學術論壇
您所在的位置:首頁 > 學會動態 > 學術論壇 > 正文

迎接保险的新数字时代 – 写在《個人信息保護法》颁布之际

2021-08-25 10:50:32來源:王和空間作者:王和閱讀次數: 添加收藏
摘要:

 微信图片_20210825105308.jpg

20218月20日,在經曆了十幾年的千呼萬喚”之後,我國《個人信息保護法》終于通過了全國人大的審議並頒布,將于2021111日實施。這是一部怎樣的法律,她的頒布與實施將對我國保險業帶來怎樣的影響,是行業關注的焦點。因爲,有人說:這是“史上最嚴厲的法律”,更有人說:這部法律的實施,將迫使保險“重新做一遍”。

 

“重新做一遍”的说法不无道理,其背后的逻辑是:就保险业而言,无论是数据保护,还是数据利用,《個人信息保護法》都意味着一个“轉折點”。“轉折點”,不仅揭示着传统的客户数据管理理念、技术和模式的“難以爲繼”,更昭示著未來的“改天換地,同時,“轉折點”也意味着行业将面临“大浪淘沙”的“洗牌”,這種“洗牌”,既有“適者生存”的殘酷,更有“涅槃重生”的机会。面对“轉折點”,一个重要前提是:識時務,即需要認清形勢,把握大局,以清醒的頭腦,認識到:時過境遷,今非昔比

 

保險是一個數據行業”,這一點是毋庸置疑的,但從事保險的人是否都是“數據專業人士”,特別是“现代數據專業人士”,紡男著比常人更廣泛和深刻的數據理解和管理能力,則值得行業每一個人“扪心自問”式的反思與自省,特別是在人類社會文明進步的今天,特別是在數字科技快速發展的今天。這種要求,不再是一種“需要”,而是“必要”,否則,就難以理解,更無法駕馭“保險新數字時代”,因爲,“重新做一遍”的前提是:重新思考、認識和理解一遍。

 

首先,是数据本身,数据到底是什么,又意味着什么,特别是基于客户的视角。无论之前你是否有答案,但相信认认真真读完《個人信息保護法》,你会有全新的答案。其次,是保险本身,风险到底是什么,保险靠的是什么,是传统的精算吗?如果你把自己的窗戶”打開,去感受和體會數字科技帶來的認知科學認知計算突飛猛進”和“改天換地”,就會發現“時過境遷”意味著什麽,並決定了什麽,更覺得自己的局限、狹隘和落伍,以及發自內心的,強烈的危機感。

 

就保险业而言,《個人信息保護法》與其說是一部法律,不如說是一本教科書,一本彰顯“以人爲本”的法律教科書。通過學習,不僅要解決知法、懂法、用法,確保依法用數”,合規經營問題,更重要的是解決基于“以客戶爲中心”的“數商”問題。盡管“數字化”已经成为“脍炙人口”的热词,甚至成为了一种时髦。但我们不妨问问自己:真的了解和理解數字化吗?比如,什么是数字,数字的外延和内涵是什么?再比如,什么是數字化,这个“化”意味和代表着什么?这个“化”的过程是如何实现的,更为根本和关键的问题是:數字化到底为什么。或者說:为什么要數字化

 

学习和理解《個人信息保護法》的一个重要捷徑”是“顧名思義”,首先,是“個人信息”,它可以分拆爲“個人”和“信息”,這恰恰是保險經營的基礎。保險的大數法則,決定了“個人”是行業存在的基礎,沒有“個人”的選擇和集合,就沒有保險。風險理論,決定了“信息”是保险经营的基础,没有“信息”的获得和利用,就没有保险。其次,是“保护”,为什么要保护,“保护”背后的逻辑依据是什么,如何实现保护,保护和利用的关系是什么。依法保护固然重要,但自觉保护更重要,而要实现一种发自内心的自我觉悟,并非易事。第三,是“法”,作为一种社会制度安排,“法”的作用是调整行为,维护秩序,确保公平正义,同時,“法”具有刚性约束,紡男法必依,违法必究。行业学习《個人信息保護法》,從表面看,是解决懂法依法问题,但從本质看,是解决基于觉悟的自觉,解决“心法”問題。

 

但對于行業如此重要的“个人信息”,行业又了解了多少 ,特别是“個人信息權益”。一直以来,我们总认为“公司的數據屬于公司”是天經地義的,于是,一方面爲了獲得更多的數據,“不遺余力”,竭盡所能,用盡一切手段,不惜“打擦邊球”,即使數據是“來曆不明”;另一方面在數據的利用上,憑借著保險精算的“家底”,在算法和算力的加持下,利用人工智能等技術,開展客戶畫像和精准營銷,而“歧視”和“殺熟”,往往也都與“個性化”和“精細化”混爲一談,且難解難分。但當我們在做這一切的時候,是否考慮過“個人信息權益”問題,以及對“個人信息權益”的保護問題。

 

《個人信息保護法》的重要逻辑基础是:个人信息及其權益属于个人,任何组织和个人不得侵害。为了强调这种保护的權威性,在“三讀”的時候,引入了“根據憲法”的措辭,即明確法源爲《憲法》“國家尊重和保障人權,公民的人格尊嚴不受侵犯”。接下来的问题是什么是“个人信息”,什么是“個人信息權益”。《個人信息保護法》明确个人信息及其權益属于个人,并“神圣不可侵犯”,因此,保险企业在处理个人信息过程中,即使是處理“企業數據庫”裏的個人信息時,也要清醒地認識到:那仍然是“個人信息”,相关处理活动仍应当遵循《個人信息保護法》,否则,就可能涉及违法经营,认识到这一点,至关重要,这既是依法合规经营的重要基础,更是深化转型,实现高质量发展的重要基础。

 

《個人信息保護法》明确,个人信息是以电子或者其他方式记录的与已識別或者可識別的自然人有关的各种信息。已識別”是指具有唯一指向性的信息,“可識別”是指具有指向性,但单凭这一信息不能确定自然人。同时,为了更好地解决保护和利用的关系,《個人信息保護法》将个人信息进一步划分为“一般個人信息”與“敏感個人信息”,并设立专门章节,明确并强化“敏感個人信息”的保护问题。

 

敏感個人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。“敏感個人信息”是保护的重点,要求只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可处理敏感個人信息。在保险经营的过程中,不可避免地将涉及“敏感個人信息”,但是否具有“特定的目的”和“充分的必要性”,以及是否采取了“嚴格保護措施”,均需要重新、認真和審慎地對待。

 

關于個人信息權益”问题,这是《個人信息保護法》的对象,切实和有效保护個人信息權益是立法的宗旨、目的和核心诉求,也是贯穿始终的内容。因此,作为前提和基础,需要对“個人信息權益”有一个全面的了解和深刻的认识,其中不仅有人格權和隐私權,还有财产權和收益權。個人信息權益的形式十分广泛,主要包括了知情權決定(撤回)限制權拒绝權查閱复制權攜帶更正补充權刪除(遺忘)。这些權益的内涵和外延,与保护密切相关。但要真正理解这些權益,尊重并保护这些權益,包括在实际工作中按照要求,有效履行和落实相关义务,均非易事。

 

《個人信息保護法》确立了在个人信息保护中的一个重要角色:個人信息處理者,同時,定义了个人信息处理,包括收集、存储、使用、加工、传输、提供、公开、刪除等活动。從某种意义上讲,《個人信息保護法》是围绕着個人信息處理者的责任和义务展开的,并制定了一系列原则和规则,特别是要求应当遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和範圍,其目的是更好地规范個人信息處理者的行为,切实维护個人信息權益。

 

保险企业,无疑是典型的個人信息處理者,但就目前的情况而言,大多数保险企业的数据处理行为,与《個人信息保護法》的要求均相距甚遠“不符合”的情況比比皆是,有些問題的性質還相當嚴重”,這無疑是一個難以回避的問題和現實挑戰,處理不好,就可能演化成爲一種危機,而且,距離2021111日正式实施,已经没有太多的时间了,因此,行业要有一种很强的危机感和紧迫感,以刻不容缓的认识和态度,在认真学习的基础上,尽快启动《個人信息保護法》的专项普法和合规治理活动。

 

保险行业的当务之急是解决经营管理实际操作层面的合法性问题,其中,最重要的是在掌握和理解的基础上,有效落实《個人信息保護法》中關于个人信息处理的基本原则和规定。一是合法、正當、必要和誠信原則,在互聯網經濟思維背景下,企業總是希望利用業務機會,盡可能多地獲取客戶信息,但如果超越了“合法、正當和必要”的邊界,就可能觸及違法,因此,要摒棄“越多越好”的心態,明白“夠用就好”的道理。二是“最小必要”原則,即滿足處理目的的“最小”,即要求個人信息處理者,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。三是“告知同意”原則,要求個人信息處理者在处理个人信息之前,应当明确和充分告知,并取得个人的同意,这种同意应当是个人在充分知情的前提下,自愿和明确作出的。在有些情况下,如处理敏感個人信息时,要取得个人的单独和书面同意。

 

《個人信息保護法》要求個人信息處理者,要提供两大技术能力,一是符合法律規定的個人信息處理技術能力,如:1)采取必要措施保障所处理的个人信息的安全;2)采取嚴格保護措施的情形下,個人信息處理者方可处理敏感個人信息;3)采取相应的加密、去标识化等安全技术措施;4)个人请求更正、补充其个人信息的,個人信息處理者应当对其个人信息予以核实,并及时更正、补充。二是满足個人信息權益保障的技术能力,如:1)个人有權撤回其同意,個人信息處理者应当提供便捷的撤回同意的方式;2)个人请求查閱、复制其个人信息的,個人信息處理者应当及时提供;3)个人请求将个人信息转移至其指定的個人信息處理者,個人信息處理者应当提供转移的途径;4)通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

 

纵观《個人信息保護法》各种严格的规范和要求,就不难理解为什么会将其称为“史上最严的法律”,一个重要的原因是《個人信息保護法》在个人信息及其權益保护方面,提出了一系列“几近苛刻”的要求,这背后固然有“矯枉過正”的因素,但更有“保護是最好的利用”的邏輯,而最重要的是切實維護廣大人民群衆的切身利益。但對于大多數保險企業,尤其是中小保險企業而言,可能面臨著“做不到”的無奈和尴尬。在這種無奈和尴尬的背後折射出一個時代課題”,即傳統的理念和技術已經難以適用“新數字時代”的需要,這個時代的特征是:一方面嚴格並強化個人信息保護,另一方面強調數字利用能力將成爲核心競爭力,于是,如何處理和平衡保護和利用的關系,繼續沿用過去的思維模式和技術能力是“走不出來”的,需要適應新時代的新思維和新能力。

 

所謂“新思维”的关键是理解并尊重“個人信息權益”的基础上,從根本上摒弃传统的思维模式,构建全新的经营理念。就数据管理和运用而言,要放弃“企業本位”和“以我爲主”,以及“大而全”和“小而全”的思維,從技術管理的視角看,要放棄“本地思維”和“大集中”理念,以更廣的視野和胸懷,以更大的覺悟和智慧,理解“不求所有,但知所在,確保能用”,理解“數據不動,價值動”,實現“可算不可見”和“可用不擁”的技術境界,從根本上破解“個人信息保護難題”,最終實現“由內而外”和“重內輕外”到“由外而內”和“內外並重”的轉變,同時,要强化技术和产业合作,形成“內引外聯”和“內外兼修”的發展新格局和新生態,在全面融入社会數字化的同时实现企业的數字化。

 

所謂“新技術”的重點是隱私計算。隱私計算是面向隐私信息全周期保护的技术,可以实现数据的可用不可見”,成为面向未来的重要技术解决方案。在全面落实《個人信息保護法》要求的过程中,应当将隱私計算作为一个重要工具、方法和路径,努力打造隱私計算的开发、利用和集成能力。要重点关注安全多方計算、同態加密、可信計算、聯邦學習、差分隱私、區塊鏈、邊緣計算技术等,要将隱私計算技术作为重构业务模式的底层技术,确保基础逻辑的合法性,同時,要以更加开放的心态,加强与隱私計算科技行业的合作,要特别重视相关平台技術的發展動態和合作機會,形成一種內外聯合,互利共贏的模式。

 

总之,《個人信息保護法》的实施,不仅代表了社会的文明与进步,更要求、引领和推动着保险行业的发展与进步,特别是面向未来,面向认知革命时代的到来,保险业要实现基于認知科學和認知計算的蛻變與叠代核心數據能力”将成为关键,更重要的是这种“核心數據能力”必须是建立在依法合规基础上,建立在对客户信息有效保护基础上,因此,保险业要利用《個人信息保護法》这本教科书的学习,理解时代,提高觉悟,突破自我,提升能力,更好地迎接保险的新数字时代。


標簽: