دست بسته ناظر در خلاء مقررات / معیارهای تعیین اسرار تجاری در صنعت بیمه چیست؟(بخش اول)
محرمانگی داده مشتریان با نگاهی به پرونده آیتول بررسی شد؛
نعمتی:معتقدم به لحاظ قانونی، در مورد تعریف جامع و مانع محرمانگی داده در صنعت بیمه، خلأ و سکوت وجود دارد و این سکوت قانون، مانعی برای تحقق تکالیف صنعت بیمه برای تحول دیجیتال است./ احمدی: اینکه در این گفتوگو از بیمه مرکزی عبور کردیم به این دلیل بود که بخشهای مسئول در بیمه مرکزی به لحاظ قوانین و مقررات موجود نمیتوانند مرزهای محرمانگی اطلاعات را به راحتی مشخص کنند و بگویند که از این داده استفاده نکنید. بیمه مرکزی میتواند بر بخشی از دادهها نظارت کند و شیوه استفاده از بخشی از دادههای موجود در بازار را مشخص کند؛ اما قادر نیست به صورت مصداقی مشخص کند از چه دادههایی استفاده نکنید. در واقع این امر از نظارت بیمه مرکزی خارج میشود./خسروجردی:شورای عالی بیمه در آییننامة 92 کارگزاران بیمه را ملزم به این امر کرده است؛ ولی تاکنون مصادیق یا معیارهای تعیین اسرار تجاری و اقتصادی در مورد هیچ یک از فعالان تعیین نشده است.بنابراین به نظرم در حوزة دیتا در بخش بیمه به مقرراتی جدید نیاز داریم.
به گزارش ریسک نیوز به نقل از بیمه داری نوین، با ظهور و بروز کسب و کارهای نوین بیمه ای که به اسم استارتاپ معروف اند یکی از چالشها تعیین خط مشی و مرزها و استانداردهای محرمانگی اطلاعات است. مقوله ای که چون ساختار و آیین نامه های مرتبط با آن به درستی تدوین نشده لاجرم عرصه را برای قضاوت سلیقه ها باز کرده است. شاید بتوان نگاه دیگری هم داشت: در چنین شرایطی هرمنوتیک یا تاویل متن مقررات گریزناپذیر میشود. در گردهم نشینی با سه تن از مسئولان در بیمه مرکزی به پیشینه و اکنون محرمانگی اطلاعات پرداخته ایم. عباس خسروجردی، مدیر کل محترم نظارت بر بیمه های غیر زندگی؛ حسین احمدی، رئیس اداره دعاوی و قراردادها و سید قاسم نعمتی، رئیس فابای بیمه مرکزی اعضای این گردهم نشینی هستند. در این مسیر از دیگر مدیران چون آقاجری دعوت به عمل آمد؛ ولی نیامدند. سه محور را برای این میزگرد در نظر گرفته ایم؛ محور اول اصل محرمانگی اطلاعات از منظر حقوقی و در آیین نامه های بیمة مرکزی است. در محور دوم به وضعیت موجود می پردازیم و در محور سوم نیز به وضعیت مطلوب مي پردازیم وضعیت مطلوبی که همة ذی نفعان به یک احساس برد برد برسند.
قسمت اول را با هم می خوانیم:
* آقای احمدی، به لحاظ قوانین و مقررات و آییننامهها و اختیاراتی که در بیمه مرکزی هست، محرمانگی اطلاعات در چه مسیری قرار دارد؟
احمدی: در جلساتی که طی سال جاری و بر اساس ضرورتهای کسب و کار در وضعیت حال بازار بیمه داشتیم درباره موضوعات مرتبط با محرمانگی اطلاعات بحثهای بسیاری مطرح شده است.
در کنار مطالعاتی که درباره صنعت بیگدیتاها انجام دادم؛ در ابتدا به چند ماده از قانون تجارت الکترونیک اشاره میکنم تا به تعاریف مشترک برسیم.
ماده 65 قانون تجارت الکترونیک میگوید که اسرار تجاری الکترونیکی دادهپیامی است شامل اطلاعات، فرمولها، الگوها، داد و ستد، فنون، نقشها، اطلاعات مالی، فهرست مشتریان، طرحهای تجاری و … است که به صورت مستقل دارای ارزش اقتصادی هستند و در دسترس عموم قرار ندارند و تلاشهای معقولانهای برای حفظ و حراست از آنها انجام شده است؛ بنابراین میبینیم که تعریف قانون کاملاً درست است.
قانون تجارت الکترونیک از قانونهای مرتبط با حوزة تجارت الکترونیک است؛ به تعبیر دیگر تنها قانونی است که در حال حاضر میتوان به آن استناد کرد. در این قانون از عبارت اسرار تجاری نام برده و به تعدادی از مصادیق اشاره شده است.
از جمله اینکه در مادة 64 آمده است: به منظور حمایت از رقابتهای مشروع و عادلانه تحصیل غیر قانونی اسرار تجاری و اقتصادی برای خود و اشیا آن برای اشخاص ثالث در محیط الکترونیکی جرم محسوب میشود و مرتکب، مجازات به مقرر در این قانون خواهد رسید. قانون میگوید؛ هر کسی غیر قانونی این اسرار را تحصیل کند مجازات میشود. حال مجازات آن چیست؟ مجازات آن در مادة 75 آمده است و آن اینکه شش ماه الی دو سال و نیم حبس و جزای نقدی معادل 50 میلیون تومان.
اما سؤال این است که تحصیل غیر قانونی چیست؟ در ماده مذکور تحصیل غیر قانونی به صورت مشخص و دقیق تعریف نشده است.
مقررات دیگری هم وجود دارند؛ بند ک، مادة 45 قانون اجرای سیاستهای کلی اصل 44 قانون اساسی میگوید: «کسب و بهرهبرداری غیر مجاز از هرگونه اطلاعات داخلی رقبا در زمینه تجاری، مالی و فنی و نظایر آن به نفع خود و اشخاص غیر قانونی است.»
در اینجا هم تعریف مشخصی از اطلاعات داخلی رقبا ارائه نشده است. آییننامهای هم از سوی هیئت دولت که به نوعی یک مرجع تنظیمکننده و بالاسری بعد از مجلس است در این مورد تهیه و ابلاغ نشده است.
بر همین اساس اینکه بیمة مرکزی بتواند رأساً اقدام به تفسیر قانون کند خود جای بحث دارد. اینکه اصلاً پیشبینی موضوع میتواند در آییننامههای داخلی صنعت بیمه انجام شود یا نه؟ آیا میتوان در قالب این آییننامهها اشاره کرد که محرمانگی را رعایت کنید و مصادیق آن را نیز تعریف کنیم؟ از نظر جایگاه حقوقی و سلسله مراتب تدوین مقررات، بیمة مرکزی نمیتواند چنین اقدامی انجام دهد. بیمة مرکزی مسئول توسعة و تعمیم امر بیمه است. نهاد ناظر نمیتواند دیتاهایی را که در بازار روان است را کنترل کند. به نظر بیمه مرکزی این اختیار قانونی را به شکل گسترده ندارد تا بتواند بر شیوه استفاده از کلاندادهها نظارت کند.
* ضروری است که نحوة کنترل به چه شکل باشد؟
احمدی: تجربههای کشورهای دیگر به ما میگوید شیوة کنترل با بیمة مرکزی نیست. در تمام کشورهای توسعهیافته این موضوع حلشده است.
تمام اشخاص امروز به دادهای متصل هستند و بعد وارد بازار بیمه میشوند؛ یعنی روی دادههای خود حساب کردهاند.
اتحادیة اروپا در سال 1995، یعنی حدود 22 سال پیش در مورد این موضوع تصمیمگیری کرد؛ دستورالعملی نوشت و بر اساس آن شیوة استفاده از داده را تبیین و سازمان رگولاتور خود را نیز مشخص کرد؛ البته کشور فرانسه قبل از ورود اتحادیة اروپا به این مبحث، در این مورد دارای مقررات بود.
سال 2012 دستورالعمل اتحادیة اروپا اصلاح و سال 2016 ابلاغ شد و از سال 2018 الزامآور شد؛ یعنی از همان ابتدا الزامآور نشده است؛ چون شرایط کشورها با یکدیگر متفاوت است. کشورهای بسیاری، نظام نظارت بر دادهها و سازمان رگولاتوری دارند؛ از جمله فنلاند، هلند، آمریکای جنوبی و … .
در واقع دستورالعمل مزبور در سال 1995 با عنوان «حمایت از اشخاص حقیقی در مقابل پردازش دادههای شخصی و گردش آزاد دادهها» توسط اتحادیة اروپا منتشر و ابلاغ شد. از جمله کشورهایی که این نظام را هم اکنون دارند عبارتاند از فرانسه، کرواسی، دانمارک، فنلاند، ایتالیا، هلند و در آمریکای جنوبی کشور آرژانتین و در آسیا نیز کرة جنوبی پیشتاز این عرصه بوده و از سال 2013 این مرکز را ایجاد کرده است.
* در واقع نظام رگولاتور مخصوص به خود دارند. اما این کشورها چه نهادی را برای این امر انتخاب کردند؟
احمدی: به عنوان نمونه فرانسه را برای شما تشریح میکنم.
فرانسه در این زمینه سازمانی را مشخص و 17 عضو برای آن قرار داده و نام آن را «امنیتِ انفورماتیک و آزادی» قرار داده است که مسئول تضمین و اجرای قانون دادة این کشور محسوب میشود. یک مقام اداری مستقل است و استقلال آن شرط فعالیت این کمیسیون محسوب میشود. استقلال این سازمان به دلیل حضور و وجود 17 عضو از حوزههای مختلف است که شامل چهار نمایندة مجلس (دو عضو مجلس شورای ملی و دو عضو مجلس سنا) و دو نماینده از اعضای شورای اقتصادی و اجتماعی محیط زیست فرانسه، و شش نماینده از حوزه قضایی و 5 شخصیت عمومی (یک نفر به انتخاب رئیس مجلسه شورای ملی و یک نفر به انتخاب مجلس سنا و سه نفر به انتخاب هیئت دولت فرانسه)که به مدت پنج سال فعالیت خود را آغاز میکنند.
ما چنین اتفاقی را در شورای عالی فضای مجازی داریم؛ ولی شورای عالی فضای مجازی این اختیار را ندارد که به حوزة داده وارد شود. تنها جایی که میتوان در مورد آن صحبت کرد بحث کمیسیون تنظیم مقررات است.
* آیا کشور ما در تدوین رگولاتور نظام دادهها تجربهای داشته است؟
احمدی: در مورد اینکه آیا در ایران در مورد این موضوع فکر شده است باید بگویم که سال 1384 حدود 16 سال پیش اواخر دولت هشتم، طرحی از دولت به مجلس رفت و مجلس از این موضوع استقبال کرد؛ اما با تغییر دولت و ورود دولت نهم، طرح از مجلس پس گرفته میشود و تا کنون نیز طرح دیگری جایگزین آن نشده است.
این طرح ایراداتی داشت؛ ولی گاهی لوایح شروع یک اقدام هستند؛ مثل اتفاقی که سال 87 برای قانون بیمة اجباری رخ داد. قانون بیمة اجباری شخص ثالث که در سال 95 تصویب شد یکی از قوانین توسعهیافتة ایران محسوب میشود؛ درست است که ایراداتی دارد؛ ولی اتفاق مثبتی است. دوستانی که با شیوة قانونگذاری آشنایی دارند، میدانند که جسارت نوشتن قانون و اصلاح آن بسیار مهم است. به همین دلیل از سال 1350 به بعد قانون بیمه اصلاح نشد؛ در حالی که برای قانون بیمه دو مرتبه اصلاحیه نوشته شد؛ یک بار در بیمة مرکزی و یک بار هم توسط آقای دکتر کاتوزیان ولی اصلاحی در قانون بیمه اتفاق نیفتاد و قانون بیمه همچنان همان قانون 1350 است.
پیشنویس این طرح (لایحه حفظ حریم خصوصی) هفت سرفصل بسیار مهم داشت؛ اول) حریم خصوصی اطلاعات. دوم) اطلاعات شخصی در فعالیتهای رسانهای. سوم) حریم خصوصی ارتباطات. چهارم) مسئولیتهای ناشی از نقض حریم خصوصی. پنجم) حریم خصوصی جسمانی. ششم) حریم خصوصی اماکن و منازل. هفتم) حریم خصوصی در محل کار.
به نظرم اگر این اتفاق رقم میخورد بسیاری از معضلات و مشکلات را مرتفع میکرد.
* نگاه دیگری هم به وضعیت فعلی موجود از منظر قوانین و مقررات و به طور کلی رگولاتورهای بیمه داشته باشیم.
احمدی: اینکه در این گفتوگو از بیمه مرکزی عبور کردیم به این دلیل بود که بخشهای مسئول در بیمه مرکزی به لحاظ قوانین و مقررات موجود نمیتوانند مرزهای محرمانگی اطلاعات را به راحتی مشخص کنند و بگویند که از این داده استفاده نکنید. بیمه مرکزی میتواند بر بخشی از دادهها نظارت کند و شیوه استفاده از بخشی از دادههای موجود در بازار را مشخص کند؛ اما قادر نیست به صورت مصداقی مشخص کند از چه دادههایی استفاده نکنید. در واقع این امر از نظارت بیمه مرکزی خارج میشود.
* وضعیت موجود ایران از منظر قوانین و مقررات چگونه است؟
احمدی: وضعیت موجود در ایران به سه بخش سازمانهای سیاستگذاری و تقنینی، سازمانها و مراجع نظارتی و اجرایی و مراجع قضائیه تقسیم میشود.
سیاستگذاران در این حوزه مجمع تشخیص مصلحت نظام، مجلس شورای اسلامی، شورای عالی فضای مجازی و کمیسیون تنظیم مقررات و ارتباطات هستند.
مجلس طی این سالها میتوانست به سراغ تهیه قانون در زمینه نظارت بر شیوه استفاده از دادهها برود؛ حتی اگر قوة مجریه اقدامی انجام نداد قوة مقننه میتوانست با تهیه یک طرح تکلیف این موضوع را روشن کند. مراجع نظارتی از جمله وزارت ارتباطات، سازمان تنظیم مقررات، کارگروه تعیین مصادیق محتوای مجرمانه و سازمان فناوری اطلاعات نیز مراجع نظارتی ما و اجرایی ما هستند. مراجع قضایی ما قوه قضائیه و کارگروه تعیین مصادیق محتوای مجرمانه نیز سازمانهای قضایی ما هستند.
البته کمیسیون تنظیم مقررات نیز با توجه به اختیار خود از جمله سیاستگذاری، تدوین و تصویب مقررات در حوزه ارتباطات و فناوری اطلاعات میتوانست در این زمینه مقرراتی خوبی وضع کند.
* آییننامههای فعلی در بیمه مرکزی نمیتوانند، بگویند که چه عکسالعملی در این مواقع داشته باشید؛ مثلاً ارسال پیامک به همة مردم میتواند بر خلاف مادة 21 آییننامة 92 باشد؛ چون طبق این ماده کارگزار بیمه ملزم به حفظ اسرار و اطلاعاتی است که به مناسبت شغل خود به دست میآورد و در صورت غیر مجاز این اسرار بیمه مرکزی میتواند نسبت به عدم فعالیت یا لغو پروانة کارگزاری اقدام کند.
خسروجردی: در قوانین و مقررات همة کشورها موضوع حفظ اسرار تجاری و اقتصادی و حریم خصوصی وجود دارد. کسانی که به مناسبت شغل و حرفهشان به اطلاعات و دادههای خصوصی دسترسی دارند نمیتوانند جز در مواردی که قانون معین کرده از این اسرار استفاده کنند. در قانون تأسیس بیمة مرکزی و بیمهگری نیز در تبصره ذیل مادة 5 که به وظایف و اختیارات بیمه مرکزی اشاره میکند بیمة مرکزی را ملزم به حفظ اسرار مؤسساتی کرده که به واسطة قانون حق نظارت بر آنها را دارد و اطلاعات آنها را به دست آورده و نمیتواند جز در مواردی که قانون معین کرده از این اطلاعات استفاده کند.
همچنین اشاره داشتید شورای عالی بیمه در آییننامة 92 کارگزاران بیمه را ملزم به این امر کرده است؛ ولی تاکنون مصادیق یا معیارهای تعیین اسرار تجاری و اقتصادی در مورد هیچ یک از فعالان تعیین نشده است. آنچه تا به امروز اتفاق افتاده و به عنوان حفظ اسرار رعایت شده است بیشتر عرفی و غریزی بوده است؛ مثلاً در بیمه مرکزی و تا پیش از آغاز به کار سنهاب که سیستم کامل کاغذی بود و بردروهای شرکتهای بیمه و بیمهنامهها فیزیکی دریافت میشد به فهرست بیمهگذاران شرکتهای بیمه و اطلاعات بیمهنامهها دسترسی وجود داشت و این موارد به صورت طبیعی جزو اسرار شرکتها محسوب میشد و الان هم که سنهاب راهاندازی شده و تبادلها الکترونیکی است و فهرست مشتریان به عنوان یکی از مصادیق اسرار تجاری الکترونیکی در مادة 65 قانون تجارت الکترونیکی شمرده شده همین رویکرد وجود دارد. بنابراین تأکید بر حفظ اسرار شرکتها و بیمهگذاران وجود داشته و در ارائه و انتشار اطلاعات غیر عمومی ملاحظات عرفی و قانونی مبنا بوده و هست.
ولی در اکوسیستم بیمه به ویژه در سالهای اخیر با شکلگیری بیگدیتا و ورود فناوریهای جدید تغییرات مهمی شکل گرفته است. مثلاً اوپن اینشورنس شرایط جدیدی برای کسب و کار بیمه فراهم کرده که برای ارائه و توسعه خدمات ناگزیر از اشتراکگذاری دیتا هستیم.
بنابراین به نظرم در حوزة دیتا در بخش بیمه به مقرراتی نیاز داریم؛ اگر تا به امروز نیاز نداشتیم یا نگاه عرفی و غریزی مشکلات را حل میکرد یا مشکلی به وجود نمیآمد و قرار نبود اطلاعات را به اشتراک بگذاریم؛ اما امروز قرار است دیتا را با افراد و اشخاص مختلف به اشتراک بگذاریم و این امر ریسکهای مختلفی را بروز میدهد.
* پس شما هم موافقید که قوانین موجود دارای خلأهایی هستند. آیا شبکة فروش اجازه دارد به بیمهگذاراناش به جز بانک اطلاعاتیاش پیامک تمدید بیمهنامه ارسال کند؟
خسروجردی: بله ما مقرراتی برای حوزه فناوری اطلاعات و ارتباطات در صنعت بیمه نداریم و بنظرم خاص صنعت بیمه نیاز به مقررات احساس میشود و محورهای متعدد و مهمی مثل مرجع تدوین و ابلاغ کدینگ و استاندارد دیتا و نرمافزارهای بیمهگری تا حریم خصوصی میتواند مورد مقرراتگذاری قرار بگیرد.
اما در مورد ارسال پیامک شبکه فروش به غیر از بانک اطلاعاتی خودش، هیچ کجا منعی برای این کار وجود ندارد. که اگر چنین منعی وجود داشت باید جلوی بقیه روشهای تبلیغ و بازاریابی هم گرفته میشد و هیچ جابهجایی در پرتفویها اتفاق نمیافتاد. یعنی تبلیغ دهان به دهان و بازاریابی حضوری هم ممنوع شود که نه شدنی است و نه درست است. البته منطقاً برای همه این موارد باید از فرد اجازه گرفته شود. بماند که تبلیغات روزمره از طریق پیامک به شمارة همة ما ارسال میشود و قبل از آن اجازهای از ما گرفته نمیشود؛ ولی به هر حال رسیدگی به این مزاحمتها متولی خودش را دارد. بهر حال در عصر اطلاعات با پردازش دیتایی که از رفتار و اعمال ما روزانه جمعآوری میشود بر خلاف گذشته ارائهکنندگان خدمات و کالاها به ما مراجعه میکنند؛ البته در گذشته هم به نوعی همین بود. نمایندة شرکت بیمه در یک نقطه تبلیغاتی را راه میانداخت و تخفیفاتی را ارائه میداد؛ به درست یا نادرست بودن آن کاری ندارم؛ ولی به هر ترتیب افرادی را مخاطب و جذب میکرد. بنابراین مشتریان شرکتهای بیمه سیال هستند.
نکتة دیگر در مورد بخش دوم سؤالتان اینکه در مقررات جسته و گریخته به این موضوع پرداخته شده است؛ مثلاً در مکمل آییننامة 92 کارگزاری بیمه، دستورالعمل مادة 51 آییننامة 2/92 راجع به کارگزاران برخط صریحاً بیان میکند که مسئولیت طراحی و ادارة سوئیچ بیمه بر عهدة مرکز فاوای بیمه مرکزی است که خدمات زیر را ارائه میدهد:
1) دریافت APIهای استعلام نرخ و شرایط بیمه، فرآیند صدور بیمهنامه، دریافت و واریز حق بیمه به حساب مؤسسات بیمه از ارائهکنندگان نرمافزارهای بیمهگری به مؤسسات بیمه
2) دریافت APIهای استعلام اطلاعات پایه و سوابق بیمهای مورد بیمه و اطلاعات فردی و حقوقی بر مبنای شناسة ملی متقاضی خدمات بیمهای، اطلاعات پایة خودروها و … از سامانة سنهاب بیمة مرکزی. تبصره: مؤسسات بیمه و تولیدکنندگان نرمافزارهای بیمهگری برای این مؤسسات موظفاند سرویسهای API مورد نیاز برای اجرایی شدن این ماده را در اختیار بیمة مرکزی و سوئیچ بیمه قرار دهند.
بنابراین سوئیچ بیمه را بیمه مرکزی راهاندازی میکند و این APIها را باید در اختیار کارگزاران برخط قرار بدهد. بنابراین بیمه مرکزی در حوزهای که بالاخره شرایط جدیدی در کسب و کار بیمهای محسوب میشود، لوازم حضور و فعالیت را هم باید مهیا کند؛ بنابراین پذیرفته که باید این دسترسی مدیریت شده به اطلاعات برای شبکه فروش فراهم شود؛ کما اینکه کارگزاران بیمهای غیر برخط و ارزیابان خسارت هم امکان استعلام برایشان فراهم شده است؛ حتی شرکتهای بیمهای که قصد دارند بیمهنامهای را که مربوط به شرکت دیگری بوده است صادر کنند از ما سرویس میگیرند تا بدانند تخفیف سال گذشتة این بیمهگذار در شرکت دیگر چقدر بوده است و این مشتری چقدر خسارت خورده است و تخلفات آن چیست. این اطلاعات و دیتاها بین بیمه مرکزی و شرکتهای بیمه و سایر دستگاهها تبادل میشود.
* آقای نعمتی، از نظر شما که به نوعی مسئولیت یکی از مراکز داده مهم یعنی سنهاب را دارید از نظر حقوقی، تکلیف محرمانگی را چطور ارزیابی میکنید؟
نعمتی: تا جایی که به کار و مسئولیت اینجانب مربوط میشود باید بگویم که بستر حقوقی لازم را بر اساس آنچه انتظار میرود، نداریم. در فضای کسب و کار بیمه اعتراضاتی نسبت به برخی فعالیتها وارد میشود که بخش خاصی از این فعالیتها، به ویژه بخش فرآوری داده، با آییننامهها و مقررات موجود مخالفتی ندارد.
بنابراین معتقدم به لحاظ قانونی، در مورد تعریف جامع و مانع محرمانگی داده در صنعت بیمه، خلأ و سکوت وجود دارد و این سکوت قانون، مانعی برای تحقق تکالیف صنعت بیمه برای تحول دیجیتال است.
* بیمه زیرمجموعهای از اتمسفر گسترده اطلاعات در شرایط حال حاضر ماست. اگر بخواهیم از منظر عظیم دادهها و بیگ دیتای حاصله در شرایط فعلی صحبت کنیم آیا نیاز به تحول در ساختار حقوقی فعلی نداریم؟
پاسخ این سؤال قطعاً مثبت است. درست است که در قانون تجارت الکترونیک محدودهای برای محرمانگی اطلاعات تعیین و تعریف شده اما نیاز به مقررات مصرح در حوزه بیمه هم داریم تا مانع برداشتهای سلیقهای و تفسیرهای شخصی شویم. به عنوان مثال اخیراً اعتراضهایی به محتوای برخی پیامکها ارسالی به بیمهگذاران شده است. اما حقیقتا به لحاظ قانون و مقررات، آیا دسترسی کارگزاران و شبکه فروش به تاریخ پایان بیمهنامه بیمهگذار، فارغ از اینکه واحد صدور بیمهنامه کیست، حریم خصوصی بیمهگذار است یا اطلاعات محرمانه واحد صدور محسوب میشود یا دسترسی به این اطلاعات آزاد است؟ یا در مثال دیگر فرض کنید که صدور بیمهنامه شخص ثالث رانندهمحور محقق شده است. برای صدور چنین بیمهنامهای، لازم است واحدهای صدور به رتبة رانندگی و ریسک بیمهگذار دسترس داشته باشند. آیا میزان ریسک افراد حریم شخصی محسوب میشود و باید محرمانه تلقی شود؟ هر کسی به این سؤالها با دیدگاه خود پاسخ میدهد و تا زمانی که مقرراتی نداشته باشیم همواره محل اختلاف خواهد بود.
* آقای نعمتی به نکتة مهمی اشاره کردید به نظرتان این مرزبندی کجاست؟ آیا پیامکی با محتوای اینکه مدت اعتبار بیمهنامة شما به پایان رسیده است جزو اسرار صادرکنندة بیمهنامه است یا بیمهگذار است؟
نعمتی: همانطور که عرض کردم وقتی مقررات لازم درباره موضوعی نباشد، هرگونه اعلام نظری، تفسیر شخصی خواهد بود. بنابراین به نظر من اطلاعات مربوط به بیمهگذار، مرتبط به بیمهگذار است بنابراین مجوز بهرهبرداری از اطلاعات بیمهگذار برای پیشنهاد ارائه خدمت در اختیار خودش است؛ اگر کسی در نظر دارد برپایه اطلاعات بیمهگذار با وی ارتباط برقرار کند، باید باکسب اجازه از او این کار را انجام دهد.
* پس با این حساب بیمهگذار باید تصمیم بگیرد چه واکنشی صورت دهد.
نعمتی: بله همینطور است. امروزه ما در دریای دادهها و اطلاعات زندگی میکنیم؛ بنابراین راههای مختلفی برای دستیابی به اطلاعات، اختلاط و فراوری داده وجود دارد و در اوج آن علم دادهکاوی برای استخراج گنج اطلاعات از این دریا به وجود آمده است. با تکیه بر این دریای گرانبها، خدمات ارزشمندی برای مشتریان کسب و کارهای مختلف تولید و ارزش افزوده خلق میشود. بنابراین مقوله محرمانگی ضمن اهمیت آن، نباید تبدیل به مانعی برای عدم بهرهبرداری و خلق ارزش از دادهها شود.
* آقای احمدی، به محور دوم میزگرد رسیدیم. ظرفیتهای فعلی در آییننامههای بیمه مرکزی در مورد محرمانگی اطلاعات چه تفسیرهایی را در اختیار شما میگذارند؟
احمدی: مادة 21 آییننامه شماره 92 اشعار میدارد که کارگزار ملزم به حفظ اسرار و اطلاعاتی است که به مناسبت شغل خود به دست میآورد.
مفهوم ماده 21 چیست؟ اسرار خود را حفظ کنید و در صورت افشای غیر مجاز این اطلاعات، بیمه مرکزی میتواند اقدام کند؛ اما سؤال این است که آیا در این آییننامه مصدایق اسرار تعریف شده است؟
در یک نگاهی فرایندی، دو شیوة استفاده از اطلاعات وجود دارد؛ یک) استفاده از اطلاعات داخل صنعت بیمه و دو) استفاده از اطلاعات خارج از صنعت بیمه. سؤال این است که سهم بیمه مرکزی در کنترل این اطلاعات چقدر است و چه میزان میتواند روند را کنترل کند؟ مقررات در اینباره مسکوت هستند. به همین دلیل به این نقطه میرسم که حتماً باید قانون شیوة استفاده از داده در کشور داشته باشید. حتماً باید قانون باشد. دیگر اینکه حتماً باید سازمان رگولاتوری خود را داشته باشد.
* زمانی که قانون مسکوت است تکلیف چه میشود؟
احمدی: بحث سکوت نیست؛ بلکه بحث تعیین تکلیف است باید وظایف و اختیارات مشخص شود. امروز نمیتوان به شرکت بیمهای گفت که این دادهها را استفاده نکنید محرمانه است. ما باید چند موضوع را مشخص کنیم و اطلاعات و آموزش رکن اساسی باشد.
* قوه قضائیه نیز تابع کمیسیون است؟ در فرانسه این قوه بر مبنای نظر کمیسیون حکم صادر میکند؟
احمدی: بله درست است. ما مراجع مختلفی داریم که تکلیفشان مشخص نیست. از طرفی عناوین آنها منطبق با شرایط نیست.
به وظایف و اختیارات سازمان رگولاتوری اشاره میکنم؛ 1) اطلاعرسانی و آموزش 2) رگولاتوری و ارائة توصیه یعنی ارائة مجوز و جزئیات بیشتر
استفاده از چه دادههایی ممنوع است؟ در مورد چه دادههایی باید از کمیسیون کسب اطلاعات کرد؟
از چه دادهای در چه جایی استفاده میشود؟ چه دادهای باید با اطلاع استفاده شود؟ یا استفاده از چه دادهای ممنوع است؟ چه دادهای به مجوز نیاز دارد؟
آیا آیتول میتوانست سراغ آنجا برود و از آنها اطلاعات بخواهد تا استفاده کند؟
* یکی از نکات مهم ماهیت داده است. دادهای که در زمان نوشتن قانون تجارت وجود داشت با دادهای که امروز وجود دارد بسیار متفاوت است.
احمدی: به همین دلیل از این کمیسیون خواسته میشود که به ما بگویید که از کدام داده میتوان استفاده کرد و از کدام داده نمیتوان استفاده کرد؛ یعنی شما مشمول زمان خاصی نمیشوید؛ مثلاً قانونی که سال 1350 نوشته شده است و نمیتوان امروز آن را تعریف کرد یا انطباق داد مشکل ما را حل نمیکند. به همین دلیل به کمیسیون مستقل ارائه میشود تا در این مورد تصمیمگیری کند.
از اقدامات دیگر این کمیسیون حمایت از شهروندان، بازرسی و تعیین مجازات است؛ مثلاً اگر مقامی تخلفی مرتکب شد او را تغییر میدهند در واقع به دستگاه مرتب اطلاع میدهند که مثلاً از دادهای استفاده کرده است که از منظر کمیسیون ممنوع بوده است.
* نهادها رأساً و بدون نظر کمیسیون نمیتوانند اقدامی انجام دهند.
احمدی: دقیقاً. نهادهایی چون بیمه مرکزی میتوانند متناسب با محیط فعالیت خود این مورد را توسعه دهند. مثلاً کمیسیون اعلام میکند که اگر شرکت بیمهای از این اطلاعات استفاده کرد؛ چون ممنوع بوده باید لغو کد شود، میتوان آن را بومیسازی کرد و با توجه به شرایط خود از آن استفاده کرد.
* غیر از مورد آیتول، آیا موردهای دیگری در بیمه مرکزی وجود داشتند که نیاز به بررسی اینگونه داشته باشند؟
احمدی: شیوة استفادة آیتول از دیتا با کارگزاران برخط دیگر متفاوت بود در واقع جسورانهتر بود ورود به حریمی بود که کسی به آن تا به حال ورود نکرده است. شاید شرکتهای دیگر (قانون بیمه اجباری شخص ثالث میگوید تا دو و نیم درصد نمیتوانید تخفیف دهید) بیشتر تخفیف میدادند و هیچ کس هم اعتراضی نمیکرد و ما هم مطلع نشدیم؛ اما آیتول به فضایی ورود کرد و دیتایی داشت و این دیتا که دیده شد.
ادامه دارد……