2020年12月7日，中国银行保险监督管理委员会发布《互联网保险业务监管办法》（以下简称“《监管办法》”），将自2021年2月1日起施行，届时《互联网保险业务监管暂行办法》（以下简称“《暂行办法》”）废止。此前已有不少文章从不同角度剖析《监管办法》对保险行业的影响，本文将从网络安全和数据合规入手进行解读。

一、使用范围

（一）业务开展主体

《监管办法》删除了《暂行办法》的“第三方网络平台”的概念及相关规定，全面强化持牌经营原则，明确互联网保险业务应由依法设立的保险机构开展，并不得超出该机构许可证（备案表）上载明的业务范围。非保险机构不得开展互联网保险业务，包括但不限于以下商业行为：（1）提供保险产品咨询服务；（2）比较保险产品、保费试算、报价比价；（3）为投保人设计投保方案；（4）代办投保手续；（5）代收保费。但非保险机构可根据保险机构的委托，为其提供技术支持和客户服务。

保险机构包括：

（二）业务开展方式

互联网保险业务一般须符合以下三个条件：

（1）保险产品销售服务或保险经纪服务须通过互联网和自助终端设备提供；

（2）消费者能够通过保险机构自营网络平台的销售页面独立了解产品信息；

（3）消费者能够自主完成投保行为。

但在实践中，经常出现线上线下渠道融合的情形，比如销售人员与投保人面对面交流后，再发送投保链接，指导投保人在互联网上投保，但这并不符合“独立了解产品信息，自主完成投保行为”的要求。《监管办法》对此明确规范适用路径：

《中国银保监会关于规范互联网保险销售行为可回溯管理的通知》（银保监发〔2020〕26号）（以下简称“《通知》”）要求保险机构应在自营网络平台通过设置销售页面实现互联网保险销售。销售页面是保险机构在自营网络平台上设置的投保及承保全流程页面，《通知》对销售页面的设置作出详细规定。

《监管办法》修改了《暂行办法》中关于“自营网络平台”的定义，将其明确为保险机构为经营互联网保险业务，依法设立的独立运营、享有完整数据权限的网络平台。保险机构分支机构以及与保险机构具有股权、人员等关联关系的非保险机构设立的网络平台，不属于自营网络平台。

非自营网络平台不得设置互联网保险销售页面，但其可作为保险机构的合作机构设置投保申请链接，由投保人点击链接进入自营网络平台的销售页面。在保险机构执业的保险销售、保险经纪从业人员在非自营网络平台，比如在微信朋友圈、抖音、微博等第三方社交平台中为互联网保险业务开展营销宣传、产品咨询的，保险机构需在其劳动合同或委托协议中约定双方权利义务，并按照相关监管规定对其进行执业登记和管理，标识其从事互联网保险业务的资质以供公众查询。保险机构对所属从业人员的互联网保险业务行为依法承担责任。保险机构在互联网保险销售或经纪活动中，不得向未在本机构进行执业登记的人员支付或变相支付佣金及劳动报酬。

二、网络安全要求

开展互联网保险业务的保险机构属于网络运营者，《监管办法》第七条结合《网络安全法》等法律法规规定，对开展互联网保险业务的保险机构及其自营网络平台针对网络安全提出七项要求：

若保险机构不满足《监管办法》第七条规定，应立即停止通过互联网销售保险产品或提供保险经纪服务，并在官方网站和自营网络平台发布公告。保险机构经整改后满足《监管办法》第七条要求的，可恢复开展相关互联网保险业务。保险机构拟自行停止自营网络平台业务经营的，应至少提前20个工作日在官方网站和自营网络平台发布公告。涉及债权债务处置的，应一并进行公告。

《监管办法》还在第三十七条要求保险机构严格按照网络安全相关法律法规，建立完善与互联网保险业务发展相适应的信息技术基础设施和安全保障体系，提升信息化和网络安全保障能力：

针对互联网保险公司，《监管办法》强调应不断提高互联网保险业务风险防控水平，健全风险监测预警和早期干预机制，运用数据挖掘、机器学习等技术提高风险识别和处置能力。互联网保险公司应建立完善与互联网保险业务发展相适应的信息技术基础设施和安全保障体系，提升信息化能力，保障信息系统和相关基础设施安全稳定运行，有效防范、控制和化解信息技术风险。

此外，《监管办法》在第七十条针对互联网企业代理保险业务提出业务隔离要求：

三、数据合规要求

保险机构核保使用的数据信息应做到来源及使用方式合法。保险机构应丰富数据信息来源，深化技术应用，加强保险细分领域风险因素分析，不断完善核保模型，提高识别筛查能力，加强承保风险控制。

（一）个人信息保护

《监管办法》第三十八条对客户的个人信息保护作出规定，保护思路与我国个人信息保护立法思路一致，要求遵循合法、正当、必要的原则，保证信息收集、处理及使用的安全性和合法性。

客户同意和客户授权是保险机构处理个人信息的前提，未经客户同意或授权，保险机构不得将客户信息用于所提供保险服务之外的用途，法律法规另有规定的除外。保险机构需建立客户信息保护制度，明确数据安全责任人，构建覆盖全生命周期的客户信息保护体系，防范信息泄露。

在与提供技术支持、客户服务等服务机构开展合作时，需在合作协议中明确约定客户信息保护责任，保障客户信息安全，明确约定合作机构不得限制保险机构获取客户投保信息，不得限制保险机构获取能够验证客户真实身份的相关信息，督促合作机构建立有效的客户信息保护制度。

《监管办法》对客户的个人信息保护规定较为空泛，此前，针对个人金融信息保护，中国人民银行曾发布《个人金融信息保护技术规范》（JR/T 0171-2020），保险机构可结合实际按照前述规范加强个人金融信息全生命周期技术管理，强化风险识别和监控，建立健全风险事件处置机制，保障个人金融信息主体合法权益。保险机构还需结合《民法典》《网络安全法》《儿童个人信息保护规定》《信息安全技术个人信息安全规范》《信息安全技术个人信息安全影响评估》，以及后续出台的《个人信息保护法》等法律法规、国家标准要求完善内部个人信息保护制度构建，落实个人信息保护要求。

（二）数据共享

《监管办法》第三十四条规定，保险公司与保险中介机构合作开展互联网保险业务的，应审慎选择符合本办法规定、具有相应经营能力的保险中介机构，做好服务衔接、数据同步和信息共享。结合《信息安全技术个人信息安全规范》（GB/T 35273-2020）9.2，保险公司与保险中介机构共享个人信息时，需事先获取客户同意，开展个人信息安全影响评估，通过合同等方式规定数据接收方的责任和义务，准确记录和存储个人信息的共享情况，并督促数据接收方按照法律法规要求或双方约定处理个人信息。

数据保护并不是一味限制数据流动，《监管办法》要求保险公司应与保险中介机构签订合作或委托协议，确定合作和委托范围，明确双方权利义务，约定不得限制对方获取客户信息等保险合同订立的必要信息，以此破解数据壁垒难题。

此外，《监管办法》还鼓励保险中介机构发挥自身优势，建立完善相关保险领域数据库，创新数据应用，积极开展风险管理、健康管理、案件调查、防灾减损等服务。在有效隔离、风险可控的前提下，与保险公司系统互通、业务互联、数据对接，以充分挖掘大数据的创新优势与潜在价值。

（三）可回溯管理要求

此前，针对在自营网络平台上销售投保人为自然人的商业保险产品，2020年10月1日生效的《通知》要求保险机构实施互联网保险销售行为可回溯管理，个人税收优惠型健康保险、个人税收递延型养老保险产品除外。保险机构未按照《通知》要求对互联网保险销售行为进行可回溯管理的，由中国银保监会及其派出机构依照有关法律规定予以处罚或采取监管措施。

保险机构开展互联网保险销售行为可回溯时，应当严格依照有关法律法规，采取切实可行的管理措施和技术措施，保护投保人、被保险人和受益人的个人信息安全，遵循合法、正当、必要的原则，不得收集与其销售产品无关的消费者信息，还应建立全面、系统、规范的内部控制体系，加强内控制度建设和内控流程设计，实现对销售行为可回溯管理所有流程和操作环节的有效监控。根据《通知》，互联网保险销售行为可回溯资料保管期限自保险合同终止之日起计算，保险期间在一年以下的不得少于五年，保险期间超过一年的不得少于十年。遇消费者投诉、法律诉讼等纠纷的，应至少保存至纠纷结束后三年。

《监管办法》第三十三条进一步要求开展互联网保险业务的所有保险机构均应采用有效技术手段对投保人身份信息的真实性进行验证，并完整记录和保存互联网保险主要业务过程。互联网保险业务可回溯管理的具体规则，由银保监会另行制定。

互联网保险销售行为可回溯是指保险机构通过销售页面管理和销售过程记录等方式，对在自营网络平台上销售保险产品的交易行为进行记录和保存，使其可供查验，保险机构需做到销售和服务等主要行为信息不可篡改并全流程可回溯。

可回溯资料包括：（1）产品销售页面的内容信息；（2）投保人操作轨迹；（3）保全理赔及投诉服务记录；（4）投保期间保险机构通过在线服务体系向投保人解释说明保险条款的有关信息。互联网保险销售行为可回溯资料应可还原为可供查验的有效文件，销售页面应可还原为可供查验的有效图片或视频。

结语

《监管办法》将于2021年2月1日起正式施行，其第八十一条设置了明确的整改时间表，要求保险机构在该办法施行之日起3个月内完成制度建设、营销宣传、销售管理、信息披露等问题整改，6个月内完成业务和经营等其他问题整改，12个月内完成自营网络平台网络安全等级保护认证。保险机构需审慎考量目前经营模式，梳理并完善内部网络安全和数据合规制度，妥善处理与非保险机构的第三方平台的合作方式，以在一个健康、合规的环境中推进业务运营。

作者：吴丹君律师 张振君律师助理

来源：微信公众号“大数据法律研究”