前沿观察,

保险业数据合规系列解读之一——保险业数据合规典型案例分析

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:合规业务-网络安全与数据合规保险电信、传媒、娱乐与高科技-数据及隐私权保护

引言

近年来,保险业进入数字化转型的关键时期,又适逢《个人信息保护法》等法律规定出台实施,既需要发展数字化业务,又亟需提升数据合规水平。实践表明,保险业属于个人信息保护合规风险较高的领域,主管部门对数据合规的执法力度不断加大,保险企业被处罚的案例屡见不鲜,包括直接对从业人员和高管个人的处罚,甚至追究刑事责任。保险业作为数据密集型行业,数据规模大、场景多元、价值明显,数据合规越来越重要。

金杜网络安全与数据合规团队自2016年起开展个人信息合规业务,为大量客户提供了专业法律服务,积累了丰富的实务经验。针对保险业数据合规的突出压力,我们将通过系列文章的方式进行全面梳理和解读,以为保险行业数据合规提供参考指引。具体安排如下,诚邀各位一同关注。

(1)保险业数据合规典型案例分析

(2)保险业数据合规法律体系及关键要点

(3)保险业数据合规主要场景及合规要点

(4)保险业数据合规体系搭建和重点步骤

一、保险业数据合规案例总体情况

保险业数字化转型是面向数字时代发展的必然趋势,也是监管机构的明确部署要求,更是高质量服务客户的关键所在。保险业数字化转型意味着提供服务过程中,将大量处理数据,比如传统业务数字化过程中,需要通过信息化手段处理数据以提供投保、核保、理赔等保险服务,而新型保险业务更是以数据为基础,覆盖业务全流程。保险业务本身就需要处理大量个人信息,亦积累了丰富的个人信息资源,面对《个人信息保护法》等合规新要求,保险业在加速数字化转型的同时,也必须做好个人信息保护的数据合规工作。

自2021年《个人信息保护法》正式出台以来,保险业数据合规问题逐步凸显,监管部门针对保险业采取了一系列监管活动,对保险业个人信息合规提出了较高要求。结合公开案例检索和梳理,保险业个人信息保护合规呈现以下特点。

(1)监管部门:涉及金融监管机构、电信管理机构和公安机关。

(2)法律依据:包括《个人信息保护法》《保险法》《保险公司管理规定》《刑法》等。

(3)责任主体:既针对企业,也针对从业人员。

(4)责任类型:包括行政责任和刑事责任,具体为罚款、从业禁止和有期徒刑。

二、常见监管机构及处罚情况

个人信息保护涉及多个监管部门,根据《个人信息保护法》规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。因此,个人信息保护包括一般监管和行业监管两个体系。

一般监管主要包括网信部门、电信管理机构、市场监督管理部门和公安机关。网信部门基于统筹协调和监督管理职责,可以统筹协调有关部门推进个人信息保护工作,可以制定个人信息保护具体规则和标准,可以采取相关个人信息保护监管措施;电信管理机构是指工业和信息化部和省级通信管理局,主要依据电信和互联网个人信息保护职责,侧重于技术手段开展个人信息保护监管工作;市场监督管理部门主要基于消费者权益保护实施个人信息保护监管;公安机关主要从刑事打击的角度进行个人信息保护管理。

行业监管主要由行业主管部门基于《个人信息保护法》以及行业有关个人信息保护规定,开展个人信息保护监管活动。对于保险业而言,行业监管部门是国家金融监督管理总局(原中国银保监会)。

根据现有保险业个人信息处罚情况来看,金融监管机构、电信管理机构和公安机关均有公开案例情况。

(1)金融监管机构(原中国银保监会)

2015年,《国务院办公厅关于加强金融消费者权益保护工作的指导意见》中就要求保障金融消费者信息安全权,要求金融机构应当采取有效措施加强对第三方合作机构的管理,明确双方权利义务关系,严格防控金融消费者信息泄露风险,保障金融消费者信息安全。《个人信息保护法》于2021年通过并实施后,保险业主管部门迅速开展了个人信息保护专项整治工作。2022年,原银保监会向各银保监局、银行保险机构等下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求全面梳理和排查银行业保险业在个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象,督促银行保险机构建立健全消费者个人信息保护工作机制等。

今年3月,国家金融监管总局向各监管局,各大型银行、股份制银行、外资银行、直销银行、理财公司,各保险集团(控股)公司、保险公司、保险专业中介机构下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》,指出从目前投诉督查、举报调查、监管评价等工作中反映的问题来看,银行保险机构侵害个人信息权益的行为仍时有发生,内部管控还存在短板弱项和风险隐患。该通报指出从自查和抽查结果看,专项整治全面深入检视了银行保险机构个人信息处理工作各类流程,在个人信息处理具体执行层面发现大量问题或者隐患,机构自查共发现问题15.42万个,涉及员工14.09万人,影响消费者1.99亿人次,涉及合同协议、声明等2.63万份;监管部门开展监管抽查共发现问题5561个,涉及机构1985家次、员工3566人,影响消费者1556万人次。

发现的主要问题集中在五大方面:一是个人信息收集方面,存在强制同意、扩大授权、笼统授权等问题。譬如,某银行在信用卡申请环节,加入消费者无法取消的授权条款,强制消费者同意将其信息用于其他产品或者服务营销。某保险公司短期健康险投保单在格式化的业务申请表中加入预设的不合理授权条款,强制消费者同意将其信息提供给外部机构,并用于与其所办理业务无关的用途。二是个人信息存储和传输方面,存在电子数据管理混乱、纸质材料管理不严、传输方式不安全等问题。譬如,部分银行保险机构存在员工通过自建业务微信群发送客户身份证、社保卡照片等个人信息的情况。三是个人信息查询和使用方面,存在违规查询账户信息、不当使用客户信息等问题。四是个人信息提供和删除方面,存在未经授权对外提供、未及时删除等问题。五是个人信息第三方合作方面,存在对合作机构管控失效等问题。主要表现为,与第三方机构签订的协议中未约定消费者个人信息保护内容,未及时发现和处置第三方机构侵害个人信息权益行为。

(2)电信管理机构

电信管理机构负有电信和互联网领域个人信息保护的职责,是国内最早开展个人信息保护监管的机构。2013年,工信部出台《电信和互联网用户个人信息保护规定》(工信部令第24号),对电信服务和互联网信息服务过程中收集、使用用户个人信息的活动进行全面规范。

2019年以来,工信部以及地方通信管理局组织开展APP个人信息保护专项工作,主要依据的是两个通知——《关于开展信息通信服务感知提升行动的通知》和《关于开展纵深推进APP侵害用户权益专项整治行动的通知》。重点合规的内容包括:1.是否有双清单,即先前提及的已收集个人信息清单和第三方共享个人信息清单;2.隐私政策是否完善,是否提供隐私政策摘要,是否充分告知处理目的和方式,如调用权限的目的等;3.是否存在违规处理用户个人信息的行为;4.是否设置障碍影响用户的知情权、选择权,或者频繁骚扰用户,比如反复弹窗、不合理地反复索取权限等;5.是否存在欺骗误导用户的行为。

目前,APP检测治理工作已经由专项工作变为常态化工作,具备强大的技术检测能力和全面的APP(小程序)及SDK的覆盖能力。工信部在个人信息保护法方面充分运用技术手段,通过“全国APP技术检测平台”对上架APP进行技术检测,检测能力达到月均8万款,目标是覆盖所有的APP。对于检测不合格的APP,将通知采取整改措施,不能完成整改措施的,将予以下架处理。《个人信息保护法》第六十六条将这种监督管理手段予以法治化,成为一项法律要求。对于保险业而言,通过互联网开展保险业务的主要载体即为APP和小程序,因此可以说必然将成为被监管对象,在相关合规方面需特别注意。

典型案例:APP检测被通报

今年5月和9月,广东省通信管理局通报的APP名单中(存在问题或未完成整改)均有保险公司。

2024年5月通报的某人寿保险股份有限公司的APP,系因“违规收集个人信息”且限期内未按要求完成整改被公开通报。这款APP是该公司保险代理人的销售服务平台,可以为代理人提供寿险投保、计划书管理、客户管理、线上增员、团队管理、活动量管理、教育培训、业绩查询和运营服务等功能,对于代理人来说是必备的业务工具。

2024年9月通报的是某保险经纪有限公司的APP,系因“超范围收集个人信息”且限期内未按要求完成整改被公开通报。这款APP的功能是为保险代理人提供推销平台,帮助保险代理人拓客和在线销售。

(3)公安机关

侵犯公民个人信息不仅可能承担行政责任,还可能构成“侵犯公民个人信息罪”。《刑法》第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。该条第二款明确,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。第三款规定,窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

典型案例:偷拍客户信息涉嫌刑事犯罪

今年初,姚某通过某财险集团某市分公司办理了一份某银行的助贷后,姚某手机通讯录里的所有联系人、部分通话记录、微信好友及聊天记录等,全部被偷拍并存储于该财险公司的百度网盘里。该财险公司掌握了姚某的这些信息后,在姚某的贷款未逾期时就进行催收。姚某手机里的朋友、亲戚、同事、甚至村支部干部都接到了催收电话,母亲也因此脑梗住院,姚某表示这给他带来很大痛苦。根据公开报道,该财险公司拍摄存储的这类信息不只是姚某一个人的,而是2018年至2023年在该市分公司办理助贷业务的大批人员。2024年1月,公安机关刑警队受理案件并向姚某出具了受案回执。该案件引发巨大反响,严重影响了该保险公司的声誉。而且,根据后续刑警侦查结果,该公司及相关责任人员极有可能承担相应刑事责任。

三、可能承担哪些法律责任?

根据《个人信息保护法》《保险法》《保险公司管理规定》《刑法》等法律规定,保险业违反个人信息保护要求,可能承担行政责任和刑事责任(同时也不排除在私力救济案件中涉及民事责任),单位和个人都可能承担法律责任。

(1)刑事责任

个人信息保护合规的最大风险是刑事责任。《刑法》第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。该条第二款明确,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。第三款规定,窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

2017年,最高人民法院、最高人民检察院出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,明确“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。同时还明确了入刑标准,主要考量数量和金额标准。具体如下:

对于保险业而言,需要特别注意的是,在服务过程中侵犯公民个人信息,属于加重情节(即在提供服务过程中获得的公民个人信息),构成刑事犯罪的门槛很低(标准减半)。

典型案例:某保险公司员工售卖个人信息被判刑

2020年2月至12月,某保险公司客服王某某和某公司业务主任姜某串通,由姜某提供保险公司客户的电话销售保单号,王某某查询保单号并提供保险客户的姓名、联系方式、地址、购买险种、保费、购买时间、到期时间等,姜某据此开展保险销售业务。姜某向王某某支付每条信息8至15元。期间,王某某还联系了同事孔某、蒋某,协助提供信息。王某某、孔某、蒋某从中非法获利超过26万元,被判处有期徒刑一至三年。

(2)行政责任

行政责任中以《个人信息保护法》为最重,对企业的罚款没有下限,而最高可至五千万元或者上一年度营业额的百分之五;对人员的处罚起点是十万元,最高可至一百万元,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。除了罚款和从业限制,违反《个人信息保护法》,还可能被没收违法所得,责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

典型案例1:某保险公司及代理人违规收集个人信息被处罚

2024年7月,某保险公司因违规收集使用个人信息,被国家金融监督管理总局某地方监管局处罚,处罚事项为“违规收集使用个人信息”,对公司处警告并罚款32万元,对1名保险代理人罚款2万元,对违规收集使用个人信息问题负有直接管理责任的副经理(主持工作)罚款6万元。

值得注意的是,本案的处罚依据是《中华人民共和国保险法》第一百六十一条和《保险公司管理规定》第六十九条。而如果依据《个人信息保护法》进行处罚,对单位罚款的上限将至5000万元(或上一年度营业额的5%),对个人罚款的最低额为10万元,最高额可至100万元。可见,《个人信息保护法》对个人信息违法行为的处罚力度大为加强。

典型案例2:保险公司高管、员工因侵犯公民个人信息被禁业

2022年8月,原银保监会宁夏监管局作出行政处罚,对某保险公司电网销业务部总经理处以禁止进入保险业5年的行政处罚;对某2家保险公司3名员工处以禁止进入保险业5年的行政处罚。违法违规事实均为:违反法律规定侵犯公民个人信息。

上述处罚依据为《中华人民共和国保险法》第一百七十七条:违反法律、行政法规的规定,情节严重的,国务院保险监督管理机构可以禁止有关责任人员一定期限至终身进入保险业。而《个人信息保护法》第六十六条中的规定是,可以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。因此,实际执法过程中,保险业从业者既有可能被禁止从事保险业,也有可能被禁止担任企业高管或个人信息保护负责人。

四、对保险企业合规的启示

保险业涉及投保人、被保险人(含未成年人)、受益人、保险代理人、保险经纪人等多类自然人主体,收集、使用个人信息是业务刚需,且在销售、理赔、关联方共享以及数据出境等场景中都涉及个人信息,在数字化转型过程中亦将海量处理个人信息。随着个人信息保护监管力度不断加大,保险业个人信息保护将成为一项重点的常态工作。

根据典型案例梳理来看,无论是保险公司,还是具体的从业人员,都有可能承担违法处理个人信息的法律责任,乃至被判处有期徒刑的刑事责任。因此对于保险业而言,亟需提升个人信息保护合规意识,掌握个人信息保护合规知识,开展个人信息保护合规工作,从而能够在数字化浪潮中抓住数字发展红利,同时有效防范个人信息保护合规风险。

本文系保险业数据合规系列文章的开篇,希望帮助相关企业厘清法律责任及实际案例,明确个人信息保护在保险业中的重要性和紧迫性,后续我们的系列文章将进一步解读保险业数据合规的法律体系、典型场景和合规要点等,敬请进一步关注。

感谢吴真恺、苏琦对本文作出的贡献。

扫码订阅“金杜律师事务所”,了解更多业务资讯

最新文章
前沿观察
胜诉了却执行不了,在经济下行的周期中这样的情况更加普遍,而执行难不仅仅对于当事人来说难,对许多民商事律师来说同样视为畏途。“纸上权益”难以兑现为“真金白银”,使得法律的胜诉判决大打折扣。长期以来,被执行人逃避或抗拒执行的现象普遍存在。拒执行为使得民事裁判结果沦为“一纸空文”,不仅损害胜诉方的合法权益,也严重损害司法权威及公信力。 尽管我国《刑法》明确将“拒不执行判决、裁定”情节严重的行为规定为犯罪(下称“拒执罪”),但实践中该罪名的适用率却不高,甚至在某些地区几乎处于“休眠”状态。2024年11月18日,最高人民法院、最高人民检察院联合发布《关于办理拒不执行判决、裁定刑事案件适用法律若干问题的解释》(下称“《解释》”),通过扩大适用主体、扩张“裁定”范围、完善拒执情形、惩戒与修复并重等手段“激活”拒执罪相关法律规定的适用,进一步解决急难愁盼的执行难题。我们欣喜地看到,在《解释》生效的第2天,湖南湘阴县法院就适用新规审理了一起拒执案件,真正做到“拒不执行就执‘刑’”。 另一方面,解决执行难题不仅要有事后的严惩手段,更要有事前发现可供执行财产的前提,当事人和律师能通过哪些方式助力、推动执行工作也值得深思。争议解决与诉讼-刑事调查及辩护

2024/12/05

前沿观察
2024年12月2日,在经过将近半年的准备之后,美国商务部产业安全局(“BIS”)终于发布了关于先进计算半导体与半导体制造物项出口管制临时新规(“AC/S & SME IFR”)的最新修订。在经历了2022年10月7日、2023年10月17日和2024年3月29日三轮修订后,本次修订预计将成为拜登政府任期内的最后一次AC/S & SME IFR的重大修订。而正如美国商务部部长雷蒙多在12月1日的一次电话会中所述:“我们(本届政府)已使得BIS前所未有地变得更为强力、更为战略性、更为有效……(本次修订)将让下届政府做好准备,以延续保护美国科技安全和领导力的重要势头”,拜登政府在任期最后时刻公布相关新规,其计划将AC/S & SME IFR作为其在出口管制领域的重要政治遗产的意味也昭然若揭。那么,作为最新一次修订,本次新规是否能够完成拜登政府预想的关于对华半导体出口管制的重要拼图,新一届美国政府是否真的会在出口管制问题上萧规曹随,我们将结合本次新规的修订内容和相关背景,为大家带来我们的分析和见解,希望能够对大家有所帮助。合规业务-海关与贸易合规,电信、传媒、娱乐与高科技-高科技

2024/12/05