你的浏览器版本过低,可能导致网站不能正常访问!为了你能正常使用网站功能,请使用这些浏览器。
一、敏感个人信息的定义
《个人信息保护法》作为个人信息保护领域的基石,对敏感个人信息进行了明确定义:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”此前对于敏感个人信息的具体识别标准主要参考《信息安全技术个人信息安全规范(GB/T35273-2020)》(以下简称“《个人信息安全规范》”),但该标准对敏感个人信息的界定并不十分周延,不能完全解决实务中存在的具体情况界定的难题。
2024年6月11日,全国网络安全标准化技术委员会发布了《网络安全标准实践指南——敏感个人信息识别指南(征求意见稿)》(以下简称“《征求意见稿》”),为敏感个人信息的识别提供了新的抓手。
《征求意见稿》不仅详细阐述了敏感个人信息的识别技巧,还列举了常见的敏感个人信息类别及其范例,旨在帮助各类组织明确敏感个人信息的涵盖范围,为敏感个人信息的处理、出境及保护工作提供有力的参考依据。
二、《征求意见稿》中敏感个人信息的分类及列举
相较于《个人信息安全规范》与《个人信息保护法》对于敏感个人信息分类的错位,《征求意见稿》依据《个人信息保护法》第二十八条调整了敏感个人信息的定义,并在列举类别上保持一致,确保了法律法规之间的连贯性和互补性,也便于在实际操作中快速识别和处理敏感个人信息。
对保险行业而言,医疗健康信息、金融账户信息、不满十四周岁未成年人的个人信息这几类敏感个人信息,是投保与承保的过程中最有可能涉及到的。
医疗健康信息方面,在投保健康保险或重大疾病保险时,保险公司通常需要了解投保人的既往病史、体检报告、医疗诊断记录等信息,以便保险公司评估其健康状况和承保风险。金融账户信息往往在保险保费支付和理赔过程中有所涉及。例如,某客户在申请人寿保险的理赔时,需要向保险公司提供其银行账户以便接收保险金支付。不满十四周岁未成年人的个人信息则更为常见。家长为其未成年子女购买保险或以未成年子女为受益人时,需提供孩子的姓名、出生日期、身份证号码等信息。
以上信息一旦遭到泄露,都可能给信息主体带来严重危害。如隐私权受到侵犯、增加账户资金的风险、威胁到未成年人的人身安全等。因此,保险公司应当尤其注意这些敏感个人信息的处理规则,具体合规实践可参考本文第四部分。
三、敏感个人信息识别判定依据
《个人信息安全规范》中,敏感个人信息的识别判定依据为“泄露”“非法提供”“滥用”三个角度,具体如下:
《征求意见稿》则将识别判定依据调整为以下三个维度:侵权后果角度的敏感个人信息定义、附录举例以及推断出的信息属性、多项一般个人信息汇聚融合后的整体属性。
1判定标准一
第一个判定标准,将重点放在个人信息遭到泄露或者非法使用的后果上,若导致自然人人格尊严、人身安全、财产安全受损,则应识别为敏感个人信息。而人格尊严、人身安全、财产安全是非常典型的侵权行为的客体,完全可以参考《民法典》侵权责任编、人格权编进行理解。这样,即可保证这一判定标准的准确性。
例如,《征求意见稿》在这一定义的注释中写明:
维护个人的人格尊严包括维护生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权以及其他人格权益。
这正是《民法典》第990条对人格权的定义。
此外,《征求意见稿》特意列举了在个人信息领域侵害人格尊严、人身安全、财产安全的情形,以便理解:
-容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入他人网络账户、贩卖个人信息、电信诈骗、损害个人名誉、歧视性差别待遇等。个人信息主体可能会因特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露遭到歧视性待遇。
-泄露、非法使用个人的行踪轨迹信息,可能会造成个人信息主体的人身安全受到损害。
-泄露、非法使用金融账户信息,可能会造成个人信息主体的财产损失。
2判定标准二
第二个判定标准,则使用了列举的方法,与第一个概念性的判定标准相结合使用,基本可以完成常用场景下的敏感个人信息判定。
《个人信息安全规范》中也有敏感个人信息的列举,与之相比,《征求意见稿》的列举在细化程度上更进一步,也解决了实务中的一些争议热点,例如:
l增加了指向具体国家标准的注释;
l生物识别信息中将“面部识别特征”改为了“人脸信息”即人脸识别数据;
l此前列入其他信息类别的“宗教信仰”单独列出并增加“宗教组织中的职位”“参加的宗教活动”“特殊宗教习俗”等具体情况;
l医疗健康信息细分为“与个人的身体或心理的伤害、疾病、残疾、疾病风险或隐私有关的健康状况信息”“在疾病预防、诊断、治疗、护理、康复等医疗服务过程中收集和产生的个人信息”两类,并聚焦于“医疗”这一前缀,排除了个人疾病和医疗就诊无关基本体质信息;
l金融账户信息相较“个人财产信息”更为明确;
l行踪轨迹信息单独列出;
l其他敏感个人信息中明确定义了精准定位信息和犯罪记录等。
3判定标准三
第三个判定标准,则是对多项一般个人信息汇聚或融合后的整体的判定,若这个整体符合第一个判定标准,则该整体可以被认定为敏感个人信息。
四、保险行业敏感个人信息的分类及识别
在深入探讨保险行业的运作机制与数据生态后,本文将聚焦于保险行业敏感个人信息的识别方法与合规实践。这不仅关乎保险企业的合法经营,更直接影响到保险客户的个人信息安全与保险行业的可持续发展。因此,准确、全面地识别并妥善管理敏感个人信息,对于保险公司而言,其重要性不言而喻。
尽管识别敏感个人信息的重要性不言而喻,但在保险公司的日常运营中,这一任务却面临着诸多挑战:
1.信息种类繁多:保险业务涉及客户信息的方方面面,包括但不限于身份信息、健康状况、财务状况、家庭关系等,这些信息在不同场景下可能具有不同的敏感度,增加了识别的难度。
3.技术挑战:在大数据时代,海量数据的处理和分析对技术提出了更高要求。保险公司可能需要借助先进的技术手段,如人工智能、大数据分析等,提高敏感个人信息的识别效率和准确性,同时确保数据安全。
综上所述,保险行业在识别敏感个人信息方面既面临重要机遇,也需应对诸多挑战。通过加强法律法规学习、提升技术水平、完善内部管理制度以及加强员工培训等措施,保险公司可以更加有效地识别并管理敏感个人信息,为行业的健康发展奠定坚实基础。
除此以外,投保人办理保险业务时,保险公司普遍可能收集的敏感个人信息包括:身份证号、身份证照片、职业身份信息、住址信息、个人收入明细、护照号码、驾驶证信息、户口信息、声纹、人脸、银行账号、支付信息,以及不满十四周岁未成年人的个人信息等。
建议保险公司参照以上识别方法及分类列举,制定公司内部识别标准和流程,建立信息分类和标签体系,对收集的信息进行分类管理。对于识别为敏感个人信息的信息合规处理方法,可参考本文下述部分。
注:本部分内容并非完全列举,具有局限性,且为本文作者个人观点,仅供保险行业从业人员参考。具体识别与判定,需以监管机构的意见为准。
五、保险公司敏感个人信息处理合规实践
所谓个人信息的处理,是指个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。《个人信息保护法》第二章第二节专门规定了敏感个人信息的处理规则,本文将从该处理规则入手,结合保险公司可能涉及的个人信息处理方式,总结处理敏感个人信息必须遵守的合规要点。
1、处理敏感个人信息应当取得个人的单独同意。
此外,保险公司可能将收集到的信息提供给第三方,例如再保险人、中国银保信、增值服务供应商等。在这种情况下,不论个人信息是否被判定为敏感,都应当将第三方的联系方式、处理目的、处理方式和个人信息的种类等列出,并取得信息主体的单独同意。
需注意的是,若将敏感个人信息委托给第三方处理(例如将保单打印、系统开发、公估等外包给第三方公司),而非提供或共享,是否需要取得单独同意?《个人信息保护法》规定,对于一般的个人信息,这种情况不仅无需获得信息主体的同意,甚至无需告知,敏感个人信息是否同样如此?本文认为,由于委托处理情况下,个人信息的控制权并未实质发生转移,属于保险公司处理个人信息的一种特别的方式,因此,亦无需“同意”这一步骤。至于是否需要告知,本文认为,只需要告知存在委托处理这一处理方式即可,具体处理方则无需告知。
2、处理敏感个人信息应当告知必要性以及对个人权益的影响。
在保险行业,多数敏感个人信息在整个投保至理赔的过程中,都具有必要性,《个人信息保护法》明确,处理敏感个人信息需要“具有特定的目的和充分的必要性”,保险公司在告知书时,可以从处理的目的出发对必要性进行告知,例如可采取如下表述:
“基于保险风险评估、数据风控、核保审核、理赔调查、再保等服务及风险核实的必要,我们可能会通过......的方式处理您的敏感个人信息,不会对您的个人权益造成非法侵害。”
“收集的敏感个人信息的目的是为了与您订立保险合同、向您更加安全、便捷、高效地提供前述所涉全部保险服务,并且我们对您敏感个人信息的处理仅限于前述的特定目的。如您拒绝前述敏感个人信息的提供,将会影响我们向您提供特定业务功能或者服务。”
3、保险公司应当事前进行敏感个人信息保护影响评估,并对处理情况进行记录。
个人信息保护影响评估,即PrivacyImpactAssessment(简称为PIA),核心任务是识别、应对并持续跟踪在处理敏感个人信息期间可能对信息主体合法权益造成的不利影响。
评估的内容应当按照《个人信息保护法》第五十六条规定的内容展开,需充分评估个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。此外,保险机构对个人信息保护影响评估和处理情况记录至少保存三年。
具体的评估实施流程,则可以参照国家标准《信息安全技术个人信息安全影响评估指南(GB∕T39335-2020)》执行。
结语
本文详细探讨了敏感个人信息的定义、分类及其在保险行业中的识别方法与合规实践。通过分析《个人信息保护法》《信息安全技术个人信息安全规范(GB/T35273-2020)》和《网络安全标准实践指南——敏感个人信息识别指南(征求意见稿)》等法规和标准,本文为保险公司在实际操作中提供了具体的参考依据。同时,结合保险行业的特点,本文提出了相应的敏感个人信息处理合规措施。