保险行业经营安全刑事风险合规防范和协同治理机制构建（上）

吕 颢 顾 文 刘伯嵩 叶子祥 上海市静安区人民检察院

一、保险行业经营安全刑事风险的类型化分析

（一）保险行业经营安全刑事风险的概念

保险行业经营安全刑事风险，是指因保险机构或者保险从业人员在实施销售、承保或理赔等保险业务过程中存在的不合规行为，以及保险从业人员、社会闲散人员非法获取保险消费者信息，围绕保单销售、退保、贴现、贷款等，以非法手段骗取保险机构佣金或保险消费者钱款，实施侵犯公民个人信息、职务侵占、诈骗、洗钱、非法经营等保险黑产违法犯罪行为，导致保险机构或者其员工承担法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。开展保险行业经营安全刑事风险合规防范工作，应当以预防和降低保险行业经营安全刑事风险为目的，结合保险行业治理需要，由保险机构建立合规管理机制，开展合规审核、合规检查、合规风险监测、合规考核、合规培训等，预防、识别、评估、报告、应对、处置相关刑事风险，从而实现保险行业经营安全刑事风险合规管理。

保险机构在实现保险行业经营安全刑事风险合规管理过程中，相关措施应当覆盖业务各个环节，贯穿决策、执行、监督和反馈全流程，并确保所有业务、部门和人员均已纳入合规工作体系。保险经营安全刑事风险合规工作应当与保险机构经营范围、组织结构和业务规模相适应；合规工作应当根据保险机构内外部环境的变化以及违法犯罪的治理情况适时进行调整和完善；经营管理中存在的刑事风险问题，应当得到及时反馈、纠正和改进。

（二）保险黑产犯罪行为模式的类型化分析

近年来，保险行业经营安全刑事风险多次出现。从当前来看，造成保险行业经营安全刑事风险的行为多数存在以形式上的合法行为掩盖其实质犯罪化倾向和犯罪组织团体化、犯罪行为复合化等情况，具体分述如下。

1.以形式上的合法行为掩盖其实质犯罪化倾向

司法机关在对保险黑产刑事案件开展治理的过程中发现，保险黑产人员通过非法买卖保险消费者信息、对保险消费者及保险机构双方虚构事实、骗取保险机构补贴、虚假投保后再以恶意投诉方式退保等方式实施黑产行为，涉及侵犯公民个人信息罪、职务侵占罪、诈骗罪等罪名，存在犯罪化趋势。在此过程中，保险黑产人员通过将保险消费者信息包装为正常开展的保险业务后进行流转、将保单挂在保险从业人员账户、以代理退保或协助退保等形式开展“撬单”“飞单”活动等方式，将其违法犯罪行为包装成形式上合法的行为，掩盖其行为的实质犯罪化倾向。

2.犯罪组织团体化

保险黑产人员一般已形成一定规模，且有团伙细化分工实施犯罪的组织趋势。例如，在最高人民检察院于2022年5月发布的《检察机关依法办理民营企业职务侵占犯罪典型案例情况通报》所提到的徐某某等人职务侵占、侵犯公民个人信息案件中，徐某某等人组织的犯罪团伙，至案发时已通过招募保险机构离职人员、社会闲散人员等方式发展到200余人，且团伙内部分工明确：团伙负责人负责组织、管理团队成员，并安排开展犯罪活动；财务人员负责对接保险机构内部人员，整合保单销售渠道，实施利润分配；部分管理人员负责从保险从业人员处非法购买保险消费者信息，在个人信息不全的情况下实施“洗信息”行为，以非法手段获取保险消费者的个人信息，将保险消费者作为“围猎目标”；销售人员负责联系保险消费者、销售新保单。黑产团伙通过微信群等通讯平台对下属人员实施层级化管理，结构严密。

3.犯罪行为复合化

司法机关在治理中还发现，保险黑产人员实施的侵犯公民个人信息、职务侵占、诈骗行为存在行为延承逻辑关系，侵犯公民个人信息系实施职务侵占、诈骗行为的预备行为。参与保险黑产犯罪的人员不仅包括保险黑产人员，还包括保险机构的在职人员，行为也从单一的销售行为转变为包括犯罪组织人员招募、购买保险消费者信息数据、恶意投诉退保等行为的复合行为，风险向保险业务全流程延伸并向保险机构内部渗透。

4.犯罪流程“套路化”

在保险黑产人员实施犯罪过程中，保险黑产人员实施犯罪的流程在多数情况下趋于一致，存在“套路化”共性。对其行为开展分析，其犯罪“套路”如下：（1）非法获取保险消费者信息，用于黑产保单销售活动。（2）对保险消费者以“产品升级”“原保单全额退保”等欺骗话术虚构事实，诱导保险消费者购买新保单；同时，对保险机构隐瞒身份，冒充他人身份入职保险机构或开展合作，在骗取佣金后“失联”，保险机构亦难以查找。（3）流窜于多个省市，违法实施异地展业，以话术骗取保险消费者投保新保单，并在当地的保险从业人员名下挂单。（4）以挂新人单的方式，利用保险机构对新入职代理人有新人津贴、业绩奖励等额外补贴的制度，骗取保险机构发放超额补贴。（5）虚假投保后再以“回访不及时”“条款解释不清”等为由向监管部门投诉退保，骗取保险机构佣金。

5.损害后果隐蔽化

在保险黑产犯罪实施之后的较长时间内，保险消费者往往难以发现其个人信息被泄露用于违法犯罪行为的情况，即使发现了也往往面临权利难以救济、保险黑产人员难以抓捕、诉讼证据难以保全等问题。此外，因存在异地展业、挂单骗保等情况，保险消费者、监管部门、司法机关也难以判断危害行为地在哪里、波及受害主体情况以及危害后果的严重程度等。

（三）保险行业经营安全刑事风险的危害

以保险黑产犯罪为代表的保险行业经营安全刑事风险危害巨大。司法机关在开展案件办理和调研的过程中发现，保险行业经营安全刑事风险不仅会严重损害保险机构利益，还会造成保险行业乃至全社会的损失。

1.严重损害保险机构利益，造成保险机构巨额财产损失

保险黑产人员、保险黑产团伙在获取保险机构佣金后，通过恶意投诉等方式全额退保，造成保险机构佣金损失，且切断了保险机构从保险消费者处获取续期保费的可能性，严重影响正常经营活动。在前述徐某某等人职务侵占、侵犯公民个人信息案件中，保险黑产团伙犯罪行为造成直接经济损失800 余万元，保单流失间接损失达1000 余万元，商誉损失更是难以计量。司法机关通过对特定保险机构的专项调研还发现，保险黑产犯罪造成的非正常退保行为导致保险机构非常态费用损失数以亿计。

2.对保险行业造成多元化损害，严重破坏保险行业营商环境

保险行业经营安全刑事风险不仅扰乱了保险行业正常经营管理秩序，还扭曲了保险消费者对于保险行业的认知，导致保险市场在多方位上呈现保险行业商誉受损、营商环境受到严重破坏的情况。一是保险消费者信息的无序滥用严重扰乱保险市场正常经营管理秩序，导致异地展业、违规“撬单”、挂单骗补等行业乱象大量出现，对开展正常经营的保险机构、保险从业人员形成了不正当竞争“优势”，进而出现行业中“劣币驱逐良币”现象。二是保险行业经营安全刑事风险的广泛存在，极大影响保险消费者对保险行业的印象，造成公众对保险行业“乱象频发、风气败坏”的负面认知，导致公众对保险行业信任度下降，使保险行业陷入“公众信任度下降—大量保单退保、保险消费者投诉—公众信任度进一步下降”的恶性循环，致使保险行业的商誉持续减损。

3.严重侵犯保险消费者的合法权益

司法机关在对保险黑产刑事案件开展治理的过程中还发现，保险黑产团伙为骗取佣金，往往欺骗保险消费者退保原保单再办理新保单，使保险消费者重新开始保险等待期，如果保险消费者在此期间因患大病等出险则会受到权益冻结、保障迟延等不良影响，无法获得正常的保险保障，使得保险消费者对抗风险能力降低，也给社会带来了不安定因素。与此同时，保险黑产犯罪行为往往以违法违规交易使用保险消费者信息作为先行为。基于投保行为留存在保险行业内的保险消费者信息存在数量大、范围广、敏感性极强的特点，在保险消费者信息被肆意泄露的情况下，保险消费者信息后续可能被不法人员扩散用于冒用身份、电信诈骗等犯罪的情况几乎难以避免，其危害后果的影响范围和扩散速度也将会远远超过普通犯罪。

二、开展保险行业经营安全刑事风险合规防范面临的现实挑战与障碍

在保险市场发展的不同阶段，监管部门、保险行业、保险机构对保险行业经营安全风险合规防范始终保持高度重视。在监管层面，监管部门先后制发了《保险公司合规管理办法》《关于进一步加强保险业诚信建设的通知》《关于深入整治“代理退保”黑产乱象的通知》等文件，对于保险消费者信息的监管作出了原则性、概括性的规定。近期，监管部门从国家到地方层面分别出台《银行保险机构消费者权益保护管理办法》、“地方‘三稳四建六提升’惠企惠民举措”等，分别在机构落实消费者权益保护主体责任、完善消费者合法权益保护、规范机构及从业人员经营行为、加强行业监督管理等方面作出了详细规定。在行业层面，国内各地保险行业协会分别制定行业廉洁自律公约，对于不正当使用保险消费者信息、实施“撬单”“飞单”、恶意欺诈消费者等不良行为作出禁止性约定。在企业层面，保险机构通过将“不得泄露保险消费者信息”“不得将账户提供他人使用”“不得损害消费者权益”等内容写入保险代理人合同，对保险销售人员行为提出了禁止性要求。

上述规定的内容和措施与保险市场发展过程中存在的有关消费者权益保护及机构管理上的痛点、难点息息相关，在消费者权益保护、机构行为约束等方面都起到了一定作用。但是，随着保险市场的发展壮大，保险行业经营安全刑事风险不断扩散、扩大和延伸，而上述规定并未专门对保险行业经营安全刑事风险予以专章约束，导致相关规范实施效果较为有限、刑事风险约束力逐渐下降。本文综合当前保险行业对行业经营安全刑事风险的合规监管和协同治理的现状，对开展相关工作所面临的现实挑战与障碍归结如下。

（一）对保险行业经营安全刑事风险开展合规防范措施缺乏法律法规依据

监管部门、保险行业以及保险机构从监管和公司管理的视角出发，制定了协同开展保险行业经营安全风险防范合规建设的相关规定，但是对于保险行业经营安全刑事风险防范，上述规定存在着覆盖范围不足、措施应对有缺陷、“监行刑”规范衔接不紧密等问题，有待进一步解决。

1.合规防范规范覆盖范围存在不足

从监管部门、保险行业以及保险机构所制定的相关规范来看，视角均为监管视角和企业视角，覆盖范围一般为保险机构、保险从业人员，通过对保险机构、保险从业人员的行为施加有效约束，从而确保合规防范规范得以实现。但是从保险行业经营安全刑事风险实际治理情况和案件办理情况可以看出，当前保险黑产人员利用这些规定的漏洞，实施了犯罪行为。一是保险黑产人员利用监管规定和管理规定的对象仅局限于保险机构、保险从业人员这一漏洞，以反复入司离司、与保险从业人员相互勾结、冒用他人身份入司或以“虚假人力”入司等手法规避监管规定。二是当前保险监管规定无法对保险消费者产生约束力。对于保险消费者与保险黑产人员相互勾结损害保险机构利益、保险消费者受诱导实施恶意投诉行为、保险消费者泄露其个人信息等情况，依据当前监管规定，仅能对保险消费者在投保前后开展警示性宣教活动，不能对其行为产生有效约束。

2.“监行刑”规范衔接不紧密

自2018 年保险行业逐步出现保险黑产犯罪苗头以来，从监管部门、行政部门、司法机关、行业协会到保险机构均制定了协同开展保险黑产犯罪惩处的相关规定，但在部分规范制定过程中，监管部门、行政部门、司法机关间未能实现规范的协调衔接。例如，对于保险消费者信息被非法获取、使用、流通等不法行为，当前监管部门未能出台专门针对保险消费者信息保护的监管规定或文件。尽管《网络安全法》《数据安全法》《个人信息保护法》等法律法规的出台，对于保险消费者信息的监管作出了概括性规定，但是在监管部门尚未制定衔接性规范的情况下，上述法律法规针对保险消费者信息保护监管的可操作性、协调性、明确性尚有不足。这种立法模式被学者指出，相关规范散见于不同层级、不同领域的法律法规之中，在立法规制上呈现笼统、分散、宽泛的现象（程啸，2018）；监管部门也未就此制发衔接性规范，导致其在实际开展监管的过程中，存在关键要点指代不明确、习惯做法与法律规定不一致的情况。例如，在处理保险消费者信息时，什么样的信息可以被认定为敏感信息？保险机构应当采取什么措施，才能够确保对归类为敏感信息的保险消费者信息履行严格保护责任？再例如，对未成年人提供保险服务时，保险机构对于未成年保险消费者的数据信息是否需要尽到比成年保险消费者更大的注意义务？上述问题在当前尚未得到妥善解决。

（二）尚未构建完整健全的数据合规监管执法流程

当前，我国保险市场保险密度维持高增速、渗透率快速提升、规模保费持续平稳增长，部分保险机构为增强自身竞争力、争夺市场份额，将业绩增长作为经营的首要目标，对于经营安全风险防控与协同治理的建设或执行，则有意无意在常态化工作中予以忽视，未能形成常规化的事前、事中监管机制（刘伯嵩、叶子祥，2022）。此外，保险机构责任追究意识仍较为淡薄，尚要不断提高其责任追究意识和能力。

1.相关监管主体未能形成常规化的事前、事中监管机制

依据法律法规规定，监管部门并非刑事案件办理主体。监管部门、保险行业尽管普遍认识到刑事风险的严重性，却未能在刑事风险防范中构建行业性认知来推动对刑事风险的事前预防能力建设，建立日常化、全覆盖的动态刑事风险监管机制。就保险消费者信息保护所开展的监管活动而言，仍然主要是由监管部门、网信部门牵头开展运动式专项整治活动，以事后惩罚性打击为主。这种运动式事后监管的模式存在单向一维性、仓促性、滞后性、被动性、整治结果的反弹性以及可能存在对法治安定和公平原则有破坏性等弊端，处罚手段主要包括警告、要求撰写承诺函、佣金冻结及罚款等，对涉事人员未能形成有效震慑，也不足以唤起相关人员的数据安全意识和保险黑产防范意识（许多奇等，2017）。

2.责任追究意识仍较为淡薄

保险机构对于在日常督查中发现的保单审核不力、使用虚假人力、随意提供工号供他人使用、“撬单”“飞单”、异地展业、购买其他保险机构的保险消费者个人信息等违法违规行为，如其有助于业绩增长，在处理时也往往倾向于下调责任要素、降格评价定性、淡化责任追究，大事化小、小事化了，以消除外界影响。在司法实践中，仅有极少数案件进入司法程序，绝大多数案件存在以罚结案甚至以罚代刑的情况。这对保险黑产人员无异于排除后顾之忧，对其实施保险黑产行为形成了“正向激励”。

3.对投诉退保件处理不规范

部分保险机构为降低投诉率，对于投诉至监管部门的退保件，不论缘由悉数允诺全额退保。黑产团伙利用保险机构这一弱点，通过向监管部门恶意投诉，迫使保险机构全额退保，从而骗取保险机构佣金。

（三）新型违法犯罪行为迭出加大了保险行业经营安全刑事风险合规防范的难度

在当前金融市场与互联网技术日益融合、业务创新层出不穷的情况下，新型保险犯罪迭出，危害行为样态也随之变化，极大地增加了保险行业经营安全刑事风险合规防范的难度，其中，涉保险数据违法犯罪尤其明显。部分数据违法行为可能与刑事法律条文载明的某一个或者某几个行为在类型上大体一致，但在行为模式、行为结果、行为特征等方面存在些许差异，导致在对行为进行类型化界定的过程中难以进行违法性判断，进而难以实现规制。例如，针对保险代理人通过爬虫技术抓取保险消费者个人信息的行为，在未查到其有明确出售或者使用个人信息行为、仅能认定其可能会有实施牟利行为倾向的情况下，难以以现有刑事法律规定予以规制。此外，部分新型数据违法犯罪行为即便由法律专业人士来判断，也难以提供行为定性判断或风险防范指引，在开展法律治理时体现为“事后诸葛亮式”的反应滞后，从治理效果上体现为仅能从事中甚至事后开展涉案企业治理，难以开展事前治理（毛玲玲，2019）。

（四）业绩主导模式导致保险机构对保险黑产犯罪的防范在关键要素方面存在缺失

如前文所述，部分保险机构对于可能影响业绩增长的风险监管机制，尤其是经营安全刑事风险合规监管机制，有意无意地予以忽视，造成对保险消费者信息管控不到位、业务账号管理有盲区、人员管理有漏洞、业绩审查机制不健全、对从业人员教育管理有缺位等风控关键要素的缺失。这些风控关键要素缺失的情况叠加保险机构长期存在的低费率、高佣金、高返还、高手续费的“一低三高”现象被保险黑产团伙利用并借以实施违规套利行为，对于保险机构而言已形成不可小觑的保险经营风险。

1.对保险消费者信息管控不到位

部分保险机构未建立专门制度对保险消费者信息进行管理，仅将保险消费者信息纳入保单管理范围，对离职人员离职前上交、销毁涉及保险消费者信息等敏感资料的规定不明确；部分保险机构尽管对保险消费者信息保护设有管理制度，但未严格执行，导致保险消费者信息被泄露或滥用。

2.对业务账号使用存在管理盲区

部分保险机构未将管理人员异常使用业务账号的现象纳入管控范围，没有根据使用时间和使用场景等对业务账号实行差异化管理，对涉及保险消费者信息的部分敏感内容未设置相应保护措施，导致黑产团伙使用业务账号查询大量保单、获取保险消费者信息。

3.对从业人员身份审核有漏洞

部分保险机构对从业人员无实质身份审核措施。保险代理人、内勤服务人员等以账号密码、手机验证码等方式登录手机应用程序，登录后即可销售保单、查询客户个人信息等。这一审核方式过于简单，无法防止黑产团伙“挂靠”、冒用从业人员身份来实施犯罪行为。

4.对保险消费者身份审核不严格

部分保险机构对于保险消费者身份、住址及联系方式等个人信息审核不严格、不细致，在回访时也未及时处理信息异常的保单，致使黑产团队冒用他人身份或使用部分虚假个人信息投保，进而实施犯罪行为。

5.对从业人员业绩审查机制不健全

部分保险机构为鼓励销售，缺少主动审查销售保单真实性的制度规定，对于新老员工业绩倒挂、新人销售业绩明显不合理等情况未引起重视，也未及时核实调查，造成各保险业务团队之间“劣币驱逐良币”。

6.对从业人员教育管理有缺位

部分保险机构对保险从业人员的教育管理呈现“重绩效、轻责任”“重业务、轻管理”“重前端、轻后端”的导向，导致部分保险从业人员责任意识不强、法治观念淡薄，少数保险从业人员甚至伙同黑产团伙实施买卖公民个人信息、侵吞专项补贴等违法犯罪行为。出于业绩考虑，保险机构对保险从业人员从事异地展业、“飞单”“抢单”、购买其他保险机构的保险消费者个人信息等违法违规行为持放任态度，客观上纵容此类活动。

（五）监管部门、行政部门、司法机关、保险行业等多方开展协同治理工作尚有不足

司法机关在对保险黑产刑事案件开展治理的过程中发现，相关保险黑产犯罪行为往往被细分为多个环节、由不同的犯罪主体实施，部分行为游走在罪与非罪、违法与合法、违规与合规之间，难以由单一监管部门、行政部门或者司法机关承担治理工作。对此，由多方开展协同治理工作成为开展保险黑产犯罪治理的重要一环。但在当前工作中，监管部门、行政部门或者司法机关在监司衔接、行刑衔接等方面存在程序流程、实体裁量等不足，导致当前在开展多方协同治理上尚存在不足。

1.程序流程衔接尚不紧密

保险黑产犯罪行为在具有刑事可罚性的同时，从监管、行政的角度处罚，也构成违规行为，应当对其依法依规予以处罚。在当前开展保险黑产案件办理和保险行业经营安全刑事风险治理的同时，监管部门、行政部门与司法机关由于缺乏直接沟通渠道与工作机制，在程序流程衔接上存在着不紧密的情况。对于行为情节已符合刑事处罚条件、应当对其开展刑事处理的保险黑产人员，监管部门、行政部门在处罚时往往无法直接将其移送司法机关开展刑事追诉，而是交由保险机构联系侦查机关开展立案查处；对于司法机关认定其行为尚不能构成刑事犯罪、但其行为具有行政法意义下可罚性的保险黑产人员，目前司法机关也无法将其直接移送监管部门、行政部门进行处理。在实际治理过程中，这部分人员即成为“治理的黑数”，对开展保险行业经营安全刑事风险合规防范和协同治理造成了不利影响。

2.实体裁量衔接尚有缺陷

根据《保险销售从业人员监管办法》相关内容，监管部门在发现保险从业人员存在违规行为后，可依照法律、行政法规对保险从业人员及相关保险公司、保险代理机构给予处罚；法律、行政法规未作规定的，在对相关保险公司、保险代理机构开展处罚之外，对保险从业人员给予警告，并处1 万元以下的罚款。与刑事法律法规在对涉嫌保险黑产刑事犯罪的人员科处自由刑、罚金刑相比，当前监管部门对保险从业人员违规行为处理力度显著过轻，未能在实体裁量上形成处罚上的衔接。

三、构建保险行业经营安全刑事风险合规防范机制的必要性和基本原则

（一）构建保险行业经营安全刑事风险合规防范机制的必要性

1.构建保险行业经营安全刑事风险合规防范机制是保护保险消费者合法权益的必然要求

保险是专业壁垒高、条款内容复杂的金融产品，在表述上，往往体现为合同条文冗长晦涩、佶屈聱牙。对于缺乏保险专业知识训练的普通保险消费者而言，即便其能够获取到相关信息，因其不具备足够的数据权利意识、必备的保险专业知识及理性决策能力，在处分自身数据权利时难免会有纰漏。此外，司法机关在办理保险黑产刑事犯罪案件中发现，在缺乏强有力的外在监管与约束的情况下，只依靠保险消费者的自力救济抑或保险从业人员的自律管理，保险消费者的个人信息极有可能面临被泄露和滥用，进而导致对保险消费者产生不利后果甚至危害性后果（宋保振，2020）。因此，对保险消费者合法权益的保护必然要求构建外源性机制，以确保保险消费者合法权益不受到不法侵害。

2.构建保险行业经营安全刑事风险合规防范机制是维护保险行业正当利益的重要抓手

对于保险行业而言，以保险黑产犯罪为代表的保险行业经营安全刑事风险不仅导致了保险行业的无序竞争、恶性竞争，还会导致保险行业利益受损。一是保险黑产人员利用保险消费者信息实施“飞单”“撬单”行为，导致保单的正常佣金被保险机构冻结、追索，造成正常展业的保险从业人员利益受损。二是消费者在发现其购买的黑产保单存在诱导投保、虚假承诺、信息滥用等情况时，采用监管投诉、协商退保等方式主张全额退保，导致保险机构承担在运营成本、佣金费用等沉没成本上的损失。三是保险消费者在发现其个人信息被泄露并被用于实施违法犯罪行为的情况时，对于保险行业作出社会责任缺乏、从业人员素质不高、行业乱象频发等负面评价，从而影响保险行业商誉，造成保险作为社会治理必要金融工具的作用难以真正为民众所认可和接受，进而对保险行业做大行业规模、扩大行业影响产生负面影响。对此，构建保险行业经营安全刑事风险合规防范机制是维护保险行业正常生态、确保保险行业真正做大做强的重要抓手。

3.构建保险行业经营安全刑事风险合规防范机制是优化法治化营商环境建设的实际体现

构建法治化营商环境是当前社会对保障经济高质量发展提出的重要要求，其中，构建整体、协同、系统的数据监管格局，完善监管、政策、法律三位一体的“功能—结构型”数据治理配套制度是优化法治化营商环境建设的实际体现。一是针对相关金融保险市场，通过重塑保险行业治理秩序，以优化法治化营商环境建设作为治理功能的调整目标，强化经营安全监管，完善技术管理手段，实现“监管—行政—司法”多重监管程序下的衔接流程重构。二是通过优化监管流程、重塑市场秩序，在防止以保险消费者信息为代表的保险行业生产性要素无序流动、被违规滥用的前提下，持续深化其作为生产性要素的有效整合使用。三是针对当前保险市场机制构建尚不完善、惩防措施尚不到位、对于外部性问题难以采取治理手段等系列问题，可以由多部门开展联合治理、精准打击，防止出现“公地灾难”。

（二）构建保险行业经营安全刑事风险合规防范机制的基本原则

保险行业在构建保险行业经营安全刑事风险合规防范机制过程中，如何从开展惩防保险黑产犯罪协同治理出发，实现对保险行业经营安全刑事风险的合规防范和协同治理，切实发挥监管部门、行政部门、司法机关的协同治理效用，需要考虑以下情况：一是如何真正发挥多部门协同治理的协同效应，防止多部门因职责不清、权责不明而产生监管盲区，导致出现“九龙治水”的局面；二是如何合理制定经营安全刑事风险合规监管要求，在避免出现监管盲区的同时，避免多部门治理程序重复导致保险机构承受不必要负担；三是如何在构建保险行业经营安全刑事风险合规防范机制时，既体现对保险黑产犯罪行为的合理限制，又能够不妨碍正常保险市场经营行为。

在法律制度体系中，原则是具有最高效力的行为规范；确立了保险行业经营安全刑事风险合规监管的原则，即确立了上述合规监管的基础范式。对此，保险行业应当确立以下原则，以确保相关工作有序展开。

1.全面合规原则

从开展保险黑产犯罪治理的角度出发，保险黑产犯罪由于其犯罪行为复合化、风险向全流程延伸化、行为模式兼具“违法—犯罪”二重性等特点，若仅针对单一流程、单一部门、单一业务开展合规监管和治理，势必难以实现治理效果和治理目标。对此，在构建保险行业经营安全刑事风险合规防范和协同治理过程中，必然要求涵盖经营管理活动的全部内容与环节，针对业务全流程中涉及的所有部门、业务和人员所面临的保险消费者信息管理风险环节，全面构建保险行业经营安全刑事风险合规防范机制，其具体体现在如下两个方面：

第一，保险行业经营安全刑事风险合规防范机制应当覆盖保险业务全流程。当前保险黑产犯罪治理情况表明，保险行业经营安全刑事风险贯穿于保险业务全流程，在保险展业、投保协议签订、维护人员跟踪回访、内勤人员保单备份等环节都有可能会造成保险消费者信息被泄露和滥用、保险黑产人员冒充保险从业人员身份实施诱导诈骗行为、保险机构的内设监督部门和回访部门的作用被保险黑产人员突破等不良后果。对此，保险行业经营安全刑事风险合规防范机制应当覆盖保险业务全流程，在不同流程阶段针对不同事项按照不同的内容和标准实施监管，确保保险机构在经营全流程中切实履行合规义务、完善相关风控架构。

第二，保险行业经营安全刑事风险合规防范机制应当覆盖参与保险业务经营的所有人员。从保险黑产犯罪治理情况来看，参与保险黑产犯罪的人员包括部分保险从业人员以及社会闲散人员。其中，在泄露和滥用保险消费者信息并在后续实施挂新人单、骗取新人佣金等行为的违法犯罪人员中，当前已查明犯罪嫌疑人涵盖保险代理人、保险机构内勤人员、保险机构管理人员等，基本囊括了参与保险业务的所有岗位。此外，部分社会闲散人员与保险从业人员相互勾结，利用保险机构招聘制度漏洞，采取多次入司离司、冒用“虚假人力”身份、异地展业等做法，牟取非法利益。对此，保险行业经营安全刑事风险合规防范机制应当覆盖上述人员，从关键岗位审查、重点人员管理、从业资格限制等方面建立全面、综合、系统化的监管制度，确保治理的全面性。

2.严格依法防范原则

在开展保险行业经营安全刑事风险合规防范工作中，必然需要以法律为依据，并以法律为限制。以对保险消费者信息管理开展刑事风险合规防范为例，保险消费者信息具有隐私属性强、数据敏感程度高、数据泄露的后果严重等特性，在对保险消费者信息管理开展合规监管的过程中，必然要求于法有据，不能随意突破法律限制。对此，在构建保险行业经营安全刑事风险合规防范机制时，应当遵循依法有序、公开公正、平等保护、标本兼治的原则，严格依据相关法律法规开展合规监管工作，确保相关合规监管措施与法律法规相互协调，杜绝出现违法违规监管行为。

在开展保险消费者信息合规监管工作中，还应当同时注意不得侵犯法律规定的保护保险消费者以及企业的正当权利，例如，“企业商业秘密保护”“律师保密权”“个人信息不得违法采集”等，坚持“公正底线不能突破原则”（马明亮，2020）。

3.目的正当原则

在构建保险行业经营安全刑事风险合规防范机制过程中，还应当注意合规监管不应当对保险机构、保险从业人员施加不必要的负担和限制。在监管实践工作中，若对保险机构设定过高的合规监管义务，导致企业过频、过密、过多、重复报送监管信息，不但会造成合规监管义务的不平衡，浪费企业的人力成本和管理资源，还会导致保险消费者信息更容易遭受泄露和滥用的危害性后果。

对此，在构建保险行业经营安全刑事风险合规防范机制时，应当充分考虑保险行业经营安全刑事风险合规防范的实际情况及现实需求，基于全面合规要求，以最大限度保护保险消费者合法权益和保险行业整体利益为出发点，构建目的正当化的保险行业经营安全刑事风险合规防范机制，具体而言，可以从以下这些方面开展工作。一是同时监管保险行业经营开展的实际需要和经营安全要求，实现“经营需要—合规安全”的平衡。一方面，通过在人员管理、业务监管、数据管控等方面完善监管措施，降低经营安全刑事风险发生的可能性，推动安全性业务模式真正形成；另一方面，根据保险行业从业经营合法合理的实际需求，优化合规流程，让合规成为保险市场做大做强的新引擎与新增长点。二是在赋予市场主体监管义务时，也要兼顾企业能力与监管要求，实现监管“能力—要求”平衡。应当充分综合考虑保险行业在当前对经营安全合规防范和协同治理的规模、能力、范围等实际监管能力，在不脱离企业现况的要求下设定合规监管义务。与此同时，也应当考虑到经营安全实际要求，在制定相关合规监管二级指标过程中，应当注重指标体系与实际风险情况相一致，确保相关措施能够精准符合经营安全实际要求。

4.多方协同原则

正如前文所述，保险黑产犯罪的行为模式兼具“违法—犯罪”二重性，在中国式现代化法治社会建设要求下，应当由相关监管部门、行政部门、司法机关根据其职责开展协同治理工作。在此过程中，监管部门、行政部门、司法机关应当相互协作，在完善履职能力、促进履职效率、提升履职效果的基础上，开展分工协同治理工作。一方面，针对涉嫌保险行业经营安全刑事风险的具体行为，监管部门、行政部门、司法机关区分其违规、违法、犯罪的情况，开展合规监管工作监司衔接、行刑衔接，对保险行业经营安全刑事风险实现强监管、无死角、全覆盖；另一方面，监管部门、行政部门、司法机关应当充分调研保险行业经营安全刑事风险的实际情况，对涉及违规处罚、行政处罚、刑事处罚有交叉处理的情况进行梳理和整合，明确相应违法犯罪行为治理边界及治理限度，防止出现一事多罚、多头治理的情况。（待续）