互联网保险冲击旧监管体系,各国应对策略比拼

2016-11-28 13:19
作者:何大勇 胡莹
来源:

随着互联网、大数据、云计算等新兴技术的更新迭代,互联网保险方兴未艾,这对旧有的监管体系造成的冲击是显而易见的,尤其是在地域监管、产品及销售信息披露、数据安全及隐私保护三个方面。

如何应对这种日新月异的变化?不同国家的监管机构给出了不同的答案,有的谨慎,有的宽松。

无论如何,金融出了问题将带来毁灭性的后果,由于金融过度创新导致的2008年的世界金融危机至今仍在隐隐作痛,人们必须从中吸取教训,有效平衡金融创新与监管之间的关系,在互联网保险领域也是如此。

不同国家互联网保险监管模式比较:谨慎VS宽松

从世界各国看,互联网保险仍属于新兴业态,各国的发展进程不一,许多国家尚未形成单独的互联网保险监管模式。但从目前部分国家已有的监管实践来看,按监管模式的严格程度主要可分为两种模式:

1、谨慎

谨慎模式下的监管表现为对网上销售保险产品的各方面进行了明文而严格的规定,只能销售小部分经过监管批准、相对简单的保险产品。

香港为例,整体上线下销售保险产品仍是主流,线上渠道仅是补充。原因在于针对香港市场占主流的储蓄型保险产品的承保政策严格,利用纯线上渠道完成闭环操作存在障碍。

如要求消费者确认他们已得到专业的相关咨询并充分了解产品的特点和风险,或是需视需要提交病历和参与体检,这些都不易于在线上开展并确保完成合规的要求。因此,严格的承保政策客观上限制了互联网保险的发展。

台湾和印度为例,企业只能在线上渠道销售经过监管明确批准的险种。例如,台湾可在线上销售的寿险产品局限在旅行保险、意外险、定期寿险等,而财险产品则局限在车险、火险、旅游责任险、家庭财产险。印度可在线上销售的产品为消费者易于理解的健康险、车险、旅行保险、寿险产品等。

2、宽松

宽松模式下的监管表现为并不单独针对网上销售保险产品而制定监管规定,主要遵循一致性原则将互联网保险视同一般性保险机构来开展监管。但可能会因为所在国家存在对个人用户数据安全及隐私的监管,导致对数据应用依赖更强的互联网保险受到额外的个人信息保护监管。

欧盟国家,虽然并非针对互联网保险,但是陆续通过的《一般数据保护条例》和《保险销售指令》都对互联网保险业务产生了一定影响。

而以韩国为例,韩国也未出台单独的互联网保险管理条例,但是国家针对个人数据安全及隐私却有着非常严格的监管。韩国设有个人信息保护法和IT网络法,对在线上开展业务的企业收集和使用用户数据的行为进行严格的监管。

韩国是亚洲国家中第一个推出基于营业收入计算信息泄露罚款金额的国家,2014年底已将最高罚款比例上升至相关销售金额的3%。此外,韩国已在研究推出“被遗忘权”,保障用户希望不留下互联网个人信息的权利。

整体来看,虽然欧盟、韩国等尚未出台专门的互联网保险法规,但上述一般性法规也会对互联网保险业务的开展造成影响,客观上形成了监管。

互联网保险从地域监管、数据安全和信息披露三方面挑战监管

从各国互联网保险监管的发展历程来看,各国普遍遵循一致性原则,要求互联网保险机构和相关行为仍需遵守各国现有的监管框架,对传统保险和互联网保险从市场准入、偿付能力、保险消费者权益保护等角度进行一致的监管。

但同时,互联网保险在地域监管、数据安全和信息披露三方面挑战着传统的监管体系,促使监管机构思考如何在鼓励创新和加强监管两面找到平衡。

地域监管

互联网保险的发展为跨区经营提供了新的发展契机,挑战了传统的地域监管框架。传统上,保险企业需要在各区域建立保险机构和团队,遵循各地的监管规则,以确保为当地客户提供良好的销售、承保和理赔等客户服务。

但随着互联网保险的发展,保险企业的业务架设于互联网平台之上,天然不受到区域的限制。同时数字化营销、电子合同管理和数字化理赔等线下流程线上化日益成熟。

互联网保险改变了传统线下保险模式,同时也挑战着传统的地域监管体系。如何平衡传统地域监管框架下对保险消费者的权益保护和互联网保险快速发展需突破地域限制,成为了各国保险监管的一大挑战,各国的处理方式也不尽相同。

美国

以美国的监管规定为例,包括互联网保险公司在内的所有的商业保险公司和再保险公司在开展业务的各州均需遵守当地的监管规定。各州保险局是主体监管单位,全权负责所在辖区的商业保险机构和行为监管。

而美国保险监管官协会(NAIC)是跨州的协调单位,负责制定《全国商业保险监管模型法案》和开展五年一次的各州立法评估工作。值得注意的是,NAIC牵头的《模型法案》和评估对各州保险局本身不具备法律约束力,仅提供了借鉴作用。

受此影响,相较于欧洲,美国发展全国性互联网保险公司存在更多的监管障碍:虽然互联网保险公司在技术上可以依托互联网平台提供超越各州地域界限的全国线上服务,但是仍然要遵循各州在市场准入、产品监管、偿付能力等方面并不统一的规定,为互联网保险的全国快速拓展带来了一定障碍。

欧盟

相反,以欧盟为例,由于欧盟立法机构在统一各国的保险监管体系上态度积极,通过“偿付能力体系二代”的建立,《保险调节指令》和《欧洲再保险指令》的推出,为欧洲构建了一个跨越各国界限、基本内部统一的保险市场。

当然,各国有权在统一条款的基础上制定更为严格的细节规定。相对统一的市场监管推动了大型互联网保险企业跨区域甚至跨国的快速发展,客观上减少了互联网保险企业在地域监管上的阻碍。

中国

中国的保险监管体系既强调由中国保监会发挥统一领导的作用,也重视由各省市自治区的保监局在准入、行为等方面开展地域监管。

但针对互联网保险,2015年7月中国保监会推出的《暂行办法》中明确指出了“能够独立、完整通过互联网实现销售、承保和理赔全流程服务的财产保险业务”、“人身意外伤害保险、定期寿险和普通型终身寿险”,“投保人或被保险人为个人的家庭财产保险、责任保险、信用保险和保证保险”以及“保监会规定的其他险种”,可以将“经营区域拓展至未设立分公司的省、自治区和直辖市”。

客观上,针对适合互联网保险业态的产品,《暂行办法》持支持态度,在地域监管上放宽了相关规定,为互联网保险的创新营造了良好环境。

产品及销售信息披露

互联网保险改变了传统的销售流程,往往不再需要保险业务人员的直接参与,客户可以在线上渠道直接判断和选择保险产品的信息,并且完成电子合同的签订。

此外,保险电子合同由于其附合性合同的法律性质,保险消费者处在被动地位,往往难以察觉对其不利的相关条款。这在网上销售的流程中,可能更被简化为简单的一个勾选操作,导致消费者的权益没有得到充分保护。

这对互联网保险业务的信息披露提出了新的挑战,如适格销售、专业咨询、防止误导、过度营销等方面。

 欧盟

以2015年7月通过的欧盟《保险销售指令》(又称IDD,即Insurance Distribution Directive)为例,该条例适用于欧盟各国,旨在取代2002年通过的《保险调节指令》(又称IMD,即Insurance Meditation Directive)。从欧洲保险企业的角度看,条例会对互联网保险企业产生以下重大影响:

(1)监管范围上,旧条例只针对保险中介渠道,而新条例统一监管保险中介渠道和保险直销渠道,将目前线上直销渠道一举纳入监管,将保险销售机构的监管覆盖比例从48%上升到了98%;

(2)销售服务上,与传统的线下销售监管要求一致,网上直销机构也需要承担适格销售和专业咨询的责任。根据所收集到的客户信息,分析客户的需求,在签订合同前向客户提供客观的产品信息和咨询建议;

(3)捆绑销售上,过去线上销售的保险产品常常与其他服务捆绑在一起销售,而新法规要求保险企业必须告知客户该捆绑产品可否分拆后单独销售,以及分拆后各自的产品信息、价格和其他重要信息,从而保障消费者的权益;

(4)IT上,要求保险企业建立强大的CRM客户管理系统,收集整理线上和线下渠道的客户信息,在线上渠道也能基于CRM为客户提供实时、详尽的产品咨询服务。

北美

而在北美市场,加拿大也在积极规范互联网保险的相关行为。如2015年4月加拿大魁北克省发布了《互联网保险产品销售建议》,为魁北克省保险监管机构提出了许多线上销售保险产品的信息披露指导方向:

• 在保险销售中,应在保险提供商的网站上提供某些关键信息,包括保险发行商是否已经在魁北克省金融市场管理局(AMF)注册;

• 在没有持牌代理人参与的过程中,允许互联网保险开展直销,但建议满足以下三个条件。一是线上服务提供商能够为消费者提供必要的工具,以恰当地评估客户的需求,使消费者能做出理智的决定;二是在销售过程中的任何阶段,消费者都能够申请接触到持牌代理人;三是在网上购买保险产品之后一段合理的时间内,消费者能够拥有反悔权;

• 按重要性重组信息,逐步按序向消费者披露信息,确认消费者已阅读并完全理解每一项能够证明消费者同意购买保险产品的关键信息;

• 确保线上保险产品销售前、中、后提供给消费者的信息简洁明了,以免误导消费者;

• 在交易完成之前,向消费者提供保险报价相关信息的总结,以及其他所有与保险产品相关的信息;

• 视消费者的选择,在交易完成后,可将合同文件以电子或者纸质版形式发送给消费者;

• 采取加强销售系统可靠性和安全性的措施,以确保消费者的个人信息在任何时候都是安全的;

• 在消费者填写在线保单的网页上,禁止发布任何广告;

• 管理保险企业和其代理人在社交媒体上发布的产品营销信息等。

数据安全及隐私保护

基于用户信息的大数据分析是互联网保险发展的主要趋势。保险公司在业务的开展过程中收集了许多客户的隐私数据,比如就医记录、生活习惯、家庭信息等。

同时,结合物联网技术的发展,可穿戴设备、车联网等进一步为保险创新收集了海量用户信息。这一方面加速了基于大数据的业务创新,但另一方面在客户信息授权、数据所有权、使用范围、信息安全、个体歧视等方面带来挑战。

以2016年4月通过的欧盟《一般数据保护条例》(General Data Protection Regulation)为例,该条例适用于欧盟各国,统一了此前欧盟零散的个人数据保护法规,将于2018年5月生效。此条例从各个角度来看均较为严格,会对欧洲保险企业产生以下重大影响:

(1)授权上,只有在客户给出清晰、明确的授权后,保险企业才可以使用个人信息。更重要的是,客户有“可携带权”“被遗忘权”,可以主动索取、修改和收回自己的授权,从而要求保险企业和通过保险企业分享出去的第三方企业删除相关信息;

(2)流程上,保险企业需要将客户的授权和修改流程、个人信息内部使用监管和评估、个人信息隐私保护等加入到目前的运营流程中;

(3)IT系统上,需要进一步提升数据中心针对个人数据管理、黑客袭击、数据泄露等方面的IT能力,否则将承受最高可达企业全球年营收5%的天价罚单;

(4)合规上,保险企业需向个人信息监管机构定期汇报个人信息管理的运营情况并留下底稿;

(5)组织架构上,超过250名员工以上的企业需设有数据保护官(又称DPO,即Data Protection Officer),全权负责企业所拥有的个人信息安全保护。

《一般数据保护条例》的通过对于计划通过客户个人信息的大数据分析进行保险业务创新的企业是一个挑战,增加了保险企业获得授权、收集信息、使用信息和管理信息的成本,加大了信息一旦泄露后的惩罚力度。欧洲保险企业必须更新改善自身在个人信息管理上的业务流程,加大信息安全的IT投入,才能妥善利用个人信息大数据开展业务创新。