再保险业务中的个人信息提供

就法人机构之间提供和传输客户个人信息，《中华人民共和国个人信息保护法》（“《个保法》”）规定了两种不同的模式：1）《个保法》第二十一条规定的“委托”模式；2）《个保法》第二十三条规定的独立信息处理者之间的“提供”模式。

《个保法》施行已近四个月，保险业务实操中出现了一些有争议的问题。本文将要探讨的是与再保险业务相关的一个问题：出于再保险业务的实际需求，直接保险公司（“直保公司”）要把保险合同当事人的个人信息提供给再保险人，以便再保险人进行反洗钱核查、核保、理赔等业务操作。这一行为应适用第二十一条规定的“委托”模式，还是应适用第二十三条规定的“提供”模式？实务操作中有不同观点。

一种观点认为，直保公司与再保险人之间是“委托-受托”关系。再保险人基于直保公司的委托和授权，仅以提供再保险服务之目的使用和处理个人信息；直保公司有权对再保险人的个人信息使用行为进行监督；再保险人对个人信息的使用不能超出双方约定的目的，直保公司有权要求再保险人在业务合作终止后删除客户的个人信息，不得保留。因此，直保公司向再保险人提供客户的个人信息，应当适用《个保法》第二十一条。

另一种观点认为，直保公司与再保险人是两个独立的“个人信息处理者”，并非“委托-受托”关系。再保险人处理个人信息的权利基础并非直保公司的授权和委托，而是基于法律的规定和再保业务约定（包括合约分保和临时分保）；直保公司无权对再保险人的业务活动进行监督，也不应对再保险人的个人信息处理进行监督；再保险人作为独立的个人信息处理者，有权自行决定个人信息的保留期限和删除政策。因此，直保公司向再保险人提供客户的个人信息，应当适用《个保法》第二十三条。

不同的认知导致不同的行为模式。上述观点的差异反映了实务操作中对《个保法》理解、适用的意见分歧。

如果适用《个保法》第二十一条（委托-受托模式），那么直保公司在向再保险人提供客户的个人信息之前，无需向客户做出告知，也无需取得客户的同意；直保公司只需批量或单独地将客户的个人信息传输、提供给再保险人即可。但是，如果适用《个保法》第二十三条（独立个人信息处理者之间的提供模式）的规定，则直保公司的义务将会显著增加。《个保法》第二十三条规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。”

根据作者的观察，目前保险行业对上述问题尚未形成统一的认识。部分直保公司已经开始按照《个保法》第二十三条的要求重新设计投保流程，就其使用的再保险人的名称、联系方式、个人信息处理目的及种类等进行说明、披露并取得客户的签字确认；但也有部分直保公司认为，根据《个保法》第二十一条的规定，就向再保险人提供客户个人信息的行为，无需向投保人客户作出说明和披露。

作者赞同第二种观点，即应当把直保公司和再保险人视为两个独立的“个人信息处理者”，而非“委托-受托”关系的双方；实务操作中应当遵循《个保法》第二十三条的规定，由直保公司向客户个人履行告知义务，并取得个人的单独同意。“委托-受托”说不能成立的理由有二：背离了再保险的业务实质，也背离了《个保法》的立法本意。

通常情况下，再保险人与个人信息主体不会发生直接的合同关系；再保险人处理的几乎所有个人信息都是由直保公司提供的，但这并不等同于再保险人处理个人信息的目的、范围和方式方法均取决于直保公司的“委托”或“授权”。出于法律的规定和/或再保险业务的实质需求，再保险人对个人信息处理的目的、方式可以独立于直保公司的意愿。例如：

1) 再保险人对自然人客户进行反洗钱和反恐怖融资核查，这是基于法律和监管规定的要求。无论直保公司是否作出“授权”，再保险人都会依法履行其反洗钱义务。

2)对于核保，再保险人有权自主决定核保的流程和工作方式；在再保核保过程中，再保险人处理客户个人信息既不受限于直保公司的“委托”，也不应受到直保公司的“监督”。

3)对于理赔，再保险人有权独立地对案件事实作出调查和核实。特别是当直保公司与再保险人对理赔存在不同意见的情况下，再保险人对个人信息的独立处理权就会体现得非常清晰；再保险人有权通过自行和/或通过第三方对赔案的相关事实进行调查，此时再保险人对个人信息的处理显然不可能是基于直保公司的“委托”和“授权”。

4)再保险人对个人信息的储存、处理和使用应同时符合《个人信息保护法》和保险行业的监管规定。根据行业惯例，在再保合约终止的情况下，再保险人也不会立即删除客户的个人信息，而是自主决定个人信息的存储方式和期限。

综上，再保险人对个人信息的处理具有独立性，不能片面地把再保险人的所有个人信息处理行为都理解为“基于直保公司的授权”。强行地把这种关系理解为“委托-受托”，会导致认知与实操发生矛盾和偏差。

《个保法》在立法体例上明显参考了GDPR（《通用数据保护条例》），但并没有使用GDPR项下“controller”（个人数据控制者）和“processor”（个人数据处理者）的概念。

GDPR第4条规定，“controller”的核心特征是“单独地或联合他人，决定个人数据的处理目的和方式”；“processor”则是指“代表控制者(on behalf of the controller)处理个人数据”的个人或实体。能否独立地决定个人数据的处理目的和方式，是区分controller和processor的关键。

《个保法》规定的“个人信息处理者”（《个保法》第七十三条的定义为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”），实质上对应的是GDPR的“controller”（个人数据控制者）。GDPR的“processor”（个人数据处理者），在《个保法》项下并没有对应的术语。但是，《个保法》第二十一条规定的“受托个人数据处理者”，从立法意图上判断实质上对应的就是GDPR的“processor”（个人数据处理者）。

《个保法》规定的“个人信息处理者”、GDPR规定的“个人数据控制者”，其共同特征在于：他们都是独立的、最终的责任承担主体。对于侵犯个人信息（个人数据）权益造成的损害赔偿责任，最终应当由处理者/controller承担；对于受托方/processor行为造成的侵权，作为委托方的处理者/controller也应该为此承担责任。

无论是《个保法》还是GDPR，都要求处理者/controller在向其他个人信息处理者/controller提供信息之前应得到个人信息主体的同意。为什么法律会做出这样的规定？一方面，这是为了让个人信息主体充分行使对自身信息处理的选择权；另一方面，一旦个人信息主体同意了由接收方处理其个人信息，则提供方就不再为接收方的行为继续承担法律责任——由此，个人信息主体、信息提供方、信息接收方的权利义务达成大致的平衡。

一个关键的问题是：如果再保险人在其业务行为中存在泄露、不当使用等行为造成对个人信息主体权益的侵害，直保公司是否应当为此承担侵权责任？如果适用《个保法》第二十一条的规定，直保公司就应当为再保险人造成的侵权后果承担连带责任。但是，如果适用《个保法》第二十三条的规定，则直保公司与再保险人均为相互独立的信息处理者，直保公司无须为再保险人的侵权行为向个人信息主体承担赔偿责任。

显然，适用《个保法》第二十三条的规定更为符合再保险业务关系的商业实质，也更合情合理。更重要的是，这样的责任分担方式更符合《个保法》的立法意图。

综上，在再保险业务关系中，直保公司与再保险人之间的关系不应被理解为“委托-受托”处理关系。双方作为独立的个人信息处理者，各自独立地决定个人信息的处理目的和方式，并应各自遵守《个保法》第二十三条规定的各项义务。值得注意的是，如果直保公司、再保险人共同决定个人信息的处理目的和处理方式，又在共同处理个人信息的过程中侵害了个人信息权益的，依照《个保法》第二十条的规定，应由双方依法承担连带责任。