保險業(yè)個人信息保護(hù)的監(jiān)管規(guī)范路徑芻議

黃志浩 上海銀保監(jiān)局

保險業(yè)作為金融業(yè)中典型的“個人信息”集中行業(yè)，在數(shù)字經(jīng)濟(jì)時代的人工智能、大數(shù)據(jù)、云計(jì)算等金融科技加持下，勢必涉及大量的保險消費(fèi)者個人信息。從監(jiān)管法治的角度審視我國保險業(yè)個人信息保護(hù)規(guī)則，可以發(fā)現(xiàn)其存在諸多不周延之處，例如，對算法殺熟、跨境數(shù)據(jù)傳輸?shù)汝P(guān)鍵問題缺少回應(yīng)。因此，應(yīng)借助本輪《保險法》修訂等金融法治供給側(cè)改革的關(guān)鍵時機(jī)，盡快建立多層次的保險業(yè)個人信息保護(hù)體系，厘清保險業(yè)個人信息保護(hù)的法治脈絡(luò)，完善監(jiān)管職權(quán)配置，增強(qiáng)各項(xiàng)規(guī)則的可執(zhí)行性，以促進(jìn)保險業(yè)依法經(jīng)營與合規(guī)發(fā)展，保護(hù)金融消費(fèi)者合法權(quán)益，落實(shí)“以人民為中心”的發(fā)展思想。

一、概論

（一）數(shù)字化新時期的保險業(yè)個人信息保護(hù)

自2022年原銀保監(jiān)會發(fā)布《關(guān)于銀行業(yè)保險業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》（銀保監(jiān)辦發(fā)〔2022〕2號）以后，保險業(yè)的數(shù)字化轉(zhuǎn)型已經(jīng)不是選擇題而是必答題。在當(dāng)前金融科技賦能金融業(yè)發(fā)展的大背景下，越來越多的保險公司走上了數(shù)字化轉(zhuǎn)型之路，采用人工智能、大數(shù)據(jù)等技術(shù)進(jìn)行精準(zhǔn)化營銷獲客、自動化決策，并進(jìn)行大數(shù)據(jù)風(fēng)險定價，提供品種豐富、定價科學(xué)的保險產(chǎn)品，以更好地滿足人民群眾對差異化保險產(chǎn)品的需求。但隨之也出現(xiàn)了營銷過度、信息泄露、算法殺熟等一系列個人信息保護(hù)的相關(guān)問題。

數(shù)據(jù)作為保險業(yè)數(shù)字化轉(zhuǎn)型中的一項(xiàng)特殊資源，既有體現(xiàn)保險消費(fèi)者公民權(quán)利“個人性”的一面，也有體現(xiàn)維持行業(yè)平穩(wěn)運(yùn)行“公共性”的一面，其有效的流轉(zhuǎn)、利用與治理是保險業(yè)數(shù)字化轉(zhuǎn)型中各項(xiàng)技術(shù)成敗的關(guān)鍵。2021年正式實(shí)施的《個人信息保護(hù)法》在立法目的中對上述二元價值給予了較好的兼顧。具體到保險行業(yè)，其業(yè)務(wù)本質(zhì)是建立在信息不對稱基礎(chǔ)之上的“風(fēng)險定價”，即保險公司在經(jīng)營過程中為了估測損失規(guī)模、合理確定保費(fèi)，必然需要收集大量個人信息，甚至是個人金融賬戶信息、醫(yī)療信息等敏感信息。因此，有必要在《個人信息保護(hù)法》的基礎(chǔ)上，對處于交易弱勢地位的保險消費(fèi)者的個人信息予以進(jìn)一步的傾斜保護(hù)。2022年，原銀保監(jiān)會消保工作的重點(diǎn)便是對銀行保險機(jī)構(gòu)個人信息保護(hù)的檢查。2023 年初，國家金融監(jiān)督管理總局組建成立，標(biāo)志著保險監(jiān)管力度得到進(jìn)一步加強(qiáng)，個人信息保護(hù)作為數(shù)字化時代金融消費(fèi)者權(quán)益保護(hù)的一項(xiàng)重點(diǎn)內(nèi)容，也得到進(jìn)一步重視。因此，構(gòu)建權(quán)責(zé)分明、規(guī)范有效的保險業(yè)個人信息保護(hù)監(jiān)管法治框架已是當(dāng)務(wù)之急和必然選擇。

（二）我國保險業(yè)個人金融信息保護(hù)的法治進(jìn)路

我國保險業(yè)的個人信息保護(hù)立法起步較晚。美國早在1996 年就根據(jù)保險行業(yè)的特殊情況，制訂了《健康保險可移動性和責(zé)任法案》（Health Insurance Portability and Accountability Act，HIPAA），針對醫(yī)療保險中涉及個人信息的交易規(guī)則、醫(yī)療信息安全、醫(yī)療隱私、患者身份識別信息等問題作出詳細(xì)的法律規(guī)定。我國在2009年的《刑法修正案（七）》中才將侵犯公民個人信息的行為定為犯罪行為，邁出了刑事先行的個人信息保護(hù)第一步。

在法律層面，2012 年，全國人大常委會制訂了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，正式將個人信息作為一項(xiàng)專門法益予以保護(hù)。2017 年生效的《網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)環(huán)境下的個人信息保護(hù)問題。2020年《民法典》的出臺，標(biāo)志著在法律層面上首次將個人信息作為一種人格權(quán)益予以確立，個人信息保護(hù)的重要性被提到了一個新的高度。以此為基礎(chǔ)，2021年《個人信息保護(hù)法》和《數(shù)據(jù)安全法》的出臺，進(jìn)一步奠定了包括個人信息在內(nèi)的數(shù)據(jù)保護(hù)基本立法框架。

在金融行業(yè)監(jiān)管層面，人民銀行分別于2011年和2012年連續(xù)兩年發(fā)布《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》，是金融領(lǐng)域最早的關(guān)于個人金融信息保護(hù)的專門規(guī)定。單就保險行業(yè)而言，2014年，原保監(jiān)會印發(fā)《關(guān)于加強(qiáng)保險消費(fèi)者權(quán)益保護(hù)工作的意見》（保監(jiān)發(fā)〔2014〕89 號），對個人信息保護(hù)作出了原則性規(guī)定。除此之外，保險業(yè)關(guān)于個人信息處理或保護(hù)的專項(xiàng)立法絕大多數(shù)還處于規(guī)則缺失的狀態(tài)，只有部分原則性規(guī)定零星散見于關(guān)于信息系統(tǒng)安全管理、銷售行為可回溯管理、互聯(lián)網(wǎng)保險業(yè)務(wù)管理等監(jiān)管規(guī)定中。例如，《互聯(lián)網(wǎng)保險業(yè)務(wù)監(jiān)管辦法》中僅宣誓性地強(qiáng)調(diào)了個人信息收集的“合法、必要、最小”原則，對于實(shí)務(wù)中保險業(yè)務(wù)開展時收集個人信息的類型和邊界、個人信息保護(hù)政策制定的要求和形式等并未作出進(jìn)一步的細(xì)化規(guī)定，導(dǎo)致部分保險機(jī)構(gòu)對個人信息保護(hù)規(guī)定的落實(shí)流于形式。

綜上，我國保險領(lǐng)域的個人信息保護(hù)立法起步較晚且規(guī)制零散，缺乏協(xié)調(diào)性和體系化?？疾炷壳皩ΡｋU業(yè)個人信息保護(hù)的法律規(guī)范，主要依托于《個人信息保護(hù)法》等法律，具體權(quán)益保護(hù)的規(guī)則主要在金融監(jiān)管部門的部門規(guī)章或規(guī)范性文件層面得以體現(xiàn)，且多為較抽象的金融業(yè)通用性規(guī)則。對于保險業(yè)相較于其他行業(yè)的一些特殊之處，如保險業(yè)自動化決策下的風(fēng)險定價等，目前的監(jiān)管規(guī)定還較少，相關(guān)監(jiān)管工作在實(shí)際開展中仍缺乏有效的定性、定量依據(jù)，保險公司的合規(guī)成本也水漲船高。因此，理順個人金融信息保護(hù)的規(guī)范體系、填補(bǔ)規(guī)則空白、回應(yīng)業(yè)界關(guān)注的關(guān)鍵問題是監(jiān)管法治建設(shè)的核心要點(diǎn)。

二、保險業(yè)個人金融信息保護(hù)的若干關(guān)鍵問題透視：基于現(xiàn)行立法不周延的實(shí)證考察

（一）關(guān)于保險業(yè)個人信息收集規(guī)則下的“最小必要”問題

所謂“最小必要”原則指的是個人信息收集活動應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個人信息。理論界一般認(rèn)為，“最小必要”原則包括關(guān)聯(lián)性、最低頻率、最少數(shù)量三個子原則。目前，“最小必要”原則在實(shí)踐中主要存在兩個問題。

一是判斷模糊。如何判斷哪些信息是訂立、履行保險合同所必需的個人信息，目前沒有明確的依據(jù)可以“劃清邊界”。業(yè)務(wù)場景的多變、服務(wù)內(nèi)容的差異、保險機(jī)構(gòu)的風(fēng)控水平不同等，都會導(dǎo)致不同保險機(jī)構(gòu)對“最小必要”的范圍產(chǎn)生不同的理解。以人身險業(yè)務(wù)為例，姓名、聯(lián)系方式、年齡、保費(fèi)支付賬號等被認(rèn)為是訂立、履行保險合同所必需的個人信息。但在實(shí)踐中，很多保險機(jī)構(gòu)出于各種原因，例如，為提升自身服務(wù)水平等，往往會超出上述范圍額外收集更多的個人信息，甚至收集很多明顯與訂立、履行保險合同關(guān)聯(lián)度較低甚至是無關(guān)的個人信息，包括婚姻狀況、個人履歷（學(xué)歷、職歷）、社交喜好、實(shí)時地理位置等；在侵犯保險消費(fèi)者知情權(quán)等權(quán)益的同時，保險從業(yè)人員還會作出未經(jīng)允許撥打營銷電話、發(fā)送營銷信息等過度營銷行為。

二是監(jiān)管薄弱。隨著保險業(yè)數(shù)字化轉(zhuǎn)型的不斷深入，保險公司線上APP部分替代了傳統(tǒng)的線下營銷，成為保險業(yè)務(wù)發(fā)展的一條重要渠道，其獲取個人信息的效率、數(shù)量等也遠(yuǎn)遠(yuǎn)高于線下方式。但大多數(shù)保險公司，包括保險公司自營平臺、互聯(lián)網(wǎng)保險公司和第三方平臺等，其APP中的《隱私條款》或《個人信息保護(hù)政策》中有關(guān)個人信息收集和保護(hù)的內(nèi)容并未體現(xiàn)“最小必要”原則，例如，對信息收集的必要性和關(guān)聯(lián)性重視不足，對關(guān)鍵信息表述不清晰等，而目前行業(yè)監(jiān)管部門對這方面的監(jiān)管較為薄弱。

（二）關(guān)于保險“風(fēng)險定價”下的“大數(shù)據(jù)殺熟”與“算法歧視”問題

在保險機(jī)構(gòu)數(shù)字化轉(zhuǎn)型的過程中，基于大數(shù)據(jù)技術(shù)自動化決策的應(yīng)用將更為普遍，風(fēng)險定價、智能核保、智能理賠、推薦感興趣產(chǎn)品等場景都有可能涉及自動化決策。在保險消費(fèi)者個人信息為保險公司的定價發(fā)揮“大數(shù)據(jù)”下的商業(yè)價值時，新的風(fēng)險和問題也隨之產(chǎn)生，即對保險消費(fèi)者的“大數(shù)據(jù)殺熟”與“算法歧視”。不少業(yè)界人士甚至將前述行為定性為價格歧視，認(rèn)為這是保險機(jī)構(gòu)通過技術(shù)手段，對消費(fèi)者實(shí)時數(shù)據(jù)進(jìn)行抓取、整理、挖掘后，為追求利益最大化而實(shí)施的歧視性行為。

以近年來較為典型的一類風(fēng)險定價的新型財險產(chǎn)品“退貨運(yùn)費(fèi)險”為例，其是指網(wǎng)絡(luò)購物中的買家或賣家向保險人支付保險費(fèi)、保險人根據(jù)合同約定對發(fā)生退貨訂單的單程退貨運(yùn)費(fèi)承擔(dān)賠付責(zé)任的保險。在賣家版運(yùn)費(fèi)險中，保險公司與賣家簽訂保險協(xié)議，針對賣家店鋪內(nèi)全部符合條件的“七天無理由退貨”商品提供運(yùn)費(fèi)險服務(wù)。隨著大數(shù)據(jù)技術(shù)的發(fā)展和預(yù)防欺詐的需要，運(yùn)費(fèi)險的定價也從傳統(tǒng)的“一刀切”方式轉(zhuǎn)變?yōu)槌浞掷么髷?shù)據(jù)模型進(jìn)行差異化定價。而定價模型吸收了海量的消費(fèi)者行為數(shù)據(jù)、電商交易數(shù)據(jù)、商品類目、消費(fèi)記錄和退賠記錄等，保費(fèi)隨著出險率的升高而遞增，從而實(shí)現(xiàn)“私人訂制”的定價模式。

基于保險標(biāo)的的不同風(fēng)險狀況而決定是否承保及厘定差別保險費(fèi)率是保險定價的基礎(chǔ)。但基于前述的差異性定價仍應(yīng)遵循“公平性”原則，而非“看人下菜碟”或者是“大數(shù)據(jù)殺熟”。比如，根據(jù)與標(biāo)的風(fēng)險無關(guān)的消費(fèi)者的偏好、交易習(xí)慣等特征來進(jìn)行定價，就損害了消費(fèi)者權(quán)益。因此，如何結(jié)合《個人信息保護(hù)法》第二十四條，將自動化決策的技術(shù)手段與保費(fèi)差異化的因果關(guān)系予以細(xì)化，使其在保險從業(yè)邏輯與金融消費(fèi)者權(quán)益之間獲得平衡，相關(guān)規(guī)則仍有待進(jìn)一步完善。

（三）關(guān)于保險業(yè)個人信息使用分級保護(hù)的問題

《個人信息保護(hù)法》對個人信息與敏感個人信息進(jìn)行了界定和區(qū)分。敏感個人信息包括金融賬戶、醫(yī)療健康信息等，因其承載了更高位階的法益，所以立法對其給予了更為嚴(yán)格的區(qū)別保護(hù)。例如，相較于一般個人信息，對敏感個人信息進(jìn)行收集、共享、轉(zhuǎn)讓、公開披露等處理活動，需要取得個人的“單獨(dú)同意”；在處理敏感個人信息前，需要告知本人處理敏感個人信息的必要性以及對個人權(quán)益的影響，對敏感個人信息需要采取更嚴(yán)格的保護(hù)措施等。

在金融領(lǐng)域，根據(jù)金融標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布的《個人金融信息保護(hù)技術(shù)規(guī)范》，將金融領(lǐng)域的個人信息按敏感程度分為C1、C2、C3三個級別，據(jù)此，幾乎所有保險業(yè)務(wù)開展時所采集的個人信息，如個人身份信息、財產(chǎn)信息、保險賬戶信息等均能歸入敏感個人信息的范疇。這與《個人信息保護(hù)法》對個人信息的二元劃分存在一定交叉與沖突。對此，學(xué)界和實(shí)務(wù)界一直存在爭議，部分觀點(diǎn)認(rèn)為，將個人金融信息納入敏感個人信息范疇，對金融業(yè)并無裨益；相反，為了提升服務(wù)效率和滿足客戶需求，更加有必要促進(jìn)個人金融信息的共享利用。在保險業(yè)務(wù)場景中，保險賬戶信息、醫(yī)療信息被歸入《個人信息保護(hù)法》下的“金融賬戶信息”作為敏感個人信息保護(hù)當(dāng)無異議，但針對保險用戶的姓名、性別等基本資料信息，如果同樣按照敏感個人信息的保護(hù)標(biāo)準(zhǔn)執(zhí)行，可能會給保險機(jī)構(gòu)帶來不小的業(yè)務(wù)合規(guī)成本，在形成資源浪費(fèi)或因?yàn)樾枰〉谩皢为?dú)同意”而頻繁打擾用戶的同時，甚至?xí)ΡｋU業(yè)平穩(wěn)健康發(fā)展造成一定阻滯。

（四）關(guān)于保險業(yè)個人信息傳輸跨境提供的問題

在數(shù)字化時代，數(shù)據(jù)安全與國家安全息息相關(guān)，在當(dāng)今數(shù)據(jù)管轄權(quán)沖突日益激烈的國際環(huán)境下，實(shí)現(xiàn)數(shù)據(jù)依法合規(guī)的跨境流動是行業(yè)主管部門必須要履行好的監(jiān)管職責(zé)。而保險公司在業(yè)務(wù)經(jīng)營過程中，不可避免會涉及個人信息跨境提供行為，這一情況往往出現(xiàn)在境外再保險、外資保險公司與母公司交互個人信息、高端醫(yī)療海外就醫(yī)等場景，但對下述關(guān)鍵問題尚無定論。

一是個人金融信息是否可以出境還不明確?，F(xiàn)有金融相關(guān)立法以“不出境為原則、出境為例外”作為基本監(jiān)管思路，僅有上海、廣東等部分地區(qū)的金融規(guī)范性文件根據(jù)實(shí)際情況作出了允許金融機(jī)構(gòu)向境外總公司、母公司或分公司、子公司及其他為完成業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu)提供個人金融信息的除外規(guī)定。

二是關(guān)于保險業(yè)“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”的認(rèn)定。在現(xiàn)有法律體系下，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的個人信息及重要數(shù)據(jù)處理活動受到了尤為嚴(yán)格的限制與關(guān)注。保險業(yè)作為金融領(lǐng)域的關(guān)鍵組成部分，其網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，就可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益。但現(xiàn)階段的金融行業(yè)監(jiān)管規(guī)則尚未對“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”進(jìn)行明確界定，對如何認(rèn)定保險行業(yè)的“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”尚無定論，導(dǎo)致大量面臨數(shù)據(jù)出境的保險機(jī)構(gòu)難以準(zhǔn)確判斷自身定位，無法確定是否需要按照“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”的監(jiān)管標(biāo)準(zhǔn)開展個人信息出境業(yè)務(wù)。

三是如何進(jìn)行個人信息的出境安全評估工作?！秱€人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等均對個人信息出境提出了安全評估要求，但基于目前網(wǎng)信辦、國家金融監(jiān)督管理總局和人民銀行多頭監(jiān)管金融業(yè)個人信息保護(hù)的格局，尚未明確主管部門和制定個人信息出境的具體規(guī)則，包括具體評估的實(shí)施主體、評估的流程與方式等。

總體而言，由于監(jiān)管規(guī)則的空白與模糊，現(xiàn)有保險業(yè)的數(shù)據(jù)出境活動仍然處于一種“粗放派”與“謹(jǐn)慎派”并存的局面。如果監(jiān)管規(guī)則一直難以明確，“粗放派”的信息“濫”出境或是“謹(jǐn)慎派”的跨境業(yè)務(wù)開展遇阻，均不利于形成我國保險業(yè)務(wù)國際化發(fā)展的新局面。

三、保險業(yè)個人金融信息保護(hù)的監(jiān)管法治完善建議

（一）建立健全保險業(yè)多層次個人金融信息保護(hù)法治體系

在我國深化保險業(yè)數(shù)字化轉(zhuǎn)型的時代背景下，完善保險業(yè)個人信息保護(hù)立法，是加強(qiáng)監(jiān)管、保護(hù)保險消費(fèi)者合法權(quán)益的重要任務(wù)。尤其是近年來，監(jiān)管規(guī)則的長期缺位、滯后，導(dǎo)致實(shí)踐中保險業(yè)個人信息保護(hù)亂象頻生，更彰顯了完善保險業(yè)個人信息保護(hù)立法的急迫性。通過考察域外法可以發(fā)現(xiàn)，歐盟、美國等對個人金融信息保護(hù)的立法軌跡基本遵循了從“民法基本權(quán)利保護(hù)”到“專門法律保護(hù)”，再到“具體領(lǐng)域保護(hù)”的法律規(guī)范遞進(jìn)層次路徑。在本輪《保險法》修訂中，建議借鑒上述法治邏輯將個人金融信息保護(hù)全面納入法治化軌道，一方面，做好《保險法》與《個人信息保護(hù)法》的銜接；另一方面，將實(shí)踐中已經(jīng)較為成熟的行業(yè)規(guī)則或標(biāo)準(zhǔn)，及時上升到法律層面，解決行業(yè)監(jiān)管無法可依的局面。

第一，在法律層面，應(yīng)在本輪《保險法》修訂中全面體現(xiàn)個人信息保護(hù)的要求。《保險法》作為保險行業(yè)監(jiān)管法律體系的核心大法，在本輪全面修訂的過程中，一是應(yīng)確立個人金融信息保護(hù)的基本原則，如知情同意、“最小必要”、信息質(zhì)量、數(shù)據(jù)安全等原則應(yīng)在法律層面予以明確。二是應(yīng)對監(jiān)管權(quán)力配置作出規(guī)范，順應(yīng)本輪金融監(jiān)管機(jī)構(gòu)改革的要求，加強(qiáng)國家金融監(jiān)督管理總局在保險業(yè)個人信息保護(hù)行為監(jiān)管中的主導(dǎo)地位，明確各監(jiān)管部門的功能配置和職能劃分，避免重復(fù)監(jiān)管或監(jiān)管空白。三是豐富監(jiān)管部門的個人信息保護(hù)監(jiān)管工具箱，提升個人信息保護(hù)方面監(jiān)管工具的豐富性與科學(xué)性，如賦予國家金融監(jiān)督管理總局對互聯(lián)網(wǎng)平臺公司的延伸監(jiān)管權(quán)等。

第二，在部門規(guī)章層面，一是建議與上位法做好銜接，著力增強(qiáng)保險業(yè)個人信息保護(hù)的可操作性和可執(zhí)行性，豐富個人信息保護(hù)規(guī)則的操作細(xì)節(jié)。二是建議消除監(jiān)管規(guī)則與上位法的抵牾之處。鑒于在《個人信息保護(hù)法》生效前，保險業(yè)監(jiān)管部門為應(yīng)對實(shí)踐需要所制訂的部分關(guān)于個人信息保護(hù)的規(guī)定與上位法沖突，對此應(yīng)在尊重上位法的基礎(chǔ)上及時予以調(diào)整。三是建議在實(shí)踐較為成熟的情況下，將實(shí)踐中適用效果好、合規(guī)保障性高的行業(yè)規(guī)則上升為監(jiān)管部門規(guī)章，并適時出臺《保險業(yè)個人信息保護(hù)管理辦法》，或?qū)€人信息保護(hù)與數(shù)據(jù)治理監(jiān)管規(guī)則統(tǒng)合出臺專門規(guī)定。

第三，在行業(yè)組織及行業(yè)規(guī)則層面，基于大數(shù)據(jù)應(yīng)用的技術(shù)性特征，建議盡快由行業(yè)主管部門指導(dǎo)行業(yè)自律組織，牽頭聯(lián)動各類技術(shù)檢測、智能應(yīng)用、數(shù)據(jù)開發(fā)及應(yīng)用機(jī)構(gòu)，加快推進(jìn)保險業(yè)的個人信息保護(hù)行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范的制定，明確個人信息應(yīng)用的安全機(jī)制及規(guī)范化管理機(jī)制等，并推動挑選部分保險機(jī)構(gòu)“先行先試”，在此基礎(chǔ)上對行業(yè)標(biāo)準(zhǔn)及技術(shù)規(guī)范進(jìn)行優(yōu)化升級，以更好地貼合金融行業(yè)的實(shí)踐應(yīng)用。

（二）完善“最小必要”原則，以維護(hù)金融消費(fèi)者合法權(quán)益

“最小必要”原則應(yīng)用并體現(xiàn)在個人信息處理活動的各個環(huán)節(jié)，包括收集、使用、存儲、加工等。但如何判定個人信息處理的“最小必要”范圍，需要根據(jù)具體產(chǎn)品及服務(wù)的特性進(jìn)行判斷，并考量個人信息處理與功能目的的強(qiáng)關(guān)聯(lián)性和匹配性，以及特定的行業(yè)監(jiān)管要求。

本文建議進(jìn)一步結(jié)合保險業(yè)務(wù)及功能特色，通過部門規(guī)章、行業(yè)標(biāo)準(zhǔn)等多種形式對保險業(yè)的主要業(yè)務(wù)場景、功能環(huán)節(jié)等個人信息處理活動的“最小必要”原則，甚至是具體范圍進(jìn)行明確。例如，為辦理實(shí)名制登記收集個人信息的，應(yīng)要求從業(yè)機(jī)構(gòu)參照《個人保險實(shí)名制管理辦法（征求意見稿）》對實(shí)名信息的限定，僅收集“投保人、被保險人、受益人的姓名、身份證件類型、證件號碼、證件有效期和所辦理保險業(yè)務(wù)的種類、基本內(nèi)容、投保人實(shí)名繳費(fèi)信息”，不應(yīng)擅自擴(kuò)大實(shí)名信息的收集或使用范圍。同時，保險機(jī)構(gòu)如需要超出上述具體范圍額外收集保險消費(fèi)者個人信息的，應(yīng)就其超出范圍外收集個人信息的原因、種類、擬進(jìn)行的處理方式、存儲或刪除時點(diǎn)等向相關(guān)主管部門進(jìn)行特別報備，并向金融消費(fèi)者進(jìn)行特別提示、告知并獲得其同意，從而保障保險機(jī)構(gòu)不存在超出必要范圍之外濫收、濫用個人信息之情形。

（三）完善“公平定價”規(guī)則，以應(yīng)對自動化決策下的“大數(shù)據(jù)殺熟”

在對自動化決策這把雙刃劍的監(jiān)管規(guī)制中，既要避免過分個性化的保險費(fèi)率導(dǎo)致?lián)p害保險消費(fèi)者合法權(quán)益，又要避免機(jī)械適用、千人一面的保險費(fèi)率導(dǎo)致定價錯位，進(jìn)而對其他低風(fēng)險被保險人造成更大的不公平。這一問題在人身險領(lǐng)域因交易對象和交易標(biāo)的競合而顯得更為復(fù)雜。

建議在《保險法》修訂中，參考《銀行保險機(jī)構(gòu)消費(fèi)者權(quán)益保護(hù)管理辦法》，明確關(guān)于公平定價的原則性規(guī)定。在具體監(jiān)管規(guī)則中，應(yīng)根據(jù)《個人信息保護(hù)法》對自動化決策的合規(guī)要求，就有關(guān)遵循公開透明原則、事前進(jìn)行個人信息安全影響評估、賦予用戶選擇或拒絕的權(quán)利、對個人權(quán)益有重大影響的決定應(yīng)保障用戶的解釋權(quán)和拒絕權(quán)等內(nèi)容作出規(guī)定。同時，結(jié)合保險產(chǎn)品相較普通產(chǎn)品在定價、交易模式上的特殊性，應(yīng)進(jìn)一步細(xì)化算法推薦、自動化決策的規(guī)制在保險領(lǐng)域的適用。可以參考《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》對算法推薦服務(wù)提供者提出的備案手續(xù)要求，探索建立保險業(yè)領(lǐng)域的保險產(chǎn)品風(fēng)險定價算法備案機(jī)制，要求保險機(jī)構(gòu)在使用用戶信息算法畫像提供保險服務(wù)時，提前履行報備手續(xù)，并由監(jiān)管部門對該類算法是否可能涉及“大數(shù)據(jù)殺熟”，是否會損害保險消費(fèi)者權(quán)益進(jìn)行統(tǒng)一判斷及調(diào)度。對于無正當(dāng)理由對交易條件相同的交易相對人實(shí)施差別待遇的保險算法機(jī)制，需勒令保險機(jī)構(gòu)退回重改，不得上架應(yīng)用。

（四）完善保險業(yè)個人信息分級保護(hù)規(guī)則，以促進(jìn)行業(yè)健康發(fā)展

對于個人信息的分級保護(hù)與使用，應(yīng)充分考慮保險行業(yè)和個人信息的特殊性，促進(jìn)“保護(hù)個人信息權(quán)益”和“個人信息合理利用”這兩項(xiàng)立法原則相協(xié)調(diào)。根據(jù)法經(jīng)濟(jì)學(xué)理論，不宜簡單將保險業(yè)務(wù)中所有個人信息都作為敏感個人信息加以保護(hù)。而應(yīng)基于《個人信息保護(hù)法》中對于敏感個人信息的判斷標(biāo)準(zhǔn)，即“具有高概率的致害風(fēng)險”，并結(jié)合一般公眾的認(rèn)知常識、習(xí)慣，來判斷該信息是否具有敏感性。對于具有敏感性的信息，應(yīng)根據(jù)不同的敏感程度予以區(qū)分保護(hù)。

在具體的立法構(gòu)造上，建議在《保險法》的修訂中明確個人信息的分級保護(hù)原則，對于敏感個人信息應(yīng)予以傾斜保護(hù)。在下位監(jiān)管規(guī)定中，建議對個人基本信息與敏感個人信息作出區(qū)分，要求保險公司建立個人信息分級保護(hù)制度，對個人信息視其敏感程度建立不同的安全保障體系。同時，借鑒中國人民銀行發(fā)布的金融行業(yè)推薦性標(biāo)準(zhǔn)《個人金融信息保護(hù)技術(shù)規(guī)范》相關(guān)內(nèi)容，類似將個人金融信息按照安全影響程度不同劃分為C1、C2、C3 三個標(biāo)準(zhǔn)，可以將保險業(yè)務(wù)中收集的敏感個人信息依據(jù)“致害風(fēng)險+風(fēng)險概率”的不同，劃分為不同的敏感等級，并分別規(guī)定不同的保護(hù)措施。例如，對于敏感級別高的個人信息，如保險賬戶的登錄密碼、交易密碼、用戶個人生物識別信息、醫(yī)療健康信息等，在收集、傳輸、使用的過程中應(yīng)嚴(yán)格加密處理等，以管理辦法或監(jiān)管指引等具有強(qiáng)制性的規(guī)則強(qiáng)化保險機(jī)構(gòu)對于個人信息的分級保護(hù)義務(wù)。

（五）完善“信息跨境傳輸”規(guī)則，以保障金融數(shù)據(jù)安全

在我國金融業(yè)對外開放程度不斷加深的時代背景下，數(shù)據(jù)的跨境流動是大勢所趨。2020 年，我國與東盟十國及日本、韓國、澳大利亞、新西蘭共同簽署《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership，RCEP），已基本認(rèn)可目前國際普遍提倡的“提供個人金融數(shù)據(jù)跨境流動便利，消除不必要的數(shù)據(jù)流動阻礙”的通用規(guī)則。在《保險法》層面，建議在確保數(shù)據(jù)主權(quán)安全的前提下，大膽破除目前嚴(yán)苛的個人信息本地化限制，原則性地規(guī)定保險機(jī)構(gòu)可以在確保個人信息安全的前提下跨境傳輸個人信息，以順應(yīng)我國保險業(yè)對外開放的趨勢，提升我國保險機(jī)構(gòu)的國際競爭力。

在具體的監(jiān)管規(guī)則上，建議明確個人信息出境的主管部門與具體規(guī)制措施，一是建議參考系統(tǒng)重要性程度、保費(fèi)規(guī)模等因素，要求我國一定規(guī)模以上的保險公司按照“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”的監(jiān)管標(biāo)準(zhǔn)開展個人信息出境業(yè)務(wù)。二是建議與前文所提及的個人信息分級保護(hù)制度相結(jié)合，構(gòu)建靈活多樣的保險業(yè)個人信息出境安全評估模式，對于較不敏感的個人信息，可以適當(dāng)放寬出境條件，例如，在經(jīng)過保險公司內(nèi)部安全評估和個人信息主體明示同意后即可出境；對于較為敏感的信息，則應(yīng)經(jīng)由監(jiān)管部門安全評估后方可出境。三是建議參照域外，如歐盟《數(shù)據(jù)保護(hù)通用條例》，將個人信息跨境傳輸置于不同場景區(qū)別保護(hù)和對待，增加更多可以實(shí)現(xiàn)保險業(yè)個人信息跨境傳輸?shù)臈l件情形。四是鑒于保險數(shù)據(jù)安全對于我國的金融安全、國家安全具有重要意義，即便滿足個人信息出境條件，各信息提供主體仍應(yīng)采取各項(xiàng)措施敦促、約束境外接收方承擔(dān)保護(hù)個人信息的責(zé)任與義務(wù)，采取防范信息泄露風(fēng)險的技術(shù)和管理措施，以確保我國的金融安全以及金融消費(fèi)者的個人信息安全。

四、結(jié)論

在全面數(shù)字化轉(zhuǎn)型的新時期，對保險業(yè)個人信息的保護(hù)是事關(guān)金融消費(fèi)者權(quán)益保護(hù)和數(shù)據(jù)治理的重要問題，構(gòu)建保險業(yè)個人信息保護(hù)的監(jiān)管法治框架僅為完善全鏈條治理體系的一個重要前提。除此之外，監(jiān)管部門、行業(yè)自律組織與保險公司作為保險市場的共同參與主體，還需在以下幾方面同向發(fā)力：

就監(jiān)管端而言，建議一是延伸監(jiān)管范圍至為保險機(jī)構(gòu)提供保險產(chǎn)品銷售的互聯(lián)網(wǎng)平臺等渠道，完善保險業(yè)個人信息保護(hù)的全鏈條監(jiān)管體系；二是加大監(jiān)管力度，進(jìn)一步開展有關(guān)個人信息保護(hù)的專項(xiàng)檢查并加大處罰力度，對于情節(jié)嚴(yán)重的違規(guī)行為探索直接適用《個人信息保護(hù)法》第六十六條第二款進(jìn)行處罰；三是加快構(gòu)建智能化的監(jiān)管體系與平臺，順應(yīng)保險業(yè)數(shù)字化轉(zhuǎn)型的趨勢。

就行業(yè)自律組織端而言，建議一是充分發(fā)揮行業(yè)自律組織的牽頭作用，設(shè)置擔(dān)負(fù)個人信息保護(hù)職責(zé)的專業(yè)委員會，定期研討數(shù)字化轉(zhuǎn)型中個人信息保護(hù)的前沿問題；二是出臺個人信息保護(hù)相關(guān)內(nèi)容的行業(yè)自律公約，加強(qiáng)自律督促；三是加快配置金融行業(yè)內(nèi)安全可控的官方數(shù)據(jù)平臺，確保個人信息的安全規(guī)范使用，集中進(jìn)行個人信息加密安全性、脫敏效果檢測等。

就保險公司端而言，建議一是建立以DPO（Data Protection Officer）為核心的個人信息保護(hù)合規(guī)體系；二是構(gòu)建標(biāo)準(zhǔn)化的個人信息保護(hù)閉環(huán)管理流程體系，嚴(yán)格信息系統(tǒng)的操作權(quán)限，強(qiáng)化個人信息保護(hù)的剛性約束機(jī)制等；三是厚植依法經(jīng)營意識與合規(guī)文化，提升從業(yè)人員尤其是保險代理人的個人信息保護(hù)意識，將個人信息保護(hù)要求納入績效考核體系，落實(shí)第一道防線職責(zé)，切實(shí)做到依法合規(guī)經(jīng)營與保護(hù)保險消費(fèi)者合法權(quán)益。