保險數(shù)字化中的消費者風險及其治理*

朱晶晶

數(shù)字技術對保險業(yè)務產生深刻影響，并催生了多種商業(yè)模式。保險領域常用的數(shù)字技術包括：數(shù)字化設備與互聯(lián)網(wǎng)(保險業(yè)不斷增加對智能手機、平板電腦、可穿戴數(shù)字設備的使用)、物聯(lián)網(wǎng)(將物理設備、車輛、建筑及其他物品的互聯(lián)，嵌入電子產品、軟件、傳感器、執(zhí)行器和網(wǎng)絡連接，使得這些物品能接收并交換數(shù)據(jù))、遠程通信技術/遙感(目前已應用于聯(lián)網(wǎng)汽車、高級駕駛輔助系統(tǒng)、健康指數(shù)監(jiān)測等領域)、大數(shù)據(jù)和數(shù)據(jù)分析(已應用于產品供應、風險選擇、定價、交叉銷售、理賠預測、反欺詐等環(huán)節(jié))、比較器與智能顧問(在沒有人工干預的情況下，提供自動的、基于算法的產品比較和建議的線上服務)、機器學習與人工智能(多應用于風險定價、防欺詐、自動承保、理賠、預防性咨詢等重大業(yè)務環(huán)節(jié))、區(qū)塊鏈(即建立一個可供多個網(wǎng)點、地點和機構共享的資產數(shù)據(jù)庫)(IAIS，2018)。新型數(shù)字技術還催生了新型商業(yè)模式，包括平臺(platform)商業(yè)模式、P2P(peer-to-peer)保險、基于使用的保險(usage-based insurance，UBI)和按需(on-demand)保險。

我國保險業(yè)也在積極布局保險科技，《中國保險科技發(fā)展報告(2021)》公布的調研數(shù)據(jù)顯示，2020年我國保險業(yè)全行業(yè)信息科技投入約為351億元，主要投資于軟件。在保險科技具體技術的運用方面，移動技術主要應用于“客戶服務”(68%)、“銷售渠道”(60%)和“核保核賠”(48%)；大數(shù)據(jù)技術主要應用于“風險管理”(41%)、“客戶服務”(39%)、“核保理賠”(38%)和“銷售渠道”(36%)；云計算主要應用于“銷售渠道”(38%)和“客戶服務”(32%)；人工智能主要應用于“客戶服務”(48%)、“核保理賠”(38%)和“銷售渠道”(33%)；二維碼技術主要應用于“銷售渠道”(27%)和“客戶服務”(16%)；機器人流程自動化(RPA)主要在“財務核算”(20%)和“核保理賠”(8%)環(huán)節(jié)應用；區(qū)塊鏈在保險行業(yè)的應用整體較少，主要應用于“銷售管理”(6%)、“核保理賠”(5%)和“監(jiān)管合規(guī)”(5%)。在線上化經營方面，2020年，直保公司線上化客戶比例達到43.7%，線上化產品達到37.61%。

保險業(yè)作為社會風險的承擔者和管理者，與消費者的“衣食住行醫(yī)”等日常生活息息相關，不僅擁有較小的數(shù)據(jù)粒度，而且往往涉及大量隱私信息。當前，互聯(lián)網(wǎng)保險已經成為保險銷售和服務中的重要業(yè)態(tài)模式，北京朝陽法院發(fā)布的《金融審判白皮書(2019年度—2021年度)》顯示，2019～2021年北京市朝陽法院受理的144件人身保險糾紛中，有94.5%的保險合同是通過互聯(lián)網(wǎng)投保的。因此，在數(shù)字技術背景下保險市場的“定制化”和“精細化”發(fā)展趨勢，保險消費者保護的重要性日益突出。

一、數(shù)字化催生的保險消費者風險

數(shù)字技術顯著改變了保險活動，也帶來或顯著放大了保險消費者面對的諸多風險。

(一)客戶排斥風險

隨著新技術的發(fā)展，消費者數(shù)據(jù)的收集、存儲和使用在過去十余年中顯著增加。大數(shù)據(jù)和自動化流程促進了更精細化的定價，但這也使得一些客戶群體需要交納更多的保費，甚至無法得到保險服務。保險供給者更可能向高風險投保人收取高額保費，甚至識別高風險人群并拒絕向其提供服務。即使一些消費者沒有“被定價完全排斥在外”，新數(shù)據(jù)和自動化程序也擴大了價格區(qū)間，使得他們面臨明顯偏高的保費或其他購買門檻(BaFin，2018)。這是消費者無法獲得對自己有用且可負擔的保險產品的一種表現(xiàn)。

“被排斥”在保險業(yè)的表現(xiàn)之一是，對于已被證明無利可圖的消費者，保險服務提供者提供“他們不愿意支付的價格”時，這些消費者便“被價格排斥出了市場”。換句話說，保險服務提供者可能向高風險的個人收取很高的保險費，阻止他們購買保險。還有些新型數(shù)據(jù)，如可預測疾病的基因測試(可用于鑒定疾病和基因狀況的風險因素)，也用于確定哪些消費者應當“被價格排斥”。例如，美國人工智能公司Lapetus Solutions為保險公司研發(fā)了一個 Chronos系統(tǒng)，通過識別自拍照片的面部特征來判斷參保人的生理年齡以及健康狀況，并結合其他數(shù)據(jù)為保險公司提供輔助判斷(投保資格和價格)。這些數(shù)據(jù)如果未經授權就被分享或使用，由此可能導致不公平的歧視。

(二)產品錯選風險

在市場推廣和分銷階段，通過社交媒體進行精準營銷可能會讓客戶感到困惑，使得他們難以分清社交媒體上的中性觀點與保險供給者提供的產品推介資料之間的區(qū)別。在全自動咨詢過程中，智能顧問通常無法發(fā)現(xiàn)消費者的猶豫不決(IAIS，2018)，也難以解決產品復雜性造成的問題，所以給消費者推介的不一定是最佳的產品服務。如果算法有誤或者人工智能存在缺陷，可能導致保險公司提供的建議不恰當或前后不一致。在信息技術的支持下，保險公司向客戶披露的內容可能無法以書面或其他耐久且方便獲取的媒介保存。與非數(shù)字化的信息傳播方式相比，信息技術往往更可能讓消費者面臨信息過載的問題。

在依托遠程信息技術、人工智能和大數(shù)據(jù)等技術進行的市場營銷活動中，客戶可能會在不知情的情況下被廣告誘導或引導，如保險公司、中介人和第三方市場營銷人員可能通過特定的搜索引擎或點擊贊助商鏈接鎖定客戶，或者通過強調或限制某些信息來促使客戶采取某些行動。由于補償機制或所有權結構，比價網(wǎng)站可能只顯示某些產品并/或引導消費者購買有利于網(wǎng)站而不利于消費者的產品。此外，比價網(wǎng)站和App等媒介可能促使消費者在挑選產品時只關注價格，從而購買性價比低或不能滿足自身風險保障需求的產品。

(三)市場勢力風險

保險供給者可能利用信息技術形成市場勢力。運用數(shù)字化方式銷售保險產品時，可以更方便地“搭售”其他保險產品或非保險產品。如果決策過程本身的透明度弱，那么保險供給者可能會以算法和自動化決策給出的結果是無法解釋的為借口敷衍消費者，這可能導致對消費者的不公正和歧視(BaFin，2018)。在一些市場上，大部分交易集中在少數(shù)幾個比價網(wǎng)站，甚至某些細分市場/產品線中僅有一家比價網(wǎng)站，這種“集中度”風險可能損害消費者權益。總之，保險供給者的市場勢力可能會降低消費者從保險產品中獲得的價值，出現(xiàn)“廠商榨取消費者剩余”的情況。

分析消費者的金融交易方式的變化可以使得保險公司能夠識別客戶人生中的重大變化(如懷孕或離婚)，這些變化可能導致保費增加(BaFin，2018)。機器學習系統(tǒng)如果接收到不完整的或有偏差的數(shù)據(jù)，也會產生有偏的結果。例如，如果費率錯誤地與某個社區(qū)的賠付狀況相聯(lián)系，那么一個用于預測索賠發(fā)生率的模型可能會基于以往的賠付信息，建議保險公司向一個健康的被保險人收取更高的保費(De Brusk，2018)。而且，相對于分享數(shù)據(jù)所產生的顯著影響以及數(shù)據(jù)給供給方帶來的價值，消費者從保險產品中獲得的價值可能遠遠不足，即出現(xiàn)“數(shù)據(jù)供應方與使用方之間的信息不對稱”。供應方可能“榨取消費者剩余”而不利于消費者。

(四)信息安全風險

消費者決定誰有權獲取和使用自己的基本信息、地理位置、健康狀況的權利受到影響或侵犯，即產生信息安全風險。如果保險人沒有足夠的存儲能力，或數(shù)據(jù)被泄露，那么消費者的隱私就可能被侵犯。2018年6月，南非金融服務提供者Liberty Holdings公司和客戶之間的機密電郵遭到非法侵入，雖然該公司的發(fā)言人聲稱沒有客戶受此黑客事件影響，但是這一案例反映了金融服務提供者遭受網(wǎng)絡攻擊并導致消費者隱私泄露的風險程度之高(Niselow，2018)。

隨著越來越多的消費者數(shù)據(jù)被收集、存儲并被第三方使用，以及高級數(shù)據(jù)分析技術的廣泛應用，網(wǎng)絡安全與數(shù)據(jù)保護的問題也變得越來越重要。對保險人而言，網(wǎng)絡安全事件可能會損害公司的業(yè)務能力、影響商業(yè)數(shù)據(jù)和個人信息保護，破壞人們對整個行業(yè)的信任(IAIS，2016)。例如，在消費者的車輛上安裝電子設備，可以獲取駕駛人的位置信息，并監(jiān)測其駕駛行為，進而用于確定保險事故發(fā)生的時間和地點，但是，如果這類數(shù)據(jù)未被妥善保存、分享或遭到泄露，將對消費者造成損害(A2II，2018)。在某些風險和保險領域，信息安全問題甚至會嚴重損害客戶的社會地位和職業(yè)聲望。

二、保險數(shù)據(jù)立法的國際經驗

對于數(shù)據(jù)及數(shù)字技術方面的消費者保護的立法，有兩種基本模式。一是綜合立法模式，即建立一個綜合的數(shù)據(jù)保護監(jiān)管框架，有時也會成立專門的執(zhí)法機構，如歐盟。其優(yōu)點是數(shù)據(jù)保護標準更有統(tǒng)一性和確定性，為跨部門運營的機構提供便利。缺點是其規(guī)則可能較模糊，且偏原則性；不一定能解決某一特定部門中的風險，如保險業(yè)。二是部門立法模式，即由每個部門的監(jiān)管者負責解決本部門的隱私和數(shù)據(jù)保護問題，如美國。其優(yōu)點是法律基于每個部門的特定需求來制定，更為細致。缺點是容易形成部門立法之間的空白；不同部門之間的規(guī)定有時會互相矛盾，造成不確定性；跨部門運行的機構將復雜化。下面分別分析這兩種立法模式有關保險業(yè)的主要內容。

(一)歐盟《通用數(shù)據(jù)保護條例》中保險業(yè)相關要求

歐盟數(shù)據(jù)監(jiān)管框架——《通用數(shù)據(jù)保護條例》(GDPR)從2018年5月25日開始實施。它對保險公司提出了新的要求，賦予消費者更多的權利，加強了數(shù)據(jù)監(jiān)管當局的權力，對不合規(guī)行為設定了罰款的上限。因此，《通用數(shù)據(jù)保護條例》對保險公司及其客戶都會產生影響。

《通用數(shù)據(jù)保護條例》賦予了消費者更多的權利，主要包括：(1)知情權，即在處理消費者的數(shù)據(jù)之前，保險人應當向消費者提供各種相關信息，包括誰處理、處理的目的是什么等；(2)獲取數(shù)據(jù)的權利，即消費者有權知道所投保的保險人是否會處理自己的個人數(shù)據(jù)，消費者還有權了解數(shù)據(jù)是否會發(fā)送給歐盟以外的其他國家；(3)更正數(shù)據(jù)的權利；(4)刪除數(shù)據(jù)的權利，不過，這項權利不是絕對的，如保險人可能由于遵守某項法律規(guī)定而需要保存消費者的數(shù)據(jù)；(5)調閱的權利；(6)拒絕的權利，即消費者有權拒絕保險人處理個人數(shù)據(jù)，特別是，如果保險人是出于直接營銷目的而處理消費者數(shù)據(jù)的，消費者在任何時候均有權拒絕；(7)請求人工干預的權利。

在《通用數(shù)據(jù)保護條例》下，保險公司的做法包括如下方面。

(1)合法處理。保險公司在處理消費者個人數(shù)據(jù)時，應當有適當?shù)姆梢罁?jù)。《通用數(shù)據(jù)保護條例》提供了個人知情同意、合同和法律義務等6項法律依據(jù)。此外，將更嚴格的規(guī)則應用于一些類型的數(shù)據(jù)處理工作，例如，履行保險合同不得作為處理某些類型數(shù)據(jù)的法律依據(jù)。

(2)讓消費者知情。在處理個人數(shù)據(jù)之前，保險公司應當向客戶提供信息，包括誰來處理這些數(shù)據(jù)、目的是什么。這個要求同樣適用于保險公司從第三方獲取數(shù)據(jù)的情況，如為處理交通事故的理賠而獲取受害人的個人數(shù)據(jù)或保險公司從公共資源收集數(shù)據(jù)等。

(3)對消費者行使權利做出回應。《通用數(shù)據(jù)保護條例》加強了消費者在個人數(shù)據(jù)方面的權利，保險公司應當遵守該條例。例如，基于消費者同意或作為保險合同要求的一部分處理數(shù)據(jù)時，應消費者的要求，保險公司應當以機讀的格式向消費者提供數(shù)據(jù)，或將數(shù)據(jù)傳輸給其他公司。

(4)數(shù)據(jù)處理的額外措施。在外部公司(如云服務提供商)代表保險公司處理個人數(shù)據(jù)時，保險公司應當確保外部公司采取了恰當?shù)拇胧C明其處理操作符合《通用數(shù)據(jù)保護條例》的要求。

(5)明確數(shù)據(jù)保護官。如果保險公司的核心活動涉及大規(guī)模日常性地監(jiān)測個人，或處理特殊類型的數(shù)據(jù)(如健康數(shù)據(jù))，則應當指定一名數(shù)據(jù)保護官(data protection officer，DPO)。數(shù)據(jù)保護官的職責是為保險公司及其員工提供職責方面的咨詢和建議。數(shù)據(jù)保護官還負責監(jiān)控保險公司對《通用數(shù)據(jù)保護條例》的遵守情況，并在處理個人數(shù)據(jù)等問題上與監(jiān)管部門進行合作。

(6)設計隱私和默認選項。這要求保險公司在設計產品時遵守數(shù)據(jù)保護規(guī)則，如個人數(shù)據(jù)加密。保險公司還應當采取適當?shù)拇胧_保在默認狀態(tài)下，只有出于特定目的且必需時，才會處理個人數(shù)據(jù)。例如，一旦數(shù)據(jù)的保留期結束，保險公司可選擇自動刪除數(shù)據(jù)。

(7)數(shù)據(jù)保護影響的評估。當處理數(shù)據(jù)對個人權利和自由構成較高風險時，保險公司應當在處理數(shù)據(jù)前評估風險并采取措施來減輕風險。例如，如果保險公司需要大規(guī)模處理健康數(shù)據(jù)，則應當對數(shù)據(jù)保護影響進行評估(data protection impact assessment，DPIA)以評估處理這些數(shù)據(jù)對消費者構成的風險。重要的是，保險公司應當核查國家監(jiān)管部門是否發(fā)布過需要或不需要進行數(shù)據(jù)保護影響評估的業(yè)務清單。

(8)國際傳輸。如果需要把個人數(shù)據(jù)轉移到歐盟/歐洲經濟區(qū)以外的公司，保險公司應當確保該公司所在國家具有歐盟認可的充分的數(shù)據(jù)保護規(guī)則。另外，保險公司還應當確保該公司使用《通用數(shù)據(jù)保護條例》中規(guī)定的合適的保障措施來確保高水平的數(shù)據(jù)保護，如標準合同條款或有約束力的公司規(guī)章。在特殊情況下，保險公司可以依據(jù)消費者知情同意等減損措施來進行跨境數(shù)據(jù)傳輸。

(9)數(shù)據(jù)泄露通報。當個人數(shù)據(jù)被非法或意外披露給未經授權的機構，或暫時無法取得或進行更改時，保險公司應當在發(fā)現(xiàn)數(shù)據(jù)泄露后72小時內上報監(jiān)管部門。如果數(shù)據(jù)泄露給個人的權利和自由帶來了高風險，保險公司也應當通知所有相關個人。歐洲保險和再保險聯(lián)合會制作了一個關于數(shù)據(jù)泄露的通報模板，以確保符合有關規(guī)定。

(10)責任和意識。在遵守《通用數(shù)據(jù)保護條例》的同時，保險公司還應當展示他們對合規(guī)的承諾。在處理數(shù)據(jù)的過程中，他們應當主動證明自己遵守了《通用數(shù)據(jù)保護條例》的規(guī)定。保險公司還應當提高公司內部員工的意識，使得參與數(shù)據(jù)處理活動的人員都明確知曉數(shù)據(jù)保護規(guī)則的各項規(guī)定。值得關注的是，對于違反《通用數(shù)據(jù)保護條例》行為，數(shù)據(jù)保護部門可處以高達2000萬歐元或者相當于其全球年度營業(yè)額4%的罰款。

(二)美國《保險數(shù)據(jù)安全示范法》的若干要求

美國保險監(jiān)督官協(xié)會(National Association of Insurance Commissioners，NAIC)為了建立美國保險業(yè)的數(shù)據(jù)安全標準，出臺了《保險數(shù)據(jù)安全示范法》，對保險業(yè)網(wǎng)絡安全事件的調查和通知標準作出了具體規(guī)定。《保險數(shù)據(jù)安全示范法》要求保險公司重視對“非公開信息”和“信息系統(tǒng)”的管理和保護，并履行網(wǎng)絡安全事件的調查和通知義務。

1.信息安全計劃

保險機構應當根據(jù)其規(guī)模和復雜性、業(yè)務活動的性質和范圍(包括第三方服務方)以及非公開信息的敏感度，制訂一份書面的綜合信息安全計劃。保險機構指派明確的主體(如雇員、部門或委托第三方)負責信息安全計劃，包括風險評估、風險管理、第三方服務商管理、書面的網(wǎng)絡安全事件應對計劃和信息安全計劃調整等方面。需要指出的是，保險機構應當履行對第三方服務商的盡職調查，要求第三方服務商實施全方面的(涵蓋管理、技術和物理的)信息系統(tǒng)安保措施。保險機構的董事會應當支持信息安全計劃，并對其制訂、執(zhí)行和維護承擔監(jiān)督義務，至少每年報告信息安全計劃的整體情況和實質性工作(如風險評估、風險管理與控制決策、第三方服務商管理、測試結果、網(wǎng)絡安全事件應對安排、信息安全計劃的更新等)。

2.網(wǎng)絡安全事件的調查義務

如果保險機構獲悉網(wǎng)絡安全事件可能或已經發(fā)生，要求保險機構或指定的外部服務商立即展開調查，相關記錄至少保存5年(以網(wǎng)絡安全事件發(fā)生之日起計算)，并在監(jiān)管機構需要時能夠出示這些記錄。在調查期間，至少應該明確下列事項：(1)確定是否發(fā)生網(wǎng)絡安全事件；(2)評估網(wǎng)絡安全事件的性質和范圍；(3)識別可能涉及網(wǎng)絡安全事件的任何非公開信息；(4)采取或監(jiān)督合理措施，恢復在網(wǎng)絡安全事件中被破壞的信息系統(tǒng)的安全性，以防止保險機構持有、保管或控制的非公開信息被進一步未經授權的獲取、發(fā)布或使用。上述調查要求還溯及保險機構的第三方服務商，由保險機構組織完成或者確認并證明第三方服務商已經完成這些調查事項。

3.向監(jiān)管機構上報網(wǎng)絡安全事件

如果保險機構的網(wǎng)絡安全事件可能影響超過250名州內消費者，且依據(jù)該州或聯(lián)邦相關法規(guī)應當上報或造成重要損失時(即影響到居住在該州的所有消費者或影響到保險機構的正常運營)，保險機構應當在確定網(wǎng)絡安全事件發(fā)生后的72小時內盡快向監(jiān)管機構匯報。上述要求可溯及再保險公司和第三方服務商的網(wǎng)絡安全事件：再保險公司需要將可能受影響的原保險公司的名稱和地址上報給監(jiān)管機構；如果保險機構知曉第三方服務商在維護系統(tǒng)時出現(xiàn)網(wǎng)絡安全事件，也應當上報給監(jiān)管機構，以第三方服務提供商將網(wǎng)絡安全事件通知保險機構，或保險機構以其他方式實際了解網(wǎng)絡安全事件之日起(以較早者為準)開始計算匯報截止時限。保險機構需要盡可能多地提供信息，包括網(wǎng)絡安全事件的發(fā)生過程和影響結果，以及保險機構對該事件的應對情況等。(1)法規(guī)中列舉了13項信息：網(wǎng)絡安全事件日期；描述信息是如何被暴露、丟失、竊取或泄露的，包括第三方服務提供商的具體角色和職責(如有)；網(wǎng)絡安全事件是如何被發(fā)現(xiàn)的；是否找回了遺失、被盜或泄露的資料，如有，需說明是如何找回的；識別網(wǎng)絡安全事件的風險源；保險公司是否已報警或通知了監(jiān)管、政府或執(zhí)法機構，如有，需要告知；未經授權獲取的信息種類說明(如醫(yī)療信息類型、財務信息類型或允許消費者識別的信息類型等)；網(wǎng)絡安全事件中信息系統(tǒng)失敗的時間段；受網(wǎng)絡安全事件影響的州內消費者總數(shù)，保險公司在初始報告中應提供的最佳估計值，并在后續(xù)的每份報告中更新該估計值；內部審核的結果，如確認自動控制或內部程序存在缺陷，或確認遵循了所有的自動控制或內部程序；在網(wǎng)絡安全事件發(fā)生后進行的補救工作的說明；保險機構的隱私政策副本和一份聲明，概述保險機構為調查和通知受網(wǎng)絡安全事件影響的消費者將采取的步驟；由保險機構授權的熟悉網(wǎng)絡安全事件的聯(lián)系人的姓名。

4.通知消費者

保險公司應當履行《州數(shù)據(jù)泄露通知法》中規(guī)定的消費者通知義務。在網(wǎng)絡安全事件發(fā)生后，依法通知消費者，并在向監(jiān)管者上報網(wǎng)絡安全事件時附上發(fā)送給消費者的通知副本。原保險公司的消費者或第三方服務商同樣享受上述安全事件的通知權利。

三、我國保險業(yè)監(jiān)管應關注的內容

(一)數(shù)字經濟背景下的政策環(huán)境

近年來，在數(shù)字經濟快速發(fā)展的背景下，我國政府出臺了一系列的法律法規(guī)，形成了較為完善的頂層設計。張瑞綱和吳葉瑩(2022)等從網(wǎng)絡安全規(guī)制和支持數(shù)字化保險發(fā)展的視角梳理了相關政策，本文則對當前政策環(huán)境進行了更全面的梳理。

1.網(wǎng)絡安全法律法規(guī)方面

我國在2016年頒布了《中華人民共和國網(wǎng)絡安全法》，對網(wǎng)絡安全相關的權利責任義務作了明確界定，是網(wǎng)絡安全領域的基本法。在此基礎上，國務院于2021年正式頒布《關鍵信息基礎設施安全保護條例》，明確指出了金融業(yè)的信息基礎設施屬于我國關鍵信息基礎設施，其一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益，同時也對其運營主體的責任義務作出了明確規(guī)定。2017年中共中央辦公廳印發(fā)的《黨委(黨組)網(wǎng)絡安全工作責任制實施辦法》明確了各級黨委(黨組)對本地區(qū)本部門網(wǎng)絡安全工作負主體責任。2021年，第十三屆全國人民代表大會常務委員會第三十次會議通過了《中華人民共和國個人信息保護法》，對機構采集、使用、處理信息過程中的行為進行了規(guī)范。互聯(lián)網(wǎng)經濟活動的監(jiān)管方面，由于平臺經濟的蓬勃發(fā)展，一些平臺形成壟斷勢力，侵害了消費者權益。為此，我國對《中華人民共和國反壟斷法》進行了修訂，增加了“經營者不得利用數(shù)據(jù)和算法、技術、資本優(yōu)勢以及平臺規(guī)則等從事本法禁止的壟斷行為”，用于規(guī)范平臺的活動。上述法律法規(guī)為政府、企業(yè)和個人在網(wǎng)絡空間中的活動提供了規(guī)范和指引，也是保險業(yè)在數(shù)字時代開展業(yè)務、進行創(chuàng)新的根本遵循。

2.保險監(jiān)管方面

保險業(yè)一直重視互聯(lián)網(wǎng)技術的運用，2020年5月，銀保監(jiān)會印發(fā)的《關于推進財產保險業(yè)務線上化發(fā)展的指導意見》明確提出，到2022年車險、農險、意外險、短期健康險、家財險等業(yè)務領域線上化率達到80%以上，其他領域線上化水平顯著提高。同時，監(jiān)管部門也陸續(xù)出臺了一系列有針對性的法律法規(guī)，對互聯(lián)網(wǎng)保險活動進行規(guī)范。2020年6月，銀保監(jiān)會印發(fā)了《關于規(guī)范互聯(lián)網(wǎng)保險銷售行為可回溯管理的通知》，對保險機構在互聯(lián)網(wǎng)上的銷售行為及其回溯管理進行了規(guī)范，進一步保障了消費者的知情權、自主選擇權和公平交易權。同年12月，銀保監(jiān)會印發(fā)了《互聯(lián)網(wǎng)保險業(yè)務監(jiān)管辦法》，對開展互聯(lián)網(wǎng)保險業(yè)務的保險機構及其自營網(wǎng)絡平臺在維護網(wǎng)絡安全、數(shù)據(jù)保護以及在銷售、服務和運營過程等方面進行了規(guī)范，同時還針對不同類型的機構分別制定了“特別業(yè)務規(guī)則”，是互聯(lián)網(wǎng)保險業(yè)務監(jiān)管的基礎性制度。2021年1月，銀保監(jiān)會印發(fā)了《保險中介機構信息化工作監(jiān)管辦法》，對保險中介機構的信息化工作提出了全面要求。2021年10月，銀保監(jiān)會印發(fā)了《關于進一步規(guī)范保險機構互聯(lián)網(wǎng)人身保險業(yè)務有關事項的通知》，對互聯(lián)網(wǎng)人身險業(yè)務的機構資質、服務能力、可銷售產品范圍、運營規(guī)范等進行了更細致的規(guī)定。

(二)保險業(yè)未來需關注的方向

金融領域消費者保護問題具有特殊性和復雜性，保險業(yè)也仍有很多工作值得進一步深化。

1.有“基本法”可依會促進消費者保護

數(shù)據(jù)是一類典型的無形資產，數(shù)據(jù)的泄露、傳輸和使用幾乎是零成本的，且有極高的隱蔽性。在網(wǎng)絡空間一體化趨勢下，消費者數(shù)據(jù)和隱私保護已經成為維護公共利益的需要，國家應當做出頂層設計。從歐盟(綜合立法模式)和美國(部門立法模式)的保險業(yè)消費者數(shù)據(jù)保護立法實踐來看，歐盟《通用數(shù)據(jù)保護條例》和美國《保險數(shù)據(jù)安全示范法》等“基本法”不僅是制定保險業(yè)消費者數(shù)據(jù)和隱私保護具體規(guī)則的基礎，而且為跨行業(yè)的隱私保護協(xié)作(如對第三方服務商的網(wǎng)絡安全措施要求)提供了統(tǒng)一標準。在我國，《中華人民共和國網(wǎng)絡安全法》《中華人民共和國個人信息保護法》已經實施，應結合保險業(yè)務特點，加快健全保險業(yè)網(wǎng)絡安全和個人信息保護方面的法制建設。

2.改進保險機構內部治理

將網(wǎng)絡風險管理和數(shù)據(jù)資產保護納入保險機構的全面風險管理框架中。建議要求保險機構將數(shù)據(jù)安全風險提升至董事會討論層面，并確保董事會成員中有相關專業(yè)人員；對網(wǎng)絡韌性進行明確的責任劃分，尤其是在IT部門如何與其他部門合作管理數(shù)據(jù)安全風險方面；在人力資源開發(fā)和內部控制等方面進行相應的調整，如加強數(shù)據(jù)風險意識培訓、開展數(shù)據(jù)安全審計等。

3.重視對第三方服務商的管理

數(shù)字技術下的保險業(yè)是一個生態(tài)系統(tǒng)，保險業(yè)與外部的“數(shù)據(jù)循環(huán)”不斷增加，保險消費者的數(shù)據(jù)和隱私尤其需要考慮對第三方服務商的監(jiān)督與管理。因此，保險機構需要發(fā)揮保險業(yè)和外部主體之間的紐帶作用，通過保險機構對外部第三方服務商的監(jiān)督和管理來應對源于行業(yè)外部的保險消費者數(shù)據(jù)和隱私事件。建議加強技術外包機構集中度風險管理，尤其是監(jiān)測和控制云服務、信息系統(tǒng)構架、網(wǎng)絡安全等關鍵技術服務商的集中度風險；建立外包導致的重大事件匯報機制，由管理部門定期向行業(yè)發(fā)布外部服務商“黑名單”，并對這些服務商承包保險業(yè)信息技術服務項目設置一個明確的禁止期限(如兩年)。

4.明確網(wǎng)絡安全事件的通報要求

數(shù)字時代，保險機構的業(yè)務運營和經營決策日益依賴網(wǎng)絡信息數(shù)字系統(tǒng)，來自外部和內部的威脅因素繁多，所以數(shù)據(jù)泄露風險加大。建議明確設定保險業(yè)“重大信息安全事件”的標準，標準可以包含三方面的“重要性”指標——核心服務中斷所影響的用戶數(shù)量、事件持續(xù)的時間長度，以及受事件影響的地理分布范圍大小。此外，應對匯報時間做出明確的規(guī)定，可以考慮要求企業(yè)在72小時內匯報風險事件。

(三)可參考的監(jiān)管原則

保險監(jiān)管應當兼顧促進創(chuàng)新和保護消費者權益。為了完善我國數(shù)字時代的保險監(jiān)管，以保護保險消費者權益，提出如下對策建議。

1.明確保險科技的監(jiān)管對象

數(shù)字保險系統(tǒng)是一個多參與者的跨行業(yè)生態(tài)系統(tǒng)，其監(jiān)管對象應當包括以下主體。一是保險機構，即保險公司、再保險公司、保險中介機構等保險服務的供給者。二是(保險)科技企業(yè)，即數(shù)字化保險機構以及參與保險價值鏈的保險科技類企業(yè)，可以來自眾多行業(yè)。但是，對于主要在“其他生態(tài)”中的主體，如汽車公司、醫(yī)療保健機構，由于現(xiàn)實中是保險向相關生態(tài)的融入，故不應視為保險科技的直接監(jiān)管對象。堅持“線上線下”一致性的監(jiān)管要求，即保險價值鏈的參與者也必須具有相應的保險資質。三是保險消費者，即在保險科技市場上向保險機構或保險科技類企業(yè)購買保險產品或服務的消費者。

2.基于生態(tài)視角進行監(jiān)管

隨著保險業(yè)數(shù)字技術的發(fā)展，創(chuàng)新型技術和新的行為人活動將導致保險價值鏈的日益碎片化：保險產品或服務嵌入其他相關生態(tài)中；保險創(chuàng)新導致保險監(jiān)管的主要對象(保險機構)可能被邊緣化或經歷“保險脫媒”。上述兩種情形均給保險監(jiān)管帶來挑戰(zhàn)，前者是保險活動的跨生態(tài)和零碎化，后者是被監(jiān)管實體的無形化。監(jiān)管者也是保險科技生態(tài)中的一環(huán)，應當以更宏大的眼光審視保險科技生態(tài)系統(tǒng)的發(fā)展以及自己在系統(tǒng)中所承擔的角色。保險科技作為一個生態(tài)系統(tǒng)，其運行離不開某些生態(tài)系統(tǒng)基礎設施，尤其是如電力、通信、互聯(lián)網(wǎng)、電子支付等關鍵信息基礎設施，基于生態(tài)一體化的特征，保險監(jiān)管者應當實施跨領域的監(jiān)管合作。

3.靈活監(jiān)管以鼓勵市場創(chuàng)新

變革是不斷進行的，很難準確預測未來的技術究竟會怎樣發(fā)展，信息技術和網(wǎng)絡風險的進化會使得監(jiān)管法規(guī)和實踐滯后，因此監(jiān)管的靈活性很重要。新的監(jiān)管規(guī)則應當為未來的發(fā)展創(chuàng)新提供空間，盡可能靈活和開放。監(jiān)管者面臨的一個重要挑戰(zhàn)是如何平衡創(chuàng)新與消費者保護的關系，以維持平穩(wěn)、有競爭力和公平的市場環(huán)境。監(jiān)管者可以通過不同的方式了解創(chuàng)新：有些國家選擇讓市場活動逐步發(fā)展，同時進行密切監(jiān)控，以便在更好地理解之后再行干預；監(jiān)管者還可為市場參與者提供知識和技能上的幫助，或者為保險科技初創(chuàng)企業(yè)等創(chuàng)新者提供金融支持。對于監(jiān)管者如何進行監(jiān)管創(chuàng)新，不能簡單地依靠建“沙盒”。監(jiān)管者應當評估各種監(jiān)管方法，并充分考慮市場的成熟度、監(jiān)管權力、可用資源、知識等。監(jiān)管者的充分參與及其與市場的溝通交流非常重要。

4.加強監(jiān)管機構的外部合作

分析數(shù)字技術對保險消費者的影響應不限于保險業(yè)。數(shù)字技術催生了一些發(fā)揮(部分)保險功能的新型主體，如電商平臺、網(wǎng)絡互助平臺。它們的主業(yè)可能并非保險，但會直接或間接地影響保險消費者的權益。監(jiān)管機構需要在提升自身監(jiān)管能力的同時與第三方供應商建立合作關系，以便完全了解新技術及其對消費者的影響，并對新技術的應用進行評估。對此，監(jiān)管部門可以設立獨立部門，聚焦技術發(fā)展，構建跨學科監(jiān)管團隊，并與應用研究機構進行合作，以便更好地理解風險，并進行監(jiān)管。監(jiān)管者應當盡早走近初創(chuàng)企業(yè)，支持市場參與者，將監(jiān)管者、科技創(chuàng)新者和保險機構召集起來，促進相互了解，提供更清晰的監(jiān)管政策。

四、加強金融保險消費者教育

P2P理財市場和網(wǎng)貸市場的早期野蠻生長給金融消費者帶來的“創(chuàng)傷”為數(shù)字時代消費者教育工作敲響了警鐘。在數(shù)字保險發(fā)展步入“快車道”的今天，加強保險消費者教育愈顯重要。

(一)將加強金融保險教育納入國家頂層設計

在推進普惠金融、養(yǎng)老金融、開放金融等的背景下，金融教育對消費者保護的作用日益凸顯，而提升消費者的金融素養(yǎng)有助于降低金融風險。從政策制定目標來看，未來的消費者教育不僅需要提升金融知識的普及性，還需要努力改變消費者的預期或行為以保障其效果具有長效性。因此，消費者教育不僅僅是金融監(jiān)管者的職責，更需要國家層面的金融教育設計以發(fā)揮多主體力量，共同提升國民金融素養(yǎng)。金融管理部門、金融機構、相關社會組織要加強研究，推動金融消費者宣傳教育工作深入開展。教育部門則可以將金融知識普及教育納入國民教育體系，把金融素養(yǎng)的內容融入學校的相關課程，以構建金融知識普及教育的長效機制。

(二)開展普及保險知識的社會宣傳活動

通過定期大規(guī)模的社會宣傳活動向民眾普及金融理論和金融風險知識是被普遍采用的做法。例如，央行、銀保監(jiān)會等四部門共同啟動的“金融知識宣傳月”活動、歐洲的“金融教育日”等。秉持避免信息超載和重復要求的原則，建議在當前的“金融知識宣傳月”活動中加強普及保險知識的宣傳工作。隨著國家層面的金融教育逐步推進，更多主體(如政府公共部門、社會教育機構、媒體組織、社區(qū)服務中心等)共同推進金融消費者教育活動，才能實現(xiàn)更高的社會認可度和更好的普及效果。對于保險教育來說，理想的做法是讓年輕人意識到日常生活中“風險無處不在”，尤其需要關注意外事故和疾病等突發(fā)風險和退休準備等中長期問題，以及這些問題的綜合解決方案。

(三)鼓勵對數(shù)字化教育進行探索與實踐

在數(shù)字全面賦能時代，依賴數(shù)字化技術應對數(shù)字金融時代的消費者挑戰(zhàn)是一種重要的解決問題思路。技術工具使得人們能夠更快捷方便地獲取信息以提供給更多的潛在客戶，從而有助于提升其金融素養(yǎng)水平，同時克服金融教育方面存在的障礙。隨著技術的進一步發(fā)展，在線互動工具不斷增加，從而催生出更多吸引公眾的創(chuàng)新方式。對于所有參與金融教育的利益相關方，至關重要的一點是，接受并利用日益明顯的數(shù)字化趨勢，最大限度地發(fā)揮這些舉措的影響力。

(四)加強金融保險教育的國際交流合作

數(shù)字時代，各國政府都面臨著金融消費者教育改革的需求。雖然在政策制定上多遵循數(shù)字友好、技術中立和與時俱進的基本原則，但是由于各國資源稟賦和文化背景的差異，各國政府會基于本國國情來設計金融教育實踐以及探索新的解決思路。因此，國際層面的最佳實踐交流會給各國的金融教育工作帶來一定的啟發(fā)，尤其是數(shù)字化教育這一新興領域的交流，有助于各國政府更好地適應數(shù)字金融時代的發(fā)展要求、為各國提供豐富的金融教育知識和專業(yè)指導、協(xié)助設計國家層面的各類金融教育措施等。