隨著數字化轉型進程的推進和監(jiān)管制度的逐步完善，保險業(yè)作為數據密集型產業(yè)在個人信息保護方面面臨的合規(guī)風險愈發(fā)凸顯。

近日，上海市通信管理局（以下簡稱“上海通信局”）發(fā)布的《關于侵害用戶權益行為APP（SDK）的通報（2025年第十批）》顯示，3家保險機構的8款APP（SDK）上榜，涉及的問題包括“未明示個人信息處理規(guī)則”“賬號注銷難”“違規(guī)收集個人信息”“未妥善處理用戶投訴”等。

《中國經營報》記者梳理發(fā)現，包括此次通報在內，今年上海通信局發(fā)布的十批通報中，共有9家保險機構（含保險中介，下同）合計超過20款APP（SDK）“上榜”。其他地方通信管理局的通報中，也不乏保險機構“上榜”。

“近年來，保險業(yè)進入數字化轉型的關鍵時期，又適逢《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》等法律規(guī)定出臺實施，既需要推進數字化轉型，又亟須提升數據合規(guī)水平。保險業(yè)作為數據密集型行業(yè)，數據規(guī)模大、場景多元、價值明顯，屬于個人信息保護合規(guī)風險高發(fā)的領域，數據合規(guī)問題愈發(fā)凸顯。”金杜律師事務所合伙人寧宣鳳在接受記者采訪時表示。

數據倫理尚未樹立

上海通信局在通報中同時要求，對相關APP（SDK）存在的問題立即整改，并對該APP（SDK）個人信息和用戶權益保護工作開展全面自評估，并限期將整改報告和自評估報告書面報送上海通信局。

記者進一步梳理發(fā)現，此前，上海通信局發(fā)布的第七批通告中，共有6家保險機構的合計14款APP（SDK）被點名，涉及的問題為“未明示個人信息處理規(guī)則”“未妥善處理用戶投訴”；第六批通報中，一家保險銷售公司因某款APP（SDK）存在“未妥善處理客戶投訴”問題“上榜”；第五批通報中，一家專業(yè)養(yǎng)老保險公司因某款APP（SDK）因“自動啟動和關聯啟動行為”問題“上榜”。

不只是上海，其他地方的通報中，同樣也不乏保險機構“上榜”的案例。比如，今年9月，江蘇省通信管理局發(fā)布的關于侵害用戶權益行為的APP通報顯示，一家保險代理公司的某款APP因“違規(guī)收集個人信息；APP頻繁自動啟動和關聯啟動”問題“上榜”。

又如，同樣在今年9月份，湖南省委網信辦、湖南省通信管理局公開通報41款未按期完成整改移動應用程序，其中包含某保險代理公司運營的某款APP，涉及問題為“未明示收集使用個人信息的目的、方式和范圍；未公開收集使用規(guī)則”。

“高頻次、多批次的通報揭示保險業(yè)在個人信息保護上存在系統性短板。問題集中于‘規(guī)則不透明、收集無邊界、注銷設障礙、投訴無回應’，本質是重營銷輕合規(guī)、重技術輕倫理的經營理念偏差。APP和SDK作為數字化觸點，本應提升服務效率，卻淪為過度采集與用戶控制權剝奪的工具，暴露出部分機構將‘數據占有’等同于‘競爭優(yōu)勢’的短視邏輯?！蹦祥_大學金融發(fā)展研究院院長田利輝向記者表示。

田利輝認為，保險機構侵犯個人信息權益亂象頻出，背后的根源是激勵機制、能力體系和責任鏈條的三重錯配。具體來看，一是激勵機制錯配，銷售導向下，客戶數據成為業(yè)績抓手，合規(guī)成本被內部化為次要考量；二是能力體系錯配，大量中小保險及中介機構缺乏專業(yè)數據治理團隊，技術防護與制度建設滯后；三是責任鏈條錯配，第三方SDK嵌入后權責不清，機構以“技術中立”推諉主體責任。

“從更深層次看，行業(yè)長期依賴‘信息不對稱’獲利，轉型陣痛期尚未真正樹立‘以用戶為中心’的數據倫理?！碧锢x表示。

實際上，此前，監(jiān)管方面已經對銀行保險機構在個人信息保護方面整體存在的合規(guī)問題進行過系統的調查摸排。據公開報道，2024年3月，國家金融監(jiān)督管理總局（以下簡稱“金融監(jiān)管總局”）曾向各監(jiān)管局及銀保機構下發(fā)《關于銀行保險機構侵害個人信息權益亂象專項整治發(fā)現主要問題的通報》，其中指出，從目前投訴督查、舉報調查、監(jiān)管評價等工作中反映的問題來看，銀行保險機構侵害個人信息權益的行為仍時有發(fā)生，內部管控還存在短板弱項和風險隱患。

發(fā)現的主要問題集中在以下五大方面：一是個人信息收集方面，存在強制同意、擴大授權、籠統授權等問題；二是個人信息存儲和傳輸方面，存在電子數據管理混亂、紙質材料管理不嚴、傳輸方式不安全等問題；三是個人信息查詢和使用方面，存在違規(guī)查詢賬戶信息、不當使用客戶信息等問題；四是個人信息提供和刪除方面，存在未經授權對外提供、未及時刪除等問題；五是個人信息第三方合作方面，存在對合作機構管控失效等問題。

事后應對轉向事前合規(guī)

個人信息保護是數據治理中的一項重要內容。近年來，國家層面陸續(xù)制定了《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》等一系列法律法規(guī)相繼出臺并實施，數據安全監(jiān)管體系日益完善。

金融監(jiān)管部門也在不斷完善數據治理的監(jiān)管制度體系。2024年12月，金融監(jiān)管總局發(fā)布《銀行保險機構數據安全管理辦法》明確提出，銀行保險機構應當按照“誰管業(yè)務、誰管業(yè)務數據、誰管數據安全”的原則，明確各業(yè)務領域的數據安全管理責任，落實數據安全保護管理要求。

從監(jiān)管方面披露的罰單信息來看，近幾年，已有多名保險從業(yè)人員因侵犯公民個人信息被處以罰款、禁止從業(yè)的嚴厲處罰。

值得一提的是，2024年9月，金融監(jiān)管總局安徽監(jiān)管局特別針對保險公司發(fā)出《加大保險公司侵犯公民信息行為打擊力度》的風險提示函，強調了保險公司在公民信息保護方面的不足，并提出了具體的改進措施。各地方通信管理局的系列通報，也是在落實相關政策、行動對個人信息保護要求。

公開信息顯示，今年3月28日，中央網信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局等四部門聯合發(fā)布的《關于開展2025年個人信息保護系列專項行動的公告》表示，2025年，將進一步深入治理常用服務產品和常見生活場景中存在的違法違規(guī)收集使用個人信息典型問題，切實維護人民群眾在網絡空間合法權益，著力提升人民群眾滿意度、獲得感。

這是自2019年以來上述四部門再次聯合部署個人信息保護專項行動。2019年，上述四部委發(fā)布《關于開展APP違法違規(guī)收集使用個人信息專項治理的公告》，開啟APP個人信息治理活動。

寧宣鳳向記者表示，專項行動不斷強化個人信息保護要求，表明個人信息執(zhí)法已經進入規(guī)范化、常態(tài)化、精細化的新階段，保險公司個人信息保護必須從事后應對轉向事前合規(guī)。

“一旦進入通報、整改流程，企業(yè)將陷入非常被動的局面，可能不得不改變業(yè)務模式，也可能影響產品、功能等上線時間，而如果在整改過程中仍不能達到合規(guī)標準，則將面臨下架等更為嚴厲的處置措施?！睂幮P強調。

“結合近期監(jiān)管的重點正從‘事后處罰’向‘技術抽查、動態(tài)監(jiān)測’轉變這一趨勢來看，各地通信管理部門與金融監(jiān)管機構正在逐步建立APP備案、SDK備案與數據合規(guī)檢測機制，形成常態(tài)化監(jiān)管閉環(huán)。未來，保險APP若想長期合規(guī)運營，必須在技術架構、數據分類分級、用戶授權管理等環(huán)節(jié)實現系統性提升?！睂ν饨洕Q易大學中國金融學院副教授施一寧也向記者表示。

田利輝則建議保險業(yè)可以從以下三方面著手提升數據治理、個人信息保護水平：一要重構治理架構，設立首席數據官，將個人信息保護納入高管考核；二要強化技術賦能，運用隱私計算、聯邦學習等“可用不可見”技術，在保障安全前提下釋放數據價值；三要壓實全鏈條責任，對第三方合作實行“準入—監(jiān)控—退出”閉環(huán)管理，并建立用戶數據權利響應機制。

（編輯：李暉 審核：何莎莎）

【中經金融】

【中經金融】立足于價值發(fā)現與分享，為您解讀最新的投融資環(huán)境變化，捕捉財經市場重要信息，事事有關您的財富增益。