作者:金茂律师事务所 万波 律师 王书玥 律师助理
引言:自《金融领域数据出境(综述)》开始,我们已针对银行业的金融数据出境撰写了《银行业数据出境合规要点》。在本篇中,我们将目光聚焦于保险机构,看看对于保险行业而言数据出境的关键点。
一、保险机构数据范畴概览
保险机构所涉及的数据以及个人信息种类繁多,分布在投保、核保、理赔等各个业务环节中。
就个人信息而言,不仅包括一般个人信息,更包含了诸多敏感个人信息(例如个人健康信息、生物信息等)。以健康险为例,除了通常的投保人及受益人的身份类信息外,还会收集投保人的财产类信息(如银行账号、第三方支付平台信息等)、健康信息(如就医记录、住院情形等),以及生物类信息(如面部识别信息、指纹信息等)。
除了个人信息外,保险公司还会针对保险产品的种类针对性地收集其他数据。以车险为例,除了收集个人身份信息、个人财产信息外,保险公司还会收集车辆的基本信息(如车辆的所有人、登记日期、使用性质、车牌号码、发动机号、品牌、详细型号、车架号、车身颜色、出厂日期等)、车辆的配置信息(如发动机型号、变速箱信息、排量、核定载客)等等一系列与车辆有关的信息。
与银行业金融数据相类似,保险机构的海量数据同样可能被认定为重要数据。“重要数据”是指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”。
在中国人民银行发布的《金融数据安全 数据安全分级指南(JR/T 0197—2020)》(以下简称“《金融数据分级指南》”)的附录A《数据定级规则参考表》中,针对保险业务的数据进行了较为详细的分类:
二、保险机构数据出境相关法规
保险机构属于金融机构,因此所有适用范围包括金融机构的法律法规、部门规章等,保险机构都适用。部分涉金融机构的数据出境相关法规在前篇《银行业数据出境合规要点》中已经提及,因此下表将不再重复,仅列出部分针对性法规:
对于保险公司是否为关键信息基础设施的运营者的认定工作,根据《关键信息基础设施安全保护条例》的规定,将由保险行业的主管部门、监管部门——银保监会负责实施。
对于重要数据的识别,主要参考2022年1月13日信安标委最新公布的《信息安全技术 重要数据识别指南(征求意见稿)》进行操作。
保险机构的数据出境应遵循金融机构数据的统一原则,即“本地化为原则+确有需要出境”,具体的个人金融信息出境规则可参考《个人金融信息保护技术规范(JR/T 0171-2020)》第7.1.3(d)条:“在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。因业务需要,确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的,应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;应与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。”
同时,大型的保险机构极有可能触发《数据出境安全评估办法》(以下简称“《评估办法》”)第四条的规定,作为“处理100万人以上个人信息的数据处理者”,在向境外提供个人信息时,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。由此,相关的《数据出境安全评估申报指南(第一版)》(以下简称“《申报指南》”)也是此时保险机构应重点参照的规定。
三、保险机构数据出境合规要点
保险机构的数据出境场景主要包括跨境保险公司间数据传输、合作的再保险公司在境外、高端医疗海外就医、跨境外包等。
在实操中,目前三条数据出境合规路径 同样适用于保险机构,具体的适用情形及操作要点已在前文《金融领域数据出境合规要点(综述)》中进行了说明,在此不再赘述。
对比其他金融机构,保险机构出于其业务特性,不仅掌握了大量的个人信息,其中更重要的是诸多敏感个人信息(如生物信息、健康信息等)。根据《个人信息保护法》第二十八条的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
在此就保险机构涉及较多的敏感个人信息在出境方面的合规要点进行简要提示:
1、切实履行“告知—同意”义务,获取个人的“单独同意”
在出境前的收集敏感个人信息的操作中,根据《个人信息保护法》的规定,应注意取得个人的“单独同意”,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
在出境方面,《个人信息保护法》在第三十九条规定,个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项,并取得个人的单独同意。
例如,涉及境外医疗的健康险业务中,保险机构则可能将诸多敏感个人信息传输至境外医疗机构,此时保险机构可选择将境外医疗的机构的名称、联系方式、传输的个人信息种类等等应向个人告知的内容与收集敏感个人信息步骤相结合,同步履行“告知—同意”义务,避免频繁告知而增加客户的负担。
同样的,在跨境保险公司的业务数据传输、境外再保险业务场景下,都会涉及到敏感个人信息的传输,故保险机构在前期应注重“告知—同意”义务的履行。
2、出境风险评估要点
根据《评估办法》第五条的规定,在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估事项就包括出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。在《申报指南》的附件4《数据出境风险自评估报告(模板)》中,也同样要求数据处理者说明出境数据的敏感程度,并针对性地说明评估发现的问题和风险隐患、相应采取的整改措施及整改效果。
根据《信息安全技术 个人信息安全影响评估指南》(GB/T 39335—2020)的附录D中表格(见下表),对于个人权益影响程度的判定可采取定性、半定量和定量的方式。而从表格中的“影响描述”,我们不难看出敏感个人信息一旦泄露,对个人权益的影响之大,自然也是评估的重中之重。
3、注重对于敏感个人信息的保护措施
不论是从提升保险机构自身的数据安全等级与措施出发,还是从为了顺利通过出境安全评估这一目的出发,保险机构都应注重对敏感个人信息的保护。
根据《信息安全技术 个人信息安全规范》(GBT 35273-2020)(以下简称“《安全规范》”)第6.3条的规定,“传输和存储个人敏感信息时,应采用加密等安全措施;个人生物识别信息应与个人身份信息分开存储;原则上不应存储原始个人生物识别信息(如样本﹑图像等),可采取的措施包括但不限于:(1)仅存储个人生物识别信息的摘要信息;(2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;(3)在使用面部识别特征﹑指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像”。《安全规范》在附录B中例举了部分个人敏感信息:
在实操中,不论保险机构采取何种保护措施(如数据隔离、数据加密等),都应着眼于数据的整个生命周期的管理,包括数据产生、数据传输使用、数据变更、数据存储、数据处置或销毁整个流程,确保在各个阶段都能采取严格的保护措施,一旦泄密也能及时找到源头线索与证据,时刻防止非授权、非合规的访问,切实提高敏感个人信息乃至所有数据的安全保护。
四、结语
在2022年8月9日,银保监会办公厅下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,全面梳理和排查银行业保险业在个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象,督促银行保险机构建立健全消费者个人信息保护工作机制等。除了监管部门对数据合规的整治工作,行业自律组织也有所行动。2022年9月,上海市保险同业公会发布了《上海银行业保险业数据合规倡议书》,提倡加强业务条线数据团队建设,构建覆盖产品全生命周期的数据资产管理体系;主动对标监管数据标准,加强数据质量控制,力争形成数据差错问责的数据质量管控机制等。相信在不久的未来,更多针对保险行业数据管理的细化规则会陆续出台,数据出境的实操规则也将进一步明晰。