20240123_德勤_保险业个人信息治理破局新攻略:创变领航坚韧致远_32页.pdf
创变领 航 坚韧致 远 保险 业 个 人 信 息 治理 破 局 新 攻 略02ZXDWxOsPoNpOpRmPtOqPrQ7N8Q9PnPqQsQsOiNoOoPfQtRtP8OoOuMvPqNoMwMtQsR03引言 1一、数字化转型时代下保险行业个人信息保护能力建设的难点与挑战 21 个人信息保护与业务发展平衡需要更多关注 32 个人信息保护治理体系的构建与落地亟待推行 43 混业经营下的安全流通与合规共享难题 54 保险行业个人信息保护执法案例与启示 6二、数字化转型背景下对保险行业个人信息保护能力建设的思考与应对 91 外规内化,健全个人信息治理体系 102 建章立制,体系化增强个人信息管理能力 123 技术破局,强化个人信息安全合规利用 154 动态持续追踪,增强运营韧性 225 盱衡全局,制定特定的推进策略 24结语 261创变领航 坚韧致远|保险业个人信息治理破局新攻略 引言在当今 数字化 时代,个 人信息 的 保 护已成 为各 行各业 亟待 解 决 的 重要问 题。保 险 行业作为处 理 大 量 敏 感 个 人信 息 的 行业 之 一,面 临 着独特的挑战 和责任。随 着保 险科 技的快 速发 展和数字化 转型的推 进,个人 信 息 的 收 集、存储和使 用 变 得 更加频 繁 和 复杂,也 更容 易受到安 全威 胁。本 报 告 旨 在 探讨 保 险行 业 个 人 信息 保护 所面 临的难点 与挑战,并 提出相 应的应 对 策 略和思 考。首先,报告从 监 管 要求、治 理 体系、合 规 共享等方面对个 人 信息 保护形势 进行梳 理,剖 析 保 险 行业中存 在 的 难 点与 挑 战。其次,报告结 合业内实 践 和 先 进 经 验,提出在相关领域的思 考,并 给出应 对 策 略 和推 进 方法。通 过 本 报告的 研 究 和 分析,我们希 望 能够 为保 险行 业 在数字化 转型时 代的个人 信 息 保 护 提 供 有 益 的 参 考 和 借 鉴,助力保 险 机构 更 好地 应 对 数 字 化 转型 时 代 的 个人 信 息 保 护 挑 战。愿 本报 告 能为保 险行 业的相关 从 业 人提 供 有价 值 的 信息与洞 见。册子/报告标题|章节标题2创变领航 坚韧致远|保险业个人信息治理破局新攻略 一、数字化 转型时 代 下 保 险行 业 个人 信 息 保 护 能 力 建 设的 难 点与 挑 战在 可持 续 增 长 和 业务创 新 的 推 动下,数字化 转型技术将 重塑保 险行 业 的各个 环 节价 值链,从而推 动 保 险 保 障类 型、产品内涵、业务 模 式 和 行业 生 态发 生根 本性 的变革。在 这个 过 程中,会 涉及 大 量 个人 信 息 加 工 和 应 用,而个人信 息备 受 监 管 部门、保 险机 构 以 及 数据 主 体的 重点 关 注,保 险 机构 如 何构 建 个人 信 息 保 护 体 系,符 合监 管 要求、满 足自身业务发 展 需 求、响应 数 据主体 权利 诉 求,对 整 个 保 险 行业 充 满了挑 战,需要保 险行 业深 入 思 考探讨,并 积 极布局应 对 策 略。3创变领航 坚韧致远|保险业个人信息治理破局新攻略 为了维护保险行业的良好秩序和消费者的合法权益,近年来,国家监管部门和行业协会对保险行业的个人信息保护工作进行了严格的规范和监督。中华人民共和国网络安全法 中华人民共和国个人信息保护法 中华人民共和国数据安全法 中华人民共和国民法典 中华人民共和国消费者权益保护法 等法律法规对个人信息的定义、收集、使用、保存、传输等方面都作出了明确的规定。此外,原中国银保监会还制定并发布了 银行保险机构消费者权益保护管理办法,下发 关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知(银保监办法 2022 80号)也旨在规范银行保险机构在收集、使用、存储、传输个人信息等方面的行为,以保护消费者的个人信息安全。从监管趋势来看,保险行业的个人信息保护监管正朝着更加严格和规范的方向发展。监管机构对保险机构的个人信息处理、使用和披露等方面的要求和指引更加明确、更加精细,对保险机构的个人信息保护安全措施和保护政策提出了更高的要求。从保险行业总体发展趋势来看,随着保险科技的快速发展和应用,保险行业的业务发展正朝着数字化、智能化和个性化的方向发展,保险机构越来越注重通过数字化渠道来拓展业务。人工智能(AI)、区块链等新技术的应用既加速了保险业务的智能化进程,但也会涉及到一系列的个人信息保护场景。例如,利用AI技术进行智能客服、个性化推荐服务时,可能涉及到年龄、性别、健康状况、财务状况等个人信息的使用;区块链驱动的智能合约可以即时授权支付,但也涉及到客户财务账户信息的访问和使用。此外,随着保险机构国际化进程的加速、高水平的对外开放,越来越多的保险机构拓展海外业务,在业务拓展过程中,保险机构也面临不同国家和地区关于个人信息出境的监管要求。在这些过程中,保险机构如果未能妥善处理和保护好个人信息,可能会存在侵犯个人隐私权益、个人信息泄露以及触犯个人信息跨境监管要求等风险。保险机构在使用上述相关技术和拓展海外业务时,需要特别注意个人信息的保护,确保遵守相关的法律法规,进而提高自身的竞争力和可持续发展能力。因此,保险机构在面临日益完善和精细的监管要求,以及自身业务快速发展过程中的变化,保险机构在个人信息保护合规与业务快速发展之间如何平衡需要投入更多关注。一方面保险机构需要投入更多资源来跟踪监管趋势和变化,及时实现“外规内化”、完善自身防护能力要求。另一方面保险机构还需要在不断创新业务模式和技术应用过程中,落实这些防护能力要求、加强个人信息保护,避免因技术创新而引发新的合规风险。个 人信息保 护 与业 务发 展 平 衡 需 要 更 多 关 注14创变领航 坚韧致远|保险业个人信息治理破局新攻略 随着保险科技的发展和应用范围的不断扩大,以及保险机构自身在多种业务场景下对个人信息的开发、运用越来越多元化,个人信息保护面临着更多的挑战和风险,为了保障个人信息的合法权益和安全,构建纵向贯穿、横向协同,全方位、多层次的个人信息保护治理模式无疑是个人信息保护重要保障之一,然而这一过程面临诸多影响因素,值得行业深入探讨与思考。在纵向管理方面,保险机构通常由集团总部、分子公司、区域办事处、营销服务部等多层机构组成。在个人信息保护治理体系设计中,明确不同层级之间的职责和权限至关重要。集团总部应制定个人信息保护政策和策略,监督和管理整个集团的个人信息保护工作。分子公司和区域办事处应执行总部的政策和制度,确保个人信息在本单位的合规使用和管理。营销服务部作为最接近客户的层级,应严格遵循个人信息保护政策,负责收集、处理和存储客户的个人信息,并为客户提供个人信息保护相关的服务和支持。在横向协同方面,保险机构通常涉及核保、理赔、产品开发、市场推广与销售、客户服务与关系管理、信息科技、风险和合规管理等多个部门。在个人信息保护横向协同方面,不同部门在业务目标上存在差异,业务相关部门致力于推动个人信息的收集和应用,以促进业务的高效运营并提供更为优质的客户服务;科技相关部门专注于技术创新和系统的不断优化,为公司的业务运营提供技术支持;合规相关部门专注于确保业务过程中严格遵循监管要求,以保障公司各项经营活动的合规性。因各自目标的差异性以及各部门之间存在沟通不畅的情况,如何平衡部门间个人信息保护工作并实现业务可持续发展成为保险机构的一个难题。因此,随着保险科技的发展和保险业务场景的多元化,以及保险机构管理层次复杂、协同业务部门众多,个人信息保护面临更多挑战。构建一套能够贯通上下各组织层级、协同前后各业务环节的个人信息保护治理模式是关键。在纵向贯通方面,保险机构需明确各层级的职责和权限,确保合规使用和管理;在横向协同方面,保险机构需构建跨职能、跨组织的协作机制,指导各部门开展个人信息保护相关活动。个 人 信 息 保 护治 理体 系 的构 建 与落 地 亟 待 推 行25创变领航 坚韧致远|保险业个人信息治理破局新攻略 为满足客户日益增长的综合化金融服务需求,保险机构通常通过混合经营模式,将保险产品与其他金融产品或非金融产品进行组合搭配,为客户提供一站式的金融服务。混业经营模式下将集团内部的技术、渠道、人员等资源进行流通、共享,实现优化资产配置,在这过程中个人信息数据也可能被作为一种资源进行整合。与此同时,国家和地方政府层面持续完善数据流通和共享顶层设计和实施意见。相关政策内容中均会提及在安全合规前提下,发挥数据要素流通和共享相关价值,这为保险机构对个人信息数据要素价值的发挥也明确了底线和要求。1)2022 年12月,国务院发布 关于构建数据基础制度更好发挥数据要素作用的意见(以下简称“数据二十条”),提出“建立健全个人信息数据确权授权机制”的相关要求。2)2023年6 月,北京市印发 关于更好发挥数据要素作用进一步加快发展数字经济的实施意见,提出“推进建立个人数据分类分级确权授权机制,允许个人将承载个人信息的数据授权数据处理者或第三方托管使用,推动数据处理者或第三方按照个人授权范围依法依规采集、持有、使用数据或提供托管服务。”3)2023年7 月,上海市印发 立足数字经济新赛道推动数据要素产业创新发展行动方案(2023 2025年)“建立数据分类分级保护制度,制定重要数据目录,严格实施个人信息保护。”因此,在混业经营模式下,个人信息要素在不同业态、不同层级机构下的流通和共享,给保险机构也带来了一些管理难题。首先,由于个人信息存在特殊性,在个人信息被流通和共享之前,保险机构需要确保客户对个人信息的流通和共享有充分的知情权和选择权,“数据二十条”也提出了不得采取“一揽子授权”或强制同意的方式过度收集个人信息。这意味着保险机构必须明确告知客户其数据将如何被采集、持有、托管和使用,并且在获取客户的明确同意后才能进行相关流通和共享。其次,个人信息主体还可以主张其他相关权利,如知情权、拒绝权等,例如在个人信息主体申请使用个人信息主体权利进行退保,查阅等服务时,保险机构理应受理个人信息主体的申请,通过平台处理或者人工受理的方式,解决个人信息主体提出的要求,这意味着保险机构在收集、处理和使用这些个人信息时,需要在各个环节保障个人信息主体权利。这对保险机构来说,无疑增加了合规的难度和成本。最后,个人信息数据作为数据要素流通时,还应在数据分类与权属界定方面提高重视,“数据二十条”提出了数据资源持有权、数据加工使用权和数据产品经营权的“三权”分置的结构性产权制度框架。这就要求保险机构在生产经营过程中,对所控制的个人信息数据进行清晰的分类和权属界定,确保个人信息数据的合法来源和使用。总的来说,为了在混业经营模式下,实现个人信息数据安全流通、合规共享,不仅需要考虑保险机构自身的管理规范和技术措施,还需要提高对个人信息主体权力的关注,确保在安全合规的前提下,实现个人数据要素的流通共享。混 业 经 营 下 的 安 全 流 通与合 规 共享 难 题36创变领航 坚韧致远|保险业个人信息治理破局新攻略 在相关法律法规和监管规则的指导下,各相关监管机构开展对各自领域内的个人信息采集、使用、处理、加工等环节进行个人信息保护合规检查,并对相关违规行为进行通告处罚,从处罚结果情况来看,处罚体系具有全面性和严格性,既对个人也对组织进行惩罚,既有行政处罚也有金额处罚,需要引起保险机构高度重视。国家金融监督管理总局与个人信息相关的行政处罚中出现频次较高的违法类型主要为:员工侵犯公民个人信息和利用职务泄露客户信息、未经授权或者超出授权范围收集、使用、保存、传输个人信息;未履行告知义务或者未取得同意;未采取必要的安全措施,导致个人信息泄露或者被非法获取;未按照规定报告网络安全事件;未按照规定配备网络安全管理人员和技术人员等。部分相关监管处罚情况请参加下表:保 险 行 业 个人 信 息 保 护 执 法 案 例 与 启 示47创变领航 坚韧致远|保险业个人信息治理破局新攻略 监管机构 处罚时间 编号(文书/决字号等)违法类型(行政)处罚内容 作出处罚机构被处罚机构/个人处罚依据国家金融监督管理总局2023 年 7 月7 日金罚决 字 2023 1 号一是 侵 害 消 费 者合法 权 益。包括:存 在引人误 解 的 金 融营 销 宣 传 行为,侵 害 消费 者 知 情 权;未向部 分客户 群 体 明 示 还 款 要求;未按 规 定处 理部 分 消 费者 个 人 信息。二是 违 规参 与银 行 保 险 机 构 业务活动。包括:违 规参 与保 险代 理、保险经 纪 业务;违 规 参 与 销 售 个人 养 老保 障 管 理 产品、银行理财 产 品、互联 网存 款 产品。没收违法所得112,977.62万元,罚款263,270.44万元,罚没合计376,248.06万元国家金融监督管理总局某 集团 中华人民 共 和 国 银 行业监 督管 理法 第十九 条、第四十四条,中 华人 民共 和国 保 险 法 第六 条、第 一百一 十 九 条、第 一百五十 九 条,中 华人 民 共和国消费者权 益保护 法 第十四条、第十六条、第二十条、第 二十 六 条、第 二十九条、第 五十 六 条 等 规 定原浙江银保监局2023 年 3 月6 日浙 银 保 监罚决 字2023 3 号客户 信 息保 护 不 审 慎 对*银行罚款人民币30万元。原浙江银保监局某银行 中华人 民 共 和 国 银 行业监 督管 理法 第四十六条第(五)项原宁波银保监局2023 年 1 月18 日甬银 保 监罚决 字2023 10 号存 在 侵 犯 公 民 个人 信 息 的 违 法 违 规行为禁止终身从事银行业工作 原宁波银保监局柴某 中华人 民 共 和 国 银 行业监 督管 理法 第 四 十八 条原宁波银保监局2023 年 1 月18 日甬银 保 监罚决 字2023 8 号安防 管 理 不到 位、客户 信 息 安 全 管理 不到 位合计罚款人民币190 万元 原宁波银保监局某银行分行 中华人 民 共 和 国 银 行业监 督管 理法 第四十六条原六盘水银保监分局2022 年 10 月25 日六银 保监 罚 决字2022 13 号利用职务 便 利 泄 露 在 业务活 动中知悉的投保 人、被 保 险 人 个 人信 息行 为的直接 责 任 人禁止进入保险业三年 原六盘水银保监分局马某 中 华人 民 共 和 国 保 险法 第 一百七 十 七 条原六盘水银保监分局2022 年 10 月25 日六银 保监 罚 决字2022 9 号案防 管 理 不到 位,原职工 利 用 职 务便 利 泄 露在 业务活 动中知 悉 的 投 保人、被 保 险 人 的 个人 信 息罚款十万元 原六盘水银保监分局某 保 险公司支公司 中 华人 民 共 和 国 保 险法 第 一百六 十 一 条原六盘水银保监分局2022 年 10 月25 日六银 保监 罚 决字2022 12 号利用职务 便 利 泄 露 在 业务活 动中知悉的投保 人、被 保 险 人 个 人信 息行 为的直接 责 任 人禁止进入保险业十年 原六盘水银保监分局刘某 中 华人 民 共 和 国 保 险法 第 一百七 十 七 条原六盘水银保监分局2022 年 10 月25 日六银 保监 罚 决字2022 10 号对*人寿 保 险 股份有 限 公 司 六盘水中 心支 公司 案 防 管 理 不 到 位,原职工 利用职务 便 利 泄 露 在 业务活 动中知悉的投保 人、被 保 险 人 个 人信 息行为 承担 主 要领 导责 任的直接 责 任 人警告并罚款二万元 原六盘水银保监分局戴某 中 华人 民 共 和 国 保 险法 第 一 百 七十一 条原宁夏银保监局2022 年8月18 日宁 银 保 监罚决 字2022 19 号违 反法 律 规 定 侵犯 公 民 个 人 信 息 对时任*保险股份有限公司宁夏分公司电网销业务部总经理徐*予以禁止进入保险业5 年的行政处罚。原宁夏银保监局徐某 中 华人 民 共 和 国 保 险法 第 一百七 十 七 条原宁夏银保监局2022 年8月17 日宁 银 保 监罚决 字2022 18 号违 反法 律 规 定 侵犯 公 民 个 人 信 息 对时任*保险股份有限公司宁夏分公司银川中心支公司创新电子部经理樊*、原*保险股份有限公司宁夏分公司员工刘*分别予以禁止进入保险业5年的行政处罚。原宁夏银保监局樊某、刘某 中 华人 民 共 和 国 保 险法 第 一百七 十 七 条表1:部分相关监管处罚情况userid:497168,docid:152219,date:2024-01-23,8创变领航 坚韧致远|保险业个人信息治理破局新攻略 除此之外还有其他监管机构的处罚案例也值得引起行业关注,中国人民银行与个人信息相关的行政处罚中出现频次较高的违法类型主要为:未经授权查询个人信息;未建立以分级授权为核心的金融消费者信息使用管理制度,未准确披露因金融产品或者服务产生纠纷的处理及投诉途径;信息使用授权审批程序不规范;金融消费者投诉处理信息报送不及时。中华人民共和国工业和信息化部及中央网络安全和信息化委员会办公室与个人信息相关的行政处罚中出现频次较高的违法类型主要为:应用分发平台上的APP信息明示不到位;违规互联网弹窗信息推送服务;欺骗误导强迫用户;超范围收集个人信息;违规收集个人信息;APP强制、频繁、过度索取权限;收集个人信息明示、告知不到位;强迫收集非必要个人信息;违规使用第三方服务。这些个人信息保护的处罚案例,无疑为整个保险行业敲响了警钟。这并不仅仅揭示了某些保险机构在个人信息处理中的失误和不当行为,更深层次的是,也反映了保险行业在个人信息保护方面普遍存在的问题和隐患。这些问题可能源于管理的不完善,也可能是技术上的疏漏,抑或是员工对个人信息保护意识的缺乏。但无论如何,这些问题的存在都使得客户的个人信息面临被泄露或滥用的风险,从而损害了客户的权益和信任,进而对保险机构的声誉造成损失,甚至是带来法律赔偿责任。创变领航 坚韧致远|保险业个人信息治理破局新攻略 二、数字化 转型背景 下对保险 行 业 个人 信 息 保 护 能 力 建设 的 思 考与应 对创变领航 坚韧致远|保险业个人信息治理破局新攻略 910创变领航 坚韧致远|保险业个人信息治理破局新攻略 面对强监管环境、保险行业的复杂业态以及保险机构自身内部治理及协同机制不完善的情况,保险机构应积极主动采取对内、对外结合的应对措施提升个人信息保护管控水平,对机构内部需要建立明确的个人信息保护内部治理机制,并将监管要求进行内化,对监管、客户等外部需要统一对接归口,并建立透明的沟通机制。本节将从保险机构过往应对个人信息保护的经验出发,结合保险行业当前的实际情况,进一步阐述保险行业对个人信息保护的前瞻性应对策略。落实个人信息治理部门责任,发挥组织推动和管理协调作用个人信息与保险业务流程的深度融合决定了个人信息治理工作不是某个岗位、某个团队或某个部门能够单方面完成的工作。对保险机构而言,个人信息治理工作需要从组织战略层面出发,协调决策层、管理层和执行层等多方共同参与,构建个人信息治理合力,促成个人信息治理共识,消解个人信息治理壁垒,打通个人信息治理回路。一是要明确个人信息主体治理架构,建立决策、管理、执行和监督机构,落实相关岗位和职责。在充分理解个人信息作为特殊的数据要素的前提下,由决策层决定安全合规发展方向,形成个人信息治理战略,促进个人信息保护文化,提供资源保障和决策支持;管理层拆解治理目标,推动各业务线、各部门、各团队及分支机构落地个人信息管理工作,发挥授权、指导和监督等职能,构建个人信息管理体系、设计个人信息管理流程、汇总和汇报个人信息管理现状等;各个人信息责任岗位及保险机构全体员工作为个人信息保护的执行层和第一线,理解机构个人信息治理目标,积极创新个人信息价值释放方式,严格执行个人信息保护各项要求,尊重客户个人信息权利;风险管理、内控和内审部门筑牢底线,充分监督个人信息治理工作的落实情况,为机构个人信息处理工作保驾护航,形成持续监控机制、及时预警机制和良性纠偏机制。上述工作对保险机构人员梯度建设提出了一定要求,其中个人信息保护相关法务专家、安全专家、业务专家及审计专家等角色设立是优先工作任务,能够帮助机构构建相对全面的治理和管理能力,充分理解组织情景,助力实现安全合规发展的个人信息治理目标。此外,保险机构需要明确对外的统一接口部门,可分为面对监管机构和面对客户两个方面。首先,需要明确负责与监管机构对接的统一接口部门,负责进行信息报告、配合监管审查等流程,确保与监管机构的数据交流和信息披露符合法规要求。其次,明确面对客户的统一接口部门同样至关重要,保险机构需确保信息的安全传递、正确使用以及依法保护客户隐私,保险机构需要制定明确的工作流 程,并定期进行培训,有效避免因信息处理不一致而带来的合规风险,提升机构整体的个人信息保护水平。二是要建设跨部门协作机制,通过有效沟通平台,营造良好沟通氛围,促成个人信息治理共识的落地。在决策和管理层面,以个人信息治理管理委员会或个人信息专项工作小组形式,拉齐业务、科技、风险等部门认知,为跨部门协作奠定基础;通过定期或不定期会议、互动沟通等方式方法,形成部门间横向,部门内纵向的沟通协作平台,部署和落地个人信息治理工作具体事务。积极寻找跨条线、跨部门、跨团队利益交叉点,以安全合规发展为核心,多元主体共建内部个人信息治理环境,并通过跨部门个人信息治理绩效指标等工具树立共同的愿景和目标,以增强个人信息治理工作的内 生动力。外 规内化,健 全 个人 信 息 治 理 体 系111创变领航 坚韧致远|保险业个人信息治理破局新攻略 完善个人信息治理制度,运用科技手段提升治理效能保险机构的海量个人信息治理和管理工作需要依赖技术工具,同时还需要具备个人信息管理流程和风险数据应用能力。为快速形成全流程全领域个人信息治理管理能力,各机构可以考虑从以下三个点切入:优化产品/服务创新引发的个人信息保护触发条件:由于保险行业通过产品/服务创新进行数字化转型,这一过程伴随着众多基于新场景、新业务的新产品发布与使用,如核保核赔的智能回访服务。保险机构需以全程合规管控的视角将个人信息保护管控流程融入整个产品/服务创新的生命周期,确保创新过程在满足市场需求的同时,也充分遵循个人信息保护的法规要求。此外,保险机构需要根据业务运营的不同阶段和场景,制定灵活、差异化的个人信息保护触发条件,针对业务特点,动态选择适配的个人信息保护机制,确保在保单申请、理赔处理、个性化定价等各类保险业务场景下的个人信息保护措施能够全面、精准地发挥作用,满足保险业务的多元化需求。采用先进技术驱动风险预测与响应:借助人工智能、机器学习等先进技术,保险机构可对个人信息保护风险进行精准评估与监测,如在核保过程中,利用机器学习算法对客户的个人信息处理全生命周期进行分析,包括处理目的授权凭证分析、传输存储安全风险分析、数据超期处置分析等,自动判断潜在的隐私泄漏或滥用风险,并迅速采取相应措施。但需注意,在采用先进技术前,保险机构需要对技术的引入进行全面的风险评估,减轻新技术带来的隐私风险。引入协同工具与平台,建立信息共享与集成机制:保险机构应使用满足公司规模和需求的协同工具或平台,通过在工具或平台上设立专门的工作空间,存储与个人信息保护相关的制度、指南等文档,并为各部门之间的信息流通提供安全通道,在遵守监管要求的基础上实现跨部门的信息共享与集成,避免客户个人信息冗余收集和处理,同时确保业务、科技与合规等部门的工作更加紧密、高效地协同进行。在使用协同工具与平台时,注意需要通过采用授权审批、日志记录等安全功能提高信息流动的透明度与安全性。优化个人信息合规性管理,主动构建安全高效的金融服务生态数字化转型背景下,开放平台的技术架构正不断重塑金融服务价值链;保险机构深度参与其中,并通过个人信息创新服务场景,丰富保险产品和营销渠道。这一时代背景和市场动向催生了保险机构主动构建安全高效的金融服务生态。为积极承担和履行市场主体责任,保险机构可以考虑从以下三个方面入手,依法依规开展业务、积极创新合作共赢,有效协调和管理价值链中涉及个人信息处理的关键主体和关键活动。回归本源严守底线,以人为本统筹机构安全和发展,积极参与政策制定过程和行业主管部门组织的各项活动,定期与监管部门进行深度沟通等,提供个人信息保护的相关建议。从金融伦理等角度出发,合理有序发出机构声音,促进符合行业发展需要、技术动态和风险控制能力的政策环境。建立透明的客户沟通机制:保险机构应该通过面向客户的统一接口部门与客户积极建立有效且透明的沟通机制,明确向客户详细解释保险机构的隐私政策,包括数据收集目的、使用方式、安全措施、隐私政策变更等内容。通过与客户的透明沟通,积极引导客户主动地参与到个人信息保护工作中,并增强客户对机构的信任度。践行社会责任与行业合作:保险机构应积极履行社会责任,通过参与行业合作,通过与行业相关协会开展相关话题的研讨与沟通,促进行业标准的制定和升级,推动整个保险行业在个人信息保护方面的共同进步。保险机构也可通过参与上下游业务、技术相关方组织的活动,分享个人信息保护的最佳实践、经验和技术,助力更加完善的行业生态形成。12创变领航 坚韧致远|保险业个人信息治理破局新攻略 通过体系化建设个人信息保护管理能力,全面防范保险业个人信息安全风险。本节将从个人信息收集和使用的角度出发,重点关注个人信息分类分级管理、个人信息安全影响评估、个人信息处理第三方管理、个人信息跨境安全的能力建设,由点及面,筑建个人信息保护城墙。完善分类分级管理制度,明确个人信息保护策略建章立制,完善个人信息分类分级管理制度,实施差异化保护。保险业处理大量健康医疗数据、个人金融信息等敏感个人信息,结合数据分类分级体系框架,细化个人信息分类分级管理要求,落实个人信息生命周期、处理活动各环节差异化管控措施,有效防范个人信息安全事件。个人信息分类分级管理制度的建立,一是要明确适用的个人信息分类分级标准。结合梳理、掌握的个人信息资产情况,参照监管要求和行业标准,定义不同个人信息类别,如个人基本信息、个人健康生理信息、个人财产信息等;根据实际业务场景分析可能的个人信息泄露影响程度、个人信息敏感程度和行业标准,定义个人信息级别,如内部使用、保密、高度保密或C1(用户鉴别信息等)、C2(可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息)、C3(机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息)等。二是要结合个人信息生命周期细化差异化的管理要求。对于个人信息的收集、传输、存储、使用删除及销毁等环节的处理活动,根据个人信息分类分级不同提出差异化的管理要求,如收集个人信息获取同意环节,针对一般个人信息获取授权同意即可满足管理要求,但针对敏感个人信息、个人生物识别信息需要获得明示同意,而针对不满14周岁未成年应征得其监护人明示同意。三是推动分类分级管理要求落地和持续改进。在落实相关差异化管理要求过程中,需多方协同,如由业务部门对处理的个人信息类别和级别进行识别,由科技部门通过部署技术手段和工具满足保护要求;而且个人信息分类分级管理受业务发展、法律法规变化、技术进步等趋势影响,应保持动态管理的状态,通过持续的监测、定期的风险评估和审计,判断数据分类分级管理的有效性,根据实际情况进行改进和优化。建 章 立制,体 系 化 增 强 个人 信 息 管 理 能 力213创变领航 坚韧致远|保险业个人信息治理破局新攻略 落地个人信息安全影响评估(PIA),护航创新业务发展 中华人民共和国个人信息保护法 中明确了开展个人信息安全影响评估的条件和内容;开展相关评估有利于识别企业内个人信息处理活动、确定个人信息获取同意方式、评估个人信息处理合规风险,预防踩红线情况发生。个人信息安全影响评估机制的建立,一是要明确评估流程和责任方,设计有效评估工具。确定个人信息安全影响评估的类型和适用场景,固化评估实施步骤和环节(如数据映射分析、评估问卷填写、安全影响评估分析、评估结果跟进等),明确个人信息保护主管部门、业务部门、科技部门、法务合规部门在各环节的主要角色和职责,设计适用的评估 工具,综合参考 中华人民共和国个人信息保护法 信息安全技术个人信息安全规范 信息安全技术个人信息安全影响评估指南 个人金融信息保护技术规范 等要求,设计包含不同筛选条件和赋值的自动化工具,从产品技术架构中的消息中间件、API、数据库等关键传输链路和关键存储节点收集数据信息,主动探知安全风险,例如传输存储未加密的数据泄露风险、批量数据查询和数 据导出的滥用风险等。二是要加强业务团队数据能力建设,推动业务部门主动触发所辖个人信息处理活动影响评估。对于个人信息映射规则、标准、评估工具使用方法开展培训,统一认知,便于后续顺利进行;由个人信息保护主管部门组织业务部门开展个人信息安全影响评估,由科技部门、法务合规部门协同确认相关技术实践和法规解读,分场景识别个人信息处理活动中依赖的基本要素和流转关系(如个人信息处理环节、依赖的系统资源、相关方识别、个人信息流转分布情况等),全面分析对个人信息安全造成影响的因素和风险。三是建立个人信息处理活动台账,对风险问题完成整改追踪。结合个人信息安全影响评估结果,梳理个人信息处理活动,形成个人信息资产清单;分析个人信息处理环节的合法、正当、必要性,确保满足个人信息处理活动的基本原则;识别个人信息保护全生命周期管控要求和差距,如个人信息处理活动告知及获取同意的要求、方式,系统及安全控制的技术改进意见,相关保险业务环节及工作流程的变化要求等;由相关部门针对评估结果提出整改方案和整改计划,由个人信息保护主管部门跟踪整改情况和结果。加强第三方数据合作安全评估,坚持个人信息管理责任不外包共筑个人信息保护长城,加强个人信息处理第三方管理,明确职责划分。保险业经常面临多险企及第三方机构共同处理客户个人信息的场景,如未在合作过程中明确双方或多方主体性质、权利义务、违规责任承担等内容,一旦发生个人信息安全事件,双方或多方之间的责任划分、赔偿分摊比例等问题将引发更多次生风险。在对个人信息处理第三方管理的过程中,可以依托企业已有的第三方管理体系和流程,结合个人信息安全保护要求加强管理,如在第三方筛选评估阶段,对第三方进行审查和评估时应增加关于第三方个人信息保护体系建设或业务处理中的个人信息保护要求的建设情况、个人信息的相关安全设施和技术能力、个人信息安全事件响应流程、个人数据主体的请求及投诉处理机制的评估内容。在与第三方签订服务合同阶段,应明确第三方处理活动的性质(间接收集、委托处理、共享转让)、客户个人信息的处理方式、使用范围、信息安全保障和违规时的内容等。在签订服务合同后,定期向个人信息保护主管部门报告,更新委托业务清单、隐私政策等;定期对第三方的个人信息保护措施落实情况进行安全评估、现场检查等。在服务结束或终止后,应监督第三方销毁因相关业务或服务获取的个人信息。在个人信息处理中还有一类第三方合作模式,即第三方产品或服务嵌入企业自身产品或服务的情况。一方面需要通过合同形式明确双方安全责任,且向个人信息主体明确标识该产品或服务由第三方提供。另一方面需要由科技部门对外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展安全测试,确保其个人信息收集、使用行为符合约定要求。14创变领航 坚韧致远|保险业个人信息治理破局新攻略 选择个人信息出境路由,释放跨境业务红利立足中国,放眼全球,保护个人信息跨境安全,维护国家网络安全。随着中国市场的国际化,一方面中外合资或外商独资保险机构面临个人信息出境处理,另一方面中国企业出海、全球布局也面临个人信息跨境合规挑战。个人信息跨境安全评估,首先需要识别当地的个人信息出境要求和豁免条件,选择恰当的合规路径。对于出海企业,需要了解当地特殊的个人信息出境限制和豁免条件,如欧盟 通用数据保护条例(GDPR)、亚太经合组织倡导的CBPR、全球发展倡议框架等。对于中国大陆个人信息出境,保险机构需要在遵循合理合法必要的前提下,充分考虑出境场景、数据数量,选取与机构发展运营模式、技术能力和风险态势相适应的出境路由,包括安全评估路由、个人信息保护认证途径和标准合同模式。评估个人信息出境的必要性和合法合规性,记录个人信息出境详情,约定发送、接受各方权责义务。其次需要评估数据出境安全风险。数据出境安全风险评估主要评估个人信息出境和境外处理的目的、范围、方式的合法、正当、必要性,出境个人信息的规模、范围、种类、敏感程度对国家安全、公共利益、个人或组织合法权益带来的风险,境外接收方承诺承担的责任义务以及履行该责任义务的管理和技术措施、能力等能否保障出境数据的安全,个人信息权益维护的渠道是否通畅等影响数据出境安全的事项。例如出境个人信息被接收方滥用的风险、出境个人信息泄露机构市场策略影响机构正常经营或声誉风险,甚至出境个人信息涉及金融敏感信息危害国家安全的风险。出境安全风险评估是充分理解并落实跨境业务安全合规发展的必由之路,保险机构可借此在复杂多变的地缘政治背景下守正创新,良性利用两个市场发展机会。最后需要完成相应监管申报动作,并保持对监管动态的追踪和出境申报材料的更新。不同的合规路径选择需要准备的申报材料不同,如中国个人信息出境安全评估申报和标准合同备案所需的评估内容和准备材料存在差异,需花费的努力也不同,企业应在个人信息出境前完成相关评估、整改和申报工作,因此需要对于整体项目、业务或系统推进的周期提前做好规划。在完成相应监管申报后,企业还应持续关注本地监管环境变化、个人信息出境实践趋势,及时做好应对;另外还应持续关注出境的个人信息处理活动变化,一旦向境外提供个人信息的目的、方式、范围、种类、保存期限或境外监管和网络安全环境发生变化,需要再次评估个人信息出境风险。15创变领航 坚韧致远|保险业个人信息治理破局新攻略 通过体系化建设个人信息保护技术能力,实现对个人信息全生命周期的安全性与完整性,同时也能有效保护个人隐私,确保数据处理与利用符合各种法规与合规性要求。本节将对隐私增强技术、代理重加密、移动应用合规检测等技术如何应用到个人信息安全合规保护场景进行探讨,以协助各保险机构对个人信息技术体系建设。选用恰当的隐私增强技术,应对不同场景的数据安全需求从共享数据源来看,保险机构通过三种方式共享个人信息以实现潜在的数据价值,包括入站数据共享(从第三方获取数据)、出站数据共享(与第三方共享自有数据)和协作数据共享。入站数据共享强有力地支持了保险机构的经营,例如保险营销数据的获取;另一方面,出站数据共享实现多角度赋能,例如线上线下融合营销等;最后,协作数据共享挖掘了行业数据价值,使得保险机构能够获得更深和更广的洞察,典型的场景莫过于“了解你的客户(KYC)”。共享数据的意义不仅在于为保险机构创造利润,也在于为保险客户提供更精准更高效的产品和服务,并使客户日益认识到其个人信息的价值。在主管和监管部门指导和监督下,安全合规的数据共享,将壮大保险市场各参与主体的力量,造就更好的金融成果。当前数据共享客观存在一系列挑战,包括数据滥用风险、监管合规风险、共享数据管理成本甚至是客户的信任危机。图1:数据应用的价值与挑战共享数据的潜在价值 共享数据的潜在威胁技 术破 局,强 化个人 信 息 安 全 合 规 利 用3支持经营决策保险机构监管部门客户泄露业务竞争策略引入第三方能力 违反个保法律法规获取更多的数据 引起客户信任危机促进创新和竞争侵犯客户个人信息权益获取优质产品服务 滥用个人数据提供有效的监督获取精准产品服务 泄露敏感信息16创变领航 坚韧致远|保险业个人信息治理破局新攻略 如图所示,保险行业的各个参与主体在个人信息保护领域面临着不可忽视的矛盾。然而,新兴的隐私增强技术使得平衡保险机构、客户和监管部门在数据共享场景下的诉求和义务成为可能;使数据共享符合监管原则,保护客户隐私,并保障保险机构业务的保密性;并将扩大保险行业可行的数据共享的范围,有效地让保险机构深入行业数据,释放出新的价值。安全合规的数据共享,为
