2017年6月1日《中华人民共和国网络安全法》(“《网络安全法》”)实施以来,其中与数据安全和个人信息保护有关的规范要求尤为引人关注。特别是近两年来数据安全事件、个人信息泄露事件频发,欧盟《通用数据保护条例》(“GDPR”)、美国加州《消费者隐私法案》(“CCPA”)等域外监管要求提升的背景下,对于作为网络运营者的企业,就所处行业、不同的业务和平台下在数据安全和个人信息保护方面有哪些问题,如何在《网络安全法》框架下结合行业特点和企业特性积极有效地应对、进而搭建与本企业相适应的数据合规体系。值《网络安全法》实施两年之际,天元将推出数据合规系列文章,从不同维度归纳和分享我们对问题的思考及实务经验。
互联网保险业务是保险机构依托互联网和移动通信等技术,通过自营网络平台、第三方网络平台等订立保险合同、提供保险服务的业务。由于互联网保险业务涉及的保险产品既有传统保险业务中的常见产品(例如健康险、意外险、车险等),也有与互联网场景和技术结合较为密切的创新型产品(例如退货运费险、航空延误险等),因此,所收集和使用的客户信息具有多样化的特点。互联网保险业务基于保险和互联网的双重性,对于客户信息的管理,既需要符合行业监管机关对保险业务客户信息真实性管理等既有监管要求,也需要符合互联网业务数据和客户个人信息保护的一般要求。本文将结合互联网保险业务的特点,归纳和梳理相关数据管理合规要点。
一、保险业客户信息收集和使用的管理要点
1. 个人敏感信息的收集和使用
根据《信息安全技术 个人信息安全规范》(“《个人信息安全规范》”),个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
互联网保险业务中,不同保险产品在投保、理赔各业务环节可能涉及收集和使用身份证件号码、财产信息(例如财产险中的不动产、动产信息)、健康生理信息(例如健康险中的病史、医疗信息),这些信息均属于个人敏感信息、可能涉及个人隐私,保险机构在收集时,应取得客户的明示同意。
我们注意到,保险机构在通过互联网渠道销售保险产品、收集客户个人敏感信息时,有的会通过要求客户签署互联网渠道用户协议或具体保险产品的投保须知、告知书等文件来获得客户授权,有的则没有这种安排;就个人信息收集和使用的类型、范围、目的和用途等事项,有的保险机构并未明确告知客户,或者虽有提及,但告知不完整、不具体,所取得授权不充分。对此,建议保险机构无论是通过网站、APP、公众号等各类互联网平台开展业务,无论是在保险销售、理赔等各业务环节,涉及个人信息收集、使用的,均应当取得授权。取得授权的方式可以是制定专门隐私政策,也可以是在用户协议、保险产品协议、保险合同等文件设置相关条款,并应关注各类文件内容的协调和衔接。
2. 投保人、被保险人、受益人等多主体的信息收集
与互联网业务常见的收集客户本人个人信息的情形不同的是,保险业务中存在投保人、被保险人、受益人等多个服务适用主体。投保人在投保时,可能会同时提供非其本人的个人信息。因此,保险机构个人信息授权文件中特别关注授权主体、信息主体问题。对于不同的主体的个人信息的收集和使用,建议完善业务流程,在适当的业务环节取得个人信息主体的授权或补充授权;如果暂未取得个人信息主体的直接授权,应当由投保人就其提供他人个人信息的合法合规性作出承诺,同时,对于未取得个人信息主体直接授权的信息,应当严格限定用于所投保的保险产品,而不应用超授权范围使用。
3. 从第三方收集客户信息
除传统保险产品类型外,互联网保险业务中还包括一系列与互联网场景和技术结合非常紧密的创新型产品,例如退货运费险、航空延误险等。这些险种的理赔过程中,保险公司会向相关第三方收集客户个人信息,例如向航空公司等第三方获取被保险人的乘机信息,或者向物流公司、电商平台等第三方获取被保险人的交易信息、物流信息等。这种情形下,保险机构需要关注第三方提供信息是否取得合法、有效、完整的客户授权。保险机构在与第三方的合作协议等文件中可以对第三方提出客户信息保护方面的要求,实践中辅之以相应监督、管理手段。
二、数据存储、管理要点
1. 保险业务数据的存储和管理
金融业属于《网络安全法》规定的关键信息基础设施行业,金融机构应当特别注意遵循《网络安全法》有关关键信息基础设施的运行安全要求。开展互联网保险业务,对于在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
此外,《人身保险客户信息真实性管理暂行办法》等保险行业关于客户信息和保单数据的监管要求,以及《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》等央行关于反洗钱的数据监管要求,同样需要予以关注。
2. 员工及代理渠道管理
互联网保险业务场景下,保险客户规模进一步扩大,保险公司员工和代理渠道直接接触的客户信息数量大。实践中有多起保险公司员工非法提供、出售工作中接触和掌握的客户个人信息、触犯刑法的案例。
为避免客户信息泄露的信息安全事件、甚至刑事案件的发生,保险公司对于员工和代理渠道的管理尤为重要。建议保险公司结合保险行业监管要求和数据安全一般要求,建立健全客户个人信息保护管理制度和操作规程;对于员工和代理渠道加强保密要求,并辅之以背景调查等管理手段。
三、信息内容合规要点
互联网保险业务涉及的互联网渠道丰富,可能包括网站、APP、公众号、小程序、在第三方平台开设的网络店铺等多种平台形态,保险机构可能会根据各类平台的特点对保险业务进行多样化的营销推广。
互联网平台的业务宣传具有参与门槛低、发布主体多、信息审核弱、转发传播快等特点,因此也成为保险销售误导、不实信息传播的高发领域。2018年,中国银保监会曾下发《中国银行保险监督管理委员会关于加强自媒体保险营销宣传行为管理的通知》(银保监发〔2018〕27号),对保险业务的网络宣传进行监管。建议保险机构结合监管机关的意见,重视业务宣传内容的合法合规性,避免出现违反《保险法》《广告法》《网络安全法》等相关规定和监管要求的情形。
天元数据合规服务
天元团队连续二十余年为TMT行业提供法律服务,对通信及互联网产业政策、行业发展和变迁历程、以及业务有着深刻的理解和感受。从2012年底全国人大常委会关于公民个人信息保护的第一个专门性法律颁布至今,天元持续为行业内领先的企业客户提供数据合规、用户个人信息保护、网络和信息安全方面的法律服务。天元数据合规服务包括:对企业的业务模式、业务规则、业务流程以及业务方案中涉及的用户个人信息保护、数据使用与安全、数据跨境等问题进行合规性审查和论证;为企业审查和起草用户个人信息协议、授权文件、隐私政策等文件;协助企业搭建数据业务合规体系,制订相关文件;以及数据合规培训。天元数据合规服务涵盖数据及个人信息的收集、使用、存储、管理、合作、经营以及数据跨境等业务及安全管理的全链条。
