文/新浪財經意見領袖專欄作家 王和

　　2021年8月20日，在經歷了十幾年的“千呼萬喚”之后，我國《個人信息保護法》終于通過了全國人大的審議并頒布，將于2021年11月1日實施。這是一部怎樣的法律，她的頒布與實施將對我國保險業帶來怎樣的影響，是行業關注的焦點。因為，有人說：這是“史上最嚴厲的法律”，更有人說：這部法律的實施，將迫使保險“重新做一遍”。

　　“重新做一遍”的說法不無道理，其背后的邏輯是：就保險業而言，無論是數據保護，還是數據利用，《個人信息保護法》都意味著一個“轉折點”。“轉折點”，不僅揭示著傳統的客戶數據管理理念、技術和模式的“難以為繼”，更昭示著未來的“改天換地”，同時，“轉折點”也意味著行業將面臨“大浪淘沙”的“洗牌”，這種“洗牌”，既有“適者生存”的殘酷，更有“涅槃重生”的機會。面對“轉折點”，一個重要前提是：識時務，即需要認清形勢，把握大局，以清醒的頭腦，認識到：時過境遷，今非昔比。

　　保險是一個“數據行業”，這一點是毋庸置疑的，但從事保險的人是否都是“數據專業人士”，特別是“現代數據專業人士”，即有著比常人更廣泛和深刻的數據理解和管理能力，則值得行業每一個人“捫心自問”式的反思與自省，特別是在人類社會文明進步的今天，特別是在數字科技快速發展的今天。這種要求，不再是一種“需要”，而是“必要”，否則，就難以理解，更無法駕馭“保險新數字時代”，因為，“重新做一遍”的前提是：重新思考、認識和理解一遍。

　　首先，是數據本身，數據到底是什么，又意味著什么，特別是基于客戶的視角。無論之前你是否有答案，但相信認認真真讀完《個人信息保護法》，你會有全新的答案。其次，是保險本身，風險到底是什么，保險靠的是什么，是傳統的精算嗎？如果你把自己的“窗戶”打開，去感受和體會數字科技帶來的認知科學和認知計算的“突飛猛進”和“改天換地”，就會發現“時過境遷”意味著什么，并決定了什么，更覺得自己的局限、狹隘和落伍，以及發自內心的，強烈的危機感。

　　就保險業而言，《個人信息保護法》與其說是一部法律，不如說是一本教科書，一本彰顯“以人為本”的法律教科書。通過學習，不僅要解決知法、懂法、用法，確保“依法用數”，合規經營問題，更重要的是解決基于“以客戶為中心”的“數商”問題。盡管“數字化”已經成為“膾炙人口”的熱詞，甚至成為了一種時髦。但我們不妨問問自己：真的了解和理解數字化嗎？比如，什么是數字，數字的外延和內涵是什么？再比如，什么是數字化，這個“化”意味和代表著什么？這個“化”的過程是如何實現的，更為根本和關鍵的問題是：數字化到底為什么。或者說：為什么要數字化。

　　學習和理解《個人信息保護法》的一個重要“捷徑”是“顧名思義”，首先，是“個人信息”，它可以分拆為“個人”和“信息”，這恰恰是保險經營的基礎。保險的大數法則，決定了“個人”是行業存在的基礎，沒有“個人”的選擇和集合，就沒有保險。風險理論，決定了“信息”是保險經營的基礎，沒有“信息”的獲得和利用，就沒有保險。其次，是“保護”，為什么要保護，“保護”背后的邏輯依據是什么，如何實現保護，保護和利用的關系是什么。依法保護固然重要，但自覺保護更重要，而要實現一種發自內心的自我覺悟，并非易事。第三，是“法”，作為一種社會制度安排，“法”的作用是調整行為，維護秩序，確保公平正義，同時，“法”具有剛性約束，即有法必依，違法必究。行業學習《個人信息保護法》，從表面看，是解決懂法依法問題，但從本質看，是解決基于覺悟的自覺，解決“心法”問題。

　　但對于行業如此重要的“個人信息”，行業又了解了多少 ，特別是“個人信息權益”。一直以來，我們總認為“公司的數據屬于公司”是天經地義的，于是，一方面為了獲得更多的數據，“不遺余力”，竭盡所能，用盡一切手段，不惜“打擦邊球”，即使數據是“來歷不明”；另一方面在數據的利用上，憑借著保險精算的“家底”，在算法和算力的加持下，利用人工智能等技術，開展客戶畫像和精準營銷，而“歧視”和“殺熟”，往往也都與“個性化”和“精細化”混為一談，且難解難分。但當我們在做這一切的時候，是否考慮過“個人信息權益”問題，以及對“個人信息權益”的保護問題。

　　《個人信息保護法》的重要邏輯基礎是：個人信息及其權益屬于個人，任何組織和個人不得侵害。為了強調這種保護的權威性，在“三讀”的時候，引入了“根據憲法”的措辭，即明確法源為《憲法》的“國家尊重和保障人權，公民的人格尊嚴不受侵犯”。接下來的問題是什么是“個人信息”，什么是“個人信息權益”。《個人信息保護法》明確個人信息及其權益屬于個人，并“神圣不可侵犯”，因此，保險企業在處理個人信息過程中，即使是處理“企業數據庫”里的個人信息時，也要清醒地認識到：那仍然是“個人信息”，相關處理活動仍應當遵循《個人信息保護法》，否則，就可能涉及違法經營，認識到這一點，至關重要，這既是依法合規經營的重要基礎，更是深化轉型，實現高質量發展的重要基礎。

　　《個人信息保護法》明確，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。“已識別”是指具有唯一指向性的信息，“可識別”是指具有指向性，但單憑這一信息不能確定自然人。同時，為了更好地解決保護和利用的關系，《個人信息保護法》將個人信息進一步劃分為“一般個人信息”與“敏感個人信息”，并設立專門章節，明確并強化“敏感個人信息”的保護問題。

　　“敏感個人信息”是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。“敏感個人信息”是保護的重點，要求只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可處理敏感個人信息。在保險經營的過程中，不可避免地將涉及“敏感個人信息”，但是否具有“特定的目的”和“充分的必要性”，以及是否采取了“嚴格保護措施”，均需要重新、認真和審慎地對待。

　　關于“個人信息權益”問題，這是《個人信息保護法》的對象，切實和有效保護個人信息權益是立法的宗旨、目的和核心訴求，也是貫穿始終的內容。因此，作為前提和基礎，需要對“個人信息權益”有一個全面的了解和深刻的認識，其中不僅有人格權和隱私權，還有財產權和收益權。個人信息權益的形式十分廣泛，主要包括了知情權、決定（撤回）權、限制權、拒絕權、查閱和復制權、攜帶權、更正和補充權、刪除（遺忘）權。這些權益的內涵和外延，與保護密切相關。但要真正理解這些權益，尊重并保護這些權益，包括在實際工作中按照要求，有效履行和落實相關義務，均非易事。

　　《個人信息保護法》確立了在個人信息保護中的一個重要角色：個人信息處理者，同時，定義了個人信息處理，包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。從某種意義上講，《個人信息保護法》是圍繞著個人信息處理者的責任和義務展開的，并制定了一系列原則和規則，特別是要求應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍，其目的是更好地規范個人信息處理者的行為，切實維護個人信息權益。

　　保險企業，無疑是典型的個人信息處理者，但就目前的情況而言，大多數保險企業的數據處理行為，與《個人信息保護法》的要求均相距甚遠，“不符合”的情況比比皆是，有些問題的性質還“相當嚴重”，這無疑是一個難以回避的問題和現實挑戰，處理不好，就可能演化成為一種危機，而且，距離2021年11月1日正式實施，已經沒有太多的時間了，因此，行業要有一種很強的危機感和緊迫感，以刻不容緩的認識和態度，在認真學習的基礎上，盡快啟動《個人信息保護法》的專項普法和合規治理活動。

　　保險行業的當務之急是解決經營管理實際操作層面的合法性問題，其中，最重要的是在掌握和理解的基礎上，有效落實《個人信息保護法》中關于個人信息處理的基本原則和規定。一是合法、正當、必要和誠信原則，在互聯網經濟思維背景下，企業總是希望利用業務機會，盡可能多地獲取客戶信息，但如果超越了“合法、正當和必要”的邊界，就可能觸及違法，因此，要摒棄“越多越好”的心態，明白“夠用就好”的道理。二是“最小必要”原則，即滿足處理目的的“最小”，即要求個人信息處理者，收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。三是“告知同意”原則，要求個人信息處理者在處理個人信息之前，應當明確和充分告知，并取得個人的同意，這種同意應當是個人在充分知情的前提下，自愿和明確作出的。在有些情況下，如處理敏感個人信息時，要取得個人的單獨和書面同意。

　　《個人信息保護法》要求個人信息處理者，要提供兩大技術能力，一是符合法律規定的個人信息處理技術能力，如：1）采取必要措施保障所處理的個人信息的安全；2）采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息；3）采取相應的加密、去標識化等安全技術措施；4）個人請求更正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，并及時更正、補充。二是滿足個人信息權益保障的技術能力，如：1）個人有權撤回其同意，個人信息處理者應當提供便捷的撤回同意的方式；2）個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供；3）個人請求將個人信息轉移至其指定的個人信息處理者，個人信息處理者應當提供轉移的途徑；4）通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。

　　縱觀《個人信息保護法》各種嚴格的規范和要求，就不難理解為什么會將其稱為“史上最嚴的法律”，一個重要的原因是《個人信息保護法》在個人信息及其權益保護方面，提出了一系列“幾近苛刻”的要求，這背后固然有“矯枉過正”的因素，但更有“保護是最好的利用”的邏輯，而最重要的是切實維護廣大人民群眾的切身利益。但對于大多數保險企業，尤其是中小保險企業而言，可能面臨著“做不到”的無奈和尷尬。在這種無奈和尷尬的背后折射出一個“時代課題”，即傳統的理念和技術已經難以適用“新數字時代”的需要，這個時代的特征是：一方面嚴格并強化個人信息保護，另一方面強調數字利用能力將成為核心競爭力，于是，如何處理和平衡保護和利用的關系，繼續沿用過去的思維模式和技術能力是“走不出來”的，需要適應新時代的新思維和新能力。

　　所謂“新思維”的關鍵是理解并尊重“個人信息權益”的基礎上，從根本上摒棄傳統的思維模式，構建全新的經營理念。就數據管理和運用而言，要放棄“企業本位”和“以我為主”，以及“大而全”和“小而全”的思維，從技術管理的視角看，要放棄“本地思維”和“大集中”理念，以更廣的視野和胸懷，以更大的覺悟和智慧，理解“不求所有，但知所在，確保能用”，理解“數據不動，價值動”，實現“可算不可見”和“可用不擁”的技術境界，從根本上破解“個人信息保護難題”，最終實現從“由內而外”和“重內輕外”到“由外而內”和“內外并重”的轉變，同時，要強化技術和產業合作，形成“內引外聯”和“內外兼修”的發展新格局和新生態，在全面融入社會數字化的同時實現企業的數字化。

　　所謂“新技術”的重點是隱私計算。隱私計算是面向隱私信息全周期保護的技術，可以實現數據的“可用不可見”，成為面向未來的重要技術解決方案。在全面落實《個人信息保護法》要求的過程中，應當將隱私計算作為一個重要工具、方法和路徑，努力打造隱私計算的開發、利用和集成能力。要重點關注安全多方計算、同態加密、可信計算、聯邦學習、差分隱私、區塊鏈、邊緣計算技術等，要將隱私計算技術作為重構業務模式的底層技術，確保基礎邏輯的合法性，同時，要以更加開放的心態，加強與隱私計算科技行業的合作，要特別重視相關平臺技術的發展動態和合作機會，形成一種內外聯合，互利共贏的模式。

　　總之，《個人信息保護法》的實施，不僅代表了社會的文明與進步，更要求、引領和推動著保險行業的發展與進步，特別是面向未來，面向認知革命時代的到來，保險業要實現基于認知科學和認知計算的蛻變與迭代，“核心數據能力”將成為關鍵，更重要的是這種“核心數據能力”必須是建立在依法合規基礎上，建立在對客戶信息有效保護基礎上，因此，保險業要利用《個人信息保護法》這本教科書的學習，理解時代，提高覺悟，突破自我，提升能力，更好地迎接保險的新數字時代。

　　(本文作者介紹：保險學者，中國人保財險執行副總裁。)