2026年保险托管隐私合规协议

2026年保险托管隐私合规协议合同编号：__________

2026年保险托管隐私合规协议

第一章总则

第一条协议目的

本协议旨在明确保险托管双方在个人隐私信息处理过程中的权利义务，确保保险托管业务符合《中华人民共和国个人信息保护法》及相关法律法规要求，维护投保人、被保险人及受益人的合法权益，促进保险市场的健康有序发展。

第二条适用范围

本协议适用于保险资产管理公司（以下简称“托管方”）接受保险资产管理公司（以下简称“委托方”）委托，对保险资金进行托管管理过程中涉及的个人身份信息、财产信息、健康信息、保险合同信息等个人隐私信息的收集、存储、使用、传输、删除等全流程管理活动。

第三条定义

（一）个人隐私信息：指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（二）敏感个人信息：指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（三）数据主体：指其个人隐私信息被收集、处理的投保人、被保险人及受益人。

（四）数据控制者：指委托方，即收集、决定处理目的及方式的主体。

（五）数据处理器：指托管方，即接受委托方委托，按照委托方要求处理个人隐私信息的主体。

第二章委托方的权利与义务

第四条委托方的权利

（一）委托方有权要求托管方按照本协议约定及法律法规要求，采取必要的技术和管理措施，确保个人隐私信息的安全。

（二）委托方有权对托管方处理个人隐私信息的情况进行监督，包括查阅相关处理记录、要求托管方提供处理报告等。

（三）委托方有权要求托管方及时删除或者更正其提供的错误个人隐私信息。

（四）委托方在法律法规允许的范围内，有权决定个人隐私信息的处理目的、方式及范围。

第五条委托方的义务

（一）委托方应当向托管方提供真实、准确、完整的个人隐私信息，并对信息的真实性、合法性负责。

（二）委托方应当明确告知数据主体其个人隐私信息将被用于保险托管业务，并取得数据主体的同意。

（三）委托方应当制定个人隐私信息保护政策，并确保数据控制者的数据保护负责人履行相关职责。

（四）委托方应当与托管方约定个人隐私信息泄露后的应急处理机制，并配合托管方进行整改。

第三章托管方的权利与义务

第六条托管方的权利

（一）托管方有权要求委托方提供个人隐私信息的收集、使用、传输等目的说明，并核实委托方是否符合相关法律法规要求。

（二）托管方有权拒绝执行委托方超出法律法规及本协议约定的个人隐私信息处理请求。

（三）托管方有权要求委托方提供必要的协助，以保障个人隐私信息处理的合法合规。

第七条托管方的义务

（一）托管方应当建立健全个人隐私信息保护制度，明确数据处理岗位的职责，并定期进行内部培训。

（二）托管方应当采取加密、去标识化等技术措施，确保个人隐私信息在存储、传输、使用过程中的安全。

（三）托管方应当建立个人隐私信息泄露应急预案，并在发生泄露事件时，立即启动应急机制，并通知委托方及相关部门。

（四）托管方应当对委托方提供的数据处理人员进行背景审查，并确保其具备相应的数据保护意识和能力。

（五）托管方应当定期对个人隐私信息处理情况进行审计，并提交审计报告给委托方。

第四章个人隐私信息的处理

第八条个人隐私信息的收集

（一）托管方仅根据委托方的明确指示收集个人隐私信息，并确保收集目的明确、合法、必要。

（二）托管方应当记录个人隐私信息的收集时间、方式、目的等信息，并建立数据处理记录台账。

（三）对于敏感个人隐私信息的收集，托管方应当取得数据主体的单独同意。

第九条个人隐私信息的存储

（一）托管方应当将个人隐私信息存储在安全的服务器上，并采取物理隔离、访问控制等措施，防止未经授权的访问。

（二）托管方应当定期对存储的个人隐私信息进行备份，并确保备份数据的安全。

（三）托管方应当根据法律法规及本协议约定，确定个人隐私信息的存储期限，并在存储期限届满后及时删除。

第十条个人隐私信息的传输

（一）托管方仅在必要时将个人隐私信息传输给委托方，并采取加密、VPN等技术措施，确保传输过程的安全。

（二）托管方应当记录个人隐私信息的传输时间、方式、目的等信息，并建立数据处理记录台账。

（三）托管方应当禁止将个人隐私信息传输给任何未经授权的第三方。

第十一条个人隐私信息的使用

（一）托管方仅根据委托方的指示使用个人隐私信息，并确保使用目的与收集目的一致。

（二）托管方应当限制个人隐私信息的访问权限，并确保只有授权人员才能访问。

（三）托管方应当对个人隐私信息的使用情况进行监控，并定期进行审计。

第十二条个人隐私信息的删除

（一）托管方应当在存储期限届满后，或者根据委托方的指示，或者根据法律法规的要求，及时删除个人隐私信息。

（二）托管方应当采取不可逆的方式删除个人隐私信息，并确保无法恢复。

（三）托管方应当记录个人隐私信息的删除时间、方式等信息，并建立数据处理记录台账。

第五章个人隐私信息的共享与转让

第十三条个人隐私信息的共享

（一）托管方仅在法律法规允许的范围内，以及为履行本协议约定的义务，与委托方共享个人隐私信息。

（二）托管方在共享个人隐私信息前，应当取得数据主体的同意，并告知共享的目的、方式、范围等信息。

（三）托管方应当与共享方签订协议，明确双方的权利义务，并确保共享过程的安全。

第十四条个人隐私信息的转让

（一）托管方不得转让个人隐私信息，除非获得数据主体的明确同意，或者为履行本协议约定的义务，或者为维护数据主体的合法权益。

（二）托管方在转让个人隐私信息前，应当取得数据主体的同意，并告知转让的目的、方式、范围等信息。

（三）托管方应当与受让方签订协议，明确双方的权利义务，并确保转让过程的安全。

第六章个人隐私信息的保护

第十五条技术措施

（一）托管方应当采取加密、去标识化、访问控制等技术措施，确保个人隐私信息在收集、存储、传输、使用、删除等过程中的安全。

（二）托管方应当定期对技术措施进行评估，并及时更新，以应对新的安全威胁。

（三）托管方应当对关键信息基础设施进行安全保护，并定期进行安全检测。

第十六条管理措施

（一）托管方应当建立健全个人隐私信息保护制度，明确数据处理岗位的职责，并定期进行内部培训。

（二）托管方应当对数据处理人员进行背景审查，并确保其具备相应的数据保护意识和能力。

（三）托管方应当建立个人隐私信息保护应急预案，并在发生泄露事件时，立即启动应急机制，并通知委托方及相关部门。

第十七条物理安全

（一）托管方应当对存储个人隐私信息的场所进行物理隔离，并采取门禁、监控等措施，防止未经授权的访问。

（二）托管方应当对存储个人隐私信息的服务器进行定期维护，并确保其正常运行。

（三）托管方应当对废弃的个人隐私信息进行销毁，并确保无法恢复。

第七章个人隐私信息的权利保障

第十八条数据主体权利

（一）数据主体有权访问其个人隐私信息，并要求托管方提供个人隐私信息的副本。

（二）数据主体有权更正其个人隐私信息，并要求托管方及时更正。

（三）数据主体有权删除其个人隐私信息，并要求托管方及时删除。

（四）数据主体有权撤回其同意，并要求托管方停止处理其个人隐私信息。

（五）数据主体有权拒绝其个人隐私信息被用于保险托管业务，并要求托管方停止处理其个人隐私信息。

第十九条权利行使方式

（一）数据主体可以通过书面形式向托管方行使权利，并提供相应的身份证明材料。

（二）托管方应当在收到数据主体的权利行使请求后，及时处理，并告知数据主体处理结果。

（三）托管方应当在处理数据主体的权利行使请求时，采取必要措施，防止个人隐私信息泄露。

第八章违约责任

第二十条违约情形

（一）托管方未按照本协议约定及法律法规要求，采取必要的技术和管理措施，导致个人隐私信息泄露的，应当承担相应的违约责任。

（二）托管方将个人隐私信息转让给未经授权的第三方的，应当承担相应的违约责任。

（三）托管方未按照本协议约定，及时删除或者更正个人隐私信息的，应当承担相应的违约责任。

（四）委托方未按照本协议约定，提供真实、准确、完整的个人隐私信息的，应当承担相应的违约责任。

（五）委托方未按照本协议约定，取得数据主体的同意的，应当承担相应的违约责任。

第二十一条违约责任承担

（一）违约方应当赔偿守约方因此遭受的损失，包括直接损失和间接损失。

（二）违约方应当承担相应的行政责任，包括罚款、吊销营业执照等。

（三）违约方应当承担相应的刑事责任，包括罚款、监禁等。

第九章争议解决

第二十二条争议解决方式

（一）双方在履行本协议过程中发生争议的，应当协商解决。

（二）协商不成的，应当提交人民法院诉讼解决。

第二十三条适用法律

本协议适用中华人民共和国法律。

第十章附则

第二十四条协议生效

本协议自双方签字盖章之日起生效。

第二十五条协议终止

（一）本协议在双方履行完毕后自动终止。

（二）本协议在双方协商一致的情况下可以提前终止。

第二十六条协议份数

本协议一式两份，双方各执一份，具有同等法律效力。

第二十七条协议修改

本协议的修改，应当由双方另行签订协议。

（以下无正文）

一、保险资金托管中的个人隐私信息特别保护场景

应用场景说明：在保险资金托管业务中，托管方需处理大量涉及投保人、被保险人及受益人的个人健康信息、财务信息等敏感个人隐私信息。此类信息具有较高的敏感性和风险性，一旦泄露可能对个人权益造成严重侵害。

需要注意的条款及修正：

1.修正第四条委托方的权利中增加"委托方有权要求托管方定期提交个人健康信息处理情况的专项审计报告，包括但不限于信息收集目的变更说明、异常访问记录等"。

2.修正第六条托管方的义务中增加"托管方应当建立敏感个人隐私信息分级管理制度，对健康信息、金融账户等敏感信息采取更为严格的处理措施，包括但不限于加密存储、双人授权访问等"。

3.修正第十三条个人隐私信息的共享中增加"委托方拟共享敏感个人隐私信息时，除取得数据主体同意外，还应当提供共享必要性的详细说明及数据接收方的安全评估报告"。

二、保险资产管理外包中的个人隐私信息协同处理场景

应用场景说明：在保险资产管理外包服务中，托管方不仅负责保险资金的保管，还需与委托方共同处理投资决策相关的个人隐私信息，包括投资建议、风险评估等。此类信息涉及复杂的业务协同和信息交互。

需要注意的条款及修正：

1.修正第二条适用范围中增加"本协议适用于托管方接受委托方委托，对保险资金进行托管管理过程中涉及的投资决策信息、风险评估报告等个人隐私信息的协同处理"。

2.修正第七条托管方的义务中增加"托管方应当建立与委托方的信息交互安全通道，确保投资决策信息在传输过程中的机密性，并记录所有访问日志"。

3.修正第十六条管理措施中增加"托管方应当指定专门的数据保护协调员，负责处理与委托方的信息交互相关的个人隐私保护事务"。

三、保险科技平台中的个人隐私信息自动化处理场景

应用场景说明：在保险科技平台中，托管方可能通过自动化系统处理大量个人隐私信息，包括通过API接口获取的投保信息、理赔信息等。此类场景下，个人隐私信息的自动化处理比例较高，风险控制难度较大。

需要注意的条款及修正：

1.修正第五条委托方的义务中增加"委托方应当提供自动化处理个人隐私信息的详细说明，包括处理规则、频率、系统参数等，并定期更新"。

2.修正第九条个人隐私信息的存储中增加"托管方应当对自动化存储的个人隐私信息进行定期抽样审计，确保存储系统的安全性"。

3.修正第十七条物理安全中增加"托管方应当建立自动化系统的安全监测机制，对异常访问、系统故障等情况进行实时监测和报警"。

四、跨境保险资金托管中的个人隐私信息跨境传输场景

应用场景说明：在跨境保险资金托管业务中，托管方可能需要将个人隐私信息传输至境外服务器或服务提供商。此类场景下，个人隐私信息的跨境传输需严格遵守相关法律法规，防范跨境数据安全风险。

需要注意的条款及修正：

1.修正第四条委托方的权利中增加"委托方有权要求托管方提供境外数据接收方的安全评估报告，包括但不限于数据本地化要求、跨境传输机制等"。

2.修正第七条托管方的义务中增加"托管方应当建立跨境数据传输的安全评估机制，对境外数据接收方的合规性进行定期评估"。

3.修正第十二条个人隐私信息的删除中增加"托管方应当建立跨境数据删除的确认机制，确保境外数据接收方按照约定删除个人隐私信息"。

五、保险理赔辅助服务中的个人隐私信息专项处理场景

应用场景说明：在保险理赔辅助服务中，托管方可能需要处理大量的理赔相关个人隐私信息，包括事故现场照片、医疗记录等。此类信息具有时效性强、敏感性高的特点，需要专项保护措施。

需要注意的条款及修正：

1.修正第六条托管方的权利中增加"托管方有权要求委托方提供理赔辅助服务的具体需求说明，包括信息类型、处理目的、使用范围等"。

2.修正第十一条个人隐私信息的使用中增加"托管方应当建立理赔辅助服务的专项使用记录，详细记录每次使用的时间、人员、目的等信息"。

3.修正第十五条技术措施中增加"托管方应当对理赔辅助服务的个人隐私信息采取临时存储措施，确保信息在处理完毕后及时销毁"。

1.个人隐私信息保护政策

2.数据处理记录台账模板

3.个人隐私信息收集清单

4.敏感个人隐私信息处理说明

5.个人隐私信息跨境传输安全评估报告模板

6.个人隐私信息泄露应急预案

7.数据保护协调员任命书

8.自动化系统安全评估报告模板

9.境外数据接收方合规性评估报告模板

10.个人隐私信息销毁记录表

在实际操作过程中，可能会遇到以下问题及注意事项，以及相应的解决办法：

1.问题：委托方未提供完整的数据处理目的说明

注意事项：根据《个人信息保护法》要求，数据处理目的应当明确、合法、必要

解决办法：要求委托方提供详细的数据处理目的说明，必要时可寻求法律咨询

2.问题：托管方系统存在安全漏洞导致数据泄露

注意事项：系统安全是个人隐私信息保护的重要环节，需建立完善的监测机制

解决办法：建立系统安全事件的应急响应机制，定期进行安全检测和漏洞修复

3.问题：数据主体撤回同意后，托管方仍继续处理信息

注意事项：数据主体的撤回同意权是法定权利，需立即停止处理

解决办法：建立撤回同意的快速响应机制，确保在收到撤回请求后立即停止处理

4.问题：跨境传输未遵守相关法律法规要求

注意事项：跨境传输需遵守《个人信息保护法》及相关国家或地区的数据保护要求

解决办法：建立跨境传输的合规性评估机制，确保符合所有相关法律法规要求

5.问题：敏感个人隐私信息未采取专项保护措施

注意事项：敏感个人隐私信息一旦泄露，可能对个人权益造成严重侵害

解决办法：建立敏感个人隐私信息的专项保护制度，采取加密、双人授权等措施

6.问题：自动化系统处理规则不明确导致错误处理

注意事项：自动化系统处理规则应当清晰、明确，避免错误处理

解决办法：建立自动化系统处理规则的审核机制，确保规则合法合规

7.问题：境外数据接收方存在数据泄露风险

注意事项：境外数据接收方的安全状况直接影响数据安全

解决办法：建立境外数据接收方的安全评估机制，定期评估其安全状况

多方为主导时的，附件条款及说明

第十一章多方为主导时的特殊安排

第一条多方主导定义

本协议所称多方为主导，指在保险托管业务中，除委托方（甲方）和托管方（乙方）外，还存在对个人隐私信息处理具有重大影响的第三方中介方（丙方），该中介方可能参与数据的收集、传输、使用等环节，并需要承担相应的数据保护责任。

第二条多方主导下的责任分配

在多方为主导的情况下，各方应当根据其在个人隐私信息处理中的角色和作用，合理分配数据保护责任。甲方作为数据控制者，对个人隐私信息的处理目的和方式负主要责任；乙方作为数据处理者，对个人隐私信息的处理安全负直接责任；丙方作为中介方，应当根据其在数据处理中的具体角色，承担相应的数据保护责任。

第三条多方主导下的协同机制

各方应当建立健全的协同机制，确保在个人隐私信息处理过程中，能够及时沟通、协调，共同维护个人隐私信息的安全。具体包括：

（一）定期召开数据保护会议，讨论个人隐私信息处理的合规性问题。

（二）建立数据保护联络人制度，确保各方能够及时沟通数据保护事务。

（三）制定数据保护应急预案，明确各方在发生个人隐私信息泄露事件时的职责和行动方案。

第四条多方主导下的监督机制

各方应当建立有效的监督机制，确保各方履行数据保护责任。具体包括：

（一）甲方应当定期对乙方和丙方的数据保护工作进行监督，包括查阅相关记录、要求提供报告等。

（二）乙方应当定期对丙方的数据保护工作进行监督，确保其符合本协议约定及法律法规要求。

（三）丙方应当接受甲方和乙方的监督，并积极配合其监督工作。

第五条多方主导下的违约责任

在多方为主导的情况下，任何一方违反本协议约定，导致个人隐私信息泄露或者造成其他损失的，应当承担相应的违约责任。具体包括：

（一）赔偿守约方因此遭受的损失，包括直接损失和间接损失。

（二）承担相应的行政责任，包括罚款、吊销营业执照等。

（三）承担相应的刑事责任，包括罚款、监禁等。

第六条多方主导下的争议解决

在多方为主导的情况下，各方在履行本协议过程中发生争议的，应当协商解决。协商不成的，应当提交人民法院诉讼解决。各方应当积极配合争议解决过程，并提供必要的证据材料。

第七条多方主导下的协议生效

本协议在所有各方签字盖章之日起生效。

第八条多方主导下的协议终止

（一）本协议在所有各方履行完毕后自动终止。

（二）本协议在所有各方协商一致的情况下可以提前终止。

第九条多方主导下的协议份数

本协议一式多份，各方可执相应份数，具有同等法律效力。

第十条多方主导下的协议修改

本协议的修改，应当由所有各方另行签订协议。

第十二章甲方为主导时的附加条款及说明

第一条甲方主导下的数据处理授权

在甲方为主导的情况下，甲方应当明确授权乙方和丙方处理个人隐私信息的具体范围、目的和方式。乙方和丙方仅能在授权范围内处理个人隐私信息，不得超出授权范围。

第二条甲方主导下的数据处理监督

在甲方为主导的情况下，甲方应当对乙方和丙方的数据处理活动进行监督，包括但不限于：

（一）定期审查乙方和丙方的数据处理记录，确保其符合本协议约定及法律法规要求。

（二）要求乙方和丙方提供数据处理报告，包括数据处理的目的、方式、范围、安全措施等信息。

（三）对乙方和丙方的数据处理人员进行背景审查，确保其具备相应的数据保护意识和能力。

第三条甲方主导下的数据处理审计

在甲方为主导的情况下，甲方应当定期对乙方和丙方的数据处理活动进行审计，包括但不限于：

（一）对数据处理的合规性进行审计，确保其符合本协议约定及法律法规要求。

（二）对数据处理的安全性进行审计，确保其采取必要的技术和管理措施，防止个人隐私信息泄露。

（三）对数据处理的效率进行审计，确保其能够满足业务需求，并提高数据处理效率。

第四条甲方主导下的数据处理整改

在甲方为主导的情况下，如果发现乙方或丙方在数据处理过程中存在不合规或不安全的行为，甲方应当要求其立即整改，并对其整改情况进行监督。乙方和丙方应当积极配合甲方的整改要求，并及时报告整改结果。

第五条甲方主导下的数据处理报告

在甲方为主导的情况下，乙方和丙方应当定期向甲方报告数据处理情况，包括但不限于：

（一）数据处理的目的、方式、范围、安全措施等信息。

（二）数据处理的效果，包括数据处理效率、数据质量等。

（三）数据处理过程中存在的问题及改进措施。

第六条甲方主导下的数据处理培训

在甲方为主导的情况下，甲方应当对乙方和丙方的数据处理人员进行培训，包括但不限于：

（一）数据保护法律法规的培训，确保其了解相关法律法规的要求。

（二）数据处理操作的培训，确保其掌握正确的数据处理方法。

（三）数据保护意识的培训，确保其具备高度的数据保护意识。

第十三章乙方为主导时的附加条款及说明

第一条乙方主导下的数据处理授权

在乙方为主导的情况下，乙方应当根据甲方的授权，处理个人隐私信息。乙方应当明确告知甲方其处理个人隐私信息的目的、方式、范围等信息，并取得甲方的同意。

第二条乙方主导下的数据处理监督

在乙方为主导的情况下，乙方应当对丙方的数据处理活动进行监督，包括但不限于：

（一）定期审查丙方的数据处理记录，确保其符合本协议约定及法律法规要求。

（二）要求丙方提供数据处理报告，包括数据处理的目的、方式、范围、安全措施等信息。

（三）对丙方的数据处理人员进行背景审查，确保其具备相应的数据保护意识和能力。

第三条乙方主导下的数据处理审计

在乙方为主导的情况下，乙方应当定期对丙方的数据处理活动进行审计，包括但不限于：

（一）对数据处理的合规性进行审计，确保其符合本协议约定及法律法规要求。

（二）对数据处理的安全性进行审计，确保其采取必要的技术和管理措施，防止个人隐私信息泄露。

（三）对数据处理的效率进行审计，确保其能够满足业务需求，并提高数据处理效率。

第四条乙方主导下的数据处理整改

在乙方为主导的情况下，如果发现丙方在数据处理过程中存在不合规或不安全的行为，乙方应当要求其立即整改，并对其整改情况进行监督。丙方应当积极配合乙方的整改要求，并及时报告整改结果。

第五条乙方主导下的数据处理报告

在乙方为主导的情况下，丙方应当定期向乙方报告数据处理情况，包括但不限于：

（一）数据处理的目的、方式、范围、安全措施等信息。

（二）数据处理的效果，包括数据处理效率、数据质量等。

（三）数据处理过程中存在的问题及改进措施。

第六条乙方主导下的数据处理培训

在乙方为主导的情况下，乙方应当对丙方的数据处理人员进行培训，包括但不限于：

（一）数据保护法律法规的培训，确保其了解相关法律法规的要求。

（二）数据处理操作的培训，确保其掌握正确的数据处理方法。

（三）数据保护意识的培训，确保其具备高度的数据保护意识。

第十四章第三方中介时的附加条款及说明

第一条第三方中介的定义及角色

本协议所称第三方中介，指在保险托管业务中，接受甲方或乙方的委托，参与个人隐私信息处理活动的第三方机构或个人。第三方中介可能参与数据的收集、传输、使用等环节，并需要承担相应的数据保护责任。

第二条第三方中介的授权