保险科技平台个人信息保护合规实务

- 1-个人信息保护须引起重视

APP个人信息违规问题整治力度加码。2019年12月，公安部、工业和信息化部App专项治理工作组相继通报了一批存在个人信息违规问题的App，其中，App专项治理工作组对57款App进行通报整改，工信部对41款App通报并限期整改，公安部下架整改100款App。

金融领域的个人信息执法风暴来袭。近几个月以来，魔蝎科技、新颜科技等多家与现金贷相关的数据公司接连被查处，包括有盾、聚信立、白骑士等在内的多家知名数据风控公司相继停止了与爬虫相关的个人数据业务。

《互联网保险业务监管办法（征求意见稿）》强化个人信息保护。根据征求意见稿第二十四条：“保险机构应切实承担客户信息保护的主体责任，收集、使用个人信息应遵循合法、正当、必要的原则，保证信息采集、处理及使用的安全性和合法性。保险机构应建立客户信息保护制度，构建覆盖客户全生命周期的保护体系，防范信息泄露。保险机构应督促提供营销宣传、技术支持、客户服务等服务的合作机构建立切实有效的客户信息保护制度。除法律法规规定之外，未经客户同意，不得将客户信息用于所提供服务之外的用途。”第三十七条第二款：“保险公司核保使用的数据信息应确保来源合法、使用方式合法，不得违反相关法律法规和监管要求，不得侵犯消费者合法权益。”

 

- 2-个人信息的认定

个人信息，即：

1）能够识别特定自然人身份（单独或与其他信息结合）的信息；

2）能够反映特定自然人活动情况的信息。

个人信息包括：姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

个人敏感信息是指影响个人人身和财产安全、名誉和身心健康的信息。个人敏感信息包括：身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等。

 

- 3-当前个人信息保护的主要监管部门

1）中央网信办；

2）工业和信息化部、及其通信司/网安局；

3）公安部、及其网络安全保卫局；

4）中国消费者协会；

5）全国信息安全标准化技术委员会；

6）国家市场监督管理局；

7）App专项治理工作组。

 

- 4-当前监管关注的个人信息违规问题

1）权限问题（尤指用户手册注册时）：

a.申请权限（如设备信息、位置信息、手机短信、通讯录、手机相册等权限）时未告知目的；

b.不同意授权时，频繁征求同意；

c.不同意授权非必要权限，拒绝提供所有/某个功能；

d.申请权限与业务无关/过度索取权限/首次打开App时，强制要求非必要个人信息。

2）隐私政策问题：

a.没有隐私政策；

b.登录界面未提供简体中文版隐私政策；

c.隐私政策更新未通知/更新隐私政策新增功能未告知；

d.首次未弹窗提示隐私政策/未通过明显方式提示用户阅读隐私政策；非明示征求同意隐私政策（默认勾选）；

e.隐私政策难以访问；隐私政策难以阅读/理解。

3）个人信息收集问题（区分直接收集和间接收集）：

3.1）直接收集个人信息问题：

a.私自收集个人信息；

b.收集个人信息与业务无关/超范围收集个人信息；

c.撤销某一权限/明确不同意时，仍通过其他途径收集；

d.征得用户同意前/未经同意就开始收集个人信息；

e.收集个人信息时未（明示）告知目的、方式、范围；

f.收集个人信息频度超出实际需要；要求用户一次性同意开启多个可收集个人信息的权限，用户不同意则无法使用。

3.2）间接收集个人信息问题：

a.未逐一列出第三方SDK收集使用个人信息的目的、类型；

b.将target SDK version值设置小于23。

4）个人信息传输的问题：

a.既未经用户同意，也未做匿名化处理，客户端向第三方传输个人信息；

b.违规跨境传输（通过SDK）。

5）个人信息的使用：

a.未公示用户个人信息收集使用规则；

b.将信息用于提供服务之外的目的；

c.强制用户使用定向推送功能。

6）个人信息的分享、供第三方使用问题：

a.私自共享给第三方；

b.未经同意、未经匿名化处理使用SDK向第三方提供个人信息；

c.既未经用户同意，也未做匿名化处理，客户端向第三方传输个人信息。

7）账号注销：

a.未提供有效的注销账号功能；

b.注销条件不合理（比如注销入口难找、过度要求提交材料、为阻止用户再次注册而拒绝注销等）。

8）投诉举报：

a.无（有效的）投诉举报渠道。

 

- 5-个人信息保护的主要法律法规依据

1）核心规定：

《网络安全法》、GB/T 35273：2017《信息安全技术：个人信息安全规范》。

2）刑事层面：《刑法修正案（七）》、《关于依法惩处侵害公民个人信息犯罪活动的通知》、《刑法修正案（九）》。

3）行政层面：《电信和互联网用户个人信息保护规定》、《互联网广告管理暂行办法》、《互联网电子邮件服务管理办法》、《互联网用户账号名称管理规定》、《通信短信息服务管理规定》、《寄递服务用户个人信息安全管理规定》 、《网络出版服务管理规定》、《网络借贷信息中介机构业务活动管理暂行办法》、《征信业管理条例》、《移动互联网应用程序信息服务管理规定》、《个人信用信息基础数据库管理暂行办法》、《网络交易管理办法》、《儿童个人信息网络保护规定》。

4）民事层面：《民法总则》、《电子商务法》、《消费者权益保护法》、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》。

 

- 6-保险科技平台个人信息保护合规实务要点

1）管理和监控机制：

a.制度规范：建立完善的个人信息保护制度与规范；

b.组织保障：设置专门的个人信息保护机构或专职人员，定职定责；

c.安全保障：信息系统安全等级达到二级及以上的保护水平；

d.培训与考核：建立相应的培训与考核机制；

e.监管与风险评估：个人信息安全审计/安全影响评估、评估改进措施。

2）隐私政策：

a.提供明确、清晰的“隐私政策”；

b.“隐私政策”内容与主营业务需求相符；

c.“隐私政策”结构合理、内容是否全面、合规；政策更新时提前告知用户。

3）个人信息的收集：

a.个人信息收集得到客户的同意，个人敏感信息必须要得到个人信息主体的明示同意；

b.直接收集：无默示勾选，代为同意或没有给用户选择权利；

间接收集：控制者的授权无瑕疵（信息来源合法性、授权同意范围等）。

c.符合最少够用原则。

4）个人信息的存储：

a.保存时间最小化；

b.去标识化处理，与可识别个人信息分开存储；

c.个人敏感信息的特别保存；

d.停止运营某项产品或服务时，及时停止继续收集、通知个人信息主体停止运营的信息、对个人信息进行删除或匿名化处理。

5)个人主体行使的权利：

a.明确告知个人信息查询、更正和删除的途径及具体操作流程；

b.明确告知个人信息主体撤回同意的条件、方法和后果；

c.明确告知主体获取的方式、信息范围，涉及收费的条件等；

d.明确告知个人信息主体有效的投诉的途径、联系方式。

6）个人信息的内部使用：

a.对个人信息采取访问控制措施；

b.用于大数据目的，应消除明确身份、避免精准定位；

c.加工处理个人信息时，如通过与其他数据结合能识别自然人，应合规使用;

d.推送商业广告需经客户明示同意。

7）供第三方使用、共享、公开披露：

a.原则上不得进行共享、转让或披露；

b.向个人信息主体告知，并事先得到授权同意；

c.准确记录、保存共享和转让的情况；

d.不得公开披露个人生物识别信息、基因信息。

8）注销账户：

a.明确告知个人信息主体申请注销的途径和后果；

b.设置合理的注销条件；

c.及时删除个人信息或做匿名化处理。

9）数据出境：

a.了解接收国/地区的法律环境，确保符合当地法律规定；

b.出境前进行必要的安全评估。

10）儿童个人信息保护：

a.获得其监护人的授权同意；

b.应当采取加密等措施存储；

c.企业内部人员访问儿童个人信息设定严格的访问权限，控制儿童个人信息知悉范围； 

d.儿童或者其监护人删除权的特别规定。