保险行业敏感个人信息的识别方法与合规实践:《网络安全标准实践指南——敏感个人信息识别指南(征求意见稿)》解读
作者:李伟华 余佳薇 2024-08-15一、敏感个人信息的定义
《个人信息保护法》作为个人信息保护领域的基石,对敏感个人信息进行了明确定义:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”此前对于敏感个人信息的具体识别标准主要参考《信息安全技术个人信息安全规范(GB/T35273-2020)》(以下简称“《个人信息安全规范》”),但该标准对敏感个人信息的界定并不十分周延,不能完全解决实务中存在的具体情况界定的难题。
2024年6月11日,全国网络安全标准化技术委员会发布了《网络安全标准实践指南——敏感个人信息识别指南(征求意见稿)》(以下简称“《征求意见稿》”),为敏感个人信息的识别提供了新的抓手。
《征求意见稿》不仅详细阐述了敏感个人信息的识别技巧,还列举了常见的敏感个人信息类别及其范例,旨在帮助各类组织明确敏感个人信息的涵盖范围,为敏感个人信息的处理、出境及保护工作提供有力的参考依据。
还需辨别的是,除了《个人信息保护法》中的敏感个人信息这一概念外,《数据安全法》及相关标准中,还有核心数据、重要数据、一般数据这一组概念。那么敏感个人信息与《数据安全法》中的三个概念是否存在一定的对应关系?答案是:单独的一条“敏感个人信息”一定属于“一般数据”。这是因为《数据安全法》中的数据,是指任何以电子或者其他方式对信息的记录,其范围涵盖了个人信息及许多涉及国家重大利益的非个人信息。与后者相比,只对个人权益产生影响的数据,哪怕是个人敏感信息,从大局来看,影响也是较为微小的,因此只能被分为一般数据。但在特殊情况下,大量个人敏感信息汇聚或融合后成为整体的数据,若对国家安全、经济运行、社会秩序、公共利益等产生严重危害,则可能被认定为重要数据或核心数据。
二、《征求意见稿》中敏感个人信息的分类及列举
相较于《个人信息安全规范》与《个人信息保护法》对于敏感个人信息分类的错位,《征求意见稿》依据《个人信息保护法》第二十八条调整了敏感个人信息的定义,并在列举类别上保持一致,确保了法律法规之间的连贯性和互补性,也便于在实际操作中快速识别和处理敏感个人信息。
对保险行业而言,医疗健康信息、金融账户信息、不满十四周岁未成年人的个人信息这几类敏感个人信息,是投保与承保的过程中最有可能涉及到的。
医疗健康信息方面,在投保健康保险或重大疾病保险时,保险公司通常需要了解投保人的既往病史、体检报告、医疗诊断记录等信息,以便保险公司评估其健康状况和承保风险。金融账户信息往往在保险保费支付和理赔过程中有所涉及。例如,某客户在申请人寿保险的理赔时,需要向保险公司提供其银行账户以便接收保险金支付。不满十四周岁未成年人的个人信息则更为常见。家长为其未成年子女购买保险或以未成年子女为受益人时,需提供孩子的姓名、出生日期、身份证号码等信息。
以上信息一旦遭到泄露,都可能给信息主体带来严重危害。如隐私权受到侵犯、增加账户资金的风险、威胁到未成年人的人身安全等。因此,保险公司应当尤其注意这些敏感个人信息的处理规则,具体合规实践可参考本文第四部分。
三、敏感个人信息识别判定依据
《个人信息安全规范》中,敏感个人信息的识别判定依据为“泄露”“非法提供”“滥用”三个角度,具体如下:
这三个判定角度,实际上都集中于一个核心标准:若该个人信息的使用违背主体意愿或超越了授权,将会给主体带来重大风险,则该信息属于个人敏感信息。这种判定标准,虽然契合了对“敏感”的一般理解,但依然十分笼统且模糊,对关键概念“重大风险”并没有给出定义,因此在实践中很难直接使用。
《征求意见稿》则将识别判定依据调整为以下三个维度:侵权后果角度的敏感个人信息定义、附录举例以及推断出的信息属性、多项一般个人信息汇聚融合后的整体属性。
1 判定标准一
第一个判定标准,将重点放在个人信息遭到泄露或者非法使用的后果上,若导致自然人人格尊严、人身安全、财产安全受损,则应识别为敏感个人信息。而人格尊严、人身安全、财产安全是非常典型的侵权行为的客体,完全可以参考《民法典》侵权责任编、人格权编进行理解。这样,即可保证这一判定标准的准确性。
例如,《征求意见稿》在这一定义的注释中写明:
维护个人的人格尊严包括维护生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权以及其他人格权益。
这正是《民法典》第990条对人格权的定义。
此外,《征求意见稿》特意列举了在个人信息领域侵害人格尊严、人身安全、财产安全的情形,以便理解:
-容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入他人网络账户、贩卖个人信息、电信诈骗、损害个人名誉、歧视性差别待遇等。个人信息主体可能会因特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露遭到歧视性待遇。
-泄露、非法使用个人的行踪轨迹信息,可能会造成个人信息主体的人身安全受到损害。
-泄露、非法使用金融账户信息,可能会造成个人信息主体的财产损失。
2 判定标准二
第二个判定标准,则使用了列举的方法,与第一个概念性的判定标准相结合使用,基本可以完成常用场景下的敏感个人信息判定。
《个人信息安全规范》中也有敏感个人信息的列举,与之相比,《征求意见稿》的列举在细化程度上更进一步,也解决了实务中的一些争议热点,例如:
l 增加了指向具体国家标准的注释;
l 生物识别信息中将“面部识别特征”改为了“人脸信息”即人脸识别数据;
l 此前列入其他信息类别的“宗教信仰”单独列出并增加“宗教组织中的职位”“参加的宗教活动”“特殊宗教习俗”等具体情况;
l 在“特定身份信息”的识别上,关注点从个人身份证件转移至“特定身份”,并明确了“身份证照片”属于其他敏感个人信息,解决了实务中对于单一的身份证号码或者身份证照片的判定问题;
l 医疗健康信息细分为 “与个人的身体或心理的伤害、疾病、残疾、疾病风险或隐私有关的健康状况信息”“在疾病预防、诊断、治疗、护理、康复等医疗服务过程中收集和产生的个人信息” 两类,并聚焦于“医疗”这一前缀,排除了个人疾病和医疗就诊无关基本体质信息;
l 金融账户信息相较“个人财产信息”更为明确;
l 行踪轨迹信息单独列出;
l 其他敏感个人信息中明确定义了精准定位信息和犯罪记录等。
3 判定标准三
第三个判定标准,则是对多项一般个人信息汇聚或融合后的整体的判定,若这个整体符合第一个判定标准,则该整体可以被认定为敏感个人信息。
整体认定的判断方法,不仅适用于敏感个人信息,在个人信息的判定上同样适用。以保险行业为例,单独的健康信息因为无法识别到具体个人,显然不属于个人信息,但若结合投保人姓名、身份证号等,这一整体的信息则属于个人信息,确切地说,属于敏感个人信息。保险公司在承保时,必然会整体信息一并获取,因此,必须遵守《个人信息保护法》的相关规定。
四、保险行业敏感个人信息的分类及识别
在深入探讨保险行业的运作机制与数据生态后,本文将聚焦于保险行业敏感个人信息的识别方法与合规实践。这不仅关乎保险企业的合法经营,更直接影响到保险客户的个人信息安全与保险行业的可持续发展。因此,准确、全面地识别并妥善管理敏感个人信息,对于保险公司而言,其重要性不言而喻。
尽管识别敏感个人信息的重要性不言而喻,但在保险公司的日常运营中,这一任务却面临着诸多挑战:
1. 信息种类繁多:保险业务涉及客户信息的方方面面,包括但不限于身份信息、健康状况、财务状况、家庭关系等,这些信息在不同场景下可能具有不同的敏感度,增加了识别的难度。
2. 动态变化性:随着保险产品的不断创新和服务模式的演变,敏感个人信息的范围也在不断变化。保险公司需要持续跟踪相关法律法规的更新,及时调整识别标准,确保合规性。
3. 技术挑战:在大数据时代,海量数据的处理和分析对技术提出了更高要求。保险公司可能需要借助先进的技术手段,如人工智能、大数据分析等,提高敏感个人信息的识别效率和准确性,同时确保数据安全。
4. 人为因素:员工对敏感个人信息保护的意识和执行力也是影响识别效果的重要因素。部分员工可能因疏忽或缺乏相关知识而未能正确识别和处理敏感信息,增加了合规风险。
综上所述,保险行业在识别敏感个人信息方面既面临重要机遇,也需应对诸多挑战。通过加强法律法规学习、提升技术水平、完善内部管理制度以及加强员工培训等措施,保险公司可以更加有效地识别并管理敏感个人信息,为行业的健康发展奠定坚实基础。
根据以上的分析,本文对保险行业的敏感个人信息也作了列举。按保险种类分类列举了可能涉及的敏感个人信息,并列出普遍可能涉及的敏感个人信息,以供保险公司相关从业人员参考。
除此以外,投保人办理保险业务时,保险公司普遍可能收集的敏感个人信息包括:身份证号、身份证照片、职业身份信息、住址信息、个人收入明细、护照号码、驾驶证信息、户口信息、声纹、人脸、银行账号、支付信息,以及不满十四周岁未成年人的个人信息等。
在保险合同成立以后,合同中的相关信息在一定条件下也可能符合敏感个人信息的特征,包括:保单号、保险金额、理赔金额、保险变更信息等。这些信息虽然单独来看并不能指向具体个人,但如果辅以其他背景信息或前提,如与保险公司的信息管理系统连接的情况下,则能够定位到具体个人,同时,泄露或者非法使用时将会损害个人的财产安全,此时也有较大可能被认定为敏感个人信息。
建议保险公司参照以上识别方法及分类列举,制定公司内部识别标准和流程,建立信息分类和标签体系,对收集的信息进行分类管理。对于识别为敏感个人信息的信息合规处理方法,可参考本文下述部分。
注:本部分内容并非完全列举,具有局限性,且为本文作者个人观点,仅供保险行业从业人员参考。具体识别与判定,需以监管机构的意见为准。
五、保险公司敏感个人信息处理合规实践
所谓个人信息的处理,是指个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。《个人信息保护法》第二章第二节专门规定了敏感个人信息的处理规则,本文将从该处理规则入手,结合保险公司可能涉及的个人信息处理方式,总结处理敏感个人信息必须遵守的合规要点。
1、处理敏感个人信息应当取得个人的单独同意。
所谓单独同意,意味着不能采取概括同意、授权捆绑等方式,且应当是明示同意。保险公司不仅应当就收集敏感个人信息取得投保人的单独同意,还应当要求投保人取得被保险人、受益人等其他主体的单独同意。
此外,保险公司可能将收集到的信息提供给第三方,例如再保险人、中国银保信、增值服务供应商等。在这种情况下,不论个人信息是否被判定为敏感,都应当将第三方的联系方式、处理目的、处理方式和个人信息的种类等列出,并取得信息主体的单独同意。
为了避免风险,保险公司可通过让投保人签署确认书的方式,确认以上内容已经取得单独同意,尤其是投保人并非信息主体的情况下。
需注意的是,若将敏感个人信息委托给第三方处理(例如将保单打印、系统开发、公估等外包给第三方公司),而非提供或共享,是否需要取得单独同意?《个人信息保护法》规定,对于一般的个人信息,这种情况不仅无需获得信息主体的同意,甚至无需告知,敏感个人信息是否同样如此?本文认为,由于委托处理情况下,个人信息的控制权并未实质发生转移,属于保险公司处理个人信息的一种特别的方式,因此,亦无需“同意”这一步骤。至于是否需要告知,本文认为,只需要告知存在委托处理这一处理方式即可,具体处理方则无需告知。
2、处理敏感个人信息应当告知必要性以及对个人权益的影响。
在保险行业,多数敏感个人信息在整个投保至理赔的过程中,都具有必要性,《个人信息保护法》明确,处理敏感个人信息需要“具有特定的目的和充分的必要性”,保险公司在告知书时,可以从处理的目的出发对必要性进行告知,例如可采取如下表述:
“基于保险风险评估、数据风控、核保审核、理赔调查、再保等服务及风险核实的必要,我们可能会通过......的方式处理您的敏感个人信息,不会对您的个人权益造成非法侵害。”
“收集的敏感个人信息的目的是为了与您订立保险合同、向您更加安全、便捷、高效地提供前述所涉全部保险服务,并且我们对您敏感个人信息的处理仅限于前述的特定目的。如您拒绝前述敏感个人信息的提供,将会影响我们向您提供特定业务功能或者服务。”
3、保险公司应当事前进行敏感个人信息保护影响评估,并对处理情况进行记录。
个人信息保护影响评估,即Privacy Impact Assessment(简称为PIA),核心任务是识别、应对并持续跟踪在处理敏感个人信息期间可能对信息主体合法权益造成的不利影响。
评估的内容应当按照《个人信息保护法》第五十六条规定的内容展开,需充分评估个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。此外,保险机构对个人信息保护影响评估和处理情况记录至少保存三年。
具体的评估实施流程,则可以参照国家标准《信息安全技术个人信息安全影响评估指南(GB∕T 39335-2020)》执行。
结语
本文详细探讨了敏感个人信息的定义、分类及其在保险行业中的识别方法与合规实践。通过分析《个人信息保护法》《信息安全技术个人信息安全规范(GB/T35273-2020)》和《网络安全标准实践指南——敏感个人信息识别指南(征求意见稿)》等法规和标准,本文为保险公司在实际操作中提供了具体的参考依据。同时,结合保险行业的特点,本文提出了相应的敏感个人信息处理合规措施。
需要注意的是,敏感个人信息的相关规定还在不断细化和明确中,本文仅供参考和讨论。对于保险行业中敏感个人信息的具体识别和判定,有待监管机构进一步确认。保险公司应当持续关注相关法律法规的变化,及时调整内部识别标准和合规措施,以确保在个人信息处理方面的合法合规性,保障客户的权益。
感谢实习生张怡雯对本文作出的贡献。