數字經濟時代保險業個人信息合規管理研究

徐家力 楊森

〔內容提要〕隨著《個人信息保護法》的生效、數字化技術的不斷發展、數據規模的急劇增長，保險行業個人信息管理問題需要重新審視。保險公司個人信息數據的違規處理及防護不到位，除了會面臨新法的巨額罰款，還會遭遇聲譽損害進一步影響市值。本文基于保險行業面臨的挑戰，將保險個人信息作為一項財產權進行產權分配，以達到社會福利最大化為目標，得出個人信息數據的所有權歸屬應由保險公司和消費者共享更為有效的結論。指出保險公司、第三方代理機構、保險客戶之間的信息授權模式應參考互聯網平臺的“三重授權規則”，提出科技化賦能保險行業個人信息數據安全管理的重要性，重點在于跟進隱私計算技術方案的掌握，并指出保護端點上的數據及便攜式設備上的數據應當是保險公司數據安全管理的重點方向。

〔關鍵詞〕個人信息保護 數據安全 保險客戶 科技賦能

一、問題的提出

隨著云計算、人工智能、大數據等新型技術的出現，我們的生產生活方式發生著翻天覆地的變化，人們的思維方式、社會形態也在不斷變革。數據，尤其是個人信息，對于實現企業風險控制、產品開發和行業戰略分析目標來說，無疑是核心和基礎，然而數據的開發和利用與個人信息保護之間存在著天然的對立關系，如何實現二者的平衡成為數字信息化時代關注的焦點。保險業作為數字密集型產業，其對數據的依賴無論是在廣度還是在深度上都更加強烈，保險人為了能精準計算、預判風險、核保理賠，勢必要在信息不對稱的市場環境中想方設法獲得被保險人信息資源，此外，保險業存在的根基“大數法則”，更是決定了其背后龐大的用戶量及用戶個人信息數據量。隨著《個人信息保護法》的即將生效，保險業在現行制度框架下，如何利用高科技手段保護公司數據，找到用戶個人信息保護的規則邊界，成為每一家保險公司必須面臨和解決的問題。

二、數字時代對保險個人信息保護的新要求

（一）大數據技術給保險業個信保護帶來的挑戰

保險本身的定義就是要集中眾人的力量建立起保險基金，用以補償發生災害或事故的保險客戶經濟損失的一種方法，在保險公司的日常經營中，不可避免地要利用各種數學推理方法及風險模型對風險進行預估以對公司利潤進行預測，包括隨后的保險經營流程：承保、核保、理賠、保險精算定價等，所有的計算過程即為數字化的過程，由此可見保險行業具有天生的數字化屬性。在沒有大數據技術以前，傳統保險行業的數據來源于用戶表格填寫產生的一些滯后數據，大數據技術促使保險業可以快速海量收集、存儲、處理數據，例如數據工程師運用爬蟲技術抓取網頁數據，通過提數服務將數據集成提供給下游消費者使用，通過機器學習構建新模型對新數據進行分析，實現對保險消費者“精準畫像”。

數字化屬性加上新時代數字化技術的快速發展，促使了保險科技化的進程，現如今的保險消費逐漸向場景化、智能化發展，保險類型也開始轉型為管理型和互動型保險，例如，汽車保險出現了“UBI車險”類型，保險公司可通過一系列的聯網設備，根據每位保險消費車主的用車習慣、行駛里程等信息實現不同情況的保險定價；健康險中保險公司通過為被保險人提供的穿戴式設備，實時獲取被保險人的健康信息，不僅可以在患大病時方便理賠程序速啟動、速進行，也可以實時提供健康服務。數據技術的發展極大地降低了保險市場中逆向選擇和道德風險的現象，并促使保險產業鏈優化升級；消費者購買保險方式也更加便捷，大部分保險都提供了線上服務，消費者可在瀏覽網頁的同時，輸入投保信息隨時投保。

由此可見，無論是保險公司的內部運營還是面向客戶的保險產品，都越來越依賴數字技術。雖然技術無疑使流程更快，客戶自助服務更廣泛，但所有這些數據都意味著保險公司及其客戶容易受到安全漏洞的影響。加上保險數據本身具有規模性、多樣性、高速性、價值性的特征，數據安全危機很容易造成牽一發而動全身的局面。分析大數據技術給保險業個人信息保護帶來的主要矛盾，主要有以下兩點問題：（1）個人信息的權利歸屬及授權搜集使用問題。數據搜集、使用的前提在于對于數據的支配權力，支配權力來源途徑只有兩條，一是對數據的擁有，二是數據所有人的授權使用。若直接規定個人信息所有權人為個人，保險公司需要頻繁征得權利人授意才能操作數據，無疑大大降低了保險公司的運營效率，而且消費者為了獲得保險業務的主動權對其個人信息并沒有足夠的動機去披露，這也會使得保險公司的權益受到損害。（2）保險公司如何確保客戶個人信息數據庫的安全。個人數據是保險公司能夠持續經營的根基，只有在全面準確地掌握和分析客戶信息的基礎上，才能讓保險公司提供出適合大眾的保險產品。與此同時，保險公司也成為網絡黑客的理想目標，因為他們儲存著大量公眾敏感核心信息。為了確保客戶個人信息的安全，保險公司必須要在完善數據監管機制的同時固建數據防護系統。

（二）現行法律對保險行業個信保護的新要求

1980年經合組織（OECD）制定過《隱私保護及個人數據跨境流通指南》，確立了目的特定、知情同意和最小化原則。2018年歐盟頒布的《一般數據保護條例》（GDPR），該部法規在全球數據保護規則制定中具備里程碑般的意義，制定了企業在對用戶的數據收集、存儲、保護和使用時新的標準，喚起了用戶對個人隱私和在數字時代的個人權利欲望。它的設計目的主要有三項：第一，跟隨現代新科技產品的發展，使得數據安全監督管理和互聯網流行趨勢下的個人信息傳輸的設施和工具同步發展。第二，減輕個體公民和存有個人信息的企業之間權利力量的不均衡。在法規條款中，明確了公民個人有“刪除”其數據的權利，并規定了企業使用數據的“同意”應該是用戶自由給出的，并且對于某些敏感的個人數據是“明確的”；且不能將提供敏感信息作為服務的條件。第三，簡化企業監管環境。能夠更大程度上讓公民和企業受益于數字經濟帶來的好處。同時該部法規為了更好地保護歐盟公民的個人信息，設定了高額的懲罰條款，如此一來，給數據型產業帶來了極大的沖擊，但對于歐盟新法頒布之前就已經持續遵守良好數據原則的公司來說，嚴苛的規定并沒有帶來太多負面的影響。這也給全球數據型企業欲持續發展敲了一記警鐘。

在全球個人隱私保護大趨勢下，我國《個人信息保護法》也登上了歷史的舞臺，這部于2021年11月1日正式生效的法律，給保險業帶來了驚天動地的影響。該部法律確立了公民具備個人信息處理者的角色，對保險公司的數據處理能力、數據保護水平提出了更高的要求。該部法律同時也有監管更加嚴格、處罰力度更大的特點，保險公司、機構一旦因個人信息處理不當違法被查，就會受到非常嚴重的行政處罰。深圳特區為了順應法規的出臺，在2021年6月29日，于深圳市第七屆人民代表大會常務委員會第二次會議通過了《深圳經濟特區數據條例》，于2021年7月6日發布公告（第十號），自2022年1月1日起施行。該條例對個人數據權規定做出了創新，明確表明自然人對個人數據依法享有數據權，設定的一些規則，例如：個人數據處理規則以“告知—同意”為前提、用戶有權拒絕被畫像和被推薦、“人臉識別”不能強制使用，均體現了對個人數據保護的力度，但同樣面臨與實務界對接的執行難的問題。

三、個人信息權益歸屬及授權

（一）從個人信息產權界定判別權益歸屬

即將生效的《個人信息保護法》將個人信息定義為以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。保險業個人信息，根據字面上的理解，涉及保險消費者的身份、健康、財產、社會記錄等信息。有學者將個人信息的類型分為“基本個人信息”“被記錄的伴生個人信息”“預測個人信息”三類。個人信息具備人格權在學界并無爭議，但是否具有財產權卻眾說紛紜。在流量為王的熱潮下，各大公司都在為了爭取數據不惜冒著生存風險，近年來，各種數據安全問題頻繁發生，支付寶年度賬單事件、順豐員工專賣內部數據權限數據安全事件、工信部約談“ZAO”APP事件、墨跡科技IPO被否事件，無不體現了數據背后的巨大市場價值。保險個人信息也同樣具備財產屬性，將保險交易過程納入經濟學范疇進行考慮，第一，對于被保險人來說，其可通過隱瞞真實信息創造牟利的機會。第二，對于保險公司來說，會不惜重金雇傭第三方公司取調查用戶的真實信息。第三，保險公司若是掌握了大量客戶真實信息，可以幫助其識別潛在客戶，創造更多為公司盈利的機會。以上幾點均可體現出保險個人信息數據的巨大財產屬性。

將保險業中的個人信息確定為具有財產屬性后，就要討論該財產權利歸屬問題。個人數據信息產權問題是現如今大數據時代一個非常潮流的命題，產權清晰以及在產權人格化上內生出的市場信用的激勵相容性。是提高社會經濟活動效率的重要前提。根據國內外的實際情況，我們經常看到的現象是個人信息的收集企業對信息資源自由地控制并利用。也有學者強調了信息企業對個人信息的控制權屬于絕對權利，無需經過政府授權而得到法律上的保護。從現實交易來看，保險個人信息源于保險消費者個人屬性及日常積累，也就是個人信息的生產者，但其將個人信息讓渡給保險公司后，公司根據大數據分類、分析，創造出適合大眾的保險產品，亦產生了一定的社會福利，在該過程中，消費者個人和保險公司都對個人信息的價值做出了相應的貢獻，很難區分出個人信息財產權更為合適的歸屬。對此，有學者曾在其論文中，構建了以金融機構、消費者、征信機構為主體的三方博弈模型，以實現社會福利最大化的帕累托最優為目標，分別以金融機構和消費者以及外部立法者為產權配置的中心進行效果分析，得到將隱私信息由金融機構和消費者共享是實現市場效率最高、社會福利最大化的最佳途徑的結論。筆者亦認為將保險個人信息財產權歸屬于保險公司和保險消費者共享最為合適，但實踐中，如何確定各自權利的界限，實現雙方最大權益保護是最值得討論的問題。雖然數據企業依法應取得被收集個人數據的自然人的同意，但作為消費者的自然人并沒有協商的空間和議價的能力。

（二）“普遍付費+個別付費”雙重模式提供授權新思維

雖然根據法律經濟學理論的討論，認為應當給予公民個人對其個人信息享有財產權地位，并且《個人信息保護法》也更加強調公民對個人信息的主導支配權利，但在保險領域，個人和保險公司之間力量的懸殊以及個人信息本身的特點，有時候也因為保險消費者個人的非理性，導致了保險消費者對其個人信息難以控制的局面時有發生。通常情況下，在保險消費者進入保險市場的初始階段，和保險公司的談判結果只有兩個：同意提供并被其收集個人信息者留下，不同意此選項的，就無法享受該保險產品，協議條款通常由保險公司提前擬定，消費者僅能在是和非中進行選擇，此時個人信息作為一項消費者的財產權利并沒有和對方談判議價的機會，但若對保險公司實施強制取消該規則，必將使得有些公民濫用權利，從而阻礙保險公司的持久經營，也不利于整體社會福利的提高。對此，可通過設計相關規則來解決此困境，比如，構建商業自主框架，有學者曾對個人信息保護設計了一種“普遍付費+個別付費”雙重新型模式，在保險領域也同樣可以取得很好的效果。該模式的具體邏輯就是用戶可以在提供個人信息和支付一定費用兩條路徑中選擇其一來獲得相應服務。落實到保險規則中，個人信息的授權多是以“同意”為主要原則，若消費者覺得保險合同中的個人信息條款的設計侵犯了自己的權益，可選擇進入交易的商業模式，通過消費者和保險公司進行協商，以提高保費的形式拒絕保險公司對其個人隱私的侵犯，這種付費模式剛好可以解決保險業個人信息作為一項財產權利卻無法和其他財產一樣在市場中正常交易的弊端，使得個人信息實現了其對價機制，此外也通過提高保費減輕了保險消費者發生道德風險給保險公司造成的經濟損失，但具體保費設置還需在實踐中探索。

（三）第三方機構對個人信息的使用權利

保險公司在其日常經營業務中，為了提高效率，通常會將其保險業務切塊分割，委托給第三方代理機構處置，這種情況通常會發生在核保階段，保險公司因為沒有專業隊伍，為了節省人員開支，提高核保信息的準確性，從而尋求專業程度更高的第三方機構進行。與此同時，為了方便代理機構核準信息，在交付新任務的時候，也同時會將其所掌握的保險客戶個人信息以及以往的交易信息一并交給該機構。這些機構往往為了能夠高效獲取信息，雇傭的員工常常沒有經過太多的專業培訓，如此一來，被保險人在被核實信息的過程中常常會因感受到個人信息被侵犯而與第三方機構發生矛盾，將保險公司和第三方機構一并告向法院。根據以往的判例顯示，法院對于此類案件的態度通常會以保險公司的做法并不符合《侵權責任法》中的侵犯隱私權的所列情形，并且在《中華人民共和國保險法》所允許的正常權利范圍為由，駁回原告侵犯個人隱私的訴訟。

但是此類做法在《個人信息保護法》生效后是否依舊合理，需要商榷。對此可類比于互聯網平臺中對第三方應用的相關規制辦法，在互聯網平臺中，用戶的個人信息的開放和共享是各個平臺能夠正常運轉的重要內容，和保險業運營相似，在公開給第三方平臺（或保險第三方機構）的過程中，個人信息面臨著很高的泄露風險。北京知識產權法院曾在“新浪微博訴脈脈”案中，確定了獲取用戶的個人信息應當遵守的“三重授權規則”，即在第三方平臺欲想獲得個人信息需要得到平臺和用戶的雙重授權，后期使用需要再次征得用戶的授權，此種做法給減少相關訴訟爭端提供了重要保障，也體現了司法機關對平臺個人信息保護責任的強調。保險行業和開放平臺比較，雖然在運營機制上存在差別，但其所流轉的個人信息相比較于開放平臺更加敏感，伴隨著《個人信息保護法》對保險公司個人信息保護義務的加強，保險公司可以效仿互聯網平臺的相關規則設計，至少應當在與客戶簽訂協議時如實說明情況，并征得客戶的同意和授權，并允許保險消費者在后續合同履行期內有停止授權的權利。在和相關代理機構簽訂業務合同時，要聲明需對方履行有限使用保險客戶個人信息的義務，并能保證最大程度保護客戶的個人信息不被泄露且不被用于代理業務以外的活動。

在外部監管方面，僅靠粗略的法規條款要求遠遠不夠。建議在《個人信息保護法》規定的一般規則的統合立法模式之外，制定若干行業規章及自律規則進行特別法的規則設計，加強中國銀保監會的主導監管地位，加強保險公司對第三方代理機構的信息使用監督義務，監督第三方代理機構搜集、使用數據的正當性及使用限度狀況，從法源上切斷保險從業者濫用客戶信息的路徑。對第三方代理機構設置信用評級，保險客戶在簽訂保險合同時，有權根據自己的意愿選擇第三方代理機構。其次也要加強對保險客戶告知義務的規則設計，由于我國保險法僅對投保人的告知義務予以說明，并無明文規定被保險人的告知義務，若投保人和被保險人并不是同一主體，投保人無法實時掌握被保險人更新的個人信息，無形中增加了保險公司的核實成本。據此，應當建立保險行業大數據庫，允許被保險人登錄系統并對個人資料有修改權和個人信息共享情況具有知情權，提醒被保險人及時修改個人信息，被保險人在享受權利的同時也應當被要求具有如實告知義務。

四、建立、完善數據安全管理及技術措施

對整個保險行業來說，科技化、數字化成為發展的必然方向。全球資本市場統計報告顯示，2020年保險科技融資總額增長了12%，交易數量增長了20%。得益于例如云計算、區塊鏈、大數據等新型信息技術手段，當前保險行業在產業鏈優化、生態環境重構、轉型升級方面得到了快速提升。在未來的發展上，科技化賦能保險公司是必然趨勢。個人信息數據管理作為保險公司服務的命脈，更應該全面融入數字技術，尤其要注重隱私計算的跟進學習，此技術方案是解決保險科技數據難題的重要手段，可引進高科技人才，通過安全、可信的方式促進保險機構在個人信息安全保障下的合規經營。

在數據管理上，可有以下兩個改進重點。

1.保護端點上的數據。保險機構的員工是個人信息監管的重點監督對象。保險行業的數據威脅通常不是在系統的安全漏洞，常常來源于內部員工以及第三方代理機構。保險行業的員工有個重要的特征就是流動性很強，保險檢查員會經常實地考察，保險推銷員需要尋找客戶游走講解推銷。數字化的工作環境決定了他們會隨身攜帶移動網絡設備，并經常遠程操控存儲個人信息數據的計算機。其離開公司后，網絡的安全性便得不到保障：許多數據保護工具都依賴于網絡安全的級別，因此一旦承載個人信息的移動設備離開了安全的網絡，便很容易受到外部的攻擊。保險公司可提供以下的數據安全措施：直接在數據端點上保護數據。將安全軟件安裝到計算機上，確保設備的物理位置安全。通過這種方式，員工無論怎么遠程操控，都會得到安全過濾監控。

2.保護便攜式設備上的數據。個人信息的另一個儲存位置在一些便攜式設備上，如U盤、筆記本電腦等，許多保險公司會關注到個人信息數據安全的網絡威脅，卻忽視了這些便攜式設備被偷走的風險。可通過加密技術對設備上的數據進行自動加密來解決此類問題，進行設備控制可以防止設備相互連接，也可以控制具體設備讓其連接到計算機上。

（作者單位：1.中國東北振興研究院；2.北京科技大學經濟管理學院）