南方财经全媒体集团 记者 孙诗卉 实习生 周宇 上海报道
编者按:
医疗大数据产业作为国家最早布局和推动数据要素市场的行业,正进入飞速发展时期。与此同时,去年以来,《个人信息保护法》《数据安全法》等数据立法框架搭建并落地执行,给医疗健康行业的数据处理带来了压力。
21世纪经济报道长期关注数据合规议题,伴随着法律法规实施,我们希望能从垂直领域了解行业动态,故推出“守护医疗数据安全”系列报道,详解宏观政策、产业发展,探讨不同场景、细分行业的合规难点,以期提升整个行业的数据合规水位线。
随着保险数字化转型进入关键期,各大险企积极参与“保险+”的模式创新,人工智能、大数据的运用正成为新的战场。但在这一过程中,个人信息合规问题也开始进入人们的视野。
“十四五”规划纲要提出,促进数字技术与实体经济深度融合,打造数字经济新优势。保险科技作为保险业高质量发展的重要基础,过去一年里,全面进入加速线上化、数字化的新阶段,保险科技领域在产品、技术上也实现了长足进步。但与其他金融业态不同,保险,对于各类私人化信息的依赖是与生俱来的。在“保险+”的模式创新,很难规避对敏感个人信息的“触碰”。
保险业业务涉及个人信息的场景
保险业业务按照流程可分为:保险展业(销售)、业务承保以及保险理赔。
众安保险在接受21世纪经济记者采访时表示,根据相关监管要求,在保险展业中,消费者在投保的时候,要提供个人姓名、身份证号码,联系方式等个人信息。又如健康险在销售时,保险公司按照相关要求,需要收集录音、录像。
在业务承保中,比如健康险产品,保险公司会询问被保险人的健康情况,这就涉及到个人的健康信息。
在保险理赔中,核赔阶段保险公司需要验证申请人身份;理赔阶段保险公司会向医疗机构查询被保险人病历。
而随着保险行业业务模式的拓宽、保险种类的创新,互联网、物联网渠道的加入,以及层出不穷的新型保险的诞生,给原有的合同增加了平台的隐私条款。这需要更多的数据和信息作为支撑,形成标准的数据指标体系。因此,这些新的拓宽和创新,往往意味着用户需要提供更多的个人信息作为销售、承保或者理赔的依据。
例如,在汽车保险的种类创新中,UBI车险基于智能网联车技术,开展了“按使用付费(UBI)”的产品创新,这种保险产品,不仅能够使汽车保险的定价更加科学,还能够帮助驾驶人员纠正不良的驾驶习惯,确保行车安全。而要达到这种效果,保险公司需要获得更多基于驾驶人员个人驾驶行为、车辆状态、位置信息、驾驶时间、里程等综合数据信息,再基于定价模型提供定制化的保险费用。
然而,在保险行业业务拓宽、种类创新的同时,却存在着诸如个人信息安全难以保证、法律监管存在灰色地带的相关问题。例如,不少车主都曾经历过购置新车后,接到过推销车险的营销电话。记者在查询公开投诉平台【进入黑猫投诉】发现,消费者投诉车险、信保业务涉及个人信息泄露情况较多。
个人信息合规难点在哪里?
保险行业业务模式的拓宽和保险种类的创新,带来的信息泄露风险也随之增加。
由于保险业务品类的不断丰富,涉及的第三方服务机构、外包机构也在不断增加。以某大型保险公司的个人信息保护政策为例,仅仅是已被披露的提供客户端第三方SDK服务的机构就有十余家之多。
而许多险企的个人信息保护政策并不能很好地约束第三方收集和处理个人信息的行为。在这些第三方服务机构提供服务的过程中,其内部员工则有机会接触到保险公司业务的商业机密以及用户的个人信息,在信息暴露范围扩大的情况下,保险公司如果难以做到实时监管和后续监管,可能因外包平台的疏漏导致商业机密、用户个人信息发生泄露问题。
除此第三方泄露,如何规范从业人员以及行业内部行为,同样是亟待解决的隐疾。
一位保险业内人士曾认为,过去出现问题的原因往往在于销售前端重业绩,轻合规。部分是工作人员个人为了牟利的私自行为,也有部分是其他机构为了获取新客户而采取的信息搜集行为,或者是具有利益合作关联的机构之间采取的信息合作行为。
而车险领域往往是此类行为的多发地。相关人员透露道,现在车险的数据应该是部分行业内共享的。在拍车牌阶段,就公司或者中介能拿到车主车险的到期时间,以及在车管所登记的电话。通过一道道程序,保险公司就可以在车险到期前给客户去打电话。尤其是通过互联网的技术手段和销售渠道,虽然能够在销售业绩和销售渠道上带来很好的突破,但是与之相对应的管理要求和个人信息保护能力并没有得到同等程度的重视和建立。
面对这些隐患,有专家指出隐私计算或能成为保险行业的未来趋势。保险行业的重点依然还是数据和计算,它们贯穿风险管理的全过程。一方面,是数据和计算是保险行业发展的必备因素,而几乎所有数据都或多或少与隐私相关联;另一方面,保护个人信息和隐私安全也是当前重要的议题。因此,在未来,隐私计算、数据脱敏及数据匿名化可能将成为保险行业发展的另一重要基石。
个人信息合规问题的行业探索
在对个人信息合规问题的探索之路上,行业内一直在寻找更为稳妥的解决方式。一面是2021年11月正式施行的《个人信息保护法》对个人隐私信息保护方面的硬性要求,另一面是保险行业业务模式拓宽、保险种类创新带来的新模式对个人信息的需求和收集,在这两面之中,夹杂着许多空白地带,也给个人信息合规带来了不小的挑战。
如何在保险转型创新的同时严守个人信息合规,行业之间也给出了不同的答卷。众安保险在接受21世纪经济记者采访时表示,金融机构历来就非常重视金融消费者的个人信息保护,在《数据安全法》《个人信息保护法》出台之后,众安保险公司非常积极地落实个人信息合规使用。其策略从整体上来说可以用“管、控、用”概括:“管”是指建立企业级管理数据使用的组织。“控”是指通过流程制度和技术保障来控制数据的访问、流通和使用。“用”是指在“管控”基础上,根据场景在组织的监督下,通过技术平台工具按照一定的流程制度去使用。针对三个方面,众安保险推出了从组织领导、制度流程和技术平台的三层管理,确保用户的信息安全。
中国人民财产保险有限公司与奇虎360达成合作,推出的网络信息安全保险新模式,通过积极发挥双方在数据积累、资源整合、技术研发等多方面的优势,打造“全流程安全服务”,全力保障用户个人信息以及商业核心机密安全。
除此之外,专家学者也对此问题有不同建议。此前,仁和保险研究院院长王和表示,就行业而言,借鉴“关键信息基础设施”的理念,搭建具有行业公信力的隐私计算平台是当务之急。平台建设可以导入“可信环境”和“联盟链”等技术,同时,为下一步的“数据信托”模式,创造条件,营造环境。边缘计算也是一种解决思路,即数据不动,算法动。在可信计算的基础,探索可信计算的嵌套模式,以满足不同环境和需求。
(作者:孙诗卉 )
