袁烨 中国太平洋保险(集团)股份有限公司法律合规部总经理
范励 中国太平洋保险(集团)股份有限公司法律合规部法务经理
随着信息技术的发展,保护个人信息的安全也愈发得到重视。为了充分保护个人信息,有效引导企业合法合规地收集、使用个人信息,国家出台了一系列的法律法规及相关的标准。新冠肺炎疫情防控期间,相关部门为充分利用互联网、大数据等信息技术及时、科学做好疫情防控工作,又适时出台了相关的规范性文件,以引导政府部门、相关企业等在积极开展疫情防控工作的同时,切实保护个人信息安全。
一、现行规范对个人信息安全的保护
(一)新冠肺炎疫情之前已有的法律法规
全国人民代表大会常务委员会于2012年12月发布的《关于加强网络信息保护的决定》首次明确提出:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”随后在2016年发布的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)第22条明确使用了“个人信息”的表述。2017年3月发布的《中华人民共和国民法总则》(以下简称“《民法总则》”)第111条明确:“自然人的个人信息受法律保护。”在法律层级上,我国已确立了个人信息保护框架,为我国建立健全个人信息保护体系提供了充足的上位法依据。通观《网络安全法》《民法总则》全文,对个人信息的保护仅是原则性规定,实践中的可操作性较弱。因此,必然需要行政法规、部门规章、国家标准等细化个人信息保护的具体操作。全国信息安全标准化技术委员会于2017年12月发布的《信息安全技术个人信息安全规范》为各类组织合法合规地收集、使用个人信息提供了指引,但仅是推荐性标准,不具有强制实施的效力。2019年4月,公安部发布了《互联网个人信息安全保护指南》,在《信息安全技术个人信息安全规范》的基础上,强化了个人信息安全保护的管理机制和业务流程,为企事业组织在保护个人信息方面提供了较为详细的操作指引。2019年11月,国家互联网信息办公室、工业和信息化部、公安部、市场监督管理总局联合发布了《App违法违规收集使用个人信息行为认定方法》,明确列示了哪些行为可以认定App违法违规收集使用个人信息。
由此可见,我国已基本建立了较为完备的个人信息保护体系,将鼓励产业发展和个人信息保护有机统一。正是由于我国已有了较为完备的个人信息保护的法律体系,互联网、大数据等信息化技术才能在此次疫情防控中充分发挥作用,为打赢疫情阻击战提供强有力的支撑。在本次疫情期间,相关部门进一步重申合法合规收集、使用个人信息的重要性,既确保国家及时掌握个人信息主体的动态,又能充分保护个人信息免受非法侵害。
(二)新冠肺炎疫情防控期间发布的规范性文件
新冠肺炎疫情防控期间,国家卫生健康委于2月3日发布了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,强调通过强化数据采集分析、开展远程医疗服务、规范互联网诊疗咨询等方面,充分发挥信息技术在疫情防控工作的支撑作用。中央网络安全和信息化委员会于2月4日发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,要求各地方各部门在利用大数据支持联防联控工作的同时,做好个人信息保护工作。在这次新冠肺炎疫情防控工作中,大数据等信息技术扮演了重要的角色,国家也通过及时发布相应的规范性文件为信息技术运用于疫情监测分析、病毒溯源、防控救治、资源调配等方面提供法律支持。2月18日,工业和信息化部发布了《关于运用新一代信息技术支撑服务疫情防控和复工复产工作的通知》,进一步鼓励运用信息技术支撑服务疫情防控和企业复工复产工作。
1月26日,银保监会发布了《关于加强银行业保险业金融服务 配合做好新型冠状病毒感染的肺炎疫情防控工作的通知》,鼓励运用信息技术在全国范围内加强线上业务服务。2月7日,银保监会又发布了《关于推广人身保险电子化回访工作的通知》,率先在推广人身保险新单业务电子化回访方面展开布局,赋予保险公司在人身保险新单业务中开展电子化回访,进一步深化了信息技术在保险业的运用。2月14日,银保监会又发布了《关于进一步做好疫情防控金融服务的通知》,明确要求加强科技运用,强化网络银行、手机银行、小程序等电子渠道服务,鼓励运用人脸识别等信息技术发展非现场核查、核保、核签工作。各大保险公司利用大数据等信息技术,不仅为疫情防控工作提供支援,而且充分保障了保险服务质量,保护了消费者的合法权益。在开展电子化回访的过程中,保险公司不可避免地会收集、使用个人信息,如何合法合规的收集、使用个人信息,是各个保险公司不得不面临的难题。
二、保险科技赋能保险业发展
近年来,随着人工智能、大数据、云计算等信息技术的飞速发展,并逐渐与保险业深度融合,保险科技已成为推动保险业高质量发展的重要驱动力。2019年全年原保险保费收入为42,645亿元,财产保险收入为11,649亿元,其中上半年保险收入为5,893亿元。仅上半年就有71家财产保险公司开展互联网保险业务,互联网财产保险保费收入共计381.53亿元,同比增长16.89%。虽然互联网保费增长率很高,但2019年上半年互联网财产保险保费仅占上半年财产保险保费收入的6.47%。信息技术在保险行业的发展仍有较大的提升空间。随着信息技术与保险业的不断融合,保险科技成为理论界和实务界共同关注的课题。保险科技“契合了保险行业应用场景和数据驱动的需要,促进了保险业全方位和多维度的变革”。
(一)保险科技的发展
人工智能、大数据、云计算等保险科技综合运用于“产品创新、营销、承保、理赔等各个产业链条和服务环节”,切实提高了保险业的产品和服务质量,推动保险业的高质量发展。保险科技对保险公司提高运营效率、降低产品和服务成本、有效防控风险、推动产品和服务创新等方面都大有裨益。利用大数据、云计算等信息技术,保险公司可以对惯常的风险点进行监测,并根据风险程度实现差异化定价。通过语音识别、图像识别、深度学习等人工智能,保险公司可以为用户提供在线投保、承保服务,并能根据用户画像匹配最合适的产品。例如保险科技公司“大特保”推出的“聊天式”保险机器人,不但可以帮助用户更好地挑选产品、实现理赔,还能实现产品定制和精准推荐。随着保险科技的发展,监管层也鼓励信息技术在保险业的发展,并出台相应的法规进行风险防范。原中国保险监督管理委员会于2015年7月发布的《互联网保险业务监管暂行办法》充分证明监管层鼓励保险科技的发展。2018年9月30日,银保监会发布了《关于继续加强互联网保险监管有关事项的通知》,表示将继续支持保险科技创新、改革和发展,并透露正在加快修订《互联网保险业务监管暂行办法》。2019年12月,银保监会起草了《互联网保险业务监管办法(征求意见稿)》,并向业内征求意见。此外,中国保险行业协会也发布了《保险行业云计算场景和总体框架》《保险行业云服务提供方能力要求》《机动车保险车联网数据采集规范》《云计算保险风险评估指引》等协会标准,为保险公司具体运用相关信息技术提供了标准。一直以来,保险公司都十分注重发展保险科技,提升产品和服务质量。在互联网与移动技术如此普遍的时代,保险公司大多开发了自己的网站和App,为用户提供便捷的在线服务。尤其在此次疫情期间,这些信息技术不仅便利了用户和保险公司,更为国家抗击新冠肺炎疫情作出了贡献。
(二)保险科技在疫情期间发挥的作用
在新冠肺炎疫情期间,保险公司运用保险科技,充分发挥了保险保障功能。在互联网及移动技术、人工智能、云计算等保险科技的支撑下,保险公司加大了线上服务的力度,并提供了专门针对疫情的服务。例如“太平洋保险”通过其官方网站、App,及时告知客户安贷宝系列产品、“勇敢者”保险产品的保险责任扩展至因感染新冠病毒引起的身故及残疾;运用智能保险顾问“阿尔法”为用户提供肺炎AI自诊、疫情动态、线上义诊、定制保险方案等一站式服务。通过人工智能、大数据等信息技术,太平洋保险App为用户提供了新冠肺炎确诊患者同行程查询工具,用户只要输入日期、车次即可获知同行程车次是否有确诊患者,为用户及时掌握疫情动态提供了便利。保险科技极大地便利了用户和保险公司,使用户足不出户即可办理投保、续保、理赔等各项保险服务,保证了保险公司在疫情期间亦可提供产品和服务,为保险业高质量发展奠定了基础。值得注意的是,保险科技的运用,必然离不开个人信息的收集与使用。个人信息作为大数据时代的“新石油”,已成为产业发展的重要基础。尤其是保险业,以个人信息为基础的数据更是其“核心资产”。当前社会,侵犯个人信息的案例层出不穷,如何合法合规地收集、使用个人信息是保险业不得不面临的难题。
三、保险公司收集、使用个人信息的合规路径
保险科技助力保险业高质量发展的主要原因在于保险科技可以深入挖掘用户的需求,实现精准营销。在这一过程中,保险公司必然会收集、使用个人信息。我国目前所确立的个人信息保护架构是建立在“知情——同意”的基础上的,要求个人信息持有者在收集个人信息之前需要获得个人信息主体的同意。在现有的个人信息保护法律体系下,保险公司在收集、使用个人信息应严格遵循相关的法律法规,确保个人信息主体知悉收集、使用行为,应获得个人信息主体的同意。同时,保险公司在使用个人信息时还应遵循“目的限定原则”,超出已获得授权的目的使用的,需要明确告知个人信息主体使用个人信息的目的,并获得个人信息主体的明示同意。
通常来说,企业在提供互联网服务时,会向用户提供用户声明或隐私声明。若用户接受同意后,则授权给企业收集其个人信息。企业在制定隐私声明时,通常会尽量穷尽相关的隐私政策、收集使用规则。这看似是保护用户的个人信息,实则由于隐私声明晦涩难懂、冗长繁琐,用户通常会选择跳过隐私声明直接选择同意,无法起到真正的保护作用,给企业造成了不良的影响。监管机关也发现了这种弊端。《App违法违规收集使用个人信息行为认定方法》第2项明确规定:“有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等”,可被认定为“未明示收集、使用个人信息的目的、方式和范围”。因此,保险公司在制定隐私政策时,需要提供简单明确、易于理解的收集、使用规则。在征得用户同意后再开始收集个人信息,并向用户逐一列出收集、使用个人信息的目的、方式、范围等,若收集、使用个人信息的目的、方式、范围发生变化时,应当及时更新隐私政策并以适当方式提醒用户阅读。在此次疫情防控中,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集、使用个人信息。保险公司等企业并不属于前述授权的机构,因此在此次疫情防控工作中更要在获得用户同意后再收集、使用个人信息,不得随意公开披露相关的个人信息。此外,保险公司等企业还应当建立信息隔离机制,将在此次疫情防控中收集到的用户个人信息和员工个人信息有效隔离。
除保险机构主动从客户收集个人信息外,随着业务模式、获客渠道的创新发展,保险公司也面临从合作机构以及关联方获取个人信息的情况。如在传统金融机构的业务合作中,存在银行、券商、保险公司或集团成员内部相互传递、共享客户信息的情况。在本次疫情期间,也不排除保险公司从医院等医疗机构获得客户个人信息的可能性。在上述情况下,若保险公司作为个人信息的接收方,必须确保信息传递方已经获得了客户对于自身信息传递的合法有效的授权或同意;同理,保险公司作为客户个人信息的传递方,亦要严格履行上述义务,确保个人信息传递的合法有效性。
虽然此次疫情对保险行业的发展带来了冲击,但也进一步促进了保险行业科技赋能的进程,提高了保险行业对客户个人信息保护的意识,提升了保险行业的社会责任意识。此次疫情过后,保险公司必将进一步提升服务质量,继续发挥保险业在社会发展中“稳定剂”的作用。