作者简介丨靳毅,泰康保险集团合规负责人兼法律合规部总经理,兼泰康人寿保险公司董事、 泰康养老保险公司董事。

文章来源丨《保险理论与实践》2021年第9辑

2021年8月20日,全国人大常委会表决通过《个人信息保护法》。《个人信息保护法》即将于11月1日正式生效实施。全国人大常委会法制工作委员会副主任刘俊臣在《关于〈中华人民共和国个人信息保护法(草案)〉的说明》中提到,社会各方面广泛呼吁出台专门的个人信息保护法,“全国人大代表共有340人次提出39件相关议案、建议,全国政协委员共提出相关提案32件”。同时这部法律也被媒体称为世界上最为严格的个人隐私保护法之一,腾讯研究院发表的一篇文章从29个维度将其严格程度与欧盟《通用数据保护条例》(GDPR)进行了比较,认为《个人信息保护法》在其中38%的维度上比GDPR更为严格,在48%的维度上与GDPR同样严格,只有在17%的维度上比GDPR宽松。GDPR从颁布到生效留给了市场主体2年的过渡时间,而《个人信息保护法》仅有2个月左右的时间,因此我们面临时间短、任务重的难题。中国寿险行业以“人的身体和寿命”为服务和工作的对象,既与个人生命健康信息相关,也与金融财富信息相关,与保险标的的每一次接触,都涉及个人信息的处理。无疑,《个人信息保护法》与寿险业更为相关,对其的影响比财产保险行业或者其他行业更为复杂。

一、寿险行业落实《个人信息保护法》的现状

(一)落实《个人信息保护法》是强化消费者权益保护和行业监管的要求

理解《个人信息保护法》应与《保险法》的发展趋势和银保监会的监管重点结合起来,真正做到以客户为中心,保护保险和金融消费者权益。中国人民银行、银保监会正在进一步强化保险消费者的权益保护,消费者权益保护的理念将全面覆盖至保险领域,例如要求建立消费者投诉处理机制;消费者对业务纠纷提出调解请求的,保险公司不得拒绝;消费者与保险公司发生纠纷的,保险公司应当证明其行为符合法律、行政法规和监管规定,保险公司不能证明的,应当承担相应的赔偿责任等。而保险消费者保护中非常重要的部分,就在于其对个人信息的保护。监管机构要求保险机构承担信息安全保障责任,建立健全信息安全保障体系;明确禁止泄露、出售或向他人非法提供个人信息;建立健全个人信息安全保障机制。从银保监会监管层面来看,保护保险消费者权益也是近期不断强化的内容。就在《个人信息保护法》推出前约一个月,银保监会颁布了《银行保险机构消费者权益保护监管评价办法》,其中保险消费者个人信息保护是重要的评价维度。因此中国寿险业的经营主体应当体现商业向善、金融向善、保险向善和科技向善,真正做到以客户为中心,保护消费者权益。

(二)寿险业经营主体是《个人信息保护法》规制的重点

首先,从《个人信息保护法》中关于个人信息处理者的界定来看,大型的商业保险公司不仅将成为一般的个人信息处理者,还很有可能构成处理个人信息达到国家网信部门规定数量的个人信息处理者(目前相应的配套规则尚未公布,但结合以往的相关规定可能为100万人)。《个人信息保护法》对于后者将有更多的法律规制。例如,指定个人信息保护负责人;公开个人信息保护负责人的联系方式;将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门等。

其次,寿险经营机构处理的信息大部分都属于《个人信息保护法》中的个人敏感信息。例如,生物识别、医疗健康、金融账户等信息,以及不满十四周岁未成年人的个人信息。长期保单或者包含死亡保险责任的保单,在指定受益人方面往往会涉及未成年人或者被保险人本身就是未成年人。《个人信息保护法》对敏感个人信息处理有更多的法律责任和义务要求。

最后,寿险机构与客户的交互过程具有复杂性、长期性的特点,一份保险合同可能会覆盖保险消费者的整个生命周期,甚至死亡之后的财务安排。相关的信息存储、变更、交互环节多、种类多、时间长、复杂程度高,既有金融保险的交易信息,也有生理、健康、疾病等生物医疗信息。因此,《个人信息保护法》对于这类个人信息保护和管理提出了更高的挑战。进一步而言,目前大型的保险集团,为了强化协同、更好地为客户提供一站式的服务和一揽子的长寿、健康、富足的解决方案,需要整合、打通下属各保险公司、保险资产管理公司,甚至医疗机构、养老机构的数据,提供大数据客户画像。在这方面如何能够既强化客户体验、提供优质解决方案,又能确保《个人信息保护法》的各项要求落地,将是更大的挑战。

(三)寿险业个人信息保护依然任重道远

寿险行业在个人信息保护方面起步晚、底子薄、意识弱、差距大,存在更高的合规风险。保险行业的负面新闻往往涉及客户信息泄露、电话销售骚扰等,严重影响行业形象,甚至成为这几年行业增长乏力的重要原因之一。问题就在于客户信息的管理存在比较多的漏洞;在销售前端重业绩,轻合规,没有真正做到以客户为中心。特别是通过互联网的技术手段和销售渠道,虽然能够极大地提升销售业绩和拓展销售场景,但是与之相配套的合规要求、管理措施和个人信息保护能力并没有得到同等程度的重视和建立。近年来,寿险行业也在积极追求科技驱动和科技赋能,向大型互联网公司学习,引进先进的大数据、人工智能等技术,但这方面的投入更多地投向了销售端,对于中后台能力建设这方面还需要进一步加强。这次《个人信息保护法》是对寿险行业商业向善、以客户为中心的大考。

《个人信息保护法》不只涵盖寿险销售的线上端,而涉及对整个寿险行业全流程的评估、检视、改造和升级。目前全行业科技应用水平迅速提升,很难简单地将其区分为线上销售渠道和线下销售渠道,或者互联网销售渠道和传统销售渠道。各个销售渠道的边界已经非常模糊。例如,目前银保监会正在大力推动的“双录”,即销售可回溯管理,虽然其工作和规制的重点在于传统个人保险销售端,但其所使用的技术都是通过线上录音、录像、手机端移动信息采集设备或工作场所内固定信息采集设备完成的。这些业务流程属于《个人信息保护法》规制的内容。

二、自动化决策的法律规制对保险精算定价的影响

《个人信息保护法》对于“大数据杀熟”,即自动化决策作出了基本规定。同时,人身保险产品正在运用大数据等技术手段不断向个性化、差异化、精细化演进。当保险机构获得的数据维度不断增多,颗粒度不断缩小,未来势必将通过大数据的方式来精确地勾画出每个被保险人的风险状况,进而“跨过卢比孔河”,从而有可能实现自动化决策。因此,保险行业需要从更长远的维度思考精算的精确程度与自动化决策之间的界限,以及不同的应用策略。

(一)保险行业越来越主动地运用大数据定价

2016年12月21日,中国保监会在《关于使用〈中国人身保险业经验生命表(2010—2013)〉有关事项的通知》(保监发〔2016〕108号)中强调,“保险公司应加强自身经验数据的积累、研究与开发,不断提高产品科学定价能力和经营管理水平”;“中国精算师协会应进一步加强人身保险行业经验生命表与国民人口死亡率数据的对比分析,加强死亡率趋势研究,为人身保险产品科学审慎定价提供技术支撑”。2020年1月21日,银保监会办公厅在《关于印发普通型人身保险精算规定的通知》中要求,“健康保险责任准备金计算使用的发生率、赔付金额等赔付假设,应严格执行相关监管规定。没有监管规定的,应按如下执行:(1)公司可以参考自身经验和外部数据确定赔付假设,后续也可根据实际经验情况进行变更……(4)赔付假设充足性应当在产品类别或更细层面进行评估”。2020 年11月5日,中国精算师协会在银保监会的指导下,正式发布了《中国人身保险业重大疾病经验发生率表(2020)》。本次重疾表修订项目共收集疾病保险产品约2900款,收集承保数据近4亿条、理赔数据约587万条,可满足多维度分析的数据要求。对于如此巨大的数据量和多维度的数据精度,如果没有大数据技术的应用,将难以完成。2021年9月23日,中国精算师协会、中国保险行业协会及中国银行保险信息技术管理有限公司发布了《中国保险业意外伤害经验发生率表(2021)》(以下简称意外表)。意外表的数据维度更多、颗粒更细,首次编制了全应用场景的个人普通意外、学平少儿意外的身故发生率表及伤残系数表,并区分性别与年龄,为风险细分及产品创新提供了依据;首次编制了职业等级风险系数参考表,为行业进一步厘清职业风险等级及风险状况奠定了基础。意外表提供了丰富多元的数据参考,不仅区分应用场景、年龄、性别及职业,还对意外医疗、农村小额意外、借款人意外等产品,以及承保、理赔、死亡率、残疾率等维度进行了更加深入的分析,为意外险产品创新提供了更为翔实的数据基础。从上述规范性文件中可以看出,保险行业正在积极推动精算定价数据的多维度化、大数据化,为定价的差异化、个性化和精准化提供支持。

(二)精算职业正在向大数据科学演进

精算师这一职业在经历了17世纪的寿险精算师、20世纪的非寿险精算师、资产负债管理(1989年)、企业风险管理(2005年)四个阶段的功能定位后,正在加速向大数据科学家(2012年)演进。第五阶段精算师的工作对象将从传统的小规模、结构化的保险数据迈向大数据、非结构化的全量数据。精算师作为保险产品的定价人,其专业能力的转变反映出保险行业发生的变化,即由计算能力、数据可获得性、大数据、云计算、机器学习和人工智能等领域的新技术和进步所推动。这些新技术在保险行业价值链中应用广泛,尤其体现在定价、承保、理赔管理、销售和营销等方面。健身跟踪器的广泛使用也在产生大量的高频数据。这些累积的用户健康数据以及关于疾病、药物和治疗的更多信息构成了大数据。数字化转换导致更全面的数据和更大容量的存储空间。通过使用特定的硬件和算法,这些海量数据可以被有效地处理,并将在保险公司内部被使用。

(三)自动化决策的法律规制正在建立

《个人信息保护法》及其配套法规,正在为急速发展的大数据自动化决策、数据算法定价规范赛道。2021年8月27日,国家互联网信息办公室公布了《互联网信息服务算法推荐管理规定(征求意见稿)》。其中规定,“算法推荐服务提供者提供算法推荐服务,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,遵循公正公平、公开透明、科学合理和诚实信用的原则”;“算法推荐服务提供者应当加强用户模型和用户标签管理……不得设置歧视性或者偏见性用户标签”;“不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实行不合理的差别待遇等违法行为”。

基于保险标的的不同风险状况而决定是否承保及厘定差别的保险费率,是保险定价的基础。例如根据被保险人的年龄、性别、既往病史、职业类别等确定不同的保费。但在大数据技术的支持下,保险公司获得的被保险人数据维度不断细分和精准时,如获得每日步数、睡眠时长、实时心率和血氧,甚至遗传信息、病种未来发生率、准确治愈率等被保险人不掌握的第三方信息时,保险产品的定价将越来越具备数据自动化决策,以及“差别待遇”的特征。在这种情况下,将可能触及算法推荐的规制。

(四)自动化决策规则应考虑到保险产品定价的特殊性

导致上述问题的重要原因在于,保险产品与普通产品在定价模式和交易模式上的差异,即人身保险存在交易对象与交易标的竞合现象。《保险法》第二条规定:“本法所称保险,是指投保人根据合同约定,向保险人支付保险费……当被保险人死亡、伤残、疾病或者达到合同约定的年龄、期限等条件时承担给付保险金责任的商业保险行为”。第十二条第三款规定:“人身保险是以人的寿命和身体为保险标的的保险”。在投保人和被保险人为同一人的情况下(这种情况在实务中较为普遍),订立保险合同的一方当事人,同时也将其自身(寿命和身体的风险状况)作为交易的标的提供给另一方当事人,即保险公司。而在普通交易中,订立合同的双方当事人与交易的标的,例如货物、金钱、服务等分离,不存在竞合的情形。因此,普通交易的定价应当以标的为基础,不能以交易对象为基础,否则将产生“看人下菜碟”“根据消费者的偏好、交易习惯等特征”定价等损害消费者权益、违反公平原则的行为。鉴于人身保险合同中交易对象与交易标的竞合的现象的存在,应当进一步细化算法推荐、自动化决策的规制在人身保险领域的适用,并考虑到保险产品定价的特殊性,既避免过分个性化费率导致损害保险消费者权益,又要避免机械适用、千人一面的定价导致定价错位,进而对其他低风险被保险人造成更大的不公平。进一步而言,保险行业传统上特有的基于概率论、精算和大数法则的行业理念,加上科技进步所带来的大数据能力和应用,如何能够和《个人信息保护法》的最新要求结合在一起,是行业面临的更长远和深刻的问题。

三、保险营销员信息保护和落实“知情同意”原则

保险销售团队管理是寿险经营的重要领域,《个人信息保护法》的颁布对该领域的管理提出了进一步的合规要求。同时,如何落实《个人信息保护法》中“知情同意”原则,也是需要寿险业重点关注的。

(一)关注营销员个人信息保护问题

《个人信息保护法》规定了六种不需要取得个人同意,即可以处理个人信息的情形,其中特别规定了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必须”的情形下,不需要取得个人同意。保险机构与营销员之间是一种独特的法律关系,保险机构对营销员的管理在某些情形下接近人力资源管理,但其所适用的法律关系属于民事代理关系,而非劳动关系。例如在一些情形下,保险机构会采用蓝牙打卡、指纹录入、面部识别等方式记录营销员接受保险公司培训和管理的情形,甚至也会收集代理人的个人健康信息。但这部分收集个人信息的场景和程序,可能没有在现有代理合同中得到体现。相应的管理制度往往由保险公司制定的营销员基本管理办法来确立。这种管理模式在《个人信息保护法》项下,可能缺乏相应的法律依据,因此亟须对照新的法规要求,落实知情同意等基本管理原则,更新管理流程。同时,银保监会正在大力推动个人保险代理制,这将降低保险代理人和保险机构之间的专属关系,但也将产生新的个人信息处理问题,有必要结合《个人信息保护法》一并加以强化。

(二)将“明确说明”赋能“知情同意”,发挥保险业先发优势

《个人信息保护法》所确立的知情同意要求与《保险法》项下的保险人明确说明义务有异曲同工之妙。《个人信息保护法》第十四条规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项。与之类似,《保险法》第十七条规定,订立保险合同,采用保险人提供的格式条款的,保险人向投保人提供的投保单应当附格式条款,保险人应当向投保人说明合同的内容。对保险合同中免除保险人责任的条款,保险人在订立合同时应当在投保单、保险单或者其他保险凭证上作出足以引起投保人注意的提示,并对该条款的内容以书面或者口头形式向投保人作出明确说明;未作提示或者明确说明的,该条款不产生效力。最高人民法院相关司法解释进一步要求,保险公司的说明义务要达到投保人明确其含义和法律后果的程度。

中国寿险行业为了落实《保险法》所要求的明确说明义务已经发展了一整套完善、复杂、充分的投保说明规则,并且成为监管重点。因此寿险行业可以在此基础上将《个人信息保护法》的告知同意规则融入现有如实告知、明确说明流程中予以落实,以达到事半功倍的效果。从这方面讲,寿险行业相比于其他需要落实个人信息保护的行业而言,挑战难度更低,并非“从零到一”的挑战,而是“从一到二”的升级。此外,经过寿险行业近年来的不懈努力,保险消费者已经对于这种特有的说明、告知、同意流程有了基本的认知和理解,特别是在监管部门强调录音录像等销售可回溯的规则的情况下,流程建设和技术解决能力得到强化,寿险行业可以在此基础上不断优化流程,合并、减少不必要的环节,既能够满足《个人信息保护法》的新要求,又不至于降低客户体验,并提升效率、节约资源投入。

四、落实《个人信息保护法》的建议

(一)风险导向,法技融合

《个人信息保护法》从颁布到生效,只有约两个月的窗口期,时间紧、任务重。在这段时间内,寿险经营机构应当首先解决显性、急迫的风险敞口问题。可以先从个人信息保护的意识宣导培训等方面入手,同时在新法生效之前彻底解决客户隐私政策、客户授权等一系列法律文件中存在的问题。这是直接面向客户并且接受各方监管审核,也最容易发现是否违反《个人信息保护法》的场景。此后,再逐步向不同的业务、管理场景深入,不断建立和更新管理制度和流程,建立隐私设计流程,以及应用隐私计算等技术解决方案,全方位地落实《个人信息保护法》。

(二)梳理场景,由点及面

为了尽快落实《个人信息保护法》的要求,寿险经营机构应首先梳理业务场景。目前寿险行业的一个重要发展趋势是将保险销售与服务协同,将保险行业的资金筹集能力和资金运用能力协同,将虚拟保险与实体养老医疗协同,为客户提供老年生命周期的涉及长寿、健康、财富的全方位解决方案,因此其所涉及的客户信息保护场景极为丰富。此外,业务协同的需求,也导致客户信息保护的挑战非常大。

图1通过对保险经营的销售端和服务端、数据化和实体化,以及销售前台和提供支撑和管理的中后台可能涉及个人信息保护的场景进行了梳理,同时展示了不同的场景下的不同策略和实施步骤。

寿险行业不只要关注与销售和客户直接交互的场景,也要关注中后台所应用的个人信息领域,包括数据个人信息的跨境传输场景,例如境外再保险,外资保险公司向境外母公司、保险集团交互个人信息,以及在提供全球化的医疗、理赔、救援服务时,涉及的客户个人信息传递等问题;也包含精算等部门使用大数据进行定价、客户画像,健康险管理进行控制费用等方面自动化决策演进所涉及的个人客户信息保护;还涉及保险公司引入第三方数据、员工管理等方面。

(三)强化合规,长效机制

落实《个人信息保护法》,也是寿险行业开辟合规管理新领域、强化合规意识的机遇。《个人信息保护法》的生效,是企业合规管理领域不断深入和扩充的反映。在数字化大潮下,寿险行业经营的核心要素不仅包括传统的资金、人力、技术,更扩展到数据和信息,而后者是数据时代的“石油”资产。因此,寿险行业的合规管理应对此敏感响应,以《个人信息保护法》的生效为契机,完善现有的信息安全、商业秘密、知识产权、客户权益保护等合规管理机制,形成多位一体的管理框架。

近年来,党中央、全国人大以及相关监管部门的政策、立法和监管规范都特别强调企业合规的重要性,但法律规范的表现形式多为规章、政策、监管文件、指引、标准。《个人信息保护法》三次提到了“合规”,其中两次是“合规审计”,一次要求建立个人信息保护合规制度体系,这在全国人大及人大常委会通过的法律中并不常见。寿险行业从业者应全面落实。

声明:本文来自中国保险学会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。