赣州虾枚电子商务有限公司

保契銳評

2021年11月1日起，《個人信息保護(hù)法》施行，個人信息安全問題實現(xiàn)了真正意義的法治化保護(hù)時代。

現(xiàn)實中，行業(yè)層面，個人信息主要聚集于互聯(lián)網(wǎng)和金融兩大領(lǐng)域。更細(xì)分地看，互聯(lián)網(wǎng)層面主要集中在平臺型企業(yè)，而金融行業(yè)則主要集中在銀行和保險企業(yè)。

僅就保險業(yè)而言，消費者個人信息安全問題已被詬病多年，除無法匹配行業(yè)高速發(fā)展的信息安全保護(hù)技術(shù)和理念外，上位法的缺失以及法不責(zé)眾的觀念使得行業(yè)的個人信息保護(hù)長期處于荒漠期。

前些年，在個人信息被瘋狂買賣的時代，保險業(yè)亦被質(zhì)疑，隨著監(jiān)管的重點推進(jìn)，這一嚴(yán)重破壞行業(yè)聲譽(yù)的行為才得以遏制，但此后快速增長的“退保黑產(chǎn)”（特指非持牌金融機(jī)構(gòu)通過非法獲取的客戶信息，誘導(dǎo)客戶退保后再行銷售非法理財產(chǎn)品，從而實現(xiàn)非法集資/集資詐騙目的的行為，不包括通過惡意投訴等實現(xiàn)套現(xiàn)目的等操作方式在內(nèi)的廣義上的退保黑產(chǎn)）又將客戶信息的安全問題推上潮頭。

盡管行業(yè)層面已有零散的監(jiān)管制度，但對于個人信息保護(hù)而言，保險業(yè)各主體基本處于自我加壓的狀態(tài)，以期最大程度上避免因客戶信息保護(hù)不當(dāng)而對企業(yè)造成傷害。

這一局面正在逐漸被扭轉(zhuǎn)，行業(yè)性統(tǒng)一的行為規(guī)范呼之欲出。近日，國家金融監(jiān)督管理總局制定了《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法（征求意見稿）》，旨在規(guī)范銀行保險機(jī)構(gòu)數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)合理開發(fā)利用，穩(wěn)步提升金融服務(wù)數(shù)字化、智能化水平，保護(hù)個人和組織的合法權(quán)益。

征求意見稿首次明確了“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全”的原則，厘清了此前個人信息多頭管理，無從追責(zé)的老大難問題。

同時《個人信息保護(hù)法》中的相關(guān)要求亦在征求意見稿中予以確認(rèn)，比如，其要求銀行保險機(jī)構(gòu)在處理個人信息時，應(yīng)按照“明確告知、授權(quán)同意”的原則實施，并履行必要的告知義務(wù)；收集個人信息應(yīng)限于實現(xiàn)金融業(yè)務(wù)處理目的的最小范圍，不得過度收集；共享和對外提供個人信息時，應(yīng)取得個人同意。

與此同時，日前金融監(jiān)管總局辦公廳向各監(jiān)管局，各大型銀行、股份制銀行、外資銀行、直銷銀行、理財公司，各保險集團(tuán)（控股）公司、保險公司、保險專業(yè)中介機(jī)構(gòu)下發(fā)《關(guān)于銀行保險機(jī)構(gòu)侵害個人信息權(quán)益亂象專項整治發(fā)現(xiàn)主要問題的通報》，將前期金融監(jiān)管總局組織開展的銀行保險機(jī)構(gòu)侵害個人信息權(quán)益亂象專項整治過程中銀行保險機(jī)構(gòu)自查發(fā)現(xiàn)的問題予以通報。

通報顯示，在個人信息處理具體執(zhí)行層面發(fā)現(xiàn)大量問題或隱患，其中，機(jī)構(gòu)自查共發(fā)現(xiàn)問題15.42萬個，涉及合同協(xié)議、聲明等2.63萬份；監(jiān)管部門開展監(jiān)管抽查共發(fā)現(xiàn)問題5561個，涉及機(jī)構(gòu)1985家次、員工3566人，影響消費者1556萬人次。

具體問題則聚焦于五個方面，一是個人信息收集方面，存在強(qiáng)制同意、擴(kuò)大授權(quán)、籠統(tǒng)授權(quán)等問題。二是個人信息存儲和傳輸方面，存在電子數(shù)據(jù)管理混亂、紙質(zhì)材料管理不嚴(yán)、傳輸方式不安全等問題。三是個人信息查詢和使用方面，存在違規(guī)查詢賬戶信息、不當(dāng)使用客戶信息等問題。四是個人信息提供和刪除方面，存在未經(jīng)授權(quán)對外提供、未及時刪除等問題。五是個人信息第三方合作方面，存在對外合作機(jī)構(gòu)管控失效等問題。

從行業(yè)實際看，在“退保黑產(chǎn)”等批量買賣客戶信息問題得以整治后，行業(yè)消費者信息保護(hù)工作的難點已回歸到“正常”軌道上。從前述問題看則主要是第一類和第五類，即強(qiáng)制授權(quán)、擴(kuò)大授權(quán)以及第三方合作機(jī)構(gòu)的管控失效問題。

就授權(quán)問題而言，目前最突出的問題就是消費者投保或理賠過程中必須要對保險公司進(jìn)行授權(quán)，畢竟，沒有客戶的授權(quán)，承保和理賠行為均無法進(jìn)行，問題也就出在這個授權(quán)環(huán)節(jié)，最典型的就是強(qiáng)制要求或模糊表述，要求客戶對其后續(xù)接受保險公司的推銷行為進(jìn)行授權(quán)。

就第三方合作而言，目前較為突出的則是中介機(jī)構(gòu)和健康服務(wù)機(jī)構(gòu)，前者通過相關(guān)授權(quán)，直接或間接地買賣客戶信息，后者則可能出現(xiàn)直接售賣個人信息的問題。

對于授權(quán)問題，或可通過行業(yè)內(nèi)部的監(jiān)管規(guī)定予以規(guī)范，但對于第三方合作機(jī)構(gòu)尤其是健康服務(wù)類機(jī)構(gòu)而言，即便保險機(jī)構(gòu)通過嚴(yán)苛的協(xié)議條款安排以期杜絕其違法違規(guī)售賣/使用個人信息問題，從法律和實踐層面仍存在著“有形式而無實質(zhì)”的窘境。

畢竟，不管是消費者發(fā)現(xiàn)個人信息被侵害時的維權(quán)成本和意識，還是保險公司對第三方機(jī)構(gòu)的違約追償，其成本與收益均不成正比。

換言之，在個人信息保護(hù)的處罰力度不能達(dá)到讓違法者“傾家蕩產(chǎn)”的程度，個人信息保護(hù)就很難說見到成效。但這又不是任何一個行業(yè)可以左右的，需要更高維度的統(tǒng)籌安排。