《监管办法》第七十四条规定，保险机构应于每年4月30日前向互联网保险监管相关信息系统报送上一年度互联网保险业务经营情况报告。报告内容包括但不限于：业务基本情况、营销模式、相关机构（含技术支持、客户服务机构）合作情况、网络安全建设、消费者权益保护和投诉处理、信息系统运行和故障情况、合规经营和外部合规审计情况等。我们理解，前述"外部合规审计情况"系指由外部审计机构通过一定的核查方法对保险机构开展互联网保险业务的各个方面是否遵循相关法律法规、部委规章等的核查结果。在合规领域，随着强监管的全面推行，"合规审计"逐渐成为了相关市场主体经营商业活动的一项重要义务，如《个人信息保护法》第五十四条要求个人信息处理者定期对其处理个人信息遵守法律、行政法规的情况进行合规审计，《征信业务管理办法》第四十三条要求个人征信机构应当每年对自身个人征信业务遵守《个人信息保护法》《征信业管理条例》的情况进行合规审计，《网络数据安全管理条例（征求意见稿）》亦提出由数据安全审计专业机构定期进行合规审计的要求。

就适用主体的范围，结合《监管办法》第二条规定，需要向监管报送互联网保险业务经营情况并进行外部合规审计的主体如下：

点击可查看大图

根据《监管办法》等相关规定，社会审计事务机构在开展互联网保险业务的外部合规审计工作时，主要需要关注以下方面：

点击可查看大图

2021年8月，银保监会在全国范围内开展互联网保险专项整治工作，重点整治销售误导、强制搭售、费用虚高、违规经营和用户信息泄露等突出问题。下面我们将结合近期银保监会对于互联网保险业务的相关处罚，重点探讨互联网保险营销宣传合规、数据处理与个人信息保护合规问题，并针对互联网人身保险的特别规定进行简要分析。

互联网保险的营销宣传活动是监管的重点关注问题，实践中因违规营销宣传活动而被处罚的保险机构不在少数，例如，某家在线财产保险股份有限公司因自营网络平台、第三方平台中保险产品的宣传销售用语与条款或事实不符而被处罚，另一家在线财产保险股份有限公司因对互联网保险宣传中存在"误导性描述"内容而被处罚。

从监管角度看，2012年发布的《人身保险销售误导行为认定指引》（保监发〔2012〕87号）采用"定义+列举"的方式对人身保险销售误导行为作出规定。2018年，银保监会发布《关于防范银行保险渠道产品销售误导的风险提示》，从消费者角度提示了营销误导风险；《关于加强自媒体保险营销宣传行为管理的通知》（银保监发〔2018〕27号）进一步加强对保险营销宣传行为的管理。2021年4月，银保监会办公厅发布《关于深入开展人身保险市场乱象治理专项工作的通知》（银保监办便函〔2021〕477号），对人身保险销售行为、从业人员管理等开展专项治理。2021年12月31日，为规范金融产品网络营销，保障金融消费者合法权益，人民银行等七部门联合发布《金融产品网络营销管理办法（征求意见稿）》，聚焦非法金融产品营销、虚假和误导宣传、违背社会公序良俗、适当性管理缺失、不正当竞争等五方面突出问题，金融产品的网络营销监管进一步趋严。因此，互联网保险的营销宣传活动将是外部合规审计的重点核查部分。

1. 消费者保护与营销宣传限制

《监管办法》第十五条从保护消费者权益角度出发，对互联网保险营销宣传作出详细规定。在人员管理方面，保险机构应对从业人员发布的互联网保险营销宣传内容进行监测检查，并在显著位置标明所属保险机构全称及个人姓名、执业证编号等信息；在内容管理方面，从业人员发布的内容应由所属保险机构统一制作，不得进行不实陈述或误导性描述，不得片面比较保险产品价格和简单排名，不得与其他非保险产品和服务混淆，不得片面或夸大宣传，不得违规承诺收益或承诺承担损失；在信息发送管理方面，保险机构及其从业人员应慎重向消费者发送互联网保险产品信息，消费者明确表示拒绝接收的，不得向其发送互联网保险产品信息。

北京银保监会于2021年8月25日发布《关于专项整治北京地区互联网保险营销宣传有关问题的通知》，全面叫停保险公司、保险专业中介机构在京发布存在过度营销、诱导消费问题的营销宣传广告，包括但不限于"首月1元""1元升级""免费赠险""实物抽奖""限时停售"等内容，以及存在广告标识不清晰、关闭按钮不显著、整屏诱导点击等问题的广告。

2. 销售活动与自营网络平台

根据《监管办法》第十六条规定，保险机构应当通过其自营网络平台或其他保险机构的自营网络平台销售互联网保险产品或提供保险经纪、保险公估服务，特别是，投保页面须属于保险机构自营网络平台，即保险机构为经营互联网保险业务，依法设立的独立运营、享有完整数据权限的网络平台。

为加强对互联网保险销售的监管，切实保障消费者知情权、自主选择权、公平交易权，在《监管办法》发布以前，银保监会已经发布了《关于规范互联网保险销售行为可回溯管理的通知》（银保监发〔2020〕26号）（以下简称"《可回溯管理通知》"），该通知将保险行业的可回溯管理经验应用至互联网保险销售行为，并在第四条中明确规定，保险机构应当在自营网络平台通过设置销售页面实现互联网保险销售，不得在非自营网络平台设置销售页面。对于非自营网络平台，保险机构可以设置投保申请链接，但不得设置保险产品销售页面。前述规定为保险机构与第三方网络平台间的合作提供了路径，但其中如何界定合规合作的边界，仍是实务中探讨较多的问题。

保险机构在提供保险服务时，需要处理大量投保人、被保险人、受益人的个人信息，不仅数量多，而且涉及保险运营的投保、核保、理赔等全流程。《监管办法》第三十八条规定了保险机构应承担客户信息保护的主体责任，收集、处理及使用个人信息应遵循合法、正当、必要的原则，具体要求包括：建立个人信息保护制度，收集、处理及使用个人信息时应征得客户同意，履行告知义务等。《监管办法》颁布后，《数据安全法》《个人信息保护法》陆续施行，保险机构的个人信息保护要求进一步细化。从数据合规的实操角度出发，保险机构在开展互联网保险业务时应重点关注以下几个方面：

1. 如何向客户履行告知义务

结合《个人信息保护法》规定，保险机构向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或姓名、联系方式等信息。然而，保险业务中涉及的合作主体繁多，穷尽列举在实践中可能存在一定难度，但如果保险机构将客户的个人信息提供给未列举的主体，则可能存在被监管部门认定为违规处理个人信息的风险。

2. 如何取得客户的单独同意

结合《个人信息保护法》规定，保险机构向其他个人信息处理者提供其处理的个人信息的，应当取得客户的单独同意。为满足该项合规要求，保险机构在实践中往往需要以弹窗、勾选等形式取得客户的单独同意，该模式可能影响客户的消费体验，因而在履行该项合规义务时应当注意获取单独同意的方式方法，降低因履行合规义务而影响互联网保险业务开展效率的风险。

3. 如何降低因合作机构导致的合规风险

保险机构在开展互联网保险业务的过程中，可能因为合作机构的原因出现合规风险。其一，在部分场景下，保险机构需要通过合作机构查询、收集客户的财产、医疗等个人信息，如相关合作机构获取客户财产、医疗等个人信息的行为本身存在合规瑕疵，则可能给通过合作机构获取客户信息的保险机构带来风险。其二，部分保险机构可能不直接接触客户，而是通过合作机构获得客户关于处理个人信息的授权，如何确保前述合作机构已经取得客户的充分授权，且授权内容与处理行为匹配是对保险机构的一项挑战。因此，对合作机构进行监督管理，降低因合作机构导致的合规风险亦属于保险机构展业时应当重点关注的问题。

4. 如何确保集团内部的数据共享行为合规

出于业务拓展考虑，部分保险机构可能需要将客户信息在不同关联公司之间进行融合、共享，例如主营财险和主营寿险的关联公司之间可能存在共享信息以开发潜在客户的需求。按照《个人信息保护法》的规定，此种行为也属于"向其他个人信息处理者提供"个人信息，因此应当告知相关客户并取得其单独同意。然而，落实该规定可能对保险机构开展互联网保险业务存在一定影响，例如，在协议或授权书中载明将向其他公司"提供客户信息用于营销活动"可能对客户消费体验产生负面影响；而对于因历史业务而积累的客户信息，重新告知并取得相关客户同意在实践中可能较为困难。因此，如何在合规前提下实现关联公司之间的客户信息交互，释放其商业价值，需要保险机构思考针对性的解决方案。

《通知》作为《监管办法》的配套文件，进一步对互联网人身保险业务的业务条件、运营能力、产品范围、回溯机制等进行了细化和完善，强化了对互联网人身保险消费者的保护。其中，我们选取部分值得关注的问题简要分析如下：

1. 业务条件及经营区域

《通知》在《监管办法》的基础上对保险机构开展人身保险业务提出了更高要求，满足《通知》对偿付能力、风险综合评级、责任准备金覆盖率、公司治理评级要求等条件的保险公司方可依规开展互联网人身保险业务。实践中，因超出经营区域从事业务活动而遭受处罚的保险机构也不在少数。

2. 线上线下融合人身保险业务与一般互联网保险业务的区分

《通知》明确规定，"保险公司委托保险中介机构开展互联网人身保险业务，保险中介机构应为全国性机构。涉及线上线下融合开展人身保险业务的，不得使用互联网人身保险产品，不得将经营区域扩展至未设立分支机构的地区。"那如何区分线上线下融合人身保险业务与一般互联网保险业务呢？根据《通知》答记者问，通过保险公司线下渠道（包括个人代理渠道、银邮代理渠道和专业中介渠道等）应用移动设备和信息技术开展人身保险业务的，即应属于线上线下融合开展人身保险业务，销售行为监管应遵循《监管办法》第五条有关规定。

结合《通知》和《监管办法》的规定，我们理解：涉及线上线下融合开展保险销售或保险经纪业务的，其线上和线下经营活动分别适用线上和线下监管规则；属于通过线下个人代理等渠道等开展人身保险业务的，不得使用互联网人身保险产品，不得将经营区域扩展至未设立分支机构的地区；无法分开适用监管规则的，同时适用线上和线下监管规则，规则不一致的，应坚持合规经营和有利于消费者的原则。另外，保险机构及其从业人员借助互联网保险业务名义进行线下销售的，包括从业人员借助移动展业工具进行面对面销售、从业人员收集投保信息后进行线上录入等情形，应满足其所属渠道相关监管规定，不适用《监管办法》。因此，在实践中进行业务认定时，需要考虑具体的销售行为（包括信息收集行为、录入行为、销售场景等）等因素进行综合判断，可能存在一定的难度。

3. 可回溯管理机制

《可回溯管理通知》规定，保险机构在自营网络平台上销售投保人为自然人的商业保险产品时，应当实施互联网保险销售行为可回溯管理。在《监管办法》第三十三条规定的销售和服务等主要行为信息全流程可回溯管理制度基础上，《通知》进一步对互联网人身保险业务进行可回溯管理作出细化规定。

根据《通知》第三部分第（十六）条规定，保险公司应定期按要求开展互联网人身保险业务回溯，重点关注赔付率、发生率、费用率、退保率、投资收益率等关键指标，回溯实际经营情况与精算假设之间的偏差，并主动采取关注、调整改进、主动报告及信息披露等措施。第（十九）条规定，银保监会将根据保险公司互联网人身保险业务回溯情况，启动质询、调查、检查等监管程序，依法查处违法违规事项。保险公司存在未按照通知要求定期回溯、回溯数据不真实、定价风险长期未改善等情况，监管机构可能视情况采取监管谈话、风险提示和依法在一定期限内禁止申报互联网人身保险新产品等监管措施，并依据相关法律法规予以行政处罚。除此之外，银保监会还将向董事会提示相关风险，同时依法追究公司主要负责人及相关管理人员责任。

《监管办法》《通知》为规范互联网保险市场秩序、保护消费者合法权益带来深远影响，不断完善的互联网保险监管制度体系对保险机构提出了更高的合规要求。在《监管办法》实施后，保险机构即将迎来首个业务经营情况报送日（2022年4月30日）。外部合规审计只是监管手段，保证互联网保险业务合规运营才是根本，如何在合规的基础上把握互联网保险业务的发展机遇、加速保险行业的转型升级将成为保险机构面临的一项新的考验。