为“保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”，全国人民代表大会常务委员会于2021年8月20日颁布了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），该法于2021年11月1日起正式施行。《个人信息保护法》为个人信息安全和隐私保护提供了重要法律保障，开启了我国个人信息保护立法新时代。《个人信息保护法》就个人信息的定义、个人信息处理者的义务、个人信息的处理规则、个人信息处理的监督管理等方面作出规定。

保险业的正常运转以保险公司对保险消费者个人信息的处理为基础，以此评估风险、计算保费，维持风险共同体的内部平衡，因此，保险公司对客户与潜在客户的个人信息的占有量直接影响保险公司在市场中的地位和发展前景。综上，个人信息的合法合规使用与积极保护对保险行业的可持续发展具有举足轻重的作用。《中华人民共和国保险法》（以下简称《保险法》）与《个人信息保护法》的有机结合与衔接，对我国保险领域的合规发展与个人信息保护的推进均具有重大意义。

（一）现代保险业务的开展以大体量、高敏感的个人信息为前提

网络信息时代，全球保险业务的运作模式以大量的个人信息为前提。此外，投保信息收集的另一目的，在于能够精准定位具体的被保险人或某人的财产，因此，现代保险业务的开展必然涉及大量个人信息与敏感个人信息的处理。

对于敏感个人信息，《个人信息保护法》特设专章强化其保护问题。保险公司除基于KYC规则需要收集身份证件信息外，部分保险产品的运作还要求收集生物识别、医疗健康、金融账户等个人信息，以及不满十四周岁未成年人的个人信息，对此保险公司需落实更为严格的安全保障措施以保障客户权利。

（二）现代保险业务的开展需要同时符合多项法律法规及行业标准的要求

为保护个人信息安全，我国先后制定了《个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》（以下简称《数据安全法》）《个人信息出境标准合同备案指南》等法律法规与国家标准，专门针对保险行业出台了《银行保险机构消费者权益保护管理办法》《保险销售行为管理办法》《保险中介机构信息化工作监管办法》等行业规定，全方位、多角度规范保险机构处理个人信息的行为，降低个人信息安全事件的风险。

由于现代保险业均依靠互联网与大数据开展业务，加之保险业作为金融行业的重要组成部分，保险业务的开展不仅需要满足我国金融监管的要求，而且需要满足我国信息安全与网络安全的要求，容易陷入各类规定之间的适用困境。

（三）现代保险业务的开展涉及多种个人信息处理方式

保险公司在产品开发、承保、理赔等业务环节中，将涉及个人信息进行收集、存储、使用、加工等多种处理方式。因此，在保险业务中，个人信息处理流程复杂、方式繁复，导致了个人信息泄露的高风险。

从广义上看，保险契约的实质是风险信息的交换。投保人掌握的保险标的的个体信息与保险人掌握的社会范围内某类风险的整体信息的交换。风险信息资源的垄断地位是保险行业的关键，以对个人信息的处理为前提；从狭义上看，个人信息处理涉及单个保险合同的效力。最大诚信原则是保险的基本原则之一，对于投保人是否遵守最大诚信原则的考量，依靠单纯的“存储”无法达到目的，必须通过对个人信息的处理、与事实的比对、向第三方机构传输等，方可达到目的。

（一）对个人信息相关违法行为的描述过于片面

1.侵害客体仅包含商业秘密

根据《保险法》的相关规定，明确禁止保险公司及其工作人员、保险经纪人等相关责任人员泄露其所知悉的有关单位和个人的商业秘密。相关条文中，违法行为的侵害对象仅含“商业秘密”，未提及个人信息，与保险实务中个人信息权益被频繁侵害的实际情况出入较大。此外，聚焦保险行业个人信息保护的法律文件位阶也仅限于规章及其他规范性文件，尚未建立系统性的法律法规，存在效力位阶较低而约束力不足的问题。

2.行为种类仅包含泄露行为

《保险法》相关法律条文中，对违法行为种类仅列举“泄露”，较为片面，与实际情况中侵害个人信息的行为类型不符，应列举具有其他同等危害的行为类型并添加“兜底”行为种类，使相关规定更加全面和具体，以明确责任和监管标准。

（二）保险合同依法应当包含的个人信息种类过少

根据《保险法》的相关规定，保险合同应包含的个人信息种类仅包括最基本的姓名（或名称）及住所，与保险业务开展的实际状况相去甚远。基于现行法律条文的规定，保险人收集、处理被保险人或受益人的个人信息时，需要首先取得其同意，方能收集其身份证信息、住址、联系方式及健康信息等，将面临许多不必要的合规手续。

（三）保险公司的个人信息保存期限缺少上限规定

1.已成立保险合同的情形

根据《保险法》的相关规定，保险公司应当按照国务院保险监督管理机构的规定妥善保管业务经营活动的完整账簿、原始凭证和有关资料。前款规定保管期限，自保险合同终止之日起计算，保险期间在一年以下的不得少于五年，保险期间超过一年的不得少于十年。同时，根据《个人信息保护法》第十九条的规定，除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

由此，便产生了保险实务中的操作困境。根据《保险法》的规定，个人信息作为业务有关资料，其保管期限没有上限约束，这使许多保险公司在实践中选择永久地保存客户个人信息。然而，若保险公司在保险实务中仅需一年即可实现处理目的，却因《保险法》的规定持续保存有关资料，则有可能违反《个人信息保护法》的规定。这导致保险公司陷入不是违反《保险法》规定，就是违反《个人信息保护法》规定的合规困境。

2.未成立保险合同的情形

实践中，保险公司在审核投保时，可能会出于种种原因拒保，或在正式投保前进行预核保，以核实情况，而《保险法》并未对此种操作的合法性作出明确规定。根据《保险法》的相关规定，保险有关资料的保管期限取决于具体保险合同的保险期间，因此，保险公司保管尚未订立具体保险合同的准客户的个人信息，无法直接适用此条予以规制，存在立法空白。

（四）再保险业务所需信息规定不明

根据《保险法》第二十八条的规定，保险人将其承担的保险业务，以分保形式部分转移给其他保险人的，为再保险。应再保险接受人的要求，再保险分出人应当将其自负责任及原保险的有关情况书面告知再保险接受人。然而，投保人、被保险人、受益人的个人信息是否属于“原保险的有关情况”，并未明确规定。笔者认为，此处的“有关情况”应当包含“相关个人信息”，否则将导致再保险合同处理的三条规则——执行共同命运条款、过失责任共担条款、原保险人对于再保险人应负合同义务，均难以实现。

其次，对于再保险人在《个人信息保护法》下的第三方法律地位，笔者认为，应当将再保险人定位为独立的个人信息处理者，再保险相关的个人信息应当明确列入《保险法》第二十八条的“有关情况”之中，否则将直接导致再保险业务开展的困难。

（五）保险代理人的个人信息保护义务缺位

根据《保险法》的规定，保险代理人与保险人属于委托和被委托关系。根据《个人信息保护法》的规定，在委托关系终止后，保险代理人应将业务过程中所获取的客户个人信息返还或删除。实践中，保险公司往往忽略了保险代理人的返还及删除义务，保险代理人也通常会将客户个人信息视为自身业务资源，不愿返还给保险公司或者删除。对此，无论是《保险法》还是《保险代理人监管规定》与《保险经纪人监管规定》，均缺乏明确规制。

（一）《保险法》相关法律条文应完善个人信息保护的相关描述

1.完善个人信息相关违法行为的客体与行为种类

现行《保险法》对于个人信息相关违法行为存在客体与行为种类两方面的不足，能规制的行为有限，已无法满足实践需求。笔者认为，应尽快衔接《保险法》与《个人信息保护法》的相关规定，将个人信息纳入侵害客体，同时将违法行为的规定与《个人信息保护法》第五十一条的要求保持一致，明确禁止未经授权访问、泄露、篡改、丢失个人信息等行为，制定相应的法律责任和处罚措施，保障个人信息安全和权益。

2.完善保险合同依法应当包含的个人信息种类

笔者建议，将《保险法》第十八条新皇冠体育：保险合同应当包括的事项予以扩充，增加如“被保险人、受益人的身份证信息、健康信息、与投保人关系”等相关内容，使保险公司可以直接依法收集被保险人、受益人的个人信息，无须取得相关信息主体的同意。

如此一来，首先，可以最大限度地减少投保人与保险人之间的信息不对称，实现双方利益最大化；其次，保险公司可直接适用法条收集个人信息，缓解了不必要的合规压力；最后，在保险合同中明确记录相关个人信息，可为将来的或有纠纷提供有效证明。

（二）《保险法》中应补充保险公司个人信息保存期限的上限规定

保险公司的个人信息保存期限的上限与下限均应得到明确规定，以保障客户个人信息安全和相关权利。笔者建议，明确规定保险公司应当在保险合同终止后的二十年内保存客户个人信息，以满足个人信息的处理目的，并应当在上限届满时进行删除操作。

此外，在拒保或预核保等业务场景中，即使个人与保险公司之间未建立有效保险合同，也应当对保险公司留存个人信息的最长期限作出明确限制。笔者建议，明确规定保险公司在个人信息收集后一定时间内未成立保险合同的，应当对客户的个人信息进行删除。这既能满足保险公司的个人信息必要处理目的，又能避免个人信息过度保存可能带来的风险。

（三）《保险法》应规定再保险业务所需信息包含个人信息

开展再保险业务，不仅是基于原保险人自身需要开展的，而且是基于有关规定开展的，前者为临时分保业务，后者为合约分保业务。因此，笔者建议，补充现行《保险法》第二十八条中“原保险的有关情况”的内涵，明确“原保险的有关情况”中包括直保客户的个人信息，使得保险公司可直接引用《个人信息保护法》第十三条第一款第二项的规定进行个人信息传输，从而更好地开展再保险业务。

（四）加强保险代理人的个人信息保护义务

在保险代理人与保险客户之间的关系中，保险代理人的地位和义务需要更进一步的明确。首先，保险代理人需要遵守《个人信息保护法》等相关法律法规的规定，妥善保护客户的个人信息。其次，保险代理人作为受托人，当其与个人信息处理者（保险公司）的委托代理关系结束后，应当将其在委托代理关系内收集、获取、存储的相关个人信息返还个人信息处理者（保险公司）或者予以删除，不得保留。因此，笔者建议完善《保险法》及其他保险代理人的相关监管规定，进一步明确保险代理人的地位，并明确委托代理关系的前、中、后期保险代理人对其处理的个人信息分别需要履行的权利与义务。同时，对于保险代理人利用职务便利进行个人信息相关违法行为的，应作为违法行为的加重要件予以处罚。

（五）设计保险行业的“个人信息安全影响评估”评估模板

根据《个人信息保护法》的要求，个人信息需向境外提供等情形下，应当依法开展安全评估。目前，因缺乏保险行业的个人信息安全影响评估模板，实务中普遍参考国家市场监督管理总局与国家标准化管理委员会发布的《信息安全技术个人信息安全影响评估指南》（GB/T 39335—2020）的要求开展评估。然而，该指南是全行业均可参照的国家标准，考虑到保险业务需涉及大量敏感个人信息，该指南在保险实务中有诸多不适应之处。笔者建议，应设计符合保险行业需要的评估要点或评估模板，以确保评估的统一性和权威性。

（六）加强衔接《银行业保险业突发事件信息报告办法》与《个人信息保护法》

根据《银行业保险业突发事件信息报告办法》的相关规定，“银行保险机构丢失或泄露大量重要资料、重要账册、重要空白凭证、重要数据或客户信息等，已经或可能造成重大损失、严重影响”属于应当向国家金融监督管理总局报告信息的银行业保险业突发事件，个人信息属于客户信息，个人信息安全事件属于前述突发事件。因此，建议监管部门加强衔接《银行业保险业突发事件信息报告办法》与《个人信息保护法》的相关内容，提高保险行业的安全事件处置能力。

具体来看，应当制定相应规定，要求保险公司及其关联机构建立健全安全事件处置机制，落实到具体的流程和制度中。此外，监管部门可以要求保险公司定期开展信息安全教育培训，提高员工的信息安全意识和应急处置能力。相应地，监管部门应建立健全标准化的安全事件报告流程与模板，为保险公司提供指导和支持。

保险行业作为需要处理大量个人信息的金融行业，面临更为严格的个人信息保护要求，保险机构开展个人信息保护工作的难度相应增加。为了更好地保护个人信息权益，促进个人信息合理利用，本文建议，加强《保险法》《个人信息保护法》及其他相关法律法规的衔接，完善保险行业的个人信息保护制度，使其真正发挥效力，从而更好地维护消费者的合法权益，保障保险行业的健康稳定发展。