您的个人信息已被掠夺性滥用！业界专家、大咖共议隐私保护

6月25日，以“隐私计算——保险数字化的重要基石”为主题的“保险业个人信息保护技术专题高层闭门会”在北京举行。来自中国保险学会、北京金融科技研究院、中央财经大学、人保健康、国寿财险、太保集团以及中兴通讯(行情000063,诊股)、中国电信等20多家单位的领导和专家出席。

会议由中国精算师协会副会长、仁和研究院院长王和主持。

中国保监会原副主席魏迎宁表示，个人信息主要是信息化时代的概念，个人信息的特征是识别特定自然人。侵害个人信息权益，不仅侵害隐私权，还会侵害其他的权利，包括人格权、生命安全、人身自由等。我国个人信息保护的相关法律有《宪法》《民法典》《刑法》《网络安全法》《征信业管理条例》以及最高法、最高检的司法解释。《个人信息保护法》也正在制定中，今年下半年可能会通过。《个人信息保护法》有明确的规定，其中最主要是对个人信息处理者的规范，也就是用于商业行为的规定，以及监管部门的监管和处罚。

怎么面向未来，保险行业如何应对？魏迎宁认为：个人信息保护对保险业而言，1、首先是个新课题，原来我们研究不够，还需要重视加强研究；2、是个重要的课题，而且是必须解决的课题。金融、保险业都掌握一些个人信息，都是非常重要的信息；3、个人信息保护法最主要规定的是对于个人信息处理者，针对商业上的规定，监管严，行政处罚力度比较大。一旦生效，再违反这些规定，企业可能就面临比较重的行政处罚，它关系到保险业的发展和社会形象，应该引起高度关注，应尽快研究应对措施，发挥保险行业的优势；4、我们要充分发挥保险业的技术优势。保险业资产规模虽比银行业小，但保险行业的复杂性，技术性还是很强的，我们有信心能够解决这个问题。

中国保险学会会长董波表示，值此我国《民法典》颁布一周年即《个人信息保护法》进入倒计时之际，仁和研究院主办的“保险业个人信息保护技术专题高层闭门会”，中国保险学会作为会议的指导单位，希望会议立足市场，探讨出指导行业“依法治数”发展的建设性意见，祝会议取得圆满成功。

北京金融科技研究院常务副院长张世强表示，隐私计算技术对保险行业意义非凡。某种程度上可以完成保险科技使用数据的难题，即“可用不可见”。

张世强还称，2020年，中国保险总资产规模达到23.2万亿人民币，保费收入4.5万亿人民币，同比增长6.1%，相比较欧美日等发达国家还有较大差距。科技赋能保险业发展潜力巨大，是我国金融改革发展、经济转型升级的发力点之一。保险作为一种科学的风险管理制度安排，先天就与大数据、人工智能、区块链以及云计算等技术联系紧密。保险行业落地场景众多，保险科技发展势头迅猛。从全球资本市场看，保险科技赛道如火如荼，2020年保险科技融资总额增长了12%，交易数量增长了20%。

中国精算师协会副会长、仁和研究院院长王和表示，隐私是人类文明的底线，需要集体守护。2021年，无疑将成为我国个人信息（隐私）保护的“元年”，保险无疑是个人信息（隐私）保护的重要领域。在数字时代，各种个人信息被广泛记录和存储是一个基本趋势，而其中不乏错误和虚假信息，以及可能对个人产生负面影响的信息，因此，个人从维护自身利益的角度出发，有权要求数据处理者删除相关信息，这种权利被称为“删除权”。2018年欧盟的GDPR颁布实施，就对“删除权”做出了明确规定，要求数据处理者有义务在72小时内删除所有信息。同时，在“删除权”的基础上，提出了“遗忘权”的概念，要求数据控制者不仅自己删除，还要通知第三方删除，确保信息被彻底“遗忘”。

王和还表示，长期以来，隐私和个人信息保护问题一直是一个被忽视，乃至遗忘“角落”。但随着社会的进步，特别是互联网和数字化时代的到来，开启了一个全新的时代，首先，是《民法典》确立的现代人格权，为隐私和个人信息保护提供了法理基础。其次，是《个人信息保护法》等相关法律的出台，将形成一个系统的保护体系，继而要求“数据可用不可见，数据不动价值动”，全面开启“依法治数”的新时代。《个人信息保护法》无疑是我国个人信息保护领域最基础和最重要的法律。经过了长时间的酝酿和讨论，2020年10月13日提交了“一审稿”，但由于涉及领域和利益众多，需要考虑和平衡的问题很多，在新一轮的讨论之后，2021年4月26日提交了“二审稿”，并进入“冲刺”阶段。

王和称，对于保险业而言，《个人信息保护法》的相关规定，可能会是“难以理解”，乃至“匪夷所思”的概念，并对保险业的经营理念、管理模式和信息技术带来巨大和根本性的冲击，可能会让大多数人“始料未及”和“措手不及”，因此，尽快系统地学习和研究《个人信息保护法（草案）》，深刻领会精神是基础、前提和关键。

王和进一步称，保险，属于典型的“数字密集型产业”，“大数法则”决定了保险的数字属性是与生俱来的，保险经营的过程，可以说就是数据处理（精算）的过程，二者“密不可分”。大多数保险计算均涉及隐私范畴，其中包括：1）医疗保险。涉及大量个人基本信息和健康信息，包括疾病和用药信息。2）养老保险。涉及大量个人基本信息和家庭信息。3）护理保险。涉及大量个人基本信息和健康信息，包括家庭信息。4）汽车保险。涉及个人基础信息和家庭财产信息，包括个人驾驶行为和性格信息。5）家庭财产保险。涉及个人和家庭财产相关信息。6）信用保险。涉及个人基本信息和财富信息，包括个人的风险偏好和信用记录等信息。面向未来，隐私计算将成为保险业的“标配”。

如何解决保险的数据保护与利用问题，王和给出三条建议，首先，要解决观念问题，即对客户“数权”的尊重和切实保护；其次，要解决制度建设问题，没有规矩，不成方圆；第三，最重要的是“以技制数”，即通过利用隐私计算等技术，从根本上解决刚性保护问题。面向未来，就保险业而言，怎么强调个人信息保护都不过分！当务之急，保险业要关注三大“关键词”：领导重视、时不我待和内外兼修，同时，强化隐私计算技术能力建设，切实并尽快地适应《个人信息保护法》时代的要求。

中兴通讯数据保护合规部部长高瑞鑫认为：企业隐私合规需要以风险为导向。1.研究风险，感知形势。我们要研究和感知当前行业所处的形势，中兴通讯编辑了《GDPR执法案例精选白皮书》，可以供国内企业参考，把相关场景、违规项提炼出来，就可以从法条合规到实证合规，把提炼案例中的禁止项，变成企业经营中的红线；2.认识风险，立足行业。在一个行业中，如果你的同行都做全面的风险防控，你没有做或者做的不够，将是非常被动的；3.跟踪风险，关注高危。企业要梳理自己业务中的相关风险，尤其要关注个人信息保护中的漏洞，针对高危风险及时采取措施，消除隐患。金融保险大数据使用，也是隐私合规非常重要的关注点，如何应对金融保险领域数据保护合规，金融企业需要立即行动，开展自查，完善制度，科学合理设置组织和人员；4.践行隐私合规，要从源头进行管控。以中兴通讯的GoldenDB分布式数据库为例，在立项、测试、和发布的流程中，就导入了隐私保护和数据保护的要求，在面向消费者的产品中，我们也将公司统一的隐私保护设计嵌入到产品研发中，从源头去管控。

高瑞鑫还表示，企业也可以考虑隐私合规领域的第三方认证，通过认证来赢得客户、供应商和最终用户、社会公众的信任，中兴通讯在2019年就做了ISO/IEC27701的认证，希望对保险行业合规建设有所借鉴。

中国电信翼支付隐私计算研发部负责人章庆表示，近年来，数据隐私保护受到全球的关注，随着数据安全事件频发，一方面各国加紧了对数据保护相关法律法规制订，并逐渐趋于完善，另一方面数据安全隐私的监管执行也日益严格。在这个背景下，隐私计算作为数据协同解决数据合规和安全流通的工具就备受重视。

章庆还表示，“区块链+隐私计算”的融合，最近受到了很多产品方的青睐。数据不管以明文、密文还是监管的方式上链，都会以公开和不可篡改的方式进行存储，隐私计算刚好是以“可用不可见”的方式进行数据流通，双方有着天然的互补优势。

圆桌讨论精彩纷呈，由中央财经大学保险学院院长李晓林、人保健康副总裁伍立平、国寿财险金融科技中心综合管理部总经理丁锐、太保集团首席信息安全专家罗松、诚泰财险CIO许振辉、横琴人寿首席数据官曲洪涛、中国电信金融行业事业部副总经理叶绍颋、腾讯云金融行业高级战略总监张晓荣、中兴通讯数据保护合规部部长高瑞鑫、国寿电商副总裁郭跃峰组成。

人保健康副总裁伍立平表示，下一步的新技术应用，我们首要应用的应当是隐私计算，否则在整个经营活动过程中可能会面临灾难性的影响。所以应该按照最严格的个人隐私信息保护标准去做。

国寿财险金融科技中心综合管理部总经理丁锐称，除了内部数据，现在更多迫切的需求是外部大数据的应用，从数据采集开始要做到最小化采集，“非必要不采集”很关键，还要进行全链路管理，提高整个行业的意识。

太保集团首席信息安全专家罗松表示，对隐私计算来说，形势确实是严峻的，要充分保护个人的信息，要做到不泄露、不滥用、不侵犯这三个原则。不泄露，安全上我们要保护好，不能出现安全事故，把数据泄露出去；不滥用，我们自己要有资质，不能在没有获得用户授权的情况下，就把用户的数据用在他们没有同意的业务领域里。不侵犯，是指我们与合作伙伴进行合作时，不能把合作伙伴数据拿过来用一用，然后就存在我这里，变成我的数据。这做法以前好像没什么大问题，但以后就是一种对个人信息的侵犯，没有获得合作伙伴和客户同意，保存这些数据是不合法的。

诚泰财险CIO许振辉称，现在一个很大的感受是，作为中小保险公司，不管是寿险还是财险，资源非常有限。尤其是信息安全保护，中小保险公司全部自己来做几乎是不可能的，中小保险公司一年预算一般过不了亿，这个也想做好那个也想做好，很难做到，因为有限资源就在那儿。我们要做开放的IT，依靠社会的资源以及同业公司，尽量把我们自己做的这些做好。

横琴人寿首席数据官曲洪涛称，隐私技术单纯看是一种技术，在今天愈发重视合规和隐私的社会条件下，对商业追求提出了更高的约束，本质上解决的是数据的输入输出的特殊处理函数，它没有办法解决数据上下游的传输和数据治理相关的问题。隐私计算很好地把数据的使用权、所有权一套技术在过往的法规合规，合同层面做到了物理的隔离，是一种很好的技术。

中国电信金融行业事业部副总经理叶绍颋从运营商的角度阐释了对金融行业大数据的看法，主要有以下几点：首先，随着5G网络技术的快速发展，中国电信拥有海量的个人及物联网信息数据资源，十分重视数据监管；第二，中国电信作为国有企业，承担着国家网络安全运营的社会责任。如何应用和保护好个人信息，需要与监管部门、各行业指导部门共同协商而定，确保大数据技术的合理应用；第三，中国电信的隐私计算能力和区块链技术平台是自研、可控的，已实际应用在生产系统中。同时，我们也积极与金融机构、保险公司等进行技术交流，引导客户合规合理地应用大数据信息和隐私计算技术。近期，中国电信根据苏州市人民银行提出的需求，与十三家商业银行进行沟通，目前正在搭建反洗钱、反诈骗系统。本系统核心正应用了隐私计算技术及区块链技术，是隐私计算商业化推行的经典案例。

腾讯云金融行业高级战略总监张晓荣称，在组织运营上，大家的个人隐私保护意识其实并不强。从公共数据向市场数据过渡的探索中，为不法或者黑产造就了生存空间。还有计算的标准、隐私计算的标准，后续的产品标准，它的互联互通，在隐私计算、数据保护，以及后续合法合规地利用这些数据。

中央财经大学保险学院院长李晓林称，社会结构发生了变化，风险结构也更加变化。保险有风险治理职能、有价值创造职能、有资源配置职能。这些职能发挥得怎么样？要与隐私计算之间进行权衡。

李晓林还指出，没有数据就没有保险，我们现在还需要面临数据成本的公平分摊问题。保险行业其实要透明，因为信息不对称。标准化、公开化应该是将来的解决方案。

李晓林进一步称，人和人之间，主体和主体之间千差万别，更麻烦的是昨天、今天和明天的关系变化也很大。保险用过去的数据推算未来，几个小时构成世界……这就是信息技术。那么，我们用的信息技术，用到什么程度？风险是什么？……在讨论这些问题时要全部结合起来。

本次会议由中国保险学会、北京金融科技研究院指导，仁和研究院主办，人保金服保创空间、迈迪生科技支持。