为保险企业深入解读:银保监会《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》
作者:梁琦 李伟华 2022-08-17近日,银保监会办公厅向各银保监局、各银行与保险机构下发了《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(“《通知》”),拉开了银行保险行业全面开展《个人信息保护法》(“《个保法》”)履行情况的检查序幕。那么,就《通知》包含哪些内容、我们保险企业应该如何应对等问题,本文将给出深入的解读与实操建议,希望给保险行业企业在执行时一定的启发和帮助。
一、整治工作要点
该《通知》的主要内容有以下几点: 1、整治对象:涉及保险行业的整治对象为保险集团(控股)公司与保险公司,包括产寿险、互联网保险企业,此次未将保险中介机构与再保险机构纳入整治对象范围; 2、个人信息范围:此次整治目的明确,突出为切实维护消费者合法权益的重点,主要针对消费者的个人信息,不包括保险企业的员工或保险代理人的个人信息; 3、整治方式:采取与既往监管整治活动相似的方式,即自查与抽查相结合; 4、工作时间:8-9月开展自查并整改,9月20日前提交自查整改报告;9-11月监管机构抽查; 5、检查范围:基本涵盖个人信息处理的生命周期各环节,并突出保险行业的业务特点与常见问题; 6、长效机制:要求建立健全个人信息保护制度机制,完善业务规则和操作流程,全面提升工作水平。
二、整治内容解读
《通知》列举了在个人信息处理生命周期的各个环节上,保险行业发现的侵害个人信息权益的主要表现形式,此也是本次整治工作的核心内容,保险企业应重点围绕这些内容开展自查工作。以下将结合笔者在实践中遇到的个人信息处理各环节中经常存在的乱象,对其进行逐一分析,从本质上找出保险企业可能存在的问题,梳理出涉及的法律法规,帮助保险企业确立各自的检查重点: (一)个人信息收集 1、表现形式 (1) 未经同意收集个人信息。 (2) 超出业务办理所必需的范围收集个人信息。 (3) 强制要求同意使用信息。 (4) 要求给予不合理的授权。 (5) 要求概括授权。 (6) 消费者信息审核不严谨。 2、涉及问题 (1)处理个人信息缺少合法基础 根据《个保法》的要求收集处理个人信息的,应具有合法性基础,诸如取得个人同意,为订立、履行合同所必需等情形,在需取得同意为处理前提的情况时,企业未取得个人同意而直接处理个人信息违反《个保法》要求。 (2)取得个人同意存在瑕疵 《个保法》规定,消费者所做出的同意应在“自愿、明确”前提下,采取“误导、欺诈、胁迫”等手段取得的消费者同意存在瑕疵,如企业通过各种强制或不正当手段收集处理个人信息同样违反《个保法》的要求。 (3)过度收集个人信息 收集与服务内容无关的个人信息,违反了《个保法》“直接相关”、“最小范围”以及“不得过度收集个人信息”的原则。 (4)未履行个人信息处理的告知义务,或告知内容含糊不清 保险企业收集处理个人信息前,可以通过《隐私政策》或《个人信息保护政策》等文件向消费者履行“告知”义务,消费者在“充分知情”的前提下做出的同意方为有效; 而告知内容应确保“真实、准确、完整”,含糊的告知内容不符合《个保法》的相关要求,容易引起投诉或纠纷。 (5)收集外部数据,未尽到对数据供应商审慎的调查义务 对从外部收集的数据或个人信息应采取谨慎的态度,对数据提供方的资质、取得数据的授权范围进行必要的检查与确认,如涉及个人信息的则提供方是否履行相应《个保法》的义务。 (6)数据准确性欠缺 《个保法》规定处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。 (二)个人信息存储和传输 1、表现形式 (1) 电子数据存储管理混乱 (2) 纸质材料保存管理混乱。 (3) 通过不安全渠道传输个人信息。 (4) 因系统或操作原因导致信息外泄。 2、涉及问题 (1) 未针对数据及个人信息进行分级分类 企业未对所处理的数据及个人信息进行分级分类管理,或未区分敏感个人信息与一般个人信息,而《数据安全法》(“《数安法》”)与《个保法》要求企业对处理的数据与个人信息进行分类分级的管理,并且针对敏感个人信息应采取更高的要求,是企业对数据与个人信息管理的基本前提。 (2)缺少数据全流程安全管理制度 《数安法》要求企业建立健全的全流程数据安全管理制度(包括数字化与纸质化数据),《个保法》也要求制定内部管理制度和操作规程,企业在管理数据及个人信息的生命周期过程中,对数据的下载、存储、记录以及传输等环节应做出必要的规定并采取技术手段予以限制。 (3)对所处理的个人信息未采取加密、去标识化等安全技术措施 《个保法》要求企业在处理个人信息时,应采取相应的加密、去标识化等措施,避免明文留存,防止个人信息未经授权的访问以及泄露、篡改、丢失。 (4)未履行教育培训工作,导致企业员工数据安全意识单薄 《数安法》与《个保法》均要求对企业开展数据安全的教育和培训。 (三)个人信息查询 1、表现形式 (1)查询权限管理混乱。 (2)查询业务操作不规范。 2、涉及问题 (1)未建立数据分级分类机制以及数据全流程安全管理制度 导致无法针对不同风险等级或类别的数据采取差异化管控,从而致使无法对不同岗位员工接触数据的权限予以有效管理。 (2)未建立企业人员系统权限管理制度或机制 未识别出企业数据安全的关键岗位,对不同部门不同工作岗位所需要合理接触数据或个人信息的范围无明确界定; 未制定适应公司情况的员工系统权限管理制度,用以明确员工系统权限的申请、修改、作废等审核流程。 (四)个人信息使用 1、表现形式 (1)用于不当营销。 (2)用于不当催收(适用于银行机构)。 (3)擅自办理业务。 (4) 撤回同意后继续使用。 2、涉及问题 (1)违规收集消费者个人信息进行处理 未适当履行《个保法》“告知-同意”义务,即向消费者开展营销活动,甚至冒充消费者办理业务,违反个保法规定,或可能触犯刑法。 (2)变更个人信息处理目的、方式、种类时,未重新取得个人同意 企业采取“跨渠道销售”“交叉销售”等营销方式或通过赠险、宣传活动等取得消费者个人信息后,未向消费者履行明确告知义务并取得同意就直接开展其他保险的营销活动,有悖于《个保法》相关法律规定。 (3)消费者在《个保法》下的各项权利无法实现 企业未建立内部机制与流程,消费者在《个保法》下的各项相关权利难以得到实施; 消费者明示拒绝或撤回同意后,保险企业根据《保险法》或监管规定虽有继续保存消费者个人信息的义务,但应当考虑停止除存储和采取必要的安全保护措施之外的处理,尤其应停止继续对消费者开展营销活动。 (五)个人信息提供 1、表现形式 (1)未经同意向他人或外部机构提供信息。 (2)违反法律、行政法规和国家网信部门规定,向境外提供个人信息。 2、涉及问题 (1)未识别或准确识别第三方性质 保险企业无法判断企业的业务合作方在《个保法》下的第三方法律性质,未针对性的采取措施及履行法定义务,从而导致个人信息管理混乱并造成法律风险; 上述情况主要体现在:针对独立处理者,个人信息处理者(个人信息提供方)未履行“告知-同意”义务;针对委托处理者,未根据《个保法》要求履行相关监督管理、删除或返还等义务。 (2)未履行个人信息出境合法程序 个人信息出境前,应履行安全评估、认证以及签订标准合同等合法程序; 符合《数据出境安全评估办法》中申报网信办安全评估的企业,应尽快开展申报安全评估的相关准备工作; 向外国司法或者执法机构提供境内数据前,应先获得国家主管机关批准; 银保监会规定,业务数据、财务数据等重要数据应存放在中国境内,具有独立的数据存储设备以及相应的安全防护和异地备份措施。 (六)个人信息删除 1、表现形式 (1)未明确个人信息删除要求。 (2)未及时删除个人信息。 2、涉及问题 (1)不掌握个人信息的保存期限 企业应在不同业务场景下,根据相适应的业务目的与法律法规监管规定,确定个人信息需保存的最短合理期限; 保单中的个人信息的保存期限,可参考《保险法》相关规定;在其他业务场景下收集的个人信息,应根据法律法规及监管规定、业务特点、目的是否实现等因素,综合考虑保存的最短合理时间。 (2)企业无正当理由继续保存消费者个人信息 如因拒保等原因,最终未订立保险合同的,则企业应及时删除、销毁消费者的个人信息。 (3)企业缺少有效的个人信息删除、销毁的制度或机制 企业无数据全流程安全管理制度,导致无有效的个人信息删除、销毁程序与方式; 保险企业对个人保险代理人处理保管消费者个人信息,采取有效管理措施。 (七)第三方合作 1、表现形式 (1)与第三方合作机构合作不审慎。 (2)违反规定向第三方合作机构提供个人信息。 2、涉及问题 (1)未识别或准确识别第三方合作机构法律性质 保险企业未准确判断业务合作方(有个人信息转移),在《个保法》下的法律性质,导致无法有针对性的采取措施并履行义务。 (2)缺少对第三方合作机构的有效管控 保险企业对第三方处理个人信息的管控不足导致风险,未履行《个保法》要求的相应义务,如在委托处理个人信息时的监督义务。 (3)提供的个人信息应与第三方合作的目的与内容不匹配 向第三方提供的个人信息与业务目的与内容不匹配,导致未做到《个保法》所所所要求的“实现处理目的的最小范围”。 (4)未采取加密、去标识化等技术手段 与第三方数据传输的方式与渠道,未达到有效保护数据的安全水平。
三、自查与整改建议
面对上述较为繁重的检查任务,保险企业如何开展自查与整改工作,建议从以下几个方面展开:
(一)梳理排摸 1、企业自身梳理 梳理企业收集个人信息的业务场景及对应的处理目的、方式、敏感程度、个人信息种类及数据体量等基本情况,尤其对企业的线上线下业务所收集个人信息的合法性、正当性、合理性予以审核; 在各个业务场景下,明确收集个人信息活动所适用的个人信息处理合法基础,并明确在各业务场景下收集个人信息的合理范围; 2、第三方合作梳理 梳理企业有个人信息转移业务的合作方,以及所涉个人信息的种类、数量、敏感程度等情况,并根据服务内容、法律关系、义务履行可能性以及后期风险程度,综合判断第三方的法律性质与类型; 梳理第三方合作所需的“最小范围”的个人信息; 3、个人信息出境 排摸保险企业个人信息出境的情况,包括个人数据的处理数量、个人信息出境数量以及系统权限分配等情况,充分了解本企业个人信息出境的目的与合法必要性,按照最新监管要求,执行相关个人信息出境的合法程序。 (二)建章立制 1、制定适合公司实际情况与业务模式的《隐私政策》或《个人信息保护政策》,履行告知义务; 2、对所处理的数据及个人信息进行数据及个人信息分级分类工作,并制定相应制度与机制; 3、针对数据生命周期中各个环节,制定数据全流程安全管理制度; 4、企业各部门间配合建立个人信息主体行权方式与流程,确保个人顺利行使《个保法》所规定的个人权利; 5、建立一套关于系统权限授予、变更、撤销等管理制度与机制; 6、建立公司收集或采购外部数据的评审机制与流程,对数据提供者的资质与数据使用范围进行必要的审核; 7、建立健全对第三方数据与个人信息管理的制度与机制,以及对应的合作协议条款; 8、建立个人信息出境的内部审核流程与机制。 (三)落地执行 1、管理层面 识别企业中处理数据与个人信息的关键性岗位,并通过签署保密协议等形式对其工作中的数据处理行为予以有效管理; 对企业人员(包括内部与外部人员)设置合理且与其工作内容相适应系统权限; 积极开展数据安全与个人信息保护宣传与培训工作,建立与培养员工数据安全意识。 2、技术层面 通过技术手段,对所处理的个人信息,尤其是敏感个人信息采取加密、去标识化等安全技术措施; 针对不同等级的数据或个人信息,采取相适应的技术管控手段,防止企业人员随意下载、存储或滥用; 技术上,对企业所处理的个人信息,尤其是敏感个人信息采取加密、去标识化等安全技术措施,避免明文展示; 3、 业务层面 针对不同业务场景以及个人信息处理合法基础,采取适当的措施履行“告知-同意”义务,如线上线下业务如何分别有效进行告知及获取消费者同意; 对现有客户,如改变个人信息处理的目的、方式、种类的,应重新履行“告知-同意”义务; 进一步加强电话销售等营销活动的内部管控,结合《个保法》各项要求避免扰民情况发生。
四、结语
个人信息作为保险业务的重要因素,保险企业应予以高度重视。而在短短的一个多月内需要完成银保监会要求的全部自查和整改工作,也面临着非常大的挑战。建议保险企业通过制定长中短期的规划与战略,逐步实施及提高企业对数据以及个人信息全生命周期的管理水平,不断提升企业数据安全及业务质量;同时可以酌情聘请外部机构,比如既掌握法律技能又熟悉保险业务的律师事务所、咨询公司等,协助保险企业开展自查与整改,通过内外部资源协力完成此次专项检查。
延伸阅读: 研究|路在何方:保险行业开展数据安全与个人信息保护之分析与建议(一)