دست بسته ناظر در خلاء مقررات / معیارهای تعیین اسرار تجاری در صنعت بیمه چیست؟(بخش اول)

به گزارش ریسک نیوز به نقل از بیمه داری نوین، با ظهور و بروز کسب و کارهای نوین بیمه ای که به اسم استارتاپ معروف اند یکی از چالشها تعیین خط مشی و مرزها و استانداردهای محرمانگی اطلاعات است. مقوله ای که چون ساختار و آیین نامه های مرتبط با آن به درستی تدوین نشده لاجرم عرصه را برای قضاوت سلیقه ها باز کرده است. شاید بتوان نگاه دیگری هم داشت: در چنین شرایطی هرمنوتیک یا تاویل متن مقررات گریزناپذیر میشود. در گردهم نشینی با سه تن از مسئولان در بیمه مرکزی به پیشینه و اکنون محرمانگی اطلاعات پرداخته ایم. عباس خسروجردی، مدیر کل محترم نظارت بر بیمه های غیر زندگی؛ حسین احمدی، رئیس اداره دعاوی و قراردادها و سید قاسم نعمتی، رئیس فابای بیمه مرکزی اعضای این گردهم نشینی هستند. در این مسیر از دیگر مدیران چون آقاجری دعوت به عمل آمد؛ ولی نیامدند. سه محور را برای این میزگرد در نظر گرفته ایم؛ محور اول اصل محرمانگی اطلاعات از منظر حقوقی و در آیین نامه های بیمة مرکزی است. در محور دوم به وضعیت موجود می پردازیم و در محور سوم نیز به وضعیت مطلوب مي پردازیم وضعیت مطلوبی که همة ذی نفعان به یک احساس برد برد برسند.

 قسمت اول را با هم می خوانیم:

* آقای احمدی، به لحاظ قوانین و مقررات و آیین‌نامه‌ها و اختیاراتی که در بیمه مرکزی هست، محرمانگی اطلاعات در چه مسیری قرار دارد؟

احمدی: در جلساتی که طی سال جاری و بر اساس ضرورت‌های کسب و کار در وضعیت حال بازار بیمه داشتیم درباره موضوعات مرتبط با محرمانگی اطلاعات بحث‌های بسیاری مطرح شده است.

در کنار مطالعاتی که درباره صنعت بیگ‌دیتاها انجام دادم؛ در ابتدا به چند ماده از قانون تجارت الکترونیک اشاره می‌کنم تا به تعاریف مشترک برسیم.

ماده 65 قانون تجارت الکترونیک می‌گوید که اسرار تجاری الکترونیکی داده‌پیامی است شامل اطلاعات، فرمول‌ها، الگوها، داد و ستد، فنون، نقش‌ها، اطلاعات مالی، فهرست مشتریان، طرح‌های تجاری و … است که به صورت مستقل دارای ارزش اقتصادی هستند و در دسترس عموم قرار ندارند و تلاش‌های معقولانه‌ای برای حفظ و حراست از آنها انجام شده است؛ بنابراین می‌بینیم که تعریف قانون کاملاً درست است.

قانون تجارت الکترونیک از قانون‌های مرتبط با حوزة تجارت الکترونیک است؛ به تعبیر دیگر تنها قانونی است که در حال حاضر می‌توان به آن استناد کرد. در این قانون از عبارت اسرار تجاری نام برده و به تعدادی از مصادیق اشاره شده است.

از جمله اینکه در مادة 64 آمده است: به منظور حمایت از رقابت‌های مشروع و عادلانه تحصیل غیر قانونی اسرار تجاری و اقتصادی برای خود و اشیا آن برای اشخاص ثالث در محیط الکترونیکی جرم محسوب می‌شود و مرتکب، مجازات به مقرر در این قانون خواهد رسید. قانون می‌گوید؛ هر کسی غیر قانونی این اسرار را تحصیل کند مجازات می‌شود. حال مجازات آن چیست؟ مجازات آن در مادة 75 آمده است و آن اینکه شش ماه الی دو سال و نیم حبس و جزای نقدی معادل 50 میلیون تومان.

اما سؤال این است که تحصیل غیر قانونی چیست؟ در ماده مذکور تحصیل غیر قانونی به صورت مشخص و دقیق تعریف نشده است.

مقررات دیگری هم وجود دارند؛ بند ک، مادة 45 قانون اجرای سیاست‌های کلی اصل 44 قانون اساسی می‌گوید: «کسب و بهره‌برداری غیر مجاز از هرگونه اطلاعات داخلی رقبا در زمینه تجاری، ‌مالی و فنی و نظایر آن به نفع خود و اشخاص غیر قانونی است.»

در اینجا هم تعریف مشخصی از اطلاعات داخلی رقبا ارائه نشده است. آیین‌نامه‌ای هم از سوی هیئت دولت که به نوعی یک مرجع تنظیم‌کننده و بالاسری بعد از مجلس است در این مورد تهیه و ابلاغ نشده است.

بر همین اساس اینکه بیمة مرکزی بتواند رأساً اقدام به تفسیر قانون کند خود جای بحث دارد. اینکه اصلاً پیش‌بینی موضوع می‌تواند در آیین‌نامه‌های داخلی صنعت بیمه انجام شود یا نه؟ آیا می‌توان در قالب این آیین‌نامه‌ها اشاره کرد که محرمانگی را رعایت کنید و مصادیق آن را نیز تعریف کنیم؟ از نظر جایگاه حقوقی و سلسله مراتب تدوین مقررات، بیمة مرکزی نمی‌تواند چنین اقدامی انجام دهد. بیمة مرکزی مسئول توسعة و تعمیم امر بیمه است. نهاد ناظر نمی‌تواند دیتاهایی را که در بازار روان است را کنترل کند. به نظر بیمه مرکزی این اختیار قانونی را به شکل گسترده ندارد تا بتواند بر شیوه استفاده از کلان‌داده‌ها نظارت کند.

* ضروری است که نحوة کنترل به چه شکل باشد؟

احمدی: تجربه‌های کشورهای دیگر به ما می‌گوید شیوة کنترل با بیمة مرکزی نیست. در تمام کشورهای توسعه‌یافته این موضوع حل‌شده است.

تمام اشخاص امروز به داده‌ای متصل هستند و بعد وارد بازار بیمه می‌شوند؛ یعنی روی داده‌های خود حساب کرده‌اند.

اتحادیة اروپا در سال 1995، یعنی حدود 22 سال پیش در مورد این موضوع تصمیم‌گیری کرد؛ دستورالعملی نوشت و بر اساس آن شیوة استفاده از داده را تبیین و سازمان رگولاتور خود را نیز مشخص کرد؛ البته کشور فرانسه قبل از ورود اتحادیة اروپا به این مبحث، در این مورد دارای مقررات بود.

سال 2012 دستورالعمل اتحادیة‌ اروپا اصلاح و سال 2016 ابلاغ شد و از سال 2018 الزام‌آور شد؛ یعنی از همان ابتدا الزام‌آور نشده است؛ چون شرایط کشورها با یکدیگر متفاوت است. کشورهای بسیاری، نظام نظارت بر داده‌ها و سازمان رگولاتوری دارند؛ از جمله فنلاند، هلند، آمریکای جنوبی و … .

در واقع دستورالعمل مزبور در سال 1995 با عنوان «حمایت از اشخاص حقیقی در مقابل پردازش داده‌های شخصی و گردش آزاد داده‌ها» توسط اتحادیة اروپا منتشر و ابلاغ شد. از جمله کشورهایی که این نظام را هم اکنون دارند عبارت‌اند از فرانسه، کرواسی، دانمارک، فنلاند، ایتالیا، هلند و در آمریکای جنوبی کشور آرژانتین و در آسیا نیز کرة ‌جنوبی پیشتاز این عرصه بوده و از سال 2013 این مرکز را ایجاد کرده است.

* در واقع نظام رگولاتور مخصوص به خود دارند. اما این کشورها چه نهادی را برای این امر انتخاب کردند؟

احمدی: به عنوان نمونه فرانسه را برای شما تشریح می‌کنم.

فرانسه در این زمینه سازمانی را مشخص و 17 عضو برای آن قرار داده و نام آن را «امنیتِ انفورماتیک و آزادی» قرار داده است که مسئول تضمین و اجرای قانون دادة این کشور محسوب می‌شود. یک مقام اداری مستقل است و استقلال آن شرط فعالیت این کمیسیون محسوب می‌شود. استقلال این سازمان به دلیل حضور و وجود 17 عضو از حوزه‌های مختلف است که شامل چهار نمایندة مجلس (دو عضو مجلس شورای ملی و دو عضو مجلس سنا) و دو نماینده از اعضای شورای اقتصادی و اجتماعی محیط زیست فرانسه، و شش نماینده از حوزه قضایی و 5 شخصیت عمومی (یک نفر به انتخاب رئیس مجلسه شورای ملی و یک نفر به انتخاب مجلس سنا و سه نفر به انتخاب هیئت دولت فرانسه)که به مدت پنج سال فعالیت خود را آغاز می‌کنند.

ما چنین اتفاقی را در شورای عالی فضای مجازی داریم؛ ولی شورای عالی فضای مجازی این اختیار را ندارد که به حوزة داده وارد شود. تنها جایی که می‌توان در مورد آن صحبت کرد بحث کمیسیون تنظیم مقررات است.

* آیا کشور ما در تدوین رگولاتور نظام داده‌ها تجربه‌ای داشته است؟

احمدی: در مورد اینکه آیا در ایران در مورد این موضوع فکر شده است باید بگویم که سال 1384 حدود 16 سال پیش اواخر دولت هشتم، طرحی از دولت به مجلس رفت و مجلس از این موضوع استقبال کرد؛ اما با تغییر دولت و ورود دولت نهم، طرح از مجلس پس گرفته می‌شود و تا کنون نیز طرح دیگری جایگزین آن نشده است.

این طرح ایراداتی داشت؛ ولی گاهی لوایح شروع یک اقدام هستند؛ مثل اتفاقی که سال 87 برای قانون بیمة اجباری رخ داد. قانون بیمة اجباری شخص ثالث که در سال 95 تصویب شد یکی از قوانین توسعه‌یافتة ایران محسوب می‌شود؛ درست است که ایراداتی دارد؛ ولی اتفاق مثبتی است. دوستانی که با شیوة قانون‌گذاری آشنایی دارند، می‌دانند که جسارت نوشتن قانون و اصلاح آن بسیار مهم است. به همین دلیل از سال 1350 به بعد قانون بیمه اصلاح نشد؛ در حالی که برای قانون بیمه دو مرتبه اصلاحیه نوشته شد؛ یک بار در بیمة مرکزی و یک بار هم توسط آقای دکتر کاتوزیان ولی اصلاحی در قانون بیمه اتفاق نیفتاد و قانون بیمه همچنان همان قانون 1350 است.

پیش‌نویس این طرح (لایحه حفظ حریم خصوصی) هفت سرفصل بسیار مهم داشت؛ اول) حریم خصوصی اطلاعات. دوم) اطلاعات شخصی در فعالیت‌های رسانه‌ای. سوم) حریم خصوصی ارتباطات. چهارم) مسئولیت‌های ناشی از نقض حریم خصوصی. پنجم) حریم خصوصی جسمانی. ششم) حریم خصوصی اماکن و منازل. هفتم) حریم خصوصی در محل کار.

به نظرم اگر این اتفاق رقم می‌خورد بسیاری از معضلات و مشکلات را مرتفع می‌کرد.

* نگاه دیگری هم به وضعیت فعلی موجود از منظر قوانین و مقررات و به طور کلی رگولاتورهای بیمه داشته باشیم.

احمدی: اینکه در این گفت‌وگو از بیمه مرکزی عبور کردیم به این دلیل بود که بخش‌های مسئول در بیمه مرکزی به لحاظ قوانین و مقررات موجود نمی‌توانند مرزهای محرمانگی اطلاعات را به راحتی مشخص کنند و بگویند که از این داده استفاده نکنید. بیمه مرکزی می‌تواند بر بخشی از داده‌ها نظارت کند و شیوه استفاده از بخشی از داده‌های موجود در بازار را مشخص کند؛ اما قادر نیست به صورت مصداقی مشخص کند از چه داده‌هایی استفاده نکنید. در واقع این امر از نظارت بیمه مرکزی خارج می‌شود.

* وضعیت موجود ایران از منظر قوانین و مقررات چگونه است؟

احمدی: وضعیت موجود در ایران به سه بخش سازمان‌های سیاست‌گذاری و تقنینی، سازمان‌ها و مراجع نظارتی و اجرایی و مراجع قضائیه تقسیم می‌شود.

سیاست‌گذاران در این حوزه مجمع تشخیص مصلحت نظام، مجلس شورای اسلامی، شورای عالی فضای مجازی و کمیسیون تنظیم مقررات و ارتباطات هستند.

مجلس طی این سال‌ها می‌توانست به سراغ تهیه قانون در زمینه نظارت بر شیوه استفاده از داده‌ها برود؛ حتی اگر قوة مجریه اقدامی انجام نداد قوة مقننه می‌توانست با تهیه یک طرح تکلیف این موضوع را روشن کند. مراجع نظارتی از جمله وزارت ارتباطات، سازمان تنظیم مقررات، کارگروه تعیین مصادیق محتوای مجرمانه و سازمان فناوری اطلاعات نیز مراجع نظارتی ما و اجرایی ما هستند. مراجع قضایی ما قوه قضائیه و کارگروه تعیین مصادیق محتوای مجرمانه نیز سازمان‌های قضایی ما هستند.

البته کمیسیون تنظیم مقررات نیز با توجه به اختیار خود از جمله سیاست‌گذاری، تدوین و تصویب مقررات در حوزه ارتباطات و فناوری اطلاعات می‌توانست در این زمینه مقرراتی خوبی وضع کند.

* آیین‌نامه‌های فعلی در بیمه مرکزی نمی‌توانند، بگویند که چه عکس‌العملی در این مواقع داشته باشید؛ مثلاً ارسال پیامک به همة مردم می‌تواند بر خلاف مادة 21 آیین‌نامة 92 باشد؛ چون طبق این ماده کارگزار بیمه ملزم به حفظ اسرار و اطلاعاتی است که به مناسبت شغل خود به دست می‌آورد و در صورت غیر مجاز این اسرار بیمه مرکزی می‌تواند نسبت به عدم فعالیت یا لغو پروانة کارگزاری اقدام کند.

خسروجردی: در قوانین و مقررات همة کشورها موضوع حفظ اسرار تجاری و اقتصادی و حریم خصوصی وجود دارد. کسانی که به مناسبت شغل و حرفه‌شان به اطلاعات و داده‌های خصوصی دسترسی دارند نمی‌توانند جز در مواردی که قانون معین کرده از این اسرار استفاده کنند. در قانون تأسیس بیمة مرکزی و بیمه‌گری نیز در تبصره ذیل مادة 5 که به وظایف و اختیارات بیمه مرکزی اشاره می‌کند بیمة مرکزی را ملزم به حفظ اسرار مؤسساتی کرده که به واسطة قانون حق نظارت بر آنها را دارد و اطلاعات آنها را به دست آورده و نمی‌تواند جز در مواردی که قانون معین کرده از این اطلاعات استفاده کند.

همچنین اشاره داشتید شورای عالی بیمه در آیین‌نامة 92 کارگزاران بیمه را ملزم به این امر کرده است؛ ولی تاکنون مصادیق یا معیارهای تعیین اسرار تجاری و اقتصادی در مورد هیچ یک از فعالان تعیین نشده است. آنچه تا به امروز اتفاق افتاده و به عنوان حفظ اسرار رعایت شده است بیشتر عرفی و غریزی بوده است؛ مثلاً در بیمه مرکزی و تا پیش از آغاز به کار سنهاب که سیستم کامل کاغذی بود و بردروهای شرکت‌های بیمه و بیمه‌نامه‌ها فیزیکی دریافت می‌شد به فهرست بیمه‌گذاران شرکت‌های بیمه و اطلاعات بیمه‌نامه‌ها دسترسی وجود داشت و این موارد به صورت طبیعی جزو اسرار شرکت‌ها محسوب می‌شد و الان هم که سنهاب راه‌اندازی شده و تبادل‌ها الکترونیکی است و فهرست مشتریان به عنوان یکی از مصادیق اسرار تجاری الکترونیکی در مادة 65 قانون تجارت الکترونیکی شمرده شده همین رویکرد وجود دارد. بنابراین تأکید بر حفظ اسرار شرکت‌ها و بیمه‌گذاران وجود داشته و در ارائه و انتشار اطلاعات غیر عمومی ملاحظات عرفی و قانونی مبنا بوده و هست.

ولی در اکوسیستم بیمه به ویژه در سال‌های اخیر با شکل‌گیری بیگ‌دیتا و ورود فناوری‌های جدید تغییرات مهمی شکل گرفته است. مثلاً اوپن اینشورنس شرایط جدیدی برای کسب و کار بیمه فراهم کرده که برای ارائه و توسعه خدمات ناگزیر از اشتراک‌گذاری دیتا هستیم.

بنابراین به نظرم در حوزة دیتا در بخش بیمه به مقرراتی نیاز داریم؛ اگر تا به امروز نیاز نداشتیم یا نگاه عرفی و غریزی مشکلات را حل می‌کرد یا مشکلی به وجود نمی‌آمد و قرار نبود اطلاعات را به اشتراک بگذاریم؛ اما امروز قرار است دیتا را با افراد و اشخاص مختلف به اشتراک بگذاریم و این امر ریسک‌های مختلفی را بروز می‌دهد.

* پس شما هم موافقید که قوانین موجود دارای خلأهایی هستند. آیا شبکة فروش اجازه دارد به بیمه‌گذاران‌اش به جز بانک اطلاعاتی‌اش پیامک تمدید بیمه‌نامه ارسال کند؟

خسروجردی: بله ما مقرراتی برای حوزه فناوری اطلاعات و ارتباطات در صنعت بیمه نداریم و بنظرم خاص صنعت بیمه نیاز به مقررات احساس می‌شود و محورهای متعدد و مهمی مثل مرجع تدوین و ابلاغ کدینگ و استاندارد دیتا و نرم‌افزارهای بیمه‌گری تا حریم خصوصی می‌تواند مورد مقررات‌گذاری قرار بگیرد.

اما در مورد ارسال پیامک شبکه فروش به غیر از بانک اطلاعاتی خودش، هیچ کجا منعی برای این کار وجود ندارد. که اگر چنین منعی وجود داشت باید جلوی بقیه روش‌های تبلیغ و بازاریابی هم گرفته می‌شد و هیچ جابه‌جایی در پرتفوی‌ها اتفاق نمی‌افتاد. یعنی تبلیغ دهان به دهان و بازاریابی حضوری هم ممنوع شود که نه شدنی است و نه درست است. البته منطقاً برای همه این موارد باید از فرد اجازه گرفته شود. بماند که تبلیغات روزمره از طریق پیامک به شمارة همة ما ارسال می‌شود و قبل از آن اجازه‌ای از ما گرفته نمی‌شود؛ ولی به هر حال رسیدگی به این مزاحمت‌ها متولی خودش را دارد. بهر حال در عصر اطلاعات با پردازش دیتایی که از رفتار و اعمال ما روزانه جمع‌آوری می‌شود بر خلاف گذشته ارائه‌کنندگان خدمات و کالاها به ما مراجعه می‌کنند؛ البته در گذشته هم به نوعی همین بود. نمایندة شرکت بیمه در یک نقطه تبلیغاتی را راه می‌انداخت و تخفیفاتی را ارائه می‌داد؛ به درست یا نادرست بودن آن کاری ندارم؛ ولی به هر ترتیب افرادی را مخاطب و جذب می‌کرد. بنابراین مشتریان شرکت‌های بیمه سیال هستند.

نکتة دیگر در مورد بخش دوم سؤال‌تان اینکه در مقررات جسته و گریخته به این موضوع پرداخته شده است؛ مثلاً در مکمل آیین‌نامة 92 کارگزاری بیمه، دستورالعمل مادة 51 آیین‌نامة 2/92 راجع به کارگزاران برخط صریحاً بیان می‌کند که مسئولیت طراحی و ادارة سوئیچ بیمه بر عهدة مرکز فاوای بیمه مرکزی است که خدمات زیر را ارائه می‌دهد:

1) دریافت APIهای استعلام نرخ و شرایط بیمه، فرآیند صدور بیمه‌نامه، دریافت و واریز حق بیمه به حساب مؤسسات بیمه از ارائه‌کنندگان نرم‌افزارهای بیمه‌گری به مؤسسات بیمه

2) دریافت APIهای استعلام اطلاعات پایه و سوابق بیمه‌ای مورد بیمه و اطلاعات فردی و حقوقی بر مبنای شناسة ملی متقاضی خدمات بیمه‌ای، اطلاعات پایة خودروها و … از سامانة سنهاب بیمة مرکزی. تبصره: مؤسسات بیمه و تولیدکنندگان نرم‌افزارهای بیمه‌گری برای این مؤسسات موظف‌اند سرویس‌های API مورد نیاز برای اجرایی شدن این ماده را در اختیار بیمة مرکزی و سوئیچ بیمه قرار دهند.

بنابراین سوئیچ بیمه را بیمه مرکزی راه‌اندازی می‌کند و این APIها را باید در اختیار کارگزاران برخط قرار بدهد. بنابراین بیمه مرکزی در حوزه‌ای که بالاخره شرایط جدیدی در کسب و کار بیمه‌ای محسوب می‌شود، لوازم حضور و فعالیت را هم باید مهیا کند؛ بنابراین پذیرفته که باید این دسترسی مدیریت شده به اطلاعات برای شبکه فروش فراهم شود؛ کما اینکه کارگزاران بیمه‌ای غیر برخط و ارزیابان خسارت هم امکان استعلام برای‌شان فراهم شده است؛ حتی شرکت‌های بیمه‌ای که قصد دارند بیمه‌نامه‌ای را که مربوط به شرکت دیگری بوده است صادر کنند از ما سرویس می‌گیرند تا بدانند تخفیف سال گذشتة این بیمه‌گذار در شرکت دیگر چقدر بوده است و این مشتری چقدر خسارت خورده است و تخلفات آن چیست. این اطلاعات و دیتاها بین بیمه مرکزی و شرکت‌های بیمه و سایر دستگاه‌ها تبادل می‌شود.

* آقای نعمتی، از نظر شما که به نوعی مسئولیت یکی از مراکز داده مهم یعنی سنهاب را دارید از نظر حقوقی، تکلیف محرمانگی را چطور ارزیابی می‌کنید؟

نعمتی: تا جایی که به کار و مسئولیت اینجانب مربوط می‌شود باید بگویم که بستر حقوقی لازم را بر اساس آنچه انتظار می‌رود، نداریم. در فضای کسب و کار بیمه اعتراضاتی نسبت به برخی فعالیت‌ها وارد می‌شود که بخش خاصی از این فعالیت‌ها، به ویژه بخش فرآوری داده، با آیین‌نامه‌ها و مقررات موجود مخالفتی ندارد.

بنابراین معتقدم به لحاظ قانونی، در مورد تعریف جامع و مانع محرمانگی داده در صنعت بیمه، خلأ و سکوت وجود دارد و این سکوت قانون، مانعی برای تحقق تکالیف صنعت بیمه برای تحول دیجیتال است.

* بیمه زیرمجموعه‌ای از اتمسفر گسترده اطلاعات در شرایط حال حاضر ماست. اگر بخواهیم از منظر عظیم داده‌ها و بیگ دیتای حاصله در شرایط فعلی صحبت کنیم آیا نیاز به تحول در ساختار حقوقی فعلی نداریم؟

پاسخ این سؤال قطعاً مثبت است. درست است که در قانون تجارت الکترونیک محدوده‌ای برای محرمانگی اطلاعات تعیین و تعریف شده اما نیاز به مقررات مصرح در حوزه بیمه هم داریم تا مانع برداشت‌های سلیقه­ای و تفسیرهای شخصی شویم. به عنوان مثال اخیراً اعتراض‌هایی به محتوای برخی پیامک‌ها ارسالی به بیمه‌گذاران شده است. اما حقیقتا به لحاظ قانون و مقررات، آیا دسترسی کارگزاران و شبکه فروش به تاریخ پایان بیمه‌نامه بیمه‌گذار، فارغ از اینکه واحد صدور بیمه‌نامه کیست، حریم خصوصی بیمه‌گذار است یا اطلاعات محرمانه واحد صدور محسوب می‌شود یا دسترسی به این اطلاعات آزاد است؟ یا در مثال دیگر فرض کنید که صدور بیمه‌نامه شخص ثالث راننده‌محور محقق شده است. برای صدور چنین بیمه‌نامه‌ای، لازم است واحدهای صدور به رتبة رانندگی و ریسک بیمه‌گذار دسترس داشته باشند. آیا میزان ریسک افراد حریم شخصی محسوب می‌شود و باید محرمانه تلقی شود؟ هر کسی به این سؤال‌ها با دیدگاه خود پاسخ می‌دهد و تا زمانی که مقرراتی نداشته باشیم همواره محل اختلاف خواهد بود.

* آقای نعمتی به نکتة مهمی اشاره کردید به نظرتان این مرزبندی کجاست؟ آیا پیامکی با محتوای اینکه مدت اعتبار بیمه‌نامة شما به پایان رسیده است جزو اسرار صادرکنندة بیمه‌نامه است یا بیمه‌گذار است؟

نعمتی: همان‌طور که عرض کردم وقتی مقررات لازم درباره موضوعی نباشد، هرگونه اعلام نظری، تفسیر شخصی خواهد بود. بنابراین به نظر من اطلاعات مربوط به بیمه‌گذار، مرتبط به بیمه‌گذار است بنابراین مجوز بهره‌برداری از اطلاعات بیمه‌گذار برای پیشنهاد ارائه خدمت در اختیار خودش است؛ اگر کسی در نظر دارد برپایه اطلاعات بیمه‌گذار با وی ارتباط برقرار کند، باید باکسب اجازه از او این کار را انجام دهد.

* پس با این حساب بیمه‌گذار باید تصمیم بگیرد چه واکنشی صورت دهد.

نعمتی: بله همین‌طور است. امروزه ما در دریای داده‌ها و اطلاعات زندگی می‌کنیم؛ بنابراین راه‌های مختلفی برای دستیابی به اطلاعات، اختلاط و فراوری داده وجود دارد و در اوج آن علم داده‌کاوی برای استخراج گنج اطلاعات از این دریا به وجود آمده است. با تکیه بر این دریای گرانبها، خدمات ارزشمندی برای مشتریان کسب و کارهای مختلف تولید و ارزش افزوده خلق می‌شود. بنابراین مقوله محرمانگی ضمن اهمیت آن، نباید تبدیل به مانعی برای عدم بهره‌برداری و خلق ارزش از داده‌ها شود.

* آقای احمدی، به محور دوم میزگرد رسیدیم. ظرفیت‌های فعلی در آیین‌نامه‌های بیمه مرکزی در مورد محرمانگی اطلاعات چه تفسیرهایی را در اختیار شما می‌گذارند؟

احمدی: مادة 21 آیین‌نامه شماره 92 اشعار می‌دارد که کارگزار ملزم به حفظ اسرار و اطلاعاتی است که به مناسبت شغل خود به دست می‌آورد.

مفهوم ماده 21 چیست؟ اسرار خود را حفظ کنید و در صورت افشای غیر مجاز این اطلاعات، بیمه مرکزی می‌تواند اقدام کند؛ اما سؤال این است که آیا در این آیین‌نامه مصدایق اسرار تعریف شده است؟

در یک نگاهی فرایندی، دو شیوة استفاده از اطلاعات وجود دارد؛ یک) استفاده از اطلاعات داخل صنعت بیمه و دو) استفاده از اطلاعات خارج از صنعت بیمه. سؤال این است که سهم بیمه مرکزی در کنترل این اطلاعات چقدر است و چه میزان می‌تواند روند را کنترل کند؟ مقررات در این‌باره مسکوت هستند. به همین دلیل به این نقطه می‌رسم که حتماً باید قانون شیوة استفاده از داده در کشور داشته باشید. حتماً باید قانون باشد. دیگر اینکه حتماً باید سازمان رگولاتوری خود را داشته باشد.

* زمانی که قانون مسکوت است تکلیف چه می‌شود؟

احمدی: بحث سکوت نیست؛ بلکه بحث تعیین تکلیف است باید وظایف و اختیارات مشخص شود. امروز نمی‌توان به شرکت بیمه‌ای گفت که این داده‌ها را استفاده نکنید محرمانه است. ما باید چند موضوع را مشخص کنیم و اطلاعات و آموزش رکن اساسی باشد.

* قوه قضائیه نیز تابع کمیسیون است؟ در فرانسه این قوه بر مبنای نظر کمیسیون حکم صادر می‌کند؟

احمدی: بله درست است. ما مراجع مختلفی داریم که تکلیف‌شان مشخص نیست. از طرفی عناوین آنها منطبق با شرایط نیست.

به وظایف و اختیارات سازمان رگولاتوری اشاره می‌کنم؛ 1) اطلاع‌رسانی و آموزش 2) رگولاتوری و ارائة توصیه یعنی ارائة مجوز و جزئیات بیشتر

استفاده از چه داده‌هایی ممنوع است؟ در مورد چه داده‌هایی باید از کمیسیون کسب اطلاعات کرد؟

از چه داده‌ای در چه جایی استفاده می‌شود؟ چه داده‌ای باید با اطلاع استفاده شود؟ یا استفاده از چه داده‌ای ممنوع است؟ چه داده‌ای به مجوز نیاز دارد؟

آیا آیتول می‌توانست سراغ آنجا برود و از آنها اطلاعات بخواهد تا استفاده کند؟

* یکی از نکات مهم ماهیت داده است. داده‌ای که در زمان نوشتن قانون تجارت وجود داشت با داده‌ای که امروز وجود دارد بسیار متفاوت است.

احمدی: به همین دلیل از این کمیسیون خواسته می‌شود که به ما بگویید که از کدام داده می‌توان استفاده کرد و از کدام داده نمی‌توان استفاده کرد؛ یعنی شما مشمول زمان خاصی نمی‌شوید؛ مثلاً قانونی که سال 1350 نوشته شده است و نمی‌توان امروز آن را تعریف کرد یا انطباق داد مشکل ما را حل نمی‌کند. به همین دلیل به کمیسیون مستقل ارائه می‌شود تا در این مورد تصمیم‌گیری کند.

از اقدامات دیگر این کمیسیون حمایت از شهروندان، بازرسی و تعیین مجازات است؛ مثلاً اگر مقامی تخلفی مرتکب شد او را تغییر می‌دهند در واقع به دستگاه مرتب اطلاع می‌دهند که مثلاً از داده‌ای استفاده کرده است که از منظر کمیسیون ممنوع بوده است.

* نهادها رأساً و بدون نظر کمیسیون نمی‌توانند اقدامی انجام دهند.

احمدی: دقیقاً. نهادهایی چون بیمه مرکزی می‌توانند متناسب با محیط فعالیت خود این مورد را توسعه دهند. مثلاً کمیسیون اعلام می‌کند که اگر شرکت بیمه‌ای از این اطلاعات استفاده کرد؛ چون ممنوع بوده باید لغو کد شود، می‌توان آن را بومی‌سازی کرد و با توجه به شرایط خود از آن استفاده کرد.

* غیر از مورد آیتول، آیا موردهای دیگری در بیمه مرکزی وجود داشتند که نیاز به بررسی این‌گونه داشته باشند؟

احمدی: شیوة استفادة آیتول از دیتا با کارگزاران برخط دیگر متفاوت بود در واقع جسورانه‌تر بود ورود به حریمی بود که کسی به آن تا به حال ورود نکرده است. شاید شرکت‌های دیگر (قانون بیمه اجباری شخص ثالث می‌گوید تا دو و نیم درصد نمی‌توانید تخفیف دهید) بیشتر تخفیف می‌دادند و هیچ کس هم اعتراضی نمی‌کرد و ما هم مطلع نشدیم؛ اما آیتول به فضایی ورود کرد و دیتایی داشت و این دیتا که دیده شد.

ادامه دارد……