保险业企业个人信息出境合规实践新研究

2021年1月1日起实施的《中华人民共和国民法典》将人格权独立成编，其中“隐私权和个人信息保护”专章标志着我国个人信息保护进入新阶段，为后续《中华人民共和国个人信息保护法》的颁布奠定了基础。在互联网时代背景下，个人信息已成为各行各业发展的核心资源，对保险公司尤为关键。

保险业务建立在大量消费者个人信息的收集、储存和加工之上，包括疾病史、金融账户等敏感信息。保险公司掌握的个人信息数量庞大，且随着数字化转型和跨境业务的扩展，个人信息跨境传输成为常态。然而，这带来了更大的保护挑战。

首先，不同国家和地区的法律法规对个人信息保护的要求存在差异。有些国家和地区对个人信息的保护程度较高，严格限制出境；而有些则相对宽松。这种差异可能导致法律冲突，给跨境业务带来法律风险。

其次，保险业的个人信息性质特殊、范围宽泛，涉及个人隐私与信息安全问题。保险公司收集的个人信息包括姓名、性别、年龄、身份证号等基本信息，以及健康、婚恋、财产、教育背景等敏感信息。这些信息一旦泄露或被篡改，将给客户带来严重损失。

最后，个人信息出境涉及成本问题。为保障信息安全，保险公司需要投入额外的资金和技术支持，签订协议等措施也需要耗费时间和人力成本，给保险公司带来经济压力。

综上所述，个人信息是保险行业存续不可或缺的支持因素，对个人信息进行充分保障是保险从业机构行稳致远的关键。为此，保险公司需加强内部安全管理，提升技术防护能力，确保个人信息在跨境传输中的安全性和合规性。同时，积极与国内外监管机构沟通合作，共同构建个人信息保护的国际合作机制，以应对全球化背景下的个人信息保护挑战。

（一）欧盟

欧盟在个人信息跨境流动上坚持同等或对等保护原则，要求接收国的数据保护水平达到欧盟标准。欧盟通过《通用数据保护条例》（GDPR）等法规，明确了跨境数据传输的合法路径，包括：

1.充分性认定：欧盟委员会认定达到足够数据保护水平的国家和地区，允许数据流向这

些地区。

2.标准合同条款：欧盟委员会发布的标准合同条款，用于保障数据从欧盟向境外传输的安全。

3.约束性公司条款：跨国企业制定的数据保护政策，确保个人数据在欧盟以外地区的安全传输。

4.行为准则：数据接收方承诺遵守特定行为守则，以保护接收的来自欧盟的个人数据。

5.其他情形：包括认证机制和豁免等，为数据跨境传输提供多样化的机制工具包。

（二）日本

日本以《个人信息保护法》为基础，构建了个人信息保护的法律框架。日本个人信息保护委员会负责监管个人信息处理活动，确保个人信息得到妥善处理。个人信息出境方面，原则上应事先取得个人信息主体的同意，并告知接收方所在国的个人信息保护制度等信息。特殊情况下，如向白名单国家出境个人信息、向已建立符合日本法规定保护标准的接收方出境个人信息，或存在七种无需取得信息主体同意的除外情形，个人信息可合法出境。

（三）新加坡

新加坡的《个人数据保护法》及其实施条例构成了个人信息保护的国内法律体系。对于跨境传输的数据，新加坡要求机构建立个人信息保护标准，确保被传输的数据得到与新加坡法律相当的保护。同时，新加坡承认APEC CBPR体系和APEC PRP体系在新加坡境内的有效性，通过这两个体系认证的企业，可视为满足新加坡法律对数据传输接收方的合规要求。此外，新加坡个人数据保护委员会可根据机构的申请，通过书面通知豁免机构跨境合规义务。

为强化个人信息的安全与隐私保护，我国出台了《个人信息保护法》，对个人信息出境行为进行了严格规定。该法要求个人信息处理者在向境外传输信息前，必须向信息主体全面披露接收方的信息、处理目的、方式等，并征得个人单独同意。此外，还明确了四种适用于全行业的个人信息出境途径，包括安全评估、个人信息保护认证、标准合同以及法律法规规定的其他条件。

随着2022年9月相关实施细则的陆续出台，个人信息出境的具体操作路径得到了进一步明确。保险行业作为个人信息处理的重要领域，其监管部门也积极响应，出台了一系列规定与文件，以加强个人信息保护。

原银保监会发布的《银行保险机构消费者权益保护管理办法》要求，银行保险机构在合作处理消费者个人信息时，必须在合作协议中明确数据保护责任、保密义务等，并通过加密传输、安全隔离等方式防范数据泄露风险。同时，原银保监会还下发了专项整治工作的通知，列举了保险行业在个人信息处理生命周期中可能存在的侵害权益行为，包括未经合法程序向境外提供个人信息等。

为规范保险销售行为，国家金融监督管理总局发布了《保险销售行为管理办法》，要求保险公司、保险中介机构按照合法、正当、必要、诚信的原则收集处理个人信息，并加强对合作机构的信息处理行为管控。

针对上海地区，原上海银保监局印发了《上海银保监局关于上海银行业保险业数据合规的指导意见》，旨在引领银行业保险业树立数据合规理念，加强数据治理，推进数字化转型，同时确保不发生系统性风险。

此外，尚处于征求意见阶段的《银行保险机构数据安全监管办法》也对个人信息出境进行了明确规定，要求银行保险机构在跨境传输个人信息时，必须向个人信息主体履行告知义务，并明确跨境数据包括在境内运营中收集和产生的重要数据和个人信息。

综上所述，我国监管部门对保险行业个人信息保护高度重视，通过出台一系列规定与文件，积极推进行业对数据与个人信息合法合规处理。这些措施不仅有助于保护个人信息主体的权益，还促进了保险行业的健康发展。未来，随着数字化转型的深入推进，个人信息保护将面临更多挑战，监管部门和保险行业应继续加强合作，共同构建更加完善的个人信息保护体系。

无论是从个人信息处理者出境前的自评估、标准合同备案与申报流程的角度看，还是从不同出境途径的界定标准视角分析，《个人信息保护法》以及后续出台的执行细则，对个人信息的出境规定比较严格。这些严格的规定给各家公司的实践操作带来不少压力与困难。《个人信息出境标准合同办法》正处于整改期，国家互联网信息办公室于2023年9月28日就《规范和促进数据跨境流动规定（征求意见稿）》公开征求意见，并于2024年3月22日公布了《促进和规范数据跨境流动规定》正式稿（以下简称《新规定》）。以下文章分析内容均以《新规定》为基础。《新规定》对数据出境监管的标准进行了一系列调整。这一举动引发社会各界，特别是有数据出境活动主体的高度关注。本文以下内容均围绕《新规定》展开，并通过对比原规定与《新规定》，分析其变化趋势（见表1）。

《新规定》与原个人信息保护出境规定，主要区别体现在上述表格中。可以看到，《新规定》这些变化有利于为保险企业合规工作减负，但仍需关注以下要点：

（一）预估准确性与监测及时性

《新规定》强调未来出境数作为判断依据，要求保险企业提高预估准确性和监测有效性。

如何提高预估的准确性？首先，保险企业需要持续关注市场动态，尤其关注与出境业务相关的政策变化和行业趋势；其次，要深入了解客户的需求和行为模式，以便更准确地预测未来的出境数量；最后，可以通过建立数据模型和引入先进的分析工具提高预测的精度。

在预估出境数量的同时，保险企业需要考虑如何进行有效地监测。由于业务场景和渠道多样化，与境外的联络方式和涉及的部门各不相同，确保对预估出境数量进行有效管控显得尤为重要。为了实现这一目标，保险企业需要在制度和流程方面进行精心设计。具体而言，企业需要建立一套完善的报告机制，确保所有个人信息出境的情况都能被及时、准确地掌握。此外，需要加强对相关人员的培训和意识教育，提高其对个人信息保护的重视程度。

（二）出境必要性判断

《新规定》明确了几种无须通过法定途径出境的情形，但保险企业仍需审慎判断个人信息出境的必要性与合理性。

需要注意的是，这些情形并非对所有类似情况均松绑，保险企业在实践过程中仍然要注意个人信息出境的必要性与合理性。在保险行业中，如何判断哪些业务场景属于为履行“保险合同”所必需，将个人信息提供至境外的情形呢？笔者认为，一般情况下有两项判断标准：客户是否为境外客户，保险标的是否在境外。在这两项判断标准下，应当本着具体问题具体分析，根据实际情况进行合理判断的基本原则展开。

关于“人力资源管理”，不能简单将其理解为可由境外集团公司代替境内公司对该公司员工进行人事管理，从而将员工及其紧急联络人等个人信息全部提供给境外公司，这里应从“最小必要”原则出发，谨慎对待员工个人信息的出境。

关于“紧急情况下为保护自然人的生命健康和财产安全”，通常情况下，为了让求助客户第一时间获得救援，保险企业会将其救援服务外包给相关的外部供应商，供应商需要核对客户的身份信息。为此，保险企业会事先将全量客户信息提供给服务供应商。事实上，真正需要救援的客户数量或许仅占全部客户总数的不到10%。因此，在这种情况下，保险企业有必要合理调配业务关系，尽可能做到最小数量合理出境。

综上所述，保险企业在适应《新规定》要求的过程中，需不断提高预估准确性和监测有效性，审慎判断个人信息出境的必要性与合理性，确保业务合规性和持续性。这有助于提升企业的竞争力和市场地位，实现长期稳健发展。同时，保险企业还应持续关注监管动态，灵活调整合规策略，以应对不断变化的市场环境。

如上所述，由于保险企业的业务场景繁杂、产品与客户类型多样，以及保险行业的国际化特点，保险企业不可避免地出现个人信息出境的情况。如何根据法律法规的要求合法合规地出境，对保险企业的运营具有重要影响。下文，笔者从实践角度，介绍个人信息出境工作中保险企业应当注意的问题。

保险企业因业务复杂、产品多样及客户类型广泛，加之国际化运营特点，个人信息出境成为常态。为确保合法合规，以下从实践角度出发，概述保险企业在个人信息出境工作中应关注的几个关键点。

（一）出境场景排查与数量统计

保险企业需全面排查所有个人信息出境场景，并精确统计出境数量，以选择最合适的出境路径。

1.全面摸排：建议在全公司范围内开展个人信息出境情况摸排，避免遗漏。一些部门可能自认为不处理个人信息，但深入调查后可能发现实际情况与预期有偏差。

2.术语解释：在排查前，向业务部门解释“个人信息”、“出境”等法律专有术语的定义与范围，以减少误解和误差。

3.数量统计：统计个人信息出境数量时，可采用“计人头”方式，即同一个人信息主体在单个统计周期内多次出境，仅计算为一条个人信息出境。同时，需区分一般个人信息与敏感个人信息，如保单号是否构成个人信息及是否属于敏感个人信息，需综合考量。

（二）提升沟通效率

由于境内外文化差异，提升与境外接收方的沟通效率至关重要。

1.背景介绍：向境外方提供必要的法律法规背景介绍，帮助对方建立心理预期和初步认知，明确个人信息保护要求及境外方责任。

2.问卷设计：设计问卷时，采用选择题或判断题形式，减少歧义；解释专业法律名词，确保准确可读；提供具体实例，帮助理解。

（三）出境必要性探究

保险企业需对现有个人信息出境情况的必要性与合理性进行判断。

1.参考规范：参考《信息安全技术数据出境安全评估指南》等文件，判断出境是否必要。

2.主动审查：内部部门应主动审查过往出境情况，探究出境原因，判断合理性及必要性。

3.沟通协商：与境外方沟通，了解其取得个人信息的理由及必要性，探讨停止或减少出境的可能性。

（四）评估报告撰写

撰写个人信息出境评估报告时，需注意以下几点：

1.遵循指南：严格按照《数据出境安全评估申报指南》等文件要求，安排报告架构与顺序。

2.通俗易懂：使用通俗易懂的语言，避免过于专业的术语，必要时进行解释或提供全称。

3.引用法规：适当引用行业法律法规和监管规定，增强报告权威性和说服力。

4.读者导向：针对审批人（如网信办工作人员）的实际情况进行内容安排，提供背景介绍和通俗化解释。

5.技术措施说明：涉及技术措施时，提供背景介绍和功能说明，帮助读者理解其重要性和作用。

综上所述，保险企业在个人信息出境工作中，应全面排查场景、精确统计数量、提升沟通效率、探究出境必要性，并规范撰写评估报告，以确保合法合规运营。

笔者研究了保险业个人信息出境的合规实践，涉及背景、挑战、国内外法规及最新实践，强调其对信息权益保护、企业经营活动、国家安全与公共利益的重要性。保险业企业在个人信息出境时，需遵守相关法规和合规要求，采取有效措施保障信息安全和隐私。同时，应加强对法规政策的学习与理解，灵活运用并提升安全措施，确保业务合规性和持续性。通过提升合规意识和风险管理能力，保险业企业能在市场竞争中立于不败之地，保障消费者合法权益，维护国家安全。