□潘红艳
一、欧盟保护消费者信息安全的新措施
1.确立消费者信息保护的四项权限
欧盟议会于2016年4月14日通过《通用数据保护条例(General Data Protection Regulations)》(“GDPR”),2018年5月25日在欧盟成员国内正式生效实施。依据该条例,对个人及公司的数据进行保护。基本逻辑和保护路径体现为以下四项权限。其一信息确认权,消费者个人对自身的数据信息享有确定的权利。其二信息消除权,消费者个人有权要求任何掌握该数据信息的机构和个人消除相应信息。其三信息取回权,消费者个人有权向任何基于商业往来等原因保留数据信息的机构和个人要求取回这些信息。其四禁止使用信息权,消费者个人有权禁止任何机构和个人以商业目的适用数据信息。GDPR以四项权限为基础,构建了为权利表现的个人信息保护的规则体系。
2.欧盟成员国已经实施,保护申请频发。
依据GDPR,欧盟成员国内的个人向欧盟国家监管当局已经提出近10万件信息保护案件。欧盟删除超过10000个搜索结果,根据欧盟委员会2019年1月19日的出版物数据,该规则实施后8个月内投诉数量达到95180起。关于营销电子邮件等投诉占据很大比例。同时,与欧盟成员国进行交易的其他国家也接到了欧盟要求从委托人那里删除数据等贯彻该规则的请求(对于欧盟成员国以外的国家和地区,欧盟的规则不具有约束力,但是欧盟可以通过请求的方式实现欧盟规则对其他国家和地区的影响。)
3.欧盟外国家也受到影响
为了应对欧盟的这些请求,日本处理生物识别服务的Liquid(Liquid,Tokyo·Chiyoda)公司提供了一个结算系统,以验证指纹的身份。
欧盟《通用数据保护规则》的适用范围广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。对保险企业(即使是所在国法律并没有被遗忘权和禁止使用权规定的保险企业)会产生如下影响。
在欧盟的《通用数据保护规则》中,包括被遗忘的权利(擦除权利)和禁止以营销目的使用数据的权利。根据GDPR第3条2款的规定,一个主体不属于欧盟成员国的公司(包括免费服务),只要满足下列两个条件之一:
(1)为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。无论该商品或者服务是否需要数据主体支付对价;
(2)为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,其就受到的管辖。
第3条3款规定:该规则适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对数据的处理。
二、保险行业经营与个人信息的依托关系
1.保险行业是收集个人信息的重要场所
众所周知,保险公司是收集个人信息重要场所,保险经营是根据大数法则而建构起来,其对投保人员除了必须要掌握一定的个人基础信息,如姓名、性别、年龄、住所、证件号码、通讯方式等,我们可以暂且将这类信息归纳为“第一类信息”(基础信息)。除此之外,寿险还需收集婚姻,父母子女亲属,甚至是健康信息。我们暂且将这类信息归纳为“第二类信息”(人身信息);而财产保险则需在基础信息之外,加上财产信息,如房产、地产、自有车辆等财产方面的信息。我们暂且将这类信息归纳为“第三类信息”(财产信息)。
2.保险行业的个人信息保存方法
保险行业若实施如前所述的GDPR的四项权限,那么,保险行业将会受到什么样的影响?
我们不妨设想一下:
现在的保险行业,将个人信息收集之后,在保险合同有效期间,自然会将这些信息分两种形式保存。
其一,以纸质单据方式保存。如,投保人本人填写的投保单,保险公司签发的保险证券,各种健康检查的证明,身份方面的证明(含复印件),房地产权限证明,车辆行驶、所有权有关的各种证明。
其二,以电子方式保存。如,投保人、被保险人、受益人的基础信息、人身信息、财产信息都将保存在保险公司的大型系统中,一部分也将保存在保险中介机构的系统中。
其三,一部分信息被保存到行业网络中。
许多国家早就开始将保险公司的投保信息进行行业内共享,对那些保险金进行过诈骗的人设置黑名单,也对重复投保进行业内分享,以防出现保险金欺诈。
其四,一部分信息被保存到云数据中。
上述信息对保险公司和大数据经营企业均具有商业价值。一些大数据行业会通过各种行业内部购买各种信息,当然这些企业也会问各类保险公司或行业组织购买消费者的投保信息。在处理这些信息时,大数据收集和供应商会将收集到的各类信息进行甄别和归类,在这个过程中,会将许多个人特征明确的信息抽去后,归类到大数据中去,以便通过大数观察某一行为的全体性心理或行为。例如,保险公司销售某款保险产品时,购买人数,年龄分布,性别分布,职业分布,投保习惯分布,投保频率分布,信用卡或现金或微信或支付宝的分布等。问题是,虽然在进行大数据分析时,已经将个人的具体特征剔除后,进行分析的,但是,在购买这些原始信息时,都带有完整的基础信息。
三、GDPR实施,我国保险公司的应对措施
1.应对GDPR四项权限的可能性
GDPR的实施,使得国内的保险业面临新的经营和法律制度背景。
首先,我国保险公司应当填补我国的信息保护法律和欧盟的GDPR制度差异的鸿沟。保险业的市场竞争决定了保险公司必须满足欧盟的信息保护法律要求,基于经营的需要,保险公司开展面向欧盟各国的个人和企业保险业务,或者地处欧盟各国的我国保险公司分支机构开展保险业务,均需要遵守欧盟颁布的GDPR。
然后,我国保险公司必须对违反欧盟GDPR的法律后果及我国立法走向有清晰的认知。欧盟GDPR的实施势必带动包括美国、日本等与欧盟成员国存在频繁经贸往来的世界各国的信息保护法的立法层面的同化。欧盟各国的个人和企业在经贸和其他活动中势必以GDPR为权利内核维护自身的信息权利,信息保护的司法和争议问题也会更多的以GDPR为准据法得以解决。这些蔓延至多个国家和地区的既成事实和未来的走向会作为推动我国信息立法及其完善的动力,保险公司如果能够以GDPR为保准开展和推进保险业务,将会与保险经营形成法律制度和交易形态的有机联动,从而形成保险经营的制度动力。
故此,在具体的个人信息保存方式上,保险公司应主动以GDPR的标准改进投保方信息保存形式,隔断与大数据经营企业的信息传导路径。运用电子信息监控、区块链等技术手段对投保方信息系统进行保存和实施删除。
2.保险行业在经营时如何应对四项权限?
在欧盟成员国设立分支机构的保险公司当然受到该条例的约束,欧盟成员国的企业和个人作为投保人的保险公司也会受该条例约束。投保人投保以后,保险公司将保险合同存储于自己的数据库中,以作为合同订立证明、缴纳保费记录以及未来理赔的依据,其中涉及到投保人的信息。在保险合同存续期间,保险公司保留这些数据,同时为了本公司业务开展的需要对这些数据进行分析整理,作为未来保险销售的依据。
该条例实施以后,首先,保险公司保有投保人数据只能出于保险合同履行的目的,不能作为将其纳入保险销售数据分析的范围之内,更不能以销售或者继续销售保险为目的向投保人散布广告信息。
然后,在保险合同终止以后,为了防止未来的保险诉讼,保险公司通常需要将保险合同相关信息保留一段时间。需要和欧盟GDPR信息删除权和取回权的形式时间相互协调,在《保险法》规定的诉讼时效期限内保留数据信息,时效期限届满,保证保险合同不出现争议的前提下,再满足信息删除权和取回权的权利请求。
3.投保方的个人信息保存方式如何应对GDPR四项权限?
上文列举了三类信息和四种保存方式,如果要应对GDPR四项权限,将会遭遇到什么样的困境和法律问题?
第一,纸质单据方式保存。
纸质单据的保存方式,将根据各国颁布的信息保存办法,在法定保存期满之后,可以将纸质单据满足消费者的要求,或消除,或返还、或禁止使用,确认权的行使之前可以告知消费者,即将销毁,可在销毁前确认。
第二,以电子方式保存。
以电子方式保存,可以分为两类,一类保存是将原始凭证扫描为电子文档进行保存;另一类是将原始凭证的数据完全输入到核心系统中,不以电子文档方式保存,而是以电子数据保存。如果前一种方式保存,可以同纸质文档一样处理,最难的是已经转化为数据,进入核心系统的信息的处理方法。按照目前的技术,想完全剔除这些信息,难度很大。笔者不是IT专家,因此也无良策,只能将其作为一个重要课题加以进一步研究。
第三,保存到行业网络中。
将个人信息保存到行业网络中,其原意是为了保护保险行业健康发展,防止保险欺诈行为重复上演。但是如果遇到GDPR四项权限时,不免会遭遇滑铁卢,如果按照上述权限,那么行业内部网络的信息逐渐消失,那么行业内部网络的存在将如何继续生存,值得好好研究。
第四,保存到云数据中。
云数据中虽然是将个人信息进行抽象后使用的产物,但是,如前所述,在采集时,其数据是完整的个人信息,如果要归还或消除的话,那么即便是抽象化的数据,也将其列入消除范围之中,那么,如行业网络一样,皮之不存毛将焉附?
同时,有鉴于我国信息保护相关法律和欧盟GDPR的差别,保险公司需要建立甄别欧盟投保人信息的系统,对不同国别的投保人进行不同数据管理。尽管,GDPR规定出自欧盟,但是其扩展到世界各地的趋势将会成为一个无法躲避的风潮。虽然好像尚未影响到我国的保险行业,但是,其急促的脚步声已经日益逼近,因为近邻日本已经受到了影响。未雨绸缪,尽早布局,加大研究力度,提前做好保护个人信息的防火墙,乃是保险行业面临的一个重要课题。