UBI車險中個人信息保護的挑戰與完善

中圖分類號：D922.1 文獻標志碼：A 文章編號：1009-055X（2025）04-0093-13

doi：10.19366/j. cnki.1009 -055X. 2025.04.008

一、問題的提出

大數據和算法技術的迅猛發展推動了車聯網①向車險行業滲透，再加之近年來多輪車險綜合改革所營造良好的政策環境，共同為UBI（usage based insurance 或 user behavior insurance）車險的落地創造了有利的市場、技術、政策條件②。UBI車險的基本運行原理是：駕駛行為評分取決于駕駛者實際駕駛的時間、地點、具體駕駛方式等指標，駕駛行為安全的用戶應該獲得保費優惠。UBI車險的基本運作流程為：投保人使用由車聯網服務提供商開發的車聯網終端硬件設備，對駕駛數據進行收集，所獲數據經過車聯網云平臺處理、分析③后提供給保險公司；保險公司將該數據作為制定保費的依據，向投保人提供差異化的保險費率與個性化的保險服務。UBI車險有三個方面的正向效應：一是保險公司可以準確評估用戶駕駛行為風險，并針對不同風險水平來確定個性化、差異化的車險費率，實現保費與風險的對價平衡，降低保險公司和投保人的交易成本；二是保險公司可以借助用戶駕駛行為評分結果，有效識別欺詐風險，增強風險防控能力；三是用戶駕駛行為評分結果可以及時反饋到用戶的智能手機App 或其他車載設備上，存在不良駕駛行為的用戶將被提醒、警告和糾正，有助于降低交通事故概率[1]。

但是，技術也是一把雙刃劍。數字技術賦能車險行業快速發展的同時，若欠缺有效的規制和監管，將會引發個人信息安全風險，對車險消費者個人信息權益造成損害。如何既推動UBI車險盡快落地、分享數字技術紅利，又規范保險人、車聯網服務提供商的個人信息處理活動，保護保險消費者個人信息權益，從而實現UBI車險中個人信息保護與利用的平衡？當前，學界對這一同時涉及個人信息保護、保險、消費者權益保護等多個領域的問題缺乏足夠的探討。國外對UBI車險中信息安全和隱私保護的研究起步較早，如Bocsok 等[1]、Garry等[2]、Landini[3]等學者10 多年前已開展相關研究，并取得了一定的研究成果，而國內對UBI車險中個人信息保護的研究尚不多見。孫宏濤等[4]在論證我國UBI車險制度構建時認為，應規范對用戶駕駛信息的收集和數據使用行為，保障車險消費者的合法權益；朱家稹5剖析了車聯網環境下，UBI車險中數據告知和保護機制的困境，并從保險和車險數據安全風險防范兩條路徑提出相應的化解建議；韓長印等在分析UBI車險模式對既有車險法律規范重構的基礎上，提出應嚴格規范保險人的信息收集行為，對復雜的費率厘定方案要盡到說明義務。上述研究雖注意到UBI車險運營中的信息處理可能會導致保險消費者權益侵害的問題，但并未與個人信息保護的法律制度形成整體性勾連，缺乏對UBI車險中個人信息保護實際困境的深入分析。而隨著《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）的施行，對其在不同個人信息處理場景中適用問題的考察也已成為研究的重點。因此，UBI車險可以成為個人信息保護場景化研究的一個切入點。

二、UBI車險中個人信息保護的價值意涵

UBI車險中個人信息保護的價值目標包括糾正投保人與保險人、車聯網服務提供商之間的信息不對稱、矯正相對人權利與算法權力的失衡關系、平衡個人信息保護與利用的內在張力等。

（一）糾正投保人與保險人、車聯網服務提供商的信息不對稱

保險較之于普通商事交易具有特殊性，鑒于投保人掌握保險標的風險信息的相對優勢，保險法設置了投保人如實告知義務規則①。但在UBI車險場景中，保險公司作為信息處理者，需要且可以處理大量有關保險標的、保險消費者的數據信息②。例如，保險人可以依托車聯網和大數據技術，利用車載設備記錄、采集保險標的風險信息，形成多維的保險消費者風險畫像。由此，傳統車險中投保人掌握保險標的風險信息的優勢徹底扭轉。UBI車險的應用還將不可逆轉地加劇投保人與保險人、車聯網服務提供商之間的信息不對稱，投保人告知義務規則的正當性基礎受到挑戰[6]。

相對于傳統保險而言，雖然UBI車險理論上更能實現對價平衡，有利于促進公平交易，但在數字經濟時代，傳統保險模式下的保險人與投保人之間的雙向信息不對稱，也有可能轉化為保險人處于絕對優勢地位的單向信息不對稱。保險當事人之間信息關系的不平等性體現于其個人信息處理關系的明顯不平衡，注定了對價平衡原則難以真正實現。因此，新興技術產生的負外部性需要法律適時規制，投保人與保險人、車聯網服務提供商之間信息不對稱的情勢也需要法律加以糾正。

（二）矯正相對人權利與算法權力的失衡關系

在數字時代背景下，數據權力包括兩種類型：一是國家機關及其他行使公共職能的組織在數據處理中擁有的“公共數據權力”，二是大型私營機構基于其掌握的數據資源和技術所擁有的“準數據權力”8]。算法權力是數據權力在自動化決策過程的體現，是數據控制者或信息處理者①在某項具體決策中形成的壓迫性或支配性權力，是相對于算法相對人權利而言的。就UBI車險模式而言，保險公司和車聯網服務提供商在數據占有、控制和處理方面，相對于投保人具有一種“壓迫性力量”，這種力量可歸屬于“準數據權力”。在車險費率厘定這一自動化決策環節，保險公司和車聯網服務提供商基于前期收集和控制的數據對用戶形成駕駛行為進行評分，以此厘定個性化的車險費率。此時，“準數據權力”具象化為算法權力。自動化決策弱化甚至剝奪了算法相對人在普通民商事活動中的公平議價能力，導致算法權力與相對人權利之間的失衡態勢。如果法律規范缺位或者法律實施的效果不彰，任由失衡態勢發展，可能會導致至少四個維度的權益受到侵害：一是消費者權益保護法上的保險消費者權益；二是個人信息保護法上的個人信息權益；三是民法上的人格權；四是憲法上的基本權利。這樣的劃分僅僅是出于表述的層次性，四個維度之間是相互交叉而非相互獨立，很難籠統地認定個人信息權益是一項民事權利或公法權利，也不能否定消費者權益具有憲法上基本權利的性質。面對自動化決策可能產生的相對人權利與算法權力失衡現象，《個人信息保護法》做出了針對性回應。例如，《個人信息保護法》第二十四條第一款規定了算法使用者的透明度義務和禁止不合理的差別待遇，第二十四條第二款規定了算法使用者向相對人進行信息推送、商業營銷時算法相對人的自主性保障義務，第二十四條第三款規定了算法相對人要求算法使用者予以說明的權利和對完全自動化決策的拒絕權，第五十五條規定了算法使用者利用個人信息進行自動化決策時的事前個人信息保護影響評估制度。但是，在UBI車險場景中，對算法權力與相對人權利失衡的矯正，不能僅僅依靠個人信息保護法，還要與保險法、消費者權益保護法等法律規范形成合力，實現UBI車險中個人信息保護法律規范的銜接和整合。

（三）平衡個人信息保護與利用的內在張力

信息的有用性或利益性是個人信息保護的邏輯前提和法益基礎。有學者認為，在當下數字社會，個人信息的價值只有在運用過程中才能充分體現，對個人信息的保護必須兼顧個體利益以及數據產業、數字經濟發展等社會公共利益[9]。個人信息保護與利用猶如一枚硬幣的兩面，很難將二者完全分離。從國外立法例看，歐盟《一般數據保護條例》在開篇闡釋立法目的時，就體現出平衡個人數據保護與數據自由流動的主旨，明確規定不能以保護數據處理中的相關自然人為由，對歐盟內部個人數據的自由流動進行限制或禁止②。美國《2020 年加州隱私權法》在對消費者隱私權保護作出規定的同時，也注意對企業和創新的影響③。我國《個人信息保護法》更是開宗明義地強調，要保護個人信息權益和促進個人信息合理利用④。技術進步導致信息獲取渠道與信息數量的增加，也使保險人在相當程度內打破了投保人對保險標的風險信息的控制地位，而保險營業方式此時亦發生了明顯轉變[10]。在保險合同締結過程中，保險人需收集、處理大量保險消費者的個人信息。而在UBI車險模式中，對與用戶駕駛行為相關的個人信息的合理利用可以有效促進UBI車險發展，增強市場滲透率。就保險消費者而言，個性化、動態化的車險費率可以最大程度符合對價平衡原則，有利于解決城市限號、網約車保險拒賠等難題[6；保險公司反饋給用戶的駕駛行為評分結果還可以幫助用戶改善駕駛行為，降低交通事故發生概率。就保險公司來說，個性化的車險費率有助于中小險企充分利用企業資源，降低交易成本，在激烈的市場競爭中贏得一席之地[4]。UBI車險的應用能惠及投保人和保險人雙方，但在資本逐利本性的驅動下，又始終伴隨著保險消費者個人信息被濫用的風險。倘若缺乏有效的法律規制，UBI車險中個人信息權益侵害現象可能會呈現多發性，導致消費者對產品和行業的不信任，并出現市場“逆向選擇”或“寒蟬效應”[2]，最終制約UBI車險的正常發展。為避免這些現象出現，法律制度設計應力求實現個人信息保護與利用之間的平衡，而不是因噎廢食地限制或禁止對保險消費者個人信息的處理。易言之，唯有個人信息得到妥適的保護，才能贏得消費者的信任，消費者才會自愿讓渡部分個人信息作為實現便利生活的對價，不同行業個人信息的利用才能有序進行[1]。

三、UBI車險中個人信息保護的現實困境

目前，我國UBI車險中個人信息保護面臨路徑層面上公法保護與私法保護的分歧，規范層面上法律規范的零散性、低階性和滯后性，以及實踐層面上監管機構、監管理念和監管方式的滯后性等現實困境。

（一）路徑層面：公法保護與私法保護存在分歧

作為個人信息保護的具體場景之一，UBI車險中個人信息保護在路徑選擇上受制于個人信息保護的基本模式。《個人信息保護法》施行以來，一系列對其加以貫徹實施的法規、規章和規范性文件已陸續出臺。而在此前已有《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國民法典》（以下簡稱《民法典》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）等基于不同立法目的但與個人信息保護相關的法律規范，總體上，我國個人信息保護法律體系日益完善和健全。但目前學界對我國個人信息保護應采取何種基本模式仍有較大分歧。民法學者多傾向于先將個人信息權界定為民事權利，而后由此推導出信息處理者的民法義務，把民事法律作為個人信息保護的基本手段，將《民法典》規范作為個人信息保護領域的基本規范。此為個人信息保護的私法模式。公法學者提出了與之不同的構建邏輯：將個人信息受保護權設定為憲法上的一項基本權利，由此推導出對應的國家保護義務，從公法上對信息處理者提出合規要求，實現行政法、刑法、民法的多重保護[12]。此為個人信息保護的公法模式。

追本溯源，此種分歧的源頭在于我國個人信息保護的權利基礎尚不夠明確。無論從學理層面，還是從制度規范層面來考察，個人信息保護究竟是以基本權利還是民事權利作為權利基礎仍懸而未決，因此產生公法保護與私法保護的模式分歧，這種分歧勢必造成不同場景中個人信息保護路徑選擇的困難。UBI車險中個人信息通常涉及車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等敏感個人信息，對這些個人信息的處理需在符合《個人信息保護法》第二十八條至第三十條規定的同時，還要盡可能發揮其效用，促進UBI車險產業的發展，這就需要平衡好個人信息保護與利用的關系。而在具體的制度設計上，是選擇公法、還是私法，或者公私法協同的保護路徑，就成為一個不可回避的問題。

（二）規范層面：法律規范存在零散性、低階性和滯后性

當前，UBI車險中個人信息保護的相關法律規范呈現出較為明顯的零散性、低階性和滯后性，導致UBI車險中個人信息保護監管執法的規范依據較為模糊，制約了UBI車險的市場化發展。為了較為直觀地說明問題，筆者對我國18部相關法律、規范、政策和標準的制定目的、具體條文和效力屬性進行了梳理，具體見表1。

1.零散性

如表1所示，UBI車險中個人信息保護涉及不同規范形式和效力層級的法律、部門規章、規范性文件、政策性文件、國家標準、行業標準、團體標準和行業協會標準，呈現出明顯的零散性，且缺少相應的行政法規、地方性法規，法律規范的效力層級出現一定斷層，法律規范的體系性和連貫性有待進一步加強。《中華人民共和國消費者權益保護法》（以下簡稱《消費者權益保護法》）、《中華人民共和國電子商務法》（以下簡稱《電子商務法》）、《網絡安全法》《數據安全法》分別基于消費者權益保護、電子商務行為規范、網絡安全保障、數據安全保障等立法目的，設置了相應的個人信息保護條款，但由于其單行法的性質，無法對UBI車險中的個人信息處理行為施以針對性的規制。從行業性對口規制的角度，UBI車險中的個人信息保護理應由保險法部門加以規定，但最近一次修正的《保險法》（2015年修正）僅在第一百一十六條第（十二）項從商業秘密保護的角度對投保人、被保險人的特定個人信息加以保護。與《保險法》相比，2020年出臺的《互聯網保險業務監管辦法》第十八條、第三十八條對保險人的個人信息處理行為作出了更加細化的規定①。但是，保險行業領域至今仍沒有一部專門規定個人信息保護的法律、法規或規章，甚至連規范性文件都沒有②。這暴露出我國在保險業個人信息保護立法方面行動遲緩，監管執法和司法方面缺乏具體的、具有可操作性的規范依據和行為指引。保險業個人信息保護專門性規范的缺失，會導致個人信息保護法律制度的整體性與保險業個人信息保護的特殊性之間的協調困境。現有規范的散亂分布也會導致不同行業單行法對同一問題的規定存在沖突，不僅不利于司法機關及行政執法機關準確適用相關規定來解決個人信息保護方面的爭議，也不利于保險消費者個人信息權益的有效保護[9]。

2.低階性

目前，在各類規范形式中僅有保險行業協會出臺的《機動車保險車聯網數據采集規范》對UBI車險個人信息保護做出了直接的、針對性的規定，但其僅屬于自律性規范，效力層級有限。從關聯性規定的角度，《汽車數據安全管理若干規定（試行）》《關于加強車聯網網絡安全和數據安全工作的通知》《個人金融信息保護技術規范》在分別對汽車數據、車聯網數據、個人金融信息處理作出規定時，間接涉及UBI車險中個人信息的處理與保護問題，但其中效力層級最高者僅為部門規章。由于《個人信息保護法》和《民法典》“個人信息保護條款”的相關規定呈概括性和抽象性特征，而規章、規范性文件、政策性文件、行業標準等雖然對UBI車險中個人信息保護作出詳細且有可操作性規定，但效力層級較低，所以中間缺少起承上啟下作用的行政法規。概言之，法律規范的效力層級的斷層，導致具體規定在與位法的銜接方面有所不足，UBI車險中的個人信息保護面臨合法性依據不足的困境。

3.滯后性

UBI車險中個人信息保護法律規范的滯后性主要體現于兩個方面：一是保險法規范的滯后性。《保險法》第一百一十六條第（十二）項規定，保險公司及其工作人員在保險業務活動中不得泄露在業務活動中知悉的投保人、被保險人的商業秘密。該項對投保人、被保險人相關個人信息的保護仍停留在傳統商業秘密保護框架內。但是，在數字經濟時代，傳統的商業秘密保護路徑已無法應對日益嚴峻的個人信息侵權形勢。此外，傳統保險法中的投保人如實告知義務規則已然不適應UBI車險場景中投保人與保險人、車聯網服務提供商之間信息關系的不平等性。UBI車險中保險人依托車聯網和大數據技術形成強大的信息收集能力，在獲取和掌握保險風險信息方面占據絕對優勢，如果仍將如實告知義務課以投保人，顯然有失公平[7]。

二是現有法律規范無法充分適應保險業個人信息保護的特殊性。保險行業具有特殊性，兼具商業營利屬性與社會保障屬性，保險行業的個人信息權益的構造和個人信息保護法律規范的建構需充分考慮這種特殊性[13]。保險活動涉及的個人信息處理與普通商業活動不同，保險消費者亦有別于普通消費者，其個人信息權益可能會受到一定程度的克減，理想的權能設置可能介于純商業性利用和純公益性利用之間。《個人信息保護法》和《民法典》作為個人信息保護的基礎性法律框架，相關條款抽象性和概括性較為明顯，無法兼顧到保險業個人信息保護的特殊性，而《消費者權益保護法》作為單行法，也不能滿足保險消費者個人信息權益保護的特殊要求。與普通保險相比，UBI車險又具有特殊性，在其個人信息保護具體制度設計上，應充分考慮UBI車險的特殊性，個人信息保護的一般性規定適用于UBI車險時需要進行場景化、具體化的解讀[14]。換言之，應當在明確個人信息保護基本價值的基礎上，根據個人信息保護法與保險法規則的適配性，對UBI車險中個人信息保護進行特別法層面的針對性設計[15]。

（三）實踐層面：監管機構、監管理念和監管方式存在滯后性

UBI車險是保險數字化轉型的產物，它的應用同時給保險監管和個人信息保護監管帶來新的挑戰，目前相關的監管實踐在應對新挑戰時暴露出監管機構、監管理念和監管方式上的滯后性。

1．監管機構的滯后性

根據《個人信息保護法》第六十條的規定，國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作，國務院有關部門（如保險業監管部門）在其職責范圍內負責個人信息保護和監管工作，兩者均屬于履行個人信息保護職責的部門。從個人信息保護的專業性角度言之，國家網信部門履行個人信息保護工作的統籌協調職能具有較強的合理性；從保險活動的專業性，尤其是UBI車險的專業性角度言之，保險監管部門①作為監管主體也有相當合理性，《保險法》第一百三十三條也規定由保險監督管理機構對保險業實施“一站式”監管。但對于UBI車險中個人信息保護這一橫跨兩個行業領域的問題，如果網信部門和保險監管部門缺乏整體協調性，而形成二元監管模式，將可能導致監管效能低下，難以有效應對UBI車險復雜化、專業化的個人信息處理活動。

2.監管理念的滯后性

目前，監管機構難以適應保險數字化轉型發展的新形勢，對如何防范化解風險和推動創新還沒有形成行之有效的監管策略，監管的理念和思維有待進一步調整和更新。現有的保險業監管框架仍基于傳統保險公司的業務結構、產品模式和運營模式，面對保險數字化轉型時表現出明顯的不適應性。隨著新技術向保險業不斷滲透，包括產品設計、定價、銷售、理賠等在內的幾乎所有保險環節都在被重塑，這種重塑也給保險監管帶來了較大挑戰[16]。一方面，在監管重心上，目前保險業監管機構側重對市場競爭和定價風險的管控，對個人信息保護的監管相對不足。監管重心的偏差，再加上監管機構的二元性，兩相交織，容易導致不同監管機構的監管重心產生錯位，進一步加劇監管不力的困境。另一方面，監管機構對保險消費者個人信息保護的監管傾向于消極保護，即確保信息安全，防止信息泄露濫用①。例如，《中國人民銀行金融消費者權益保護實施辦法》第二十九條第一款規定，銀行、支付機構在處理個人金融信息時，不得收集與業務無關的消費者金融信息，不得采取不正當方式收集消費者金融信息，不得變相強制收集消費者金融信息。這與《個人信息保護法》強調信息主體的主動性權利、救濟性權利的立法理念和價值取向不完全契合。

3.監管方式的滯后性

UBI車險中個人信息處理過程的復雜性、專業性和不透明性，在加大投保人與保險人、車聯網服務提供商之間信息鴻溝的同時，也加劇了監管機構與監管對象之間的信息不對稱。這也使得監管方式呈現出明顯的滯后性，造成執法效果欠佳的困境。在互聯網快速發展的大背景下，行政管理部門與管理對象之間出現明顯的信息不對稱現象，監管能力滯后，獲取證據難、固定證據難、處罰難、勝訴難，影響執法效果[17]。其中，以算法決策或自動化決策環節中的技術復雜性、程序不透明性和邏輯難以理解最為凸顯，監管機構的監管方式已難以完全適應由數據和算法驅動的UBI車險費率厘定方式。UBI車險費率厘定通常依靠自動化決策的方式完成，如果監管機構沒有配備熟悉算法技術和算法決策相關程序、邏輯和原理的專業技術人員，往往無法準確對監管對象的違法性或合規性作出認定。

四、UBI車險中個人信息保護的完善

鑒于UBI車險中個人信息保護在路徑、規范和實踐層面的現實困境，筆者認為應首先確立公法為主、私法為輔的公私法協同模式，進而整合UBI車險個人信息保護相關規范，并重塑UBI車險個人信息保護的監管機構、監管理念和監管方式，實現UBI車險發展性與安全性的平衡。

（一）UBI車險個人信息保護宜采取公法為主、私法為輔的公私法協同模式

個人信息保護的核心問題在于如何更好調整信息主體與信息處理者之間不平等的信息關系。信息關系是指圍繞信息而產生的一切社會關系，包括信息權屬以及在交易、保護、公開、管理、安全防范等過程中產生的社會關系。信息關系以信息為直接客體，根據所包含的內容的不同，可分為信息權屬關系、信息交易關系、信息保護關系、信息公開關系、信息管理關系和信息安全關系[18]173。在UBI車險場景中，信息關系的不平等性決定了個人信息保護法律關系的不平等性，而信息關系主體的多元性決定了個人信息保護法律關系主體的多元性。因此，宜采取公法為主、私法為輔的公私法協同保護模式對個人信息進行保護。

首先，信息關系的不平等性決定個人信息保護法律關系的不平等性。通常情況下，個人信息保護法律關系主體包括兩方：一方是作為信息主體的自然人，另一方是作為信息處理者的商業實體、第三方服務機構或公共機構。個人信息保護法律關系顯著區別于平等主體間的民事法律關系[19]。人類已經從信息社會邁入智慧社會②，智慧社會引發社會結構和社會關系的變革，在信息主體與信息處理者之間出現了信息關系的不平等，特別是商業實體、第三方機構以及公共機構處理個人信息時與信息主體之間呈現出明顯的非對稱權力結構。美國《2020 年加州隱私權法》對此有所關注。例如，該法第二條F項規定：這種信息不對稱使消費者難以理解他們正在交換什么，從而難以與企業有效地進行談判。在其他經濟領域，消費者可以一目了然地了解一件商品或服務是否昂貴、價格是否合理，而不同的是，當企業在數據使用上的實踐差異很大時，消費者無法知曉他們的個人信息對某一企業的價值。在UBI車險場景中，保險公司、車聯網服務提供商和投保人之間處于一種持續性不平等的法律關系。在技術和市場的雙重作用下，保險公司和車聯網服務提供商等大型數據處理者擁有了“數據權力”，這種權力源于對用戶個人信息的處理，結果也指向用戶。面對這種強大的“數據權力”，個人私權的對抗力顯得微不足道，需要引人基本權利，激活相應的國家保護義務，以國家保護之力應對大型數據處理者的“數據權力”[20]。

其次，信息關系主體的多元性決定個人信息保護法律關系主體的多元性。在數字經濟時代，信息關系主體結構的變化主要表現為信息關系主體的多元化、持續性信息關系的復雜化和個人信息保護法律關系的復雜化，這也導致了個人信息權益侵害的風險增加。《個人信息保護法》對個人信息保護法律關系的復雜化作出了回應。例如，《個人信息保護法》第二十條規定的共同處理和第二十一條、第五十九條規定的委托處理。在域外法中，歐盟《一般數據保護條例》明確區分數據控制者和數據處理者，規定了不同的合規義務；美國《加州消費者隱私法》和《2020 年加州隱私權法》也對企業、服務提供商和承包商進行了區分，對三者分別規定了不同的義務①。在UBI車險運行模式中，車聯網服務提供商成為新的法律關系參加者，傳統保險法律關系中投保人與保險人二元博弈的主體架構發生了變化，UBI車險中個人信息保護法律關系呈現保險人、車聯網服務提供商、投保人的三方格局。是否可以將車聯網服務提供商一類的第三方服務機構認定為個人信息的“共同處理者”“委托處理者”或其他類別主體，仍有待相關法規、規章或規范性文件加以確認，或結合具體案例進行認定。

將法律分為公法和私法是人類文明發展的重大成果。公法與私法的區別也是現今整個法秩序的基礎[21]33。在此前提下，法律關系的性質得以確定，法律規范、制裁手段或救濟方法以及訴訟程序才得以適用。針對個人信息保護法律關系的不平等性，調整這種不平等法律關系的法律規范與制度具有應然的公法屬性，UBI車險中個人信息保護法律體系應以公法規范和公法制度為主體。當民事保護工具和社會自治機制無法對“持續性不平等關系”實現有效調整時，行政處罰的特殊價值方就得到彰顯[22]。因此，本文認為，應首先把基本權利確立為個人信息保護的權利基礎，以此作為UBI車險中個人信息保護法律體系的根基。圍繞基本權利，設置既能保護信息主體權益又能促進個人信息合理利用、有效平衡公益與私益的公法規范和制度，對個人信息處理者課以合規義務。不過，也應注意到公法保護模式存在的明顯局限。例如，以行政執法為主要規制手段，側重追求效率，因而只適合處理明顯違法違規情形，疑難復雜情形還需信息主體啟動民事訴訟途徑加以解決[20]；再如，受制于監管部門與監管對象之間的信息不對稱，取證和處罰面臨困境；同時，還可能存在執法力量不均衡，臨時性強、連貫性弱，激勵不足等問題。因此，不能完全忽視私法保護模式的應有功能。另外，也不能不注意到私法規制模式的局限性，其更多關注個人信息處理過程中民事權益的保護，強調維持個人對信息的自決和控制，以及建構一種個人信息排他使用的私法秩序，因此容易忽視個人信息基于交互共享而產生的公共價值，以及對主動防御新型公共風險的現實需要[22]。考慮到私法規制路徑存在的弊端，不宜將其作為UBI車險個人信息保護的主要手段。

綜上，UBI車險中的個人信息保護適宜采取公法為主、私法為輔的公私法協同保護模式，反之則不宜。信息主體在其個人信息權利遭到侵害時，可以通過多種手段尋求救濟。

（二）整合UBI車險個人信息保護相關規范

法律規范的完備與協調是行業發展的基礎性保障。UBI車險的良性發展離不開完備協調的法律規范體系。具體需從法律、法規、規章和標準體系、行業規范等方面不斷健全和完善。

首先，目前保險行業領域尚無專門規定個人信息保護的法律、法規、規章或規范性文件，而金融行業僅有的一部涉及個人信息保護的政策性文件還將保險人排除在適用范圍之外。為應對和破解保險業個人信息保護困境，有兩種立法方案可供選擇：一是盡快制定一部適用于整個金融行業，或至少適用于保險行業的個人信息保護的行政法規或部門規章；二是加快《保險法》修改進程，增設保險業個人信息保護相關法律條款，將保險法規范重構與保險業個人信息保護法律規范建構統一推進，促進《保險法》與《個人信息保護法》以及《民法典》中“個人信息保護條款”的銜接和協調。

其次，保險業監管機構應根據最新立法發展情況，針對UBI車險中個人信息保護的特殊性，起草相關配套性行政法規或制定部門規章。待條件成熟時，由最高行政機關出臺一部專門性的行政法規，整合UBI車險個人信息保護法律規范，對UBI車險中的個人信息處理行為加以集中規制，彌補現有UBI車險個人信息保護法律規范中行政法規欠缺的明顯弊端。目前，我國雖已出臺了四部與UBI車險個人信息保護密切相關的規章、政策和標準①，但囿于其低階性，規范效力、適用對象和適用范圍都較為有限，無法直接作為監管執法的法律依據，因而有必要通過科學的立法論證和立法程序將其上升為部門規章或行政法規。在國外已有立法例，例如，意大利是UBI車險滲透率全球領先的國家，它在2012年由議會通過了“蒙蒂法令”，規定監管機構須制定管理遠程信息處理數據收集的標準和管理車載單元硬件和軟件技術的標準，還要求經濟發展部門制定便攜性和標準化規則，形成了較為完善的UBI車險數據監管制度[5]。

再次，加快標準化體系建設。監管機構應在既有國家標準、行業標準的基礎上，根據車聯網和汽車數據處理、保險數字化轉型發展形勢，及時制定適當的國家標準和行業標準，發揮其對UBI車險產品的約束和引導功能，實現對個人信息處理行為的規制和對保險消費者的精準保護[9]。《個人信息保護法》第六十二條規定，國家網信部門統籌協調有關部門制定個人信息保護具體規則和標準，并針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規則、標準。這也為完善UBI車險相關標準化體系提供了明確的法律依據。

最后，加強行業自律。車險行業、車聯網行業、汽車生產行業應聯合制定針對UBI車險個人信息保護的行業自律規范。要實現UBI車險中個人信息保護與利用的平衡，推動UBI車險良性發展，除了依靠法律、政策、標準等治理工具外，還應加強行業自律，充分發揮行業協會的自治功能，形成法律規制、政策引導、標準約束、行業自律的多元治理格局。

（三）重塑UBI車險個人信息保護監管機構、監管理念和監管方式

依循公法為主、私法為輔的公私法協同保護的基本邏輯，UBI車險個人信息保護行政監管應從機構、理念和方式三個方面予以重塑，以更好應對UBI車險應用面臨的實踐困境。

首先，統一監管機構。目前，我國尚未設立統一的個人信息保護監管機構，現行監管機構設置和職權配置涉及網信、金融、工信、公安、市場監管、商務、郵政、文旅等多個部門，網信部門并非專門的個人信息保護監管機構。《個人信息保護法》第六十條確立了“網信部門統籌協調 + 有關部門各自監管”的組織模式，但在執法實踐中卻可能滑向“多頭監管”的困境，導致個人信息保護監管和行業性監管缺乏整體協調性。就UBI車險中個人信息保護監管而言，建議先在保險業監管機構（即金融監督管理局）內部設置個人信息保護監管部門，明確主管人員和相關責任人員，專門負責保險行業個人信息保護監管工作，以有效破解“多頭監管”的困境。該部門與網信部門之間的關系應定位為業務指導關系，《保險法》修改時須對兩者關系作出明確界定。值得注意的是，《個人信息保護法》第五十二條規定的個人信息保護負責人①和第五十八條（又稱“守門人條款”）規定的獨立監督機構②，兩者的設置條件、職責、履職程序以及它們與網信部門和業務部門內設個人信息保護監管部門之間的關系等都有待進一步細化。只有調整好它們之間的關系，才可以逐步構建起網信部門統籌協調、業務部門內部監管、“守門人條款”中的獨立機構外部監督、個人信息處理者自我監督以及社會監督③的全方位個人信息保護監管體系。

其次，創新監管理念。傳統保險監管重視市場競爭和定價風險管控，而對個人信息保護重視不足，這種理念已不適應數字時代的個人信息保護要求，需要作出調整和更新。《個人信息保護法》不僅賦予信息主體免于其個人信息被非法收集、泄露、買賣或利用的防御性權利，還規定信息主體在個人信息處理活動中的主動性權利和救濟性權利。因此，針對UBI車險中個人信息保護的監管問題，監管主體應化被動為主動，更加重視對保險消費者主動性權利的保障，在個人信息的范圍認定和保護路徑選擇上，逐漸擺脫傳統隱私權保護框架的束縛。

再次，改進監管方式。保險業監管機構內設的個人信息保護監管部門，應加強對主管人員和相關責任人員的技能培訓，使其熟悉UBI車險運作的相關技術原理，改變監管機構與監管對象之間信息不對稱的態勢，提升規制效果。以車聯網、大數據、算法為代表的技術創新，既是UBI車險成功應用的核心動能，也給保險消費者個人信息保護帶來新的挑戰，也即所謂新興技術負外部性的表征。“解鈴還須系鈴人”，因技術進步帶來的個人信息安全風險，應該首先通過技術進步來化解[23]。監管機構可以探索技術賦能UBI車險個人信息保護監管執法的新路徑，以技術規制技術，通過與第三方合作的方式，充分運用新興技術改進監管方式，提升監管執法效能。

五、結語

在當下大數據時代，數字技術沖擊著人類的生活方式及其與世界的互動方式，也改變了人類的決策方式和價值取向[24]9。各行各業中的新技術應用不可避免地帶來個人信息權益侵害問題，對此，如果學術研究仍停留于較為宏觀、籠統的理論闡釋，其所能創造的知識增量可能十分有限。因此，應將個人信息保護的場景化研究作為一個方向，推動個人信息保護法律問題研究的不斷深化。UBI車險恰好可以成為個人信息保護場景化研究的一個切入點。

作為一種新型車險，UBI車險的應用可以更好評估用戶駕駛行為風險，而基于不同風險水平確定差異化的車險費率，可以有效降低保險公司和投保人的交易成本。保險公司可以依據用戶駕駛行為評分更好識別保險欺詐風險，防止用戶利用保險合同進行保險詐騙；用戶依據駕駛行為評分結果也可以發現并糾正平時未曾注意的不良駕駛行為，有效降低交通事故概率。但是，正如同一枚硬幣的兩面，UBI車險在具有這些正向效應的同時，也可能會給保險消費者個人信息保護帶來新的挑戰；倘若缺少有效的法律規制，可能會對保險消費者個人信息權益造成侵害。因此，UBI車險中個人信息保護應充分體現糾正投保人與保險人、車聯網服務提供商的信息不對稱，矯正相對人權利與算法權力的失衡關系，平衡個人信息保護與利用的內在張力等價值意涵。而目前我國UBI車險中個人信息保護面臨路徑層面上公法保護與私法保護的分歧，規范層面上法律規范的零散性、低階性和滯后性，以及實踐層面上監管機構、監管理念和監管方式的滯后性等現實困境。UBI車險的優勢在于實現車險費率的個性化，增強風險防控能力，糾正用戶不良駕駛行為；而個人信息保護的目的是規范個人信息處理行為，促進而非限制個人信息的合理利用。對UBI車險中個人信息保護現實困境的化解應立基此價值權衡。保險公司、車聯網服務提供商與保險消費者之間信息關系的不平等性決定了UBI車險中個人信息保護法律關系的不平等性，對此種不平等性的矯正和糾偏需要首先從公法上尋找規制方案。但鑒于公法保護和私法保護各自存在的短板，UBI車險中個人信息保護宜采取公法為主、私法為輔的公私法協同路徑，然后逐步實現UBI車險中個人信息保護法律規范的整合以及監管機構、監管理念、監管方式的重塑，統籌兼顧效率與公平、活力與秩序、發展與安全，為UBI車險的廣泛應用和良性發展保駕護航。

當然，本文主要聚焦UBI車險中的個人信息保護問題，對于所涉保險法、消費者權益保護法、數據安全法等領域的基礎理論和重要制度著墨不多。未來，隨著UBI車險在國內市場滲透率的提升，其引發的法律問題將會變得更加現實和緊迫，期待學界同儕對此進一步展開探討。

參考文獻：

[1] BOCSOKV，BOLDIZS P，LOOS I，et al.Usage-based insurance-vehicle insurance of the future [J]．StudiaIuridica Auctoritate Universitatis Pecs Publicata，2015（153）：19 -36.

[2] GARRY T，DOUMA F， SIMON S. Intellgent transportation systems： personal data needs and privacy law[J].TransportationLawJournal，2012，39（3）：97-164.

[3] LANDINI S. Green motor insurance [J]. European Energy and Environmental Law Review， 2014 （23）： 198 -202.

[4] 孫宏濤，劉秉昊．我國UBI車險制度構建研究［J]．法律適用，2020（3）：25－32.

[5] 朱家鎮：車聯網下UBI車險的數據告知和保護機制研究［J]．金融監管研究，2020（8）：102－114.

[6] 韓長印，鄭潔文．駕駛行為保險與車險規范重構［J]．上海交通大學學報（哲學社會科學版），2020，28（5）：32-46.

[7] 常鑫．UBI車險的法理基礎與中國規制方案［J]．政治與法律，2023（4）：97－112.

[8] 王錫鋅．個人信息國家保護義務及展開［J]．中國法學，2021（1）：145－166.

[9] 任自力．《民法典》與保險消費者個人信息保護［J]．保險研究，2020（8）：3-14.

[10] 馬寧．消費者保險立法的中國愿景［J]．中外法學，2019，31（3）：668-691.

[11] 張新寶．從隱私到個人信息：利益再衡量的理論與制度安排［J]．中國法學，2015（3）：38－59.

[12] 王錫鋅，彭．個人信息保護法律體系的憲法基礎［J]．清華法學，2021，15（3）：6-24.

[13] 田宇申：互聯網保險中個人信息保護的法律規制——以個人信息保護政策為切人［J]．蘭州學刊，2021（9）：116-134.

[14] 范慶榮．保險消費者個人信息保護的困境紓解［J]．保險研究，2023（2）：115－125.

[15] 田宇申：保險業個人信息保護的價值衡量與規范路徑——以《個人信息保護法》為背景［J]．金融法苑，2022（1）：84-98.

[16] 付秋實．安心財險“閑時退費”遭處罰科技創新潛在風險應可管可控［EB/OL].（2017－12-25）[2024-06 -25]. https：//www. financialnews.com.cn/if/if/201712/t20171225_130304. html.

[17] 周漢華．平行還是交叉個人信息保護與隱私權的關系［J]．中外法學，2021，33（5）：1167－-1187.

[18] 齊愛民．私法視野下的信息［M]．重慶：重慶大學出版社，2012.

[19] 丁曉東．個人信息權利的反思與重塑：論個人信息保護的適用前提與法益基礎［J]．中外法學，2020，32（2）：339-356.

[20] 呂炳斌：數字時代個人信息保護權利基礎的二元融貫論［J]．社會科學輯刊，2024（3）：110－119，2，238.

[21] 梁慧星．民法總論［M]．3版．北京：法律出版社，2007.

[22] 陳可翔．個人信息保護中行政處罰的實施基礎及制度邏輯［J]．法學，2023（11）：57－72.[23] 柳立：金融消費者個人信息權益的保護和進步［N]．金融時報，2021-09-27（11）.[24] SCHONBERGER V M，CUKIER K.The big data：a revolution that willtransform how we live，work andthink［M].Boston：Houghton Mifflin Harcourt Publishing Company，2013.

The Challeges and Improvements for Personal Information Protection in UBI

LI Tianzhu HU Lingkang （School of Economics Management and Law， University of South China，Hengyang 4210o1，Hunan，China）

Abstract： The application of UBI （Usage-Based Insurance） in auto insurance offers positive effects such as achieving a balance between premiums and risk pricing，enhancing risk prevention and control capabilities， and correcting drivers’ poor driving behaviors. However， it also brings new challenges to the protection of insurance consumers’ personal information. To address the information asymmetry between policyholders， insurers，and telematics service providers，correct the imbalance between individual rights and algorithmic power，and balance the inherent tension between personal information protection and its use， it is necessary to strengthen the protection of personal information in UBI. At present， China's UBI personal information protection faces the divergence of the paths between public law protection and private law protection，the fragmentation， low order and lag of legal norms， as well as the lag of regulatory agencies， regulatory concepts and regulatory methods. In view of this， personal information protection in UBI auto insurance in China should adopt a coordinated model that taking public law as the main approach and the private law as a supplement. It is necessary to integrate the legal norms related to personal information protection in UBI auto insurance，unify regulatory authorities， innovate regulatory concepts， and improve regulatory methods， thereby providing a rule-of-law guarantee for the widespread application and healthy development of UBI auto insurance.

Key words： personal information protection； UBI； insurance consumer； personal informationright； cooperation ofpublic and privatelaw