中國精算師協會副會長王和：個人信息保護金融保險面臨哪些挑戰？

原標題：中國精算師協會副會長王和：個人信息保護金融保險面臨哪些挑戰？|南財保險高端對話

記者：李致鴻

我國《個人信息保護法》的頒佈，無疑是我國數字經濟發展的一個“里程碑”，確立了數字社會的基本原則和規則，同時，也將成爲我國金融發展歷史上的一個“里程碑”，明確了金融數字化發展應當遵循的基本準則和行爲規範。

對此，中國精算師協會副會長、仁和研究院院長王和在接受21世紀經濟報道記者專訪時指出，金融業要有足夠的認識，足夠的重視和足夠的覺悟，因爲，面對個人信息保護，金融業是“欲罷不能”。

金融保險業離不開“個人信息”

在王和眼中，面對個人信息保護時代，金融面臨“欲罷不能”的挑戰。

“欲罷不能”一層的意思是：金融保險業離不開“個人信息”，因爲，“個人信息”是金融業存在的基礎；另一層的意思是：《個人信息保護法》的出臺，將爲金融業開啓一個規範發展的新時代，也是一個持續健康發展的時代，金融業要把握機遇，實現跨越式發展。

總之，面對“個人信息保護”這一新課題，金融業沒有退路，更不需要退路，而應當是與時俱進，把握機遇，乘勢而爲，突破自我，追求在創新發展的道路上“欲罷不能”。

王和進一步表示，首先，要認識到：金融，屬於天然的“個人信息”行業。金融的資金融通，是建立在風險認知基礎上的，對於信息，特別是個人信息的“觸碰”是金融行業存在的基礎邏輯和必要前提。但《個人信息保護法》對個人信息保護和利用，制定了一系列嚴格的規則，作爲“個人信息處理者”的金融企業，將面臨“高標準，嚴要求”的挑戰，傳統的經營理念、技術和模式是“難以爲繼”的。因此，如果沿用傳統理念、技術和方法，要適應《個人信息保護法》的要求，基本結論必然是：做不到。但金融業需要清醒地認識到個人信息保護是時代潮流，是人心所向，是大勢所趨，金融業沒有選擇，只有轉變觀念，提升能力，擁抱個人信息保護新時代，按照新要求，打造新能力，實現新發展。

其次，與其他金融業態不同，保險，屬於典型的“個人信息”行業，即保險業對於個人信息的依賴程度更深更廣。一是大數法則決定了保險存在的前提和基礎是“個人”的集合，而且是“大數”的集合；二是風險的一個重要特徵是基於信息不對稱，因此，在保險的經營管理過程中，勢必要更多地獲取信息，以破解信息不對稱問題，實現有效的風險管理。從這個視角看，保險與“個人信息”是密不可分的，是“欲罷不能”的。因爲，與其他行業不同，其他行業對個人信息的利用，更多是着眼於創新發展，而保險對個人信息的利用是“基因”決定的，是“生存必需”，因此，沒有選擇的餘地，只能直面問題，解決問題。

第三，用發展的眼光看，保險的“正外部性”特徵，使得保險能夠在現代社會風險治理體系和能力現代化的過程中發揮更大的作用。近年來，通過“保險+”的模式創新，保險已經越來越多地扮演“社會風險管理者”的角色，發揮着獨特，且卓有成效的作用。而這些作用的發揮，都離不開對個人信息的“觸碰”。

例如，在汽車保險中，全面導入基於智能網聯車技術，開展了“按使用付費（UBI）”的產品創新，這種保險產品，不僅能夠使汽車保險的定價更加科學，還能夠幫助駕駛人員糾正不良的駕駛習慣，確保行車安全，給社會的道路安全帶來積極的影響。而作爲前提，保險公司需要獲得更多基於駕駛人員個人駕駛行爲的信息。

再如，在健康保險中，保險公司可以利用個人體檢報告信息，結合穿戴式設備信息，動態分析和監控客戶的健康狀況，並及時給予專業化的指導意見，以改善不良的生活習慣，及時發現健康隱患，及時進行就醫和治療，爲客戶提供有價值的保險服務，讓客戶的生活更健康。

保險公司在開展這些產品和服務創新過程中，勢必涉及大量的客戶個人信息，包括“生物識別信息”，其中許多都是“個人敏感信息”，因此，如何按照《個人信息保護法》的要求，處理和管理這些信息，是保險公司在未來必須面對和解決的問題。

堅持並確保“技術向善和向上”

王和認爲，面對“欲罷不能”的挑戰，金融業需要一種全面和系統反省，即過去那些相對粗放，乃至違規的客戶信息獲取和利用模式，是對數字經濟環境的破壞，是難以持續的。

就數字經濟發展而言，只有保護好數字經濟環境的“綠水青山”，才能夠有數字經濟發展的“金山銀山”，對此，需要一種基於行業集體共識的覺醒和覺悟。首先，要認識、理解並敬畏“數權”，“數權”即公民基於個人信息的權益，應當得到充分的尊重和保護。其次，要覺悟、涵養並強化“數商”。“數商”，是指基於“數權”的智慧，是“數權”的商數。金融企業的“數商”，集中體現爲在理解“數權”和《個人信息保護法》的基礎上，確保對個人信息的“取之有道”和“用之有道”，秉持並堅守技術倫理和道德，堅持並確保技術向善和向上。

王和強調，《個人信息保護法》的頒佈與實施，從某種意義上講，是需要金融行業“重新做一遍”，因爲，一直以來，人們“司空見慣”、“不以爲然”和“屢見不鮮”，甚至認爲是“天經地義”的事，都可能面臨“不合法”的挑戰，所以，作爲前提，需要金融行業“重新想一遍”，即重新想想：什麼是“信息”，什麼是“個人信息”，什麼是“個人信息權益”，就“個人信息權益”而言，要認識和理解：什麼是知情權、決定權、限制權、拒絕權、查閱複製權、可攜權、更正補充權、刪除遺忘權等。

在《個人信息保護法》的框架下，金融企業作爲“個人信息處理者”，應當遵循的原則是什麼，責任和義務又是什麼，包括什麼是“最小必要”原則，什麼是“知情同意”原則等。此外，爲什麼要對“自動化決策”提出專門和特別要求，以及一直以來人們熟悉的 “算法”、“人工智能”和“KYC（客戶畫像）”這些概念，也需要重新認識。從根本上講，金融行業需要在《個人信息保護法》框架下，開啓的個人信息保護的新時代，重新思考金融的基礎要素和底層邏輯等一系列問題。

面向未來，金融傳統的商業“形態”面臨難以爲繼的挑戰，特別是對於數據獲取和利用方式。解決商業“形態”的關鍵是技術“狀態”的調整，如簡單的“以我爲主”和“大集中”思維模式，這種“狀態”是難以適應個人信息保護時代的基本要求，而分佈式、邊緣計算、區塊鏈的底層邏輯，應當成爲未來技術的基本“狀態”，而支撐技術“狀態”的關鍵是思想的“姿態”，包括數據利用要講究“度”的把握，數據不是“越多越好”，而是“夠用就好”，同時，“可用不擁”，“不求所有，但知所在，確保能用”，“數據不動，價值動”等，應當成爲金融面向新時代的思想“姿態”。

面向未來，技術與思想將呈現一種“相輔相成”的關係，即思想進步，推動技術創新，而技術創新，又進一步助力思想進步。但從根本上看，突破自我的侷限是關鍵，只有這樣，能夠探索技術上的“形散神聚”狀態，而突破“我”的侷限，才能真正實現“以客戶爲中心”。

具體而言，金融業面對個人信息保護時代，宏觀層面的解決，是積極研究和探索“匿名化”技術，因爲按照《個人信息保護法》的相關規定，經過匿名化處理的個人信息，將不再是個人信息，而屬於處理者的信息，這將是金融業的核心財富。就保險而言，這些信息能夠滿足大數法則的需要，解決風險管理和保險經營“平均數”的需求。爲了更好地維護客戶利益，特別是強化客戶隱私保護，去標識化技術也應當予以高度重視與充分運用。

微觀層面的解決，是高度關注隱私計算技術，因爲僅僅靠制度和管理，是難以從根本上解決客戶數據的有效保護問題，因此應當通過全面導入隱私計算，包括多方安全計算、可信計算、聯邦學習、差分隱私、同態加密等，從根本上剛性地解決客戶信息安全和隱私保護問題。

從行業和企業的視角看，特別是中小金融企業，要摒棄“單打獨鬥”的思維模式，在確認真問題，明確真需求的基礎上，以一種更加開放的心態，開放業務場景，積極探索與隱私計算相關領域的科技企業合作，打造基於個人信息保護的新商業模式。

就行業而言，借鑑“關鍵信息基礎設施”的理念，搭建具有行業公信力的隱私計算平臺是當務之急。平臺建設可以導入“可信環境”和“聯盟鏈”等技術，同時，爲下一步的“數據信託”模式，創造條件，營造環境。邊緣計算也是一種解決思路，即數據不動，算法動。在可信計算的基礎，探索可信計算的嵌套模式，以滿足不同環境和需求。

目前，金融行業面臨的最大挑戰是“短兵相接”，即《個人信息保護法》將於2021年11月1日正式實施，而無論是思想層面，還是技術層面，無論是宏觀層面，還是微觀層面的準備，均不是短時間內能夠完成的，而留給我們的時間不多，但許多金融企業，還仍處於觀望的狀態。

全面融入數字化的新金融時代

王和坦言，在《個人信息保護法》的推動下，金融的數字化轉型，已不再是一道“選擇題”，而是“必答題”。金融業要在進一步強化個人信息保護的框架下，劃定紅線，明確原則，建立覆蓋全生命週期的數據治理和安全管理體系，加快技術層面的數字化轉型，通過技術數字化，增強數據利用的安全性和合規性，推動經營理念的數字化轉型，最終實現商業（邏輯）模式的數字化轉型與創新。在這個過程中，比數字化技術能力更重要的是數字化的思維模式，以及企業內部的數字化交流語境，最終形成一種基於“數商”的企業數字文化。

隨着《個人信息保護法》的正式頒佈，實施已進入倒計時的狀態，留給金融企業的準備時間，只有兩個多月了，因此行業需要“緊急總動員”，一方面是要全面和深入地開展行業《個人信息保護法》的學法和普法活動，確保知法、懂法、依法和用法。另一方面是要按照《個人信息保護法》的要求，結合《數據安全法》和《網絡安全法》，開展全面的梳理和規範。一是要按照2020年中國人民銀行頒佈的《個人金融信息保護技術規範》標準，以及《銀行業金融機構數據治理指引》（2018）等文件和標準，全面規範和落實相關標準和要求。二是要結合歐盟《通用數據保護條例》（GDPR）的實踐情況，導入ISO27701“隱私信息管理體系”的治理框架，全面梳理、規範和完善相關制度。三是要按照《個人信息保護法》的要求，結合企業的實際情況，搭建內部數據治理框架，制定和完善企業《數據合規管理手冊》，提升個人信息保護能力，確保要求和舉措的有效性和可操作性，確保落地和落實。

就金融而言，《個人信息保護法》的影響無疑是重大且根本，可以說，就金融行業而言，怎麼強調《個人信息保護法》的重要性都不過分。更爲關鍵的是要理解並處理好保護與利用的關係，要明白：只有更好地保護，纔有更好的利用，創新、持續和健康發展纔有保障。所以，金融行業要比其他行業，更重視個人信息保護問題。

王和指出，目前，行業存在的最突出問題是認識和重視不足，根源是學習不到位，因此，行業的當務之急是深入學習，通過深入學習，進一步深刻領會《個人信息保護法》的立法初衷、基本原則、基本要求、基本規則、基本義務和責任。只有學習和認識到位了，才能夠轉化爲自覺行動，打造能力，突破自我，很好地破解“欲罷不能”的問題，不僅要認識到行業的“別無選擇”，更要意識到面對“依法治數”時代，對金融業的創新和規範發展而言，應當是一個“欲罷不能”的機遇期，行業應當在全面提升“數商”和數字化能力的基礎上，開創一個全面融入數字化的新金融時代。