论我国保险业个人信息保护的行业自律

（二）企业自律——保险业对个人信息进行自律保护的实
现途径 自律模式按其发展阶段可以分为两种，其中的一种是仅仅 停留在企业内部的，由企业制定相关的行为规章或行为指引， 企业员工遵守和履行的行为模式，我们把它称之为企业自律。 我国目前保险业的个人信息保护就属于企业自律的层次：各个 保险企业根据自身的具体情况制定客户个人信息管理和保护 的规章指引，保险企业各个岗位的员工依照各自的职责自觉遵 守，如果企业内部员工违反职责而导致客户个人信息的遗失、 泄露和不当使用将会根据企业的规定受到相应的处罚。保险 企业借此来约束企业内部员工的行为，进而达到对个人信息进 行保护的目的。 个人信息保护的企业自律是保险业对个人信息进行自律 保护的一个重要的发展阶段。在立法没有明确规制的情况下， 我国保险业通过企业自律模式对个人信息进行了较为细致的 保护。这使保险企业在收集、处理和利用个人信息的过程中避 免了个人信息的遗失、泄漏和不当使用，在一定程度上维护了 客户的个人权益。但是在对个人信息保护上，保险企业本身的 自律体制存在一定的问题：一方面，由于对个人信息的保护缺 乏统一的自律标准，不同保险企业对于个人信息的保护参差不 齐。在一部分保险企业尤其是财产保险企业对个人信息的保 护往往不尽如人意。另外一方面，由于企业的自律体制只是企 业内部的规章制度，这种规章制度主要依赖于保险企业本身的 自觉遵守而得不到外界有效的约束。同时由于企业的规章制 度经常朝令夕改，因而个人信息保护的企业自律缺乏一定的强 制力和稳定性。
（三）行业自律——保险业对个人信息进行自律保护的发
展方向 自律保护的另一种模式是行业自律。所谓保险业个人信 息保护的行业自律模式．是指保险业统一制定个人信息保护的 行规制度，在保险协会的管理和组织下，全体保险企业及其保 险从业人员自觉遵守、共同履行并由保险协会监督的自律机 制。企业自律是保险业建立个人信息保护行业自律的前提条 件，而行业自律又是企业自律经过不断地发展和完善之后形成 的最终结果。与保险业当前的企业自律相比，行业自律对于个 人信息的保护无论从力度还是广度上都要更胜一筹。首先，个 人信息保护的行业自律由保险行业协会进行管理和组织，保险 企业受到保险行业协会以及其他保险企业的监督，因此其对个 人信息的保护具有较强的约束力。其次，个人信息保护的行业 自律由保险行业协会根据保险业的自身特点统一制定行业规 章，各个保险企业对个人信息的保护可以参照统一的标准，避 免了各个保险企业适用不同的标准从而导致保险业个人信息 保护的混乱。因此在仅仅依靠企业的自律尚不能够全面地维 护和保障个人信息权利的情况下，将企业自律的保护模式上升 为行业自律的保护模式成为我国保险业个人信息保护的发展 趋势。 三、保险业个人信息保护行业自律具体制度的建立 保险业个人信息保护的行业自律应主要包括个人信息的 收集、个人信息的利用、个人信息的保密以及个人信息的查询 和更正等制度。 （一）个人信息收集制度 个人信息的收集在保险业被称为“数据集中”，是指保险 企业通过销售、营销和服务等渠道获取投保人、被保险人、受 益人及其他保险关系人的个人信息的行为。客户对于自己的 个人信息享有决定权，信息决定权是指客户本人控制与支配 其个人资料，并决定其个人信息是否被处理以及以何种方式、 目的、范同被处理的权利＂Ｊ。保险业个人信息的收集应该以 不侵犯客户的信息决定权为前提，尊重和保障客户的个人权 益。个人信息收集制度包括收集规则、录入规则和分类规则 三方面： １．收集规则。保险业对个人信息的收集应该遵守直接 原则，直接原则又称为限制收集原则，是指个人信息原则上应 该直接向客户本人收集。目前保险企业主要经营个险业务、 团险业务和银行兼业代理人业务。在个险业务和团险业务中 一般是保险企业通过各个部门直接向客户收集个人信息。但 是在银行作为兼业代理人的保险业务中，保险企业对个人信 息的收集往往不太规范。银行作为兼业代理人是指保险企业 和银行相互合作，保险企业利用银行的完善的平台来进行保 险业务的开展。在这种业务模式下，银行往往将其客户的个 人信息直接转让给保险企业，保险企业在没有征得客户本人 的允许下对个人信息进行间接的收集，并对收集的个人信息 在商业上加以利用。这种收集的渠道违背了个人信息直接向 信息主体即客户本人收集的原则，侵害了客户对于自己个人 信息的决定权。即使保险企业与银行是合作伙伴关系，但是 这并不意味着就能够相互共享个人信息资源从而将客户的个 人信息未经客户同意直接转让给保险企业。因此，对全行业
论我国保险业个人信息保护的行业自律
周伟萌 齐爱民
（重庆大学法学院，重庆４０００４５）
提 要： 个人信息是保险企业的一种重要的商业资源。在信息社会，对个人信息进行合理的利用和保护是保险业所面
临的一个具有敏感性的基础问题。保险业自发形成的个人信息保护制度主要包括个人信息的收集制度、保密制度、查询制度、 更正制度、保存时限和删除制度等。目前我国保险业对个人信息的保护尚处于企业自律的层次，其未来发展方向是形成完善的 行业自律模式。 关键词：个人信息；保险行业；行业自律 中图分类号：Ｄ９２３．９９５ 文献标识码：Ａ 文章编号：１００３—３６３７（２０１１）０５—０１７５—０４ 户管理专员对客户的个人信息进行管理和保护。其中业务部 的客户经理履行个人信息的建档职责，负责将客户个人信息的 录入、维护和更新，并向本机构的客户服务部门和客户管理专 员提供个人信息以及其变更情况。客户服务部是保险企业协 调客户关系的服务部门，它负责对在服务的过程中个人信息的 更新。客户管理专员是保险企业个人信息管理的重要部门，他 由具备一定信息管理能力的人担任，其职责是比对、审核、补 录、更新维护个人信息和客户附加信息，并将处理后的级机构 的客户服务部旧Ｊ。各个部门通过明确的分工、具体的职责共同 管理和保护保险企业的个人信息。 （三）个人信息保护的管理系统 目前保险企业借助客户关系管理系统（Ｃｕｓｔｏｍｅｒ
Ｍａｎａｇｅｍｅｎｔ，简称ＣＲＭ）对个人信息进行管理。根据美国
Ｇａｒｔｎｅｒ公司给ＣＲＭ的定义，客户关系管理系统是指“利用计 算机及网络等数据处理与传输技术，搜集处理与客户相关的信 息并加以分配与利用，以实现企业的经营目的或战略目标”∞１。 客户关系管理系统主要由信息集中、信息仓库、呼叫中心、网上 保险和信息管理系统等几个方面组成。其中信息集中即个人 信息的收集，保险企业在信息集中的基础上建立信息仓库，并 通过信息管理系统对不同层次和不同类别的个人信息加以研 究分析和处理。保险企业在客户管理系统的帮助下对个人信 息进行科学的管理和保护。客户关系管理系统在整个保险业 得以广泛地运用。根据２００３年的一份调查报告显示，我困保 险业７０％的保险企业在对个人信息进行管理上都已经建立或 正在着手建立客户关系管理系统一Ｊ。 （四）个人信息保护的规章制度 在对客户个人信息进行规范管理的同时，相当一部分保险 企业对个人信息的保护制定了较为详细的规章制度。从形式 上对企业内部的员工以及保险代理人员在保险实务中的相关 行为进行严格的约束。如《中国平安人寿股份有限公司客户资 料管理暂行办法》《中国平安人寿股份有限公司团险个人信息 资料管理暂行办法》《中国人寿保险股份有限公司营销部业务 档案查阅、借阅管理办法》等。保险企业从规章制度上对内部
万方数据
法
学
１７７
个人信息的收集渠道进行规范是保险业建立个人信息保护行 业自律机制的首要任务。 ２．录入规则。保险业对个人信息的录入应该遵守完整正 确原则，在特定的范围内必须保持完整、正确和及时更新。保 险企业收集和整理个人信息的方式分为操作人员的手工录入 和电子档案上载及数据转换。对于操作人员的手工录入，一般 由相关的业务员对所属个人信息进行录入和整理。为了确保 收集的个人信息完整、真实和唯一，对于业务员的录人，保险业 应该建立比较严格的规定。业务人员对于个人信息的收集必 须全部、完整和真实录入，对个人信息收集的质量应该成为衡 量业务员工作状况的标准。《中国平安人寿股份有限公司团险 个人信息资料管理暂行办法》第十八条规定：业务人员提供的 各项个人信息必须真实、完整，个人信息收集的质量状况将纳 入到业务人员的品质管理范畴。另外，对于电子档案上载及数 据转换，一般应该由保险企业专门的客户管理部门进行录入。 手工录入的信息和投保人提供的原始资料应该进行分类归档 和统一存放；电子档案上载的信息应该通过计算机数据库技术 和网络技术进行管理。 ３．分类规则。信息分类并不是保险业特有的制度，保险 企业通过对浩如炯海的个人信息进行细致的分类，从而达到对 个人信息进行系统的管理。保险企业对于个人信息的收集主 要包括四方面：投保人个人信息、被保险人个人信息、受益人个 人信息和其他保险关系人的个人信息。当然不同的险种对于 信息分类的标准是不同的。以下是中国平安人寿保险公司根 据个人信息的用途，将其划分的五个层次： （１）一级信息：最基础的信息，包括客户号、姓名、性别、生 日、证件类型和号码、籍贯等。 （２）二级信息：与费率相关的信息。包括职业类别、健康等 级、身高、体重、有无驾驶执照、烟酒嗜好程度等。 （３）三级信息：为进行有效服务所需的信息。包括（家庭、 办公、联系）地址及相应邮政编码、电话（区号、家庭、办公、移 动）、电子邮箱等。 （４）四级信息：反映客户潜力的信息。包括学历、生活地 区、收入、职位、爱好、党派、信用情况、渠道偏好、家庭情况、社 会关系、履历、国籍、语言、重要纪念日等。 （５）五级信息：公司与客户之间的互动信息，主要反映客户 需求和满意度。 保险企业只有在完善个人信息收集制度的基础上才能够 进一步提供对个人信息的保密、查询、更正等其他保护。所以 为了保障个人信息的收集能够完整和准确，同时加强保险业对 个人信息的保护，保险业需要建立清晰明确的个人信息分类 层次。 （二）个人信息利用制度 个人信息的利用是指保险企业出于商业上的目的将收集 的个人信息进行使用的行为。保险企业对个人信息的利用应 该遵循限制利用原则，即个人信息在利用时应该严格限定在收 集的目的范围内，不应作收集目的之外使用。目前保险企业对 于个人信息的使用主要是客户经理以及业务部、客户服务部、 保险业务管理部、保险企业研究机构四个层次的人员。保险企 业对内部人员个人信息的使用权限应该具体明确，对个人信息
二企业自律保险业对个人信息进行自律保护的实一个人信息收集制度现途径个人信息的收集在保险业被称为数据集中是指保险自律模式按其发展阶段可以分为两种其中的一种是仅仅企业通过销售营销和服务等渠道获取投保人被保险人受留在企业内部的由企业制定相关的行为规章或行为指引益人及其他保险关系人的个人信息的行为
法
学
１７５
万方数据
１７６
甘肃社会科学：２０１１年第５期
员工进行监管，通过明确企业员工相关的责任和义务，在一定 程度上解决了个人信息掌握控制在企业员工个人手中的弊端， 避免了个人信息随意的泄露和遗失。 二、保险业个人信息保护自律模式的发展方向 随着人们对于自身权利的逐渐系视，对于个人信息的保护 引起了社会的广泛关注。每个人都不希望自己的个人信息被 赤裸裸地暴露在众目睽睽之下，同时更不希望自己平静的生活 受到无休止的打扰。因此如何对个人信息进行保护在保险企 业的自身发展中占有举足轻重的地位。无论是主观上对于个 人信息的商业利用价值的重视，还是客观上出于对客户个人权 利的维护，都使得保险企业在现行法律法规尚不完善的情况下 自发地对个人信息进行保护。 （一）自律模式和立法模式的关系 从全球范围来看，对个人信息的保护可以分为自律模式和 立法模式。自律模式和立法模式在个人信息保护领域都具有 其不可替代的作用。立法模式是国家对个人信息保护的一种 宏观的调整，其对于社会各行业的个人信息保护具有提纲挈领 的指导意义。但是正是由于宏观调整的普遍性，立法不可能兼 顾到保险业个人信息利用与传输的行业特性，所以立法模式很 难对保险业的个人信息进行面面俱到的保护。相比之下，保险 业对个人信息保护的自律模式具有主动性和白发性，并且个人 信息保护的自律模式可以结合保险业的行业特点，所以更能有 效和全面地保护个人信息。因而在目前的情况下，建立我国保 险业个人信息保护的自律模式具有相当重要的现实意义。
ｓｈｉｐ Ｒｅｌａｔｉｏｎ—
一、我国保险业个人信息保护的自律现状 个人信息又称为个人情报，其主要是一切可以识别本人的 信息的总和，包括一个人的生理的、心理的、智力的、个体的、社 会的、经济的、文化的、家庭的等方面的信息…。目前我国个人 信息保护法尚未出台，有关个人信息的保护散见于其他法律法 规。２００３年修正后的《中华人民共和国保险法》第３２条规定 保险企业对客户的“业务和财产情况及个人隐私”负有保密义 务。但遗憾的是，该法并未明确规定保险企业违反保密义务应 该承担相应的法律责任。除此之外，２００４年１２月２ Ｅｔ中国保 监会颁发的［２００４］１４３号《关于发布保险中介从业人员职业道 德指引的通知》就保险中介从业人员对于个人信息的保密义务 作了简单规定。 我国保险业对个人信息的保护主要依赖于保险企业的自 律体制。为了确保客户个人信息的完整和真实，实现客户个人 信息管理和保护的规范化，保险企业在收集规则、部门职责、信 息管理、规章制度等四个方面初步建立了以企业自律为核心的 个人信息保护机制。 （一）个人信息保护的收集规则 保险企业一般通过投保和理赔两个阶段获取客户的个人 信息。在投保阶段，保险企业根据客户的投保额度和险种，确 立了不同层次的信息提供规则。人寿保险要求的是涉及个人 职业、年龄、健康状况等个人信息，其中健康险、非健康险、年金 保险和寿险四种业务根据业务性质所要求的信息也有区别。 而和人寿保险相比，财产保险要求投保人提供的除了个人基本 信息外基本上是涉及承保财产的详细信息。保险企业对投保 人提供的个人信息进行审核之后才决定是否承保。在理赔阶 段，保险企业要求投保人提供的信息包括个人的身份证件、相 关执照证书、医院病历、体检报告、伤残鉴定书、死亡证明、婚姻 证明、事故责任书等书面材料。这些材料是保险企业决定是否 理赔以及确定理赔范围的蕈要依据。收集规则的建立使得保 险企业对客户信息的收集能够清晰明确，避免了客户个人信息 不必要的泄露。 （二）个人信息保护的部门职责 通常情况下，保险企业主要通过业务部、客户服务部和客