数字化转型已成为中国保险业转型升级的动力。作为数字化转型的组成部分,大数据已广泛运用于保险业的营销、风控、理赔等方面,显著提升了保险业经营效率。然而,在大数据的获取、应用以及数据安全方面,保险消费者的权益保护问题也值得重视。考虑到数字化时代保护保险消费者存在固有困难,监管方面可能需要采取更多措施。
第一,保险企业过度收集保险消费者信息,侵犯保险消费者隐私。根据《个人信息保护法》,保险企业在收集消费者信息时应按照“知情-同意”原则,仅收集“最小够用”范围内的数据。事实上,此类规定并非中国独有,欧盟《通用数据保护条款》也做出类似的规定。根据2022年复旦大学大数据研究院大数据内生安全研究所与网络与数字安全保险研究所联合发布的《保险APP用户隐私与个人信息保护的若干隐患》,保险企业APP存在过度收集消费者信息的问题。监管层显然已注意到此问题,2022年银保监会办公厅下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,拉开了银行保险行业全面开展《个人信息保护法》履行情况的检查序幕。过度收集信息会对消费者造成不利影响,个人信息可能被泄露,并被用于商业活动。例如,消费者个人信息可能被互联网电商平台用以精准定价,即“大数据杀熟”。更严重的是,不法分子可能利用消费者个人信息进行诈骗。
第二,保险企业可能利用大数据在保费定价和核保时不公平对待消费者。定价方面,保险企业有动机利用大数据根据消费者的支付意愿而非风险厘定保险费率。这在费率允许自由浮动的保险市场已经成为现实。例如,英国金融监管局2019年发布的《财产保险定价实践-中期报告》指出,英国部分财产险定价采用了大量与风险无直接关系的变量,例如消费者的购物和媒体使用习惯,而英国保险消费者对此并不知情。在中国,关于退货险“杀熟”的讨论也屡见不鲜。很显然,保险企业并未按照风险加成的方式定价,而是以最大程度攫取消费者剩余为目的定价。在风控方面,保险企业采用大数据核保也可能对部分消费者造成不利影响。极端情况下,当风险分层精细到个人层面后,每个人仅仅为自己的风险买单。而某些高风险的人可能因为保费过高难以支付保费,保险便失去“共济”功能。
第三,保险业可能存在数据安全问题。大量中小保险企业依赖第三方服务商提供的大数据服务,消费者个人数据在保险企业和第三方服务商之间传输时可能泄露,且并非所有保险企业都对消费者数据进行了脱敏处理。此外,第三方服务商的操作故障也会导致数据泄露。由于某些第三方服务市场高度集中,因此造成的损失进一步加剧。以中国金融云服务为例,据IDC称,几乎所有中国金融机构在某种程度上都依赖第三方云服务。但是,中国的云服务供应商高度集中。2021年,平台即服务(PaaS)市场价值3.3亿美金,由五家云服务提供商垄断,App即服务(SaaS)市场中一家企业占据了70%的份额。极端情况下,一个关键云服务提供商的故障可能导致大量消费者数据泄露。
数字化时代保护保险消费者权益存在固有困难。首先,在大数据获取方面,保险企业APP所收集的信息列于用户协议中,然而用户协议过于冗长,消费者现实中一般并不通读而直接同意,这便形成了灰色地带。其次,大数据运用方面,在人工智能算法的加持下,单纯禁止某些变量无法达到消费者保护的诉求,这是因为被禁止的变量可能与合规变量之间具有相关关系,而人工智能算法能够帮助保险企业发现这种关系,即代理歧视(proxy discrimination),且保险企业很容易找到与被禁止变量有稳定关系的新变量。最后,在数据安全方面,由于成本限制,大部分保险企业仍然只能依靠第三方提供的大数据服务,“外包”仍将是商业竞争下的最优选择。
从保险业发展的角度来看,监管仍应鼓励保险业通过合法手段运用大数据,并鼓励竞争,这最终将有利于消费者。而在数字化时代保护保险消费者合法权益,需要更多措施。在数据收集阶段,应严格实行《银行保险机构消费者权益保护管理办法》,并出台保险业APP收集用户信息范围的行业自律性准则,将保险中介的信息收集纳入监管范围。在大数据运用方面,为严格遵守《个人信息保护法》中关于自动化决策的透明和公正要求,可鼓励保险企业更加透明地公布用以定价和核保的变量,例如在保险投保界面以醒目形式标出,并出台行业自律性准则。在数据安全方面,应严格实行《银行保险机构信息技术外包风险管理办法》,要求保险企业应将外包风险管理纳入其综合风险管理框架中,禁止保险企业外包核心业务,并鼓励保险企业和第三方服务商使用联邦学习和差分隐私技术等先进技术,以确保数据在不同机构之间安全地交换。2023年3月1日,《银行保险机构消费者权益保护管理办法》开始施行,该办法为各方提供了法律指引。数字化时代的保险消费者保护工作,方兴未艾。
转载自《中国银行保险报》“北大保险评论”栏目第805期,2023年3月31日