王和:迎接保险新数字时代(下)
发布时间:2021-09-02 08:38:55 作者: 来源:中国银行保险报网
保险企业无疑是典型的个人信息处理者,但就目前的情况而言,大多数保险企业的数据处理行为,与《中华人民共和国个人信息保护法》的要求相去甚远,“不符合”的情况仍然存在,这无疑是一个巨大的问题和挑战,也可能成为一个危机,因为距离2021年11月1日正式实施,保险行业没有太多的时间了。因此,保险企业要有一种很强的危机感和紧迫感,以时不我待的认识,在认真学习的基础上,尽快启动《中华人民共和国个人信息保护法》的依法合规专项活动。
保险行业的当务之急是解决经营管理实际操作层面的合法性问题,其中,最重要的是在掌握和理解的基础上,有效落实《中华人民共和国个人信息保护法》中关于个人信息处理的基本原则和规定。一是合法、正当、必要和诚信原则,在互联网经济思维背景下,企业总是希望利用业务机会,尽可能多地获取客户信息,但如果超越了“合法、正当和必要”的边界,就可能触及违法。二是“最小必要”原则,满足处理目的的“最小”,即要求个人信息处理者收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。三是“告知同意”原则,要求个人信息处理者在处理个人信息之前,应当明确和充分告知,并取得个人的同意,这种同意应当是个人在充分知情的前提下,自愿和明确作出的。在有些情况下,如处理敏感个人信息时,要取得个人的单独和书面同意。
《中华人民共和国个人信息保护法》要求个人信息处理者要提供两大技术能力,一是符合法律规定的个人信息处理技术能力,如采取必要措施保障所处理个人信息的安全;采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息;采取相应的加密、去标识化等安全技术措施;个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。二是满足个人信息权益保障的技术能力,如个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式;个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供;个人请求将个人信息转移至其指定的个人信息处理者,个人信息处理者应当提供转移的途径;通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
纵观《中华人民共和国个人信息保护法》各种严格的规范和要求,就不难理解为什么会将其称为“史上最严的法律”,一个重要的原因是《中华人民共和国个人信息保护法》在个人信息及其权益保护方面,提出了一系列“几近苛刻”的要求,对于大多数保险企业尤其是中小保险企业而言,面临着“做不到”的无奈和尴尬。在这种无奈和尴尬的背后折射出一个“时代课题”,即传统的理念和技术已经难以适用“新数字时代”的需要,这个时代的特征是:一方面严格并强化个人信息保护,另一方面强调数字利用能力将成为核心竞争力。于是,如何处理和平衡保护和利用的关系,继续沿用过去的思维模式和技术能力是“走不出来”的,需要适应新时代的新思维和新能力。
所谓“新思维”的关键是在理解并尊重“个人信息权益”的基础上,从根本上摒弃传统的思维模式,构建全新的经营理念。就数据管理和运用而言,要放弃“企业本位”和“以我为主”,以及“大而全”和“小而全”的思维,以更广的视野和胸怀,以更大的觉悟和智慧,理解“不求所有,但知所在,确保能用”,理解“数据不动,价值动”,实现“可算不可见”和“可用不拥”的技术境界,从根本上破解“个人信息保护难题”,最终实现从“由内而外”和“重内轻外”到“由外而内”和“内外并重”的转变。同时,要强化技术和产业合作,形成“内引外联”和“内外兼修”的发展新格局和新生态,在全面融入社会数字化的同时实现企业的数字化。
所谓“新技术”的重点是隐私计算。隐私计算是面向隐私信息全周期保护的技术,可以实现数据的“可用不可见”,成为面向未来的重要技术解决方案。在全面落实《中华人民共和国个人信息保护法》要求的过程中,应当将隐私计算作为一个重要工具、方法和路径。要重点关注联邦学习、安全多方计算、同态加密、差分隐私、可信计算、区块链、边缘计算技术等,将隐私计算技术作为重构业务模式的底层技术,确保基础逻辑的合法性。同时,要以更加开放的心态,加强与隐私计算科技行业的合作,要特别重视相关平台技术的发展动态和合作机会,形成一种内外联合强强联合的模式。
总之,《中华人民共和国个人信息保护法》的实施不仅代表了社会的文明与进步,更要求、引领和推动着保险行业的发展与进步,特别是面向未来,面向认知革命时代的到来,保险业要实现基于认知科学和认知计算的蜕变和迭代,“核心数据能力”将成为关键,更重要的是这种“核心数据能力”必须要建立在依法合规基础上。因此,保险业要利用《中华人民共和国个人信息保护法》提高觉悟、提升能力,更好地迎接行业高质量发展的新时期。
(作者系中国人保财险原执行副总裁)
保险企业无疑是典型的个人信息处理者,但就目前的情况而言,大多数保险企业的数据处理行为,与《中华人民共和国个人信息保护法》的要求相去甚远,“不符合”的情况仍然存在,这无疑是一个巨大的问题和挑战,也可能成为一个危机,因为距离2021年11月1日正式实施,保险行业没有太多的时间了。因此,保险企业要有一种很强的危机感和紧迫感,以时不我待的认识,在认真学习的基础上,尽快启动《中华人民共和国个人信息保护法》的依法合规专项活动。
保险行业的当务之急是解决经营管理实际操作层面的合法性问题,其中,最重要的是在掌握和理解的基础上,有效落实《中华人民共和国个人信息保护法》中关于个人信息处理的基本原则和规定。一是合法、正当、必要和诚信原则,在互联网经济思维背景下,企业总是希望利用业务机会,尽可能多地获取客户信息,但如果超越了“合法、正当和必要”的边界,就可能触及违法。二是“最小必要”原则,满足处理目的的“最小”,即要求个人信息处理者收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。三是“告知同意”原则,要求个人信息处理者在处理个人信息之前,应当明确和充分告知,并取得个人的同意,这种同意应当是个人在充分知情的前提下,自愿和明确作出的。在有些情况下,如处理敏感个人信息时,要取得个人的单独和书面同意。
《中华人民共和国个人信息保护法》要求个人信息处理者要提供两大技术能力,一是符合法律规定的个人信息处理技术能力,如采取必要措施保障所处理个人信息的安全;采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息;采取相应的加密、去标识化等安全技术措施;个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。二是满足个人信息权益保障的技术能力,如个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式;个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供;个人请求将个人信息转移至其指定的个人信息处理者,个人信息处理者应当提供转移的途径;通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
纵观《中华人民共和国个人信息保护法》各种严格的规范和要求,就不难理解为什么会将其称为“史上最严的法律”,一个重要的原因是《中华人民共和国个人信息保护法》在个人信息及其权益保护方面,提出了一系列“几近苛刻”的要求,对于大多数保险企业尤其是中小保险企业而言,面临着“做不到”的无奈和尴尬。在这种无奈和尴尬的背后折射出一个“时代课题”,即传统的理念和技术已经难以适用“新数字时代”的需要,这个时代的特征是:一方面严格并强化个人信息保护,另一方面强调数字利用能力将成为核心竞争力。于是,如何处理和平衡保护和利用的关系,继续沿用过去的思维模式和技术能力是“走不出来”的,需要适应新时代的新思维和新能力。
所谓“新思维”的关键是在理解并尊重“个人信息权益”的基础上,从根本上摒弃传统的思维模式,构建全新的经营理念。就数据管理和运用而言,要放弃“企业本位”和“以我为主”,以及“大而全”和“小而全”的思维,以更广的视野和胸怀,以更大的觉悟和智慧,理解“不求所有,但知所在,确保能用”,理解“数据不动,价值动”,实现“可算不可见”和“可用不拥”的技术境界,从根本上破解“个人信息保护难题”,最终实现从“由内而外”和“重内轻外”到“由外而内”和“内外并重”的转变。同时,要强化技术和产业合作,形成“内引外联”和“内外兼修”的发展新格局和新生态,在全面融入社会数字化的同时实现企业的数字化。
所谓“新技术”的重点是隐私计算。隐私计算是面向隐私信息全周期保护的技术,可以实现数据的“可用不可见”,成为面向未来的重要技术解决方案。在全面落实《中华人民共和国个人信息保护法》要求的过程中,应当将隐私计算作为一个重要工具、方法和路径。要重点关注联邦学习、安全多方计算、同态加密、差分隐私、可信计算、区块链、边缘计算技术等,将隐私计算技术作为重构业务模式的底层技术,确保基础逻辑的合法性。同时,要以更加开放的心态,加强与隐私计算科技行业的合作,要特别重视相关平台技术的发展动态和合作机会,形成一种内外联合强强联合的模式。
总之,《中华人民共和国个人信息保护法》的实施不仅代表了社会的文明与进步,更要求、引领和推动着保险行业的发展与进步,特别是面向未来,面向认知革命时代的到来,保险业要实现基于认知科学和认知计算的蜕变和迭代,“核心数据能力”将成为关键,更重要的是这种“核心数据能力”必须要建立在依法合规基础上。因此,保险业要利用《中华人民共和国个人信息保护法》提高觉悟、提升能力,更好地迎接行业高质量发展的新时期。
(作者系中国人保财险原执行副总裁)
