潜精研思 笔耕不辍

出版物/Publications更多分类

地址:北京市东城区建国门内大街26号新闻大厦7-8层

电话:86 10 8800 4488, 6609 0088

传真:86 10 6609 0016

邮编:100005

国枫视角

再保险业务中的个人信息提供

发布时间:2022.02.17 来源: 浏览量:7901

就法人机构之间提供和传输客户个人信息,《中华人民共和国个人信息保护法》(“《个保法》”)规定了两种不同的模式:1)《个保法》第二十一条规定的“委托”模式;2)《个保法》第二十三条规定的独立信息处理者之间的“提供”模式。


《个保法》施行已近四个月,保险业务实操中出现了一些有争议的问题。本文将要探讨的是与再保险业务相关的一个问题:出于再保险业务的实际需求,直接保险公司(“直保公司”)要把保险合同当事人的个人信息提供给再保险人,以便再保险人进行反洗钱核查、核保、理赔等业务操作。这一行为应适用第二十一条规定的“委托”模式,还是应适用第二十三条规定的“提供”模式?实务操作中有不同观点。


一种观点认为,直保公司与再保险人之间是“委托-受托”关系。再保险人基于直保公司的委托和授权,仅以提供再保险服务之目的使用和处理个人信息;直保公司有权对再保险人的个人信息使用行为进行监督;再保险人对个人信息的使用不能超出双方约定的目的,直保公司有权要求再保险人在业务合作终止后删除客户的个人信息,不得保留。因此,直保公司向再保险人提供客户的个人信息,应当适用《个保法》第二十一条。


另一种观点认为,直保公司与再保险人是两个独立的“个人信息处理者”,并非“委托-受托”关系。再保险人处理个人信息的权利基础并非直保公司的授权和委托,而是基于法律的规定和再保业务约定(包括合约分保和临时分保);直保公司无权对再保险人的业务活动进行监督,也不应对再保险人的个人信息处理进行监督;再保险人作为独立的个人信息处理者,有权自行决定个人信息的保留期限和删除政策。因此,直保公司向再保险人提供客户的个人信息,应当适用《个保法》第二十三条。


不同的认知导致不同的行为模式。上述观点的差异反映了实务操作中对《个保法》理解、适用的意见分歧。


如果适用《个保法》第二十一条(委托-受托模式),那么直保公司在向再保险人提供客户的个人信息之前,无需向客户做出告知,也无需取得客户的同意;直保公司只需批量或单独地将客户的个人信息传输、提供给再保险人即可。但是,如果适用《个保法》第二十三条(独立个人信息处理者之间的提供模式)的规定,则直保公司的义务将会显著增加。《个保法》第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”


根据作者的观察,目前保险行业对上述问题尚未形成统一的认识。部分直保公司已经开始按照《个保法》第二十三条的要求重新设计投保流程,就其使用的再保险人的名称、联系方式、个人信息处理目的及种类等进行说明、披露并取得客户的签字确认;但也有部分直保公司认为,根据《个保法》第二十一条的规定,就向再保险人提供客户个人信息的行为,无需向投保人客户作出说明和披露。


作者赞同第二种观点,即应当把直保公司和再保险人视为两个独立的“个人信息处理者”,而非“委托-受托”关系的双方;实务操作中应当遵循《个保法》第二十三条的规定,由直保公司向客户个人履行告知义务,并取得个人的单独同意。“委托-受托”说不能成立的理由有二:背离了再保险的业务实质,也背离了《个保法》的立法本意。


一、  业务实质


通常情况下,再保险人与个人信息主体不会发生直接的合同关系;再保险人处理的几乎所有个人信息都是由直保公司提供的,但这并不等同于再保险人处理个人信息的目的、范围和方式方法均取决于直保公司的“委托”或“授权”。出于法律的规定和/或再保险业务的实质需求,再保险人对个人信息处理的目的、方式可以独立于直保公司的意愿。例如:


1) 再保险人对自然人客户进行反洗钱和反恐怖融资核查,这是基于法律和监管规定的要求。无论直保公司是否作出“授权”,再保险人都会依法履行其反洗钱义务。


2)对于核保,再保险人有权自主决定核保的流程和工作方式;在再保核保过程中,再保险人处理客户个人信息既不受限于直保公司的“委托”,也不应受到直保公司的“监督”。


3)对于理赔,再保险人有权独立地对案件事实作出调查和核实。特别是当直保公司与再保险人对理赔存在不同意见的情况下,再保险人对个人信息的独立处理权就会体现得非常清晰;再保险人有权通过自行和/或通过第三方对赔案的相关事实进行调查,此时再保险人对个人信息的处理显然不可能是基于直保公司的“委托”和“授权”。


4)再保险人对个人信息的储存、处理和使用应同时符合《个人信息保护法》和保险行业的监管规定。根据行业惯例,在再保合约终止的情况下,再保险人也不会立即删除客户的个人信息,而是自主决定个人信息的存储方式和期限。


综上,再保险人对个人信息的处理具有独立性,不能片面地把再保险人的所有个人信息处理行为都理解为“基于直保公司的授权”。强行地把这种关系理解为“委托-受托”,会导致认知与实操发生矛盾和偏差。


二、立法本意


《个保法》在立法体例上明显参考了GDPR(《通用数据保护条例》),但并没有使用GDPR项下“controller”(个人数据控制者)和“processor”(个人数据处理者)的概念。


GDPR第4条规定,“controller”的核心特征是“单独地或联合他人,决定个人数据的处理目的和方式”;“processor”则是指“代表控制者(on behalf of the controller)处理个人数据”的个人或实体。能否独立地决定个人数据的处理目的和方式,是区分controller和processor的关键。


《个保法》规定的“个人信息处理者”(《个保法》第七十三条的定义为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”),实质上对应的是GDPR的“controller”(个人数据控制者)。GDPR的“processor”(个人数据处理者),在《个保法》项下并没有对应的术语。但是,《个保法》第二十一条规定的“受托个人数据处理者”,从立法意图上判断实质上对应的就是GDPR的“processor”(个人数据处理者)。


《个保法》规定的“个人信息处理者”、GDPR规定的“个人数据控制者”,其共同特征在于:他们都是独立的、最终的责任承担主体。对于侵犯个人信息(个人数据)权益造成的损害赔偿责任,最终应当由处理者/controller承担;对于受托方/processor行为造成的侵权,作为委托方的处理者/controller也应该为此承担责任。


无论是《个保法》还是GDPR,都要求处理者/controller在向其他个人信息处理者/controller提供信息之前应得到个人信息主体的同意。为什么法律会做出这样的规定?一方面,这是为了让个人信息主体充分行使对自身信息处理的选择权;另一方面,一旦个人信息主体同意了由接收方处理其个人信息,则提供方就不再为接收方的行为继续承担法律责任——由此,个人信息主体、信息提供方、信息接收方的权利义务达成大致的平衡。


一个关键的问题是:如果再保险人在其业务行为中存在泄露、不当使用等行为造成对个人信息主体权益的侵害,直保公司是否应当为此承担侵权责任?如果适用《个保法》第二十一条的规定,直保公司就应当为再保险人造成的侵权后果承担连带责任。但是,如果适用《个保法》第二十三条的规定,则直保公司与再保险人均为相互独立的信息处理者,直保公司无须为再保险人的侵权行为向个人信息主体承担赔偿责任。


显然,适用《个保法》第二十三条的规定更为符合再保险业务关系的商业实质,也更合情合理。更重要的是,这样的责任分担方式更符合《个保法》的立法意图。


综上,在再保险业务关系中,直保公司与再保险人之间的关系不应被理解为“委托-受托”处理关系。双方作为独立的个人信息处理者,各自独立地决定个人信息的处理目的和方式,并应各自遵守《个保法》第二十三条规定的各项义务。值得注意的是,如果直保公司、再保险人共同决定个人信息的处理目的和处理方式,又在共同处理个人信息的过程中侵害了个人信息权益的,依照《个保法》第二十条的规定,应由双方依法承担连带责任。

image.png

相关人员