保险业数据合规系列解读之三——保险业数据合规主要场景及合规要点

前一篇解读中（详见：保险业数据合规系列解读之二——保险业数据合规的法律体系），我们详细梳理了保险业数据合规的法律体系，特别是个人信息保护相关法律体系。同时，我们理解保险公司作为重要的金融服务提供者，在风险保障、服务优化和产品创新的过程中，需广泛收集并处理大量个人信息。这些信息不仅限于投保人的基本身份数据，还包括涉及个人隐私的健康状况、财务信息、财产登记及历史索赔记录等敏感个人信息。依法合规地管理和保护这些个人信息，不仅是保险公司履行法律责任的基本要求，也是增强客户信任、提升服务质量、维护市场声誉的重要保障。

近年来，《个人信息保护法》《网络安全法》《数据安全法》以及《网络数据安全管理条例》等相关法律法规的出台和实施，进一步对保险公司在个人信息的收集、使用、存储和传输等方面提出了更为严格的要求。本文将在前期解读的基础上，结合现行法律法规的规定，系统梳理保险公司在投保、核保、理赔及客服等关键环节中涉及的个人信息处理要求，并重点分析在实际操作中的合规义务和挑战，为保险行业数据合规实践提供参考。

个人信息保护涉及保险的各个环节，在投保申请阶段，保险公司需要进行初步风险评估，根据客户提供基本的个人信息或财产信息，判断客户的风险水平。基于评估结果，保险公司会给出一个初步的保险方案和报价，客户确认保险方案后，再正式填写投保申请表提供详细的个人信息。因此，在投保申请阶段个人信息收集的合规问题较为显著。根据人身保险与财产保险的不同性质，保险公司在收集个人信息时也有所区别。对于人身保险，所收集的个人信息主要关注投保人的健康状态、财务状况、生活方式以及职业风险，目的是为了评估投保人未来可能面临的疾病、意外等风险。而对于财产保险，所收集的个人信息则主要围绕财产本身，包括财产的价值、登记信息以及投保人的历史索赔记录等。

1. 告知相关合规要求

（1）告知内容

一般而言，根据《个人信息保护法》第17条的相关规定，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使本法规定权利的方式和程序等。

在此基础上，保险公司应当充分结合自身的业务实践，履行《个人信息保护法》中针对部分特殊场景的特殊告知义务。具体包括：其一， 无论在人身保险还是财产保险的场景下，其均涉及注入投保人的健康状况以及财务状况等敏感个人信息，因此应当根据《个人信息保护法》第30条之规定，在前述一般个人信息处理规则的告知基础上，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；其二，若部分保险公司基于其全球化的经营策略，在实践中存在向境外（包括港澳台地区）传输投保人个人信息的，则应当根据《个人信息保护法》第39条之规定，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，即向投保人充分告知向境外传输的相关规则；其三，保险公司存在与诸多第三方合作的业务场景，基于不同合作模式与商业策略，我们理解在个人信息处理关系的认定中一般而言可能存在向其他个人信息处理者提供个人信息以及委托第三方开展个人信息处理活动这两种关系。一方面，若属于向个人信息处理者提供个人信息情形的，应当根据《个人信息保护法》第23条之规定，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类；另一方面，若属于委托第三方开展个人信息处理活动的，尽管《个人信息保护法》中并未对该模式的告知义务进行增强型约定，但结合当前的监管与行业时间，公司宜将委托第三方开展个人信息处理活动作为其针对个人信息的处理方式进行披露；其四，若涉不满十四周岁未成年的，则保险公司还应当根据《个人信息保护法》第31条之规定制定专门的个人信息处理规则；其五，现部分保险公司已使用自动化决策工具以协助投保业务的开展，则应当保证该自动化决策的透明度和结果的公平公正。

（2）告知形式

我们理解当前的行业实践已有较为成熟的面向投保人进行告知具体个人信息处理规则的形式。一般而言整体分为线上与线下两种告知形式。

就线下告知形式而言，作为一种相对较为传统的告知形式，行业内亦在不断优化具体的业务流程，以保证投保人作为个人信息主体可更为明确地知晓针对其个人信息的具体处理规则。一方面，投保人在投保阶段会被要求签署诸如《个人信息处理告知同意书》等书面文本，其中详细说明了相关处理规则；另一方面，相较于线上形式，通过线下等书面文本进行告知过程中，保险公司工作人员可在投保流程引导时针对部分重要的个人信息处理环节的处理规则进行当面提示，强化履行保险公司作为个人信息处理者的告知义务，也同样有利于保护与实现投保人的知情权。

就线上告知形式而言，我们理解现有的保险公司为了便捷后续的保险流程以及提供其他增值服务，会向投保人提供App等线上渠道。即保险公司可在投保人注册、登录相关App等环节中向其展示诸如《隐私政策》等文本，以详细地展示个人信息处理规则。特别应注意的是，在2021年工业和信息化部在《关于开展信息通信服务感知提升行动的通知》首次提出“双清单”的要求后，近日公布的《网络数据安全管理条例》对该要求进行了进一步明确。具体而言，保险公司在其App中应当分别就其“已收集个人信息清单”与“与第三方共享个人信息清单”进行简洁与清晰地列明。

2. 合法性基础相关合规要求

《个人信息保护法》第13条中明确了七种处理个人信息合法性基础的情形，结合保险公司在保险业务的具体实践，我们理解保险公司处理投保人个人信息的合法性基础来源一般来自“取得个人的同意”以及“为订立、履行个人作为一方当事人的合同所必需”。

（1）取得个人的同意

一般而言，保险公司作为个人信息处理者在取得投保人的同意时，可通过要求其对相关告知个人信息处理规则的文本进行勾选或签名的形式予以实现。

特别地，根据《个人信息保护法》中的相关规定，当涉及向其他个人信息处理者提供个人信息、向境外提供个人信息以及处理敏感个人信息时需取得单独同意。对此，我们一般建议保险公司可提供专门的告知同意文本（如专门针对敏感个人信息处理的告知同意书文本等）以获得单独同意，或在充分告知的前提下在勾选处设立独立的勾选框，以对前述需获得单独同意的事项获得单独同意。

（2）订立、履行个人作为一方当事人的合同所必需

除获得投保人作为个人信息主体的同意/单独同意外，考虑到保险公司收集投保人的个人信息为向投保人提供保险服务，因此保险公司有一定空间可主张其收集与处理投保人的个人信息为订立、履行投保人作为一方当事人的合同所必需而无需取得个人同意。

对此，我们仍需特别提示注意的是，一方面，保险公司应注意无需取得同意的个人信息处理活动的对象仅为合同的一方当事人。我们理解在保险业务中有多个角色，如投保人、被保险人、受益人、保险经纪人等等，但一般与保险公司直接签署协议的主体为投保人，因此针对其他保险业务中涉及收集的个人信息对应的主体，保险公司仍应按照相关要求取得其同意/单独同意；另一方面，保险公司还应确保处理相关个人信息为履行合同所必需，举例而言，若保险公司在提供一般保险业务后，拟向投保人进行相关的商业营销活动的，我们理解可能会超出一般的保险业务之基本范围，因此有可能被认定为不属于“必需“的情形，即保险公司还需进一步就该处理目的获得投保人的同意。

综上而言，尽管保险公司有一定空间可主张为“履行合同所必需”而不取得个人的同意，但出于审慎合规之考量，我们建议保险公司同步通过获得个人的同意的方式夯实合法性基础，以免引发不必要的合规风险。

核保是保险公司在投保申请阶段对客户提交的信息进行审核的过程，其目的在于评估投保人的风险，并据此决定是否承保、如何定价、是否附加特殊条款等。在核保过程中，核保人员需审查客户提供的个人信息，确保其真实性和完整性，并据此评估可能的保险风险。此外，保险公司在核保过程中可能会将部分个人信息共享给外部合作伙伴。例如，在人身保险领域，保险公司可能会将客户的健康信息传递给合作的体检中心。而在财产保险领域，为了核实客户的财务状况或信用状况，保险公司可能会从外部机构获取或验证客户的信用记录及其他相关个人信息。同时，在核保过程中可能涉及自动化决策用于评估风险并确定保费，特别是在一些标准化的保险产品中，如车险、家庭财产险或一些基础人身保险。

1. 个人信息交互相关合规要求

在核保过程中，保险公司不可避免地与第三方存在个人信息交互活动，其中亦根据不同的业务模式需符合相应的合规要求。

在向其他个人信息处理者提供个人信息的业务场景下，如前介绍，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；在委托处理的业务场景下，除一般的告知同意义务外，保险公司应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。对此，我们建议对该部分个人信息保护的相关规则宜在双方的业务协议中予以明确，并清晰划分双方的权利义务。

对此，根据《个人信息保护法》第53条第（三）款相关规定，个人信息处理者在委托处理个人信息、向其他个人信息处理者提供个人信息前应当事前进行个人信息保护影响评估，并对处理情况进行记录。一般而言评估的内容需包括个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应。特别地，《网络数据安全管理条例》第28条中进一步要求，网络数据处理者处理1000万人以上个人信息的，还应当遵守本条例对处理重要数据的网络数据处理者作出的规定。

2. 自动化决策相关合规要求

首先，《个人信息保护法》中提供了自动化决策的定义，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。因此，保险公司应当首先判断其在业务过程中是否存在开展自动化决策活动的场景。在确定存在相关自动化决策活动后，则保险公司应充分履行《个人信息保护法》第24条中的相关合规义务。

其一，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。除前述针对告知部分的义务外，还主要对算法部分进行了合规要求，如在保险业务中提供给投保人的保费等信息应当公平、公正。

其二，向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。现行保险业务中向个人进行商业营销是最常见的行业实践之一，在此基础上向个人提供便捷的拒绝方式也是当前监管实践中较为关注的事项之一，保险公司应对该部分合规义务予以重视。

其三，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。针对该部分需要提示公司注意的是，尽管自动化决策也极大程度地提高部分业务流程的效率，但保险公司仍应设置或安排具体的工作人员参与对重要事项与决策的复核，并响应个人信息主体对自动化决策工作部分的问询或其他个人信息权利的行使。

在保险理赔过程中，涉及对多种个人信息的处理，包括但不限于个人信息的收集、传输以及可能的自动化决策过程。具体而言，在理赔阶段，保险公司将收集必要的个人信息，以核实理赔请求的真实性。此类个人信息可能需要在包括医疗机构、鉴定机构以及其他外部机构（例如保险协会、大数据公司等）之间进行共享和交互。同时，理赔过程中的个人信息也可能被用于用户画像构建，保险公司可能会基于客户的理赔历史记录和个人财产信息等，对保费进行调整，或向客户推荐适合的保险产品。例如，对于健康保险的客户，保险公司可能会根据其理赔历史和个人健康状况，推荐升级保障或其他附加险种，以满足客户的个性化需求。

在理赔阶段的个人信息合规要求与投保信息收集阶段个人信息收集的合规要求类似，个人信息处理者在处理个人信息前应遵循告知内容、告知形式等合规要求，并具有处理个人信息的合法性基础。

1. 用户画像构建相关合规要求

在理赔阶段中，保险公司可能会通过收集客户的行为数据、理赔信息等个人信息，形成特征模型，进而构建用户画像。同时，保险公司可能会在特定情况下将用户画像与第三方共享，以实现业务目标。以下是保险场景下向第三方共享用户画像的典型场景：

我国并不禁止用户画像的共享，信息共享的过程也最大程度上发挥了数据价值。但在与第三方共享用户画像时，保险公司除需遵循核保阶段关于自动化决策相关的合规要求外，应尤其注意与第三方关于用户画像共享的合规要求。

首先，在共享用户画像时，共享方和接收方都应真实、准确、完整地向用户的告知并保障用户各项权利。根据《个人信息保护法》第23条，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。也就是说，在理赔阶段，保险公司若构建了被保险人、投保人的用户画像，在向其他第三方共享用户画像前，需要确认已告知客户关于用户画像处理的预期用途和后果，并取得单独同意。

其次，保险公司应确保个人信息主体的充分知情基础上做出的同意，同时需留意共享用户画像时的个人信息范围不可超出收集时告知和个人同意的范围。尤其是在当今这个信息化时代，保险公司通过内嵌SDK进行用户画像及相关个人信息共享时，由于SDK通常无法独立展示前台页面，保险公司在向用户告知嵌入SDK共享的接收方名称、个人信息种类、处理目的和方式时，建议向用户提供向第三方提供的信息共享清单，以充分保障用户知情权。

最后，在不涉及个人原始信息共享的情况下，如果保险公司与第三方交换的是经过处理匿名化后的用户画像数据，由于这些数据已经去除了个人信息，无法用于识别或关联特定用户，则不涉及上述合规义务的履行。

2. 敏感个人信息相关合规要求

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。原则上，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。《个人信息保护法》第二章第二节规定了针对敏感个人信息的处理规则（即第28至32条），其主要包括敏感个人信息的定义、敏感个人信息的告知同意规则等内容。

除《个人信息保护法》外，《非银行支付机构网络支付业务管理办法》、《银行保险机构数据安全管理办法》（征求意见稿）等规范性文件亦明确了需要强化保护敏感个人信息。

首先，对保险公司而言，保险公司应加强敏感个人信息识别。《网络安全标准实践指南——敏感个人信息识别指南》提出了敏感个人信息的识别规则，符合以下任一条件的个人信息，应识别为敏感个人信息：

其次，对于敏感个人信息存在其特殊的保护规则，具体而言，处理敏感个人信息（如健康状况、财产信息）必须取得用户的明示且单独同意。如处理目的、方式、范围发生变化，需再次取得用户同意。保险公司处理敏感个人信息需具有明确的处理目的并遵循最小必要原则，在理赔阶段应只收集实现处理目的所必需的敏感个人信息，避免过度收集，并仅为核实理赔请求真实性等明确目的处理敏感个人信息，不得超出既定目的使用。同时，保险公司应加强敏感个人信息安全保护措施，对敏感个人信息进行加密存储和传输，防止泄露和未授权访问，在与医疗机构、鉴定机构等第三方共享敏感个人信息时，还应通过合同等方式要求第三方具有合法资质和足够的安全保护能力。

最后，《银行保险机构数据安全管理办法（征求意见稿）》遵循《个人信息保护法》第55条关于处理敏感个人信息应当事前进行个人信息保护影响评估，对保险公司处理敏感数据提出了更明确的要求。保险机构在处理敏感级及以上数据的业务活动时，应当事先开展数据安全评估。数据安全评估应当根据数据处理目的、性质和范围，按照法律法规和伦理道德规范要求，分析数据安全风险和对数据主体权益影响，评估数据处理的必要性、合规性，评估数据安全风险及防控措施的有效性。

值得注意的是，在保险公司展业过程中，客服人员不仅需要为客户提供服务和解答咨询的职责，而且在个人信息保护领域也承担着部分的合规责任，尤其在个人信息主体权利响应和权限控制两方面。在个人信息权利响应方面，客服是客户与保险公司之间的桥梁，帮助客户行使其个人信息主体权利，确保权利响应合法合规。在权限控制方面，客服人员的权限亦需严格管理，以确保最小化数据风险、避免不当访问，并保障敏感个人信息的合规处理。

《个人信息保护法》第四章规定“个人在个人信息处理活动中的权利”，形成了以知情权为核心基础，查阅权、复制权、异议权、更正权、删除权和可携带权为散射交叉权能的权利体系。法律赋予个人信息主体享有针对个人信息处理者可行使的一系列权利，旨在防止对于个人信息的不当收集、不当使用、信息瑕疵或错误以及影响信息自主决定等而导致的不利评价或侵害。对保险公司而言，为了有效响应用户的个人信息权利要求，保险公司可以从以下几个方面进行：

首先，保险公司可建立个人信息保护制度，符合《中华人民共和国个人信息保护法》等相关法律法规的要求，明确用户的各项权利及公司义务。在制度中应详细规定客户个人信息权利请求的受理、审核、处理和反馈流程，确保每个环节都有据可循。并通过制度文件成立专门的个人信息保护及数据合规部门（如法务部、合规部或科技信息部），负责客服部门的日常运营管理，确保个人信息主体权利响应流程的合法合规。

其次，保险公司可建立完善的权利请求响应体系。在用户提出请求时，采用安全可靠的身份验证方式，避免响应错误的主体的错误权利请求。同时，保险公司可开发专门的系统或模块，用于接收、记录和跟踪用户的个人信息权利请求，提高权利响应的效率和准确性。

最后，保险公司可定期对客服人员进行个人信息保护相关法律法规的培训。培训客服熟练掌握处理用户请求的流程和技巧，包括系统操作、应急处理等。同时，根据不同类型的用户请求（包括查阅、复制、更正、删除、撤回同意等），编制规范的标准话术，确保权利响应处理的准确性和一致性。

转载声明：好文共赏，如需转载，请直接在公众号后台或下方留言区留言获取授权。

封面图源：画作·林子豪