黃志浩 上海銀保監(jiān)局

保險(xiǎn)業(yè)作為金融業(yè)中典型的“個(gè)人信息”集中行業(yè)，在數(shù)字經(jīng)濟(jì)時(shí)代的人工智能、大數(shù)據(jù)、云計(jì)算等金融科技加持下，勢(shì)必涉及大量的保險(xiǎn)消費(fèi)者個(gè)人信息。從監(jiān)管法治的角度審視我國(guó)保險(xiǎn)業(yè)個(gè)人信息保護(hù)規(guī)則，可以發(fā)現(xiàn)其存在諸多不周延之處，例如，對(duì)算法殺熟、跨境數(shù)據(jù)傳輸?shù)汝P(guān)鍵問題缺少回應(yīng)。因此，應(yīng)借助本輪《保險(xiǎn)法》修訂等金融法治供給側(cè)改革的關(guān)鍵時(shí)機(jī)，盡快建立多層次的保險(xiǎn)業(yè)個(gè)人信息保護(hù)體系，厘清保險(xiǎn)業(yè)個(gè)人信息保護(hù)的法治脈絡(luò)，完善監(jiān)管職權(quán)配置，增強(qiáng)各項(xiàng)規(guī)則的可執(zhí)行性，以促進(jìn)保險(xiǎn)業(yè)依法經(jīng)營(yíng)與合規(guī)發(fā)展，保護(hù)金融消費(fèi)者合法權(quán)益，落實(shí)“以人民為中心”的發(fā)展思想。

一、概論

（一）數(shù)字化新時(shí)期的保險(xiǎn)業(yè)個(gè)人信息保護(hù)

自2022年原銀保監(jiān)會(huì)發(fā)布《關(guān)于銀行業(yè)保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》（銀保監(jiān)辦發(fā)〔2022〕2號(hào)）以后，保險(xiǎn)業(yè)的數(shù)字化轉(zhuǎn)型已經(jīng)不是選擇題而是必答題。在當(dāng)前金融科技賦能金融業(yè)發(fā)展的大背景下，越來越多的保險(xiǎn)公司走上了數(shù)字化轉(zhuǎn)型之路，采用人工智能、大數(shù)據(jù)等技術(shù)進(jìn)行精準(zhǔn)化營(yíng)銷獲客、自動(dòng)化決策，并進(jìn)行大數(shù)據(jù)風(fēng)險(xiǎn)定價(jià)，提供品種豐富、定價(jià)科學(xué)的保險(xiǎn)產(chǎn)品，以更好地滿足人民群眾對(duì)差異化保險(xiǎn)產(chǎn)品的需求。但隨之也出現(xiàn)了營(yíng)銷過度、信息泄露、算法殺熟等一系列個(gè)人信息保護(hù)的相關(guān)問題。

數(shù)據(jù)作為保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型中的一項(xiàng)特殊資源，既有體現(xiàn)保險(xiǎn)消費(fèi)者公民權(quán)利“個(gè)人性”的一面，也有體現(xiàn)維持行業(yè)平穩(wěn)運(yùn)行“公共性”的一面，其有效的流轉(zhuǎn)、利用與治理是保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型中各項(xiàng)技術(shù)成敗的關(guān)鍵。2021年正式實(shí)施的《個(gè)人信息保護(hù)法》在立法目的中對(duì)上述二元價(jià)值給予了較好的兼顧。具體到保險(xiǎn)行業(yè)，其業(yè)務(wù)本質(zhì)是建立在信息不對(duì)稱基礎(chǔ)之上的“風(fēng)險(xiǎn)定價(jià)”，即保險(xiǎn)公司在經(jīng)營(yíng)過程中為了估測(cè)損失規(guī)模、合理確定保費(fèi)，必然需要收集大量個(gè)人信息，甚至是個(gè)人金融賬戶信息、醫(yī)療信息等敏感信息。因此，有必要在《個(gè)人信息保護(hù)法》的基礎(chǔ)上，對(duì)處于交易弱勢(shì)地位的保險(xiǎn)消費(fèi)者的個(gè)人信息予以進(jìn)一步的傾斜保護(hù)。2022年，原銀保監(jiān)會(huì)消保工作的重點(diǎn)便是對(duì)銀行保險(xiǎn)機(jī)構(gòu)個(gè)人信息保護(hù)的檢查。2023 年初，國(guó)家金融監(jiān)督管理總局組建成立，標(biāo)志著保險(xiǎn)監(jiān)管力度得到進(jìn)一步加強(qiáng)，個(gè)人信息保護(hù)作為數(shù)字化時(shí)代金融消費(fèi)者權(quán)益保護(hù)的一項(xiàng)重點(diǎn)內(nèi)容，也得到進(jìn)一步重視。因此，構(gòu)建權(quán)責(zé)分明、規(guī)范有效的保險(xiǎn)業(yè)個(gè)人信息保護(hù)監(jiān)管法治框架已是當(dāng)務(wù)之急和必然選擇。

（二）我國(guó)保險(xiǎn)業(yè)個(gè)人金融信息保護(hù)的法治進(jìn)路

我國(guó)保險(xiǎn)業(yè)的個(gè)人信息保護(hù)立法起步較晚。美國(guó)早在1996 年就根據(jù)保險(xiǎn)行業(yè)的特殊情況，制訂了《健康保險(xiǎn)可移動(dòng)性和責(zé)任法案》（Health Insurance Portability and Accountability Act，HIPAA），針對(duì)醫(yī)療保險(xiǎn)中涉及個(gè)人信息的交易規(guī)則、醫(yī)療信息安全、醫(yī)療隱私、患者身份識(shí)別信息等問題作出詳細(xì)的法律規(guī)定。我國(guó)在2009年的《刑法修正案（七）》中才將侵犯公民個(gè)人信息的行為定為犯罪行為，邁出了刑事先行的個(gè)人信息保護(hù)第一步。

在法律層面，2012 年，全國(guó)人大常委會(huì)制訂了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，正式將個(gè)人信息作為一項(xiàng)專門法益予以保護(hù)。2017 年生效的《網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)環(huán)境下的個(gè)人信息保護(hù)問題。2020年《民法典》的出臺(tái)，標(biāo)志著在法律層面上首次將個(gè)人信息作為一種人格權(quán)益予以確立，個(gè)人信息保護(hù)的重要性被提到了一個(gè)新的高度。以此為基礎(chǔ)，2021年《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》的出臺(tái)，進(jìn)一步奠定了包括個(gè)人信息在內(nèi)的數(shù)據(jù)保護(hù)基本立法框架。

在金融行業(yè)監(jiān)管層面，人民銀行分別于2011年和2012年連續(xù)兩年發(fā)布《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》，是金融領(lǐng)域最早的關(guān)于個(gè)人金融信息保護(hù)的專門規(guī)定。單就保險(xiǎn)行業(yè)而言，2014年，原保監(jiān)會(huì)印發(fā)《關(guān)于加強(qiáng)保險(xiǎn)消費(fèi)者權(quán)益保護(hù)工作的意見》（保監(jiān)發(fā)〔2014〕89 號(hào)），對(duì)個(gè)人信息保護(hù)作出了原則性規(guī)定。除此之外，保險(xiǎn)業(yè)關(guān)于個(gè)人信息處理或保護(hù)的專項(xiàng)立法絕大多數(shù)還處于規(guī)則缺失的狀態(tài)，只有部分原則性規(guī)定零星散見于關(guān)于信息系統(tǒng)安全管理、銷售行為可回溯管理、互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)管理等監(jiān)管規(guī)定中。例如，《互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)監(jiān)管辦法》中僅宣誓性地強(qiáng)調(diào)了個(gè)人信息收集的“合法、必要、最小”原則，對(duì)于實(shí)務(wù)中保險(xiǎn)業(yè)務(wù)開展時(shí)收集個(gè)人信息的類型和邊界、個(gè)人信息保護(hù)政策制定的要求和形式等并未作出進(jìn)一步的細(xì)化規(guī)定，導(dǎo)致部分保險(xiǎn)機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)規(guī)定的落實(shí)流于形式。

綜上，我國(guó)保險(xiǎn)領(lǐng)域的個(gè)人信息保護(hù)立法起步較晚且規(guī)制零散，缺乏協(xié)調(diào)性和體系化?？疾炷壳皩?duì)保險(xiǎn)業(yè)個(gè)人信息保護(hù)的法律規(guī)范，主要依托于《個(gè)人信息保護(hù)法》等法律，具體權(quán)益保護(hù)的規(guī)則主要在金融監(jiān)管部門的部門規(guī)章或規(guī)范性文件層面得以體現(xiàn)，且多為較抽象的金融業(yè)通用性規(guī)則。對(duì)于保險(xiǎn)業(yè)相較于其他行業(yè)的一些特殊之處，如保險(xiǎn)業(yè)自動(dòng)化決策下的風(fēng)險(xiǎn)定價(jià)等，目前的監(jiān)管規(guī)定還較少，相關(guān)監(jiān)管工作在實(shí)際開展中仍缺乏有效的定性、定量依據(jù)，保險(xiǎn)公司的合規(guī)成本也水漲船高。因此，理順個(gè)人金融信息保護(hù)的規(guī)范體系、填補(bǔ)規(guī)則空白、回應(yīng)業(yè)界關(guān)注的關(guān)鍵問題是監(jiān)管法治建設(shè)的核心要點(diǎn)。

二、保險(xiǎn)業(yè)個(gè)人金融信息保護(hù)的若干關(guān)鍵問題透視：基于現(xiàn)行立法不周延的實(shí)證考察

（一）關(guān)于保險(xiǎn)業(yè)個(gè)人信息收集規(guī)則下的“最小必要”問題

所謂“最小必要”原則指的是個(gè)人信息收集活動(dòng)應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息。理論界一般認(rèn)為，“最小必要”原則包括關(guān)聯(lián)性、最低頻率、最少數(shù)量三個(gè)子原則。目前，“最小必要”原則在實(shí)踐中主要存在兩個(gè)問題。

一是判斷模糊。如何判斷哪些信息是訂立、履行保險(xiǎn)合同所必需的個(gè)人信息，目前沒有明確的依據(jù)可以“劃清邊界”。業(yè)務(wù)場(chǎng)景的多變、服務(wù)內(nèi)容的差異、保險(xiǎn)機(jī)構(gòu)的風(fēng)控水平不同等，都會(huì)導(dǎo)致不同保險(xiǎn)機(jī)構(gòu)對(duì)“最小必要”的范圍產(chǎn)生不同的理解。以人身險(xiǎn)業(yè)務(wù)為例，姓名、聯(lián)系方式、年齡、保費(fèi)支付賬號(hào)等被認(rèn)為是訂立、履行保險(xiǎn)合同所必需的個(gè)人信息。但在實(shí)踐中，很多保險(xiǎn)機(jī)構(gòu)出于各種原因，例如，為提升自身服務(wù)水平等，往往會(huì)超出上述范圍額外收集更多的個(gè)人信息，甚至收集很多明顯與訂立、履行保險(xiǎn)合同關(guān)聯(lián)度較低甚至是無關(guān)的個(gè)人信息，包括婚姻狀況、個(gè)人履歷（學(xué)歷、職歷）、社交喜好、實(shí)時(shí)地理位置等；在侵犯保險(xiǎn)消費(fèi)者知情權(quán)等權(quán)益的同時(shí)，保險(xiǎn)從業(yè)人員還會(huì)作出未經(jīng)允許撥打營(yíng)銷電話、發(fā)送營(yíng)銷信息等過度營(yíng)銷行為。

二是監(jiān)管薄弱。隨著保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的不斷深入，保險(xiǎn)公司線上APP部分替代了傳統(tǒng)的線下營(yíng)銷，成為保險(xiǎn)業(yè)務(wù)發(fā)展的一條重要渠道，其獲取個(gè)人信息的效率、數(shù)量等也遠(yuǎn)遠(yuǎn)高于線下方式。但大多數(shù)保險(xiǎn)公司，包括保險(xiǎn)公司自營(yíng)平臺(tái)、互聯(lián)網(wǎng)保險(xiǎn)公司和第三方平臺(tái)等，其APP中的《隱私條款》或《個(gè)人信息保護(hù)政策》中有關(guān)個(gè)人信息收集和保護(hù)的內(nèi)容并未體現(xiàn)“最小必要”原則，例如，對(duì)信息收集的必要性和關(guān)聯(lián)性重視不足，對(duì)關(guān)鍵信息表述不清晰等，而目前行業(yè)監(jiān)管部門對(duì)這方面的監(jiān)管較為薄弱。

（二）關(guān)于保險(xiǎn)“風(fēng)險(xiǎn)定價(jià)”下的“大數(shù)據(jù)殺熟”與“算法歧視”問題

在保險(xiǎn)機(jī)構(gòu)數(shù)字化轉(zhuǎn)型的過程中，基于大數(shù)據(jù)技術(shù)自動(dòng)化決策的應(yīng)用將更為普遍，風(fēng)險(xiǎn)定價(jià)、智能核保、智能理賠、推薦感興趣產(chǎn)品等場(chǎng)景都有可能涉及自動(dòng)化決策。在保險(xiǎn)消費(fèi)者個(gè)人信息為保險(xiǎn)公司的定價(jià)發(fā)揮“大數(shù)據(jù)”下的商業(yè)價(jià)值時(shí)，新的風(fēng)險(xiǎn)和問題也隨之產(chǎn)生，即對(duì)保險(xiǎn)消費(fèi)者的“大數(shù)據(jù)殺熟”與“算法歧視”。不少業(yè)界人士甚至將前述行為定性為價(jià)格歧視，認(rèn)為這是保險(xiǎn)機(jī)構(gòu)通過技術(shù)手段，對(duì)消費(fèi)者實(shí)時(shí)數(shù)據(jù)進(jìn)行抓取、整理、挖掘后，為追求利益最大化而實(shí)施的歧視性行為。

以近年來較為典型的一類風(fēng)險(xiǎn)定價(jià)的新型財(cái)險(xiǎn)產(chǎn)品“退貨運(yùn)費(fèi)險(xiǎn)”為例，其是指網(wǎng)絡(luò)購(gòu)物中的買家或賣家向保險(xiǎn)人支付保險(xiǎn)費(fèi)、保險(xiǎn)人根據(jù)合同約定對(duì)發(fā)生退貨訂單的單程退貨運(yùn)費(fèi)承擔(dān)賠付責(zé)任的保險(xiǎn)。在賣家版運(yùn)費(fèi)險(xiǎn)中，保險(xiǎn)公司與賣家簽訂保險(xiǎn)協(xié)議，針對(duì)賣家店鋪內(nèi)全部符合條件的“七天無理由退貨”商品提供運(yùn)費(fèi)險(xiǎn)服務(wù)。隨著大數(shù)據(jù)技術(shù)的發(fā)展和預(yù)防欺詐的需要，運(yùn)費(fèi)險(xiǎn)的定價(jià)也從傳統(tǒng)的“一刀切”方式轉(zhuǎn)變?yōu)槌浞掷么髷?shù)據(jù)模型進(jìn)行差異化定價(jià)。而定價(jià)模型吸收了海量的消費(fèi)者行為數(shù)據(jù)、電商交易數(shù)據(jù)、商品類目、消費(fèi)記錄和退賠記錄等，保費(fèi)隨著出險(xiǎn)率的升高而遞增，從而實(shí)現(xiàn)“私人訂制”的定價(jià)模式。

基于保險(xiǎn)標(biāo)的的不同風(fēng)險(xiǎn)狀況而決定是否承保及厘定差別保險(xiǎn)費(fèi)率是保險(xiǎn)定價(jià)的基礎(chǔ)。但基于前述的差異性定價(jià)仍應(yīng)遵循“公平性”原則，而非“看人下菜碟”或者是“大數(shù)據(jù)殺熟”。比如，根據(jù)與標(biāo)的風(fēng)險(xiǎn)無關(guān)的消費(fèi)者的偏好、交易習(xí)慣等特征來進(jìn)行定價(jià)，就損害了消費(fèi)者權(quán)益。因此，如何結(jié)合《個(gè)人信息保護(hù)法》第二十四條，將自動(dòng)化決策的技術(shù)手段與保費(fèi)差異化的因果關(guān)系予以細(xì)化，使其在保險(xiǎn)從業(yè)邏輯與金融消費(fèi)者權(quán)益之間獲得平衡，相關(guān)規(guī)則仍有待進(jìn)一步完善。

（三）關(guān)于保險(xiǎn)業(yè)個(gè)人信息使用分級(jí)保護(hù)的問題

《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息與敏感個(gè)人信息進(jìn)行了界定和區(qū)分。敏感個(gè)人信息包括金融賬戶、醫(yī)療健康信息等，因其承載了更高位階的法益，所以立法對(duì)其給予了更為嚴(yán)格的區(qū)別保護(hù)。例如，相較于一般個(gè)人信息，對(duì)敏感個(gè)人信息進(jìn)行收集、共享、轉(zhuǎn)讓、公開披露等處理活動(dòng)，需要取得個(gè)人的“單獨(dú)同意”；在處理敏感個(gè)人信息前，需要告知本人處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響，對(duì)敏感個(gè)人信息需要采取更嚴(yán)格的保護(hù)措施等。

在金融領(lǐng)域，根據(jù)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》，將金融領(lǐng)域的個(gè)人信息按敏感程度分為C1、C2、C3三個(gè)級(jí)別，據(jù)此，幾乎所有保險(xiǎn)業(yè)務(wù)開展時(shí)所采集的個(gè)人信息，如個(gè)人身份信息、財(cái)產(chǎn)信息、保險(xiǎn)賬戶信息等均能歸入敏感個(gè)人信息的范疇。這與《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的二元?jiǎng)澐执嬖谝欢ń徊媾c沖突。對(duì)此，學(xué)界和實(shí)務(wù)界一直存在爭(zhēng)議，部分觀點(diǎn)認(rèn)為，將個(gè)人金融信息納入敏感個(gè)人信息范疇，對(duì)金融業(yè)并無裨益；相反，為了提升服務(wù)效率和滿足客戶需求，更加有必要促進(jìn)個(gè)人金融信息的共享利用。在保險(xiǎn)業(yè)務(wù)場(chǎng)景中，保險(xiǎn)賬戶信息、醫(yī)療信息被歸入《個(gè)人信息保護(hù)法》下的“金融賬戶信息”作為敏感個(gè)人信息保護(hù)當(dāng)無異議，但針對(duì)保險(xiǎn)用戶的姓名、性別等基本資料信息，如果同樣按照敏感個(gè)人信息的保護(hù)標(biāo)準(zhǔn)執(zhí)行，可能會(huì)給保險(xiǎn)機(jī)構(gòu)帶來不小的業(yè)務(wù)合規(guī)成本，在形成資源浪費(fèi)或因?yàn)樾枰〉谩皢为?dú)同意”而頻繁打擾用戶的同時(shí)，甚至?xí)?duì)保險(xiǎn)業(yè)平穩(wěn)健康發(fā)展造成一定阻滯。

（四）關(guān)于保險(xiǎn)業(yè)個(gè)人信息傳輸跨境提供的問題

在數(shù)字化時(shí)代，數(shù)據(jù)安全與國(guó)家安全息息相關(guān)，在當(dāng)今數(shù)據(jù)管轄權(quán)沖突日益激烈的國(guó)際環(huán)境下，實(shí)現(xiàn)數(shù)據(jù)依法合規(guī)的跨境流動(dòng)是行業(yè)主管部門必須要履行好的監(jiān)管職責(zé)。而保險(xiǎn)公司在業(yè)務(wù)經(jīng)營(yíng)過程中，不可避免會(huì)涉及個(gè)人信息跨境提供行為，這一情況往往出現(xiàn)在境外再保險(xiǎn)、外資保險(xiǎn)公司與母公司交互個(gè)人信息、高端醫(yī)療海外就醫(yī)等場(chǎng)景，但對(duì)下述關(guān)鍵問題尚無定論。

一是個(gè)人金融信息是否可以出境還不明確?，F(xiàn)有金融相關(guān)立法以“不出境為原則、出境為例外”作為基本監(jiān)管思路，僅有上海、廣東等部分地區(qū)的金融規(guī)范性文件根據(jù)實(shí)際情況作出了允許金融機(jī)構(gòu)向境外總公司、母公司或分公司、子公司及其他為完成業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu)提供個(gè)人金融信息的除外規(guī)定。

二是關(guān)于保險(xiǎn)業(yè)“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”的認(rèn)定。在現(xiàn)有法律體系下，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的個(gè)人信息及重要數(shù)據(jù)處理活動(dòng)受到了尤為嚴(yán)格的限制與關(guān)注。保險(xiǎn)業(yè)作為金融領(lǐng)域的關(guān)鍵組成部分，其網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，就可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益。但現(xiàn)階段的金融行業(yè)監(jiān)管規(guī)則尚未對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”進(jìn)行明確界定，對(duì)如何認(rèn)定保險(xiǎn)行業(yè)的“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”尚無定論，導(dǎo)致大量面臨數(shù)據(jù)出境的保險(xiǎn)機(jī)構(gòu)難以準(zhǔn)確判斷自身定位，無法確定是否需要按照“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”的監(jiān)管標(biāo)準(zhǔn)開展個(gè)人信息出境業(yè)務(wù)。

三是如何進(jìn)行個(gè)人信息的出境安全評(píng)估工作?！秱€(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等均對(duì)個(gè)人信息出境提出了安全評(píng)估要求，但基于目前網(wǎng)信辦、國(guó)家金融監(jiān)督管理總局和人民銀行多頭監(jiān)管金融業(yè)個(gè)人信息保護(hù)的格局，尚未明確主管部門和制定個(gè)人信息出境的具體規(guī)則，包括具體評(píng)估的實(shí)施主體、評(píng)估的流程與方式等。

總體而言，由于監(jiān)管規(guī)則的空白與模糊，現(xiàn)有保險(xiǎn)業(yè)的數(shù)據(jù)出境活動(dòng)仍然處于一種“粗放派”與“謹(jǐn)慎派”并存的局面。如果監(jiān)管規(guī)則一直難以明確，“粗放派”的信息“濫”出境或是“謹(jǐn)慎派”的跨境業(yè)務(wù)開展遇阻，均不利于形成我國(guó)保險(xiǎn)業(yè)務(wù)國(guó)際化發(fā)展的新局面。

三、保險(xiǎn)業(yè)個(gè)人金融信息保護(hù)的監(jiān)管法治完善建議

（一）建立健全保險(xiǎn)業(yè)多層次個(gè)人金融信息保護(hù)法治體系

在我國(guó)深化保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的時(shí)代背景下，完善保險(xiǎn)業(yè)個(gè)人信息保護(hù)立法，是加強(qiáng)監(jiān)管、保護(hù)保險(xiǎn)消費(fèi)者合法權(quán)益的重要任務(wù)。尤其是近年來，監(jiān)管規(guī)則的長(zhǎng)期缺位、滯后，導(dǎo)致實(shí)踐中保險(xiǎn)業(yè)個(gè)人信息保護(hù)亂象頻生，更彰顯了完善保險(xiǎn)業(yè)個(gè)人信息保護(hù)立法的急迫性。通過考察域外法可以發(fā)現(xiàn)，歐盟、美國(guó)等對(duì)個(gè)人金融信息保護(hù)的立法軌跡基本遵循了從“民法基本權(quán)利保護(hù)”到“專門法律保護(hù)”，再到“具體領(lǐng)域保護(hù)”的法律規(guī)范遞進(jìn)層次路徑。在本輪《保險(xiǎn)法》修訂中，建議借鑒上述法治邏輯將個(gè)人金融信息保護(hù)全面納入法治化軌道，一方面，做好《保險(xiǎn)法》與《個(gè)人信息保護(hù)法》的銜接；另一方面，將實(shí)踐中已經(jīng)較為成熟的行業(yè)規(guī)則或標(biāo)準(zhǔn)，及時(shí)上升到法律層面，解決行業(yè)監(jiān)管無法可依的局面。

第一，在法律層面，應(yīng)在本輪《保險(xiǎn)法》修訂中全面體現(xiàn)個(gè)人信息保護(hù)的要求?！侗ｋU(xiǎn)法》作為保險(xiǎn)行業(yè)監(jiān)管法律體系的核心大法，在本輪全面修訂的過程中，一是應(yīng)確立個(gè)人金融信息保護(hù)的基本原則，如知情同意、“最小必要”、信息質(zhì)量、數(shù)據(jù)安全等原則應(yīng)在法律層面予以明確。二是應(yīng)對(duì)監(jiān)管權(quán)力配置作出規(guī)范，順應(yīng)本輪金融監(jiān)管機(jī)構(gòu)改革的要求，加強(qiáng)國(guó)家金融監(jiān)督管理總局在保險(xiǎn)業(yè)個(gè)人信息保護(hù)行為監(jiān)管中的主導(dǎo)地位，明確各監(jiān)管部門的功能配置和職能劃分，避免重復(fù)監(jiān)管或監(jiān)管空白。三是豐富監(jiān)管部門的個(gè)人信息保護(hù)監(jiān)管工具箱，提升個(gè)人信息保護(hù)方面監(jiān)管工具的豐富性與科學(xué)性，如賦予國(guó)家金融監(jiān)督管理總局對(duì)互聯(lián)網(wǎng)平臺(tái)公司的延伸監(jiān)管權(quán)等。

第二，在部門規(guī)章層面，一是建議與上位法做好銜接，著力增強(qiáng)保險(xiǎn)業(yè)個(gè)人信息保護(hù)的可操作性和可執(zhí)行性，豐富個(gè)人信息保護(hù)規(guī)則的操作細(xì)節(jié)。二是建議消除監(jiān)管規(guī)則與上位法的抵牾之處。鑒于在《個(gè)人信息保護(hù)法》生效前，保險(xiǎn)業(yè)監(jiān)管部門為應(yīng)對(duì)實(shí)踐需要所制訂的部分關(guān)于個(gè)人信息保護(hù)的規(guī)定與上位法沖突，對(duì)此應(yīng)在尊重上位法的基礎(chǔ)上及時(shí)予以調(diào)整。三是建議在實(shí)踐較為成熟的情況下，將實(shí)踐中適用效果好、合規(guī)保障性高的行業(yè)規(guī)則上升為監(jiān)管部門規(guī)章，并適時(shí)出臺(tái)《保險(xiǎn)業(yè)個(gè)人信息保護(hù)管理辦法》，或?qū)€(gè)人信息保護(hù)與數(shù)據(jù)治理監(jiān)管規(guī)則統(tǒng)合出臺(tái)專門規(guī)定。

第三，在行業(yè)組織及行業(yè)規(guī)則層面，基于大數(shù)據(jù)應(yīng)用的技術(shù)性特征，建議盡快由行業(yè)主管部門指導(dǎo)行業(yè)自律組織，牽頭聯(lián)動(dòng)各類技術(shù)檢測(cè)、智能應(yīng)用、數(shù)據(jù)開發(fā)及應(yīng)用機(jī)構(gòu)，加快推進(jìn)保險(xiǎn)業(yè)的個(gè)人信息保護(hù)行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范的制定，明確個(gè)人信息應(yīng)用的安全機(jī)制及規(guī)范化管理機(jī)制等，并推動(dòng)挑選部分保險(xiǎn)機(jī)構(gòu)“先行先試”，在此基礎(chǔ)上對(duì)行業(yè)標(biāo)準(zhǔn)及技術(shù)規(guī)范進(jìn)行優(yōu)化升級(jí)，以更好地貼合金融行業(yè)的實(shí)踐應(yīng)用。

（二）完善“最小必要”原則，以維護(hù)金融消費(fèi)者合法權(quán)益

“最小必要”原則應(yīng)用并體現(xiàn)在個(gè)人信息處理活動(dòng)的各個(gè)環(huán)節(jié)，包括收集、使用、存儲(chǔ)、加工等。但如何判定個(gè)人信息處理的“最小必要”范圍，需要根據(jù)具體產(chǎn)品及服務(wù)的特性進(jìn)行判斷，并考量個(gè)人信息處理與功能目的的強(qiáng)關(guān)聯(lián)性和匹配性，以及特定的行業(yè)監(jiān)管要求。

本文建議進(jìn)一步結(jié)合保險(xiǎn)業(yè)務(wù)及功能特色，通過部門規(guī)章、行業(yè)標(biāo)準(zhǔn)等多種形式對(duì)保險(xiǎn)業(yè)的主要業(yè)務(wù)場(chǎng)景、功能環(huán)節(jié)等個(gè)人信息處理活動(dòng)的“最小必要”原則，甚至是具體范圍進(jìn)行明確。例如，為辦理實(shí)名制登記收集個(gè)人信息的，應(yīng)要求從業(yè)機(jī)構(gòu)參照《個(gè)人保險(xiǎn)實(shí)名制管理辦法（征求意見稿）》對(duì)實(shí)名信息的限定，僅收集“投保人、被保險(xiǎn)人、受益人的姓名、身份證件類型、證件號(hào)碼、證件有效期和所辦理保險(xiǎn)業(yè)務(wù)的種類、基本內(nèi)容、投保人實(shí)名繳費(fèi)信息”，不應(yīng)擅自擴(kuò)大實(shí)名信息的收集或使用范圍。同時(shí)，保險(xiǎn)機(jī)構(gòu)如需要超出上述具體范圍額外收集保險(xiǎn)消費(fèi)者個(gè)人信息的，應(yīng)就其超出范圍外收集個(gè)人信息的原因、種類、擬進(jìn)行的處理方式、存儲(chǔ)或刪除時(shí)點(diǎn)等向相關(guān)主管部門進(jìn)行特別報(bào)備，并向金融消費(fèi)者進(jìn)行特別提示、告知并獲得其同意，從而保障保險(xiǎn)機(jī)構(gòu)不存在超出必要范圍之外濫收、濫用個(gè)人信息之情形。

（三）完善“公平定價(jià)”規(guī)則，以應(yīng)對(duì)自動(dòng)化決策下的“大數(shù)據(jù)殺熟”

在對(duì)自動(dòng)化決策這把雙刃劍的監(jiān)管規(guī)制中，既要避免過分個(gè)性化的保險(xiǎn)費(fèi)率導(dǎo)致?lián)p害保險(xiǎn)消費(fèi)者合法權(quán)益，又要避免機(jī)械適用、千人一面的保險(xiǎn)費(fèi)率導(dǎo)致定價(jià)錯(cuò)位，進(jìn)而對(duì)其他低風(fēng)險(xiǎn)被保險(xiǎn)人造成更大的不公平。這一問題在人身險(xiǎn)領(lǐng)域因交易對(duì)象和交易標(biāo)的競(jìng)合而顯得更為復(fù)雜。

建議在《保險(xiǎn)法》修訂中，參考《銀行保險(xiǎn)機(jī)構(gòu)消費(fèi)者權(quán)益保護(hù)管理辦法》，明確關(guān)于公平定價(jià)的原則性規(guī)定。在具體監(jiān)管規(guī)則中，應(yīng)根據(jù)《個(gè)人信息保護(hù)法》對(duì)自動(dòng)化決策的合規(guī)要求，就有關(guān)遵循公開透明原則、事前進(jìn)行個(gè)人信息安全影響評(píng)估、賦予用戶選擇或拒絕的權(quán)利、對(duì)個(gè)人權(quán)益有重大影響的決定應(yīng)保障用戶的解釋權(quán)和拒絕權(quán)等內(nèi)容作出規(guī)定。同時(shí)，結(jié)合保險(xiǎn)產(chǎn)品相較普通產(chǎn)品在定價(jià)、交易模式上的特殊性，應(yīng)進(jìn)一步細(xì)化算法推薦、自動(dòng)化決策的規(guī)制在保險(xiǎn)領(lǐng)域的適用。可以參考《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》對(duì)算法推薦服務(wù)提供者提出的備案手續(xù)要求，探索建立保險(xiǎn)業(yè)領(lǐng)域的保險(xiǎn)產(chǎn)品風(fēng)險(xiǎn)定價(jià)算法備案機(jī)制，要求保險(xiǎn)機(jī)構(gòu)在使用用戶信息算法畫像提供保險(xiǎn)服務(wù)時(shí)，提前履行報(bào)備手續(xù)，并由監(jiān)管部門對(duì)該類算法是否可能涉及“大數(shù)據(jù)殺熟”，是否會(huì)損害保險(xiǎn)消費(fèi)者權(quán)益進(jìn)行統(tǒng)一判斷及調(diào)度。對(duì)于無正當(dāng)理由對(duì)交易條件相同的交易相對(duì)人實(shí)施差別待遇的保險(xiǎn)算法機(jī)制，需勒令保險(xiǎn)機(jī)構(gòu)退回重改，不得上架應(yīng)用。

（四）完善保險(xiǎn)業(yè)個(gè)人信息分級(jí)保護(hù)規(guī)則，以促進(jìn)行業(yè)健康發(fā)展

對(duì)于個(gè)人信息的分級(jí)保護(hù)與使用，應(yīng)充分考慮保險(xiǎn)行業(yè)和個(gè)人信息的特殊性，促進(jìn)“保護(hù)個(gè)人信息權(quán)益”和“個(gè)人信息合理利用”這兩項(xiàng)立法原則相協(xié)調(diào)。根據(jù)法經(jīng)濟(jì)學(xué)理論，不宜簡(jiǎn)單將保險(xiǎn)業(yè)務(wù)中所有個(gè)人信息都作為敏感個(gè)人信息加以保護(hù)。而應(yīng)基于《個(gè)人信息保護(hù)法》中對(duì)于敏感個(gè)人信息的判斷標(biāo)準(zhǔn)，即“具有高概率的致害風(fēng)險(xiǎn)”，并結(jié)合一般公眾的認(rèn)知常識(shí)、習(xí)慣，來判斷該信息是否具有敏感性。對(duì)于具有敏感性的信息，應(yīng)根據(jù)不同的敏感程度予以區(qū)分保護(hù)。

在具體的立法構(gòu)造上，建議在《保險(xiǎn)法》的修訂中明確個(gè)人信息的分級(jí)保護(hù)原則，對(duì)于敏感個(gè)人信息應(yīng)予以傾斜保護(hù)。在下位監(jiān)管規(guī)定中，建議對(duì)個(gè)人基本信息與敏感個(gè)人信息作出區(qū)分，要求保險(xiǎn)公司建立個(gè)人信息分級(jí)保護(hù)制度，對(duì)個(gè)人信息視其敏感程度建立不同的安全保障體系。同時(shí)，借鑒中國(guó)人民銀行發(fā)布的金融行業(yè)推薦性標(biāo)準(zhǔn)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》相關(guān)內(nèi)容，類似將個(gè)人金融信息按照安全影響程度不同劃分為C1、C2、C3 三個(gè)標(biāo)準(zhǔn)，可以將保險(xiǎn)業(yè)務(wù)中收集的敏感個(gè)人信息依據(jù)“致害風(fēng)險(xiǎn)+風(fēng)險(xiǎn)概率”的不同，劃分為不同的敏感等級(jí)，并分別規(guī)定不同的保護(hù)措施。例如，對(duì)于敏感級(jí)別高的個(gè)人信息，如保險(xiǎn)賬戶的登錄密碼、交易密碼、用戶個(gè)人生物識(shí)別信息、醫(yī)療健康信息等，在收集、傳輸、使用的過程中應(yīng)嚴(yán)格加密處理等，以管理辦法或監(jiān)管指引等具有強(qiáng)制性的規(guī)則強(qiáng)化保險(xiǎn)機(jī)構(gòu)對(duì)于個(gè)人信息的分級(jí)保護(hù)義務(wù)。

（五）完善“信息跨境傳輸”規(guī)則，以保障金融數(shù)據(jù)安全

在我國(guó)金融業(yè)對(duì)外開放程度不斷加深的時(shí)代背景下，數(shù)據(jù)的跨境流動(dòng)是大勢(shì)所趨。2020 年，我國(guó)與東盟十國(guó)及日本、韓國(guó)、澳大利亞、新西蘭共同簽署《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership，RCEP），已基本認(rèn)可目前國(guó)際普遍提倡的“提供個(gè)人金融數(shù)據(jù)跨境流動(dòng)便利，消除不必要的數(shù)據(jù)流動(dòng)阻礙”的通用規(guī)則。在《保險(xiǎn)法》層面，建議在確保數(shù)據(jù)主權(quán)安全的前提下，大膽破除目前嚴(yán)苛的個(gè)人信息本地化限制，原則性地規(guī)定保險(xiǎn)機(jī)構(gòu)可以在確保個(gè)人信息安全的前提下跨境傳輸個(gè)人信息，以順應(yīng)我國(guó)保險(xiǎn)業(yè)對(duì)外開放的趨勢(shì)，提升我國(guó)保險(xiǎn)機(jī)構(gòu)的國(guó)際競(jìng)爭(zhēng)力。

在具體的監(jiān)管規(guī)則上，建議明確個(gè)人信息出境的主管部門與具體規(guī)制措施，一是建議參考系統(tǒng)重要性程度、保費(fèi)規(guī)模等因素，要求我國(guó)一定規(guī)模以上的保險(xiǎn)公司按照“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”的監(jiān)管標(biāo)準(zhǔn)開展個(gè)人信息出境業(yè)務(wù)。二是建議與前文所提及的個(gè)人信息分級(jí)保護(hù)制度相結(jié)合，構(gòu)建靈活多樣的保險(xiǎn)業(yè)個(gè)人信息出境安全評(píng)估模式，對(duì)于較不敏感的個(gè)人信息，可以適當(dāng)放寬出境條件，例如，在經(jīng)過保險(xiǎn)公司內(nèi)部安全評(píng)估和個(gè)人信息主體明示同意后即可出境；對(duì)于較為敏感的信息，則應(yīng)經(jīng)由監(jiān)管部門安全評(píng)估后方可出境。三是建議參照域外，如歐盟《數(shù)據(jù)保護(hù)通用條例》，將個(gè)人信息跨境傳輸置于不同場(chǎng)景區(qū)別保護(hù)和對(duì)待，增加更多可以實(shí)現(xiàn)保險(xiǎn)業(yè)個(gè)人信息跨境傳輸?shù)臈l件情形。四是鑒于保險(xiǎn)數(shù)據(jù)安全對(duì)于我國(guó)的金融安全、國(guó)家安全具有重要意義，即便滿足個(gè)人信息出境條件，各信息提供主體仍應(yīng)采取各項(xiàng)措施敦促、約束境外接收方承擔(dān)保護(hù)個(gè)人信息的責(zé)任與義務(wù)，采取防范信息泄露風(fēng)險(xiǎn)的技術(shù)和管理措施，以確保我國(guó)的金融安全以及金融消費(fèi)者的個(gè)人信息安全。

四、結(jié)論

在全面數(shù)字化轉(zhuǎn)型的新時(shí)期，對(duì)保險(xiǎn)業(yè)個(gè)人信息的保護(hù)是事關(guān)金融消費(fèi)者權(quán)益保護(hù)和數(shù)據(jù)治理的重要問題，構(gòu)建保險(xiǎn)業(yè)個(gè)人信息保護(hù)的監(jiān)管法治框架僅為完善全鏈條治理體系的一個(gè)重要前提。除此之外，監(jiān)管部門、行業(yè)自律組織與保險(xiǎn)公司作為保險(xiǎn)市場(chǎng)的共同參與主體，還需在以下幾方面同向發(fā)力：

就監(jiān)管端而言，建議一是延伸監(jiān)管范圍至為保險(xiǎn)機(jī)構(gòu)提供保險(xiǎn)產(chǎn)品銷售的互聯(lián)網(wǎng)平臺(tái)等渠道，完善保險(xiǎn)業(yè)個(gè)人信息保護(hù)的全鏈條監(jiān)管體系；二是加大監(jiān)管力度，進(jìn)一步開展有關(guān)個(gè)人信息保護(hù)的專項(xiàng)檢查并加大處罰力度，對(duì)于情節(jié)嚴(yán)重的違規(guī)行為探索直接適用《個(gè)人信息保護(hù)法》第六十六條第二款進(jìn)行處罰；三是加快構(gòu)建智能化的監(jiān)管體系與平臺(tái)，順應(yīng)保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的趨勢(shì)。

就行業(yè)自律組織端而言，建議一是充分發(fā)揮行業(yè)自律組織的牽頭作用，設(shè)置擔(dān)負(fù)個(gè)人信息保護(hù)職責(zé)的專業(yè)委員會(huì)，定期研討數(shù)字化轉(zhuǎn)型中個(gè)人信息保護(hù)的前沿問題；二是出臺(tái)個(gè)人信息保護(hù)相關(guān)內(nèi)容的行業(yè)自律公約，加強(qiáng)自律督促；三是加快配置金融行業(yè)內(nèi)安全可控的官方數(shù)據(jù)平臺(tái)，確保個(gè)人信息的安全規(guī)范使用，集中進(jìn)行個(gè)人信息加密安全性、脫敏效果檢測(cè)等。

就保險(xiǎn)公司端而言，建議一是建立以DPO（Data Protection Officer）為核心的個(gè)人信息保護(hù)合規(guī)體系；二是構(gòu)建標(biāo)準(zhǔn)化的個(gè)人信息保護(hù)閉環(huán)管理流程體系，嚴(yán)格信息系統(tǒng)的操作權(quán)限，強(qiáng)化個(gè)人信息保護(hù)的剛性約束機(jī)制等；三是厚植依法經(jīng)營(yíng)意識(shí)與合規(guī)文化，提升從業(yè)人員尤其是保險(xiǎn)代理人的個(gè)人信息保護(hù)意識(shí)，將個(gè)人信息保護(hù)要求納入績(jī)效考核體系，落實(shí)第一道防線職責(zé)，切實(shí)做到依法合規(guī)經(jīng)營(yíng)與保護(hù)保險(xiǎn)消費(fèi)者合法權(quán)益。