中经记者 樊红敏 北京报道

随着数字化转型进程的推进和监管制度的逐步完善，保险业作为数据密集型产业在个人信息保护方面面临的合规风险愈发凸显。

近日，上海市通信管理局（以下简称“上海通信局”）发布的《关于侵害用户权益行为APP（SDK）的通报（2025年第十批）》显示，3家保险机构的8款APP（SDK）上榜，涉及的问题包括“未明示个人信息处理规则”“账号注销难”“违规收集个人信息”“未妥善处理用户投诉”等。

《中国经营报》记者梳理发现，包括此次通报在内，今年以来，上海通信局发布的十批通报中，共有9家保险机构（含保险中介，下同）合计超过20款APP（SDK）“上榜”。其他地方通信管理局的通报中，也不乏保险机构“上榜”。

“近年来，保险业进入数字化转型的关键时期，又适逢《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等法律规定出台实施，既需要推进数字化转型，又亟须提升数据合规水平。保险业作为数据密集型行业，数据规模大、场景多元、价值明显，属于个人信息保护合规风险高发的领域，数据合规问题愈发凸显。”金杜律师事务所合伙人宁宣凤在接受记者采访时表示。

数据伦理尚未树立

上海通信局在通报中同时要求，对相关APP（SDK）存在的问题立即整改，并对该APP（SDK）个人信息和用户权益保护工作开展全面自评估，并限期将整改报告和自评估报告书面报送上海通信局。

记者进一步梳理发现，此前，上海通信局发布的第七批通告中，共有6家保险机构的合计14款APP（SDK）被点名，涉及的问题为“未明示个人信息处理规则”“未妥善处理用户投诉”；第六批通报中，一家保险销售公司因某款APP（SDK）存在“未妥善处理客户投诉”问题“上榜”；第五批通报中，一家专业养老保险公司因某款APP（SDK）因“自动启动和关联启动行为”问题“上榜”。

不只是上海，其他地方的通报中，同样也不乏保险机构“上榜”的案例。比如，今年9月，江苏省通信管理局发布的关于侵害用户权益行为的APP通报显示，一家保险代理公司的某款APP因“违规收集个人信息；APP频繁自动启动和关联启动”问题“上榜”。

又如，同样在今年9月份，湖南省委网信办、湖南省通信管理局公开通报41款未按期完成整改移动应用程序，其中包含某保险代理公司运营的某款APP，涉及问题为“未明示收集使用个人信息的目的、方式和范围；未公开收集使用规则”。

“高频次、多批次的通报揭示保险业在个人信息保护上存在系统性短板。问题集中于‘规则不透明、收集无边界、注销设障碍、投诉无回应’，本质是重营销轻合规、重技术轻伦理的经营理念偏差。APP和SDK作为数字化触点，本应提升服务效率，却沦为过度采集与用户控制权剥夺的工具，暴露出部分机构将‘数据占有’等同于‘竞争优势’的短视逻辑。”南开大学金融发展研究院院长田利辉向记者表示。

田利辉认为，保险机构侵犯个人信息权益乱象频出，背后的根源是激励机制、能力体系和责任链条的三重错配。具体来看，一是激励机制错配，销售导向下，客户数据成为业绩抓手，合规成本被内部化为次要考量；二是能力体系错配，大量中小保险及中介机构缺乏专业数据治理团队，技术防护与制度建设滞后；三是责任链条错配，第三方SDK嵌入后权责不清，机构以“技术中立”推诿主体责任。

“更深层次看，行业长期依赖‘信息不对称’获利，转型阵痛期尚未真正树立‘以用户为中心’的数据伦理。”田利辉表示。

实际上，此前，监管方面已经对银行保险机构在个人信息保护方面整体存在的合规问题进行过系统的调查摸排。据公开报道，2024年3月，国家金融监督管理总局（以下简称“金融监管总局”）曾向各监管局及银保机构下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》，其中指出，从目前投诉督查、举报调查、监管评价等工作中反映的问题来看，银行保险机构侵害个人信息权益的行为仍时有发生，内部管控还存在短板弱项和风险隐患。

发现的主要问题集中在以下五大方面：一是个人信息收集方面，存在强制同意、扩大授权、笼统授权等问题；二是个人信息存储和传输方面，存在电子数据管理混乱、纸质材料管理不严、传输方式不安全等问题；三是个人信息查询和使用方面，存在违规查询账户信息、不当使用客户信息等问题；四是个人信息提供和删除方面，存在未经授权对外提供、未及时删除等问题；五是个人信息第三方合作方面，存在对合作机构管控失效等问题。

事后应对转向事前合规

个人信息保护是数据治理中的一项重要内容。近年来，国家层面陆续制定了《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等一系列法律法规相继出台并实施，数据安全监管体系日益完善。

金融监管部门也在不断完善数据治理的监管制度体系。2024年12月，金融监管总局发布《银行保险机构数据安全管理办法》明确提出，银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任，落实数据安全保护管理要求。

从监管方面披露的罚单信息来看，近几年，已有多名保险从业人员因侵犯公民个人信息被处以罚款、禁止从业的严厉处罚。

值得一提的是，2024年9月，金融监管总局安徽监管局特别针对保险公司发出《加大保险公司侵犯公民信息行为打击力度》的风险提示函，强调了保险公司在公民信息保护方面的不足，并提出了具体的改进措施。

各地方通信管理局的系列通报，也是在落实相关政策、行动对个人信息保护要求。

以上海地区为例，在第十批通报中，上海通信局提到，依据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国电信条例》《电信和互联网用户个人信息保护规定》等法律法规，根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》（以下简称《2025年专项行动》）要求，对APP（SDK）侵害用户权益的违规行为持续开展整治。

公开信息显示，今年3月28日，上述四部门联合发布《2025年专项行动》表示，2025年，将进一步深入治理常用服务产品和常见生活场景中存在的违法违规收集使用个人信息典型问题，切实维护人民群众在网络空间合法权益，着力提升人民群众满意度、获得感。

这是自2019年以来上述四部门再次联合部署个人信息保护专项行动。2019年，上述四部委发布《关于开展APP违法违规收集使用个人信息专项治理的公告》，开启APP个人信息治理活动。

宁宣凤向记者表示，专项行动不断强化个人信息保护要求，表明个人信息执法已经进入规范化、常态化、精细化的新阶段，保险公司个人信息保护必须从事后应对转向事前合规。

“一旦进入通报、整改流程，企业将陷入非常被动的局面，可能不得不改变业务模式，也可能影响产品、功能等上线时间，而如果在整改过程中仍不能达到合规标准，则将面临下架等更为严厉的处置措施。”宁宣凤强调。

“结合近期监管的重点正从‘事后处罚’向‘技术抽查、动态监测’转变这一趋势来看，各地通信管理部门与金融监管机构正在逐步建立APP备案、SDK备案与数据合规检测机制，形成常态化监管闭环。未来，保险APP若想长期合规运营，必须在技术架构、数据分类分级、用户授权管理等环节实现系统性提升。”对外经济贸易大学中国金融学院副教授施一宁也向记者表示。

田利辉则建议保险业可以从以下三方面着手提升数据治理、个人信息保护水平：一要重构治理架构，设立首席数据官，将个人信息保护纳入高管考核；二要强化技术赋能，运用隐私计算、联邦学习等“可用不可见”技术，在保障安全前提下释放数据价值；三要压实全链条责任，对第三方合作实行“准入—监控—退出”闭环管理，并建立用户数据权利响应机制。

（编辑：李晖 审核：何莎莎 校对：翟军）