保險業個人信息保護的監管規范路徑芻議

黃志浩 上海銀保監局

保險業作為金融業中典型的“個人信息”集中行業，在數字經濟時代的人工智能、大數據、云計算等金融科技加持下，勢必涉及大量的保險消費者個人信息。從監管法治的角度審視我國保險業個人信息保護規則，可以發現其存在諸多不周延之處，例如，對算法殺熟、跨境數據傳輸等關鍵問題缺少回應。因此，應借助本輪《保險法》修訂等金融法治供給側改革的關鍵時機，盡快建立多層次的保險業個人信息保護體系，厘清保險業個人信息保護的法治脈絡，完善監管職權配置，增強各項規則的可執行性，以促進保險業依法經營與合規發展，保護金融消費者合法權益，落實“以人民為中心”的發展思想。

一、概論

（一）數字化新時期的保險業個人信息保護

自2022年原銀保監會發布《關于銀行業保險業數字化轉型的指導意見》（銀保監辦發〔2022〕2號）以后，保險業的數字化轉型已經不是選擇題而是必答題。在當前金融科技賦能金融業發展的大背景下，越來越多的保險公司走上了數字化轉型之路，采用人工智能、大數據等技術進行精準化營銷獲客、自動化決策，并進行大數據風險定價，提供品種豐富、定價科學的保險產品，以更好地滿足人民群眾對差異化保險產品的需求。但隨之也出現了營銷過度、信息泄露、算法殺熟等一系列個人信息保護的相關問題。

數據作為保險業數字化轉型中的一項特殊資源，既有體現保險消費者公民權利“個人性”的一面，也有體現維持行業平穩運行“公共性”的一面，其有效的流轉、利用與治理是保險業數字化轉型中各項技術成敗的關鍵。2021年正式實施的《個人信息保護法》在立法目的中對上述二元價值給予了較好的兼顧。具體到保險行業，其業務本質是建立在信息不對稱基礎之上的“風險定價”，即保險公司在經營過程中為了估測損失規模、合理確定保費，必然需要收集大量個人信息，甚至是個人金融賬戶信息、醫療信息等敏感信息。因此，有必要在《個人信息保護法》的基礎上，對處于交易弱勢地位的保險消費者的個人信息予以進一步的傾斜保護。2022年，原銀保監會消保工作的重點便是對銀行保險機構個人信息保護的檢查。2023 年初，國家金融監督管理總局組建成立，標志著保險監管力度得到進一步加強，個人信息保護作為數字化時代金融消費者權益保護的一項重點內容，也得到進一步重視。因此，構建權責分明、規范有效的保險業個人信息保護監管法治框架已是當務之急和必然選擇。

（二）我國保險業個人金融信息保護的法治進路

我國保險業的個人信息保護立法起步較晚。美國早在1996 年就根據保險行業的特殊情況，制訂了《健康保險可移動性和責任法案》（Health Insurance Portability and Accountability Act，HIPAA），針對醫療保險中涉及個人信息的交易規則、醫療信息安全、醫療隱私、患者身份識別信息等問題作出詳細的法律規定。我國在2009年的《刑法修正案（七）》中才將侵犯公民個人信息的行為定為犯罪行為，邁出了刑事先行的個人信息保護第一步。

在法律層面，2012 年，全國人大常委會制訂了《關于加強網絡信息保護的決定》，正式將個人信息作為一項專門法益予以保護。2017 年生效的《網絡安全法》明確了網絡環境下的個人信息保護問題。2020年《民法典》的出臺，標志著在法律層面上首次將個人信息作為一種人格權益予以確立，個人信息保護的重要性被提到了一個新的高度。以此為基礎，2021年《個人信息保護法》和《數據安全法》的出臺，進一步奠定了包括個人信息在內的數據保護基本立法框架。

在金融行業監管層面，人民銀行分別于2011年和2012年連續兩年發布《關于銀行業金融機構做好個人金融信息保護工作的通知》，是金融領域最早的關于個人金融信息保護的專門規定。單就保險行業而言，2014年，原保監會印發《關于加強保險消費者權益保護工作的意見》（保監發〔2014〕89 號），對個人信息保護作出了原則性規定。除此之外，保險業關于個人信息處理或保護的專項立法絕大多數還處于規則缺失的狀態，只有部分原則性規定零星散見于關于信息系統安全管理、銷售行為可回溯管理、互聯網保險業務管理等監管規定中。例如，《互聯網保險業務監管辦法》中僅宣誓性地強調了個人信息收集的“合法、必要、最小”原則，對于實務中保險業務開展時收集個人信息的類型和邊界、個人信息保護政策制定的要求和形式等并未作出進一步的細化規定，導致部分保險機構對個人信息保護規定的落實流于形式。

綜上，我國保險領域的個人信息保護立法起步較晚且規制零散，缺乏協調性和體系化。考察目前對保險業個人信息保護的法律規范，主要依托于《個人信息保護法》等法律，具體權益保護的規則主要在金融監管部門的部門規章或規范性文件層面得以體現，且多為較抽象的金融業通用性規則。對于保險業相較于其他行業的一些特殊之處，如保險業自動化決策下的風險定價等，目前的監管規定還較少，相關監管工作在實際開展中仍缺乏有效的定性、定量依據，保險公司的合規成本也水漲船高。因此，理順個人金融信息保護的規范體系、填補規則空白、回應業界關注的關鍵問題是監管法治建設的核心要點。

二、保險業個人金融信息保護的若干關鍵問題透視：基于現行立法不周延的實證考察

（一）關于保險業個人信息收集規則下的“最小必要”問題

所謂“最小必要”原則指的是個人信息收集活動應當限于實現處理目的的最小范圍，不得過度收集個人信息。理論界一般認為，“最小必要”原則包括關聯性、最低頻率、最少數量三個子原則。目前，“最小必要”原則在實踐中主要存在兩個問題。

一是判斷模糊。如何判斷哪些信息是訂立、履行保險合同所必需的個人信息，目前沒有明確的依據可以“劃清邊界”。業務場景的多變、服務內容的差異、保險機構的風控水平不同等，都會導致不同保險機構對“最小必要”的范圍產生不同的理解。以人身險業務為例，姓名、聯系方式、年齡、保費支付賬號等被認為是訂立、履行保險合同所必需的個人信息。但在實踐中，很多保險機構出于各種原因，例如，為提升自身服務水平等，往往會超出上述范圍額外收集更多的個人信息，甚至收集很多明顯與訂立、履行保險合同關聯度較低甚至是無關的個人信息，包括婚姻狀況、個人履歷（學歷、職歷）、社交喜好、實時地理位置等；在侵犯保險消費者知情權等權益的同時，保險從業人員還會作出未經允許撥打營銷電話、發送營銷信息等過度營銷行為。

二是監管薄弱。隨著保險業數字化轉型的不斷深入，保險公司線上APP部分替代了傳統的線下營銷，成為保險業務發展的一條重要渠道，其獲取個人信息的效率、數量等也遠遠高于線下方式。但大多數保險公司，包括保險公司自營平臺、互聯網保險公司和第三方平臺等，其APP中的《隱私條款》或《個人信息保護政策》中有關個人信息收集和保護的內容并未體現“最小必要”原則，例如，對信息收集的必要性和關聯性重視不足，對關鍵信息表述不清晰等，而目前行業監管部門對這方面的監管較為薄弱。

（二）關于保險“風險定價”下的“大數據殺熟”與“算法歧視”問題

在保險機構數字化轉型的過程中，基于大數據技術自動化決策的應用將更為普遍，風險定價、智能核保、智能理賠、推薦感興趣產品等場景都有可能涉及自動化決策。在保險消費者個人信息為保險公司的定價發揮“大數據”下的商業價值時，新的風險和問題也隨之產生，即對保險消費者的“大數據殺熟”與“算法歧視”。不少業界人士甚至將前述行為定性為價格歧視，認為這是保險機構通過技術手段，對消費者實時數據進行抓取、整理、挖掘后，為追求利益最大化而實施的歧視性行為。

以近年來較為典型的一類風險定價的新型財險產品“退貨運費險”為例，其是指網絡購物中的買家或賣家向保險人支付保險費、保險人根據合同約定對發生退貨訂單的單程退貨運費承擔賠付責任的保險。在賣家版運費險中，保險公司與賣家簽訂保險協議，針對賣家店鋪內全部符合條件的“七天無理由退貨”商品提供運費險服務。隨著大數據技術的發展和預防欺詐的需要，運費險的定價也從傳統的“一刀切”方式轉變為充分利用大數據模型進行差異化定價。而定價模型吸收了海量的消費者行為數據、電商交易數據、商品類目、消費記錄和退賠記錄等，保費隨著出險率的升高而遞增，從而實現“私人訂制”的定價模式。

基于保險標的的不同風險狀況而決定是否承保及厘定差別保險費率是保險定價的基礎。但基于前述的差異性定價仍應遵循“公平性”原則，而非“看人下菜碟”或者是“大數據殺熟”。比如，根據與標的風險無關的消費者的偏好、交易習慣等特征來進行定價，就損害了消費者權益。因此，如何結合《個人信息保護法》第二十四條，將自動化決策的技術手段與保費差異化的因果關系予以細化，使其在保險從業邏輯與金融消費者權益之間獲得平衡，相關規則仍有待進一步完善。

（三）關于保險業個人信息使用分級保護的問題

《個人信息保護法》對個人信息與敏感個人信息進行了界定和區分。敏感個人信息包括金融賬戶、醫療健康信息等，因其承載了更高位階的法益，所以立法對其給予了更為嚴格的區別保護。例如，相較于一般個人信息，對敏感個人信息進行收集、共享、轉讓、公開披露等處理活動，需要取得個人的“單獨同意”；在處理敏感個人信息前，需要告知本人處理敏感個人信息的必要性以及對個人權益的影響，對敏感個人信息需要采取更嚴格的保護措施等。

在金融領域，根據金融標準化技術委員會發布的《個人金融信息保護技術規范》，將金融領域的個人信息按敏感程度分為C1、C2、C3三個級別，據此，幾乎所有保險業務開展時所采集的個人信息，如個人身份信息、財產信息、保險賬戶信息等均能歸入敏感個人信息的范疇。這與《個人信息保護法》對個人信息的二元劃分存在一定交叉與沖突。對此，學界和實務界一直存在爭議，部分觀點認為，將個人金融信息納入敏感個人信息范疇，對金融業并無裨益；相反，為了提升服務效率和滿足客戶需求，更加有必要促進個人金融信息的共享利用。在保險業務場景中，保險賬戶信息、醫療信息被歸入《個人信息保護法》下的“金融賬戶信息”作為敏感個人信息保護當無異議，但針對保險用戶的姓名、性別等基本資料信息，如果同樣按照敏感個人信息的保護標準執行，可能會給保險機構帶來不小的業務合規成本，在形成資源浪費或因為需要取得“單獨同意”而頻繁打擾用戶的同時，甚至會對保險業平穩健康發展造成一定阻滯。

（四）關于保險業個人信息傳輸跨境提供的問題

在數字化時代，數據安全與國家安全息息相關，在當今數據管轄權沖突日益激烈的國際環境下，實現數據依法合規的跨境流動是行業主管部門必須要履行好的監管職責。而保險公司在業務經營過程中，不可避免會涉及個人信息跨境提供行為，這一情況往往出現在境外再保險、外資保險公司與母公司交互個人信息、高端醫療海外就醫等場景，但對下述關鍵問題尚無定論。

一是個人金融信息是否可以出境還不明確。現有金融相關立法以“不出境為原則、出境為例外”作為基本監管思路，僅有上海、廣東等部分地區的金融規范性文件根據實際情況作出了允許金融機構向境外總公司、母公司或分公司、子公司及其他為完成業務所必需的關聯機構提供個人金融信息的除外規定。

二是關于保險業“關鍵信息基礎設施運營者”的認定。在現有法律體系下，關鍵信息基礎設施運營者的個人信息及重要數據處理活動受到了尤為嚴格的限制與關注。保險業作為金融領域的關鍵組成部分，其網絡設施、信息系統一旦遭到破壞、喪失功能或者數據泄露，就可能嚴重危害國家安全、國計民生、公共利益。但現階段的金融行業監管規則尚未對“關鍵信息基礎設施運營者”進行明確界定，對如何認定保險行業的“關鍵信息基礎設施運營者”尚無定論，導致大量面臨數據出境的保險機構難以準確判斷自身定位，無法確定是否需要按照“關鍵信息基礎設施運營者”的監管標準開展個人信息出境業務。

三是如何進行個人信息的出境安全評估工作。《個人信息保護法》《網絡安全法》等均對個人信息出境提出了安全評估要求，但基于目前網信辦、國家金融監督管理總局和人民銀行多頭監管金融業個人信息保護的格局，尚未明確主管部門和制定個人信息出境的具體規則，包括具體評估的實施主體、評估的流程與方式等。

總體而言，由于監管規則的空白與模糊，現有保險業的數據出境活動仍然處于一種“粗放派”與“謹慎派”并存的局面。如果監管規則一直難以明確，“粗放派”的信息“濫”出境或是“謹慎派”的跨境業務開展遇阻，均不利于形成我國保險業務國際化發展的新局面。

三、保險業個人金融信息保護的監管法治完善建議

（一）建立健全保險業多層次個人金融信息保護法治體系

在我國深化保險業數字化轉型的時代背景下，完善保險業個人信息保護立法，是加強監管、保護保險消費者合法權益的重要任務。尤其是近年來，監管規則的長期缺位、滯后，導致實踐中保險業個人信息保護亂象頻生，更彰顯了完善保險業個人信息保護立法的急迫性。通過考察域外法可以發現，歐盟、美國等對個人金融信息保護的立法軌跡基本遵循了從“民法基本權利保護”到“專門法律保護”，再到“具體領域保護”的法律規范遞進層次路徑。在本輪《保險法》修訂中，建議借鑒上述法治邏輯將個人金融信息保護全面納入法治化軌道，一方面，做好《保險法》與《個人信息保護法》的銜接；另一方面，將實踐中已經較為成熟的行業規則或標準，及時上升到法律層面，解決行業監管無法可依的局面。

第一，在法律層面，應在本輪《保險法》修訂中全面體現個人信息保護的要求。《保險法》作為保險行業監管法律體系的核心大法，在本輪全面修訂的過程中，一是應確立個人金融信息保護的基本原則，如知情同意、“最小必要”、信息質量、數據安全等原則應在法律層面予以明確。二是應對監管權力配置作出規范，順應本輪金融監管機構改革的要求，加強國家金融監督管理總局在保險業個人信息保護行為監管中的主導地位，明確各監管部門的功能配置和職能劃分，避免重復監管或監管空白。三是豐富監管部門的個人信息保護監管工具箱，提升個人信息保護方面監管工具的豐富性與科學性，如賦予國家金融監督管理總局對互聯網平臺公司的延伸監管權等。

第二，在部門規章層面，一是建議與上位法做好銜接，著力增強保險業個人信息保護的可操作性和可執行性，豐富個人信息保護規則的操作細節。二是建議消除監管規則與上位法的抵牾之處。鑒于在《個人信息保護法》生效前，保險業監管部門為應對實踐需要所制訂的部分關于個人信息保護的規定與上位法沖突，對此應在尊重上位法的基礎上及時予以調整。三是建議在實踐較為成熟的情況下，將實踐中適用效果好、合規保障性高的行業規則上升為監管部門規章，并適時出臺《保險業個人信息保護管理辦法》，或將個人信息保護與數據治理監管規則統合出臺專門規定。

第三，在行業組織及行業規則層面，基于大數據應用的技術性特征，建議盡快由行業主管部門指導行業自律組織，牽頭聯動各類技術檢測、智能應用、數據開發及應用機構，加快推進保險業的個人信息保護行業標準和技術規范的制定，明確個人信息應用的安全機制及規范化管理機制等，并推動挑選部分保險機構“先行先試”，在此基礎上對行業標準及技術規范進行優化升級，以更好地貼合金融行業的實踐應用。

（二）完善“最小必要”原則，以維護金融消費者合法權益

“最小必要”原則應用并體現在個人信息處理活動的各個環節，包括收集、使用、存儲、加工等。但如何判定個人信息處理的“最小必要”范圍，需要根據具體產品及服務的特性進行判斷，并考量個人信息處理與功能目的的強關聯性和匹配性，以及特定的行業監管要求。

本文建議進一步結合保險業務及功能特色，通過部門規章、行業標準等多種形式對保險業的主要業務場景、功能環節等個人信息處理活動的“最小必要”原則，甚至是具體范圍進行明確。例如，為辦理實名制登記收集個人信息的，應要求從業機構參照《個人保險實名制管理辦法（征求意見稿）》對實名信息的限定，僅收集“投保人、被保險人、受益人的姓名、身份證件類型、證件號碼、證件有效期和所辦理保險業務的種類、基本內容、投保人實名繳費信息”，不應擅自擴大實名信息的收集或使用范圍。同時，保險機構如需要超出上述具體范圍額外收集保險消費者個人信息的，應就其超出范圍外收集個人信息的原因、種類、擬進行的處理方式、存儲或刪除時點等向相關主管部門進行特別報備，并向金融消費者進行特別提示、告知并獲得其同意，從而保障保險機構不存在超出必要范圍之外濫收、濫用個人信息之情形。

（三）完善“公平定價”規則，以應對自動化決策下的“大數據殺熟”

在對自動化決策這把雙刃劍的監管規制中，既要避免過分個性化的保險費率導致損害保險消費者合法權益，又要避免機械適用、千人一面的保險費率導致定價錯位，進而對其他低風險被保險人造成更大的不公平。這一問題在人身險領域因交易對象和交易標的競合而顯得更為復雜。

建議在《保險法》修訂中，參考《銀行保險機構消費者權益保護管理辦法》，明確關于公平定價的原則性規定。在具體監管規則中，應根據《個人信息保護法》對自動化決策的合規要求，就有關遵循公開透明原則、事前進行個人信息安全影響評估、賦予用戶選擇或拒絕的權利、對個人權益有重大影響的決定應保障用戶的解釋權和拒絕權等內容作出規定。同時，結合保險產品相較普通產品在定價、交易模式上的特殊性，應進一步細化算法推薦、自動化決策的規制在保險領域的適用。可以參考《互聯網信息服務算法推薦管理規定》對算法推薦服務提供者提出的備案手續要求，探索建立保險業領域的保險產品風險定價算法備案機制，要求保險機構在使用用戶信息算法畫像提供保險服務時，提前履行報備手續，并由監管部門對該類算法是否可能涉及“大數據殺熟”，是否會損害保險消費者權益進行統一判斷及調度。對于無正當理由對交易條件相同的交易相對人實施差別待遇的保險算法機制，需勒令保險機構退回重改，不得上架應用。

（四）完善保險業個人信息分級保護規則，以促進行業健康發展

對于個人信息的分級保護與使用，應充分考慮保險行業和個人信息的特殊性，促進“保護個人信息權益”和“個人信息合理利用”這兩項立法原則相協調。根據法經濟學理論，不宜簡單將保險業務中所有個人信息都作為敏感個人信息加以保護。而應基于《個人信息保護法》中對于敏感個人信息的判斷標準，即“具有高概率的致害風險”，并結合一般公眾的認知常識、習慣，來判斷該信息是否具有敏感性。對于具有敏感性的信息，應根據不同的敏感程度予以區分保護。

在具體的立法構造上，建議在《保險法》的修訂中明確個人信息的分級保護原則，對于敏感個人信息應予以傾斜保護。在下位監管規定中，建議對個人基本信息與敏感個人信息作出區分，要求保險公司建立個人信息分級保護制度，對個人信息視其敏感程度建立不同的安全保障體系。同時，借鑒中國人民銀行發布的金融行業推薦性標準《個人金融信息保護技術規范》相關內容，類似將個人金融信息按照安全影響程度不同劃分為C1、C2、C3 三個標準，可以將保險業務中收集的敏感個人信息依據“致害風險+風險概率”的不同，劃分為不同的敏感等級，并分別規定不同的保護措施。例如，對于敏感級別高的個人信息，如保險賬戶的登錄密碼、交易密碼、用戶個人生物識別信息、醫療健康信息等，在收集、傳輸、使用的過程中應嚴格加密處理等，以管理辦法或監管指引等具有強制性的規則強化保險機構對于個人信息的分級保護義務。

（五）完善“信息跨境傳輸”規則，以保障金融數據安全

在我國金融業對外開放程度不斷加深的時代背景下，數據的跨境流動是大勢所趨。2020 年，我國與東盟十國及日本、韓國、澳大利亞、新西蘭共同簽署《區域全面經濟伙伴關系協定》（Regional Comprehensive Economic Partnership，RCEP），已基本認可目前國際普遍提倡的“提供個人金融數據跨境流動便利，消除不必要的數據流動阻礙”的通用規則。在《保險法》層面，建議在確保數據主權安全的前提下，大膽破除目前嚴苛的個人信息本地化限制，原則性地規定保險機構可以在確保個人信息安全的前提下跨境傳輸個人信息，以順應我國保險業對外開放的趨勢，提升我國保險機構的國際競爭力。

在具體的監管規則上，建議明確個人信息出境的主管部門與具體規制措施，一是建議參考系統重要性程度、保費規模等因素，要求我國一定規模以上的保險公司按照“關鍵信息基礎設施運營者”的監管標準開展個人信息出境業務。二是建議與前文所提及的個人信息分級保護制度相結合，構建靈活多樣的保險業個人信息出境安全評估模式，對于較不敏感的個人信息，可以適當放寬出境條件，例如，在經過保險公司內部安全評估和個人信息主體明示同意后即可出境；對于較為敏感的信息，則應經由監管部門安全評估后方可出境。三是建議參照域外，如歐盟《數據保護通用條例》，將個人信息跨境傳輸置于不同場景區別保護和對待，增加更多可以實現保險業個人信息跨境傳輸的條件情形。四是鑒于保險數據安全對于我國的金融安全、國家安全具有重要意義，即便滿足個人信息出境條件，各信息提供主體仍應采取各項措施敦促、約束境外接收方承擔保護個人信息的責任與義務，采取防范信息泄露風險的技術和管理措施，以確保我國的金融安全以及金融消費者的個人信息安全。

四、結論

在全面數字化轉型的新時期，對保險業個人信息的保護是事關金融消費者權益保護和數據治理的重要問題，構建保險業個人信息保護的監管法治框架僅為完善全鏈條治理體系的一個重要前提。除此之外，監管部門、行業自律組織與保險公司作為保險市場的共同參與主體，還需在以下幾方面同向發力：

就監管端而言，建議一是延伸監管范圍至為保險機構提供保險產品銷售的互聯網平臺等渠道，完善保險業個人信息保護的全鏈條監管體系；二是加大監管力度，進一步開展有關個人信息保護的專項檢查并加大處罰力度，對于情節嚴重的違規行為探索直接適用《個人信息保護法》第六十六條第二款進行處罰；三是加快構建智能化的監管體系與平臺，順應保險業數字化轉型的趨勢。

就行業自律組織端而言，建議一是充分發揮行業自律組織的牽頭作用，設置擔負個人信息保護職責的專業委員會，定期研討數字化轉型中個人信息保護的前沿問題；二是出臺個人信息保護相關內容的行業自律公約，加強自律督促；三是加快配置金融行業內安全可控的官方數據平臺，確保個人信息的安全規范使用，集中進行個人信息加密安全性、脫敏效果檢測等。

就保險公司端而言，建議一是建立以DPO（Data Protection Officer）為核心的個人信息保護合規體系；二是構建標準化的個人信息保護閉環管理流程體系，嚴格信息系統的操作權限，強化個人信息保護的剛性約束機制等；三是厚植依法經營意識與合規文化，提升從業人員尤其是保險代理人的個人信息保護意識，將個人信息保護要求納入績效考核體系，落實第一道防線職責，切實做到依法合規經營與保護保險消費者合法權益。