前言
历经2018年10月以来公布的三版征求意见稿,《互联网保险业务监管办法》(中国银行保险监督管理委员会令2020年第13号)(简称“《监管办法》”)于2020年12月14日正式发布,并将于2021年2月1日起施行,以取代自2015年10月起施行的《互联网保险业务监管暂行办法》(保监发[2015]69号)(简称“《暂行办法》”)。
《监管办法》基本上沿袭了2020年9月发布的第三版《互联网保险业务监管办法(征求意见稿)》(简称“《征求意见稿》”)设立的监管框架及思路,并对业务条件、信息披露内容、网络安全等条款进行了细化和完善。与《暂行办法》相比,《监管办法》对互联网保险业务的监管架构和内容进行了大幅修改和补充,回应了近年来不少行业热点和难点问题。本文将结合《监管办法》及近期陆续公布的相关监管细则,探讨互联网保险业务的主要合规要求。
渠道融合与双重监管
《监管办法》针对近年来保险业务线上与线下渠道融合的问题,规定了对线上和线下在不同情形下的监管方式及原则,对线上与线下融合的保险业务之监管方式更加明晰。具体包括:
- 分开监管:能够分开适用监管规则的,其线上和线下经营活动分别适用线上和线下监管规则;及
- 双重监管:无法分开适用监管规则的,同时适用线上和线下监管规则;当线上和线下的监管规则不一致时,坚持合规经营和有利于消费者的原则。
值得注意的是,第二版征求意见稿中曾明确保险机构及其从业人员借助互联网保险业务名义进行线下销售的不适用《监管办法》,包括从业人员借助移动展业工具进行面对面销售、从业人员收集投保信息后进行线上录入等情形。《监管办法》中虽未保留相关内容,但在中国银行保险监督管理委员会(简称“银保监会”)有关部门负责人就《监管办法》答记者时仍重申该等情形不属于互联网保险业务,明确应遵守其所属渠道相关监管规定。
业务范围与主体
《监管办法》明确定义互联网保险业务为“保险机构依托互联网订立保险合同、提供保险服务的保险经营活动”,删除了《暂行办法》中提及的依托“移动通信”这一介质的规定,并保留了通过网站或移动应用程序(APP)以外介质开展保险经营活动的空间。
《监管办法》进一步明确符合以下三个要素即属于互联网保险业务,包括(1)保险机构通过互联网和自助终端设备销售保险产品或提供保险经纪服务,(2)消费者能够通过保险机构自营网络平台的销售页面独立了解产品信息,及(3)消费者能够自主完成投保行为。
《监管办法》明确将银行类保险兼业代理机构和从事保险相关业务的互联网企业纳入了保险机构的范畴。《监管办法》下的“保险机构”包括保险公司(包括传统保险公司、互相保险组织及互联网保险公司)和保险中介机构两大类主体。其中,保险中介机构包括保险代理人(不含个人保险代理人)、保险经纪人、保险公估人;保险代理人则进一步细分为保险专业代理机构、银行类保险兼业代理机构和依法获得保险代理业务许可的互联网企业。值得注意的是,除了《监管办法》,保险专业代理机构、保险兼业代理机构及个人保险代理人还应符合及遵守将于2021年1月1日起施行的《保险代理人监管规定》的相关规定。
业务资质与转委托
业务资质
《监管办法》列明的各类互联网保险机构,均须根据其业务性质从银保监会或其派出机构取得相应的业务资质或备案。
《监管办法》删除了《暂行办法》中与第三方网络平台相关的内容,亦未保留2019年12月公布的第二版征求意见稿中的“非银行类保险兼业代理机构”及“营销宣传合作机构”。同时,不具有互联网保险资质的机构不得经营互联网保险业务,但可接受保险机构的委托,通过互联网媒介对保险机构的保险产品或保险服务进行商业宣传推广,或者提供技术支持和客户服务。《监管办法》的这一修改,体现了严格贯彻“机构持牌”的监管思路。在《监管办法》施行后,存在此种不合规情况的第三方网络平台,可能被界定为“非法经营保险业务”而面临被依法予以取缔,及没收违法所得、并处以罚款等行政处罚。《监管办法》未对提供技术支持或客户服务的机构作出更多的限制,似乎特意为未来的技术或商业模式创新留下空间。
业务转委托
对于保险中介机构是否可以转委托其他机构开展其互联网保险业务,《监管办法》延续了《征求意见稿》的思路,即区分了保险专业中介机构与保险兼业中介机构(包括银行及兼业互联网企业)。前者可以在征得委托人同意且向消费者进行充分披露的情况下,可以将互联网保险业务转委托给其他保险中介机构开展;后者则只能接受前者的转委托,而不得将其业务转委托与其他机构(包括其他保险中介机构)或个人。
自营平台与网站
自营网络平台
对于自营网络平台,《监管办法》明确定义为“保险机构为经营互联网保险业务,依法设立的独立运营、享有完整数据权限的网络平台”,将保险机构分支机构及保险机构控股、参股的非保险机构所设立的网络平台均排除在外。在运营条件方面,《监管办法》强调平台需具有完善的网络安全监测、信息通报、应急处置工作机制,以及完善的边界防护、入侵检测、数据保护、灾难恢复等网络安全防护手段;确定了自营网络平台和信息系统的安全保护等级不得低于三级,而不具有保险销售和投保功能的自营网络平台及支持其运营的信息管理系统和核心业务系统的安全保护等级则不得低于二级。另外,《监管办法》没有完全采纳《征求意见稿》里取得网络平台ICP证或者完成ICP备案的不同要求,改为完成ICP备案的统一要求。
在信息披露方面,《监管办法》在《征求意见稿》规定的自营网络平台信息披露基础上,调整和完善了部分表述,并增加了理赔争议处理机制及工作流程这一披露要求。《监管办法》要求自营网络平台的显著位置列明:(1)承保公司设有省级分支机构和落地服务机构的相关省市清单;(2)承保公司全国统一的客户服务及投诉方式及理赔争议处理机制和流程;(3)投保咨询和保单查询方式;(4)信息和交易安全保障措施;(5)在行业协会官方网站上的信息披露访问链接;(6)经营变化情况;及(7)银保监会规定的其他内容。
官方网站
对于保险机构的官方网站,《监管办法》规定保险机构应参照《保险公司信息披露管理办法》设置互联网保险栏目披露如下内容:(1)营业执照及许可证;(2)名称、网址及在行业协会官方网站上的信息披露访问链接;(3)一年来综合综合偿付能力充足率、风险综合评级等监管评价信息;(4)合作机构名称、合作范围及合作时间;(5)产品名称及信息(或链接);(6)产品及保单的查询和验真途径;(7)省级分支机构和落地服务机构信息;(8)客户服务及投诉渠道及联系方式;(9)经营变化情况;及(10)银保监会规定的其他内容。
险种范围与经营区域
保险公司只能在许可的经营范围内开展保险业务,且保险公司开设分支机构须经过银保监会审批。根据《监管办法》的规定,互联网保险中介机构经营的险种不得突破承保公司的险种范围和经营区域。
同时,《监管办法》第五十二条允许经营财产保险业务的保险公司在具有相应内控管理能力且能满足客户落地服务需求的情况下,将相关财产保险产品的经营区域拓展至未设立分公司的省、自治区、直辖市或计划单列市;亦允许经营人身保险业务的保险公司在满足相关条件的基础上,在全国范围内通过互联网经营相关人身保险产品。此两项对保险公司经营区域限制的突破,仍有待银保监会颁布相关实施细则。
保险营销宣传
保险机构
互联网保险营销宣传是指保险机构通过网站、网页、互联网应用程序等互联网媒介,以文字、图片、音频、视频或其他形式,就保险产品或保险服务进行商业宣传推广的活动。
《监管办法》明确了金融营销宣传以及银保监会颁布的相关规定同样适用于互联网保险营销宣传。同时,针对容易引起消费纠纷的夸大或误导性营销宣传,《监管办法》强调了互联网保险营销宣传活动亦须符合《中华人民共和国广告法》。
在具体合规要求方面,《监管办法》沿袭了现有金融业营销宣传相关规定的基本思路,包括(1)建立从业人员资质、培训、内容审核和行为管理制度;(2)设置营销宣传内容监测、处理机制;(3)不得非法或超出范围开展营销宣传活动;(4)确保内容与保险合同条款保持一致,不得作出不实陈述或误导性描述;(5)公示、披露、明确标识或特别提示从业人员及保险产品相关信息;及(6)不得违规向消费者发送营销宣传信息。同时,《监管办法》进一步明确了保险机构为其自身及所属从业人员营销宣传的合规管理责任主体,以确保合规要求的落实。
保险营销宣传合作平台
《监管办法》未保留2019年12月公布的第二版征求意见稿中的委托营销宣传及营销宣传合作机构的相关定义,也未对保险营销宣传合作平台的营销宣传活动作出特别规定和要求。《监管办法》中部分列举的“非保险机构”禁止从事的互联网保险业务并未包括“营销宣传”活动,但从银保监会2018年以来颁布的相关规定透露的监管信号来看,保险营销宣传合作平台和保险机构应审慎进行营销宣传活动,确保营销宣传方式及内容的合规性。
保险从业人员
随着科技的发展,通过直播、微博、朋友圈、公众号等自媒体进行互联网保险营销宣传已十分常见。自媒体渠道由于参与门槛低、信息审核弱、转发传播快等特点,成为了保险营销违规问题的高发领域。
在这一方面,与之前三版征求意见稿中的监管思路一致,《监管办法》加强了保险机构对保险从业人员营销宣传行为的监管职责。在“机构持牌、人员持证”的原则下,相关具有从业资质的保险从业人员,须在保险机构授权范围内开展营销宣传,所发布的营销宣传内容应由其所属保险机构统一制作,并在营销宣传页面显著位置标明个人信息、所属保险机构全称及执业证编号等信息。
保险产品销售
销售环节的说明义务与信息披露
保险机构在互联网上销售保险产品应依法履行对客户的说明义务,以保障消费者的知情权、自主选择权和公平交易权。实践中,不少互联网销售平台说明义务的履行并不完善,导致发生保险纠纷时,保险公司或保险中介机构是否主动履行了对投保人的法定说明义务经常成为争议焦点。
今年10月生效的《关于规范互联网保险销售行为可回溯管理的通知》(简称“《网保可回溯通知》”)回应了保险机构说明义务履行不规范的现象,要求“提示投保人即将进入投保流程”、“免除保险公司责任的条款”、“可能影响保单效力以及可能免除保险公司责任的内容”、“特殊保险产品展示被保险人同意投保并确认保险金额的内容”、“投保人健康告知”等内容应设置单独页面展示,并设置由投保人或被保险人自主确认已阅读的标识。投保人或被保险人未自主确认的,保险机构不得接收投保人的投保申请或收取保费。
与《暂行办法》相比,《监管办法》完善了对保险机构在产品销售页面的信息披露要求,进一步细化了披露标准,包括:(1)信息披露要求适用范围从“销售页面”扩展到“销售或详情展示页面”;(2)要求披露保险产品名称(条款名称和宣传名称),以及对应的批复文号或备案编号、产品注册号及报备文件编号或条款编码;(3)针对投连险、万能险等人身保险新型产品,要求按照银保监会关于新型产品信息披露的相关规定,清晰标明相关信息,用不小于产品名称字号的黑体字标注保单利益具有不确定性;(4)要求披露能否实现全流程线上服务及因保险机构在消费者或保险标的所在地无分支机构而可能存在的服务不到位等问题的提示;(5)要求披露保费的支付方式、凭证的送达方式;及(6)要求披露其他直接影响消费者权益和购买决策的事项。
投保页面
早在《暂行办法》下,保险机构及其从业人员以外的单位或个人不得擅自进行销售、承保等互联网保险业务的原则即已确立。但由于《暂行办法》并未明确要求互联网保险产品的销售必须在保险机构的自营网络平台页面上进行,过往一些未取得保险业务资质的第三方网络平台在为保险机构进行营销宣传时,通过技术手段误导消费者以为其在该第三方网络平台购买了保险产品,而实际上是该第三方网络平台取得客户信息和收取保费后再代投保人向保险机构购买保险产品。
《网保可回溯通知》要求仅保险机构可以在非自营网络平台设置投保申请链接,由投保人点击链接进入保险机构自营网络平台的销售页面。非保险机构自营网络平台不得设置保险产品销售页面。与《网保可回溯通知》一脉相承,《监管办法》明确规定,保险公司应通过其自营网络平台或者其他保险机构的自营网络平台销售互联网保险产品,投保页面必须属于保险机构自营网络平台。此外,《监管办法》进一步强调了“营销”和“销售”的界限,明确非保险机构不得开展保险销售、保险产品咨询、保费试算、比价报价、为投保人设计投保方案、代办投保手续、代收保费等商业行为。
全流程可回溯
可回溯档案管理是指保险机构需通过录音、录像以记录和保存保险销售过程关键环节,实现销售行为可回放、重要信息可查询、问题责任可确认。由于《保险销售行为可回溯管理暂行办法》(保监发[2017]54号)并不适用互联网保险业务,《网保可回溯通知》生效后,互联网保险的可回溯管理有了正式的法规依据。
《网保可回溯通知》确定的可回溯管理适用于个人税收优惠型健康保险及个人税收递延型养老保险产品以外的、投保人为自然人的商业保险产品。保存内容包括销售页面、投保人及被保险人在相关销售页面上的操作轨迹、投保期间保险机构通过在线服务向投保人解释说明保险条款的信息等。保存期限自保险合同终止之日起计算,保险期间在一年以下的不得少于五年,保险期间超过一年的不得少于十年;遇客户投诉、法律诉讼等纠纷的,应当至少保存至纠纷结束后三年。可回溯资料的保存标准为可还原为可供查验的有效文件,销售页面可还原为可供查验的有效图片或视频。在《网保可回溯通知》的基础上,《监管办法》进一步明确应完整记录和保存主要业务过程,包括做到销售和服务等主要行为信息不可篡改并全流程可回溯。
禁止“搭售”
销售保险产品必须以显著方式提醒消费者注意。但实践中,部分具备保险中介机构资质的网络平台在开展非保险销售业务的同时,通过“搭售”的方式销售保险产品。“搭售”行为包括票务、酒店预定页面设置勾选人身意外伤害保险、退票险等默认勾选项,或是在提供其他服务时将购买保险产品作为附加条件等。“搭售”保险的行为侵犯了消费者的知情权、选择权等合法权益,已被《电子商务法》及银保监会等相关文件明确予以禁止。
《暂行办法》没有对“搭售”保险产品进行特别规定,而《监管办法》则明确要求保险公司不得采用默认勾选、限制取消自动扣费等方式剥夺消费者自主选择的权利,应在销售流程的各个环节以清晰、简洁的方式保障消费者实现真实的购买意愿。
全流程售后服务
互联网保险的售后服务是互联网保险业务监管的重点之一。《监管办法》进一步提高了对互联网业务售后服务的标准,要求保险机构建立全流程服务体系,主要体现在:(1)明确全流程服务涵盖在线核保、批改、保全、退保、理赔和投诉处理等环节;(2)保险机构需配置充足的服务资源,保障与产品特点、业务规模相适应的后续服务能力;(3)保险机构应建立售后服务快速反应机制,设立专门的投诉管理部门和岗位;(4)要求保险机构充分披露信息,保障消费者的知情权,告知消费者售后服务能否全流程线上实现;及(5)明确由投诉人或举报人经常居住地的银保监局负责处理互联网保险业务的投诉或举报,便于消费者与监管机构的沟通联系。
个人信息保护
在互联网保险业务中,保险机构收集的客户个人信息较多,且通常包括身份证件号码、银行账号及健康生理信息等个人敏感信息。在个人信息收集、储存、使用、分享、出境及儿童个人信息的特殊保护等方面,互联网保险机构同样受限于《网络安全法》、《个人信息安全规范》、《儿童个人信息网络保护规定》等现行法律法规。
《监管办法》未针对互联网保险业务相关的个人信息设定具体的保护要求。仅仅明确了相关的处理原则,包括:(1)保险机构是承担客户信息保护的义务主体,收集、处理及使用个人信息应遵循合法、正当、必要的原则,保证信息收集、处理及使用的安全性和合法性;(2)保险机构应建立客户信息保护制度,明确数据安全责任人,构建覆盖全生命周期的客户信息保护体系,防范信息泄露;(3)保险机构收集、处理及使用个人信息,应征得客户同意,获得客户授权。除法律另有规定外,未经客户同意或授权,保险机构不得将客户信息用于所提供保险服务之外的用途;及(4)保险机构应督促提供技术支持、客户服务等服务的合作机构建立有效的客户信息保护制度,在合作协议中明确约定客户信息保护义务,保障客户信息安全,明确约定合作机构不得限制保险机构获取客户投保信息,不得限制保险机构获取能够验证客户真实身份的相关信息。
合规过渡期
《监管办法》及其他接连出台的监管新举措,对从事互联网保险业务的机构提出了新的挑战。《网保可回溯通知》明确规定于2020年10月1日仍不能符合其要求的保险机构立即停止开展相关互联网保险销售业务。《监管办法》虽然给予了保险机构整改过渡期(即在其施行之日起三个月内完成制度建设、营销宣传、销售管理、信息披露等问题整改,六个月内完成业务和经营等其他问题整改,十二个月内完成自营网络平台网络安全等级保护认证),但同时也要求不满足相关要求的保险机构立即停止通过互联网销售保险产品或提供保险经纪服务。
结语
完善监管体制是为行业赋能,让互联网保险行业能够更健康有序地持续发展。从总体趋势上来说,国家鼓励保险业务与互联网、大数据、区块链等新技术的融合,支持互联网保险以更高的水平服务实体经济与社会民生。从事互联网保险业务的机构不仅需要做到在当前监管框架内的合规,也要观察与思考未来监管的趋势,把握新监管局势中的先机。站在互联网保险行业的风口,只有切实做好合规工作,才能抓住时代发展的机遇。