個人金融信息泄露責任保險發展探討

楊 禧 廖水鳳 陳曉莉 廣東金融學院

個人金融信息是個人信息在金融領域圍繞賬戶信息、鑒別信息、金融交易信息、財產信息、借貸信息等方面的擴展與細化，是個人隱私的重要內容，也是金融機構在提供金融產品和服務過程中積累的重要基礎數據（《個人金融信息保護技術規范》，2020）。日益頻發的個人金融信息泄露事件，助長了各方對個人金融信息保護的需求。從金融消費者等信息主體角度來看，個人金融信息一旦泄露或被不當使用，其生命健康、人格尊嚴或經濟利益等極易遭受損害（謝琳、王漩，2020）。從金融機構和以第三方支付平臺公司為代表的非持牌金融機構等信息處理方角度來看，隨著國家日益重視個人信息權益的保護、關于個人信息保護法律法規的相繼出臺，金融機構等信息處理方在信息泄露事件中面臨的民事賠償風險將愈發增加，且足以威脅到機構的正常運營。而與之相矛盾的是，個人金融信息的適度共享、披露又是金融市場克服信息不對稱的重要手段（邢會強，2021）。因此，順應大數據時代的趨勢，在個人金融信息保護與利用方面尋求達成個人消費者權益與金融機構權益之間的均衡，應對兩者沖突帶來的責任風險的方式，已成為一個亟待解決的問題。就目前情況來看，借鑒國內外金融機構的做法，由金融機構等信息處理方主動投保個人金融信息泄露責任保險，不失為處理客戶金融信息時有效均衡信息保護與利用之間沖突的方法，值得國內業界對其發展給予更多的重視。

一、個人金融信息保護需求

（一）法律法規角度

自2021年11月1日起施行的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）中關于個人信息保護職責的明確，以及自2021 年1 月已經開始實施的《中華人民共和國民法典》（以下簡稱《民法典》）中對信息處理者民事責任的規范，一方面體現出對金融消費者的權益保護，另一方面也對金融機構個人信息保護管理能力提出新要求。除法律之外，近些年我國還出臺了一系列政策規定，如《銀行業金融機構數據治理指引》（中國銀行保險監督管理委員會，2018年）、《個人金融信息保護技術規范》（中國人民銀行，2020年2月，以下簡稱《規范》）、《中國人民銀行金融消費者權益保護實施辦法》（中國人民銀行，2020 年9 月，以下簡稱《實施辦法》）等大量規范性文件都提及了個人金融信息保護。此外，在個人金融信息的收集過程中，大量金融機構參與了對于數據的使用與處理。為此，2021年6月10日通過的《中華人民共和國數據安全法》（以下簡稱《數據安全法》）在第一章總則中明確，該法旨在通過規范數據處理活動等，確保個人及組織合法權益的實現。這些法律法規在規范相關金融機構和非持牌金融機構的合法合規運行、強化其對客戶個人金融信息的保護意識方面，提供了新的發展思路，這也意味著個人金融信息保護需求的日益增加。

（二）金融消費者角度

金融機構在為客戶辦理業務或提供服務的過程中，會不可避免地收集大量個人隱私信息，由于存儲不當或信息系統遭受攻擊等諸多因素，金融行業成為泄露個人信息的“重災區”之一，損害了金融消費者的權益。個人金融信息泄露事件通常具體表現為以短信、電話等形式對當事人進行騷擾，泄露內容往往包括但不限于金融消費者的真實姓名、家庭住址、收入狀況、近期資金需求等，隱私信息的高度透明化讓人不寒而栗的同時，也給金融消費者帶來精神上的困擾。通常來說，個人金融信息會包含身份證、財產、賬戶、交易等方面的重要信息，這些隱私信息若被泄露，可能對金融消費者造成財產上的重大損失。除此之外，更有不法分子通過違規交易個人信息的平臺（如社交群聊、網站等），將其非法收集而來的個人隱私信息明碼標價，造成進一步泄露。若不法分子以獲得的金融消費者個人信息實施違法犯罪活動，將其所實施的犯罪事由均歸咎于毫不知情的金融消費者，也會造成對金融消費者個人名譽的損害。由此可見，從信息主體的角度出發，對個人金融信息的保護刻不容緩。

（三）金融機構角度

除了金融消費者的合法權益遭到侵犯，個人金融信息的泄露也會給金融機構帶來一定的損害賠償責任。目前，因未深刻意識到對金融消費者合法權益保護問題的重要性，已有部分金融機構受到相關監管部門的嚴厲處罰。2020年10月，中國人民銀行甚至開出十分罕見的千萬元級罰單，處罰對象涉及3 家國有大型銀行的6 家分支機構，罰金超過4000 萬元，所涉內容均為“侵犯金融消費者金融信息安全”（21 世紀經濟報道，2021）。《民法典》第四編第六章有關隱私權和個人信息保護的內容，首次對個人信息保護進行了相對完整的法律規定，隨著其正式實施貫徹，個人信息保護問題已提升至一個新的高度（任自力，2020）；《數據安全法》第六章“法律責任”中提出了對信息處理者的行政處罰辦法，例如針對開展數據處理活動的組織，若違反數據安全保護義務，可處以5萬元以上50 萬元以下罰款，若情節嚴重的，罰款上限或將達到200萬元。《個人信息保護法》則進一步將信息保護的責任落實到機構及其負責人，當發現個人信息活動存在較大風險或者發生個人信息安全事件時，監管部門會對個人信息處理方的法定代表人或者主要負責人進行約談，或者直接罰款。不難發現，監管部門正一改以往對于金融機構少則幾千元、多則幾萬元的處罰作風，持續加大其對泄露消費者金融信息的懲戒力度。日趨嚴格的懲戒機制使金融機構面臨巨大的賠償壓力，影響其經營穩定性，由此也產生了轉嫁此類民事賠償責任風險的相關需求。

（四）非持牌金融機構角度

在以往，個人金融信息的來源渠道主要是央行征信中心和傳統的金融機構，而現今，在金融科技及大數據快速發展的時代背景下，眾多機構擁有了廣泛收集個人金融信息的權限。由此，個人金融信息的泄露責任將不再僅歸咎于金融機構的內部問題，其也可能來源于相關的非持牌金融機構。非持牌金融機構又被稱為“類金融機構”，指小貸公司、融資租賃公司、互聯網金融、第三方支付平臺等企業。這類非持牌金融機構同樣掌握了大量的客戶個人金融信息，由于國家并沒有制定專門針對非持牌金融機構的行業規范標準，后者違規使用收集到的個人信息的行為屢次發生（見表1），也會造成相應的損失賠償責任（薛小飛，2021）。

?表1 部分非持牌金融機構侵害用戶個人金融信息行為情況（2021年）

因此，針對個人金融信息保護，相關非持牌金融機構也面臨由于非法泄露個人金融信息而帶來的經濟損害賠償責任，同時需規避由此帶來的民事賠償責任風險。

二、個人金融信息泄露責任保險發展現狀

責任保險的規范依賴于法律法規的不斷完善，這也是責任保險自身蓬勃發展的動力。商業責任保險具有的社會管理功能，不僅體現在事后可以有效地消除被保險人承擔的經濟損失風險，也體現在可充分保障受害人的合法權益，這不失為一種具有前瞻性、補償性的金融信息泄露風險管理手段。面對各方日益增長的個人金融信息保護需求，由金融機構、非持牌金融機構等信息處理方主動投保的個人金融信息泄露責任保險，是其在處理客戶金融信息時，均衡信息保護與利用之間沖突的有效應對手段。在成熟的集體訴訟機制下，以美國為代表的歐美國家的保險公司，推行以企業機構等信息處理方為被保險人的信息泄露責任保險，且發展逐步呈多樣化，但國內市場尚未重視該險種在個人金融信息泄露事件中發揮的作用。

（一）國外個人金融信息泄露責任保險的發展

在美國，對于個人信息保護的立法，一般采取的是具有行業特征的監管制度和手段（周登憲、王志華、喬麗華，2014），例如最早期的《公平信用報告法》（FCRA），以及于2020 年1 月1 日正式生效的被稱為美國“最嚴厲、最全面的個人隱私保護法案”——《加利福利亞消費者隱私法案》，其采用民事訴訟加政府訴訟雙軌制來執行懲罰機制。近年來，以美國為代表的歐美國家信息業發展迅速，信息數據泄露事件頻發，因而不乏企業因泄露用戶信息而面臨巨額賠款的案例。例如，2017 年9 月，美國征信巨頭Equifax 在承認1.45 億美國居民個人隱私信息泄露后，面臨用戶集體訴訟的約合4500億美元賠償，最終該公司同意拿出最高4.25億美元用以賠償受影響用戶。2018年12月，萬豪國際酒店旗下的喜達屋酒店（Starwood Hotel）因泄露約5 億顧客的信息遭遇集體訴訟，索賠金額高達125億美元。

所以，考慮到美國集體訴訟機制，當涉及眾多消費者時，損害賠償數字將十分巨大，而金融信息泄露事件具有廣泛性的特征。面對嚴苛的處罰先例，美國等國家的企業和機構產生了轉移因信息泄露帶來經濟賠償責任風險的需求。因此，美國保險行業推出的針對信息泄露事件之民事賠償責任風險的保險并不罕見，最著名的莫過于1999年，專門針對由于感染病毒、非法入侵等導致業務陷入癱瘓并給企業帶來巨大經濟損失的情形，由蘇黎世北美保險公司推出的“E-Risk保險”。截至2018年，美國本土已有30 多家保險公司針對個人信息保護提供網絡保險產品服務，旨在轉移不同行業的企業因信息泄露事件帶來的民事賠償責任風險，規模與數量為全球國家與地區之最。

（二）國內個人金融信息泄露責任保險的發展

國內市場目前針對個人信息或個人金融信息泄露引發的民事賠償責任的保險產品數量少，且保險責任范圍覆蓋不全。2017年6 月，中國人民財產保險股份有限公司與韓國三星火災保險公司聯合開發了個人信息泄露責任保險，該產品承保企業由于網絡黑客攻擊等原因，發生投保企業所管理的客戶信息泄露事故而引發的相關賠償責任，是中國市場首款承保個人信息泄露風險的保險產品，開創了行業之先。但是，該產品僅僅以附加險的形式出現，且沒有專門針對個人金融信息這一特殊標的作出具體的理賠規范。

就個人金融信息保護方面，盡管國家相繼出臺了《數據安全法》《個人信息保護法》，但從目前的責任保障機制來看，法律法規都屬于事后救濟（羅頂，2019）。在信息時代，金融機構處理個人金融信息時，單單依靠法律法規的事后救濟，還不能直接防范金融信息泄露事件發生的風險，也難以在金融信息泄露事件發生之前施加有效的管理與控制措施，例如必要的風險提示、人員監管等配套設施都有所缺乏，以至于金融機構、金融消費者在信息泄露事件中過于被動。

三、個人金融信息泄露責任保險發展困境

由于個人金融信息泄露事件本身的特殊性，以及金融機構等信息處理方的風險意識有限，國內針對個人金融信息泄露責任保險的發展面臨困境。

（一）保險責任范圍不全面

目前在國內外保險市場上，個人信息泄露責任險條款中的保險責任范圍大多僅限于網絡安全事件導致的個人信息泄露，而在實務當中，金融機構泄露客戶個人金融信息的途徑并不僅僅局限于網絡安全事件。這表明了現有的相關產品保險責任覆蓋范圍不全面，難以與金融機構面臨的實際風險進行有效匹配。例如，金融消費者在面臨個人金融信息泄露時，往往會遭受精神困擾。隨著個人維權意識的增強，金融機構等信息處理方可能面臨更高的精神損害賠償責任風險，而已有的個人信息泄露責任保險產品對此并未涉及。因此，對于我國個人金融信息泄露責任保險，其在險種創新和責任設計方面仍有很大的進步空間，若不能對此加以改進，個人金融信息泄露責任保險發展將受到一定的限制。

（二）金融信息泄露事件主體責任難以厘清

個人金融信息的收集會經過多個環節，涉及多個責任主體。在每個環節里，都有信息泄露、信息非法使用的風險存在，但難以界定是哪個環節出現問題。加之信息泄露事件本身的特殊性，保險人難以測定其可能的理賠范圍，這無疑將對保險公司的財務造成巨大的潛在風險，影響保險利益共同體的安全。個人金融信息泄露事件在不同主體之間的責任厘清方面存在困難，給保險責任的明確帶來了操作難度，一定程度上阻礙了該險種的發展。

（三）金融信息泄露事件事后舉證難

根據中國互聯網絡信息中心發布的《2019年中國網民信息安全狀況研究報告》，有88.2%的網民表示對于個人信息泄露“沒有任何辦法處理”，信息安全所引起的直接經濟損失規模已接近200億元。絕大多數金融消費者在此類信息泄露事件當中，即使選擇維權，依民事訴訟法“誰主張，誰舉證”的原則，也會被要求進行舉證。然而，事后的舉證需要大量的證據收集工作，由于技術的不對等、主體權責的不對等，當金融消費者的個人信息權受到侵犯時，證據收集工作往往難以進行。因此，個人由于無法或難以自行承擔舉證責任，便選擇不了了之。在這種情況下，個人對自身金融信息的保護意識會逐漸隨著此類事件的屢次發生而減弱，對于客戶金融信息泄露難辭其咎的信息處理方——金融機構，便一次次地逃脫其應承擔的相關賠償責任。

（四）信息處理方責任意識不強

我國因金融消費者個人信息泄露而引發的財產安全事件屢見不鮮，其中不乏金融機構內部人員通過買賣客戶銀行卡信息、賬戶信息、征信信息等實施電信詐騙的案件，導致金融消費者遭受經濟損失。這表明了銀行等金融機構在保護客戶個人隱私信息方面的意識薄弱，甚至存在著制度漏洞，在制度的貫徹和落實上仍存在短板，過度采集客戶信息、通過不正當手段與第三方共享客戶信息等監管交叉或監管真空的情況難以規避。另外，信息處理方在對金融消費者的個人信息數據存儲和使用上，也存在著大量不規范行為，例如，服務結束后未及時刪除數據、將業務終止的客戶資料直接當廢紙作丟棄處理等。這些行為均表明信息處理方的責任意識不強，不僅加大了個人金融信息泄露的風險，同時也限制了個人金融信息泄露責任保險的發展。

四、個人金融信息泄露責任保險發展建議

（一）擴大個人金融信息泄露責任保險的責任范圍

責任保險產生和發展的基礎是健全的法律制度。關于個人信息泄露責任險保險責任和相關損失賠償的設計，應具有一定的時代性、先進性。保險公司在構思個人金融信息泄露責任保險的保險責任范圍時，應基于《民法典》中對信息處理方民事責任的規范之法律精神，以及將《個人信息保護法》《數據安全法》《實施辦法》中關于個人信息泄露問題的相關規定作為法律依據，降低該類產品的推行難度（張彤，2020）。例如將保險責任盡可能覆蓋金融機構面臨的個人金融信息泄露責任風險，同時根據個人金融信息泄露事件具有廣泛性的特征，適當調整除外責任的范圍，以降低保險人的承保風險，具體措施如下：

1.適當擴大保險責任的范圍

保險責任應從金融機構及其產品或服務消費者的利益出發，著眼于覆蓋個人消費者金融信息泄露的責任風險。其中，該風險包括因網絡安全事件、被保險人雇員不忠誠行為所致的第三者（金融產品或服務消費者）個人金融數據泄露風險，以及被保險人在法律上應負的民事損害賠償責任。所以，首要的保險責任，應為由于發生個人金融信息泄露造成“第三者”（客戶）在保險期間首次向被保險人提出損害賠償請求、依法應由被保險人承擔的經濟賠償責任。

此外，因信息泄露事件具有相當的社會影響性與持續性，往往會對金融機構的形象產生較大的不利影響，不妨將金融機構在發生泄露第三者（客戶）個人金融信息事件后為恢復或防止毀壞自身機構形象所產生的在責任限額內的損失和費用列為保險責任，例如：通過新聞或電視等大眾媒體說明事故發生狀況、對應方式或表示歉意所需的公關費用；為預防事故再次發生而產生的系統升級費用、專家咨詢費用；被保險人為恢復企業形象支付給信息主體的費用等。這樣更能滿足金融機構轉嫁風險的需求。

2.限制可保的金融信息泄露途徑

為了切合市場需求，在考量個人金融信息泄露責任保險的保險責任時，應該同時關注金融機構客戶信息泄露的兩種可能：一是金融機構自身的計算機系統遭遇網絡安全事件，二是金融機構高級管理人員或雇員的不忠誠行為。該類復合型的個人金融信息泄露責任保險可以彌補以金融機構內部人員利用職務便利泄露客戶個人金融信息為保障范圍的保險市場空白，將會有較好的市場前景。同時，為了降低保險公司承保風險，應將個人金融信息泄露的途徑限于兩種情形：（1）因網絡安全事件造成的個人金融信息泄露；（2）被保險人的高級管理人員或雇員在處理業務時利用職務便利單獨或與他人共同實施不忠誠行為造成的第三者（客戶）個人金融信息泄露事件。以上兩種情形依法均應由被保險人承擔經濟賠償責任。

3.將精神損害賠償列為保險責任

消費者個人信息泄露事件大多數會造成相關人員精神上受到困擾和損害。然而，由于精神損害的界定難以商榷，大多數保險產品將精神損害置于除外責任范疇，這導致金融產品或服務的消費者權益不能得到充分保障。基于《民法典》侵權責任編對精神損害賠償責任的完善，將“因發生第三者（客戶）個人金融信息泄露造成其嚴重精神損害，依法應由被保險人承擔的損害賠償責任”列為保險責任，無疑為金融消費者注入了強心劑，有利于金融機構產品或服務的優化。

（二）建立統一的個人金融信息界定標準

由于個人信息泄露責任保險發展的滯后性，以及專門針對個人金融信息泄露的責任保險的創新性，保險業內尚未建立該險種中對于“個人金融信息”界定的統一標準，更多依賴于其他法律法規對個人金融信息的釋義，這將十分不利于該險種的規范與監督。而個人金融信息的界定關乎保險標的的明確，是個人金融信息泄露責任保險設計的關鍵（顧雷，2020）。所以，從長遠來看，保險業內針對個人信息泄露責任保險建立統一的個人信息范圍界定標準，是必要之舉。這不僅有助于有關部門對該類保險產品監督管理工作的開展，也有利于該險種的持續健康發展。

由于個人金融信息具有廣泛性的特點，保險公司不妨直接引用某一條例的釋義。例如，可以參考2020年2月13日中國人民銀行正式發布的《規范》，其將個人金融信息按敏感程度從高到低分為C3、C2、C1的三個類別（寧宣鳳等，2020），可以此為參考，作為個人金融信息泄露責任保險中對個人金融信息的釋義。

（三）建立事后舉證責任倒置機制

由于社會公眾有關金融信息的安全意識較為薄弱，缺乏警惕性，加之地位的不對等，大多數金融消費者在個人信息權受到侵犯時往往由于舉證困難而無法有效保護自己的權益。因此，為保持平衡，在相關信息泄露事件的訴訟中，不妨將舉證責任倒置，要求信息處理方，即金融機構主張不存在侵權事實（蔡大順，2019）。

在這種情況下，由于舉證責任倒置機制在國內外金融信息泄露訴訟事件中缺乏相關先例作為參考，擁有相關資源的保險公司不妨嘗試與不同類型金融機構進行試點合作。通過承保個人金融信息泄露責任保險，保險公司在事后主導或協助金融機構（被保險人）開展事后的舉證工作。此舉一方面可以有效地降低金融機構（被保險人）因金融信息泄露而導致的經濟損失；另一方面，保險公司也能在舉證工作中不斷積累實踐經驗，用于個人金融信息泄露責任保險產品的服務，形成良性循環。

（四）探索專門針對非持牌金融機構的個人金融信息泄露責任保險

與主流的理解不同的是，在《規范》中，關于金融機構的定義，除了專指由國家金融管理部門監督管理的持牌金融機構，另一類是涉及個人金融信息處理的相關機構，即為持牌金融機構業務提供基礎支持服務而需要處理個人金融信息的企業，例如電信服務商等（謝秀紅等，2016）。除此之外，近年來，我國部分互聯網科技公司也紛紛加入了金融業，為金融行業提供廣泛的金融服務，盼望分得一杯羹。然而，我國目前尚未出臺一部直接適用于所謂“非持牌金融機構”的法律，以及權威的相關信用評級，這使得保險公司承保非持牌金融機構的個人信息泄露責任保險時，難于估量產品成本，面臨更大的賠付風險。

面對日益增加的“非持牌金融機構”，保險公司應積極將挑戰轉化為機遇，在探索個人金融信息泄露責任保險等產品時，不妨先從業務較為單一的機構入手。如面對為金融機構提供身份驗證服務的電信服務商，出于業務需要，能接觸到大量金融消費者的個人電話、賬戶余額等信息，同樣面臨金融信息泄露的民事賠償責任風險。保險公司可根據實際業務需求，為該類電信服務商制定合適的費率，提供具有定制化條款的個人金融信息泄露責任保險。待承保、理賠、事后反饋等流程和機制成熟后，保險公司再向從事復合業務的非持牌金融機構領域進一步探索。