×

打开微信,扫一扫二维码
订阅我们的微信公众号

首页 锦天城概况 党建工作 专业领域 行业领域 专业人员 全球网络 新闻资讯 出版刊物 加入我们 联系我们 订阅下载 CN EN JP
首页 > 出版刊物 > 专业文章 > 路在何方:保险行业开展数据安全与个人信息保护之分析与建议(一)

路在何方:保险行业开展数据安全与个人信息保护之分析与建议(一)

作者:梁琦 李伟华 2022-05-09

一、法律背景


随着网络信息技术的高速发展,我国已跨入信息和互联网时代,因此对于数据安全和个人信息的保护与合理使用变得更加重要。随着《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)、《中华人民共和国数据安全法》(以下简称“《数据安全法》”)以及《中华人民共和国网络安全法》(以下简称“《网络安全法》”,《个人信息保护法》、《数据安全法》与《网络安全法》合称“三法”)的出台,我国目前已经形成以上述三法为核心的数据安全和个人信息保护的联动体系。


保险行业企业作为人们日常生活中接触较为频繁的机构之一,其获取的数据和个人信息存在体量大、范围广、种类多等特点,更有可能直接关系到每人的个人隐私和切身利益。因此,保险行业企业在数据安全和个人信息保护方面更有紧迫性。

本文将结合保险行业企业的业务特点,归纳和梳理相关数据和个人信息保护的合规要点。

 

二、保险行业对数据需求


保险是在大数据原则基础上发展起来的业务,从其诞生那天起,就与数据有天然联系。保险对数据的需求可归纳为:


1.   营销需求

利用数据分析客户的消费习惯、购买能力,对其保险需求预测,开展精准营销,有效触达和说服潜在客户。保险一般作为弱需求的非刚需产品,数据是触达和挖掘潜在客户的有力武器。


2.   风控需求

在设计保险产品时,各类风险数据就决定了产品的保障范围以及合理定价。而在核保和理赔过程中,也有利用数据开展风险识别和防控的需求,例如:如何识别带病投保、重复投保、反欺诈,防范骗保等等。


3.   创新需求

预测保险产品市场发展趋势,推出满足市场需求的产品。随着技术进步及数据处理能力的提高,基于精算的保险产品可更为多样化。起购点低、高频次、参与灵活的保险产品成为趋势,这些创新产品的出现,都是在一定数据体量的基础上分析发展而来。


三、保险业务合规风险分析


由于保险产品的特殊性,保险行业区别于其他行业,它有着独特的业务逻辑与运作模式,从而形成了其特有的业务流、资金流以及数据流。因此,保险行业企业在执行《网络安全法》、《数据安全法》、《个人信息保护法》以及相关的法规与国家标准时,会面临许多不同于与其他行业企业的问题。为了使保险行业企业进一步了解三法的相关细则,同时明确自身企业所面临的风险,我们结合自身经验,对保险业务典型场景中涉及到的数据安全与个人信息保护相关问题予以归纳总结。

 

业务场景

合规风险要点

涉及企业

保险营销

保险相关企业在开展保险营销过程中,会通过各种渠道或方式,直接或间接向营销对象、潜在客户或现存客户提供保险资讯、展示企业形象、推介保险产品等,在此过程中会对数据及个人信息进行收集处理,建议针对以下注意事项,检视相应的合规流程是否充分覆盖,责任部门是否明确:

1.   直接销售

由保险公司直接向客户开展营销活动时应重点关注营销对象以及目标客户个人信息来源的合法性,保险公司是否能以有效方式履行“告知-同意”的义务。

2.   中介销售

保险公司通过保险中介向客户开展保险营销活动时应注意:

a)  保险中介所针对的营销对象或目标客户信息来源是否合法合规,是否存在通过多层供应商层层提供个人信息等情况,如何综合判断可能存在的风险隐患并规避风险;

b)  保险中介是否依法履行“告知-同意”的义务,告知应包含哪些内容可确保保险中介向保险公司提供客户信息行为的合法性。

3.   交叉销售

为提高销售效率,保险公司可能会针对基于不同目的或在不同业务条线下的现存客户开展跨渠道或跨业务条线的交叉销售活动。如交叉销售行为与原先收集处理个人信息的目的、方式或种类不同的,保险公司直接对个人信息进行处理的话可能存在风险,考虑在实践操作中如何避免。

4.   赠险获客

保险公司通过向个人赠送保险的方式作为获客手段,为后续开展进一步营销活动做准备,应注意:

a)  赠险客户的个人信息来源是否合法;

b)  与交叉销售类似,如保险公司赠送保险时收集使用个人信息的目的、方式或种类与后续开展保险营销活动的内容不符,则保险公司直接处理赠险客户个人信息将面临风险,应如何应对;

c)  保险公司通过其他渠道获客,是否也应根据个人信息使用目的、方式或种类是否变更的原则判断是否需要重新履行相关义务。

5.   用户画像

保险相关企业往往采取用户画像的方式筛选购买意向较高的客户以提高销售活动的效率。但在进行用户画像时,保险相关企业应注意哪些方面以避免可能存在的风险。

6.     保险营销员增员

保险相关企业进行保险营销员增员时应关注以下事项:

a)  增员对象个人信息的来源是否合法,采取哪些措施可降低风险;

b)  增员对象在被录用前,企业使用其个人信息的合理范围是什么,超出合理使用范围企业将面临的风险;

c)  在营销员与保险相关企业关系存续期间,企业使用营销员个人信息的目的、方法和种类如果与建立业务关系时不同的,企业应如何应对以符合法律要求;

d)  双方营销关系终止后,保险公司应如何保存营销员个人信息,保存期限如何确定。针对可能有违规追责、民事纠纷等情况的离职营销员应当如何正确处理。

l  人寿保险公司

l  财产保险公司

l  保险中介机构

保险核保

保险核保泛指保险人在对投保的标的信息全面掌握、核实的基础上,对可保风险进行评判与分类,进而确定是否承保以及承保条件的过程。作为核保评判依据,人身保险会要求投保人如实告知或提供投被保人的健康状况、既往就诊记录、病例资料或职业内容等信息;财产保险则会要求提供保险标的既往出险情况、实施的安全措施等相关资料。因此,保险企业在核保时应注意:

1.   收集核保信息

a)   保险公司核保时收集客户信息的范围应如何确定,过度向客户索要与保险标的风险评估无关的信息资料存在的风险;

b)   如何证明所收集的客户信息与保险核保的关系;

c)   如何解决客户投保所提交信息中可能存在“重要数据”,而保险公司遗漏识别,未依法采取必要保护措施的风险。

2.   核保信息保存期限

a)   确认承保并建立保险合同关系的核保信息以及核保资料保存期限如何确定;

b)   对于拒保、经纪人询价或参与保险招投标,保险合同未成立但已经收集客户数据和个人信息的情况,保险公司是否可以继续保存并使用,保存期限与使用的范围如何确定。

3.   风险数据

利用其他同类风险保险标的数据进行评估及定价的,若其中包含有其他客户保密信息或个人信息的,保险公司如何处理符合法律法规的要求。

4.     查勘与体检

财产保险公司核保聘请外部风险查勘机构协助核保人员对保险标的进行风险评估,人寿保险公司核保会要求人身保险的投保人、被保险人进行身体检查,核保人员根据查勘和体检的结果以确定保险的承保条件及保费水平。保险公司对所聘请的风险查勘机构、体检机构处理数据或个人信息未予以约束或开展必要管理可能会存在风险。

l  人寿保险公司

l  财产保险公司

l  保险中介机构

l  提供核保咨询服务的TPA公司

共保业务

两个或两个以上保险人联合承保同一保险业务的保险行为,各保险人与投保人共同商订共保协议的保险费率、保险期限、保险责任等,若保险标的发生损失,各保险人按各自承保的比例分摊损失。共保人之间一般会共享客户的投保信息,在开展共保业务过程中应注意:

1.     共同处理者

根据《个人信息保护法》第二十条:“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当……”共保业务中的共保人之间是否属于共同处理者?在共保关系中如何确认各共保人就数据或个人信息处理的权利义务,避免将来可能引发的纠纷。

2.     共保协议

开展共保业务并且在签订共保协议时应注意:

a)     是否明确约定客户数据或个人信息的收集方,收集方的权利义务有哪些;

b)     有无约定发生数据或个人信息泄露时的处置方式,如何确定共保人之间的通知及协助等义务;

c)     发生数据或个人信息泄露引起损害赔偿的,共保人之间如何确定责任的承担;

d)     是否约定处理客户投诉以及协助客户行使个人信息权利的主要职责承担者,其他各方如何协助。

l  人寿保险公司

l  财产保险公司

再保业务

再保险指保险人将其承担的保险业务,以分保形式部分转移给再保险人的。再保业务中,直保人可能会将客户的数据或个人信息与再保人共享,在开展再保业务过程中应注意:

1.     处理范围

a)     考虑直保公司向再保公司所提供的数据或个人信息范围,如何确保符合合理合法、直接相关、最小范围的原则;

b)     考虑再保人超出再保险业务范围处理获取的个人信息的风险,如何约束。

2.     跨境传输

向境外再保公司进行分保的,应考虑双方如何协作履行数据及个人信息跨境的相关义务,包括但不限于告知、取得单独同意、个人信息保护影响评估、跨境评估、签订标准合同等。

3.     客户服务

针对客户投诉或行使个人信息权利的诉求,直保人与再保人之间如何约定彼此的权利义务确保顺利实施。

4.     转分保

再保人将所承接的保险风险进行转分保的,如需提供个人信息的,是否需要向个人履行“告知-同意”义务,如何有效的执行。

l  人寿保险公司

l  财产保险公司

l  再保险公司

保险理赔

保险理赔是指在保险标的发生保险事故而使被保险人财产受到损失或人身生命受到损害时,或保单约定的其它保险事故发生而需要给付保险金时,保险公司根据合同约定履行赔偿或给付责任的行为。在处理理赔申请时,保险企业会向客户收集或调查与保险事故相关的事实情况、证明资料,如就诊记录、损失凭证、公证文书、诉讼裁判文书等。在理赔过程中应注意:

1.  外部机构

保险公司委托保险公估人或调查公司等外部机构对保险事故开展调查取证工作的。

a)     保险公司如何对公估或调查机构执行审查和监督措施,若外部机构调查所获数据或个人信息来源于非法渠道,保险公司将面临较大风险;

b)     外部机构处理的数据及个人信息有无超出约定的处理目的、处理方式;

c)     公司是否有措施限制或制止外部机构未经公司同意转委托;

d)     委托调查事项结束后,外部机构是否可以继续存储调查时收集到的数据或个人信息,保险公司是否有机制监督外部机构实施数据及个人信息的除或匿名化措施。

2.  理赔资料保存期限

a)     保险公司对保险理赔资料的保存期限如何确定;

b)     对可能引发争议的理赔案件,是否可以延长保存期限,延长多久。

l  人寿保险公司

l  财产保险公司

l  保险公估机构、调查公司

监管报告公司治理

在保险机构履行监管规定的义务时,比如开展公司治理、递交监管报告等原因,保险机构需要收集处理相关人员的个人信息的,建议注意以下要点:

1.     信息披露

为满足《保险公司信息披露管理办法》的要求,保险企业在公司官网上公开披露董事、监事和高级管理人员与法定代表人的有关个人信息时,保险公司建议考虑是否有必要向相关人员告知其个人信息公开披露的情况,是否需要获得其同意。

2.     关联方信息

为满足《银行保险机构关联交易管理办法》的要求,保险机构应收集关联自然人的个人信息,除本机构的董事、监事和高级管理人员外,还包括自然人股东、实控人、一致行动人、最终受益人等,及其前述人员的近亲属。保险机构是否有必要向签署关联自然人(尤其是近亲属)履行告知义务,如何建立有效可行的流程确保实施。

3.     监管报告

保险行业机构为履行监管要求,向监管部门或其指定的机构提供相关数据及个人信息。

a)     向监管提供个人信息的,是否要履行“告知-同意”义务,如何适当执行;

b)     提供数据及个人信息的范围如何界定;

c)     传输数据及个人信息的方法有哪些需要注意的地方,如在微信群中直接回复是否妥当。

l  人寿保险公司

l  财产保险公司

l  保险中介机构

l  再保险公司


注:上述保险行业业务场景以及风险分析,是基于通常情况下的一般保险行业业务场景,仅供参考。建议保险行业企业在实践或落实法律法规要求时,综合考虑各方面的因素加以判断。


Baidu
map