绕不开的个人信息合规之重

来源:网络法实务圈

文章摘要
对于保险业而言,无论是保险机构还是监管机关,客户信息真实性一直是切心之痛。

对于保险业而言,无论是保险机构还是监管机关,客户信息真实性一直是切心之痛。传统线下业务时代,部分保险中介机构和个人代理人掌控客户资源,为避免保险公司争抢续保资源,其提供的客户身份信息尤其是联系方式,多数情况下为代理人本人手机号或虚假手机号。步入移动互联网时代,此状况并未得到有效改观。由于保险机构自建网络平台流量式微,大量线上保险业务掌握在头部流量平台中,由于缺乏竞争话语权,保险机构得到完整客户身份信息的概率仍然较低。虽然保险公司也采取了客户承保回访、理赔阶段信息补充乃至失联修复等多种手段以完善客户真实信息,但实效难尽人意。保险业客户信息真实性水平不高,不仅导致中介机构凭借此信息壁垒持续获取高额佣金,保险公司难以降低保险产品费率水平,还导致保险公司无法为自有客户提供持续的保险服务,也为骗保、逃税、洗钱、个人信息非法买卖等违法行为的滋生提供了空间。
为解决这一行业痼疾,业内人士多年来一直呼吁建立行业统一保险账户体系,在为客户提供承保信息的一体化查询平台的同时,也由此借机让保险公司一定程度上摆脱保险中介和代理人的业务牵制。2018年6月4日,银保监会出台的《保险实名登记管理办法》(征求意见稿)(以下简称《办法》),正是欲通过客户实名信息的验证,达到建立行业统一保险账户体系的目的,这必将对保险行业发展带来深刻影响。在《网络安全法》实施一周年和个人信息安全保护甚嚣尘上的大背景下,目前《办法》中的相应规范性要求在实务中应如何理解和操作,存在诸多令人困惑之处。笔者在此就几个主要问题谈下个人的理解。
一、《办法》与《个人信息安全规范》(GB/T35273-2017)的适用关系
《办法》第一条规定,该《办法》根据《中华人民共和国保险法》《中华人民共和国消费者权益保护法》《中华人民共和国网络安全法》等法律、行政法规而制定,由于《办法》主要是规范自然人保险客户实名信息的采集、核对、移交、查验和登记(即个人信息的采集、使用、留存等),这是否意味着《办法》在立法本意和实际操作中就排除了《个人信息安全规范》(以下简称《规范》)这一推荐性国家标准的适用了呢?笔者认为并非如此。原因有二。
一是《规范》作为《网络安全法》中对个人信息安全保护要求在企业合规实践的范本,其本身就规定适用于“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监管、管理和评估”,并无行业的例外。该文件的编制人员将《规范》定位为“我国个人信息保护工作的基础性标准文件……为制定和实施个人信息保护相关法律法规奠定基础,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据”[1];实践中,2017年下半年网信办、工信部、公安部等联合开展的隐私条款专项工作,以及2018年1月6日国家网信办网络安全协调局约谈“支付宝年度账单事件”当事企业负责人时,都将《规范》作为监管依据加以运用。因此,从主管监管机构的角度分析,保险机构适用《规范》是应有之义。
二是从金融监管机构态度看,2018年5月份银保监会颁布的《银行业金融机构数据治理指引》(银保监发〔2018〕22号)(以下简称《指引》)第二十四条规定,银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。笔者理解,《规范》作为国家标准应属于此处的“个人信息安全相关的国家标准”,这也是我国金融监管机构第一次将《规范》作为行业的强制性要求纳入规范性文件之中进行明确,从而体现了监管机构对传统金融机构在个人信息采集、应用方面加强合规管理的坚定态度。虽然该《指引》适用于银行业金融机构,但从银保监会统一银行、保险业监管标准的角度出发,笔者认为监管本意应是将《规范》作为强制性要求同样适用于保险行业。
由此可见,即便《办法》并未将《规范》作为制定依据,但在监管执法和保险机构合规实践中,《规范》本身在保险行业的适用(需特别注意的是,适用范围应包括保险业线上和线下业务)、《办法》相关规范要求的合规实质应与《规范》保持一致自无疑问。
二、《办法》与现行监管政策的几点冲突
《办法》第五条规定,本办法所称实名信息,包括投保人、被保险人、受益人的姓名、身份证件类型和证件号码、手机号码。根据《规范》对个人敏感信息的判断标准[2],上述实名信息类型中的身份信息和个人手机号码当属于个人敏感信息。《规范》对于个人敏感信息的保护,主要有如下原则要求:一是收集个人敏感信息时,处理、共享、转让、公开个人敏感信息前,应在个人信息主体充分知情的情况下征得其明示同意;二是要区分所提供产品和服务的核心业务功能和其他附加功能,对附加功能所要求提供的个人敏感信息应逐项单独授权;三是传输和存储个人敏感信息时,应采用加密等安全措施。通读《办法》的相关条款,则会发现其与《规范》及其它监管政策要求存在多处冲突。
一:手机号码属于必须收集的个人信息吗?
对于线上业务特别是移动端业务而言,保险承保环节客户(如投保人)注册账号、身份验证、线上支付、线下配送等核心功能均需要以手机号码为依托进行操作,将手机号码作为业务核心功能必须收集的个人敏感信息没有多大争议(电话销售业务大致类似)。但在仍占据保险机构业务来源主流的线下业务承保过程中,因为可以面对面验证,手机号码是否属于承保业务核心功能所必须收集的个人信息则有待商榷。设想如下车险业务场景:一名车主(如无特殊说明,下述均指自然人),其作为投保人和被保险人,亲自驾车前往财产保险公司出单网点柜台办理交强险和商业车险业务,在提交身份证、行驶证等本人和车辆信息后,保险公司工作人员现场验车通过符合投保条件(虽然实务中基本没有现场验车环节,投保人亲自到柜台办业务的也越来越少),车主按投保需求填写纸质投保单但并未提供手机号码(目前车险投保单均设填写手机号码栏,若车主不提供,则可视为车主不同意向保险公司提供该个人信息),出单人员在车险承保业务系统录入相关承保信息,此时若该财产保险公司按照监管要求,在承保系统中将手机号码作为必填项,而车主不提供则无法继续后续投保行为是否合理?目前《网络安全法》是个人信息保护方面有落地抓手的位阶最高的法律规范[3],该法第41条明确规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则……”,在线下承保环节收集手机号码,亦应当符合合法、正当、必要原则,并且不收集/获取手机号码则不应影响提供车险承保这一核心服务功能。目前,对保险线下业务的核心功能和附加功能应如何区分、如何规范并未形成行业共识。对一名普通保险消费而言,一般理解车险线下业务的核心功能应是,投保人提交身份和车辆资料、填写投保单提出投保邀约,保险公司身份验证、录单、核保通过,投保人进行刷卡缴费,保险公司出单并交付保单就OK了,在此保险合同建立过程完全可以不需要车主的手机号码便可完成操作,也就是说车主只需要提交身份信息就足以支持完成承保全流程。因为非投资性财产险业务的特殊性,在保险期间内若未发生保险事故,财产保险公司不需要向客户(投保人)退还保费,保险公司也没有必要事先取得客户的联系方式以告知投资账户变动信息或退还保费(车险相对好些,对于部分短期非车险产品,客户提供手机号码的意愿也许更低)。实践中,财产保险公司在保险期间内未与客户发生任何联系的情况也是常态。在此意义上,对线下承保业务而言,手机号码并非承保业务核心功能必须收集的个人敏感信息。当然,若线下业务承保过程中,投保人选择接受财产保险公司的一些附加服务,比如使用保单信息短信通知功能、接受保险公司赠送的道路救援服务等,保险公司在投保人单独明示同意的前提下,可以事先取得投保人手机号码。在保险期间内,客户向保险公司客服咨询保险业务或报案而主动提供联系方式,则不属于承保环节对个人敏感信息的收集。
在现行法律法规中,笔者尚未见到要求保险机构强制性收集投保人、被保险人等手机号码的规定。比如《反洗钱法》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》仅要求对达到规定条件的保险业务识别、留存、登记投保人、被保险人、受益人的身份证件信息;再比如《个人存款账户实名制规定》也仅要求个人在金融机构开立个人存款账户时,应当出示本人身份证件,使用实名,以实现金融机构核对、登记个人信息及为消费者开立个人存款账户之目的。笔者理解,对于立法机关而言,在通过核对、查验等方式可以明确客户身份、达到立法目的的情况下,没有必要再去收集手机号码以做进一步的身份验证,这样也符合《网络安全法》规定的必要原则。
对于强制保险业务,这个问题的冲突非常明显。比如,作为行政法规的《机动车交通事故责任强制保险条例》(以下简称《交强险条例》)第十一条规定投保人投保时应当向保险公司如实告知的重要事项,并不包括手机号码等联系方式,保监会此前也未将手机号码规定为投保人需如实告知的重要事项范畴。在保险行业协会的《交强险承保实务规程》中,也仅规定应提示投保人提供准确的联系方式。根据《交强险条例》第十条规定,保险公司不得拒绝承保交强险,因而即便投保人不提供或提供了虚假、非本人的手机号码,保险公司也不得拒绝承保;因手机号码不属于投保人需如实告知的重要事项,保险公司承保后也不得以此为由解除交强险合同。然而,《办法》第二十八条却规定,因投保人、被保险人、受益人提交信息有误致使实名信息查验未通过且无法通过其他途径补正的,保险机构不得为其办理保险业务。也即意味着,若投保人投保交强险时,提供了虚假手机号码导致实名信息查验未通过,保险公司则不得为其办理交强险业务,这显然与《交强险条例》第十条精神相违背。此外,对于线下商业车险业务,若投保人投保时提供了虚假的手机号码,保险公司以违反监管规定为由拒绝承保,该拒绝交易的理由能否得到法院的支持也有待进一步论证。毕竟目前财产保险公司车险客户手机号码虚假的情况比比皆是,笔者还未发现哪家公司将此作为核保条件进行规定,况且车险业务的保险标的是车辆和责任,也没有充分证据证明投保人提供了虚假手机号码,就一定会存在骗保倾向,导致其从人的风险因素大增,足以让保险公司拒绝承保。再退一步讲,如果投保人本人事实上没有手机(比如部分老年人不会使用手机),也无法如《办法》第5条规定提供第三人或监护人手机号码,而只有固话或电子邮箱等联系方式,难道保险公司也可以拒绝承保吗?难道这部分人就无法从保险公司获取保险服务了吗?可见《办法》第二十八条的规定似乎有设定减损公民权利的规范之嫌。
此前保险监管机构在相应的规范性文件中对车险、人身险客户信息真实性管理中均提出了获取客户联系方式的要求,《办法》在此将适用业务范围作了进一步扩展,规定各类保险业务的保险实名信息应包括身份信息和手机号码,但正如前述分析,《办法》作为效力层级较低的一份部门规章或规范性文件,在涉及亿万客户的保险业务关系中,将手机号码作为必须采集、验证、留存的实名信息的一部分,或者说将手机号码作为唯一需采集、验证的联系方式,是否完全符合《网络安全法》的基本原则,是否符合保险行业实际,确实还存在一定的疑问。
二:个人敏感信息收集时明示同意如何实现?
保险业务类型复杂,产品众多,每类业务、产品所需收集的个人信息各不相同。财产险业务中,投保人、被保险人为同一人的情况居多,无论线上线下就个人敏感信息的收集获取客户的明示同意相对容易实现。但实务中投保人、被保险人不一致的情况也很常见。比如车辆归属妻子名下,丈夫作为投保人投保并交纳保费,妻子为被保险人,此种情况下,若均要求收集投保人、保险人的个人敏感信息,线下业务难道要求丈夫、妻子都得签署授权同意文件?线上业务妻子该如何在承保环节认可隐私政策并明示同意?实务中上述实现方式均难度极大。又如,借款人人身意外伤害保险或部分团队意外险业务,投保人可能为单位或法人,而被保险人则是自然人。《办法》虽然规定投保人、被保险人、受益人为法人或者其他组织的,相关实名登记要求由银保监会另行规定,但是从字面含义看,该规定并未明确将投保人一方为法人或其他组织,而被保险人是自然人的情况排除在外。此类业务均为线下业务,因此操作中均需要投保单位获取被保险人的单独明确授权,而团险业务产生的初衷本来是为了降低单位众多员工投保操作流程复杂的问题,若因收集个人敏感信息而要求员工逐笔签署授权文件,则违背了团险业务的本意。《办法》第二十七条规定对农险业务的身份查验可在投保以后补登记;但在诸如大病保险等政策性业务中,一张保单可能涵盖一个地市、县域的大部分人群,其工作难度远超一般的团体保险业务。人身险业务中,除了类似团险业务情况外,投保人、被保险人、受益人非同一自然人的情况较为常见,实务中应如何操作以取得三方自然人的授权,则看上去更为困难。
三:保险实名查验登记平台的合法性基础是什么?
结合《办法》第二章相关规定,保险实名查验登记平台(以下简称“平台”)由银保监会建立,但委托第三方机构进行建设和运行管理,独立于保险机构和保险中介机构,在该平台可以实现实名信息的查验和登记、保险账户的开设、保险实名信息和保险消费信息的留存。虽然《办法》并未明确保险消费信息的具体内容,但可以预计保险产品交易和消费记录等个人敏感信息和其他个人信息可能会包括在内。
《办法》要求保险机构通过平台进行实名信息查验的,应当将完整的实名信息提交平台;平台应当为投保人生成保险账户;投保人、被保险人、受益人实名信息通过平台查验或者在平台登记的,保险机构应当将相应保险消费信息上传至平台。因而,对保险机构而言,其将实名信息、保险消费信息提交平台(数据接收方)查验、登记并留存的行为,属于个人信息共享行为。根据《网络安全法》、《规范》相关要求,保险机构共享个人信息的,应向个人信息主体(如投保人)告知共享个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意;共享个人敏感信息的,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。共享经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外。
保险机构向平台进行实名信息的查验和登记、上传保险消费信息,需通过加密方式实现,但肯定无法通过去标识化处理的方式操作,因此保险机构向平台共享个人信息前应事先取得个人信息主体的授权同意或明示同意。虽然《办法》第三十三条规定,保险机构、保险中介机构、第三方网络平台及其从业人员不得擅自扩大投保人、被保险人、受益人实名信息使用范围,未经投保人、被保险人、受益人同意不得将其实名信息提供给保险交易活动当事人以外的其他单位和个人,法律、行政法规、部门规章及中国银保监会另有规定的除外。但正如前文所述,这并不意味着保险机构根据此条款就可否定《网络安全法》确定的个人信息共享原则,主张向平台共享个人信息不需要事先取得的授权同意和明示同意。目前保险机构现行相关隐私政策和授权文件中均未涉及向平台共享个人信息事宜,更没有取得个人信息主体的事先同意,《办法》实施前应要求所有保险机构统一行动步伐,否则会导致平台陷入违法收集、处理、存储个人信息的尴尬境地。另外,《办法》规定,保险机构提交实名查验时,平台应当将信息向相关外部数据库实时核对,或者通过自有数据库实时核对,并将有关情况反馈保险机构。可见,平台还可能将实名信息共享给第四方机构,此种情况下,不仅保险机构难以控制平台对个人信息的使用和共享行为,个人信息主体更难以知悉第四方机构对个人信息的保存和使用情况,在个人信息保护难以有效实现的情况下,要想取得个人信息主体的授权同意和明示同意并非易事。
还需要指出的是,平台通过保险机构共享所获取、留存的个人信息和数据,本源来自于保险机构的商业行为(当然也有大病保险等政策性保险业务涉及大量个人信息),而并非监管机构基于行政行为产生的政务数据。从监管初衷而言,其要求保险机构查验实名信息、建立统一保险账户的目的,也是为提升保险机构的客户信息真实性,便于保险消费者管理自身保险事务,平台自然应属于带有公益性质的保险基础设施。可以预见的是,平台无论是自建数据库还是对接外部数据库,对于保险机构的查验行为必然会进行收费。若监管机关不允许保险机构向其他的数据库平台进行实名信息查验,则平台的收费标准是否与市场化价格相匹配问题需要认真研究,以免行政垄断之嫌。同时,平台会逐渐掌握全保险行业的个人信息和保险消费数据,在客户画像、精准营销、风控模型等商业化利用方面具有天然的优势。笔者认为,原则上,此类平台不宜开展数据的商业化开发,因为有两个难题很难跨越:一是平台对数据的使用很可能超过保险机构在其隐私政策和授权文件中规定的使用范围(况且各保险机构的隐私政策和授权文件难以一致),平台若继续使用则需重新取得个人信息主体的明示同意,对于海量客户,此实务操作显然难以实现;二是即便解决了使用范围的合法基础,对于数据商业化利用的收益该如何分配也会非常棘手。
四:第三方网络平台能进行实名信息的核对查验吗?
《办法》中关于第三方网络平台的定义与《互联网保险业务监管暂行办法》(2018年10月到期失效,以下简称《暂行办法》)中的定义基本一致。《暂行办法》第三条规定,第三方网络平台开展互联网保险业务的销售、承保、理赔、退保、投诉处理及客户服务等保险经营行为的,应取得保险中介合法资格。按照2017年7月6日中国保监会下发的《关于整治机动车辆保险市场乱象的通知》精神,第三方网络平台的保险销售活动包括在其网页上开展保费试算、报价比价、业务推介、资金支付等行为。因此,对于具备资格进行保险销售活动的第三方网络平台,按照《暂行办法》第十一条的规定,其应于收到投保申请后24小时内向保险机构完整、准确地提供承保所需的资料信息,包括投保人(被保险人、受益人)的姓名、证件类型、证件号码、联系方式、账户等资料。但《办法》第二十五条则规定,保险中介机构、第三方网络平台为投保人、被保险人、受益人办理保险业务时,应当按照本办法第十五条至第二十四条规定要求其提供实名信息,并完整、准确、及时地将实名信息提交相关保险机构,由该保险机构通过平台查验,删除了第三方网络平台可在24小时提供客户信息的要求。按照新规优先适用的原则,笔者认为此时第三方网络平台应在收到投保申请后,需要利用技术手段先进行身份证件核对,然后再及时将实名信息(账户ID信息可在24小时内提供,此时账户信息与实名信息结合可构成个人敏感信息)提供给保险机构,以便于其开展实名信息的查验。这会根本性改变当前第三方网络平台和保险机构之间客户信息的传递方式,涉及第三方网络平台身份核对功能开发、与保险公司信息系统接口改造,完成开发时间难以预期(对保险中介机构的线下业务也存在类似信息递交时效问题)。
另外一个核心问题是,实务中大量第三方网络平台并不具备合法保险中介资格,不能开展保险销售活动,只能通过网页链接的方式为保险机构提供引流服务。在此情景下,投保人的投保申请均在保险机构网页上完成,第三方网络平台虽然可以留存客户的网页浏览痕迹,但从技术上和合规要求上,其并不掌握也不应掌握投保人、被保险人、受益人的实名信息,但《办法》并未将此种情况在第三方网络平台的义务中予以排除。
三、保险机构实名管理的合规操作难点
对于保险机构而言,其作为个人信息的控制者,在遵循《办法》规定开展个人信息的收集、使用、共享等行为时,尚有不少合规难题需要解决。
(一)《规范》已自今年5月1日开始实施,据笔者统计分析,保险公司现行线上隐私政策条款的合规性与《规范》要求相比还有较大差距,但尚没有保险公司结合《规范》相关规定修订、上线新的隐私政策。线下业务方面,保险公司虽然会通过填写投保单、签署客户告知书等方式在投保、支付、保单配送等承保环节就个人信息的采集取得投保人的授权同意或明示同意,通过电话报案、签署理赔文件等方式在理赔环节就个人信息的采集取得被保险人、受益人的授权同意或明示同意,但多数保险公司并未就个人信息的使用、共享等方面内容制定专门授权文件以取得个人信息主体的书面同意,存在较大合规风险。为此,笔者建议监管机构应督促保险公司尽快完善线上隐私政策、线下授权文件和信息系统、业务流程。监管机构要推动保险公司结合《规范》、《办法》的要求,在规定时间内加快修订、出台、上线新的线上隐私政策和线下授权文件。线上隐私政策体系可参考《规范》附录范本,线下授权文件则需要监管机构对应具备的主要内容作出规范性要求。按照《办法》要求,保险机构在投保、批改、贷款、批退、理赔(给付)等环节均需要核对身份证件、进行实名信息验证,因此保险公司需要尽快修改自身承保理赔实务流程,增加相应操作环节和职责,并及时进行承保、财务、收付费、理赔、客户信息等系统的升级改造,以实现线上实名验证、上传保险消费信息等功能。由于涉及核心业务系统的改造,监管机构应充分估计各保险公司完成系统对接所需时间和技术难度,在《办法》的实施上为保险机构留下足够的时间。
(二)虽然监管机构对实名信息收集要求非常明确,但财产险和人身险业务在保险标的、保险责任等方面有很大区别,每类产品所需收集的个人信息类型不尽相同。保险公司在结合《办法》《规范》要求修订线上隐私政策的时候,需要首先考虑的问题便是是制定一份统一的隐私政策,还是要针对每类产品单独制定一份隐私政策?考虑目前各保险公司上线的保险产品类型相对简单,笔者建议在可概括主要业务类型,特别是核心业务功能基本一致的前提下,制定一份统一的隐私政策即可,以免影响客户体验,增加技术实现难度。当然,由于每类产品需收集的个人信息不同,因此在隐私政策中列明的需收集的个人信息可能内容较多,为避免客户疑虑,在处理方式上建议在需收集的每类个人信息后注明适用的产品类型,便于客户理解自己所投保险产品类别涉及收集的个人信息范围。线上隐私政策在描述核心功能部分,也可借鉴上述思路,在每项核心功能后注明适用的产品类型。
(三)《办法》规定保险机构需要将实名信息、保险消费信息共享到平台使用、留存,为满足个人信息共享的合规性基础,笔者建议在《办法》中增加条款,要求保险机构在线上隐私政策和线下授权文件中明确向平台共享个人信息事宜,注明共享个人信息的目的、平台的类型;个人敏感信息的类型、平台的身份和数据安全能力;平台使用个人信息的范围、平台向第四方数据库共享个人信息的类型和第四方数据库的身份等。建议监管机构制定向平台共享个人信息的示范性条款,以便于保险机构统一合规标准。另外,针对投保环节,投保人、被保险人、受益人不一致,而实务中就获取被保险人、受益人共享个人信息授权同意或明示同意难以实现的问题,建议《办法》结合业务实际放宽操作标准,允许保险机构在理赔、客服等环节予以补充完善。
(四)《办法》第二十六条规定,办法施行时已经承保且仍然有效的保险合同,保险机构除按照办法第十七条至第二十四条要求进行查验外,应当于办法施行后按照本办法第十六条要求进行批量实名信息查验。查验通过的,保险实名登记平台为投保人生成保险账户;查验不通过的,保险机构应当报保险实名查验登记平台予以记录。对于已经承保且在保期内的保险合同,若投保人、被保险人、受益人为保险机构线上注册用户,在其登录时,保险机构可通过由其确认同意修订后隐私政策的方式获取授权,保险机构可后续开展查验、登记、生成账户事宜;在线下业务中,若存在批改、批退、贷款、理赔(给付)等行为,保险机构可在此环节获取投保人、被保险人、受益人的书面同意后开展后续操作。但在未获取个人信息主体的授权同意或明示同意前,保险机构自行将相关信息批量提交平台进行查验、登记、生成保险账户的行为存在很高的合规风险。对于财产保险合同和短期人身保险合同而言,即便在保险期间内未发生批改、批退、贷款、理赔(给付)等行为,在到期续保环节保险机构仍可取得客户的授权,可在较短时间内覆盖授权文件缺失问题。但对于部分已承保且保费趸交或期缴完毕,还未到给付期的长期人身保险合同来说,若客户长时间内未发生批改、批退、贷款、理赔(给付)等行为,保险机构则需要逐一与客户取得联系(部分客户原先留存的联系方式可能已失效),以获取其书面授权文件,此事项的工作量和难度可想而知。《办法》需考虑长期人身险合同的实际情况对此条款酌情完善。
(五)还有若干小问题。一是实务中,保险机构会通过多种渠道为投保人提供保费测算、保险方案咨询等服务,一般情况下,投保人只需提供与保险标的状况相关的信息,或要求客户提供联系方式以便于后续营销,保险机构在采集此类信息后的营销行为等使用方式不会超出投保人的预期。但在承保环节,若投保人提供了实名信息,保险机构查验通过,但最终保险机构核保未通过,或投保人后续放弃投保,最终双方未达成保险合同,此时对于保险机构已采集或共享给平台的实名信息应如何处理?笔者理解从投保人的合理期待而言,保险机构应返还收集的书面个人信息材料,并删除保险机构、平台留存的电子化实名信息。二是平台为投保人建立的保险账户,会汇集投保人在多家保险公司的保险消费信息,若投保人要求注销该保险账户、或删除全部或部分保险消费信息(假设符合法律法规对注销、删除的要求),实务中应如何操作?投保人是否可以选择任何一家其投保的保险机构,由该保险机构通知平台进行保险账户的注销、保险消费信息的删除操作,并将操作结果反馈投保人?还是说需要投保人逐一向其投保的保险机构提出请求?《办法》对平台保险账户的注销、保险消费信息的删除等事宜并未规定,需要加以完善。三是在理赔环节涉及诉讼、仲裁案件时,保险机构需要按照法院生效判决、仲裁生效裁决等履行赔付、给付义务,也会时常发生法院强制执行划扣赔款的情况,此情况下保险机构经常无法获取被保险人、受益人的实名信息,《办法》还需要对类似特殊情况明确处理标准。
[1]参见“个人信息安全须用规范‘保驾’”,http://www.cac.gov.cn/2016-12/22/c_1120160205.htm。
[2]根据《规范》第3.2条,个人敏感信息指:“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”,包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。《规范》附录B表B.1 个人敏感信息举例又将“个人电话号码”列入个人敏感信息。
[3]尽管《民法总则》第111条原则性规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,但并未对如何实现个人信息的收集、处理、共享、转让、公开等行为的合法合规性作出明确指引。

技术驱动法律,专业成就未来