《個人信息保護法》對保險行業的影響與應對建議

落實《個人信息保護法》將對保險機構個人信息處理行為、數據合作、業務創新、合規管理等產生重要影響，并且保險行業個人信息處理活動的監管也將影響監管機構的規則制定和執法活動等。本文梳理了我國個人信息立法沿革和法律體系，結合《個人信息保護法》的主要內容分析了對保險行業可能產生的影響，并提出了應對的建議。

2021年8月20日，全國人大常委會審議通過了《個人信息保護法》，這是我國第一部關于個人信息保護的專門立法，在個人信息保護方面具有里程碑意義。保險行業與數據相伴，保險業務運營中的投保、核保、理賠、精算管理、產品開發、風險控制、員工管理等各個環節都會涉及個人信息的處理。落實《個人信息保護法》將對保險機構個人信息處理行為、數據合作、業務創新、合規管理等產生重要影響，并且保險行業個人信息處理活動的監管也將影響監管機構的規則制定和執法活動等。本文梳理了我國個人信息立法沿革和法律體系，結合《個人信息保護法》的主要內容分析了對保險行業可能產生的影響，并提出了應對的建議，以期對保險行業落實《個人信息保護法》，做好個人信息保護工作有所裨益。

我國個人信息保護立法沿革與體系

個人信息保護單獨立法并非我國獨有，以歐盟《通用數據保護條例》（GDPR）為代表，根據歐華律師事務所數據保護法律手冊統計，全球范圍內180多個國家或地區都制定了個人信息保護法規。雖然《個人信息保護法》新近發布，但我國個人信息保護的立法已經持續較長時間，包括以下維度：

法律層面。一是刑事立法。我國個人信息保護立法具有刑事先行的特點，在2009年刑法修正案（七）和2015年刑法修正案（九）中都將侵犯公民個人信息的行為作為犯罪行為。二是個人信息保護專門立法。2012年全國人大常委會制定了加強網絡信息保護的法律性質文件，這是我國第一個個人信息保護的專門法律性文件，直到2021年《個人信息保護法》制定，標志著我國個人信息保護專門立法的完成。三是民事立法。2020年《民法典》首次將個人信息作為一種人格權益，對隱私權和個人信息進行了區分，并規定了個人信息處理的原則和條件等。四是網絡安全立法。2016年《網絡安全法》從網絡運行安全、網絡信息安全兩個維度保障我國網絡空間的安全，而個人信息保護則是網絡信息安全的重要內容。此外，消費者權益保護法以及上述法律配套的行政法規、司法解釋中也對個人信息處理進行了更為細化的規范。

行業監管層面。就金融行業而言，人民銀行在2011年、2012年連續兩年發布關于做好個人金融信息保護工作的通知，是金融領域最早的個人金融信息保護專門規定。目前，《個人金融信息（數據）保護試行辦法》也已列入中國人民銀行的規章制度制定計劃。除個人金融信息專門保護規定外，金融行業在征信管理、反洗錢、金融消費者保護、互聯網業務、數據治理等方面會有個人信息處理或保護的要求。單就保險行業而言，保險行業關于個人信息處理或保護的規定，零星規定在信息系統安全管理、銷售行為可回溯管理、互聯網保險業務管理等監管規定中。另外，在保險中介、銷售從業人員相關監管規定中有關于不得泄露隱私的規定。

《個人信息保護法》對保險行業的影響

保險機構在提供保險服務時，需要處理大量投保人、被保險人、受益人的個人信息，不僅數量多，而且涉及保險運營的投保、核保、理賠等全流程。《個人信息保護法》實施后，保險行業需要關注以下幾方面的影響。

保險行業個人信息保護執法活動將不斷強化。在《個人信息保護法》出臺之前，金融領域個人信息保護執法活動主要由人民銀行依據《消費者權益保護法》、銀保監會依據行業監督管理規定開展。多家銀行、支付機構被處以罰款，違規行為包括侵害消費者個人信息依法得到保護的權利、數據泄露、客戶信息保護機制不健全、客戶信息收集環節不規范、客戶數據訪問控制管理不規范、未經授權查詢、客戶敏感信息管理不善、違規存儲客戶敏感信息、個人金融信息使用不當等。此外，監管機構也會通報行業內違反個人信息保護的行為，對金融機構起到警示作用。但保險機構被處罰或通報的情形較少。按照規定，金融監管機構可直接依據《個人信息保護法》調查、處理違法個人信息處理活動。《個人信息保護法》生效后，金融監管機構對個人信息處理活動的執法也將更加活躍。

《個人信息保護法》對違規行為的處罰力度大大提高，對于情節嚴重的最高可處五千萬元以下或者上一年度營業額百分之五以下罰款，這與以處罰嚴厲而著稱的GDPR基本相當。對于個人信息處理違法行為侵害人數眾多時，《個人信息保護法》明確可以由相關機構提起公益訴訟。對此最高人民檢察院制定了《關于貫徹執行個人信息保護法推進個人信息保護公司訴訟檢察工作的通知》，對于敏感信息、重點人群、重點領域和大規模個人信息予以重點保護。未來，執法活動將不斷強化也將傳導至保險機構，這將對保險機構的個人信息保護內部管理造成較大壓力。

需要真實、準確、完整地履行告知義務。《個人信息保護法》要求個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知處理規則。筆者認為，各保險機構在履行告知義務要特別關注以下情形：

一是告知義務的獨立性。很多人認為《個人信息保護法》所確立的個人信息處理模式是“告知+同意”模式，但筆者認為該表述與《個人信息保護法》的規定有所偏差。雖然取得個人同意是較為普遍的做法，但同意僅是《個人信息保護法》規定處理個人信息的合法性基礎之一，更準確的表述應為“告知+合法性基礎”的模式，這種模式下告知與同意相獨立，即使不須個人同意的情形下，也要向個人告知處理規則。

二是線下投保的告知。與歐盟GDPR不同，我國《個人信息保護法》所界定的個人信息不僅包括結構化數據，也包括非結構化的數據，這使得紙質個人信息也落入個人信息保護法的保護范圍。通過對比線下投保和線上投保個人信息處理的過程發現，各保險機構線上投保（包括網站、應用程序（App）和微信公眾號或小程序）的個人信息處理告知相對詳細，但在線下投保的紙質告知書或授權文件的告知則較為簡略，有的僅有“您同意***公司使用您提供的個人數據”的表述，對處理目的、處理方式等缺少告知。根據銀保監會及保險業協會數據，保險行業線上業務保費規模僅占6.4%左右，線下業務仍是主要方式，保險機構所持有的個人信息也更多依靠線下業務獲取。對保險機構而言，保障線下業務合法收集個人信息對其數據處理、業務創新等更為重要。建議保險機構統籌管理線上、線下的處理規則，細化線下處理個人信息的規則，既可以單獨告知，也可以在投保須知或理賠須知中告知。

三是告知非基于同意的處理規則。如前所述，告知與同意并無必然聯系。目前各保險機構個人信息處理規則中對非基于同意的處理規則較為概括。以履行法定義務為例，少數保險機構列明了具體的法律依據，如《反洗錢法》《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》《保險銷售行為可回溯管理暫行辦法》等。但大多數信息處理規則僅照搬了相關法律的原則性規定，如“為履行法定職責或者法定義務所必需”等。建議保險機構在個人信息處理規則中細化非基于同意的處理規則，特別是履行法定義務和合理使用公開信息的情形下，建議明確列明需要履行哪些法定義務、處理哪些信息及處理方式等，這也是企業梳理處理個人信息合法性基礎的必然工作。此外，保險機構還要注意處理規則便于查閱和保存、變更后重新告知等義務。

需要確保個人信息的處理具有合法性基礎。《個人信息保護法》規定了同意、履行合同必須履行法定職責或法定義務、應對突發公共衛生事件、緊急情況下為保護自然人的生命健康和財產安全所必需、為公共利益實施新聞報道或輿論監督、合理處理公開信息等合法性基礎。保險機構在處理個人信息時應確保至少符合一項合法性基礎，特別是：

第一，關注同意的有效性。同意只有在符合個人在充分知情、自愿、明確的條件下方為有效，通過誤導、欺詐、脅迫等方式處理個人信息均為違法行為。為確保同意的有效性，保險機構在獲取同意時應注意以下幾個問題。一是確保個人的自主選擇。在個人信息主體主動做出選擇下獲取同意，避免默示同意或默認勾選。二是選擇恰當的同意時機。告知一般需要在基本業務功能開啟前進行，但同意建議在收集行為真正發生前獲取，特別是告知的時間點和收集個人信息的時間點相差很大時，否則會在必要性方面受到挑戰。如有的App或小程序彈出授權對話框聲明“您的位置信息將用于后續購買保險時使用”，便存在時機不恰當的問題，更合理的做法應該是在購買保險時彈出授權后再收集，而非提前收集。此外要盡量避免授權同意的模式，獲取同意時建議同步告知收集目的和相關處理規則等。三是避免捆綁方式同意。同意應當區分基本功能和附加功能，除提供產品或服務所必須外，不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或服務。此外，有的App還存在強制同意的問題，如要求“必須獲取位置授權后才能訪問網頁”，點擊拒絕后無法繼續使用，但位置信息并非必要信息;還有的微信小程序拒絕同意非必要信息后連續彈窗，使小程序無法正常使用。

另外，還需要特別關注“單獨同意”的場景。根據法律規定，向他人提供個人信息、公開個人信息、在公共場所收集的個人圖像、身份識別信息用于維護公共安全以外的目的、處理敏感信息、向境外提供個人信息六種場景下，需要獲得個人的單獨同意。如果遇到這些場景，不能與其他個人信息處理活動合并在一起獲得個人同意，就此類事項建議通過單獨彈窗、發送郵件或短信、單獨文件等方式告知后獲得同意。

處理員工個人信息時，應盡量避免使用同意作為合法性基礎，根據《個人信息保護法》規定“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”是一項獨立的合法性基礎，從中可以看出，我國對處理員工個人信息也傾向于不使用同意作為合法性基礎。需要注意的是，同意作為處理個人信息的合法性基礎具有脆弱性，個人主體可以隨時撤回同意。所以，雖然同意是較為常見的合法性基礎，但保險機構在處理個人信息時應先考慮其他合法性基礎，而降低同意的優先性。

第二，對其他合法性基礎進行梳理和評估。《個人信息保護法》調整了《網絡安全法》將同意作為唯一合法性基礎的做法。如依據同意以外的合法性基礎，建議保險機構進行梳理和評估，包括但不限于處理依據、處理目的、處理信息類型和種類、對個人主體的影響等，確保個人信息處理的合法性原則。

個人信息使用須進一步規范。《個人信息保護法》深刻地影響著保險機構對個人信息的開發、利用，保險機構對個人信息的使用需要進一步規范。

第一，遵守目的限制。保險機構獲得同意后收集的數據并不是可以無限制地使用，還必須符合目的限制要求。收集、使用個人信息的目的在告知時應向數據主體明確告知，不同信息有不同目的時，分別進行詳細說明;同一信息有多個目的，按照信息對用戶的影響程度排序，對用戶影響最嚴重的優先進行說明。在使用過程中也要嚴格遵守目的限制的要求，如投保人僅同意用于理賠，就不得用于產品服務或開發等其他目的。

第二，規范第三方合作。保險機構與第三方進行合作時，可能涉及從第三方獲取數據或向第三方轉讓個人信息，此為個人信息處理高風險環節。

一是從第三方獲取數據。因保險業務特點和監管特征，保險行業個人信息從第三方獲取的現象較為常見，包括：直保業務中保險公司從投保人獲取被保險人、受益人個人信息;再保險業務中再保險人從直保公司獲取個人信息;監管機構因履行監管職責從保險公司獲取個人信息;其他情形，如基于核保、防范保險欺詐等目的開發風控系統，從醫療機構、征信機構、其他金融機構獲取信息等。對于前三類情形，筆者認為，獲取個人直接同意較為困難，而且都有其他合法性基礎或合理目的。如保險公司獲取被保險人、受益人信息是基于保險業務實名制的要求、辦理再保險業務是基于風險分散的要求、監管機構是基于履行監管職責的要求。建議監管機構能夠通過指引或監管規則明確相關主體無須獲得同意，但仍然需要履行告知義務、遵守目的限制、采取安全技術措施義務等。對于其他情形，保險機構應盡量獲取匿名化或去標志化的信息，對于保險公司開發產品、業務創新等，大部分情形下并沒有使用可識別具體個人信息的需求，使用群體數據即可滿足目的。即使基于風控目的需要使用可識別的個人信息，也盡量避免直接獲取原始信息，如為了使用第三方提供的數據確定被保險人的最高保額，可以僅第三方提供結論性數據，而不直接獲取相關信息。在必須獲取原始信息的情況下，需要按照三重授權的原則，按照限定的目的使用個人信息。

二是向第三方提供數據。保險機構向第三方提供數據較為常見的情形包括：向保險集團內成員公司共享提供;向其他委托提供必要服務的合作伙伴共享提供;向再保險接受人共享提供;向監管機構共享提供;在保險科技開發中向科技企業提供樣板數據等。對于保險集團而言，集團內數據的共享、融合，能夠發揮數據的集合作用，但各國個人信息保護法規都沒有對保險集團內數據共享做出豁免的規定。目前，保險集團內共享個人信息的目的主要包括推薦產品、開展市場調查與信息數據分析、提供咨詢、售前售后服務、推薦感興趣的信息等。集團內共享個人信息的目的大多不屬于提供保險基礎服務的必要目的，更多的為附加服務。基于此類目的的集團內共享，保險機構需要獲得個人的同意，并且還要受限于個人主體對共享行為的單獨拒絕或撤回同意。有的保險集團以集團名義收集、使用個人信息，要求信息主體授權集團所有成員公司使用其個人信息，這種做法容易造成個人信息處理者的混淆，可能導致同意存在瑕疵。

筆者認為，利用保險集團內集合數據進行數據分析或開發，在很多情形下并不需要可識別到具體個人的信息，即使在集團內共享也應避免提供原始個人信息，若提供去標志化、匿名化數據能夠實現目的，應提供去標志化、匿名化的數據。確需向第三方（含集團內成員）提供個人信息時，需要獲得單獨同意并嚴格進行評估，包括合法、正當、必要評估、對個人權益的影響、對方采取的保護措施是否與風險程度相適應等。如果涉及跨境提供個人信息的，除進行評估外，還需要采取額外措施以使境外接收方處理個人信息的活動達到《個人信息保護法》規定的保護標準。涉及向境外監管機構提供信息的，必須得到主管機關的批準。保險機構還需要關注行業監管規定，是否有向第三方轉讓的禁止性規定等。

三是與第三方共同處理、委托第三方處理數據。《個人信息保護法》明確個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任;個人信息處理者委托處理個人信息的，應對受托人的個人信息處理活動進行監督。身份認定的不同將影響到保險機構與第三方的權利義務和責任承擔方式。保險機構應特別注意共同處理人的連帶責任，在與第三方合作過程中，如接入第三方軟件開發工具包（SDK）、與保險科技企業合作等，應通過合同等方式明確各自身份性質，明確權利義務，避免承擔不必要的責任。向第三方轉讓個人信息、與第三方共同處理、委托第三方處理，在向信息主體告知時，可以列明相關第三方。

四是規范自動化決策。保險機構的自動化決策應用也較為普遍，智能核保與風險定價、智能理賠、推薦感興趣產品等場景都有可能涉及自動化決策。保險機構利用個人信息進行自動化決策，應當保證決策的透明度和結果公平合理，在透明度方面應告知數據主體基本邏輯并進行評估，確保符合合法、正當、必要等原則;在數據使用方面應盡量使用去標志化或匿名化的數據，減少對個人權益的影響。如果涉及自動推送或營銷，應盡量使用群體畫像，并保障個人的選擇權和拒絕權。在保障個人拒絕權方面，一般應使拒絕與同意具有相同的便捷性，但有保險機構存在通過App或小程序獲得同意，但拒絕需要撥打熱線電話或發送郵件的情形。

五是對敏感信息進行強保護。對敏感信息進行強保護也是國際普遍做法，《個人信息保護法》規定的敏感信息包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及兒童個人信息。保險機構掌握的個人信息很多也會落入敏感信息保護中，需要對此類信息進行強保護，包括單獨同意、強告知、評估以及兒童信息的強保護等。

個人信息保護影響評估和保障個人權利的壓力增加。個人信息保護影響評估在之前主要為國家標準推薦做法，《個人信息保護法》將個人信息保護影響評估正式吸收為個人信息處理者的法定義務。今后保險機構個人信息保護工作將向“實質合規”邁進，不能僅停留在制定隱私政策、獲取同意等形式合規手段。《個人信息保護法》規定的法定評估情形中，對于“其他對個人權益有重大影響的個人信息處理活動”，保險機構宜根據本公司實際情況明確需要進行評估的情形，筆者建議該等評估盡量寬泛，可以與日常數據合規審核相結合。

為保障《個人信息保護法》規定的個人在信息處理活動中的知情權、決定權、查閱復制權、可攜帶權、更正補充權、刪除權、解釋說明權等，保險機構需要投入人力、物力建立權利響應機制。在前述個人權利中，保險機構需要特別關注可攜帶權和刪除權。可攜帶權是最終版本新增的權利，可攜帶權主要是為了防止數據壟斷，促進數據的流通。以保險行業為例，基于可攜帶權，自然人甲可以要求A保險公司將其持有的與甲有關的個人數據提供給B保險公司。關于提供的形式，GDPR要求以結構化、通用和機器可讀的格式提供，《個人信息保護法》則尚未明確以何種形式提供，但要求符合國家網信部門規定條件，有待網信部門進一步明確。保險行業需要關注可攜帶權可能帶來的數據競爭問題，如A保險機構通過向甲提供免費服務或對價等方式，促使甲請求B保險機構直接將其持有的甲的信息轉讓給A保險機構，而不需要B保險機構的同意。筆者認為需要對可攜帶權施加一些限制，比如保險機構對合法收集的個人信息通過再加工形成的不再屬于個人信息的衍生數據，應屬于保險機構自有數據，不能落入可攜帶權的范圍。刪除權是容易被個人信息處理者忽視的權利，對于刪除權的落實往往不到位。《個人信息保護法》規定了個人有權請求刪除的五種情形，這對保險機構個人信息保護動態化管理提出了更高的要求，促使保險機構保留期限前盡快挖掘、利用數據價值，不能讓數據在系統里睡覺。當出現需要刪除情形時，保險機構應當予以刪除或將數據匿名化處理之后刪除。在委托第三方處理時，當委托事項結束時應要求第三方及時刪除。

保險業落實《個人信息保護法》的建議

樹立底線思維，識別高風險場景。保險機構在個人信息保護工作中，要堅持底線思維，嚴防出現踩紅線的情形。筆者認為，以下兩方面工作需要特別重視：

一是防泄漏。個人信息泄露，特別是大規模的個人信息泄露，不僅會損害個人主體權益導致民事責任，也會引起公安機關或監管機構對本機構個人信息保護義務落實情況的倒查，可能導致刑事責任和行政責任，更會嚴重損害保險機構的聲譽。防泄漏是保險機構個人信息保護工作的首要目標，保險機構可以通過技術手段保障個人信息的安全，使用對隱私保護友好的技術，如聯邦學習、多方安全計算等隱私計算技術，實現個人信息的“可用不可見”，可以對防止泄露起到重要作用。對于載有個人信息的紙質文件，如保單、理賠申請表等，應進行物理上的安全保管。另一方面，保險機構要采取管理措施，避免非必要的人員接觸到個人信息，對于擁有下載、復制、查詢等權限的員工，可以通過建立審批機制、強驗證、固定場所實施等措施防止道德風險。

二是防濫用。保險機構對個人信息的利用要符合目的限制，按照合法、正當、最小必要、誠信的原則處理。為防止濫用，筆者建議保險機構在使用個人信息前，特別是自動化決策等高風險行為，都要根據本公司實際進行評估。保險機構也應分清輕重緩急，關注本公司可能導致個人信息泄漏、濫用或違規的高風險場景，由點及面逐步落實《個人信息保護》的義務。通常而言，保險機構高風險場景包括合規要求多或個人感知明顯的場景，如第三方提供或收集個人信息（包括集團系統內共享、委托第三方處理、向境外提供等）、向用戶推銷產品（包括電話銷售、短信郵件營銷）。對于高風險場景，保險機構應投入更多的精力進行管理，特別是在電話銷售過程中，要確保個人信息能夠用于推銷。在電話銷售中如何實現處理規則的告知也是難點，一般應在收集信息前應向客戶提供隱私聲明等文件，如以口頭形式則需要進行錄音。對于客戶在電話中明確拒絕接受服務的，建議保險機構將該類電話號碼建立清單管理，日后進行電話促銷時應復查，在清單內的電話號碼則不再進行電話營銷。

建立個人信息保護管理機制。第一，明確組織架構、職責分工。保險機構應明確個人信息保護的責任部門，明確個人信息處理部門、信息技術部門、法律合規部門各自職責。如果達到國家規定的處理規模，保險機構還應當指定個人信息保護負責人。個人信息保護屬于保險機構數據治理的重要內容，保險機構在建立自身數據治理體系時，要將個人信息保護或數據合規作為一項重要內容，個人信息保護機制也應與本公司數據治理體系相適應。

第二，建章立制、采取技術措施。保險機構應根據法律法規、監管規定，結合本公司實際制定個人信息保護規章制度，并可以參考國家標準、行業標準的建議，采取加密、去標志化等技術措施保障個人信息的安全。在委托第三方建設系統、開發App時，可以將個人信息保護需求作為開發的要求。

第三，個人信息分類分級和動態管理。不同種類的個人信息所要求的保護等級不同，在梳理掌握本機構個人信息的基礎上，應當從個人信息保護角度進行分類分級，如敏感信息的識別、分類、劃分保護等級等。同時，個人信息保護不是一勞永逸的，是一個動態變化的過程，需要進行動態管理，包括處理目的的動態管理、合法性基礎的動態管理、保存期限的動態管理等。根據不同期間的不同要求，調整對個人信息的使用和保存方式。

第四，運用好個人信息保護工具。一是用好合同協議工具。特別是在與第三方合作過程中，明確雙方主體性質、權利義務管理、違規責任承擔等內容，保險機構可以制定合同或協議模板，以供業務部門使用。二是用好個人信息影響評估工具。開展個人信息影響評估既是法律規定的義務，也是進行個人信息保護管理的有效工具。個人信息影響評估單靠某個部門難以完成，通常需要數據處理部門、信息技術部門和法律合規部門的共同參與，如數據處理部門負責需求等合理性評估、信息技術部門負責安全保障技術措施充足性評估、法律合規部門負責合法合規性評估等。個人信息影響評估一般應在處理個人信息前開展，但在系統、應用程序開發的場景下，個人信息影響評估應在需求論證階段便開始，并貫穿于開發、測試、驗收各個環節進行。

第五，建立培訓和安全審計機制。對于能夠接觸、處理到個人信息的崗位人員，保險機構應當重點進行培訓，降低道德風險、操作風險，使其能夠熟練掌握個人信息保護政策和相關流程。根據規定，個人信息保護機制也應建立類似三道防線的機制，定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。

第六，做好個人信息保護留痕管理。《個人信息保護法》在民事責任方面確定了個人信息處理者過錯推定的歸責原則，個人信息影響評估記錄需要保留3年，而且在相關機構對保險機構進行檢查時，保險機構也需要保留相關材料以證明個人信息處理的合規性。這都要求保險機構記錄好個人信息處理活動，做好留痕管理。

完善保險行業個人信息處理監管規則，制定保險行業標準。此前，我國金融行業個人信息保護監管規則呈現以銀行業為主的特點，如《中國人民銀行關于金融機構進一步做好客戶個人金融信息保護工作的通知》《金融消費者權益保護實施辦法》僅適用于銀行機構或支付機構，《個人金融信息（數據）保護試行辦法》也主要發給銀行機構征求意見，保險行業自身的監管規則缺失。從完善保險業監管規則和制定行業標準方面，筆者建議：

第一，制定保險行業專門的監管規定。保險經營與銀行、證券等業務存在明顯不同，存在核保、理賠、再保險等特有業務場景，不能完全適用同一套監管規則。在一些國家或地區，監管機構針對保險業制定了單獨的指引或規則。如中國香港個人資料私隱專員公署發布了《給保險業界的指引》提出了實用建議;新加坡人壽保險協會發布了落實新加坡個人數據保護法的實務守則，梳理了人壽保險業務中需要使用或披露個人信息的場景以及不同目的下存儲個人信息的最短時間等。筆者建議制定保險行業專門的監管規定，一是指導保險機構開展個人信息保護工作;二是制定保險業個人信息保護管理辦法，在監管規則中明確保險業個人信息保護行業監管層面的各項機制，規范保險機構為履行監管義務必須收集的個人信息，為保險機構處理個人信息奠定合法性基礎。如統一明確保險機構為實現保險基本功能，在投保、核保、理賠、辦理再保險等環節最少收集信息等。

第二，制定個人信息保護行業準則。監管機構或者行業協會可以統籌行業推廣個人信息保護工作的良好實踐，彌補單一保險機構開展個人信息保護工作具有局限性，可以推動行業數據的共享和使用。這些行業標準可以包括保險行業個人信息處理規則推薦條款、保險業個人信息共享指南、保險業個人信息影響評估指南、保險業應用程序開發測評指南、中小型保險機構個人信息保護指南、保險機構使用新技術（如人臉識別、人工智能等）指南等。

（張坤為中國再保險（集團）股份有限公司內控合規與法律事務部資深律師。本文編輯/秦婷）