2021年无疑将成为我国个人信息保护的“元年”。《民法典》的实施以及《数据安全法》和《个人信息保护法》的出台，对视数据和计算为“空气”的保险业来说，需要更高的个人信息保护意识、觉悟以及相应的能力以应对由此带来的巨大挑战。

日前，由中国保险学会、北京金融科技研究院指导，仁和研究院主办的“2021隐私计算：保险数字化的重要基石”——保险业个人信息保护闭门会在京举办;会议面向未来、聚焦保险业的隐私保护、隐私计算发展，邀请来自中国保险学会、北京金融科技研究院、中央财经大学、人保健康、国寿财险、太保集团以及中兴通讯、中国电信等20多家单位领导及专家进行了主旨发言和圆桌讨论，共商数据治理、创新破难之策。

尽管在个人信息保护问题上仍充满“争议”，但全球已有120国家和地区颁布了相关法律。中国保监会原副主席魏迎宁在主旨发言中表示，个人信息保护对保险业而言，首先是个新课题，也是个重要的课题;原来行业研究不够，需要重视、加强研究。他认为，金融、保险机构都掌握一些非常重要的个人信息，《个人信息保护法》中的主要规定是针对于个人信息处理者，监管严、行政处罚力度比较大;一旦生效，违反这些规定，保险企业、机构可能就面临比较重的行政处罚。魏迎宁强调，这关系到保险业的未来发展和社会形象，应该引起高度关注。“要充分发挥保险业的技术优势，我们有信心能够解决这个问题。”

中国保险学会会长董波希望能立足市场，探讨出指导行业“依法治数”发展的建设性意见。

“依法治数”时代　行业面临 “措手不及”和“难以招架”

在数字时代，我们的个人信息被广泛记录和存储是一个基本趋势。但在我国互联网经济的发展过程中，特别是针对个人的各种终端服务模式中，均是以“无条件”和“无意识”地提供个人信息为代价，即没有“明确告知和同意”，更缺乏“最小化”的约束;用户的个人信息，也包括涉及隐私信息被大量获取和滥用，已经严重损害了消费者利益。

“隐私是人类文明的底线，需要集体守护。”中国精算师协会副会长、仁和研究院院长王和表示，国际社会广泛关注和高度重视隐私和个人信息保护问题。1980年经合组织(OECD)就制定了《隐私保护及个人数据跨境流通指南》，确立了目的特定、知情同意和最小化原则。之后的标志性事件是2018年欧盟《一般数据保护条例》(GDPR)颁布实施，明确规定“删除权”、提出了“遗忘权”的概念。早于2016年GDPR在其《个人数据可携权指南》中还明确了个人“数据可携权”。

从1997年《刑法》、2009年的《刑法修正案(七)》， 2015年《刑法修正案(九)》到2017年两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，我国涉及个人信息保护的相关法律逐渐完善。王和介绍，2020年2月13日，中国人民银行正式发布新版《个人金融信息保护技术规范》，规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。

今年年初实施的《民法典》确立的现代人格权，为隐私和个人信息保护提供了法理基础。王和认为，在2021年4月26日提交“二审稿”的《个人信息保护法》无疑是我国个人信息保护领域最基础和最重要的法律，它的出台将形成一个系统的保护体系，其要求“数据可用不可见，数据不动价值动”，全面开启了“依法治数”的新时代。

对于保险业而言，《个人信息保护法》的相关规定，对保险业的经营理念、管理模式和信息技术带来巨大和根本性的冲击。王和称，面临如何依法合规地获取、使用和管理数据，可能会让业内大多数人 “措手不及”、难以招架。

国寿财险金融科技中心综合管理部总经理丁锐举例，财险公司和外部4S店、修理厂等很多企业都有数据连接，保险公司能做到信息的不泄露，但4S店和汽车修理厂数据防护能力差，会因为数据在流动中造成泄露，这是一个全链路管理。

整个行业需要一次“脱胎换骨”的改变和适应，关键是解决认识和觉悟问题，即对客户 “数权”的尊重和切实保护。保险公司要充分理解“个人信息处理者”的角色内涵与责任机理，同时，理解对“敏感个人信息”处理的特别要求，创造性地解决好利用与保护的矛盾。王和强调，二是要解决制度建设问题，没有规矩，不成方圆;第三，最重要的是“以技制数”，即通过利用隐私计算等技术，从根本上解决刚性保护问题。

面向未来　隐私计算将成为保险业的“标配”

保险属于典型的“数字密集型产业”，“大数法则”决定了保险的数字属性与生俱来，保险经营的过程可以说就是数据处理(精算)的过程，二者“密不可分”。无论是风险分析，还是损失补偿，保险经营管理与隐私和个人信息都有高度的依赖性和相关性。

大多数保险计算均涉及隐私范畴，其中包括：1.医疗保险。涉及大量个人基本信息和健康信息，包括疾病和用药信息。2.养老保险。涉及大量个人基本信息和家庭信息。3.护理保险。涉及大量个人基本信息和健康信息，包括家庭信息。4.汽车保险。涉及个人基础信息和家庭财产信息，包括个人驾驶行为和性格信息。5.家庭财产保险。涉及个人和家庭财产相关信息。6.信用保险。涉及个人基本信息和财富信息，包括个人的风险偏好和信用记录等信息。

保险业不存在“非隐私计算”的计算，面向未来，隐私计算将成为保险业的“标配”。王和认为：制度、管理、处罚能解决问题，但最终的依靠还是技术。

隐私计算是面向隐私信息全生命周期保护的计算理论和方法，具体是指在处理视频、音频、图像、图形、文字、数值、泛在网络行为信息流等信息时，对所涉及的隐私信息进行描述、度量、评价和融合等操作，形成一套符号化、公式化且具有量化评价标准的隐私计算理论、算法及应用技术，支持多系统融合的隐私信息保护。

北京金融科技研究院常务副院长张世强表示，隐私计算技术对保险行业意义非凡。某种程度上可以解决保险业使用数据的难题，即“可用不可见”。科技赋能保险业发展潜力巨大，是我国金融改革发展、经济转型升级的发力点之一。

中国电信翼支付隐私计算研发部负责人章庆表示，近年来，随着数据安全事件频发，一方面各国加紧了对数据保护相关法律法规制订，并逐渐趋于完善;另一方面数据安全隐私的监管执行也日益严格。在这个背景下，隐私计算作为数据协同解决数据合规和安全流通的工具就备受重视。他看好“区块链+隐私计算”的融合，双方有着天然的互补优势。中国电信金融行业事业部副总经理叶绍颋介绍，近期中国电信与央行某分支机构一起，联合当地十几家商业银行正在搭建反洗钱、反诈骗系统。本系统核心正是应用了隐私计算技术及区块链技术。

当务之急，保险业要关注三大“关键词”

王和提出，行业要有危机感和“时不我待”的紧迫感，更重要的是：尽快并有针对性地开展相关工作，包括全面普法教育、重新梳理业务流程和制度、重构相应的技术框架和能力。

中兴通讯数据保护合规部部长高瑞鑫以“企业隐私合规与GDPR典型执法案例解读”为主题介绍了公司三年来执行GDPR的经验为中国保险业提供借鉴。他提出：首先要研究风险，感知形势。中兴通讯编辑了《GDPR执法案例精选白皮书》，其把相关场景、违规项提炼出来，可以从法条合规到实证合规;把提炼案例中的禁止项，变成企业经营中的红线。二是立足行业认识风险。在行业中，如果同行都做全面的风险防控，你没有做或者做的不够，将是非常被动的。三是跟踪风险，关注高危。四是践行隐私合规要从源头进行管控。以中兴通讯的GoldenDB分布式数据库为例，在立项、测试、和发布的流程中，就导入了隐私保护和数据保护的要求，将公司统一的隐私保护设计嵌入到产品研发中，从源头去管控。另外，通过第三方认证可赢得客户、供应商和最终用户、社会公众的信任。

“过多地采集个人数据，对下一步应用也会带来巨大的风险。从数据采集这个源头开始，就做到最小化采集，“非必要不采集”。国寿财险金融科技中心综合管理部总经理丁锐强调，同时对数据要进行分级分类管理，个人数据包含基本信息、个人隐私信息，要有不同保护定义与防护标准。对数据在流动中造成泄露的问题，要按数据要素及分级分类管理标准防护，更有利于规范管理和责任。

横琴人寿首席数据官曲洪涛表示，隐私计算，看似是一种技术。但代表了在今天越发重视合规、隐私的社会背景下，对商业效率的追求提出了更高的约束。从技术角度讲，隐私计算是能够做到数据所有权、使用权完成归属于客户，金融机构只保留对模型、算法的所有权以及指定场景的使用权。但是从真实商业环境讲，对于商业主体、监管机构、法规、包括商业模式的探索，还是有很多的挑战需要应对。

保险业需要以一种开放和与时俱进的心态，思考技术资源和能力建设问题。王和认为，一方面保险公司要全面提升自身的相应能力，另一方面不可能仅凭一己之力，就能够满足所有需求，尤其是中小保险公司。因此，保险行业需要不仅是数据层面、更有技术层面，全面加强与相关科技企业的合作。

当务之急，保险业要关注三大“关键词”：领导重视、时不我待和内外兼修。王和强调，同时强化隐私计算技术能力建设，切实并尽快地适应《个人信息保护法》时代的要求。

关键词： 保险业 个人信息保护 个人信息 隐私计算