中經(jīng)記者 樊紅敏 北京報(bào)道

隨著數(shù)字化轉(zhuǎn)型進(jìn)程的推進(jìn)和監(jiān)管制度的逐步完善，保險(xiǎn)業(yè)作為數(shù)據(jù)密集型產(chǎn)業(yè)在個(gè)人信息保護(hù)方面面臨的合規(guī)風(fēng)險(xiǎn)愈發(fā)凸顯。

近日，上海市通信管理局（以下簡(jiǎn)稱(chēng)“上海通信局”）發(fā)布的《關(guān)于侵害用戶(hù)權(quán)益行為APP（SDK）的通報(bào)（2025年第十批）》顯示，3家保險(xiǎn)機(jī)構(gòu)的8款A(yù)PP（SDK）上榜，涉及的問(wèn)題包括“未明示個(gè)人信息處理規(guī)則”“賬號(hào)注銷(xiāo)難”“違規(guī)收集個(gè)人信息”“未妥善處理用戶(hù)投訴”等。

《中國(guó)經(jīng)營(yíng)報(bào)》記者梳理發(fā)現(xiàn)，包括此次通報(bào)在內(nèi)，今年以來(lái)，上海通信局發(fā)布的十批通報(bào)中，共有9家保險(xiǎn)機(jī)構(gòu)（含保險(xiǎn)中介，下同）合計(jì)超過(guò)20款A(yù)PP（SDK）“上榜”。其他地方通信管理局的通報(bào)中，也不乏保險(xiǎn)機(jī)構(gòu)“上榜”。

“近年來(lái)，保險(xiǎn)業(yè)進(jìn)入數(shù)字化轉(zhuǎn)型的關(guān)鍵時(shí)期，又適逢《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)數(shù)據(jù)安全法》等法律規(guī)定出臺(tái)實(shí)施，既需要推進(jìn)數(shù)字化轉(zhuǎn)型，又亟須提升數(shù)據(jù)合規(guī)水平。保險(xiǎn)業(yè)作為數(shù)據(jù)密集型行業(yè)，數(shù)據(jù)規(guī)模大、場(chǎng)景多元、價(jià)值明顯，屬于個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)高發(fā)的領(lǐng)域，數(shù)據(jù)合規(guī)問(wèn)題愈發(fā)凸顯?！苯鸲怕蓭熓聞?wù)所合伙人寧宣鳳在接受記者采訪(fǎng)時(shí)表示。

數(shù)據(jù)倫理尚未樹(shù)立

上海通信局在通報(bào)中同時(shí)要求，對(duì)相關(guān)APP（SDK）存在的問(wèn)題立即整改，并對(duì)該APP（SDK）個(gè)人信息和用戶(hù)權(quán)益保護(hù)工作開(kāi)展全面自評(píng)估，并限期將整改報(bào)告和自評(píng)估報(bào)告書(shū)面報(bào)送上海通信局。

記者進(jìn)一步梳理發(fā)現(xiàn)，此前，上海通信局發(fā)布的第七批通告中，共有6家保險(xiǎn)機(jī)構(gòu)的合計(jì)14款A(yù)PP（SDK）被點(diǎn)名，涉及的問(wèn)題為“未明示個(gè)人信息處理規(guī)則”“未妥善處理用戶(hù)投訴”；第六批通報(bào)中，一家保險(xiǎn)銷(xiāo)售公司因某款A(yù)PP（SDK）存在“未妥善處理客戶(hù)投訴”問(wèn)題“上榜”；第五批通報(bào)中，一家專(zhuān)業(yè)養(yǎng)老保險(xiǎn)公司因某款A(yù)PP（SDK）因“自動(dòng)啟動(dòng)和關(guān)聯(lián)啟動(dòng)行為”問(wèn)題“上榜”。

不只是上海，其他地方的通報(bào)中，同樣也不乏保險(xiǎn)機(jī)構(gòu)“上榜”的案例。比如，今年9月，江蘇省通信管理局發(fā)布的關(guān)于侵害用戶(hù)權(quán)益行為的APP通報(bào)顯示，一家保險(xiǎn)代理公司的某款A(yù)PP因“違規(guī)收集個(gè)人信息；APP頻繁自動(dòng)啟動(dòng)和關(guān)聯(lián)啟動(dòng)”問(wèn)題“上榜”。

又如，同樣在今年9月份，湖南省委網(wǎng)信辦、湖南省通信管理局公開(kāi)通報(bào)41款未按期完成整改移動(dòng)應(yīng)用程序，其中包含某保險(xiǎn)代理公司運(yùn)營(yíng)的某款A(yù)PP，涉及問(wèn)題為“未明示收集使用個(gè)人信息的目的、方式和范圍；未公開(kāi)收集使用規(guī)則”。

“高頻次、多批次的通報(bào)揭示保險(xiǎn)業(yè)在個(gè)人信息保護(hù)上存在系統(tǒng)性短板。問(wèn)題集中于‘規(guī)則不透明、收集無(wú)邊界、注銷(xiāo)設(shè)障礙、投訴無(wú)回應(yīng)’，本質(zhì)是重營(yíng)銷(xiāo)輕合規(guī)、重技術(shù)輕倫理的經(jīng)營(yíng)理念偏差。APP和SDK作為數(shù)字化觸點(diǎn)，本應(yīng)提升服務(wù)效率，卻淪為過(guò)度采集與用戶(hù)控制權(quán)剝奪的工具，暴露出部分機(jī)構(gòu)將‘?dāng)?shù)據(jù)占有’等同于‘競(jìng)爭(zhēng)優(yōu)勢(shì)’的短視邏輯。”南開(kāi)大學(xué)金融發(fā)展研究院院長(zhǎng)田利輝向記者表示。

田利輝認(rèn)為，保險(xiǎn)機(jī)構(gòu)侵犯?jìng)€(gè)人信息權(quán)益亂象頻出，背后的根源是激勵(lì)機(jī)制、能力體系和責(zé)任鏈條的三重錯(cuò)配。具體來(lái)看，一是激勵(lì)機(jī)制錯(cuò)配，銷(xiāo)售導(dǎo)向下，客戶(hù)數(shù)據(jù)成為業(yè)績(jī)抓手，合規(guī)成本被內(nèi)部化為次要考量；二是能力體系錯(cuò)配，大量中小保險(xiǎn)及中介機(jī)構(gòu)缺乏專(zhuān)業(yè)數(shù)據(jù)治理團(tuán)隊(duì)，技術(shù)防護(hù)與制度建設(shè)滯后；三是責(zé)任鏈條錯(cuò)配，第三方SDK嵌入后權(quán)責(zé)不清，機(jī)構(gòu)以“技術(shù)中立”推諉主體責(zé)任。

“更深層次看，行業(yè)長(zhǎng)期依賴(lài)‘信息不對(duì)稱(chēng)’獲利，轉(zhuǎn)型陣痛期尚未真正樹(shù)立‘以用戶(hù)為中心’的數(shù)據(jù)倫理。”田利輝表示。

實(shí)際上，此前，監(jiān)管方面已經(jīng)對(duì)銀行保險(xiǎn)機(jī)構(gòu)在個(gè)人信息保護(hù)方面整體存在的合規(guī)問(wèn)題進(jìn)行過(guò)系統(tǒng)的調(diào)查摸排。據(jù)公開(kāi)報(bào)道，2024年3月，國(guó)家金融監(jiān)督管理總局（以下簡(jiǎn)稱(chēng)“金融監(jiān)管總局”）曾向各監(jiān)管局及銀保機(jī)構(gòu)下發(fā)《關(guān)于銀行保險(xiǎn)機(jī)構(gòu)侵害個(gè)人信息權(quán)益亂象專(zhuān)項(xiàng)整治發(fā)現(xiàn)主要問(wèn)題的通報(bào)》，其中指出，從目前投訴督查、舉報(bào)調(diào)查、監(jiān)管評(píng)價(jià)等工作中反映的問(wèn)題來(lái)看，銀行保險(xiǎn)機(jī)構(gòu)侵害個(gè)人信息權(quán)益的行為仍時(shí)有發(fā)生，內(nèi)部管控還存在短板弱項(xiàng)和風(fēng)險(xiǎn)隱患。

發(fā)現(xiàn)的主要問(wèn)題集中在以下五大方面：一是個(gè)人信息收集方面，存在強(qiáng)制同意、擴(kuò)大授權(quán)、籠統(tǒng)授權(quán)等問(wèn)題；二是個(gè)人信息存儲(chǔ)和傳輸方面，存在電子數(shù)據(jù)管理混亂、紙質(zhì)材料管理不嚴(yán)、傳輸方式不安全等問(wèn)題；三是個(gè)人信息查詢(xún)和使用方面，存在違規(guī)查詢(xún)賬戶(hù)信息、不當(dāng)使用客戶(hù)信息等問(wèn)題；四是個(gè)人信息提供和刪除方面，存在未經(jīng)授權(quán)對(duì)外提供、未及時(shí)刪除等問(wèn)題；五是個(gè)人信息第三方合作方面，存在對(duì)合作機(jī)構(gòu)管控失效等問(wèn)題。

事后應(yīng)對(duì)轉(zhuǎn)向事前合規(guī)

個(gè)人信息保護(hù)是數(shù)據(jù)治理中的一項(xiàng)重要內(nèi)容。近年來(lái)，國(guó)家層面陸續(xù)制定了《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)數(shù)據(jù)安全法》等一系列法律法規(guī)相繼出臺(tái)并實(shí)施，數(shù)據(jù)安全監(jiān)管體系日益完善。

金融監(jiān)管部門(mén)也在不斷完善數(shù)據(jù)治理的監(jiān)管制度體系。2024年12月，金融監(jiān)管總局發(fā)布《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》明確提出，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照“誰(shuí)管業(yè)務(wù)、誰(shuí)管業(yè)務(wù)數(shù)據(jù)、誰(shuí)管數(shù)據(jù)安全”的原則，明確各業(yè)務(wù)領(lǐng)域的數(shù)據(jù)安全管理責(zé)任，落實(shí)數(shù)據(jù)安全保護(hù)管理要求。

從監(jiān)管方面披露的罰單信息來(lái)看，近幾年，已有多名保險(xiǎn)從業(yè)人員因侵犯公民個(gè)人信息被處以罰款、禁止從業(yè)的嚴(yán)厲處罰。

值得一提的是，2024年9月，金融監(jiān)管總局安徽監(jiān)管局特別針對(duì)保險(xiǎn)公司發(fā)出《加大保險(xiǎn)公司侵犯公民信息行為打擊力度》的風(fēng)險(xiǎn)提示函，強(qiáng)調(diào)了保險(xiǎn)公司在公民信息保護(hù)方面的不足，并提出了具體的改進(jìn)措施。

各地方通信管理局的系列通報(bào)，也是在落實(shí)相關(guān)政策、行動(dòng)對(duì)個(gè)人信息保護(hù)要求。

以上海地區(qū)為例，在第十批通報(bào)中，上海通信局提到，依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)電信條例》《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)，根據(jù)中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局等四部門(mén)聯(lián)合發(fā)布的《關(guān)于開(kāi)展2025年個(gè)人信息保護(hù)系列專(zhuān)項(xiàng)行動(dòng)的公告》（以下簡(jiǎn)稱(chēng)《2025年專(zhuān)項(xiàng)行動(dòng)》）要求，對(duì)APP（SDK）侵害用戶(hù)權(quán)益的違規(guī)行為持續(xù)開(kāi)展整治。

公開(kāi)信息顯示，今年3月28日，上述四部門(mén)聯(lián)合發(fā)布《2025年專(zhuān)項(xiàng)行動(dòng)》表示，2025年，將進(jìn)一步深入治理常用服務(wù)產(chǎn)品和常見(jiàn)生活場(chǎng)景中存在的違法違規(guī)收集使用個(gè)人信息典型問(wèn)題，切實(shí)維護(hù)人民群眾在網(wǎng)絡(luò)空間合法權(quán)益，著力提升人民群眾滿(mǎn)意度、獲得感。

這是自2019年以來(lái)上述四部門(mén)再次聯(lián)合部署個(gè)人信息保護(hù)專(zhuān)項(xiàng)行動(dòng)。2019年，上述四部委發(fā)布《關(guān)于開(kāi)展APP違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理的公告》，開(kāi)啟APP個(gè)人信息治理活動(dòng)。

寧宣鳳向記者表示，專(zhuān)項(xiàng)行動(dòng)不斷強(qiáng)化個(gè)人信息保護(hù)要求，表明個(gè)人信息執(zhí)法已經(jīng)進(jìn)入規(guī)范化、常態(tài)化、精細(xì)化的新階段，保險(xiǎn)公司個(gè)人信息保護(hù)必須從事后應(yīng)對(duì)轉(zhuǎn)向事前合規(guī)。

“一旦進(jìn)入通報(bào)、整改流程，企業(yè)將陷入非常被動(dòng)的局面，可能不得不改變業(yè)務(wù)模式，也可能影響產(chǎn)品、功能等上線(xiàn)時(shí)間，而如果在整改過(guò)程中仍不能達(dá)到合規(guī)標(biāo)準(zhǔn)，則將面臨下架等更為嚴(yán)厲的處置措施?！睂幮P強(qiáng)調(diào)。

“結(jié)合近期監(jiān)管的重點(diǎn)正從‘事后處罰’向‘技術(shù)抽查、動(dòng)態(tài)監(jiān)測(cè)’轉(zhuǎn)變這一趨勢(shì)來(lái)看，各地通信管理部門(mén)與金融監(jiān)管機(jī)構(gòu)正在逐步建立APP備案、SDK備案與數(shù)據(jù)合規(guī)檢測(cè)機(jī)制，形成常態(tài)化監(jiān)管閉環(huán)。未來(lái)，保險(xiǎn)APP若想長(zhǎng)期合規(guī)運(yùn)營(yíng)，必須在技術(shù)架構(gòu)、數(shù)據(jù)分類(lèi)分級(jí)、用戶(hù)授權(quán)管理等環(huán)節(jié)實(shí)現(xiàn)系統(tǒng)性提升。”對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)中國(guó)金融學(xué)院副教授施一寧也向記者表示。

田利輝則建議保險(xiǎn)業(yè)可以從以下三方面著手提升數(shù)據(jù)治理、個(gè)人信息保護(hù)水平：一要重構(gòu)治理架構(gòu)，設(shè)立首席數(shù)據(jù)官，將個(gè)人信息保護(hù)納入高管考核；二要強(qiáng)化技術(shù)賦能，運(yùn)用隱私計(jì)算、聯(lián)邦學(xué)習(xí)等“可用不可見(jiàn)”技術(shù)，在保障安全前提下釋放數(shù)據(jù)價(jià)值；三要壓實(shí)全鏈條責(zé)任，對(duì)第三方合作實(shí)行“準(zhǔn)入—監(jiān)控—退出”閉環(huán)管理，并建立用戶(hù)數(shù)據(jù)權(quán)利響應(yīng)機(jī)制。

（編輯：李暉 審核：何莎莎 校對(duì)：翟軍）

〖免責(zé)申明〗本文僅代表本賬號(hào)個(gè)人觀點(diǎn)，其圖片及內(nèi)容版權(quán)僅歸原所有者所有。如對(duì)該內(nèi)容主張權(quán)益請(qǐng)來(lái)函或郵件告之，本賬號(hào)將迅速采取措施，否則與之相關(guān)的糾紛本賬號(hào)不承擔(dān)任何責(zé)任。