王和:迎接保险新数字时代(上)
发布时间:2021-08-26 09:06:33 作者: 来源:中国银行保险报网
□王和
8月20日,在经历了十几年的“千呼万唤”之后,我国《个人信息保护法》终于通过全国人大的审议,并将于2021年11月1日正式实施。这是一部怎样的法律,其颁布与实施将对我国保险业带来怎样的影响,是行业关注的焦点。因为,有人说这是“史上最严厉的法律”,更有人说这部法律的实施,将迫使保险“重新做一遍”。
保险是一个“数据行业”,这一点是毋庸置疑的,但从事保险的人是否都是“数据专业人士”,即对数据有着更专业的认识和理解的人,值得行业每一个人反思与自省,特别是在人类社会文明进步的今天,特别是在数字科技快速发展的今天。这种要求,不再是一种“理想”,而是“标配”,否则,就难以理解,更无法驾驭“保险新数字时代”,因为“重新做一遍”的前提是:重新认识和理解一遍。
首先是数据本身,数据到底是什么,又意味着什么,特别是基于客户的视角。无论之前你是否有答案,但相信认认真真读完《个人信息保护法》,你会有全新的答案。其次是保险本身,风险到底是什么,保险靠的是什么,是传统的精算吗?如果你把自己的“窗户”打开,去感受和体会数字科技的风起云涌和改天换地,就会发现时过境迁意味着什么,并决定了什么,更觉得自己的局限、狭隘和落伍,以及发自内心的、强烈的危机感。
就保险业而言,《个人信息保护法》与其说是一部法律,不如说是一本教科书,一本彰显“以人为本”的法律教科书。通过学习,不仅要解决知法、懂法、用法,确保“依法用数”,合规经营问题,更重要的是解决“数商”问题。尽管“数字化”已经成为“脍炙人口”的热词,甚至成为了一种时髦,但我们不妨问问自己:真正了解和理解数字化吗?比如,什么是数字,数字的外延和内涵是什么?再比如,什么是数字化,这个“化”意味和代表着什么?这个“化”的过程是如何实现的,更为根本和关键的问题是:数字化到底为什么?
学习和理解《个人信息保护法》的一个重要“捷径”是“顾名思义”,首先是“个人信息”。它可以分拆为“个人”和“信息”,这恰恰是保险经营的基础。保险的大数法则,决定了“个人”是行业存在的基础,没有“个人”的选择和集合,就没有保险。风险理论决定了“信息”是保险经营的基础,没有“信息”的获得和利用,就没有保险。其次是“保护”。为什么要保护,“保护”背后的逻辑依据是什么,如何实现保护?依法保护固然重要,但自觉保护更重要,而实现一种发自内心的自我觉悟,并非易事。再次是“法”,作为一种社会制度安排,“法”的作用是调整行为,维护秩序,确保公平正义,同时,“法”具有刚性约束,即有法必依,违法必究。行业学习《个人信息保护法》,从表面看是解决懂法依法问题,但从本质看是解决基于觉悟的自觉,解决“心法”问题。
但对于行业如此重要的“个人信息”,特别是“个人信息权益”,行业又了解了多少。一直以来,我们总认为“公司的数据属于公司”是天经地义的,于是,一方面为了获得更多的数据,竭尽所能,用尽一切手段,不惜“打擦边球”,即使数据“来历不明”;另一方面在数据的利用上,凭借着保险精算的“家底”,在算法和算力的加持下,利用人工智能等技术,开展客户画像和精准营销,而歧视和“杀熟”也都与个性化和精细化混为一谈,且难解难分。但当我们在做这一切的时候,是否考虑过“个人信息权益”问题,以及对“个人信息权益”的保护问题。
《个人信息保护法》的重要逻辑基础是:个人信息及其权益属于个人,任何组织和个人不得侵害。为了强调这种保护的权威性,在“三读”的时候,引入了“根据宪法”的措辞,即明确法源为《中华人民共和国宪法》的“国家尊重和保障人权,公民的人格尊严不受侵犯”。接下来的问题是,什么是“个人信息”,什么是“个人信息权益”。《个人信息保护法》明确个人信息及其权益属于个人,并“神圣不可侵犯”,因此,保险企业在处理个人信息过程中,即使是处理“企业数据库”里的个人信息时,要清醒地认识到:那仍然是“个人信息”,相关处理活动仍应当遵循《个人信息保护法》,否则就可能涉及违法经营,认识到这一点至关重要,这既是依法合规经营的重要基础,更是深化转型,实现高质量发展的重要基础。
《个人信息保护法》明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。“已识别”是指具有唯一指向性的信息,“可识别”是指具有指向性,但单凭这一信息不能确定自然人。同时,为了更好地解决保护和利用的关系,《个人信息保护法》将个人信息进一步划分为一般个人信息与敏感个人信息,并设立专门章节,明确并强化敏感个人信息的保护问题。
敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。敏感个人信息是保护的重点,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。在保险经营的过程中,不可避免地将涉及敏感个人信息,但是否具有“特定的目的”和“充分的必要性”,以及是否采取了“严格保护措施”,均需要重新、认真和审慎地对待。
关于个人信息权益问题,这是《个人信息保护法》的对象,切实和有效保护个人信息权益是立法的宗旨、目的和核心诉求,也是贯穿始终的内容。因此,作为前提和基础,需要对“个人信息权益”有一个全面的了解和深刻认识,其中不仅有人格权和隐私权,还有财产权和收益权。个人信息权益的形式十分广泛,主要包括知情权、决定(撤回)权、限制权、拒绝权、查阅和复制权、携带权、更正和补充权、删除(遗忘)权。这些权益的内涵和外延,与保护密切相关。但要真正理解这些权益,尊重并保护这些权益,包括在实际工作中按照要求有效履行相关义务,均非易事。
《个人信息保护法》确立了在个人信息保护中的一个重要角色:个人信息处理者,同时定义了个人信息处理,包括收集、存储、使用、加工、传输、提供、公开、删除等活动。从某种意义上讲,《个人信息保护法》是围绕着个人信息处理者的责任和义务展开的,并制定了一系列原则和规则,特别是要求应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围,其目的是更好地规范个人信息处理者的行为,切实维护个人信息权益。
(作者系中国人保财险原执行副总裁)
□王和
8月20日,在经历了十几年的“千呼万唤”之后,我国《个人信息保护法》终于通过全国人大的审议,并将于2021年11月1日正式实施。这是一部怎样的法律,其颁布与实施将对我国保险业带来怎样的影响,是行业关注的焦点。因为,有人说这是“史上最严厉的法律”,更有人说这部法律的实施,将迫使保险“重新做一遍”。
保险是一个“数据行业”,这一点是毋庸置疑的,但从事保险的人是否都是“数据专业人士”,即对数据有着更专业的认识和理解的人,值得行业每一个人反思与自省,特别是在人类社会文明进步的今天,特别是在数字科技快速发展的今天。这种要求,不再是一种“理想”,而是“标配”,否则,就难以理解,更无法驾驭“保险新数字时代”,因为“重新做一遍”的前提是:重新认识和理解一遍。
首先是数据本身,数据到底是什么,又意味着什么,特别是基于客户的视角。无论之前你是否有答案,但相信认认真真读完《个人信息保护法》,你会有全新的答案。其次是保险本身,风险到底是什么,保险靠的是什么,是传统的精算吗?如果你把自己的“窗户”打开,去感受和体会数字科技的风起云涌和改天换地,就会发现时过境迁意味着什么,并决定了什么,更觉得自己的局限、狭隘和落伍,以及发自内心的、强烈的危机感。
就保险业而言,《个人信息保护法》与其说是一部法律,不如说是一本教科书,一本彰显“以人为本”的法律教科书。通过学习,不仅要解决知法、懂法、用法,确保“依法用数”,合规经营问题,更重要的是解决“数商”问题。尽管“数字化”已经成为“脍炙人口”的热词,甚至成为了一种时髦,但我们不妨问问自己:真正了解和理解数字化吗?比如,什么是数字,数字的外延和内涵是什么?再比如,什么是数字化,这个“化”意味和代表着什么?这个“化”的过程是如何实现的,更为根本和关键的问题是:数字化到底为什么?
学习和理解《个人信息保护法》的一个重要“捷径”是“顾名思义”,首先是“个人信息”。它可以分拆为“个人”和“信息”,这恰恰是保险经营的基础。保险的大数法则,决定了“个人”是行业存在的基础,没有“个人”的选择和集合,就没有保险。风险理论决定了“信息”是保险经营的基础,没有“信息”的获得和利用,就没有保险。其次是“保护”。为什么要保护,“保护”背后的逻辑依据是什么,如何实现保护?依法保护固然重要,但自觉保护更重要,而实现一种发自内心的自我觉悟,并非易事。再次是“法”,作为一种社会制度安排,“法”的作用是调整行为,维护秩序,确保公平正义,同时,“法”具有刚性约束,即有法必依,违法必究。行业学习《个人信息保护法》,从表面看是解决懂法依法问题,但从本质看是解决基于觉悟的自觉,解决“心法”问题。
但对于行业如此重要的“个人信息”,特别是“个人信息权益”,行业又了解了多少。一直以来,我们总认为“公司的数据属于公司”是天经地义的,于是,一方面为了获得更多的数据,竭尽所能,用尽一切手段,不惜“打擦边球”,即使数据“来历不明”;另一方面在数据的利用上,凭借着保险精算的“家底”,在算法和算力的加持下,利用人工智能等技术,开展客户画像和精准营销,而歧视和“杀熟”也都与个性化和精细化混为一谈,且难解难分。但当我们在做这一切的时候,是否考虑过“个人信息权益”问题,以及对“个人信息权益”的保护问题。
《个人信息保护法》的重要逻辑基础是:个人信息及其权益属于个人,任何组织和个人不得侵害。为了强调这种保护的权威性,在“三读”的时候,引入了“根据宪法”的措辞,即明确法源为《中华人民共和国宪法》的“国家尊重和保障人权,公民的人格尊严不受侵犯”。接下来的问题是,什么是“个人信息”,什么是“个人信息权益”。《个人信息保护法》明确个人信息及其权益属于个人,并“神圣不可侵犯”,因此,保险企业在处理个人信息过程中,即使是处理“企业数据库”里的个人信息时,要清醒地认识到:那仍然是“个人信息”,相关处理活动仍应当遵循《个人信息保护法》,否则就可能涉及违法经营,认识到这一点至关重要,这既是依法合规经营的重要基础,更是深化转型,实现高质量发展的重要基础。
《个人信息保护法》明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。“已识别”是指具有唯一指向性的信息,“可识别”是指具有指向性,但单凭这一信息不能确定自然人。同时,为了更好地解决保护和利用的关系,《个人信息保护法》将个人信息进一步划分为一般个人信息与敏感个人信息,并设立专门章节,明确并强化敏感个人信息的保护问题。
敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。敏感个人信息是保护的重点,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。在保险经营的过程中,不可避免地将涉及敏感个人信息,但是否具有“特定的目的”和“充分的必要性”,以及是否采取了“严格保护措施”,均需要重新、认真和审慎地对待。
关于个人信息权益问题,这是《个人信息保护法》的对象,切实和有效保护个人信息权益是立法的宗旨、目的和核心诉求,也是贯穿始终的内容。因此,作为前提和基础,需要对“个人信息权益”有一个全面的了解和深刻认识,其中不仅有人格权和隐私权,还有财产权和收益权。个人信息权益的形式十分广泛,主要包括知情权、决定(撤回)权、限制权、拒绝权、查阅和复制权、携带权、更正和补充权、删除(遗忘)权。这些权益的内涵和外延,与保护密切相关。但要真正理解这些权益,尊重并保护这些权益,包括在实际工作中按照要求有效履行相关义务,均非易事。
《个人信息保护法》确立了在个人信息保护中的一个重要角色:个人信息处理者,同时定义了个人信息处理,包括收集、存储、使用、加工、传输、提供、公开、删除等活动。从某种意义上讲,《个人信息保护法》是围绕着个人信息处理者的责任和义务展开的,并制定了一系列原则和规则,特别是要求应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围,其目的是更好地规范个人信息处理者的行为,切实维护个人信息权益。
(作者系中国人保财险原执行副总裁)
