键问题透视:基于现行立法不周延的实证考察
(一)关于保险业个人信息收集规则下的“最小必要”问题
所谓“最小必要”原则指的是个人信息收集活动应当限于实现处理目的的最小范围,不得过度收集个人信息。理论界一般认为,“最小必要”原则包括关联性、最低频率、最少数量三个子原则。目前,“最小必要”原则在实践中主要存在两个问题。
一是判断模糊。如何判断哪些信息是订立、履行保险合同所必需的个人信息,目前没有明确的依据可以“划清边界”。业务场景的多变、服务内容的差异、保险机构的风控水平不同等,都会导致不同保险机构对“最小必要”的范围产生不同的理解。以人身险业务为例,姓名、联系方式、年龄、保费支付账号等被认为是订立、履行保险合同所必需的个人信息。但在实践中,很多保险机构出于各种原因,例如,为提升自身服务水平等,往往会超出上述范围额外收集更多的个人信息,甚至收集很多明显与订立、履行保险合同关联度较低甚至是无关的个人信息,包括婚姻状况、个人履历(学历、职历)、社交喜好、实时地理位置等;在侵犯保险消费者知情权等权益的同时,保险从业人员还会作出未经允许拨打营销电话、发送营销信息等过度营销行为。
二是监管薄弱。随着保险业数字化转型的不断深入,保险公司线上APP部分替代了传统的线下营销,成为保险业务发展的一条重要渠道,其获取个人信息的效率、数量等也远远高于线下方式。但大多数保险公司,包括保险公司自营平台、互联网保险公司和第三方平台等,其APP中的《隐私条款》或《个人信息保护政策》中有关个人信息收集和保护的内容并未体现“最小必要”原则,例如,对信息收集的必要性和关联性重视不足,对关键信息表述不清晰等,而目前行业监管部门对这方面的监管较为薄弱。
(二)关于保险“风险定价”下的“大数据杀熟”与“算法歧视”问题
在保险机构数字化转型的过程中,基于大数据技术自动化决策的应用将更为普遍,风险定价、智能核保、智能理赔、推荐感兴趣产品等场景都有可能涉及自动化决策。在保险消费者个人信息为保险公司的定价发挥“大数据”下的商业价值时,新的风险和问题也随之产生,即对保险消费者的“大数据杀熟”与“算法歧视”。不少业界人士甚至将前述行为定性为价格歧视,认为这是保险机构通过技术手段,对消费者实时数据进行抓取、整理、挖掘后,为追求利益最大化而实施的歧视性行为。
以近年来较为典型的一类风险定价的新型财险产品“退货运费险”为例,其是指网络购物中的买家或卖家向保险人支付保险费、保险人根据合同约定对发生退货订单的单程退货运费承担赔付责任的保险。在卖家版运费险中,保险公司与卖家签订保险协议,针对卖家店铺内全部符合条件的“七天无理由退货”商品提供运费险服务。随着大数据技术的发展和预防欺诈的需要,运费险的定价也从传统的“一刀切”方式转变为充分利用大数据模型进行差异化定价。而定价模型吸收了海量的消费者行为数据、电商交易数据、商品类目、消费记录和退赔记录等,保费随着出险率的升高而递增,从而实现“私人订制”的定价模式。
基于保险标的的不同风险状况而决定是否承保及厘定差别保险费率是保险定价的基础。但基于前述的差异性定价仍应遵循“公平性”原则,而非“看人下菜碟”或者是“大数据杀熟”。比如,根据与标的风险无关的消费者的偏好、交易习惯等特征来进行定价,就损害了消费者权益。因此,如何结合《个人信息保护法》第二十四条,将自动化决策的技术手段与保费差异化的因果关系予以细化,使其在保险从业逻辑与金融消费者权益之间获得平衡,相关规则仍有待进一步完善。
(三)关于保险业个人信息使用分级保护的问题
《个人信息保护法》对个人信息与敏感个人信息进行了界定和区分。敏感个人信息包括金融账户、医疗健康信息等,因其承载了更高位阶的法益,所以立法对其给予了更为严格的区别保护。例如,相较于一般个人信息,对敏感个人信息进行收集、共享、转让、公开披露等处理活动,需要取得个人的“单独同意”;在处理敏感个人信息前,需要告知本人处理敏感个人信息的必要性以及对个人权益的影响,对敏感个人信息需要采取更严格的保护措施等。
在金融领域,根据金融标准化技术委员会发布的《个人金融信息保护技术规范》,将金融领域的个人信息按敏感程度分为C1、C2、C3三个级别,据此,几乎所有保险业务开展时所采集的个人信息,如个人身份信息、财产信息、保险账户信息等均能归入敏感个人信息的范畴。这与《个人信息保护法》对个人信息的二元划分存在一定交叉与冲突。对此,学界和实务界一直存在争议,部分观点认为,将个人金融信息纳入敏感个人信息范畴,对金融业并无裨益;相反,为了提升服务效率和满足客户需求,更加有必要促进个人金融信息的共享利用。在保险业务场景中,保险账户信息、医疗信息被归入《个人信息保护法》下的“金融账户信息”作为敏感个人信息保护当无异议,但针对保险用户的姓名、性别等基本资料信息,如果同样按照敏感个人信息的保护标准执行,可能会给保险机构带来不小的业务合规成本,在形成资源浪费或因为需要取得“单独同意”而频繁打扰用户的同时,甚至会对保险业平稳健康发展造成一定阻滞。
(四)关于保险业个人信息传输跨境提供的问题
在数字化时代,数据安全与国家安全息息相关,在当今数据管辖权冲突日益激烈的国际环境下,实现数据依法合规的跨境流动是行业主管部门必须要履行好的监管职责。而保险公司在业务经营过程中,不可避免会涉及个人信息跨境提供行为,这一情况往往出现在境外再保险、外资保险公司与母公司交互个人信息、高端医疗海外就医等场景,但对下述关键问题尚无定论。
一是个人金融信息是否可以出境还不明确。现有金融相关立法以“不出境为原则、出境为例外”作为基本监管思路,仅有上海、广东等部分地区的金融规范性文件根据实际情况作出了允许金融机构向境外总公司、母公司或分公司、子公司及其他为完成业务所必需的关联机构提供个人金融信息的除外规定。
二是关于保险业“关键信息基础设施运营者”的认定。在现有法律体系下,关键信息基础设施运营者的个人信息及重要数据处理活动受到了尤为严格的限制与关注。保险业作为金融领域的关键组成部分,其网络设施、信息系统一旦遭到破坏、丧失功能或者数据泄露,就可能严重危害国家安全、国计民生、公共利益。但现阶段的金融行业监管规则尚未对“关键信息基础设施运营者”进行明确界定,对如何认定保险行业的“关键信息基础设施运营者”尚无定论,导致大量面临数据出境的保险机构难以准确判断自身定位,无法确定是否需要按照“关键信息基础设施运营者”的监管标准开展个人信息出境业务。
三是如何进行个人信息的出境安全评估工作。《个人信息保护法》《网络安全法》等均对个人信息出境提出了安全评估要求,但基于目前网信办、国家金融监督管理总局和人民银行多头监管金融业个人信息保护的格局,尚未明确主管部门和制定个人信息出境的具体规则,包括具体评估的实施主体、评估的流程与方式等。
总体而言,由于监管规则的空白与模糊,现有保险业的数据出境活动仍然处于一种“粗放派”与“谨慎派”并存的局面。如果监管规则一直难以明确,“粗放派”的信息“滥”出境或是“谨慎派”的跨境业务开展遇阻,均不利于形成我国保险业务国际化发展的新局面。
三、保险业个人金融信息保护的监管法治完善建议
(一)建立健全保险业多层次个人金融信息保护法治体系
在我国深化保险业数字化转型的时代背景下,完善保险业个人信息保护立法,是加强监管、保护保险消费者合法权益的重要任务。尤其是近年来,监管规则的长期缺位、滞后,导致实践中保险业个人信息保护乱象频生,更彰显了完善保险业个人信息保护立法的急迫性。通过考察域外法可以发现,欧盟、美国等对个人金融信息保护的立法轨迹基本遵循了从“民法基本权利保护”到“专门法律保护”,再到“具体领域保护”的法律规范递进层次路径。在本轮《保险法》修订中,建议借鉴上述法治逻辑将个人金融信息保护全面纳入法治化轨道,一方面,做好《保险法》与《个人信息保护法》的衔接;另一方面,将实践中已经较为成熟的行业规则或标准,及时上升到法律层面,解决行业监管无法可依的局面。
第一,在法律层面,应在本轮《保险法》修订中全面体现个人信息保护的要求。《保险法》作为保险行业监管法律体系的核心大法,在本轮全面修订的过程中,一是应确立个人金融信息保护的基本原则,如知情同意、“最小必要”、信息质量、数据安全等原则应在法律层面予以明确。二是应对监管权力配置作出规范,顺应本轮金融监管机构改革的要求,加强国家金融监督管理总局在保险业个人信息保护行为监管中的主导地位,明确各监管部门的功能配置和职能划分,避免重复监管或监管空白。三是丰富监管部门的个人信息保护监管工具箱,提升个人信息保护方面监管工具的丰富性与科学性,如赋予国家金融监督管理总局对互联网平台公司的延伸监管权等。
第二,在部门规章层面,一是建议与上位法做好衔接,着力增强保险业个人信息保护的可操作性和可执行性,丰富个人信息保护规则的操作细节。二是建议消除监管规则与上位法的抵牾之处。鉴于在《个人信息保护法》生效前,保险业监管部门为应对实践需要所制订的部分关于个人信息保护的规定与上位法冲突,对此应在尊重上位法的基础上及时予以调整。三是建议在实践较为成熟的情况下,将实践中适用效果好、合规保障性高的行业规则上升为监管部门规章,并适时出台《保险业个人信息保护管理办法》,或将个人信息保护与数据治理监管规则统合出台专门规定。
第三,在行业组织及行业规则层面,基于大数据应用的技术性特征,建议尽快由行业主管部门指导行业自律组织,牵头联动各类技术检测、智能应用、数据开发及应用机构,加快推进保险业的个人信息保护行业标准和技术规范的制定,明确个人信息应用的安全机制及规范化管理机制等,并推动挑选部分保险机构“先行先试”,在此基础上对行业标准及技术规范进行优化升级,以更好地贴合金融行业的实践应用。
(二)完善“最小必要”原则,以维护金融消费者合法权益
“最小必要”原则应用并体现在个人信息处理活动的各个环节,包括收集、使用、存储、加工等。但如何判定个人信息处理的“最小必要”范围,需要根据具体产品及服务的特性进行判断,并考量个人信息处理与功能目的的强关联性和匹配性,以及特定的行业监管要求。
本文建议进一步结合保险业务及功能特色,通过部门规章、行业标准等多种形式对保险业的主要业务场景、功能环节等个人信息处理活动的“最小必要”原则,甚至是具体范围进行明确。例如,为办理实名制登记收集个人信息的,应要求从业机构参照《个人保险实名制管理办法(征求意见稿)》对实名信息的限定,仅收集“投保人、被保险人、受益人的姓名、身份证件类型、证件号码、证件有效期和所办理保险业务的种类、基本内容、投保人实名缴费信息”,不应擅自扩大实名信息的收集或使用范围。同时,保险机构如需要超出上述具体范围额外收集保险消费者个人信息的,应就其超出范围外收集个人信息的原因、种类、拟进行的处理方式、存储或删除时点等向相关主管部门进行特别报备,并向金融消费者进行特别提示、告知并获得其同意,从而保障保险机构不存在超出必要范围之外滥收、滥用个人信息之情形。
(三)完善“公平定价”规则,以应对自动化决策下的“大数据杀熟”
在对自动化决策这把双刃剑的监管规制中,既要避免过分个性化的保险费率导致损害保险消费者合法权益,又要避免机械适用、千人一面的保险费率导致定价错位,进而对其他低风险被保险人造成更大的不公平。这一问题在人身险领域因交易对象和交易标的竞合而显得更为复杂。
建议在《保险法》修订中,参考《银行保险机构消费者权益保护管理办法》,明确关于公平定价的原则性规定。在具体监管规则中,应根据《个人信息保护法》对自动化决策的合规要求,就有关遵循公开透明原则、事前进行个人信息安全影响评估、赋予用户选择或拒绝的权利、对个人权益有重大影响的决定应保障用户的解释权和拒绝权等内容作出规定。同时,结合保险产品相较普通产品在定价、交易模式上的特殊性,应进一步细化算法推荐、自动化决策的规制在保险领域的适用。可以参考《互联网信息服务算法推荐管理规定》对算法推荐服务提供者提出的备案手续要求,探索建立保险业领域的保险产品风险定价算法备案机制,要求保险机构在使用用户信息算法画像提供保险服务时,提前履行报备手续,并由监管部门对该类算法是否可能涉及“大数据杀熟”,是否会损害保险消费者权益进行统一判断及调度。对于无正当理由对交易条件相同的交易相对人实施差别待遇的保险算法机制,需勒令保险机构退回重改,不得上架应用。
(四)完善保险业个人信息分级保护规则,以促进行业健康发展
对于个人信息的分级保护与使用,应充分考虑保险行业和个人信息的特殊性,促进“保护个人信息权益”和“个人信息合理利用”这两项立法原则相协调。根据法经济学理论,不宜简单将保险业务中所有个人信息都作为敏感个人信息加以保护。而应基于《个人信息保护法》中对于敏感个人信息的判断标准,即“具有高概率的致害风险”,并结合一般公众的认知常识、习惯,来判断该信息是否具有敏感性。对于具有敏感性的信息,应根据不同的敏感程度予以区分保护。
在具体的立法构造上,建议在《保险法》的修订中明确个人信息的分级保护原则,对于敏感个人信息应予以倾斜保护。在下位监管规定中,建议对个人基本信息与敏感个人信息作出区分,要求保险公司建立个人信息分级保护制度,对个人信息视其敏感程度建立不同的安全保障体系。同时,借鉴中国人民银行发布的金融行业推荐性标准《个人金融信息保护技术规范》相关内容,类似将个人金融信息按照安全影响程度不同划分为C1、C2、C3 三个标准,可以将保险业务中收集的敏感个人信息依据“致害风险+风险概率”的不同,划分为不同的敏感等级,并分别规定不同的保护措施。例如,对于敏感级别高的个人信息,如保险账户的登录密码、交易密码、用户个人生物识别信息、医疗健康信息等,在收集、传输、使用的过程中应严格加密处理等,以管理办法或监管指引等具有强制性的规则强化保险机构对于个人信息的分级保护义务。
(五)完善“信息跨境传输”规则,以保障金融数据安全
在我国金融业对外开放程度不断加深的时代背景下,数据的跨境流动是大势所趋。2020 年,我国与东盟十国及日本、韩国、澳大利亚、新西兰共同签署《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP),已基本认可目前国际普遍提倡的“提供个人金融数据跨境流动便利,消除不必要的数据流动阻碍”的通用规则。在《保险法》层面,建议在确保数据主权安全的前提下,大胆破除目前严苛的个人信息本地化限制,原则性地规定保险机构可以在确保个人信息安全的前提下跨境传输个人信息,以顺应我国保险业对外开放的趋势,提升我国保险机构的国际竞争力。
在具体的监管规则上,建议明确个人信息出境的主管部门与具体规制措施,一是建议参考系统重要性程度、保费规模等因素,要求我国一定规模以上的保险公司按照“关键信息基础设施运营者”的监管标准开展个人信息出境业务。二是建议与前文所提及的个人信息分级保护制度相结合,构建灵活多样的保险业个人信息出境安全评估模式,对于较不敏感的个人信息,可以适当放宽出境条件,例如,在经过保险公司内部安全评估和个人信息主体明示同意后即可出境;对于较为敏感的信息,则应经由监管部门安全评估后方可出境。三是建议参照域外,如欧盟《数据保护通用条例》,将个人信息跨境传输置于不同场景区别保护和对待,增加更多可以实现保险业个人信息跨境传输的条件情形。四是鉴于保险数据安全对于我国的金融安全、国家安全具有重要意义,即便满足个人信息出境条件,各信息提供主体仍应采取各项措施敦促、约束境外接收方承担保护个人信息的责任与义务,采取防范信息泄露风险的技术和管理措施,以确保我国的金融安全以及金融消费者的个人信息安全。
四、结论
在全面数字化转型的新时期,对保险业个人信息的保护是事关金融消费者权益保护和数据治理的重要问题,构建保险业个人信息保护的监管法治框架仅为完善全链条治理体系的一个重要前提。除此之外,监管部门、行业自律组织与保险公司作为保险市场的共同参与主体,还需在以下几方面同向发力:
就监管端而言,建议一是延伸监管范围至为保险机构提供保险产品销售的互联网平台等渠道,完善保险业个人信息保护的全链条监管体系;二是加大监管力度,进一步开展有关个人信息保护的专项检查并加大处罚力度,对于情节严重的违规行为探索直接适用《个人信息保护法》第六十六条第二款进行处罚;三是加快构建智能化的监管体系与平台,顺应保险业数字化转型的趋势。
就行业自律组织端而言,建议一是充分发挥行业自律组织的牵头作用,设置担负个人信息保护职责的专业委员会,定期研讨数字化转型中个人信息保护的前沿问题;二是出台个人信息保护相关内容的行业自律公约,加强自律督促;三是加快配置金融行业内安全可控的官方数据平台,确保个人信息的安全规范使用,集中进行个人信息加密安全性、脱敏效果检测等。
就保险公司端而言,建议一是建立以DPO(Data Protection Officer)为核心的个人信息保护合规体系;二是构建标准化的个人信息保护闭环管理流程体系,严格信息系统的操作权限,强化个人信息保护的刚性约束机制等;三是厚植依法经营意识与合规文化,提升从业人员尤其是保险代理人的个人信息保护意识,将个人信息保护要求纳入绩效考核体系,落实第一道防线职责,切实做到依法合规经营与保护保险消费者合法权益。