河北日报讯（记者李晓）严禁“大数据杀熟”，App不得强制推送个性化广告，不得非法收集、使用、加工、传输他人个人信息，不得因用户不同意提供信息拒绝服务……11月起，《个人信息保护法》正式生效实施，为信息保护加上了一把法律“安全锁”。

规范个人信息

在金融活动中，机构间的个人信息转移较为普遍和频繁，例如保险公司从投保人获取被保险人、受益人个人信息，再保险业务中再保险人从直保公司获取个人信息等。此前，这些信息转移都是金融活动中的正常运营安排，但《个人信息保护法》实施后，需要各方在合作协议和操作流程中厘清自身责任、义务边界，共同落实好相关规定，明确责任边界。

另外，线下业务如何能够符合《个人信息保护法》的要求，对于险企来说也是一个难点，比如保险销售误导可能涉及过度采集个人信息等问题。“建议金融机构建立专业培训机制，一方面提高从业人员对个人信息保护的意识，另一方面建立相应的合规机制，促进线下从业人员遵纪守法，同时充分保证客户的合法权益。”业内人士表示。

落实“知情同意”原则，发挥保险业先发优势

经过分析发现，《个人信息保护法》所确立的知情同意要求与《保险法》项下的保险人明确说明义务有异曲同工之妙。

《个人信息保护法》第十四条规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。第十七条规定，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项。

与之类似，《保险法》第十七条规定，订立保险合同，采用保险人提供的格式条款的，保险人向投保人提供的投保单应当附格式条款，保险人应当向投保人说明合同的内容。对保险合同中免除保险人责任的条款，保险人在订立合同时应当在投保单、保险单或者其他保险凭证上作出足以引起投保人注意的提示，并对该条款的内容以书面或者口头形式向投保人作出明确说明；未作提示或者明确说明的，该条款不产生效力。最高人民法院相关司法解释进一步要求，保险公司的说明义务要达到投保人明确其含义和法律后果的程度。

之前，中国寿险行业为了落实《保险法》所要求的明确说明义务已经发展了一整套完善、复杂、充分的投保说明规则，并且成为监管重点。因此寿险行业可以在此基础上将《个人信息保护法》的告知同意规则融入现有如实告知、明确说明流程中予以落实，从而事半功倍。

此外，近年来在寿险行业的不懈努力下，保险消费者已经对于这种特有的说明、告知、同意流程有了基本的认知和理解，特别是在监管部门强调录音录像等销售可回溯的规则的情况下，流程建设和技术解决能力得到强化，寿险行业可以在此基础上不断优化流程，合并、减少不必要的环节，既能够满足《个人信息保护法》的新要求，又不至于降低客户体验，并提升效率、节约资源投入。

关注营销员个人信息保护问题

《个人信息保护法》规定了不需要取得个人同意，即可以处理个人信息的情形，其中特别规定了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必须”的情形下，不需要取得个人同意。

保险机构与营销员之间是一种独特的法律关系，保险机构对营销员的管理在某些情形下接近人力资源管理，但其所适用的法律关系属于民事代理关系，而非劳动关系。例如在一些情形下，保险机构会采用蓝牙打卡、指纹录入、面部识别等方式记录营销员接受保险公司培训和管理的情形，甚至也会收集代理人的个人健康信息。但这部分收集个人信息的场景和程序，可能没有在现有代理合同中得到体现。相应的管理制度往往由保险公司制定的营销员基本管理办法来确立。

这种管理模式在《个人信息保护法》项下，可能缺乏相应的法律依据，因此亟须对照新的法规要求，落实知情同意等基本管理原则，更新管理流程。同时，银保监会正在大力推动个人保险代理制，这将降低保险代理人和保险机构之间的专属关系，但也将产生新的个人信息处理问题，有必要结合《个人信息保护法》一并加以强化。

违反个人信息保护法，最高罚一百万元

根据《个人信息保护法》的相关规定，履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或主要负责人进行约谈，或要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。