本文相关作者 | 袁开宇、胡光健、李妍、陈洋、岳虹

消费者的个人信息安全与隐私权利一直是保险消费者权益保护工作的重点。《中国保监会关于加强保险消费者权益保护工作的意见》（保监发〔2014〕89号）以及《国务院办公厅关于加强金融消费者权益保护工作的指导意见》（国办发〔2015〕81号）均强调，保险公司要保障消费者的信息安全。随着《个人信息保护法》的实施，保险机构的消费者个人信息保护工作也得到了前所未有的关注和细致的指引。近期发布的《银行保险机构消费者权益保护管理办法（征求意见稿）》更是以一章的篇幅对消费者个人信息保护作了专门规定。本文将从信息处理规则、技术能力要求和制度建设三个方面对目前的消费者个人信息保护合规要点作梳理与总结。

一、个人信息保护相关规定的历史沿革

个人信息保护相关法律制度可追溯至2009年《中华人民共和国刑法修正案（七）》（中华人民共和国主席令第10号）的出台，非法出售个人信息的行为首次被纳入刑法规制。

2012年，《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次提出：“收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。”

2013年，《电信和互联网用户个人信息保护规定》（中华人民共和国工业和信息化部令第24号）规定了电信业务经营者和互联网信息服务提供者收集使用个人信息的规则。

2014年，《中华人民共和国消费者权益保护法》（2013修正）正式实施，增加了消费者个人信息保护的规则。《中国保监会关于加强保险消费者权益保护工作的意见》（保监发〔2014〕89号）第二条第（九）项要求保险公司保障消费者的信息安全，收集个人信息要征得消费者同意，确保记录的消费者个人信息完整、真实、有效，同时采取有效技术手段防止消费者信息被泄露。

2015年，《中华人民共和国刑法修正案（九）》（中华人民共和国主席令第30号）加强了对个人信息相关犯罪行为的打击力度。《国务院办公厅关于加强金融消费者权益保护工作的指导意见》（国办发〔2015〕81号）第三条第（十）项要求金融机构采取有效措施加强对第三方合作机构的管理，严格防止消费者个人信息泄露。

2017年，《中华人民共和国网络安全法》正式实施，明确了网络运营者的个人信息保护义务。2018年正式实施的《信息安全技术 个人信息安全规范》（GB/T35273-2017）和2020年中国人民银行发布的《个人金融信息保护技术规范》（JR/T0171-2020），为金融机构个人信息处理提供了更明确的操作指引。

2021年，《中华人民共和国民法典》施行，个人信息权益得到了民事基本法律制度的正式承认，为后续个人信息保护相关立法提供了正当基础。随后，《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》（下称“《个人信息保护法》”）通过并施行，我国个人信息保护立法日益成熟和完备。

2022年，银保监会发布的《银行保险机构消费者权益保护管理办法（征求意见稿）》从收集、使用、传输消费者个人信息等方面，对银行保险机构保障消费者信息安全权作出了更详细的规范和指引。

回顾个人信息保护相关规定的历史沿革可以发现，《个人信息保护法》在吸收此前立法要旨的基础上提出了更新的、更为详细的个人信息保护规则，是保险机构处理个人信息应首要关注的法律；而《信息安全技术个人信息安全规范》、《个人金融信息保护技术规范》等标准则为保险机构落实个人信息保护相关规定提供了更具体的指引。因此，后文的分析主要从这几个文件展开。

二、信息处理的规则

针对具体的信息处理活动，《个人信息保护法》规定了个人信息处理的一般原则，包括合法、正当、必要、诚信、目的明确、最小必要、公开透明等原则。除此之外，《个人信息保护法》还提供了详细的个人信息处理规则，明确了个人信息处理者和信息主体的权利义务。其中，保险机构在销售中需要特别关注的环节是：

1. 信息收集

保险机构为营销推介、核保或其他目的收集个人信息时，应当严格遵循“告知-同意”原则。告知的范围除了个人信息的处理目的、处理方式、处理的信息种类、保存期限等事项，还应包括消费者行使其《个人信息保护法》下权利的方式和程序。此种行使权利的方式和程序不应被简单理解为权利受到侵害时的救济方式，而是消费者实现其权利的方式，例如，如何查询、更正、删除其个人信息，以及遇到相关疑难问题的咨询方式等信息。

2. 信息储存

根据《个人信息保护法》的规定，个人信息的保存期限应当为实现处理目的所必要的最短时间，法律法规另有规定的除外。除《个人信息保护法》外，目前涉及保险销售业务中个人信息保存期限的规定如下表所示：

3. 敏感个人信息的处理

根据《个人信息保护法》第二十八条，敏感个人信息指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。保险销售机构在消费者需求分析和风险承受能力评估中获取的个人财产收入、身份职业等信息，以及销售过程中获取的消费者个人住址、金融账户、医疗健康状况、未满十四岁未成年人的个人信息，以及指纹等生物识别信息均属于敏感个人信息的范畴。

保险销售机构在采集敏感个人信息时应注意以下事项：一是信息采集应具备明确的目的和充分的必要性，并征得个人的单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意的，应从其规定。二是除了向个人告知信息处理者的名称及联系方式、信息处理目的和方式、处理的个人信息种类、保存期限、个人行使权利的方式和程序等事项外，还应告知信息采集的必要性和对个人权益的影响。三是采集不满十四周岁未成年人个人信息的，应征得未成年人父母或其他监护人的同意，并制定专门的个人信息处理规则。四是采取严格的个人信息保护措施。

三、技术能力要求

根据《个人信息保护法》、《网络安全法》以及《个人金融信息保护技术规范》（JR/T 0171-2020）、《信息安全技术 个人信息安全规范》（GB/T 35273-2020）等文件的规定，保险机构应当至少具备以下几个方面的技术能力，以保护消费者的个人信息：

一是个人信息生命周期技术能力，覆盖个人信息收集、传输、储存、使用、删除、销毁等环节，防止个人信息泄露、篡改、丢失，具体可包括安全通道、数据加密、去标识化、匿名化、身份鉴别和认证等技术；

二是安全运行技术能力，处理个人信息的信息系统应当符合国家有关技术标准的规定，Web应用、客户端应用软件应当通过安全评估，具备漏洞防范、实时监测等能力；

三是安全事件预防与处置能力，应当建立完备的安全态势感知系统和安全应急响应系统，在发生个人安全事件后根据个人信息安全事件应急预案和《个人信息保护法》的相关规定完成应急响应，采取补救措施。

四、制度建设

为有效落实保险消费者个人信息保护的相关规定，保险机构应当加强内部制度建设，重点包括：

1.      按照《个人金融信息保护技术规范》的要求建立个人信息分级保护制度；

2.      完善个人信息内部访问权限制度，严格控制授权审批流程，实现异常操作行为的有效监控和干预；

3.      加强第三方合作管理，确保在消费者明确同意的基础上与第三方机构展开信息处理合作，加强对第三方合作机构行为的控制，采取有效措施防范信息泄露风险；

4.      完善个人信息保护影响评估制度，在处理敏感个人信息、委托处理个人信息及开展其他对个人权益有重大影响的信息处理活动前应当进行个人信息保护影响评估，并妥善保管相关记录至少3年；

5.      建立个人信息保护合规审计制度，定期对相关法律、法规的遵守情况进行合规审计；

6.      完善个人信息安全事件处置制度，根据相关标准制定个人信息安全事件应预案；

7.      加强对保险销售从业人员及内部相关工作人员的培训与教育，防止违规、越权处理个人信息，保护消费者的个人信息安全。