互联网保险业务监管办法（2020年） 第三十八条

第三十八条 保险机构应承担客户信息保护的主体责任，收集、处理及使用个人信息应遵循合法、正当、必要的原则，保证信息收集、处理及使用的安全性和合法性：

建立客户信息保护制度，明确数据安全责任人，构建覆盖全生命周期的客户信息保护体系，防范信息泄露。

督促提供技术支持、客户服务等服务的合作机构建立有效的客户信息保护制度，在合作协议中明确约定客户信息保护责任，保障客户信息安全，明确约定合作机构不得限制保险机构获取客户投保信息，不得限制保险机构获取能够验证客户真实身份的相关信息。

保险机构收集、处理及使用个人信息，应征得客户同意，获得客户授权。未经客户同意或授权，保险机构不得将客户信息用于所提供保险服务之外的用途，法律法规另有规定的除外。