近日，中国银行保险监督管理委员会发布《中国银保监会办公厅关于开展互联网保险乱象专项整治工作的通知》，要求各保险公司及保险中介公司按照《中国银保监会关于规范互联网保险销售行为可回溯管理的通知》列明的重点对互联网保险业务进行自查自纠。自2020年10月以来，银保监会颁布了《互联网保险业务监管办法》、《中国银保监会关于规范互联网保险销售行为可回溯管理的通知》（银保监发〔2020〕26号）等与互联网保险业务有关的新规，对互联网保险业务予以规范。本期专题君合律师事务所结合相关新规，在互联网保险业务模式、合规管理、风险控制等方面为保险机构及相关机构提供业务合规指引。

一、历史演进

● 《保险代理、经纪公司互联网保险业务监管办法（试行）》（已废止）出台于2011年，是我国最早的关于互联网保险业务的监管规定。

● 《中国保险监督管理委员会关于专业网络保险公司开业验收有关问题的通知》（保监发〔2013〕66号）是原保监会针对专业网络保险公司开业验收的相关规定，该通知目前仍有效。

● 作为《互联网保险业务监管办法》前身的《互联网保险业务监管暂行办法》实施于2015年10月1日，《暂行办法》的发布与实施，标志着我国互联网保险业务监管制度正式出台。

二、相关制度

● 互联网保险的制度依据及核心政策，包括《保险法》和《互联网保险业务监管办法》

● 相关的配套政策（例如《中国银保监会关于规范互联网保险销售行为可回溯管理的通知》（银保监发〔2020〕26号）），以及散见于银保监会各类规章、规范性文件、风险提示、案例通报中的监管意见。

以保险机构自营平台销售短期健康险为例，业内人士既需要关注《健康保险管理办法》这一基本法，也需要关注《中国银保监会人身险部关于印发人身保险产品“负面清单”（2021版）的通知》（人身险部函〔2021〕31号）、《中国银保监会办公厅关于规范短期健康保险业务有关问题的通知》（银保监办发〔2021〕7号）等规范性文件，还需要关注与此有关的监管趋势及征求意见稿（例如《关于进一步规范互联网人身保险业务有关事项的通知》（征求意见稿）），以便对监管要求进行通盘提前了解并及时做好业务应对。

模式①：投保人直接向保险公司购买保单，缔结保险合同关系。通常体现为投保人自行进入保险公司自营网络平台（包括网站、手机App、微信公众号、小程序等）选购保单。

模式②：该模式既包括投保人委托保险经纪人拟订投保方案，推荐保险产品，并通过保险经纪人成交保单，也包括保险代理人受保险公司委托向投保人直接销售保险产品。在非互联网保险销售场景下，特别是在保险标的金额较大的险种中，保险经纪人与保险代理人的区别较为明显；但在互联网保险销售场景下，二者的保险销售属性很大程度上得以重合，通常表现为投保人自行进入保险经纪人或保险代理人自营网络平台选购保单。

模式③：保险经纪人或保险代理人通过营销宣传机构展示保险产品。通常表现为投保人进入营销宣传机构自营网络平台后，点击该平台展示的保险产品跳转链接，进入保险机构的自营网络平台选购保险产品。

模式④：保险科技公司参与了互联网保险业务中的方方面面，并有可能与所有的主体产生关联。目前，市场中常见的保险科技公司及服务包括：　

一、非法经营的含义

通常理解，非法经营是指非保险机构（或称为非保险持牌主体）在未取得经营保险业务及保险中介（经纪、代理、公估）业务许可的情况下，非法参与到保险业务及保险中介业务之中。在互联网保险业务语境下，非法经营风险则主要是指“互联网平台利用其场景和客户流量优势，在其主营业务流程中嵌入保险产品销售，在未取得业务许可的情况下非法从事保险中介业务”。

二、非法经营的认定

● 《中国保监会关于整治机动车辆保险市场乱象的通知》（保监财险〔2017〕174号）开始对此有了较为直观的监管指导意见，即：

财产保险公司可以委托第三方网络平台提供网页链接服务，但不得委托或允许不具备保险中介合法资格的第三方网络平台在其网页上开展保费试算、报价比价、业务推介、资金支付等保险销售活动”。

● 《中国银保监会办公厅关于印发2019年保险中介市场乱象整治工作方案的通知》（银保监办发〔2019〕90号）和《北京银保监局关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》（京银保监发〔2019〕310号）进一步对非保险持牌机构与保险持牌机构的行为界限予以厘清，包括：

- 第三方平台及其从业人员的经营活动应当仅限于保险产品展示说明、网页链接等销售辅助服务；
- 平台不得参与保险业务的销售、承保、理赔、退保、投诉处理、客户服务等保险经营或保险中介经营行为。如：保费试算、报价比价、代理查勘理赔、为投保人拟定投保方案、代办投保手续、协助索赔等；
- 保险从业人员不得通过平台从事超出其执业登记范围的保险销售，包括通过宣传推广特定保险产品或发送特定产品链接，获取佣金或与佣金相近的推广费等。

● 《互联网保险业务监管办法》对非保险机构的行为边界作了明确规定，规定非保险机构不得开展互联网保险业务，包括但不限于以下商业行为：

一是提供保险产品咨询服务；二是比较保险产品、保费试算、报价比价；三是为投保人设计投保方案；四是代办投保手续；五是代收保费。

三、风险防范及合规应对

《互联网保险业务监管办法》为防范非法经营风险提供了清晰的两条解决思路：
- 如拟利用自身场景和流量优势代理销售互联网保险产品、提供保险服务的，在满足《互联网保险业务监管办法》规定条件的情况下，可申请保险代理业务许可；
- 如无意销售互联网保险产品、提供保险服务的，则仍然可以选择为保险机构提供技术支持、客户服务以及保险产品的展示及链接跳转服务，但前提是，前述服务应当是“真正的服务”，而不应当是披着相关服务外衣的保险服务或保险中介服务。

在非保险机构与保险机构之间开展具体合作前，建议双方主动对非保险机构可能的非法经营保险（中介）业务风险进行评估——非法经营不仅仅涉及非保险机构需承担相应行政责任，与非法从事保险业务或者保险中介业务的机构或者个人发生业务往来，同样可能引发保险机构的行政责任。

一、监管规定

根据《互联网保险业务监管办法》第十五条，保险机构开展互联网保险营销宣传活动时，既应当遵守银保监会发布的相关规定，也应当遵守《中华人民共和国广告法》以及与金融营销宣传有关的规定。

● 《人身保险销售误导行为认定指引》（保监发〔2012〕87号）是银保监会及其派出机构认定与查处人身保险销售误导的主要依据。

● 银保监会专项发文，例如《中国银行保险监督管理委员会关于加强自媒体保险营销宣传行为管理的通知》（银保监发〔2018〕27号）、《中国银保监会人身险部关于印发人身保险产品“负面清单”（2021版）的通知》（人身险部函〔2021〕31号）。

● 银保监会派出机构及地方保险（中介）行业协会发文，例如重庆市保险行业协会及重庆市保险中介行业协会最新发布的《重庆市保险业销售宣传行为负面清单（2021）》。

● 典型案例，包括银保监会发布的消费者保护提示案例以及行政处罚案例。

● 银保监会其他相关发文，例如银保监会办公厅于2021年4月针对人身保险公司乱象治理专项工作下发的《中国银保监会办公厅关于深入开展人身保险市场乱象治理专项工作的通知》（银保监办便函〔2021〕477号）。

二、界定及表现形式

结合银保监会相关监管规定的要求，较为典型的与互联网保险业务相关的销售误导行为包括但不限于：

- 从业人员在自媒体平台自行编发非经保险机构统一制定和管理的营销内容；
- 无资质主体擅自开展保险产品的互联网营销；
- 非从业人员包装为“保险专家”，对保险产品进行不当解读、不当类比；
- 对保险产品搞夸大宣传、噱头宣传，如“首月仅需几元，最高几百万保障”“限时限量”等；
- 对保险产品价格进行简单比较，不详细介绍保险责任，故意隐瞒除外责任、分红收益不确定等重要信息，曲解保险产品条款，宣称“什么都保”；
- 将人身保险新型产品（投资连结保险、万能保险、分红保险）与其他金融产品的收益率进行简单/片面对比；
- 歪曲监管政策、炒作产品“限售、限时、限量”；
- 承诺保证续保。

三、防范要求及合规建议

银保监会曾于2018年3月下发了《关于防范银行保险渠道产品销售误导的风险提示》，该文从消费者的角度出发，提示消费者在购买保险产品时需重点注意销售人员的资质、保险条款关键信息的披露、回访等问题。该文对于保险机构的启发是，保险机构需相对应地对于监管重点提示消费者关注的（即监管重点关注）的领域提前做好合规应对，包括但不限于进一步压实主体责任，确保自营网络平台产品页面与保险条款的一致性，重视互联网保险销售行为可回溯等等。

此外，从保险机构合规管理的角度，多数保险机构会定期对相关监管规定进行收集和整理，自行制定行为黑名单（或负面清单），并根据监管发文清单不断对清单进行更新及完善。

一、背景

本次专项整治是银保监会自《中国银保监会关于规范互联网保险销售行为可回溯管理的通知》（银保监发〔2020〕26号）及《互联网保险业务监管办法》实施以来，针对互联网保险业务领域开展的首次专项整治，我们将其理解为行业内的首次“回头看”，包括：

1、对前述互联网保险新规实施情况的“回头看”。《办法》为保险机构设定了三个期限的过渡期，其中，除自营网络平台网络安全等级保护认证可在2022年2月1日前整改完成外，除此之外的其他问题，均应当在2021年8月1日前完成整改。银保监会选择在目前时点开启乱象整治，可谓与《办法》关系密切。

2、对全行业互联网保险业务经营情况的“回头看”。除了传统的保险机构外，《办法》允许互联网企业在获得经营保险代理业务许可的前提下，直接代理销售互联网保险产品并提供保险服务。对于《办法》实施后通过前述方式参与到互联网保险业务赛道竞争的互联网企业而言，在本次专项整治中，这些互联网企业将第一次直面监管。

二、《通知》重点内容

（一）时间要求

《通知》为保险机构设定的整体自查自纠期限为四十天左右，依《通知》要求，保险机构应在2021年8月15日前制定本机构的互联网保险业务专项整治工作方案。

（二）重点工作目标

《通知》强调，互联网保险整治乱象需作为一项重要政治任务，按照“净化市场环境”和“保护消费者合法权益”的要求，聚焦互联网保险市场突出问题，提升保险机构合规内控水平。我们将前者理解为短期目标，后者理解为长期目标。

（三）重点要求

整体而言，本次专项整治的重点包括非法经营问题、产品定价问题、销售误导问题、售后服务问题及信息安全问题。值得关注的是，《通知》对如下问题进行了重点关注，而在此之前，这些行为往往被误解为“市场存在即合理合规”：

- 是否存在互联网平台突出宣传“零首付”、“低首付”、“首月仅为X元”等字样，而未能全面展示保费缴纳整体情况，诱导消费者购买保险；
- 是否存在宣称“免费赠送”、“免费领取”，实则后续收取客户保费；是否存在通过歪曲监管政策、炒作产品“限售、限时、限量”、“限时优惠”、“剩余X份”等方式诱导消费者购买保险；
- 是否存在以“分享有礼”、“红包补贴”等方式，非法给予投保人、被保险人、受益人保险合同约定外利益诱导销售保险；
- 是否存在以“技术服务费”、“营销宣传费”、“租赁费”、“培训费”等名义向未取得合法资格的机构支付佣金；以及
- 是否存在页面设置不规范、不科学，引导消费者勾选“自动续费”，而后续扣费不提前提醒，也不经客户确认，或消费者取消“自动续费”的设置操作复杂。

三、监管态度

从《通知》中可以看出银保监会针对互联网保险业务领域以及对于本次专项整治行动的强大决心和强力监管态度，这不仅仅体现在《通知》列出的整治重点均极为精准并紧跟行业现状，也反映在了其拟采取的配套行动以及后续整治行动上：

一方面，银保监会要求，保险机构自查完成后，由各银保监局选择互联网保险业务问题突出、自查自纠不认真、自查未发现问题的保险机构进行专项检查，专项检查对象至少包括1家保险公司以及1家辖内保险中介机构。这对于以传统方式（包括地推、电销等）展业的保险机构较为集中的省份地区而言，区域内少数从事互联网保险业务的保险机构将很容易成为被关注的重点；而对于开展互联网保险业务较为集中的省份地区而言，区域内的头部机构更有可能成为关注重点。

另一方面，为了达到《通知》要求的“确保专项整治工作不走过场，将问题隐患整治到位”的工作目的，银保监会提出了“开展定期排除工作，推动专项整治工作常态化”的工作方式。据此，我们倾向于将本次专项整治理解为，这也许仅仅只是一个开始。

一、概述

由于互联网保险业务涉及的保险产品既有传统业务中常见的健康险、财产险、意外险等产品，也有在互联网场景中发展出的如延误险、运费险等新种类，因此，基于业务需求，无论是保险机构还是其合作的非持牌机构均不可避免地收集和处理数量较大、种类多样、内容涉敏的个人信息。互联网保险业务基于该等保险行业和互联网业务模式的双重性，对于客户个人信息的管理，既需要符合行业监管机关对保险业务客户信息真实性管理等既有监管要求，也需要符合互联网业务数据和客户个人信息保护的一般要求。

伴随着互联网保险业务规模的日渐壮大，与互联网有关的风险同样蔓延到了互联网保险领域，在网络安全、数据安全及个人信息保护立法及实践不断加深加强的监管背景下，如何在业务发展与业务合规之中找到一个平衡点，将成为所有互联网保险业务参与主体需要审视及思考的问题。

二、监管规定梳理

《中华人民共和国个人信息保护法》（简称“《个保法》”）、《中华人民共和国网络安全法》（简称“《网安法》”）、《中华人民共和国数据安全法》（简称“《数安法》”）、《儿童个人信息网络保护规定》、《关键信息基础设施安全保护条例》（“简称《关基条例》”）、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《互联网保险业务监管办法》（简称“《互联网保险办法》”，银保监会令2020年第13号）、《保险中介机构信息化工作监管办法》（简称“《保险中介信息化办法》”）、《金融数据安全 数据安全分级指南》、《金融数据安全 数据生命周期安全规范》、《个人金融信息保护技术规范》、《信息安全技术 个人信息安全规范》（GB/T35273-2020）等法律、法规及国家标准。

三、合规要点剖析

相较于一般企业，保险机构开展互联网保险业务，在数据合规、网络安全等方面首先需要关注的是其在互联网保险业务开展过程中的角色及需要承担的特别责任。然而，在互联网保险业务开展过程中，保险机构是否可能构成关键信息基础设施的运营者，是一个尚未有明确结论的问题。

点击查看相关法规 　

由于“金融”属于上述定义中列举的关键行业之一，我们无法排除保险机构落入关键信息基础设施运营者范围的可能性。但是否达到以上条款中描述的后果标准，我们理解，每个保险机构的情况各不相同。对于客户数量巨大、市场占比额度高、掌握的数据量巨大的保险机构而言，确有可能落入关键信息基础设施运营者的范围中。

另外，根据《关基条例》的规定，相关保护工作部门应根据认定规则负责组织认定本行业、本领域的关键信息基础设施，并及时将认定结果通知运营者。因此，是否收到关键信息基础设施的认定通知亦可作为保险机构判断自身构成关键信息基础设施运营者可能性高低的重要依据。

如构成关键信息基础设施运营者，保险机构将承担若干额外的安全义务，具体可参见《关键信息基础设施安全保护条例正式出台》。

另外一个值得关注的问题是，《个保法》第58条提出，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：　

保险机构如提供平台级的服务，例如，通过网络平台展示多家保险公司的产品、把消费者和保险服务、信息、资金等连接起来，使得平台具有资讯、交易等多种功能，有可能落入互联网平台的定义中，并且在其用户数量巨大、经济体量巨大时，有可能落入上述第58条的规制范围。2021年10月29日，国家市场监督管理总局公开对《互联网平台分级分类指南》和《互联网平台落实主体责任指南》征求意见，其中对超级平台、大型平台、中小平台的分级提供了依据，并规定了超大型平台经营者、互联网平台经营者在数据管理、内部治理、风险评估、数据获取、算法规制、网络安全、数据安全、隐私与个人信息保护等方面的要求。

四、法律法规对保险机构开展互联网保险业务的特殊要求

（一）适用于所有保险机构的要求　

（二）适用于保险公司的要求　

（三）适用于保险中介机构的要求　

• 互联网保险合规专题系列文章（一）：互联网保险业务模式以及监管体系初探　[邓梁、黄妍，君合律师事务所]
• 互联网保险合规专题系列文章（二）：互联网保险业务存在的主要问题、风险及合规应对——非法经营风险　[邓梁、黄妍，君合律师事务所]
• 互联网保险合规专题系列文章（三）：互联网保险业务存在的主要问题、风险及合规应对——销售误导风险　[邓梁、黄妍，君合律师事务所]
• 互联网保险合规专题系列文章（四）：互联网保险新规发布后的首次 “回头看”——银保监会开展互联网保险乱象专项整治　[邓梁、黄妍，君合律师事务所]
• 互联网保险合规专题系列文章（五）：互联网保险业务存在的主要问题、风险及合规应对——个人信息保护（上）　[邓梁、袁琼、黄妍、陈依雨，君合律师事务所]

后续专题文章敬请期待。