2021年8月20日,在经历了十几年的“千呼万唤”之后,我国《个人信息保护法》终于通过了全国人大的审议并颁布,将于2021年11月1日实施。这是一部怎样的法律,她的颁布与实施将对我国保险业带来怎样的影响,是行业关注的焦点。因为,有人说:这是“史上最严厉的法律”,更有人说:这部法律的实施,将迫使保险“重新做一遍”。
“重新做一遍”的说法不无道理,其背后的逻辑是:就保险业而言,无论是数据保护,还是数据利用,《个人信息保护法》都意味着一个“转折点”。“转折点”,不仅揭示着传统的客户数据管理理念、技术和模式的“难以为继”,更昭示着未来的“改天换地”,同时,“转折点”也意味着行业将面临“大浪淘沙”的“洗牌”,这种“洗牌”,既有“适者生存”的残酷,更有“涅槃重生”的机会。面对“转折点”,一个重要前提是:识时务,即需要认清形势,把握大局,以清醒的头脑,认识到:时过境迁,今非昔比。
保险是一个“数据行业”,这一点是毋庸置疑的,但从事保险的人是否都是“数据专业人士”,特别是“现代数据专业人士”,即有着比常人更广泛和深刻的数据理解和管理能力,则值得行业每一个人“扪心自问”式的反思与自省,特别是在人类社会文明进步的今天,特别是在数字科技快速发展的今天。这种要求,不再是一种“需要”,而是“必要”,否则,就难以理解,更无法驾驭“保险新数字时代”,因为,“重新做一遍”的前提是:重新思考、认识和理解一遍。
首先,是数据本身,数据到底是什么,又意味着什么,特别是基于客户的视角。无论之前你是否有答案,但相信认认真真读完《个人信息保护法》,你会有全新的答案。其次,是保险本身,风险到底是什么,保险靠的是什么,是传统的精算吗?如果你把自己的“窗户”打开,去感受和体会数字科技带来的认知科学和认知计算的“突飞猛进”和“改天换地”,就会发现“时过境迁”意味着什么,并决定了什么,更觉得自己的局限、狭隘和落伍,以及发自内心的,强烈的危机感。
就保险业而言,《个人信息保护法》与其说是一部法律,不如说是一本教科书,一本彰显“以人为本”的法律教科书。通过学习,不仅要解决知法、懂法、用法,确保“依法用数”,合规经营问题,更重要的是解决基于“以客户为中心”的“数商”问题。尽管“数字化”已经成为“脍炙人口”的热词,甚至成为了一种时髦。但我们不妨问问自己:真的了解和理解数字化吗?比如,什么是数字,数字的外延和内涵是什么?再比如,什么是数字化,这个“化”意味和代表着什么?这个“化”的过程是如何实现的,更为根本和关键的问题是:数字化到底为什么。或者说:为什么要数字化。
学习和理解《个人信息保护法》的一个重要“捷径”是“顾名思义”,首先,是“个人信息”,它可以分拆为“个人”和“信息”,这恰恰是保险经营的基础。保险的大数法则,决定了“个人”是行业存在的基础,没有“个人”的选择和集合,就没有保险。风险理论,决定了“信息”是保险经营的基础,没有“信息”的获得和利用,就没有保险。其次,是“保护”,为什么要保护,“保护”背后的逻辑依据是什么,如何实现保护,保护和利用的关系是什么。依法保护固然重要,但自觉保护更重要,而要实现一种发自内心的自我觉悟,并非易事。第三,是“法”,作为一种社会制度安排,“法”的作用是调整行为,维护秩序,确保公平正义,同时,“法”具有刚性约束,即有法必依,违法必究。行业学习《个人信息保护法》,从表面看,是解决懂法依法问题,但从本质看,是解决基于觉悟的自觉,解决“心法”问题。
但对于行业如此重要的“个人信息”,行业又了解了多少 ,特别是“个人信息权益”。一直以来,我们总认为“公司的数据属于公司”是天经地义的,于是,一方面为了获得新皇冠体育:的数据,“不遗余力”,竭尽所能,用尽一切手段,不惜“打擦边球”,即使数据是“来历不明”;另一方面在数据的利用上,凭借着保险精算的“家底”,在算法和算力的加持下,利用人工智能等技术,开展客户画像和精准营销,而“歧视”和“杀熟”,往往也都与“个性化”和“精细化”混为一谈,且难解难分。但当我们在做这一切的时候,是否考虑过“个人信息权益”问题,以及对“个人信息权益”的保护问题。
《个人信息保护法》的重要逻辑基础是:个人信息及其权益属于个人,任何组织和个人不得侵害。为了强调这种保护的权威性,在“三读”的时候,引入了“根据宪法”的措辞,即明确法源为《宪法》的“国家尊重和保障人权,公民的人格尊严不受侵犯”。接下来的问题是什么是“个人信息”,什么是“个人信息权益”。《个人信息保护法》明确个人信息及其权益属于个人,并“神圣不可侵犯”,因此,保险企业在处理个人信息过程中,即使是处理“企业数据库”里的个人信息时,也要清醒地认识到:那仍然是“个人信息”,相关处理活动仍应当遵循《个人信息保护法》,否则,就可能涉及违法经营,认识到这一点,至关重要,这既是依法合规经营的重要基础,更是深化转型,实现高质量发展的重要基础。
《个人信息保护法》明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。“已识别”是指具有唯一指向性的信息,“可识别”是指具有指向性,但单凭这一信息不能确定自然人。同时,为了更好地解决保护和利用的关系,《个人信息保护法》将个人信息进一步划分为“一般个人信息”与“敏感个人信息”,并设立专门章节,明确并强化“敏感个人信息”的保护问题。
“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。“敏感个人信息”是保护的重点,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。在保险经营的过程中,不可避免地将涉及“敏感个人信息”,但是否具有“特定的目的”和“充分的必要性”,以及是否采取了“严格保护措施”,均需要重新、认真和审慎地对待。
新皇冠体育:“个人信息权益”问题,这是《个人信息保护法》的对象,切实和有效保护个人信息权益是立法的宗旨、目的和核心诉求,也是贯穿始终的内容。因此,作为前提和基础,需要对“个人信息权益”有一个全面的了解和深刻的认识,其中不仅有人格权和隐私权,还有财产权和收益权。个人信息权益的形式十分广泛,主要包括了知情权、决定(撤回)权、限制权、拒绝权、查阅和复制权、携带权、更正和补充权、删除(遗忘)权。这些权益的内涵和外延,与保护密切相关。但要真正理解这些权益,尊重并保护这些权益,包括在实际工作中按照要求,有效履行和落实相关义务,均非易事。
《个人信息保护法》确立了在个人信息保护中的一个重要角色:个人信息处理者,同时,定义了个人信息处理,包括收集、存储、使用、加工、传输、提供、公开、删除等活动。从某种意义上讲,《个人信息保护法》是围绕着个人信息处理者的责任和义务展开的,并制定了一系列原则和规则,特别是要求应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围,其目的是更好地规范个人信息处理者的行为,切实维护个人信息权益。
保险企业,无疑是典型的个人信息处理者,但就目前的情况而言,大多数保险企业的数据处理行为,与《个人信息保护法》的要求均相距甚远,“不符合”的情况比比皆是,有些问题的性质还“相当严重”,这无疑是一个难以回避的问题和现实挑战,处理不好,就可能演化成为一种危机,而且,距离2021年11月1日正式实施,已经没有太多的时间了,因此,行业要有一种很强的危机感和紧迫感,以刻不容缓的认识和态度,在认真学习的基础上,尽快启动《个人信息保护法》的专项普法和合规治理活动。
保险行业的当务之急是解决经营管理实际操作层面的合法性问题,其中,最重要的是在掌握和理解的基础上,有效落实《个人信息保护法》中新皇冠体育:个人信息处理的基本原则和规定。一是合法、正当、必要和诚信原则,在互联网经济思维背景下,企业总是希望利用业务机会,尽可能多地获取客户信息,但如果超越了“合法、正当和必要”的边界,就可能触及违法,因此,要摒弃“越多越好”的心态,明白“够用就好”的道理。二是“最小必要”原则,即满足处理目的的“最小”,即要求个人信息处理者,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。三是“告知同意”原则,要求个人信息处理者在处理个人信息之前,应当明确和充分告知,并取得个人的同意,这种同意应当是个人在充分知情的前提下,自愿和明确作出的。在有些情况下,如处理敏感个人信息时,要取得个人的单独和书面同意。
《个人信息保护法》要求个人信息处理者,要提供两大技术能力,一是符合法律规定的个人信息处理技术能力,如:1)采取必要措施保障所处理的个人信息的安全;2)采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息;3)采取相应的加密、去标识化等安全技术措施;4)个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。二是满足个人信息权益保障的技术能力,如:1)个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式;2)个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供;3)个人请求将个人信息转移至其指定的个人信息处理者,个人信息处理者应当提供转移的途径;4)通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
纵观《个人信息保护法》各种严格的规范和要求,就不难理解为什么会将其称为“史上最严的法律”,一个重要的原因是《个人信息保护法》在个人信息及其权益保护方面,提出了一系列“几近苛刻”的要求,这背后固然有“矫枉过正”的因素,但更有“保护是最好的利用”的逻辑,而最重要的是切实维护广大人民群众的切身利益。但对于大多数保险企业,尤其是中小保险企业而言,可能面临着“做不到”的无奈和尴尬。在这种无奈和尴尬的背后折射出一个“时代课题”,即传统的理念和技术已经难以适用“新数字时代”的需要,这个时代的特征是:一方面严格并强化个人信息保护,另一方面强调数字利用能力将成为核心竞争力,于是,如何处理和平衡保护和利用的关系,继续沿用过去的思维模式和技术能力是“走不出来”的,需要适应新时代的新思维和新能力。
所谓“新思维”的关键是理解并尊重“个人信息权益”的基础上,从根本上摒弃传统的思维模式,构建全新的经营理念。就数据管理和运用而言,要放弃“企业本位”和“以我为主”,以及“大而全”和“小而全”的思维,从技术管理的视角看,要放弃“本地思维”和“大集中”理念,以更广的视野和胸怀,以更大的觉悟和智慧,理解“不求所有,但知所在,确保能用”,理解“数据不动,价值动”,实现“可算不可见”和“可用不拥”的技术境界,从根本上破解“个人信息保护难题”,最终实现从“由内而外”和“重内轻外”到“由外而内”和“内外并重”的转变,同时,要强化技术和产业合作,形成“内引外联”和“内外兼修”的发展新格局和新生态,在全面融入社会数字化的同时实现企业的数字化。
所谓“新技术”的重点是隐私计算。隐私计算是面向隐私信息全周期保护的技术,可以实现数据的“可用不可见”,成为面向未来的重要技术解决方案。在全面落实《个人信息保护法》要求的过程中,应当将隐私计算作为一个重要工具、方法和路径,努力打造隐私计算的开发、利用和集成能力。要重点关注安全多方计算、同态加密、可信计算、联邦学习、差分隐私、区块链、边缘计算技术等,要将隐私计算技术作为重构业务模式的底层技术,确保基础逻辑的合法性,同时,要以更加开放的心态,加强与隐私计算科技行业的合作,要特别重视相关平台技术的发展动态和合作机会,形成一种内外联合,互利共赢的模式。
总之,《个人信息保护法》的实施,不仅代表了社会的文明与进步,更要求、引领和推动着保险行业的发展与进步,特别是面向未来,面向认知革命时代的到来,保险业要实现基于认知科学和认知计算的蜕变与迭代,“