《个人信息保护法》对互联网保险之影响

2021-09-09

中国互联网保险市场近年来取得高速增长。根据中国保险行业协会公布的数据显示，2020年我国累计实现互联网保费收入2908.75亿元，寿险保费收入占互联网保险保费收入72.57%，保险渗透率高达6.6%。从经营主体数量来看，截至2020年末，全国共有134家保险公司开展互联网保险业务，是2011年的4.8倍，其中有73家保险公司开展产险业务、61家保险公司开展寿险业务。通过大数据、云计算、互联网和区块链等技术在互联网保险业务中的应用，获取个性化海量数据，实现互联网保险定价及费率厘定的精细化、精准化及动态化，同时整合信息数据对客户精准画像，很大程度上提升了互联网保险创新的效率，但由于信息数据处理者的主体行为风险及信息数据及技术本身的潜在安全风险，也带来了信息数据安全、个人信息保护等方面的诸多问题。

2021年8月5日，银保监会办公厅下发《关于开展互联网保险乱象专项整治工作的通知》（银保监发[2021]87号），重点整治销售误导、强制搭售、费用虚高、违规经营和用户信息泄露等突出问题^[1]。2021年8月20日，《中华人民共和国个人信息保护法》（以下简称“《个信保护法》”）经第十三届全国人大常委会第三十次会议审议通过并公布，将于2021年11月1日起生效实施。作为个人信息保护领域的基本法，《个信保护法》的出台对我国互联网保险业务中个人信息权益保护以及互联网保险机构的数据隐私合规实践及数据开发利用都将产生直接和深远的影响，尤其在互联网保险销售中违规收集用户信息的问题。

一、互联网保险个人信息保护法律框架

现阶段我国关于互联网保险行业个人信息保护的规范主要体现为三个层面：其一，保险领域、互联网保险领域针对个人信息保护的特殊法律规定；其二，民事法律体系或个别刑事法律规定关于个人信息保护的一般规定；其三，针对个人信息保护的国家标准、行业标准。这里仅从互联网保险领域进行整理和解读。

（一）保险领域个人信息保护的法律规定

作为规范保险业的基本法，我国《保险法》仅规定了保险公司、保险代理人、保险经纪人及其工作人员、保险监督管理机构工作人员在保险业务活动不得泄露在业务活动中知悉的投保人、被保险人的商业秘密，远远无法达到数据时代对于保险用户信息的保护要求。

2020年12月7日，中国银保监会发布《互联网保险业务监管办法》（中国银行保险监督管理委员会令2020年第13号）（以下简称“《监管办法》”），自2021年2月1日起开始实施。《监管办法》针对互联网保险业务中的个人信息保护没有设定具体的规则，仅规定了相关的处理原则，即同意原则、合法正当必要原则。该法第三十七条及第四十八条第二款明确了保险机构和互联网保险公司应严格按照网络安全相关法律法规建立完善与互联网保险业务发展相适应的信息技术基础设施和安全保障体系，提升信息化和网络安全保障能力；第三十八条规定了保险机构对于客户信息保护的主体责任，收集、处理及使用个人信息应征得客户同意，获得授权，遵循合法、正当、必要性原则。保险机构应建立或者督促提供技术支持、客户服务等服务的合作机构建立有效的客户信息保护制度，未经客户同意或授权，保险机构不得将客户信息用于所提供保险服务之外的用途，法律法规另有规定的除外。

中国银保监会发布的《关于规范互联网保险销售行为可回溯管理的通知》（银保监发〔2020〕26号）第十七条规定了信息收集使用的合法正当必要原则及关联性原则：保险机构开展互联网保险销售行为可回溯时，收集、使用消费者信息应当遵循合法、正当、必要的原则，不得收集与其销售产品无关的消费者信息。

（二）《个信保护法》：个人信息保护的专门立法

《个信保护法》共计八章七十四条。总体上看，《个信保护法》借鉴国际个人信息保护的立法和实践经验，基于我国个人信息保护领域的重点突出问题以及保护监管实践，对散见于《民法典》、《网络安全法》、《信息安全技术个人信息安全规范》等法律法规及标准中的个人信息保护相关规定进行全面、系统的整合，以更好地规范个人信息处理活动，同时让个人信息更好地为经济社会发展赋能增效，因此《个信保护法》的出台具有必要性和独特性。《个信保护法》明确法源为《宪法》的“国家尊重和保障人权，公民的人格尊严不受侵犯”，确定了其个人信息保护领域的基本法地位，如果其他相关个人信息保护的法律规定和《个信保护法》的规定相冲突，应该优先适用《个信保护法》。同时该条款明确了立法目的为“保护个人信息权益”及“促进个人信息合理利用”。

《个信保护法》明确了个人信息保护的逻辑基础，个人信息及其权益属于个人，任何组织和个人不得侵害，包括不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为。《个信保护法》对“个人信息”采取了“描述+例外”的定义方式，同时将“个人信息”区分为一般个人信息和敏感个人信息^[2]。据此，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化^[3]处理后的信息。

二、《个信保护法》对互联网保险的具体影响

（一）明确互联网保险中的个人信息权益

个人信息权益的范畴，是互联网保险业务中用户信息保护的根本性前提。《个信保护法》准确定义了个人信息的内涵及外延，同时明确排除匿名化处理后的信息，在敏感个人信息中特别列举了“金融账户”。据此，经互联网保险机构匿名化处理后所得的信息不属于个人信息，可以转化为保险机构自有的商业信息、商业秘密、知识产权，例如保险机构根据数据精算和大数法则得到的重大疾病经验发生率表^[4]。互联网保险业务中“个人金融信息^[5]”属于《个信保护法》规定的“敏感个人信息”，包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息，应当在一般信息保护的基础上采取严格的保护措施。

互联网保险机构处理用户信息，不仅要满足一般信息的处理原则，还要符合特定的目的和充分的必要性，并采取严格保护措施。但根据学者分析^[6]，少有保险公司能够满足现行互联网法规和个人信息安全规范的要求。大多互联网保险公司会选择在投保界面制定隐私政策，以贯彻“知情-同意”规则，对于制定隐私政策的保险公司，形式上一般满足《网络安全法》七项原则^[7]的要求，但相较于收集信息的合法性与正当性要求，保险公司对于必要性和关联性的重视程度不足。在隐私政策的内容要求方面，对于《信息安全技术个人信息安全规范》在《网络安全法》原则基础上增加的七项原则^[8]，大多制定隐私政策的公司对于储存时间最小化原则和选择同意原则较为重视，但对于其他五项原则重视程度不足，尤其是个人敏感信息区分对待原则及个人信息安全事件处置原则普及率较低，更少有公司满足最小必要原则中三项子规则（关联性、最小频率和最低数量）的要求。在隐私政策的形式^[9]要求方面，除“告知消费者个人信息控制者的联系方法”与“明示个人信息保护政策链接”两项要求能够被大多数公司遵守外，其他几项要求也很少有公司能够满足。

对此，互联网保险机构应在现有的隐私政策或个人信息保护政策的基础上依据监管规定予以改进，根据个人信息的敏感度、重要性和特定险种需要，对于个人敏感信息进行二次梯度分级，差异化设计个人敏感信息的加密方式，以确保信息收集过程中及储存利用过程中的安全性和完整性。

（二）加强互联网保险个人信息权益的保护和救济机制

《个信保护法》在第四章明确了个人在个人信息处理活动中的权利，其中包括对其个人信息处理的知情权、决定权、查询权、复制权、可携带权，请求个人信息处理者更正、补充、删除个人信息的权利，以及要求解释说明的权利，同时还强调了个人有权撤回对个人信息处理的同意、有权限制或拒绝处理其个人信息、拒绝自动化决策等相关权利。《个信保护法》亦明确要求个人信息处理者建立个人行使权利的申请受理和处理机制及个人的权利救济机制。

为了保障保险消费者的知情权，互联网保险相关的信息处理主体负有对于个人信息处理的信息披露义务。同时对于信息处理规则，根据投保人的要求，保险机构应当对规则内容进行解释说明以有效保障消费者知情权、自主选择权和公平交易权等基本权利，即投保人在充分知情的情形下享有决定权，保证投保人对个人信息处理同意的意思表示的真实有效。结合银保监会《关于规范互联网保险销售行为可回溯管理的通知》，对保险机构通过销售页面管理和销售过程记录等方式在自营网络平台上销售保险产品的交易行为进行记录和保存，保险机构应保障保险消费者后续的查询权、复制权及可携带权。保险消费者请求保险机构将其个人信息转移至其制定的其他保险机构的，符合国家网信部门规定条件的，保险机构应当提供转移的途径。据此，各保险机构之间建立数据共享机制与平台^[10]将有利于义务的履行及保险消费者权利的保障。

在个人信息权益的救济机制中，《个信保护法》明确了“履行个人信息保护职责的部门”，由国家网信部门负责统筹协调，国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。同时规定了个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。涉及侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。面对违法违规收集用户信息的行为，保险消费者的维权成本高昂，多会选择向监管部门投诉的方式解决。依据《个信保护法》对于职责分配及救济机制的规定，应进一步明确中国银保监会消费者权益保护机构在保险消费者个人信息保护领域的主导性监管地位，保险行业协会予以辅助执行具体的协调规范工作，并应适时在保险消费者个人信息保护领域引入集团诉讼制度^[11]。

（三）严格遵守互联网保险个人信息的处理原则

“个人信息的处理”包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。《个信保护法》第五条至第九条用了七个“应当”明确了处理个人信息的基本原则：（1）合法、正当、必要和诚信原则是首要原则，是个人信息处理者实施处理活动的前提，个人信息处理者不得以误导、欺诈、胁迫等方式处理个人信息；（2）目的明确、合理且相关性原则，该原则为个人信息处理目的设定了评价标准，并将处理行为严格限定在“与直接处理目的相关”的范围内；（3）最小程度原则，该原则包括两个层面，要求信息处理者的处理行为方式对个人权益影响最小，要求不得过度收集个人信息，限于实现处理目的的最小范围；（4）公开、透明原则，要求信息处理者对外公开个人信息处理规则，并且明示处理的目的、方式和范围，该原则直接保障了个人信息权利人的知情权，进而为个人的“知情——同意”奠定了基础；（5）信息质量保证原则，该原则从个人信息的准确性和完整性两个角度对处理个人信息的质量设定了评价标准，应避免因个人信息不准确、不完整对个人权益造成不利影响；（6）安全保障原则，明确了个人信息处理者是个人信息处理活动负责人的主体身份，应当采取必要措施保障所处理的个人信息的安全。

《个信保护法》第二章规定了个人信息处理的规则。对于个人信息的收集，个人的同意应当是在充分知情的前提下自愿、明确作出。因此互联网保险对于用户同意不应采用概括同意的方式，而应当明确列举同意的事项和范围。

互联网保险对于用户信息收集的非法性主要体现在违反“最小程度原则”，利用人工智能技术收集用户信息，形成动态、长期、实时的追踪性收集。例如在车险和健康险等互联网保险业务中，通过汽车记录仪或智能手表等深度挖掘信息或利用互联网技术收集用户信息，借助互联网平台的海量数据获取用户信息。根据《个信保护法》的要求，互联网保险机构在收集用户信息时不得超越该产品所必须的信息范畴，即不得过度收集，同时要保证对于信息收集的方式和手段对用户的个人权益影响最小。

互联网保险运行中多涉及委托处理，应当根据《个信保护法》的规定，与受托人约定委托处理的目的、期限、双方的权利和义务等内容，并对受托人的个人信息处理活动进行监督。基于第三方平台的用户数据优势，互联网保险业务主要来源于第三方或渠道销售，同时互联网保险产品创新类型多，多款保险产品与第三方紧密合作，如航空延误险等，而非直接面向用户。因此，同样涉及到信息主体的授权，保险机构应关注第三方是否取得合法有效的授权，同时也要对第三方提供信息的完整性予以查验。对于共享个人信息的，应当向用户告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。互联网保险人仅在保险消费者授权范围内有权利用保险消费者的个人信息，不得基于商业利益的需要逾越授权范围进行不当利用，更不能在未经保险消费者许可的情况下，向他人传递或转让个人信息^[12]。

处理敏感个人信息应当取得个人的单独同意，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。保险法律关系中存在投保人、被保险人、受益人等多个类型主体，尤其在投保人与被保险人、受益人身份不一的情形下，投保人可能会在订立保险合同时一并提供非本人的个人信息。因此，保险机构应当注意不同主体间对于个人信息授权文件的提供，同时基于保险交易的效率保障，应允许由投保人（被授权主体）就其提供的信息主体（授权主体）的个人信息取得补充授权或者追认，并应当先行就其提供他人个人信息的合法合规提供承诺或保证。

总之，基于保险业对于个人信息的依赖性及互联网保险的基本特征与产品创新，依托于中国互联网保险行业的飞速发展，《个信保护法》的颁布明确了互联网保险中涉及的个人信息、信息权益的范畴及个人信息利用的基本原则和规则，对于互联网保险机构开展数据隐私合规及数据开发利用有着直接且重大的意义。《个信保护法》的实施已进入倒计时状态，互联网保险机构应全面、深入开展《个信保护法》的理解与研究，将个人信息保护规范的要求融入到互联网保险产品的开发及销售、理赔等业务阶段，合法处理个人信息的保护与利用关系，更好地利用数字化时代为保险行业带来的新机遇。

参考文献：

[1]参见“银保监会开展互联网保险乱象专项整治”，中华人民共和国中央人民政府官网，http://www.gov.cn/xinwen/2021-08/13/content_5631116.htm，最新访问时间2021年8月28日。

[2]敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

[3]匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。

[4]2020年11月5日，中国精算师协会发布《中国人身保险业重大疾病经验发生率表(2020)》，首次实现了数据信息覆盖所有人身险公司、覆盖全部重疾险产品、覆盖承保核保理赔全部业务环节、覆盖自重疾险产品问世至2018年底20余年的全部历史数据。

[5]个人金融信息是是金融业机构在提供金融产品和服务的过程中积累的重要基础数据，也是个人隐私的重要内容。个人金融信息一旦泄露，不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营，甚至可能会带来系统性金融风险。

[6]田宇申，互联网保险中个人信息保护的法律规制——以个人信息保护政策为切入，载《兰州学刊》，网络首发地址：https://kns.cnki.net/kcms/detail/62.1015.c.20210709.1309.006.html。

[7]《网络安全法》第四章第四十条至第四十九条对网络运营者收集和使用用户个人信息进行了若干限制，可以总结为七大原则，分别为限制收集原则（第四十一条）、明确目的原则（第四十一条）、合法处理原则（第四十二条）、限制使用原则（第四十四条）、安全保障原则（第四十五条、第四十七条）、公开透明原则（第四十一条）以及用户权利原则（第四十三条、第四十四条）。

[8]最小必要原则、选择同意原则、敏感信息区分对待原则、储存时间最小化原则、个人信息安全事件处置原则、个人信息保存的去标识化原则以及个人信息跨境传输限制原则。

[9]（1）告知消费者个人信息控制者的联系方法；（2）明示个人信息保护政策链接；（3）以链接形式展示数据安全能力合规证明；（4）提供针对处理规则的专门答疑渠道；（5）个人信息的共享、转让、公开披露以点击确认形式征求同意；（6）收集个人敏感信息分阶段、分窗口、分屏幕的特殊形式要求。

[10]根据《个人金融信息保护技术规范》（JR/T 0171-2020）， 收集行为包括由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等自动采集行为，以及通过共享、转让、搜集公开信息等间接获取个人金融信息等行为。

[11]任自力，《民法典》与保险消费者个人信息保护，载《保险研究》2020年第8期。

[12]董彪，消费者权益保护视角下的互联网保险营商自由，载《国家检察官学院学报》2017年第25卷第2期。

本文作者：