从通报的违法违规事由来看，未经用户同意或误导用户同意收集个人信息、未明确告知用户收集目的及方式、范围等“违规收集或使用个人信息”行为是金融APP侵权的重灾区，在被通报的68款APP中有50款均涉及此类问题，占到了总数的73.5%。此外，“强制、频繁、过度索取权限”“未提供便捷有效的个人信息更正、删除及账号注销功能”也是经常被查处的金融APP个人信息侵权行为。另一方面，2022年内，据我们观察，并未发生金融领域APP因未及时整改到位而遭下架的情形，较2019-2021年有所改善。具体通报事由分布见我们整理的以下表格：

保险公司经营保险业务，保险产品是保险业务的基础与核心，其在设计保险产品时，往往需要收集大量的数据作为确定保险产品保障范围及厘定保险产品价格的理论依据，这些数据可能是保险公司自身多年的经验积累，也可能会由外部数据供应商进行采集。如何确保合法合规地采集并使用这些数据，应成为保险公司在这一业务环节中关注的重点。

保险公司在收集使用数据时，应先判断数据的性质，即根据相关法律法规的要求，判断其是否包含重要数据、个人信息，并进一步判断个人信息中是否还包含敏感个人信息。保险公司如果建立了数据分级分类制度，就可以针对不同种类与等级的数据或个人信息采取不同的处理或保护措施。同时，要关注数据来源的合法性。如果涉及外部数据供应商，应重点检查其业务资质、数据来源、授权范围；如果所处理的数据中包含个人信息，则应确保数据供应方已适当履行了《个人信息保护法》中的各项规定，如履行“告知—同意”义务等。保险公司作为数据的采集方，不但应关注数据来源的合法合规性，而且还应进一步留意在数据采集过程中可能存在的数据泄露、数据源伪造、数据篡改等安全风险。

实践中，建议根据《数据安全法》的相关规定，保险公司应建立健全全流程数据安全管理制度，针对数据生命周期中数据的各个环节制定适当的具体规则与流程；同时，公司可以通过合同以及其他法律文件对第三方数据采集方予以监督管理，在合作前对其是否有合法资质且是否在授权范围内使用数据展开必要的验证与审查；保持对重要数据以及国家核心数据的敏感度，采取一切必要手段判断所收集的数据中有无触及该范围，可考虑通过协议等法律文件要求外部数据采集方履行告知义务，避免在重要数据或国家核心数据识别上的疏忽引发相关风险。

保险中介销售即保险公司通过保险中介向目标客户开展的保险营销活动。如何对保险中介在个人信息保护方面进行有效管控，是否需要对不同类型中介进行一刀切式的管理？目前我国的保险市场对于这些问题如何规制尚不清晰。

在讨论上述这个问题前，笔者认为应考虑不同种类中介机构的法律性质及其在《个人信息保护法》下的第三方类型。

从表1中的内容可以看出，保险代理人与保险经纪人根据其业务性质不同，其在《个人信息保护法》下的第三方类型会有所区别，甚至保险经纪人在其从事不同的业务项目时，第三方类型也会有所差异。因此，根据不同的第三方类型，保险公司应根据不同的法律要求，对中介机构采取差异化管理，准备符合法律法规不同要求的法律文本。具体来说，不同类型的第三方在《个人信息保护法》下的权利义务的主要区别点，可参考表2。

在厘清中介的第三方法律地位以及需要承担的责任与义务后，保险公司应根据法律法规的要求，对中介进行差异化管控，比如保险经纪人向保险公司提供客户个人信息的，保险公司应确认其是否依法履行了“告知—同意”义务，并且告知及同意的范围是否包含本保险公司；而针对保险代理机构，保险公司则应加强监督管理，确保个人信息收集使用等各环节的合法合规性，并对第三方采取适当有效的管理措施。

个人保险代理人是一个较为特殊的群体，其在本质上是保险销售的渠道，接受保险公司委托开展保险营销业务并代为收集客户个人信息，但也有一定的企业员工属性，如个人保险代理人接受保险公司的业绩考核与管理。一方面，保险公司对其个人信息进行处理；另一方面，个人保险代理人自身也掌握着客户的个人信息。个人保险代理人人数众多，管理难度大，如果在数据安全与个人信息保护方面不予以重视，极有可能对保险公司造成风险。因此，建议保险公司对个人保险代理人进行管理，主要可以从以下两个方面考虑：一方面，保险公司应妥善处理个人保险代理人自身的个人信息，在代理人招募、代理关系存续期间以及代理关系终止后的各个阶段，采取适当的措施予以管控，未经个人保险代理人同意，不得将其个人信息用于除保险代理业务以外的其他场景；另一方面，针对个人保险代理人掌握的客户信息，保险公司也应掌握一定的管控主动权，比如控制个人保险代理人获悉的客户个人信息，解除代理关系时尽可能收回客户个人信息等。

2022年7月，中国银保监会起草了《保险销售行为管理办法（征求意见稿）》，强调了“保险公司、中介妥善保护个人信息的义务，加强第三方合作机构对于个人信息的管控义务”以及“销售人员离职后，不提供后续保单服务或怂恿退保”等事项。笔者认为，这与《个人信息保护法》内容进行了有效衔接，十分到位。

为提高销售效率，保险公司常常会采取一些营销手段，比如交叉销售、赠险获客或通过活动赠送礼品收集个人信息。在《个人信息保护法》出台后，这些营销方式将面临一定的挑战。《个人信息保护法》规定，“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”而上述这些营销手段在收集个人信息时，往往改变了原收集个人信息时的目的，因此保险公司在实践中应注意以下事项：第一，主动向个人客户或潜在个人客户履行“告知—同意”义务；第二，上述的“告知—同意”义务既可以在刚开始收集个人信息时履行，也可以在向其营销前履行；第三，针对赠险或礼品赠送的对象，保险公司还应确保其信息来源的合法合规性。

笔者认为，除了最常见的投保人、被保险人以及受益人之外，还有相关企业投保的联系人、雇主责任险下投保企业的员工个人信息等；而后分析保险公司在处理上述个人信息时，以下这些情况可以豁免个人的同意：（1）投保人作为保险合同当事人，保险公司可根据《个人信息保护法》第十三条第二款的规定在投保过程中处理其个人信息应豁免获取其同意；而其他个人，如被保险人、受益人等无法根据此条规定得到同意的豁免。（2）《保险法》第十八条规定保险合同应包括“投保人、被保险人的姓名或者名称、住所，以及人身保险的受益人的姓名或者名称、住所”，此条涉及被保险人与受益人，但个人信息的范围仅包括名称与住所，与实践中（保险公司需收集被保险人与受益人更详细的个人信息）的要求会有一定差距。（3）根据《人身保险客户信息真实性管理暂行办法》（保监发〔2013〕82号）、《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》（中国人民银行中国银行保险监督管理委员会中国证券监督管理委员会令〔2022〕第1号）相关规定内容，针对某类型保险产品，如人寿保险合同和具有投资性质的保险合同、保险费金额人民币5万元以上或者外币等值1万美元以上的财产保险合同和健康保险、意外伤害保险以及保险期间超过一年的个人人身保险合同，保险公司都有义务收集被保险人及受益人的详细个人信息，包括姓名、性别、出生日期、身份证件或身份证明文件的类型、号码等。因此，保险公司似乎可根据《个人信息保护法》第十三条第三款的规定，即“履行法定义务”处理被保险人与受益人的个人信息，而无需获得个人的同意。（4）除了上述情况外，未被列入上述类型的保险产品，以及非上述人员，如投保雇主责任险时收集企业客户员工个人信息，则未查询到可以适用豁免同意的法律依据。

鉴于上述分析，保险公司针对不同性质的客户投保不同产品时应采取不同的投保要求，比如在投保单上设计对应的话术请客户勾选签字同意，并通过适当的方式向个人展示《隐私政策》之类的文件，以满足《个人信息保护法》中个人信息处理者向个人履行告知义务的要求。

目前保险机构在核保时除了为保险风险评估而收集信息，还会收集一些客户的其他类型个人信息（如消费偏好、未来投资计划等）作为用户画像信息的标签信息，为进一步开展营销打下基础或开展大数据分析。而保险公司收集的这些信息若与评判投保风险关系不大，则可能超出了保险业务办理的必要信息收集范围，也有悖于《个人信息保护法》中的“直接相关”与“最小范围”原则。因此，建议保险公司核保时收集客户个人信息的范围应事先确定（最好通过核保手册等书面文件确定），避免过度向客户索要与保险标的风险评估无关的信息资料带来的风险。如确有必要收集的，则建议妥善做好“告知—同意”等《个人信息保护法》规定的各项义务。

保险公司核保信息一般与保险合同一并保存，因此保存期限也会保持一致。根据《保险法》第八十七条的要求，“保险业务经营活动有关的账簿、原始凭证和有关资料的保管期限，自保险合同终止之日起计算，保险期间在一年以下的不得少于五年，保险期间超过一年的不得少于十年。”但保险公司对于拒保、参与保险招投标未中标导致保险合同未最终订立的情形似乎没有特别关注，保存期限也没有明确规定，这样有可能与《个人信息保护法》“个人信息的保存期限应当为实现处理目的所必要的最短时间”的原则相违背。鉴于此，建议保险公司针对因上述情况收集的个人信息，除非另有监管规定，尽量在业务目的完成后予以删除或作匿名化处理，并制定出明确的删除或销毁流程，并由专人负责执行。

从目前通行的再保险业务模式来看，再保险人与经营直保业务的保险公司在业务关系上相对独立，保险公司与再保险公司建立再保险业务关系后，其对于再保险人的管控度相对较低，并无彼此监督管理的权利或义务。通常情况下，保险公司根据再保险业务需要将直保客户个人信息提供给再保险人，再保险人会根据自己的业务需要进行处理，包括大数据分析、予以转分保等，并且，即使在双方再保险业务结束后，再保险公司也不会将在业务开展过程中收集到的个人信息返还保险公司或删除销毁。因此，鉴于再保险业务的现状，笔者认为再保险人的第三方处理者。

再保险人既然定位为独立第三方个人信息处理者，就需要满足表2中的相关要求。首先就是保险公司在向再保险公司提供个人信息前应取得个人的“单独同意”，这也是目前保险公司与再保险公司在实践中遇到的比较大的问题之一。往往在客户投保时，保险公司还没有确定具体的再保险业务接收人，即再保险公司，从而错过了最好的取得投保人个人单独同意的时机；并且，如果客户拒绝同意或事后撤回同意，又会对再保险业务开展产生不利影响。上述这些情况该如何处理，以下对在此业务场景下豁免单独同意的可能性予以讨论。

对于单独同意，目前法律界一致的观点是，个人信息处理者取得个人单独同意义务的前提条件是处理个人信息的合法基础为“取得个人的同意（援引《个人信息保护法》第十三条第一款）”，如果处理个人信息的合法基础为该条款的其余几项，则豁免个人信息处理者取得个人同意或单独同意的义务。

检索相关法律与监管规定，《保险法》第二十八条与《再保险业务管理规定》第十五条分别规定了“应再保险接受人的要求，再保险分出人应当将其自负责任及原保险的有关情况书面告知再保险接受人”，以及“再保险分出人应当及时将影响再保险定价和分保条件的重要信息向再保险接受人书面告知；再保险合同成立后，再保险分出人应当及时向再保险接受人提供重大赔案信息、赔款准备金等对再保险接受人的偿付能力计算、准备金计提及预期赔付有重大影响的信息”。因此，保险公司是否能借助以上法律与监管规定，确定保险人根据“为履行法定义务”从而豁免取得客户个人的单独同意？但笔者认为仍有以下障碍：（1）保险公司向再保险公司提供个人信息是基于双方签订的再保险协议，该协议本身属于双方自行决定的商业性决定。虽然有《保险法》与《再保险业务管理规定》相关条款，但是否可以将再保险业务完全归于“履行法定义务”有待商榷。（2）保险公司向客户收集个人信息与其向再保险公司提供个人信息、处理个人信息的目的不同，前者是为订立保险合同，而后者是以履行再保险合同为目的。基于不同的个人信息处理目的，是否依然可以适用豁免同意的情形也需要进一步考证。

因此，关于上述对于再保险业务保险公司是否可以豁免取得单独同意问题，建议保险公司与保险监管部门进行沟通，如实反馈保险行业在操作过程中的问题与难点，在取得监管部门认可的前提下开展业务。

公估公司与调查公司的第三方类型如何确定，笔者根据其工作的方式、服务的内容以及与保险公司的业务关系，倾向于将其归为受委托个人信息处理者。因此，保险公司应格外注意以下几点：（1）保险公司对公估或调查机构应执行严格的审查和监督措施，包括确保其业务资质、调查渠道等的合法合规性。若外部机构调查所获数据或个人信息来源于非法渠道，保险公司将面临较大法律风险与声誉风险；（2）外部机构处理的数据及个人信息有无超出约定的处理目的、处理方式；（3）保险公司是否有限制或制止外部机构未经公司同意的转委托；（4）委托调查事项结束后，外部机构是否可以继续存储调查时收集到的数据或个人信息，保险公司是否有相应机制监督外部机构实施数据及个人信息的删除或匿名化措施。

理赔资料应如何保存，尤其是涉及拒赔或相对于理赔申请少赔的情况，因其后续可能引发纠纷甚至诉讼仲裁，建议保险公司明确保存期限的原则，根据不同情况的理赔资料采取不同策略的保存期限。

为满足《保险公司信息披露管理办法》的要求，保险公司在官网上公开披露董事、监事和高级管理人员与法定代表人的有关个人信息时，保险公司应考虑向相关人员告知其个人信息公开披露的情况，包括信息类型、目的、途径、方式等。

办法》的要求，保险机构应收集关联自然人的个人信息，除本机构的董事、监事和高级管理人员外，还包括自然人股东、实控人、一致行动人、最终受益人等，及前述人员的近亲属。保险机构有必要向这些自然人，尤其是向他们的近亲属履行告知义务，并建立有效可行的流程确保实施。

保险机构为履行监管要求向监管部门或其指定的机构提供相关数据及个人信息时也应注意，这些人员的个人信息提供应遵循《个人信息保护法》的相关要求，并确保相关个人信息不被非监管报告的目的滥用。