保契锐评

2021年11月1日起，《个人信息保护法》施行，个人信息安全问题实现了真正意义的法治化保护时代。

现实中，行业层面，个人信息主要聚集于互联网和金融两大领域。更细分地看，互联网层面主要集中在平台型企业，而金融行业则主要集中在银行和保险企业。

仅就保险业而言，消费者个人信息安全问题已被诟病多年，除无法匹配行业高速发展的信息安全保护技术和理念外，上位法的缺失以及法不责众的观念使得行业的个人信息保护长期处于荒漠期。

前些年，在个人信息被疯狂买卖的时代，保险业亦被质疑，随着监管的重点推进，这一严重破坏行业声誉的行为才得以遏制，但此后快速增长的“退保黑产”（特指非持牌金融机构通过非法获取的客户信息，诱导客户退保后再行销售非法理财产品，从而实现非法集资/集资诈骗目的的行为，不包括通过恶意投诉等实现套现目的等操作方式在内的广义上的退保黑产）又将客户信息的安全问题推上潮头。

尽管行业层面已有零散的监管制度，但对于个人信息保护而言，保险业各主体基本处于自我加压的状态，以期最大程度上避免因客户信息保护不当而对企业造成伤害。

这一局面正在逐渐被扭转，行业性统一的行为规范呼之欲出。近日，国家金融监督管理总局制定了《银行保险机构数据安全管理办法（征求意见稿）》，旨在规范银行保险机构数据处理活动，保障数据安全，促进数据合理开发利用，稳步提升金融服务数字化、智能化水平，保护个人和组织的合法权益。

征求意见稿首次明确了“谁管业务、谁管业务数据、谁管数据安全”的原则，厘清了此前个人信息多头管理，无从追责的老大难问题。

同时《个人信息保护法》中的相关要求亦在征求意见稿中予以确认，比如，其要求银行保险机构在处理个人信息时，应按照“明确告知、授权同意”的原则实施，并履行必要的告知义务；收集个人信息应限于实现金融业务处理目的的最小范围，不得过度收集；共享和对外提供个人信息时，应取得个人同意。

与此同时，日前金融监管总局办公厅向各监管局，各大型银行、股份制银行、外资银行、直销银行、理财公司，各保险集团（控股）公司、保险公司、保险专业中介机构下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》，将前期金融监管总局组织开展的银行保险机构侵害个人信息权益乱象专项整治过程中银行保险机构自查发现的问题予以通报。

通报显示，在个人信息处理具体执行层面发现大量问题或隐患，其中，机构自查共发现问题15.42万个，涉及合同协议、声明等2.63万份；监管部门开展监管抽查共发现问题5561个，涉及机构1985家次、员工3566人，影响消费者1556万人次。

具体问题则聚焦于五个方面，一是个人信息收集方面，存在强制同意、扩大授权、笼统授权等问题。二是个人信息存储和传输方面，存在电子数据管理混乱、纸质材料管理不严、传输方式不安全等问题。三是个人信息查询和使用方面，存在违规查询账户信息、不当使用客户信息等问题。四是个人信息提供和删除方面，存在未经授权对外提供、未及时删除等问题。五是个人信息第三方合作方面，存在对外合作机构管控失效等问题。

从行业实际看，在“退保黑产”等批量买卖客户信息问题得以整治后，行业消费者信息保护工作的难点已回归到“正常”轨道上。从前述问题看则主要是第一类和第五类，即强制授权、扩大授权以及第三方合作机构的管控失效问题。

就授权问题而言，目前最突出的问题就是消费者投保或理赔过程中必须要对保险公司进行授权，毕竟，没有客户的授权，承保和理赔行为均无法进行，问题也就出在这个授权环节，最典型的就是强制要求或模糊表述，要求客户对其后续接受保险公司的推销行为进行授权。

就第三方合作而言，目前较为突出的则是中介机构和健康服务机构，前者通过相关授权，直接或间接地买卖客户信息，后者则可能出现直接售卖个人信息的问题。

对于授权问题，或可通过行业内部的监管规定予以规范，但对于第三方合作机构尤其是健康服务类机构而言，即便保险机构通过严苛的协议条款安排以期杜绝其违法违规售卖/使用个人信息问题，从法律和实践层面仍存在着“有形式而无实质”的窘境。

毕竟，不管是消费者发现个人信息被侵害时的维权成本和意识，还是保险公司对第三方机构的违约追偿，其成本与收益均不成正比。

换言之，在个人信息保护的处罚力度不能达到让违法者“倾家荡产”的程度，个人信息保护就很难说见到成效。但这又不是任何一个行业可以左右的，需要更高维度的统筹安排。