王和：金融保险业的“欲罢不能”——基于《个人信息保护法》的思考

　　文/新浪财经意见领袖专栏作家 王和

　　2021年08月27日在零壹财经“《个人信息保护法》解读、合规落地与产业趋势”闭门研讨会上的发言。

　　首先，感谢“零壹财经”的邀请，让我有机会来与大家分享关于金融保险业在《个人信息保护法》颁布实施背景下的一些思考。可以说，《个人信息保护法》的颁布，是我国数字经济发展过程中的一个“里程碑”，确立了数字社会的基本原则和规则，同时，也将成为我国金融发展历史上的一个“里程碑”，明确了金融数字化应当遵循的基本准则和行为规范，对此，金融业要有足够的认识，足够的重视和足够的觉悟。

　　我的交流将围绕“欲罢不能”这个“关键词”展开，一层的意思是：金融业离不开“个人信息”，因为，“个人信息”是金融业存在的基础，是“立业之本”。另一层的意思是：《个人信息保护法》的出台，将为金融业开启一个依法规范发展的时代，也是一个持续健康发展的时代，金融业要把握机遇，实现跨越式发展。总之，面对“个人信息保护”这一课题，金融业没有退路，更不需要退路，而应当是与时俱进，把握机遇，乘势而为，突破自我，在创新发展的道路上“欲罢不能”。

　　首先，要认识到：金融，属于天然的“个人信息”行业。金融的资金融通，是建立在风险认知基础上的，因此，对于信息，特别是个人信息的“触碰”是金融业存在的基础逻辑和必要前提。但《个人信息保护法》对个人信息保护和利用制定了一系列严格的规则， 作为“个人信息处理者”的金融企业，将面临“高标准，严要求”的挑战，传统的经营理念、技术和模式面临“难以为继”的挑战，因此，如果沿用传统理念、技术和方法，进行简单思维，得出的基本结论肯定是：做不到。

　　但金融业需要清醒地认识到：个人信息保护是时代潮流，是人心所向，是大势所趋，金融业没有选择，只有顺应时代，转变观念，提升能力，拥抱个人信息保护新时代，按照新要求，打造新能力，实现新发展。

　　与其他金融业态不同，保险，属于典型的“个人信息”行业，即保险业对于个人信息的依赖程度更深更广。一是大数法则决定了保险存在的前提和基础是“个体”的集合，而且是“大数”的集合；二是风险的一个重要特征是基于信息不对称，因此，保险在进行经营管理的过程中，势必要更多地获取信息，以破解信息不对称问题，实现有效的风险管理。从这个视角看，保险与“个人信息”是密不可分的，更是“欲罢不能”的。

　　与其他行业不同，其他行业对个人信息的利用，更多是着眼于创新发展，而保险对个人信息的利用是“基因”决定的，是“生存必需”，因此，没有选择的余地，只能直面问题，解决问题。

　　用发展的眼光看，保险的“正外部性”特征，使得保险能够在现代社会风险治理体系和能力现代化的过程中发挥更大的作用。近年来，通过“保险+”的模式创新，保险已经越来越多地扮演“社会风险管理者”的角色，发挥着独特，且卓有成效的作用。而这些作用的发挥，离不开对个人信息的“触碰”。

　　例如，在汽车保险中，全面导入基于智能网联车技术，开展了“按使用付费（UBI）”的产品创新，这种保险产品，不仅能够使汽车保险的定价更加科学，还能够帮助驾驶人员纠正不良的驾驶习惯，确保行车安全，给社会的道路安全带来积极的影响。而作为前提，保险公司需要获得更多基于驾驶人员个人驾驶行为的信息。

　　再如，在健康保险中，保险公司可以利用个人体检报告信息，结合穿戴式设备信息，动态分析和监控客户的健康状况，并及时给予专业化的指导意见，以改善不良的生活习惯，及时发现健康隐患，及时进行就医和治疗，为客户提供有价值的保险服务，让客户的生活更健康。

　　保险公司在开展这些产品和服务创新过程中，势必涉及大量的客户个人信息，包括“生物识别信息”，其中许多都是“个人敏感信息”，因此，如何按照《个人信息保护法》的要求，处理和管理这些信息，是保险公司在未来必须面对和解决的问题。

　　面对“欲罢不能”的挑战，金融业需要一种全面和系统反省，即过去那些相对粗放，乃至违规的客户信息获取和利用方式，是对数字经济环境的破坏，是难以持续的。就数字经济发展而言，只有保护好数字环境的“绿水青山”，才能够有数字经济发展的“金山银山”，对此，需要一种基于行业集体共识的觉醒和觉悟。

　　首先，要认识、理解并敬畏“数权”，即公民基于个人信息的权益，“数权”应当得到充分的尊重和保护。这次《个人信息保护法》采用了“根据宪法，制定本法”的措辞，目的就是要提高“数权”的地位，其根本诉求是“确权”，而“确权”的本质是“还权于民”，即把原本属于公民，基于“人格权”的“数权”归还给公民，并强化数权的“神圣不可侵犯”，因此，从某种意义上讲，《个人信息保护法》是一部“人权法”，它与14亿中国人切身利益“息息相关”。

　　其次，要觉悟、涵养并强化“数商”。“数商”，是指基于“数权”的智慧，是“数权”的商数。金融企业的“数商”，集中体现为在理解“数权”和《个人信息保护法》的基础上，确保对个人信息的“取之有道”和“用之有道”，秉持并坚守“技术伦理和道德”，坚持并确保“技术向善和向上”。

　　《个人信息保护法》的颁布与实施，从某种意义上讲，是需要金融行业“重新做一遍”，因为，一直以来，人们“司空见惯”、“不以为然”和“习以为常”，甚至认为是“天经地义”的事，都可能面临“不合法”的挑战，而作为前提，需要金融行业“重新想一遍”，即重新想想：什么是“信息”，什么是“个人信息”，什么是“个人信息权益”，就“个人信息权益”而言，要认识和理解：什么是知情权、决定权、限制权、拒绝权、查阅复制权、可携权、更正补充权、删除遗忘权等。在《个人信息保护法》的框架下，金融企业作为“个人信息处理者”，应当遵循的原则是什么，责任和义务又是什么，包括什么是“最小必要原则”，什么是“知情同意原则”等。此外，为什么要对“自动化决策”提出专门和特别要求，以及一直以来人们熟悉的 “算法”、“人工智能”和“KYC（客户画像）”这些概念，也需要重新认识，并理解为什么一些西方国家开始提出要为人工智能专门立法，提出“算法透明”问题，这一切，又应当如何重新认识和理解。从根本上讲，金融行业需要在《个人信息保护法》框架下，开启的个人信息保护的新时代，重新思考金融的基础要素和底层逻辑等一系列问题。

　　面向未来，金融传统的商业“形态”面临难以为继的挑战，特别是对于数据获取和利用方式。解决商业“形态”的关键是技术“状态”的调整，如简单的“以我为主”和“大集中”思维模式，这种“状态”是难以面对个人信息保护时代的基本要求，而分布式、边缘计算、区块链的底层逻辑，应当成为未来技术的基本“状态”，而支撑技术“状态”的关键是思想的“姿态”，包括数据利用要讲究“度”的把握，数据不是“越多越好”，而是“够用就好”，同时，“可用不拥”，“不求所有，但知所在，确保能用”，“数据不动，价值动”等，应当成为金融面向新时代的思想“姿态”。

　　面向未来，技术与思想将呈现一种“相辅相成”的关系，即思想进步，推动技术创新，而技术创新，又进一步助力思想进步。但从根本上看，突破自我的局限是关键，只有这样，能够去探索技术上的“形散神聚”状态，而突破“我”的局限，最终目的和皈依是“为人民服务”，是真正“以客户为中心”，这才是我国金融应有的思想“姿态”。

　　具体而言，金融业面对个人信息保护时代，宏观层面的解决，是积极研究和探索“匿名化”技术，因为，按照《个人信息保护法》的相关规定，经过匿名化处理的个人信息，将不再是个人信息，而属于处理者的信息，这将是金融业的核心财富。就保险而言，这些信息能够满足大数法则的需要，解决风险管理和保险经营“平均数”的需求。同时，为了更好地维护客户利益，特别是强化客户隐私保护，去标识化技术也应当予以高度重视与充分运用。

　　微观层面的解决，是高度关注隐私计算技术，因为，仅仅靠制度和管理，是难以从根本上解决客户数据的有效保护问题，因此，应当通过全面导入隐私计算，包括多方安全计算、可信计算、联邦学习、差分隐私、同态加密等，从根本上，刚性地解决客户信息安全和隐私保护问题。从行业和企业的视角看，特别是中小金融企业，要摒弃“单打独斗”的思维模式，在确认真问题，明确真需求的基础上，以一种更加开放的心态，开放业务场景，积极探索与相关领域的科技企业合作，打造基于个人信息保护的新商业模式。

　　就行业而言，借鉴“关键信息基础设施”的理念，搭建具有行业公信力的隐私计算平台是当务之急。平台建设可以导入“可信执行环境（TEE）”和“联盟链”等技术，同时，为下一步的“数据信托”模式，创造条件，营造环境。边缘计算也是一种解决思路，即数据不动，算法动。在可信计算的基础，探索可信计算的嵌套模式，以满足不同环境和需求。

　　目前，金融行业面临的最大挑战是“短兵相接”，即《个人信息保护法》将于2021年11月1日正式实施，而无论是思想层面，还是技术层面，无论是宏观层面，还是微观层面的准备，均不是短时间内能够完成的，而留给我们的时间不多，而许多金融企业，还仍处于观望的状态。

　　在《个人信息保护法》的推动下，金融的数字化转型，已不再是一道“选择题”，而是“必答题”。金融业要在进一步强化个人信息保护的框架下，划定红线，明确原则，建立覆盖全生命周期的数据治理和安全管理体系，加快技术层面的数字化转型，通过技术数字化，增强数据利用的安全性和合规性，推动经营理念的数字化转型，最终实现商业（逻辑）模式的数字化转型与创新。在这个过程中，比数字化技术能力更重要的是数字化的思维模式，以及企业内部的数字化交流语境，最终，形成一种基于“数商”的企业数字文化。

　　随着《个人信息保护法》的正式颁布，实施已进入倒计时的状态，留给金融企业的准备时间，只有两个多月了，因此，行业需要“紧急总动员”，一方面是要全面和深入地开展行业《个人信息保护法》的学法和普法活动，确保知法、懂法、依法和用法。另一方面是要按照《个人信息保护法》的要求，结合《数据安全法》和《网络安全法》，开展全面的梳理和规范。一是要按照2020年中国人民银行颁布的《个人金融信息保护技术规范》标准，以及《银行业金融机构数据治理指引》（2018）等文件和标准，全面规范和落实相关标准和要求。二是要结合欧盟《通用数据保护条例》（GDPR）的实践情况，导入ISO27701“隐私信息管理体系”的治理框架，全面梳理并规范相关制度。三是要按照《个人信息保护法》的要求，结合企业的实际情况，搭建内部数据治理框架，制定和完善企业《数据合规管理手册》，提升个人信息保护能力，确保要求和举措的有效性和可操作性，确保落地和落实。

　　就金融而言，《个人信息保护法》的影响无疑是重大，且根本，可以说，就金融行业而言，怎么强调《个人信息保护法》的重要性都不过分。更为关键的是要理解并处理好保护与利用的关系，要明白：只有更好地保护，才有更好的利用。所以，金融行业要比其他行业，更重视个人信息保护问题。

　　目前，行业存在的最突出问题是认识不足，根源是学习不到位，因此，行业的当务之急是深入学习，通过深入学习，进一步深刻领会《个人信息保护法》的立法初衷、基本原则、基本要求、基本规则、基本义务和责任。只有学习和认识到位了，才能够转化为自觉行动，打造能力，突破自我，很好地破解“欲罢不能”的问题，不仅要认识到行业的“别无选择”，更要意识到面对“依法治数”时代，对金融业的发展而言，应当是一个“欲罢不能”的机遇期，行业应当在全面提升“数商”和数字化能力的基础上，更好地利用数字化社会带来的机遇，开创一个全面融入数字化的新金融时代。

　　(本文作者介绍：保险学者，中国人保财险执行副总裁。)