近年来,保险公司在个人信息的收集、处理和使用上受到空前关注,尤其是在消费者权益保护日益受到重视的背景下,个人信息保护成为保险行业合规管理的重要议题。
01
地方监管局发出保险公司侵犯公民信息风险提示函
9月16日,国家金融监督管理总局安徽金融监管局特别针对保险公司发出《加大保险公司侵犯公民信息行为打击力度》的风险提示函,强调了保险公司在公民信息保护方面的不足,并提出了具体的改进措施。一是揭示风险隐患和严重后果,深入分析深层次案发原因,指出当前保险公司尤其是基层机构存在的法律意识淡薄、内部管理松懈及制度执行力弱化等问题。二是援引法律条文,向行业宣传普及侵犯公民个人信息罪的立法沿革、法律概念、适用情形、入罪标准以及“情节严重”“情节特别严重”的量刑依据等。三是进一步强调合规管理建设,健全客户信息安全管理制度,有效防范类似案件风险,加强售后服务和个人信息权益保护机制建设,常态化开展合规警示教育等。
文件数据销毁
02深化保险个人信息保护,监管整治行动及监管重点据了解,本次属于年内首次地方监管部门公开对保险公司发出的涉及公民信息安全的警示提醒。在此之前,保险公司个人信息保护一直是监管机构关注的重点。早在2022年8月,银保监会针对银行保险机构侵害个人信息权益的问题,下发了《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,标志着监管机构对个人信息保护的重视程度进一步提升。《通知》要求机构全面梳理和排查个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益的乱象,并督促建立健全消费者个人信息保护工作机制。《通知》中指出,银行和保险机构在个人信息保护方面存在的主要问题涵盖了从收集、存储、查询、使用、提供、删除到第三方合作的多个环节。具体包括未经同意收集个人信息、电子数据管理混乱、违规查询账户信息、不当使用客户信息、未经授权提供信息、未及时删除个人信息以及对合作机构管控失效等问题。此外,国家金融监督管理总局在今年3月26日下发的《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》中,进一步强调了个人信息保护的重要性,并指出了银行保险机构在个人信息保护方面存在的五大主要问题:一是个人信息收集方面,存在强制同意、扩大授权、笼统授权等问题。二是个人信息存储和传输方面,存在电子数据管理混乱、纸质材料管理不严、传输方式不安全等问题。三是个人信息查询和使用方面,存在违规查询账户信息、不当使用客户信息等问题。四是个人信息提供和删除方面,存在未经授权对外提供、未及时删除等问题。五是个人信息第三方合作方面,存在对合作机构管控失效等问题。五大问题的存在不仅侵害了消费者的信息权益,也暴露了保险机构内部管控的不足。监管机构的这一系列行动,旨在推动保险机构加强内部管理,提升个人信息保护水平,保障保险消费者信息安全。03
保险业个人信息保护的监管文件概览
保险行业因其对个人信息的深度依赖,在保护客户个人信息方面承担着巨大的挑战和责任。保险行业不仅涉及的数据类型繁多,而且数据保护的整个链条覆盖广泛,风险点遍布各个环节。保险行业不仅包括自然人投保人、被保险人、受益人,还涵盖了保险代理人等多方参与者,使得个人信息的处理变得极为广泛和复杂。随着技术的进步和保险服务的数字化转型,保险公司在销售、理赔、客户服务以及数据共享和跨境传输等各个环节都面临着新的挑战。同时,保险公司现在越来越多地采用大数据和自动化决策工具,如智能核保、智能理赔服务和个性化产品推荐等,以提高效率和客户体验。这些工具的应用不仅为保险公司开辟了新的业务机会,也使得个人信息保护变得更加重要。鉴于保险业在个人信息保护方面的特殊性和复杂性,监管机构出台了系列文件,以指导和规范保险公司的个人信息保护工作。今年初,国家金融监管总局对外发布了《银行保险机构数据安全管理办法(征求意见稿)》,其中第六章专门对个人信息保护进行了详细规定。根据这一办法,银行和保险机构在处理个人信息时,必须确保其目的明确且合理,并且个人信息的处理应当严格限定在与处理目的直接相关的范围内。这意味着,保险公司在收集个人信息时,应当遵循最小化原则,仅收集实现保险业务处理所必需的最少信息,严禁超出这一范围的过度收集行为。此外,《办法》还明确规定,保险机构不得利用所收集的个人信息进行任何违法违规的活动。这包括但不限于未经授权的个人信息使用、未经同意的个人信息共享,以及用于欺诈、身份盗窃等不法行为。这些规定旨在加强对个人信息的保护,防止个人信息被滥用。2024年7月22日,国家金融监督管理总局印发了《反保险欺诈工作办法》的通知。《工作办法》要求保险机构等应严格遵守个人信息保护的法律法规,加强对个人信息全生命周期的管理。具体来说,保险机构需建立完善的信息收集、存储、使用、加工、传输、提供、删除等制度机制,明确信息的使用用途和处理权责,并严格管控信息使用的范围与权限。《工作办法》还强调,未经信息主体的授权或法律法规的许可,任何机构不得以书面、口头或其他任何形式对外公开或提供个人信息。此外,2024年9月12日,国家金融监督管理总局办公厅发布了《关于加强银行业和保险业移动互联网应用程序管理的通知》。《管理通知》要求银行和保险机构必须严格遵循国家法律法规和监管要求,建立完善的移动应用个人信息保护制度,规范个人信息的管理流程。银行和保险机构应本着“合法、正当、必要”的原则收集个人信息,并明确向用户告知其个人信息的收集目的、使用方式以及保护措施。同时,银行和保险机构需公布投诉渠道,确保能够及时处理信息泄露和隐私合规等相关问题,从而切实保障消费者的合法权益。04保险公司及个人面临的行政处罚风险
在实践中,若保险公司未能恪守个人信息保护的相关规定,可能会遭到监管机构的行政处罚。具体违规行为可分为两大类:一是直接的个人信息违法违规行为,这类行为可能涵盖:未经许可擅自查阅或泄露客户信息、未遵循法律规定或不恰当地应用客户信息、在保护客户信息安全方面存在疏漏等。二是因管理不当而导致的个人信息保护责任问题,可能包括:管理层的疏忽、领导层的直接责任、缺失必要的内部监控措施等。如,2024年7月1日,中国人民人寿保险股份有限公司宁波市分公司,因业务宣传资料不合规、保险代理人培训不合规、违规收集使用个人信息,被予以警告并处罚款合计32万元。(行政处罚依据:《中华人民共和国保险法》第一百六十一条,《保险公司管理规定》第六十九条)2022年10月25日,中国平安人寿保险股份有限公司六盘水中心支公司,因案防管理不到位,原职工利用职务便利泄露在业务活动中知悉的投保人、被保险人的个人信息,被处罚款十万元 。(行政处罚依据:《中华人民共和国保险法》第一百六十一条)同时,中国平安人寿保险股份有限公司六盘水中心支公司某青,因利用职务便利泄露在业务活动中知悉的投保人、被保险人个人信息行为的直接责任人,被处罚禁止进入保险业三年。(行政处罚依据:《中华人民共和国保险法》第一百七十一条)2022年8月18日,徐某忌违反法律规定侵犯公民个人信息。宁夏银保监局对时任中国太平洋财产保险股份有限公司宁夏分公司电网销业务部总经理徐无忌予以禁止进入保险业5年的行政处罚。(行政处罚依据:《中华人民共和国保险法》第一百七十七条)2022年8月17日,樊某、刘某违反法律规定侵犯公民个人信息。宁夏银保监局对时任中国人寿财产保险股份有限公司宁夏分公司银川中心支公司创新电子部经理樊蓉、原中国人寿财产保险股份有限公司宁夏分公司员工刘璐分别予以禁止进入保险业5年的行政处罚。(行政处罚依据:《中华人民共和国保险法》第一百七十七条)
文件数据销毁
