返回首页
政策视点CURRENT AFFAIRS
政策视点 / 正文

《中华人民共和国个人信息保护法》11月1日正式实施

法律为保险消费者信息保护“撑腰”

  策划人语:

  近年来,伴随我国互联网经济和数字化的快速发展,一些互联网平台随意收集、违法获取、过度使用及非法买卖个人信息的问题日益突出。从今年11月1日起正式生效的《中华人民共和国个人信息保护法》,将与《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等共同编织成一张针对消费者个人信息的“保护网”,极大加强我国个人信息保护的法制保障,为建设数字中国,营造良好的数字生态。本期报道围绕保险业如何做好个人信息保护,推动行业高质量发展展开分析,敬请关注。

  不少人曾有这样的遭遇:用手机刚刚搜索过某品牌新款小家电后,小贷公司的消费贷广告就出现在眼前;刚在朋友圈赞美过一位明星的颜值,关于医疗美容整形和“美容整容贷”的信息推送就在下一秒出现……

  实际上,凡此种种“精准营销”的背后,是一些互联网平台依靠大数据对于消费者个人信息的收集与追踪,通过掌握用户的数字足迹后而采取的数据驱动式营销策略。更有甚者,一些互联网平台借助个人信息分析和挖掘用户的交易行为,再推送其他营销广告或是转为商业使用而获取非法收益。

  大数据应用是一把双刃剑,在给人们带去便利的同时,也存在许多安全隐患。但今年从11月1日起,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式生效后,上述这些违法行为都将受到法律的惩处。

  个人享有信息“撤回同意”权利

  近年来,随着互联网经济和数字化的快速发展,一些互联网平台随意收集、违法获取、过度使用及非法买卖个人信息的问题日益突出,甚至有庞大的“黑灰产”成为各类诈骗迅猛发展的幕后推手,为诈骗集团提供大量公民的手机卡、银行卡等个人信息进行洗钱套现、金融诈骗等,特别是保险行业存在的代理退保、用户信息泄露等违法行为。

  中国互联网金融协会此前公布的一份调查显示,绝大多数消费者认可数字金融的产品和服务,但在个人信息安全等方面急需加强。在维权方面,有超六成的消费者选择向监管机构投诉,向企业投诉的占比为23%。调查还发现,最受消费者关注的是个人信息安全问题,诸如隐私权、保密、安全性等,其次是信息披露和公平问题。

  《个人信息保护法》明确了个人信息保护应遵循的原则和个人信息处理规则,在建立IT治理、管理、技术三个层次及包含多个细分领域的信息安全管理体系,要求从组织、制度、流程、工具层面多管齐下,对数据密级定义、分级、对应保护措施、数据全生命周期保护策略进行明确规定,针对消费者金融信息的收集、存储、传输、使用、共享、销毁等保护要求和操作规范方面进行专门规定,利用大数据模型挖掘分析、识别消费者的敏感信息等,须设立消费者敏感信息人工智能辅助监察系统,从而构筑起有效的消费者信息安全防线。

  此外,《个人信息保护法》还专章规定了个人在信息处理活动中享有的权利,具体包括知情决定、查阅复制、更正补充、撤回同意、请求删除以及要求解释等权利,同时要求个人信息处理者准确完整地向个人告知行使上述权利的方式和程序,并且应建立便捷的个人行使权利的申请受理和处理机制。

  “默认勾选”将违法

  一份针对个人信息安全保护的调查显示,有22%的消费者认为企业可以提供充分保护,43%的消费者认为企业能够提供基本保护,近26%的消费者认为企业缺乏基本保护。此外,在是否遇到过“默认勾选”和“强制授权”的调查中,55%的消费者偶尔遇到,23%的消费者经常遇到,没有遇到过的消费者占比是22%。

  “一般消费者在使用手机注册金融类应用软件时,往往会出现以合同形式发布的相关条款及隐私权政策声明,要求用户同意授权。但大多数人都没有时间或耐心仔细读完这些内容繁多、专业性很强的条款。即便消费者仔细阅读了条款,如果不同意,也就意味着不能使用该软件。因此,这是带有强制性的。”一位资深业内人士对《金融时报》记者表示,这类条款往往过度收集了金融消费者的信息,甚至有不少互联网平台还额外收集了金融消费者的身份信息、交易信息、资产负债信息、诉讼信息、履约信息及履约能力判断信息等。

  “《个人信息保护法》将个人信息分为一般个人信息与敏感个人信息两大类别。而个人金融信息几乎都属于对财产安全有影响的范畴,这意味着对于个人金融信息的处理,将需要按照敏感个人信息的标准来执行,而目前实践中常见的通过弹窗进行‘一揽子’授权的方式需要相应调整。”北京市竞天公诚律师事务所沈成表示,《个人信息保护法》的出台对金融业相关业务带来的影响不可小觑。立法生效后,金融机构对于收集用户个人信息的数据融合“一揽子同意”的规则将被更改,将对金融业机构未来处理个人金融信息带来不小的负担。同时《个人信息保护法》对于个人信息的处理制定了一系列“高标准,严要求”的规则,将对金融业机构现有的经营理念、技术和模式带来变革。

  守护保险消费者信息安全

  近年来,我国互联网保险发展较快,已成为保险销售的重要渠道之一。根据行业数据显示,2020年,我国累计实现互联网保费收入2908.75亿元,其中,寿险保费收入占互联网保险保费收入72.57%,保险渗透率达6.6%。从经营主体数量来看,截至2020年末,全国共有134家保险公司开展互联网保险业务,是2011年的4.8倍,其中,有73家保险公司开展产险业务、61家保险公司开展寿险业务。

  有保险行业专家对《金融时报》记者表示,基于大数据技术的互联网保险业务尽管在一定程度上提高了精准营销和场景化营销的能力,部分流程甚至实现了完全的线上闭环操作,但互联网的开放性与自由性,仍然对获取、传输、储存、处理投保人信息的过程安全产生了极大的威胁。一定程度上导致了目前互联网保险行业经营主体资质良莠不齐、市场秩序混乱,消费者权益保护不到位等诸多风险和隐患。

  面对互联网保险业务出现的超范围收集个人信息、用户信息泄露等突出问题,严重损害消费者权益,也引发了社会广泛关注。

  今年以来,银保监会发布《关于开展互联网保险乱象专项整治工作的通知》《关于规范互联网保险销售行为可回溯管理的通知》,重点整治销售误导、强制搭售、费用虚高、违规经营和用户信息泄露等问题。

  有保险机构人士表示,个人信息保护的立法实施,对于保险行业来说,特别是以区块链技术为背景的互联网保险行业,不仅仅是简单的升级,甚至可能是颠覆性的,其应用所涉及对产品设计、销售、赔付、保险资金运用以及公司内控管理等全部经营流程均产生了一定程度的影响。

  “根据《个人信息保护法》规定,互联网保险机构处理用户信息,不仅要满足一般信息的处理原则,还要符合特定的目的和充分的必要性,并采取严格保护措施。同时,互联网保险机构应在现有的隐私政策或个人信息保护政策的基础上依据监管规定予以改进,根据个人信息的敏感度、重要性和特定险种需要,对于个人敏感信息进行二次梯度分级,差异化设计个人敏感信息的加密方式,以确保信息收集过程中及储存利用过程中的安全性和完整性。因此,各保险机构之间建立数据共享机制与平台将有利于义务的履行及保险消费者权利的保障。”上述行业专家说。

  资料链接:

  2020年6月,中国银保监会发布的《关于规范互联网保险销售行为可回溯管理的通知》中第十七条规定了信息收集使用的合法正当必要原则及关联性原则,即:保险机构开展互联网保险销售行为可回溯时,收集、使用消费者信息应当遵循合法、正当、必要的原则,不得收集与其销售产品无关的消费者信息。   2021年2月1日正式实施的《互联网保险业务监管办法》,针对互联网保险业务中的个人信息保护规定了相关的处理原则,即同意原则、合法正当必要原则。其中,该办法第三十七条及第四十八条第二款明确了保险机构和互联网保险公司应严格按照网络安全相关法律法规建立完善与互联网保险业务发展相适应的信息技术基础设施和安全保障体系,提升信息化和网络安全保障能力;第三十八条规定了保险机构对于客户信息保护的主体责任,收集、处理及使用个人信息应征得客户同意,获得授权,遵循合法、正当、必要性原则。保险机构应建立或者督促提供技术支持、客户服务等服务的合作机构建立有效的客户信息保护制度,未经客户同意或授权,保险机构不得将客户信息用于所提供保险服务之外的用途,法律法规另有规定的除外。

  2020年7月,中国银保监会发布《关于银行保险机构互联网业务系统泄漏客户敏感信息的风险提示》,要求各银行保险机构高度重视,有效防范和应对,确保不发生客户敏感信息泄露事件。

 

责任编辑:原健凇