多家險企APP因侵犯用戶權益被通報 已有地方監管喊話“加大打擊力度”

中經記者 樊紅敏 北京報道

隨著數字化轉型進程的推進和監管制度的逐步完善，保險業作為數據密集型產業在個人信息保護方面面臨的合規風險愈發凸顯。

近日，上海市通信管理局（以下簡稱“上海通信局”）發布的《關于侵害用戶權益行為APP（SDK）的通報（2025年第十批）》顯示，3家保險機構的8款APP（SDK）上榜，涉及的問題包括“未明示個人信息處理規則”“賬號注銷難”“違規收集個人信息”“未妥善處理用戶投訴”等。

《中國經營報》記者梳理發現，包括此次通報在內，今年以來，上海通信局發布的十批通報中，共有9家保險機構（含保險中介，下同）合計超過20款APP（SDK）“上榜”。其他地方通信管理局的通報中，也不乏保險機構“上榜”。

“近年來，保險業進入數字化轉型的關鍵時期，又適逢《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》等法律規定出臺實施，既需要推進數字化轉型，又亟須提升數據合規水平。保險業作為數據密集型行業，數據規模大、場景多元、價值明顯，屬于個人信息保護合規風險高發的領域，數據合規問題愈發凸顯。”金杜律師事務所合伙人寧宣鳳在接受記者采訪時表示。

數據倫理尚未樹立

上海通信局在通報中同時要求，對相關APP（SDK）存在的問題立即整改，并對該APP（SDK）個人信息和用戶權益保護工作開展全面自評估，并限期將整改報告和自評估報告書面報送上海通信局。

記者進一步梳理發現，此前，上海通信局發布的第七批通告中，共有6家保險機構的合計14款APP（SDK）被點名，涉及的問題為“未明示個人信息處理規則”“未妥善處理用戶投訴”；第六批通報中，一家保險銷售公司因某款APP（SDK）存在“未妥善處理客戶投訴”問題“上榜”；第五批通報中，一家專業養老保險公司因某款APP（SDK）因“自動啟動和關聯啟動行為”問題“上榜”。

不只是上海，其他地方的通報中，同樣也不乏保險機構“上榜”的案例。比如，今年9月，江蘇省通信管理局發布的關于侵害用戶權益行為的APP通報顯示，一家保險代理公司的某款APP因“違規收集個人信息；APP頻繁自動啟動和關聯啟動”問題“上榜”。

又如，同樣在今年9月份，湖南省委網信辦、湖南省通信管理局公開通報41款未按期完成整改移動應用程序，其中包含某保險代理公司運營的某款APP，涉及問題為“未明示收集使用個人信息的目的、方式和范圍；未公開收集使用規則”。

“高頻次、多批次的通報揭示保險業在個人信息保護上存在系統性短板。問題集中于‘規則不透明、收集無邊界、注銷設障礙、投訴無回應’，本質是重營銷輕合規、重技術輕倫理的經營理念偏差。APP和SDK作為數字化觸點，本應提升服務效率，卻淪為過度采集與用戶控制權剝奪的工具，暴露出部分機構將‘數據占有’等同于‘競爭優勢’的短視邏輯。”南開大學金融發展研究院院長田利輝向記者表示。

田利輝認為，保險機構侵犯個人信息權益亂象頻出，背后的根源是激勵機制、能力體系和責任鏈條的三重錯配。具體來看，一是激勵機制錯配，銷售導向下，客戶數據成為業績抓手，合規成本被內部化為次要考量；二是能力體系錯配，大量中小保險及中介機構缺乏專業數據治理團隊，技術防護與制度建設滯后；三是責任鏈條錯配，第三方SDK嵌入后權責不清，機構以“技術中立”推諉主體責任。

“更深層次看，行業長期依賴‘信息不對稱’獲利，轉型陣痛期尚未真正樹立‘以用戶為中心’的數據倫理。”田利輝表示。

實際上，此前，監管方面已經對銀行保險機構在個人信息保護方面整體存在的合規問題進行過系統的調查摸排。據公開報道，2024年3月，國家金融監督管理總局（以下簡稱“金融監管總局”）曾向各監管局及銀保機構下發《關于銀行保險機構侵害個人信息權益亂象專項整治發現主要問題的通報》，其中指出，從目前投訴督查、舉報調查、監管評價等工作中反映的問題來看，銀行保險機構侵害個人信息權益的行為仍時有發生，內部管控還存在短板弱項和風險隱患。

發現的主要問題集中在以下五大方面：一是個人信息收集方面，存在強制同意、擴大授權、籠統授權等問題；二是個人信息存儲和傳輸方面，存在電子數據管理混亂、紙質材料管理不嚴、傳輸方式不安全等問題；三是個人信息查詢和使用方面，存在違規查詢賬戶信息、不當使用客戶信息等問題；四是個人信息提供和刪除方面，存在未經授權對外提供、未及時刪除等問題；五是個人信息第三方合作方面，存在對合作機構管控失效等問題。

事后應對轉向事前合規

個人信息保護是數據治理中的一項重要內容。近年來，國家層面陸續制定了《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》等一系列法律法規相繼出臺并實施，數據安全監管體系日益完善。

金融監管部門也在不斷完善數據治理的監管制度體系。2024年12月，金融監管總局發布《銀行保險機構數據安全管理辦法》明確提出，銀行保險機構應當按照“誰管業務、誰管業務數據、誰管數據安全”的原則，明確各業務領域的數據安全管理責任，落實數據安全保護管理要求。

從監管方面披露的罰單信息來看，近幾年，已有多名保險從業人員因侵犯公民個人信息被處以罰款、禁止從業的嚴厲處罰。

值得一提的是，2024年9月，金融監管總局安徽監管局特別針對保險公司發出《加大保險公司侵犯公民信息行為打擊力度》的風險提示函，強調了保險公司在公民信息保護方面的不足，并提出了具體的改進措施。

各地方通信管理局的系列通報，也是在落實相關政策、行動對個人信息保護要求。

以上海地區為例，在第十批通報中，上海通信局提到，依據《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》《中華人民共和國電信條例》《電信和互聯網用戶個人信息保護規定》等法律法規，根據中央網信辦、工業和信息化部、公安部、市場監管總局等四部門聯合發布的《關于開展2025年個人信息保護系列專項行動的公告》（以下簡稱《2025年專項行動》）要求，對APP（SDK）侵害用戶權益的違規行為持續開展整治。

公開信息顯示，今年3月28日，上述四部門聯合發布《2025年專項行動》表示，2025年，將進一步深入治理常用服務產品和常見生活場景中存在的違法違規收集使用個人信息典型問題，切實維護人民群眾在網絡空間合法權益，著力提升人民群眾滿意度、獲得感。

這是自2019年以來上述四部門再次聯合部署個人信息保護專項行動。2019年，上述四部委發布《關于開展APP違法違規收集使用個人信息專項治理的公告》，開啟APP個人信息治理活動。

寧宣鳳向記者表示，專項行動不斷強化個人信息保護要求，表明個人信息執法已經進入規范化、常態化、精細化的新階段，保險公司個人信息保護必須從事后應對轉向事前合規。

“一旦進入通報、整改流程，企業將陷入非常被動的局面，可能不得不改變業務模式，也可能影響產品、功能等上線時間，而如果在整改過程中仍不能達到合規標準，則將面臨下架等更為嚴厲的處置措施。”寧宣鳳強調。

“結合近期監管的重點正從‘事后處罰’向‘技術抽查、動態監測’轉變這一趨勢來看，各地通信管理部門與金融監管機構正在逐步建立APP備案、SDK備案與數據合規檢測機制，形成常態化監管閉環。未來，保險APP若想長期合規運營，必須在技術架構、數據分類分級、用戶授權管理等環節實現系統性提升。”對外經濟貿易大學中國金融學院副教授施一寧也向記者表示。

田利輝則建議保險業可以從以下三方面著手提升數據治理、個人信息保護水平：一要重構治理架構，設立首席數據官，將個人信息保護納入高管考核；二要強化技術賦能，運用隱私計算、聯邦學習等“可用不可見”技術，在保障安全前提下釋放數據價值；三要壓實全鏈條責任，對第三方合作實行“準入—監控—退出”閉環管理，并建立用戶數據權利響應機制。

（編輯：李暉 審核：何莎莎 校對：翟軍）