2024创变领航坚韧致远保险业个人信息治理破局新攻略报告

保险业个人信息治理破局新攻略 引言 1 一、数字化转型时代下保险行业个人信息保护能力建设的难点与挑战2 1个人信息保护与业务发展平衡需要更多关注32个人信息保护治理体系的构建与落地亟待推行43混业经营下的安全流通与合规共享难题54保险行业个人信息保护执法案例与启示6 二、数字化转型背景下对保险行业个人信息保护能力建设的思考与应对9 1外规内化，健全个人信息治理体系102建章立制，体系化增强个人信息管理能力123技术破局，强化个人信息安全合规利用154动态持续追踪，增强运营韧性225盱衡全局，制定特定的推进策略24 结语 26 引言 在当今数字化时代，个人信息的保护已成为各行各业亟待解决的重要问题。保险行业作为处理大量敏感个人信息的行业之一，面临着独特的挑战和责任。随着保险科技的快速发展和数字化转型的推进，个人信息的收集、存储和使用变得更加频繁和复杂，也更容易受到安全威胁。 本报告旨在探讨保险行业个人信息保护所面临的难点与挑战，并提出相应的应对策略和思考。首先，报告从监管要求、治理体系、合规共享等方面对个人信息保护形势进行梳理，剖析保险行业中存在的难点与挑战。其次，报告结合业内实践和先进经验，提出在相关领域的思考，并给出应对策略和推进方法。 通过本报告的研究和分析，我们希望能够为保险行业在数字化转型时代的个人信息保护提供有益的参考和借鉴，助力保险机构更好地应对数字化转型时代的个人信息保护挑战。愿本报告能为保险行业的相关从业人提供有价值的信息与洞见。 一、数字化转型时代下保险行业个人信息保护能力建设的难点与挑战 在可持续增长和业务创新的推动下，数字化转型技术将重塑保险行业的各个环节价值链，从而推动保险保障类型、产品内涵、业务模式和行业生态发生根本性的变革。在这个过程中，会涉及大量个人信息加工和应用，而个人信息备受监管部门、保险机构以及数据主体的重点关注，保险机构如何构建个人信息保护体系，符合监管要求、满足自身业务发展需求、响应数据主体权利诉求，对整个保险行业充满了挑战，需要保险行业深入思考探讨，并积极布局应对策略。 个人信息保护与业务发展平衡需要更多关注 为了维护保险行业的良好秩序和消费者的合法权益，近年来，国家监管部门和行业协会对保险行业的个人信息保护工作进行了严格的规范和监督。《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国民法典》《中华人民共和国消费者权益保护法》等法律法规对个人信息的定义、收集、使用、保存、传输等方面都作出了明确的规定。此外，原中国银保监会还制定并发布了《银行保险机构消费者权益保护管理办法》，下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知（银保监办法〔2022〕80号）》也旨在规范银行保险机构在收集、使用、存储、传输个人信息等方面的行为，以保护消费者的个人信息安全。 区块链等新技术的应用既加速了保险业务的智能化进程，但也会涉及到一系列的个人信息保护场景。例如，利用AI技术进行智能客服、个性化推荐服务时，可能涉及到年龄、性别、健康状况、财务状况等个人信息的使用；区块链驱动的智能合约可以即时授权支付，但也涉及到客户财务账户信息的访问和使用。此外，随着保险机构国际化进程的加速、高水平的对外开放，越来越多的保险机构拓展海外业务，在业务拓展过程中，保险机构也面临不同国家和地区关于个人信息出境的监管要求。在这些过程中，保险机构如果未能妥善处理和保护好个人信息，可能会存在侵犯个人隐私权益、个人信息泄露以及触犯个人信息跨境监管要求等风险。保险机构在使用上述相关技术和拓展海外业务时，需要特别注意个人信息的保护，确保遵守相关的法律法规，进而提高自身的竞争力和可持续发展能力。 从监管趋势来看，保险行业的个人信息保护监管正朝着更加严格和规范的方向发展。监管机构对保险机构的个人信息处理、使用和披露等方面的要求和指引更加明确、更加精细，对保险机构的个人信息保护安全措施和保护政策提出了更高的要求。 因此，保险机构在面临日益完善和精细的监管要求，以及自身业务快速发展过程中的变化，保险机构在个人信息保护合规与业务快速发展之间如何平衡需要投入更多关注。一方面保险机构需要投入更多资源来跟踪监管趋势和变化，及时实现“外规内化”、完善自身防护能力要求。另一方面保险机构还需要在不断创新业务模式和技术应用过程中，落实这些防护能力要求、加强个人信息保护，避免因技术创新而引发新的合规风险。 从保险行业总体发展趋势来看，随着保险科技的快速发展和应用，保险行业的业务发展正朝着数字化、智能化和个性化的方向发展，保险机构越来越注重通过数字化渠道来拓展业务。人工智能（AI）、 个人信息保护治理体系的构建与落地亟待推行 随着保险科技的发展和应用范围的不断扩大，以及保险机构自身在多种业务场景下对个人信息的开发、运用越来越多元化，个人信息保护面临着更多的挑战和风险，为了保障个人信息的合法权益和安全，构建纵向贯穿、横向协同，全方位、多层次的个人信息保护治理模式无疑是个人信息保护重要保障之一，然而这一过程面临诸多影响因素，值得行业深入探讨与思考。 在横向协同方面，保险机构通常涉及核保、理赔、产品开发、市场推广与销售、客户服务与关系管理、信息科技、风险和合规管理等多个部门。在个人信息保护横向协同方面，不同部门在业务目标上存在差异，业务相关部门致力于推动个人信息的收集和应用，以促进业务的高效运营并提供更为优质的客户服务；科技相关部门专注于技术创新和系统的不断优化，为公司的业务运营提供技术支持；合规相关部门专注于确保业务过程中严格遵循监管要求，以保障公司各项经营活动的合规性。因各自目标的差异性以及各部门之间存在沟通不畅的情况，如何平衡部门间个人信息保护工作并实现业务可持续发展成为保险机构的一个难题。 在纵向管理方面，保险机构通常由集团总部、分子公司、区域办事处、营销服务部等多层机构组成。在个人信息保护治理体系设计中，明确不同层级之间的职责和权限至关重要。集团总部应制定个人信息保护政策和策略，监督和管理整个集团的个人信息保护工作。分子公司和区域办事处应执行总部的政策和制度，确保个人信息在本单位的合规使用和管理。营销服务部作为最接近客户的层级，应严格遵循个人信息保护政策，负责收集、处理和存储客户的个人信息，并为客户提供个人信息保护相关的服务和支持。 因此，随着保险科技的发展和保险业务场景的多元化，以及保险机构管理层次复杂、协同业务部门众多，个人信息保护面临更多挑战。构建一套能够贯通上下各组织层级、协同前后各业务环节的个人信息保护治理模式是关键。在纵向贯通方面，保险机构需明确各层级的职责和权限，确保合规使用和管理；在横向协同方面，保险机构需构建跨职能、跨组织的协作机制，指导各部门开展个人信息保护相关活动。 混业经营下的安全流通与合规共享难题 为满足客户日益增长的综合化金融服务需求，保险机构通常通过混合经营模式，将保险产品与其他金融产品或非金融产品进行组合搭配，为客户提供一站式的金融服务。混业经营模式下将集团内部的技术、渠道、人员等资源进行流通、共享，实现优化资产配置，在这过程中个人信息数据也可能被作为一种资源进行整合。 首先，由于个人信息存在特殊性，在个人信息被流通和共享之前，保险机构需要确保客户对个人信息的流通和共享有充分的知情权和选择权，“数据二十条”也提出了不得采取“一揽子授权”或强制同意的方式过度收集个人信息。这意味着保险机构必须明确告知客户其数据将如何被采集、持有、托管和使用，并且在获取客户的明确同意后才能进行相关流通和共享。 与此同时，国家和地方政府层面持续完善数据流通和共享顶层设计和实施意见。相关政策内容中均会提及在安全合规前提下，发挥数据要素流通和共享相关价值，这为保险机构对个人信息数据要素价值的发挥也明确了底线和要求。1）2022年12月，国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”），提出“建立健全个人信息数据确权授权机制”的相关要求。2）2023年6月，北京市印发《关于更好发挥数据要素作用进一步加快发展数字经济的实施意见》，提出“推进建立个人数据分类分级确权授权机制，允许个人将承载个人信息的数据授权数据处理者或第三方托管使用，推动数据处理者或第三方按照个人授权范围依法依规采集、持有、使用数据或提供托管服务。”3）2023年7月，上海市印发《立足数字经济新赛道推动数据要素产业创新发展行动方案（2023—2025年）》“建立数据分类分级保护制度，制定重要数据目录，严格实施个人信息保护。”因此，在混业经营模式下，个人信息要素在不同业态、不同层级机构下的流通和共享，给保险机构也带来了一些管理难题。 其次，个人信息主体还可以主张其他相关权利，如知情权、拒绝权等，例如在个人信息主体申请使用个人信息主体权利进行退保，查阅等服务时，保险机构理应受理个人信息主体的申请，通过平台处理或者人工受理的方式，解决个人信息主体提出的要求，这意味着保险机构在收集、处理和使用这些个人信息时，需要在各个环节保障个人信息主体权利。这对保险机构来说，无疑增加了合规的难度和成本。 最后，个人信息数据作为数据要素流通时，还应在数据分类与权属界定方面提高重视，“数据二十条”提出了数据资源持有权、数据加工使用权和数据产品经营权的“三权”分置的结构性产权制度框架。这就要求保险机构在生产经营过程中，对所控制的个人信息数据进行清晰的分类和权属界定，确保个人信息数据的合法来源和使用。 总的来说，为了在混业经营模式下，实现个人信息数据安全流通、合规共享，不仅需要考虑保险机构自身的管理规范和技术措施，还需要提高对个人信息主体权力的关注，确保在安全合规的前提下，实现个人数据要素的流通共享。 保险行业个人信息保护执法案例与启示 国家金融监督管理总局与个人信息相关的行政处罚中出现频次较高的违法类型主要为：员工侵犯公民个人信息和利用职务泄露客户信息、未经授权或者超出授权范围收集、使用、保存、传输个人信息；未履行告知义务或者未取得同意；未采取必要的安全措施，导致个人信息泄露或者被非法获取；未按照规定报告网络安全事件；未按照规定配备网络安全管理人员和技术人员等。部分相关监管处罚情况请参加下表： 在相关法律法规和监管规则的指导下，各相关监管机构开展对各自领域内的个人信息采集、使用、处理、加工等环节进行个人信息保护合规检查，并对相关违规行为进行通告处罚，从处罚结果情况来看，处罚体系具有全面性和严格性，既对个人也对组织进行惩罚，既有行政处罚也有金额处罚，需要引起保险机构高度重视。 除此之外还有其他监管机构的处罚案例也值得引起行业关注，中国人民银行与个人信息相关的行政处罚中出现频次较高的违法类型主要为：未经授权查询个人信息；未建立以分级授权为核心的金融消费者信息使用管理制度，未准确披露因金融产品或者服务产生纠纷的处理及投诉途径；信息使用授权审批程序不规范；金融消费者投诉处理信息报送不及时。中华人民共和国工业和信息化部及中央网络安全和信息化委员会办公室与个人信息相关的行政处罚中出现频次较高的违法类型主要为：应用分发平台上的APP信息明示不到位；违规互联网弹窗信息推送服务；欺骗误导强迫用户；超范围收集个人信息；违规收集个人信息；APP强制、频繁、过度索取权限；收集个人信息明示、告知不到位；强迫收集非必要个人信息；违规使用第三方服务。 这些个人信息保护的处罚案例，无疑为整个保险行业敲响了警钟。这并不仅仅揭示了某些保险机构在个人信息处理中的失误和不当行为，更深层次的是，也反映了保险行业在个人信息保护方面普遍存在的问题和隐患。这些问题可能源于管理的不完善，也可能是技术上的疏漏，抑或是员工对个人信息保护意识的缺乏。但无论如何，这些问题的存在都使得客户的个人信息面临被泄露或滥用的风险，从而损害了客户的权益和信任，进而对保险机构的声誉造成损失，甚至是带来法律赔偿责任。 二、数字化转型背景下对保险行业个人信息保护能力建设的思考与应对 外规内化，健全个人信