摘要:《民法典》赋予个人信息以民事客体的地位同时,也突出了个人信息保护的重要性。保险较之一般商事交易具有特殊性,应当坚持保险消费者倾斜保护理念和适度保护理念的平衡,在《个人信息保护法》所确立一般规则的基础上,制定适用于保险行业的个人信息保护实施细则,在着重强调个人敏感信息分级保护的同时,规范互联网保险公司个人信息保护政策的内容和网站“知情—同意”的页面形式。另外应当加强银保监会对于互联网保险公司的行为监管,以监督个人信息保护政策的贯彻执行。
关键词:互联网保险;个人信息保护政策;个人敏感信息;知情同意
中图分类号:D922.17 文献标识码:A
文章编号:1005-3492(2021)09-0116-19
一、问题的提出
以互联网为重要标志的第三次科技革命通过信息的生产和处理在实现经济飞速发展的同时,也带来了社会结构的质变,虽然“个人信息”概念在传统线下营销中同样存在,但互联网营销所依托的大数据和云计算技术本质均为海量数据的架构和分析,其对于个人信息的需求量和获取量是线下业务所无法企及的。在保险行业中,由于其产品的定价机制以保险精算为依托,为确保风险评估的准确性和大数法则的有效性,以发挥保险分散风险和填补损失的积极作用,被保险人个人信息的获取就显得愈发重要,互联网营销与保险营销在个人信息的需求方面具有天然的契合性。随着保险科技的不断发展,互联网保险公司在为投保人量身定制符合用户特性的个性化保险服务时,更加需要对于用户的个人信息进行收集和利用,以通过数据挖掘和用户画像的建立达致精准营销的目的,增加客户粘性。然而在现阶段互联网信息技术尚且无法实现精确收集信息的现状下,如不采取必要的方式划定个人信息收集处理行为的边界,极易造成保险公司对于个人信息的过度收集和过度滥用,侵犯用户的合法权益。
《民法典》颁布后,其人格权编第1034条至1039条明确了个人信息保护的基本规则,以此为依据,《个人信息保护法》制定计划被提上日程。2020年10月17日,第十三届全国人大常委会第二十二次会议对于《个人信息保护法(草案)》进行了首次审议,其第14条规定个人信息处理者对于个人信息的处理应当建立在信息所有人充分知情且自愿明确做出知情同意意思表示的基础上,即突出强调个人信息的处理应以信息所有人“知情—同意”为前置要件。实践中,互联网保险公司一般会在网站中设置个人信息保护政策,将其对于保险消费者个人信息的利用情况进行披露,并获得后者的知情同意。在现阶段我国依然以“知情—同意”作为个人信息保护规范核心的前提下,作为限制互联网保险公司不当收集利用个人信息行为的第一道门槛,个人信息保护政策的合规性直接影响后续互联网保险公司实操的法律风险。
纵观我国金融行业,出于对消费者资信调查和储蓄存款、投资理财等大额资金安全维护的需要,证券业和银行业对于个人信息的保护较为重视,相关立法与时俱进。但在保险业,由于海量数据的收集有助于提高保险精算的准确度,为避免过度限制个人信息收集影响保险损失填补作用的发挥,保险行业个人信息保护法规长期缺位,规定多为简单零散的宣示性条款,缺乏协调性和体系化,无法为保险消费者个人信息提供充分完善的保护,因此互联网保险公司个人信息保护政策普遍仅具象征意义。此外在缺乏保险监管部门管控的前提下,实践中部分互联网保险公司以个人信息保护政策大打个人信息收集利用擦边球,更使个人信息保护政策的贯彻流于形式。笔者拟通过实证研究互联网保险公司个人信息保护政策的制定情况,以期对互联网保险行业个人信息保护的法律制度和监管实践提供有效的理论指引。
二、个人信息保护政策法律合规性实证分析
如按现行三种较为普遍的互联网保险分类模式对我国目前行业知名度较高的12家保险公司进行检索,可以发现为有效贯彻“知情—同意”规则,以保护消费者对于个人信息收集利用的知情权,大多互联网保险公司会选择于投保界面中制定个人信息保护政策(个别网站亦称隐私政策),且进行必要的公示。而在个人信息保护政策之中,保险公司基本会将个人信息收集、使用、共享、保护及公开披露的具体内容进行明确规定,以划定数据处理行为的界限,见表1:
表 1 互联网保险行业中个人信息保护政策的基本内容
当然,上述个人信息保护政策是否符合现行法要求,应进行更加细致的探讨。目前对于互联网个人信息保护的细致规范主要体现于《网络安全法》(2016)和《信息安全技术个人信息安全规范》(GB/T35273-2017)之中,前者为我国目前唯一一部对于个人信息收集利用规则进行详尽阐述的法律层级规范,后者作为自律规范虽效力层级较低,但由于其时效性最强且内容最为详尽,因而也将之作为考察的规则依据。
(一)以《网络安全法》为视角检视个人信息保护政策合规性
《网络安全法》第4章第40条—第49条对网络运营者收集和使用用户个人信息进行了若干限制,可以总结为7大原则,分别为限制收集原则(第41条)、明确目的原则(第41条)、合法处理原则(第42条)、限制使用原则(第44条)、安全保障原则(第45条、第47条)、公开透明原则(第41条)以及用户权利原则(第43条、第44条)。以上述7项原则为依据,本文对12家互联网保险公司的个人信息保护政策进行了比对,见表2:
表 2 《网络安全法》中关于个人信息收集使用的内容要求
说明:表格涂黑即为满足条件。
由表2可以看出,就没有制定个人信息保护政策的互联网保险公司而言,虽然会在服务协议或投保声明中规定部分涉及个人信息保护的条款,但大多只是以“我们承诺不会将您的个人信息泄露给任何第三方作其他用途”等话术一带而过,远无法达致《网络安全法》中7项原则的要求。而对于单独制定个人信息保护政策的互联网保险公司而言,其基本从形式上能够达到7项原则要求,但从中可以看出的问题是,《网络安全法》第41条中第1款规定的限制收集原则要求互联网保险公司在收集保险消费者个人信息时应当遵循合法、正当且必要原则,第2款则强调互联网保险公司收集个人信息应当与其提供服务直接相关,即收集信息的关联性要素。而部分保险公司在个人信息保护政策中只列明了合法与正当的要求,对于必要性和关联性的重视程度略显不足。
(二)以《信息安全技术个人信息安全规范》为依据考察个人信息保护政策的合理性
《网络安全法》从维护网络信息安全的角度对于个人信息的收集利用进行最低限度的法律约束,而为保证《网络安全法》的技术性规则可落地实施,《信息安全技术个人信息安全规范》(GB/T35273-2020)在《网络安全法》的基础上,从内容和形式两方面对互联网保险公司收集处理个人信息的行为进行了更高规格和更加详尽的规范。
在内容上,《信息安全技术个人信息安全规范》在重申《网络安全法》原则的基础上,增加了7项原则,分别为最小必要原则、选择同意原则、敏感信息区分对待原则、储存时间最小化原则、个人信息安全事件处置原则、个人信息保存的去标识化原则以及个人信息跨境传输限制原则。在形式上,《信息安全技术个人信息安全规范》附件中对个人信息保护政策提出了如下6项要求:(1)告知消费者个人信息控制者的联系方法;(2)明示个人信息保护政策链接;(3)以链接形式展示数据安全能力合规证明;(4)提供针对处理规则的专门答疑渠道;(5)个人信息的共享、转让、公开披露以点击确认形式征求同意;(6)收集个人敏感信息分阶段、分窗口、分屏幕的特殊形式要求。针对上述内容和形式要求,本文对12家公司的个人信息保护政策进行了比对,分别见表3和表4:
表 3 《信息安全技术个人信息安全规范》中关于个人信息收集使用的内容要求
说明:表格涂黑即为满足条件。
从表3可以看出,大多制定个人信息保护政策的公司对于储存时间最小化原则和选择同意原则较为重视,一般都会要求对于个人信息的收集,应当经过保险消费者同意,而不需要保险消费者同意即可收集的事项应在个人信息保护政策中予以列明,且在个人信息的储存过程中则要求一旦超过合乎目的的存储期间,便应立刻进行删除或匿名化处理。但大多公司对于其他5项原则重视程度不足,尤其是个人敏感信息区分对待原则及个人信息安全事件处置原则普及率较低,最小必要原则中三项子规则(关联性、最小频率和最低数量)更是没有任何公司可以全部达致要求。
由表4可知,相较之内容,互联网保险公司更加忽视个人信息收集利用的形式要求。除“告知消费者个人信息控制者的联系方法”与“明示个人信息保护政策链接”两项要求能够被大多公司遵守外,其他几项要求则极少有公司能够满足。其中,即使针对“明示个人信息保护政策链接”要求,很多保险公司的做法能否达到实质标准亦存在疑问。如部分保险公司在投保人选购保险产品时,将个人信息保护政策勾选按钮设置为默认同意或直接取消确认按钮,无需投保人主动勾选即可进行下一步的登录操作。此外,还有保险公司直接将个人信息保护政策以小号字体置于官网首页底栏或顶栏中,甚至部分保险公司将个人信息保护政策的链接嵌于首页新闻中心之中,保险消费者需要点击新闻中心进入公司信息界面后才能够查阅个人信息保护政策声明,上述做法共同点在于非将个人信息保护政策置于保险消费者投保必经流程之中,保险消费者是否打开链接对投保流程不会产生任何影响,这种界面设计势必会影响个人信息保护政策链接对于投保人的提示效果,消费者往往难以在复杂的投保流程操作中注意到自己个人信息的利用情况。
表 4 《信息安全技术个人信息安全规范》中关于个人信息收集使用的形式要求
说明:表格“√”即为满足条件。
(三)个人信息保护政策合规性研究反映的现实问题
从上述个人信息保护政策实证分析中可以看出,少有保险公司能够满足现行互联网法规和个人信息安全规范的要求,若个人信息保护政策尚且不合规,要求互联网保险公司在实践中能够切实做到审慎收集利用个人信息更是煎水作冰。我国目前个人信息保护政策的形式和内容缺乏明确统一的标准,亦可反映出若干立法和监管方面的现实问题。
1.互联网保险个人信息保护立法模式选择的争议
在我国,互联网保险个人信息保护立法模式曾存在两种选择,其一为统合立法模式,即在将“个人信息”概念从隐私权分离出来后,将其规范统合在一部《个人信息保护法》中通行于全行业适用。其二为专门立法模式,强调将个人信息作为隐私权的下位概念,各行业单独制定特殊保护规则。《民法典》颁布前,《侵权责任法》虽然确立了一般隐私权的保护路径,但并未提及“个人信息”概念,长期以来,金融行业中消费者的个人信息权益更多以“个人隐私权”的概念出现在金融业法律和部门规章中,这一点与专门立法模式较为接近。但由于个人信息与隐私二者系交叉概念,随着互联网信息技术的不断发展,新型个人信息层出不穷,单靠隐私权无法周延个人信息的保护范围。《民法典》的立法设计标志着我国将个人信息从隐私权独立出来,并将之作为一项单独的人格权进行保护,《个人信息保护法》的制定也说明我国倾向于将个人信息进行统合保护,对法典化国家而言,此种保护模式有利于扩大个人信息的保护范围,减少立法和行业实践冲突,这种立法思路的转变值得肯定。但另一方面,保险具有行业特殊性,兼具商业营利属性与社会保障属性,将之与一般商事营利活动同等对待势必会因忽略保险行业个人信息收集利用的社会性和公益性从而影响保险分摊损失作用的发挥,阻碍保险行业的有序发展。
2.互联网保险个人信息立法及监管实践的缺位
在我国《个人信息保护法(草案)》尚待审议之时,现阶段我国关于互联网保险行业个人信息保护的立法主要体现在5部法律、1部立法解释、1部司法解释、1部行政法规、12部部门规章及11部行业标准之中。然而其中大多数规范性文件对于个人信息保护仅进行宣示性的规定,缺乏对于个人信息保护政策形式和内容详尽的法律要求。《民法典》颁布后,其人格权编对个人信息的定义及收集处理存储规则进行明确,以此为依据,各行业均开启个人信息保护的新一轮立法,但在互联网保险业依然存在规则简单,操作性不足弊端,如2020年12月14日银保监会发布的《互联网保险业务监管办法》虽然对于互联网保险公司的营销行为进行了较为详尽的规定,但其第38条对于个人信息收集利用的规范只强调了合法、正当、必要原则和“知情—同意”原则,且对于上述原则的具体操作方式并未涉及,而对于个人敏感信息和个人信息保护政策的形式要求更是只字未提。这种粗糙的立法技术使得互联网保险个人信息保护规范的形式意义远大于实质意义,客观上纵容了互联网保险公司有意忽略个人信息保护政策的合规设计。
此外,个人信息保护政策执行过程中的监管缺位问题亦较为突出,虽然我国目前对于个人信息保护采用统合立法模式,但在我国尚未建立统一专门化的个人信息监管机构之时,互联网保险个人信息的收集和利用往往会涉及央行、银保监会、工信部、网信办等几大部门联合监管,这种混合监管模式存在各部门互相推诿的缺陷,保险消费者一旦遇到互联网保险公司过度收集或滥用个人信息的情形,可能面临投诉无门的困境,也正因为互联网保险业缺乏专门的监督机构,互联网保险公司的个人信息政策在执行过程中缺乏有效的监督机制,难以在实践中切实保障保险消费者的信息自主权。
3.互联网保险业个人敏感信息细化规范的粗糙设计
从上述图表可以看出,我国目前尚无任何互联网保险公司在个人信息保护政策中对个人信息进行区分对待并明确对于个人敏感信息予以更加严格的保护,除互联网保险公司降低成本与提高交易效率的商业化考虑外,主要原因在于我国法律对于个人敏感信息的定义和分级处理方式的细化规范略显粗糙。在我国现行互联网和金融行业标准中,对于个人敏感信息进行细化规范的方式亦存在差异,主要可总结为三种模式。
第一种即重分级轻定义模式,如《个人信息保护技术指引》虽将个人敏感信息具体内容的制定权限下放至各个接受服务的信息主体之中,但要求对于个人敏感信息应按照敏感度区分为高敏感、中敏感、低敏感三个等级。
第二种为重定义轻分级模式,如《中国金融移动支付检测规范》第8部分对于个人认证信息中属于个人敏感信息的内容进行了列举,主要包括金融支付机构留存的登录密码、交易密码和取款密码等。《信息安全技术个人信息安全规范》于附录B中在对于个人敏感信息的判定标准进行明确的基础上对于个人财产信息和个人健康生理信息中属于个人敏感信息的内容进行了拓宽式列举,不仅将银行账户、存款信息、房产信息、信贷记录、征信信息、交易和消费记录等金融信息纳入个人敏感信息之中,且医嘱单、体检报告、既往病史和生育信息等个人健康生理信息亦被归入个人敏感信息范畴,但上述两项行业标准并未对个人敏感信息的分级方式进行明确。
第三种模式为两者并重式,即在对于个人敏感信息进行列举式定义的同时进行分级。如《个人金融信息保护技术规范》按照个人金融信息敏感程度高低将金融信息区分账户密码等用户鉴别信息(C3级-高敏感度)、支付账号等可识别特定主体身份与金融状况的信息(C2级-中敏感度)以及开户机构等金融机构内部使用的个人金融信息(C1级-低敏感度),C1-C3级别的敏感信息分别适用不同力度的保护措施。
我国《个人信息保护法(草案)》第一次以法律层级角度提出“个人敏感信息”的概念,却并未对其进行分级,很明显采用了重定义轻分级的规范模式。但即使在个人敏感信息内部,因信息性质、内容及敏感度存在差异而依然存在梯度分级保护的必要性,我国目前互联网保险业并未对个人敏感信息进行任何定义或分级的规定,难以契合对于个人敏感信息应严格保护的立法精神,更无法实现个人信息保护和利用之间的平衡。
三、域外互联网保险个人信息保护的制度借鉴
世界范围内主要存在两种个人信息保护的范式选择,其一为以欧盟、日本为代表的统合立法模式,其二为美国的专门立法模式。前者强调将个人信息从隐私权独立出来单独作为一项人格权进行较高规格的保护,而后者则将个人信息作为隐私权的特殊类别进行规范。将个人信息权(亦有国家和地区称之为个人数据权)进行单独保护的国家和地区大多不区分行业形成统一的个人信息保护法,而美国则采取分散性的立法模式,其个人信息保护规范散见于不同行业的法律规则中,且制定法相对于行业自律规则仅占据辅助性地位。除《公平信用报告法》《隐私权法》《金融服务现代化法案》中的个别条款对于整个金融行业具有普适效力外,由于美国金融行业分业立法,互联网保险业个人信息主要根据各州自行制定的法律进行特殊保护。
(一)域外个人信息保护立法的一般规则
由于我国个人信息保护采用统合立法模式,笔者仅通过梳理欧盟、日本等11个域外统合立法国家和地区的立法现状可发现,大多国家和地区对于个人信息保护的规定可总结为如下要求:(1)目的限制原则,即收集个人信息前要确定其目的,且信息的收集、处理和利用均应用于正当、合法、必要且特定的目的,在达致特定目的前提下,要保证信息收集的最低限度性。(2)知情同意原则,即在明示信息收集、使用和披露的目的方式和原则,且明示无需用户同意的例外收集情形的基础上,获得信息主体的知情同意,其主要强调收集、处理和利用时手段上的合法性、公正性且适当性要求。(3)用户权利原则,即用户对自己的个人信息享有公开、获取、查询、更正、删除等权利。(4)期限性原则,强调个人信息的收集和使用不能超过合乎目的的期限,超过后应当立即进行主动删除或匿名化处理,对于收集后的个人信息应及时进行必要的更新。(5)安全保障及责任制原则,机构应当采取必要且正当的措施保障个人信息的真实性、完整性和安全性,如造成用户个人信息的泄露、损毁灭失应当承担损害赔偿责任。(6)个人信息的分类处理,对于个人信息应当区分一般个人信息和敏感信息,对于后者要进行更加严格的保护。(7)对于数据流通性比较强国家和地区,大多要求个人信息跨境流通应当符合法律规定且用户的明确授权。
(二)域外互联网保险行业个人信息保护立法的特殊规则
多数对于个人信息保护进行统合立法的国家和地区在金融行业亦采取合一立法模式,即将保险、银行和证券等分支行业规范整合在统一的金融商品交易法之中,因此,笔者对于互联网保险业个人信息保护的专门规定更多置于金融法中予以考察。
以日本和韩国为例,日本在《个人信息保护法》之外,《金融商品交易法》《办理关于金融机构保护个人资讯指南》《金融领域个人信息保护方针》与《金融领域个人信息保护方针的安全管理措施实务指南》均对于金融行业个人信息保护进行了更加严格的规制,主要表现为以下四项特殊规则。其一为“知情-同意”原则形式上的规范。日本《个人信息保护法》并未对于个人信息所有人同意的形式做出明确规定,而依据《金融领域个人信息保护方针》第4条的规定,金融领域处理个人信息的企业必须采用书面形式获取个人信息所有人的同意,且同意书对于个人信息处理的规定必须能使本人能够理解(其中的含义),同意书也应当以能够清楚反映本人意图的方式设定确认模式。其二为个人信息的区分保护。日本《个人信息保护法》并未提及个人敏感信息的概念,但《金融领域个人信息保护方针》将个人信息区分为一般个人信息和敏感信息,其第5条强调对于宗教、民族种族、医疗保健、犯罪等信息应当作为敏感信息,在从事保险业或其他金融领域业务中,应当以本人同意为基础,在业务执行上的必要范围内取得和利用。《金融领域个人信息保护方针的安全管理措施实务指南》附件2则对于敏感信息的收集处理做出了具体规定,譬如要满足最低要求限额、访问控制限额为最少人数、严格的身份验证程序、外部审核流程等。其三为金融从业者安全管理措施的细化规范。日本《个人信息保护法》第39条只规定了匿名加工信息处理业者的管理义务,而《金融领域个人信息保护方针》第10条对于财务领域中的个人信息业务运营商组织安全控制措施、个人安全管理措施、技术安全管理措施均进行了较为细化的规范。其四为金融从业者监督义务的强化。日本《个人信息保护法》第3节只规定了个人信息保护委员会的监督职能,对于金融从业者的监督义务并无涉及。《金融领域个人信息保护方针》则于第11条和12条特别强调为防止个人数据泄露、丢失或损坏,金融从业者需要对其雇员和承包商进行必要的监督,在此基础上,《金融领域个人信息保护方针的安全管理措施实务指南》第5条对于个人数据承包商监督的标准进行了细化明确,包括选择承包商的标准、与承包商签订合同的内容、对于承包商的定期审核要求等。
韩国《电子金融交易法》和《金融实名往来及秘密保障的法律》对于金融领域的个人信息保护也在《个人信息保护法》的基础上提出了更高标准的要求,主要体现在《电子金融交易法》第26条、《金融实名往来及秘密保障的法律》第4条之中。前者强调在电子金融交易时,对于信息主体的财务账户信息和金融交易内容信息,不经过信息主体的明确同意,不得向他人提供或用于业务目的之外的用途,后者则指出,对于任何从事金融活动的主体,除例外情况下,必须经过信息主体明确的书面要求或同意,方得将其收集的个人信息进行处理(包括披露、提供等),且存在必要的期限限制。
(三)域外互联网保险业个人信息保护的监管现状
就世界范围来看,对于互联网保险行业个人信息保护的监管模式存在以下三种,统合监管模式、行业监管模式和分业监管模式。统合监管模式以欧陆地区和东亚地区为典型代表,即强调不区分行业而在全国范围内设置统一的个人信息监管机构,如欧盟数据保护专员公署、德国联邦数据保护与信息自由专员办公室、法国国家信息与自由委员会、澳大利亚信息专员办公室、日本个人信息保护委员会和我国香港地区的个人资料隐私专员公署等。而行业监管模式强调政府应将各行业个人信息保护的监管权限下放到各个行业的监管机构之中。如英国金融行为监管局和我国台湾地区的联合金融征信中心负责监督金融全行业个人信息保护的落实情况。分业监管模式则以美国为代表,要求在金融领域由联邦银行管理机构、全国信用社管理局、财政部长、证券交易委员会和联邦贸易委员会依各自管辖权限分别负责银行、证券、保险领域个人信息保护的监管,其中保险主要由各州保险委员会和保险监督官自行监管。
(四)域外互联网保险业立法监管经验对我国的启示
从立法模式的选择来看,美国发达的行业自律实践、判例法主导的立法传统抑或联邦制的国家结构,均与我国国情存在较大差异,强行推行分业立法模式在我国存在水土不服的适用困境,而将个人信息进行统合保护不仅可以与我国《民法典》人格权编中的个人信息保护专章相契合,也符合国际上的对于个人信息高标准保护的通行做法。但另一方面,《个人信息保护法》只是设定了个人信息保护的一般规则,保险属于金融领域,兼具私法维持意思自治和公法维护秩序稳定的功能,因此即便是对个人信息进行统合立法的国家也会在保险行业制定若干规章和自律规则以进行特别法上的制度设计,如对于健康信息和金融信息以书面方式作为“知情-同意”的形式要件,且强调期限的严格限制等。
同样从监管经验来看,虽然各国个人信息保护监管机构的设置基本与其立法模式紧密相关,对于将个人信息统合立法的国家和地区而言,大多会不分行业设置专门负责个人信息保护的主管机构统合监管。而对于个人信息碎片化立法的国家而言,基本会采用分业监管模式。但由于个人信息的收集和利用在各行业之间存在差异性,即便是对于统合监管模式的国家和地区而言,也会要求各行业特定的监管机构通过制定特殊的监管细则和应用指南细化具体规则的可操作性并要求行业监管机构辅助监督个人信息的收集利用情况,如我国香港地区虽然存在个人信息保护的专门监管机构,但香港金融管理局往往也会进行一定程度的辅助监管。更何况我国金融业采分业监管模式,与欧盟、日本等国家和地区的大金融监管体系实践亦存在差异,在缺少统一金融监管机构的前提下,则更加凸显于互联网保险业设立专门化个人信息保护监管机构的重要性。
四、互联网保险中个人信息保护的完善建议
(一)互联网保险中个人信息保护的理念
1.互联网保险中倾斜保护理念和适度保护理念的平衡
在互联网保险业中,保险消费者与保险公司地位存在不对等性。一方面保险消费者与保险公司无论是从财产状况、专业知识以及地位均处于明显不对称的状态,保险公司可能利用自己的强势地位侵害消费者利益。另一方面,互联网新技术的运用,在促进交易快捷,提高效率的同时,也进一步加剧了保险消费者与保险公司的信息不对称,实践中保险公司常以商业利益为驱动,简化个人信息收集利用的披露流程,侵犯保险消费者合法权益。
在互联网保险中谈及个人信息保护的理念,首先要坚持倾斜性保护与适度保护的平衡。倾斜性保护原则为保险消费领域中应当贯彻的首要理念,即强调对保险消费者实施比普通消费者更加完整、有力的保护措施。倾斜保护理念更加关注保险消费者的弱势地位,通过加强保险机构的法定义务,强化保险消费者的权利救济,以维系保险交易的公平性,实现社会实质正义。以倾斜保护原则为宏观指导,保险消费者作为弱势地位一方,应当享有更加充分的权利保障,而保险公司作为专业水平强势的一方,其义务的履行应当进行更加严格的法律规制。虽然保险精算以数据和信息为依托,但这并非意味在保险行业对于个人信息就可以无限制的收集利用。部分保险公司以要求投保人履行如实告知义务为名,违反合目的性原则,过度收集与投保无关的消费者信息,本质上与倾斜性保护理念背道而驰。
当然,倾斜性保护理念的运用并非强调对于保险消费者毫无节制的照顾。相反,这种保护也应当遵循适度性。适度保护理念最早由英国提出,根据英国《金融服务与市场法》(2000)的规定,消费者保护的目标是确保对消费者的适度保护,这种适度保护需要考察的因素包括保险消费者交易经验和专业水平的差异性;保险消费者对于保险服务企业准确信息的需求程度;以及保险消费者责任自负原则的贯彻程度等。适度保护理念要求对保险消费者的保护不能仅通过强化保险服务企业的义务来实现,消费者自身也要尽到合理的注意义务。例如,在互联网保险中,保险消费者在购买保险产品时不得以个人信息保护为由拒绝向保险公司提供健康信息和金融信息,而应切实履行投保人如实告知义务,并对其信息的真实性和时效性负担责任。这不仅是保险领域信息充分且对等的义务要求,实则也为实现个人信息利用和保护之间利益衡平的体现。
2.互联网保险中兼顾个人信息一般保护与特殊保护的理念
互联网保险业中既要注重互联网行业个人信息保护的普遍性要求,又要侧重保险行业的特殊性,对个人信息的保护做差异化设计。一方面,在我国全行业的个人信息保护均应当符合《民法典》《个人信息保护法》和其他互联网行业个人信息保护规章及行业标准的要求,但另一方面保险业对于个人信息的保护不同于一般商业领域,具有一定特殊性,主要表现在个人信息的分类之中。由于保险定价和产品的精准营销需要收集大量的个人金融信息,而人身保险的营销更是不可避免要收集医疗记录、体检报告内含的个人健康信息,因而上述两类特殊信息应当予以重视。从域外法角度考察,大多国家和地区会将个人金融信息与个人健康信息认定为个人敏感信息并予以更高规格的保护,如欧盟、加拿大、澳大利亚和日本等国家和地区均要求对于个人敏感信息应当以禁止处理为原则,且强调明确且主动的高标准“知情-同意”要求。
以金融信息和健康信息为代表的个人敏感信息相比一般个人信息而言,或承载更高的人格尊严要素,或对于财产安全产生重大影响,上述信息的滥用本质上能够对消费者的基本权利造成侵害,若不加以限制收集、处理和使用的授权,会为消费者带来慌恐、不安与不可预测的损害风险,因而社会公众对于金融信息和健康信息具有极强的敏感度,往往会较之其他类型的个人信息更加担心信息的泄露与遗失。对于因业务需要,可能收集保险消费者大量个人敏感信息的互联网保险公司而言,应当对一般信息与敏感信息进行更加细致的区分保护,保险机构在收集个人敏感信息时也应当遵循更高的注意义务。
我国《个人信息保护法(草案)》对于个人敏感信息进行概括+列举式的定义,其范围既包含了英美法中的财产隐私信息,又吸收了欧盟法中规制的承载人格要素的个人信息。由于不同行业敏感信息的种类和分级标准可能存在差异性,《个人信息保护法》不便于对个人敏感信息进行统一标准的分级,但在《个人信息保护法》将个人敏感信息分级权限下放到各个行业之时,保险业就需要银保监会对于敏感信息进行更加细致的分级处理。
(二)完善互联网保险中个人信息保护立法与监管体系
1.互联网保险中个人信息保护立法的完善思路
我国应在完善《个人信息保护法》的同时,通过银保监会发布的规章或指导性原则予以细化。具体而言,相关立法可从如下方面进行完善。
首先,在细化《互联网保险业务监管办法》第38条中规定的合法、正当、必要等原则的基础上,尤应以“最小必要”取代“必要”作为个人信息的首要收集利用原则。其中,对于最小必要原则涉及的最小必要信息和最小必要权限的范围也应当进行明确,前者可将网络日志、手机号码、身份证件信息、账号信息、银行账户信息、个人健康信息等纳入其中,并设定不同层级的使用要求,而对于后者应当严格将之限定为存储权限,不能包括位置权限、传感器权限等。另外对于个人敏感信息,还应当就其收集的最小必要性以及对于个人的影响向保险消费者进行严格的解释说明。
其次,《个人信息保护法(草案)》对于种族、民族、个人生物特征、行踪信息和金融账户、医疗信息不做任何梯级区分,立法略显粗糙。笔者认为应当在坚持一般个人信息与个人敏感信息二元划分的基础上,从定义和分级两方面对于个人敏感信息进行更加细致的规范。具体而言,第一,对于保险行业的个人敏感信息应进行明确定义,尤其应将个人金融信息、个人生物特征信息和个人健康信息等纳入其中。第二,应要求互联网保险公司根据个人信息的敏感度、重要性和特定种类的业务需要,对于个人敏感信息进行梯度分级,且差异化设计利用和传输个人敏感信息的加密方式,以确保信息利用处理过程中的安全性。为此可借鉴《个人信息保护技术指引》和《个人金融信息保护技术规范》的做法,除一般个人信息外,将保险行业个人敏感信息设置高敏感、中敏感和低敏感三个梯度,将保险消费者个人生物识别信息、个人重大疾病史、体检单等个人健康信息和财产账户登录密码、交易密码等个人金融信息纳入高敏感度信息范围中,将个人生育信息、家庭成员健康信息等其他个人健康信息和保险账户信息、支付账号信息、验证码等个人金融信息等纳入中敏感度信息之中,其他个人金融信息(如开户银行、开户地点、开户时间等)则可属于低敏感信息的范畴。对于高敏感信息和中敏感信息应禁止委托或授权无保险资质的机构收集处理,且在传输过程中严格加密,另外,对于高敏感信息,还应当强调在收集和储存过程中,采取加密技术严格确保信息的保密性和非公开性。
最后,应明确“知情—同意”和“许可—使用”的形式化要求,禁止互联网保险公司对个人信息保护政策进行不合理的隐匿或对于个人信息不加以分类分级全部采取概括授权方式进行收集利用。从比较法角度观察,美国联邦贸易委员会在其《在快速变革时代保护消费者隐私权的报告》(2012)中将一般个人信息和个人敏感信息区别设计消费者同意的形式,对于前者仅满足“择出式同意”要求即可,即无需消费者明示同意,仅需获得默示同意即可,而对于后者则强调“择入式同意”,如网络服务商未获取消费者的明示同意,则无权收集处理个人敏感信息。我国《个人信息保护法(草案)》第14条直接对于一般个人信息施加以“明确同意”的高标准要求,并未考虑到对于个人信息利用较为依赖的特殊行业的需要,因此建议将《个人信息保护法(草案)》第14条修改为“除法律、行政法规另有规定外,处理个人信息的同意应当由个人在充分知情的前提下自愿、明确做出”,在此基础上我国在保险行业可采取梯级“知情—同意”的形式要求,对于一般个人信息可以采取概括授权的形式,且不需要保险消费者的明示同意,可以承认以推定形式做出的默示同意。对于低敏感信息,由于其承载人格要素要低,取得保险消费者单独、明示同意即可进行“许可使用”,且在获取保险消费者单独同意并进行个人信息安全影响评估后可进行例外的公开披露。对于中、高度敏感信息则应当以禁止收集处理为原则,“知情—同意”收集处理为例外,由于上述信息为严重影响保险消费者资金安全的个人金融信息和承载较强人格性要素的个人健康信息和生物特征信息,如确属如实告知义务履行和保险精算之必要,应于获得保险消费者单独、明确同意后进行收集,在保险合同无法履行或履行完毕后应当立即进行脱敏化处理,且严格禁止公开披露。与之相关联的配套措施即要求互联网保险公司建立个人信息数据库分级授权管理机制,合理确定保险公司工作人员调取信息的范围和权限。
2.强化互联网保险业对于个人信息保护的行为监管
针对我国目前互联网保险行业监管主体不明的弊端,可借鉴英国和我国香港地区的行业监管模式,银保监会作为对于保险公司进行行为监管的主体,在制定互联网保险行业个人信息保护实施细则的同时,也应当明确其个人信息保护的监管主体地位。银保监会应当于消费者保护局中下设专门负责受理个人信息保护的监管机构,在负责处理消费者投诉和处理纠纷的同时应当对于互联网保险机构个人信息处理机制的形式和内容进行必要的抽检,对于不符合要求的保险机构要求禁止其个人信息的收集、处理和使用并处以必要的罚款、责令整改等行政处罚措施,以确保互联网保险公司将保险消费者个人信息的保护落到实处。
(三)对于互联网保险公司处理个人信息的合规建议
1.互联网保险公司个人信息保护政策的内容优化
首先,互联网保险公司对于保险消费者“知情—同意”的内容不能以“我们承诺不会将个人信息泄露给任何第三方作其他用途。”类似的表述进行概括说明,也不能进行诸如“为了业务需要”或者“为了保护您的合法权益”等含糊表述要求消费者进行概括确认,应细化个人信息保护政策中的信息收集处理机制,并将处理目的和同意内容形成一一对应关系。互联网保险公司的个人信息政策内容应当尽可能清晰细化信息收集使用的目的,且明确个人信息的收集应当尽遵循最低频次和最小数量的要求。
其次,个人信息保护政策有必要明确对于个人信息的储存应当遵循储存时间最小化原则,为便于信息主体对上述储存行为进行监督,个人信息保护政策也应当明确待互联网保险公司对个人信息进行商业性目的的储存后,信息主体拥有每年度要求以书面形式提供信息并对信息真实性进行质疑并要求修改的权利。而一旦保险合同终止或遇到其他无法实现合同目的的事由,保险公司应当立刻主动对于用户的个人信息进行删除,如确因法定原因或保险精算需要而无法对于个人信息进行删除,也应当进行去识别化处理。
再次,互联网保险公司不能将个人信息统一进行概括授权,而应当在个人信息保护政策中明确个人敏感信息的内涵与外延,尤其应当列明对于个人敏感信息收集过程中“知情—同意”的例外情形。对于个人敏感信息,应区分低度敏感信息、中度敏感信息和高度敏感信息,对于低度敏感信息,应当在获得保险消费者单独且明示同意的基础上进行收集,而对于中高度敏感信息应当以禁止处理为原则,明确同意处理为例外,除非受到保险消费者明确同意,互联网保险公司不得随意收集与使用,对于其中的“明确同意”应当做出严格的解释,即应当建立在保险消费者对于自己权利充分理解的基础上,做出的主动且清晰的书面意思表示,任何隐藏个人敏感信息条款或默认同意的条款设计均不符合明确同意的高标准要求。此外,对于个人敏感信息的利用,应当以脱敏化处理为前提,为此,互联网保险公司应当建立个人敏感信息脱敏(如屏蔽、去标识、匿名化等)管理规范和制度,以明确不同敏感级别个人信息脱敏规则、脱敏方法和脱敏数据的使用限制。
最后,对于个人信息的安全保障义务的履行,不应当满足于仅制定安全保障义务的原则性条款,而应当对于安全事件的类型、安全漏洞的分类标准予以明确,且应当完善紧急事件应急预案机制,定期(半年一次或一年一次)组织应急响应培训,以增强互联网保险机构内部员工信息安全意识。如互联网保险公司发现其所储存的个人敏感信息被非法传输或被非法向第三方披露,应当及时将非法获取信息的性质和应急措施通知银保监会。
2.采集用户个人信息“知情同意”页面的形式设计
由于互联网保险中的人—机交互模式一改传统线下保险中人—人互动模式,以“一对多”定式化的网页操作流程代替传统“一对一”的沟通式行为营销,在降低人力、时间成本,发挥交易便捷化优势的同时也加剧了保险公司与消费者的信息不对称。为纠偏保险公司与消费者的利益失衡,在互联网保险行业中更应当强化网站网页的布局及投保流程设计,体现在个人信息的收集利用方面即为“知情—同意”页面的优化。
首先,个人信息保护政策的链接应设置于投保人必经的操作界面,通过单独网页或弹窗形式提示保险消费者,对于重点事项应当通过加粗或下划线等标记手段确保消费者能够于繁杂的网页信息中精准获取其个人信息的收集利用情况,且增加保险消费者主动勾选的同意选项。其次,个人信息保护政策的展示界面应当提供专门的疑难解答窗口,以智能客服和人工客服相结合,确保消费者对于不理解或者有歧义的词句能够随时进行咨询互动。再次,应当于个人信息保护政策中设置内嵌式链接并将数据安全合规证明置于其中,以确保网站的安全保障义务可落到实处。最后,对于个人敏感信息的确认应当分窗口单独呈现,在通过加粗、扩大字号等方式重点提示的同时逐项设置用户同意选项,并要求保险消费者主动点击确认,严禁概括授权的同意或以默认勾选按钮代替消费者进行“知情—同意”的确认。