論個人信息安全保險制度構(gòu)造

褚悅

個人信息安全保險在我國屬于新興險種，也是互聯(lián)網(wǎng)時代下具有巨大發(fā)展前景的險種之一，該險種的承保基礎(chǔ)、被保險人以及保險金給付等諸多問題都急待厘清。本文系統(tǒng)分析了個人信息安全保險的法律構(gòu)造，并通過介紹美國網(wǎng)絡(luò)安全險的發(fā)展?fàn)顩r闡明其中可供我國借鑒的經(jīng)驗(yàn)，以期為我國個人信息安全保險的發(fā)展提供新思路。

1 問題的提出

5G時代的到來使人們在驚喜之余更加深刻的感受到互聯(lián)網(wǎng)對人類生活帶來的變革，根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第43次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報告》，截至2018年 12 月，我國網(wǎng)民規(guī)模達(dá)到8.29億人，互聯(lián)網(wǎng)普及率達(dá)到59.6%，未來的互聯(lián)網(wǎng)勢必會繼續(xù)滲透到人們生活的每個角落。互聯(lián)網(wǎng)帶來的不僅是更加便利的生活，也帶來了更多的風(fēng)險。中央網(wǎng)信辦的統(tǒng)計(jì)數(shù)據(jù)顯示，2017年我國網(wǎng)民在上網(wǎng)過程中遇到的安全問題中，個人信息泄露問題占比最高，達(dá)到 27.1%，網(wǎng)民因?yàn)閭€人信息泄露、垃圾信息、詐騙信息等現(xiàn)象導(dǎo)致遭受的經(jīng)濟(jì)損失人均133元，總體損失約915億元。

我國建設(shè)網(wǎng)絡(luò)強(qiáng)國的進(jìn)程中風(fēng)險與機(jī)遇并存，習(xí)近平總書記用“一體之兩翼，驅(qū)動之雙輪”概括了網(wǎng)絡(luò)安全和信息化發(fā)展的辯證關(guān)系，網(wǎng)絡(luò)安全風(fēng)險已成為現(xiàn)代社會最重要的風(fēng)險因素，個人信息是否安全成為人民群眾最為關(guān)心的問題。在如今的互聯(lián)網(wǎng)時代，加之以網(wǎng)絡(luò)實(shí)名制的影響，個人信息泄露渠道可謂是數(shù)不甚數(shù)，最主要的是通過企業(yè)、政府機(jī)關(guān)或者教育系統(tǒng)泄露個人信息。防火墻等信息安全技術(shù)雖然可以在一定程度上降低個人信息泄露的風(fēng)險，但隨著科技進(jìn)步的不止是保護(hù)手段，攻擊手段也在不斷的換代升級，僅依靠技術(shù)不能完全解決問題，也不能挽回已經(jīng)造成的損失。正如勞合社首席執(zhí)行官英格·碧爾所表示：“隨著網(wǎng)絡(luò)環(huán)境的惡化，保險必將成為各行業(yè)保駕護(hù)航的必需品，”利用保險來防范個人信息風(fēng)險以及分?jǐn)傂畔⑿孤端斐傻膿p失對于企業(yè)、政府或是個人都顯得十分必要。

個人信息安全保險屬于網(wǎng)絡(luò)安全險的一種，從網(wǎng)絡(luò)安全保險市場分布來看，歐美等國家發(fā)展水平相對較高，其中美國約占 90%，歐洲約占 8%，亞太地區(qū)占比僅為 1% 左右。在美國，美國國際集團(tuán)（AIG）、丘博（Chubb）、安達(dá)（ACE Limited）和 CAN 保險集團(tuán)等約 50 家保險公司提供專門的網(wǎng)絡(luò)攻擊保單，網(wǎng)絡(luò)安全保險業(yè)務(wù)成為美國保險業(yè)發(fā)展最為迅猛的領(lǐng)域。目前中國國內(nèi)市場還處于起步階段，以蘇黎世財險、安聯(lián)財險、美亞保險等為代表的外資保險公司在網(wǎng)絡(luò)安全保險方面推動力度較大，內(nèi)資保險公司介入相對較少。2017 年 6 月，中國人保財險與韓國三星火災(zāi)公司合作推出個人信息泄露責(zé)任保險產(chǎn)品，這也是中國內(nèi)地市場首款承保個人信息風(fēng)險的保險產(chǎn)品，承保企業(yè)由于網(wǎng)絡(luò)黑客攻擊等原因、發(fā)生投保企業(yè)所管理的客戶信息泄露事故而引發(fā)的相關(guān)賠償責(zé)任。

國內(nèi)個人信息安全保險發(fā)展緩慢的主要原因在于計(jì)算機(jī)行業(yè)的風(fēng)險巨大且難以控制，并對人力和技術(shù)水平的要求相比其他行業(yè)較高。一旦發(fā)生信息泄露事故，不但事故造成的損失難以估計(jì)，保險標(biāo)的的價值也難以準(zhǔn)確的計(jì)量，對于以精算為基礎(chǔ)的保險行業(yè)來說，眾多不確定因素使保險公司對個人信息安全險始終保持謹(jǐn)慎觀望的態(tài)度。

不論保險公司是否愿意將個人信息安全列入承保范圍，不可否認(rèn)的是若將保險納入個人信息行業(yè)保障的范疇，其風(fēng)險管理功能對于個人信息安全風(fēng)險的控制會起到極大的作用。風(fēng)險管理的作用可以通過保險公司核保和行使監(jiān)督檢查的權(quán)利來發(fā)揮，保險人對投保申請進(jìn)行審核并決定是否接受這一風(fēng)險，為判斷被保險人的風(fēng)險程度，保險人會對投保申請進(jìn)行挑選和評估，也會基于風(fēng)險程度對被保險人進(jìn)行風(fēng)險等級分類，確定相應(yīng)的保險費(fèi)率。對于高風(fēng)險投保人，保險公司會選擇不接受投保或是以高額保費(fèi)接受投保。在保險公司不接受投保申請的情況下，高風(fēng)險投保人會盡量避免風(fēng)險行為或放棄高風(fēng)險行為，這就迫使管理個人信息的機(jī)構(gòu)采取更加安全的措施防止個人信息泄露。當(dāng)保險人接受投保申請后會作為第三方風(fēng)險評估機(jī)構(gòu)深入調(diào)查研究投保人內(nèi)部的信息安全漏洞和可能存在的風(fēng)險，并將這些信息反饋給被保險人，被保險人也能通過保險人的反饋評估識別風(fēng)險的大小，制定信息安全方針，控制個人信息安全風(fēng)險。

綜上所述，系統(tǒng)研究個人信息安全保險顯然十分重要，但目前國內(nèi)相應(yīng)的研究基本處于空白狀態(tài)，該險種的承保基礎(chǔ)、被保險人以及保險金給付等眾多問題都急待厘清，故對于其法律制度構(gòu)造的基本問題進(jìn)行研究對日后個人信息安全保險的發(fā)展有著至關(guān)重要的影響。

2 個人信息安全保險制度構(gòu)造

在闡述個人信息安全保險的制度構(gòu)造之前，應(yīng)當(dāng)說明的一點(diǎn)是個人信息安全保險應(yīng)當(dāng)根據(jù)受眾群體不同分為個人信息安全責(zé)任保險和個人信息安全個險兩類，其中個人信息安全責(zé)任險受眾群體主要為企業(yè)、政府機(jī)構(gòu)等掌握個人信息且負(fù)有保密義務(wù)的組織或個人，個人信息安全個險則主要針對個人開發(fā)。企業(yè)等個人信息占有、控制者利用保險分散風(fēng)險的合理之處自不用說，現(xiàn)階段網(wǎng)絡(luò)安全保的主要客戶也都是企業(yè)，但個人信息安全個險的存在也非常有必要。雖然在目前的市場環(huán)境下，個人信息安全個險的目標(biāo)用戶都是高凈值人群，因?yàn)槠鋵τ诰W(wǎng)絡(luò)系統(tǒng)的依附程度較高，面臨網(wǎng)絡(luò)攻擊時會遭受較大的損失，因此對于網(wǎng)絡(luò)安全險的需求更高，例如美國的AIG和Hiscox保險就針對富裕人群推出了個險服務(wù)，為個人和家庭用戶提供網(wǎng)絡(luò)安全保險。但在未來互聯(lián)網(wǎng)科技不斷發(fā)展的背景下，一般人群對于自身信息安全的關(guān)注度也會不斷提升，開發(fā)承保范圍更加廣泛的個險更有利于未來市場的需要。

首先，針對個人信息安全保險的承保基礎(chǔ)（保險標(biāo)的）應(yīng)當(dāng)定性為侵權(quán)法律責(zé)任，具體來說個人信息安全責(zé)任保險承保被保險人違反網(wǎng)絡(luò)安全法、個人信息保護(hù)義務(wù)以及保險合同約定導(dǎo)致第三人遭受的損失;個人信息安全個險承保被保險人因個人信息泄露而遭受的損失，賠付范圍可以包括客戶遭遇黑客攻擊的客戶提供數(shù)據(jù)恢復(fù)服務(wù)費(fèi)用，遭受網(wǎng)絡(luò)暴力或網(wǎng)絡(luò)勒索產(chǎn)生的相關(guān)費(fèi)用，恢復(fù)客戶聲譽(yù)所需費(fèi)用等一系列相關(guān)費(fèi)用。侵害公民個人信息的行為主要以作為的形式表現(xiàn)，例如非法獲取、出售個人信息等，但也可以不作為的方式對公民個人信息造成侵害，例如負(fù)有保密義務(wù)的組織發(fā)現(xiàn)信息丟失不采取相應(yīng)措施予以制止的，網(wǎng)絡(luò)服務(wù)提供者對于在網(wǎng)絡(luò)上發(fā)現(xiàn)的泄露公民個人信息、隱私等網(wǎng)絡(luò)消息不予制止或及時刪除的都屬于以不作為的方式侵害公民個人信息安全。侵害公民個人信息的行為也可兼以作為和不作為的方式表現(xiàn)，例如在舒某訴靖安縣嘉園物業(yè)管理服務(wù)有限公司隱私權(quán)糾紛案中被告物流公司在公告欄中張貼所有原告的身份信息、家庭住址等，在原告撕下材料后再次張貼相同的材料副本在公告欄中且拒不撕下，根據(jù)過錯規(guī)則的原則可以認(rèn)定物流公司對原告的個人信息泄露具有過錯，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任，本案中物流公司便是通過作為兼不作為的方式泄露原告?zhèn)€人信息并對其造成損害的。雖然在本案中并未判決物流公司承擔(dān)精神損害賠償?shù)呢?zé)任，但個人信息安全侵害案件中信息主體遭受的損失應(yīng)當(dāng)包括個人信息被非法收集、利用所造成的財產(chǎn)損失和精神損失。

其次關(guān)于個人信息安全險的被保險人，個險的被保險人是顯而易見的，本文著重探討的是個人信息安全責(zé)任險的被保險人。根據(jù)《民法總則》的規(guī)定，個人信息的控制與使用者包括自然人與法人，實(shí)踐中自然人收集、管理大量他人個人信息的情況非常少見，絕大部分是企業(yè)法人收集管理、分析使用個人信息以開展日常經(jīng)營活動，我們在日常生活中也基于企業(yè)的承諾以多種方式分享給企業(yè)自己的個人信息，例如開啟APP的讀取權(quán)限、授權(quán)企業(yè)分析個人數(shù)據(jù)等。獲取個人信息數(shù)據(jù)的企業(yè)被稱為數(shù)據(jù)控制人，但這些企業(yè)不一定會親自處理分析已獲得的數(shù)據(jù)，尤其是技術(shù)力量不發(fā)達(dá)的中小型企業(yè)會更傾向于委托外部數(shù)據(jù)處理企業(yè)進(jìn)行數(shù)據(jù)分析、管理，這些被委托的機(jī)構(gòu)被稱為數(shù)據(jù)處理人，比如云計(jì)算服務(wù)商被很多公司所委托，以實(shí)現(xiàn)系統(tǒng)集成、存儲大量數(shù)據(jù)的需求，也因此掌握了大量客戶的信息。舉一例來說明，阿里云平臺的平均入侵比例約為 0.5% / 月，一些安全能力差的小客戶經(jīng)常被黑客反復(fù)入侵。但在被入侵的客戶中，數(shù)據(jù)遭公開泄露的比例低于 0.5%，所以實(shí)際發(fā)生經(jīng)濟(jì)損失的案例也比較少，但若阿里云平臺遭受惡意攻擊導(dǎo)致數(shù)據(jù)泄露，所造成的影響將難以估量。故基于民法上委托行為的法理，企業(yè)委托的數(shù)據(jù)處理人也應(yīng)成為個人信息安全險的被保險人。

現(xiàn)實(shí)中網(wǎng)絡(luò)安全險種的主要受眾群體是企業(yè)，但有較高的個人信息泄露風(fēng)險、卻又很容易被忽視的還有兩個群體，一是政府機(jī)關(guān)，二是教育系統(tǒng)。2017年政府官方網(wǎng)站泄露個人信息的情況頻頻發(fā)生，河北衡水市政府、甘肅省國土資源廳、江西省宜春市政府、景德鎮(zhèn)市政府等一些由官方主動公開的文件材料中，出現(xiàn)個人隱私信息泄露情況，事件經(jīng)媒體披露后，上述官網(wǎng)陸續(xù)將涉事文件刪除或隱藏，但仍有“漏網(wǎng)之魚”。教育行業(yè)也是極具吸引力的網(wǎng)絡(luò)攻擊目標(biāo)，因?yàn)閷W(xué)校的數(shù)據(jù)庫里儲存著大量的職工、家長、學(xué)生和他人的大量個人信息，例如2018年西昌市兩名老師利用工作之便收集并售賣學(xué)生信息，40萬條個人信息被泄露，對學(xué)生和家長的日常生活也造成了一定程度的影響。我國教育行業(yè)對于購買個人信息安全險重要性的認(rèn)知度還不夠，但在網(wǎng)絡(luò)安全險發(fā)展較好的美國，其醫(yī)療衛(wèi)生和教育行業(yè)的客戶在網(wǎng)絡(luò)安全保險方面的投保率最高，分別高達(dá)50%和32%。這不僅為我國政府機(jī)關(guān)和教育行業(yè)系統(tǒng)敲響了警鐘，也從側(cè)面提醒開發(fā)個人信息安全責(zé)任保險的保險公司不應(yīng)當(dāng)僅將企業(yè)作為目標(biāo)客戶，針對政府機(jī)關(guān)和教育行業(yè)的客戶開發(fā)相應(yīng)的險種也是非常有必要的。

不論是企業(yè)、政府機(jī)關(guān)還是教育行業(yè)，都是通過雇員行使其職責(zé)，而雇員侵權(quán)行為的后果由雇主承擔(dān)，故保險公司應(yīng)對雇員的侵權(quán)損害予以理賠。由于雇員的流動性以及人數(shù)眾多等原因，個人信息安全責(zé)任保險應(yīng)采取集體險的方式，以職位、身份等作為識別依據(jù)，概括的將被保險人限定于雇員、管理人員等，在保險事故發(fā)生之時再具體確定被保險人。

第三，在保險金給付階段，不同于一般財產(chǎn)損失險，個人信息泄露到權(quán)利人受到實(shí)質(zhì)損害可能間隔較長，涉及到的利益主體可能十分廣泛，已被泄露的信息也可能呈現(xiàn)不斷擴(kuò)大的趨勢，受害人未必能及時主張損害賠償，侵權(quán)人的身份也往往難以得到認(rèn)定，很容易出現(xiàn)侵權(quán)事件發(fā)生在保險合同期間內(nèi)但受害者行使賠償請求權(quán)在保單期滿后的情形，且同一信息泄露事件的受害者未必在同一時間提起索賠請求，故比起事故發(fā)生制的理賠機(jī)制，索賠發(fā)生制更加適合個人信息安全險，保單配合約定追訴期制度以防范索賠發(fā)生制可能帶來的道德風(fēng)險。

至于保險金額，個人信息安全險應(yīng)為損失補(bǔ)償型保險，賠付個人信息泄露對信息權(quán)利人所造成的損失。證明有形財產(chǎn)的損失與信息泄露之間存在因果關(guān)系雖然困難，但更加困難的是認(rèn)定精神損害賠償數(shù)額，實(shí)踐中對精神損害類的非物質(zhì)性損害賠償?shù)恼J(rèn)定標(biāo)準(zhǔn)不一，其數(shù)額認(rèn)定在保險賠付時也會成為難點(diǎn)，因此比較合理的做法是借鑒別國做法，如美國、日本等國對于非財產(chǎn)性損害以及精神賠償數(shù)額有上限的限制，在限制的數(shù)額之內(nèi)根據(jù)權(quán)利人受損的具體情況進(jìn)行賠付可以有效的減少保險人面臨的不確定性風(fēng)險。

3 法律完善的建議

良好的法律環(huán)境對保險的產(chǎn)生和發(fā)展起著至關(guān)重要的作用，針對網(wǎng)絡(luò)安全的專項(xiàng)立法以及出臺相應(yīng)的政策法規(guī)也是保障網(wǎng)絡(luò)安全保險發(fā)展的基礎(chǔ)，個人信息安全險想要發(fā)展也離不開法律、政策的支持。美國網(wǎng)絡(luò)安全險產(chǎn)品之所以發(fā)展迅速，不單是因?yàn)槠溆凭玫谋ｋU發(fā)展歷史，更與《違反安全通知法案》在美國各州的推行有莫大的關(guān)系，美國 50 個州中有 48個州頒布了在發(fā)生數(shù)據(jù)泄露事件時需強(qiáng)制通知客戶。不僅是美國，歐洲的《歐盟數(shù)據(jù)保護(hù)規(guī)定》不僅規(guī)定了數(shù)據(jù)泄露的強(qiáng)制通知義務(wù)，同時規(guī)定一定規(guī)模以上的大型企業(yè)必須購買網(wǎng)絡(luò)安全保險。

我國2017年實(shí)施的《網(wǎng)絡(luò)安全法》對國內(nèi)網(wǎng)絡(luò)空間法治建設(shè)來講是重要的里程碑事件，在此之前我國網(wǎng)絡(luò)安全保護(hù)的法律幾乎呈現(xiàn)空白狀態(tài)，但僅有一部法律是遠(yuǎn)遠(yuǎn)不夠的，總書記也提出了六個“加快”的要求，吹響了加快網(wǎng)絡(luò)安全建設(shè)的沖鋒號。具體來說應(yīng)當(dāng)將個人信息安全險等網(wǎng)絡(luò)安全保險區(qū)別于傳統(tǒng)的財產(chǎn)保險、人身保險，由國家組織專門人才為網(wǎng)絡(luò)信息安全保險“量身定做”法律規(guī)范和安全標(biāo)準(zhǔn)，并配套建設(shè)多層級法律法規(guī)體系，為個人信息安全險等網(wǎng)絡(luò)安全險提供法律依據(jù)，對重點(diǎn)領(lǐng)域可以考慮通過立法形式設(shè)置強(qiáng)制責(zé)任險，為公民提供更加普遍的個人信息保障。銀保監(jiān)會也要加強(qiáng)對此類產(chǎn)品的引導(dǎo)和監(jiān)管，通過規(guī)范性文件、指導(dǎo)性文件等方式引導(dǎo)保險公司開展網(wǎng)絡(luò)安全險種的開發(fā)，支持其發(fā)展，建立更加科學(xué)的風(fēng)險分析模式，制定更加合理的保險定價，為我國個人信息安全險的發(fā)展形成良性循環(huán)，才能為公眾提供更加實(shí)際的保障。

綜上所述，我國個人信息安全險的發(fā)展之路仍然很漫長，在發(fā)展過程中要勇于嘗試并發(fā)現(xiàn)問題，充分借鑒并利用國外先進(jìn)經(jīng)驗(yàn)，不斷優(yōu)化產(chǎn)品設(shè)計(jì)、加強(qiáng)對產(chǎn)品的監(jiān)督管理，對于個人信息安全險而言要從國家安全大局出發(fā)，堅(jiān)持為個人信息安全服務(wù)，促進(jìn)中國個人信息安全保險健康、良性發(fā)展。

（作者單位：石河子大學(xué)法律系）