健康险TPA个人信息保护之现状与挑战

作者：张善奋

2024年2月，在中国人民喜迎龙年春节之际，在欧洲（据欧洲时报报道），法国国家信息安全委员会（CNIL）2月7日宣布，有超过3300万法国人的数据在一次网络攻击中被泄露，攻击目标是管理补充医疗保险第三方支付的运营商Viamedis和Almerys。医疗保险第三方支付是法国的一种制度，在这种制度中，健康保险提供者代表国家社会保障服务机构预付患者医疗服务费用。泄露的数据涉及投保人及其家人的公民身份、出生日期和社保号、医疗保险公司名称，以及投保的保险范围。不过，CNIL称，银行信息、医疗数据、医疗报销、邮政信息、电话号码和电子邮件地址没有遭到泄露。医疗保险第三方支付公司属于健康险TPA公司类型中的一种。看到这则新闻，不由让笔者想聊聊近些年发展迅猛的国内健康险TPA的个人信息保护。

什么是健康险TPA模式？

TPA全称是Third Party Administrator for Group Medical Insurance。健康险TPA模式起源于美国，TPA利用技术、数据、流程等能力，围绕着健康险全产业链提供服务。例如美国最大的健康险TPA GoHealth，是靠数据和算法驱动的健康险综合服务商，其服务包括数据驱动的客户画像、优化销售策略、提供个性化产品、赋能保险代理人、满足客户的健康保障需求等。

TPA模式在我国兴起较晚，但在过去近10年中，已经得到了较大的发展。TPA在我国尚无官方定义。国内TPA发展初期，是以为健康保险公司提供基础外包服务为主，包括贴票报销、控费管理、在保额允许的范围内向保险公司提供治疗建议方案、赔付建议方案服务等。近几年，随着大健康市场和数据要素市场的发展，TPA也开始逐渐转型或升级为综合性服务提供商，衔接保险公司、医疗机构、药店、支付机构、投保人、被保险人/受益人等上下游产业链主体，提供技术服务、健康管理服务、理赔服务、移动展业、风险评估、保单管理、智能管家、风险监测、控制降赔、增值服务、搭建生态等第三方管理服务。越来越多的大健康企业参与到TPA业务中，合作建立“保险+医疗+健康管理”的生态体系。

TPA模式会涉及哪些个人信息？

促动TPA业务模式快速发展的重要因素之一是数据。TPA模式下，数据在健康险产业链各主体之间流动、整合、加工、传输等，与技术结合并最终形成新的生产力，实现合理控费、提高客户黏性、积累健康数据、差异化定价等目标。

该模式下可能涉及到个人信息收集、传输、使用、加工、处理等活动的主体包括健康险公司、再保险公司、TPA平台、第三方支付公司、医疗机构、药店等。

药店会收集消费者的支付账户信息、消费信息，并需要将前述信息及药店发票信息等共享给TPA平台及健康险公司；若为药店负责配送，还需要收集消费者的地址、姓名、手机号码等信息。

TPA平台，无论是大集团下自建平台，还是依靠第三方能力的聚合型平台，为完成理赔及代收理赔款等服务，可能收集或使用到消费者的身份信息、银行账户或支付账户信息、互联网医院问诊信息、药品购买消费信息、发票信息等；可能还会向第三方数据商获取信息，结合算法和模型，以辅助其进行理赔风险评估。

保险公司，除了投保和两核阶段收集消费者个人信息外，还可能需要将消费者的身份信息、理赔信息等与TPA平台之间进行共享或提供。

该模式下可能涉及到个人信息收集、传输、使用、加工、处理等活动的主体，除了保险公司、TPA公司，还可能涉及到终端服务的养老机构、牙科诊所、医疗机构、体检中心、医疗器械供应商或生产商等。

通过提供健康管理服务，终端服务的机构可能会收集到多种个人信息，除了身份信息、金融账户信息、保险信息、医疗信息，还可能涉及智能设备穿戴后收集到的健康信息、定位/轨迹信息等。而收集到的数据又可能会聚合到TPA平台和保险公司。其中部分数据涉及敏感和隐私，且涉及金融、医疗健康等多行业监管规则。

保险公司会面临哪些挑战？

由于TPA模式下涉及主体多、服务模式和内容繁杂、且涉及金融消费者权益，所以对保险公司来说，消费者个人信息保护的难度也会更大，在实务中会遇到诸多挑战。

根据现行法律规定，个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理 方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

在健康险TPA模式下，保险公司与哪些主体之间的数据流动是委托处理关系，哪些是共同处理关系，哪些是向其他信息处理者提供的关系，会直接影响到保险公司及其他各主体的法律义务与责任承担。但实践中，我们注意到，合同中很少有企业关注这个问题，法律关系比较模糊和随意。有的一概归为合作关系，这可能会导致是实质上是被委托方的主体，加重了自身要承担的义务，也可能会导致委托方减轻和逃避责任；有的一概归为委托关系，也可能加重提供方的义务，而减轻了接收方的责任。无论是哪一种，在面临监管检查和问责时，或者司法裁判时，都可能带来不利影响。

在健康险TPA模式下，保险公司、TPA公司、终端服务主体等都会涉及到金融数据、医疗数据、健康数据。金融数据包括金融账户信息、支付交易信息、投保信息、核保信息、理赔信息等；医疗数据包括病历信息、诊断信息、用/购药信息、检验结果信息、医学影像信息等；健康数据包括智能穿戴设备收集的血压、血氧饱和、体重、身高、体脂、心率等。

对于个人信息保护，一般通用型管理依据包括《网络安全法》《数据安全法》《个人信息保护法》《信息网络传播权保护条例》《互联网信息服务管理办法》《App 违法违规收集使用个人信息行为认定方法》《儿童个人信息网络保护规定》《数据出境安全评估办法》等。

而基于健康险TPA模式下，还需要考虑兼顾到不同行业主管部门的要求和标准。

金融行业主管部门对于保险数据尚未出台专门的监管要求。国家金融监督管理总局对于金融数据的监管要求主要体现在业务监管、信息科技、金融消费者保护的相关文件中，例如《银行保险机构消费者权益保护管理办法》《银行业金融机构数据治理指引》《银行保险机构信息科技外包风险监管办》《互联网保险业务监管办法》等，同时中国人民银行发布的《金融数据安全数据安全分级指南》《个人金融信息保护技术规范》等标准对保险行业也具有参考性。

对医疗数据而言，管理的主要依据还要包括《生物安全法》《国家健康医疗大数据标准、安全和服务管理办法(试行)》《医疗机构病历管理规定(2013年版)》《人类遗传资源管理条例》等文件。

在这种情况下，对保险公司及其合作的TPA在管理上就提出了较高的要求。虽然保险公司上级主管部门不是国家卫生健康委员会，但是如果涉及医疗健康数据的管理时，还是应该兼顾医疗数据的相关法律法规和监管要求。这对于保险公司法律合规、金融消保、信息数据等部门来说也是不小的专业挑战。

众所周知，数据出境合规方案的制定，需要结合出境数据量、数据类型、是否涉及重要数据、出境场景、行业、目的地、接收方、以及是否为关键信息基础设施的运营者等诸多情况来判断。目前，金融行业监管部门并未就保险机构的数据出境制定单独的监管规则。那么，对于保险公司是否为关键信息基础设施的运营者的认定工作，基本还是根据《关键信息基础设施安全保护条例》的规定，具体由国家金融监督管理总局来明确。关于何为重要数据，我国金融行业的识别标准也尚未出台，虽然“因业务需要”向境外提供金融数据在监管那里目前是可能可以接受的一种解释，但实践中对于“何为业务需要”“何为必要的出境数据范围”“以何种方式出境”等问题并未明确。

保险机构的数据出境场景主要包括跨境保险公司间数据传输、与合作的海外再保险公司的数据传输、高端医疗海外就医、跨境外包等。为高端客户提供境外医疗或健康管理服务是TPA模式下产生的数据出境场景之一。保险公司与TPA合作，为保险公司高端客户提供境外医疗、健康管理等服务，具体实施服务的是境外公司。TPA为完成服务，一般会由TPA机构负责将保险客户数据向境外输出，输出的数据中部分来自保险公司，部分来自TPA公司自行收集，部分可能来自其他终端服务商服务中收集。在这种情况下，保险公司在客观行为上并不存在向境外输出的行为，但实质上，保险数据经过保险公司授权TPA的方式完成了向境外输出。该种情形下，保险公司是否还需要履行数据出境安全评估或个人信息出境相关的义务，保险公司是否还需要就数据出境的风险承担责任等，在实践中仍缺乏明确且有效的监管及司法指导。

以上是笔者根据过往服务经验，结合健康险TPA模式的特殊性，简单的介绍了一些实务中的问题与思考，至于上述挑战在实务中如何处理，笔者也将在后续文章中，与大家择期分享。