論《個人信息保護法》在保險領域的適用困境及進路

王 琳/ 華東政法大學經濟法學院

一、問題的提出

隨著信息時代的到來，個人信息已成為一項寶貴的資源。海量個人信息背后所蘊含的巨大商業價值使其成為經營者競相爭奪的對象。國內外早已將個人信息保護作為立法議題，保護個人信息的重要性更是不言自明。保險業務有其特有的運作模式，即保險人在收集投保信息的基礎上，運用概率論和大數法則對海量的個人信息進行處理和分析，將個別危險發生及損失的不確定性轉變為眾多同類危險發生及損失的可預測性。在對危險共同體進行風險評估的基礎上，保險人得以盡可能科學地設置與損失程度相當的保險費率，從而保障承擔風險后果的保險消費者的群體利益，實現保險活動科學、有序發展。換言之，保險人對于個人信息的收集和運用貫穿于投保、核保以及理賠的全過程。

此外，根據保險的基本原則——最大誠信原則，保險人與投保人訂立保險合同之時，投保人有義務就保險人的詢問承擔如實告知義務。在這一過程中，特別是對于人壽保險的核保而言，投保人需要提供的信息除了姓名、年齡等基本信息外，還包括有無家族遺傳病史等關乎個人隱私的信息。這些隱私信息是《個人信息保護法》要重點保護的對象和內容。

然而，橫向比較我國銀行業與證券業等其他行業，這些行業出于對客戶資金安全維護的需要，對個人信息的保護舉措實現了與時俱進（田宇申，2021），而本應作為重點監管對象的保險行業卻長期存在個人信息保護等相關法規缺位的情況（鄭啟福，2012）。即便是現行的《個人信息保護法》也仍以原則為導向，以一般性和概括性的規定為主，相關規定泛化、簡單，尚難以滿足保險行業的特殊要求。

保險行業通過收集和處理個人信息來運作的模式，與個人信息保護的主要方法存在與生俱來的矛盾。若一味地強調傾斜保護保險消費者的信息安全，勢必會對保險行業的正常運作產生掣肘；而不對保險消費者給予特殊保護，又必將使得對保險消費者的個人信息保護成為空談。

針對上述情況，筆者認為，《個人信息保護法》需要靈活、巧妙地運用于保險實踐中，保險人要根據不同的保險場景設置對應的處理規則或原則。例如，保險人在處理個人信息時，應當根據敏感程度對信息進行分級，設置差異化的處理規則；保險領域適用“訂立合同所必需”規則需要進行要件補全，“信息主體主動請求”則是該規則適用的必要條件；為保障保險消費者的知情權、同意權，保險人的說明義務原則上應當貫穿于保險活動的全過程，至于刪除權一項，必須貫徹落實合法原則與目的限制原則。唯有如此，保險人才能真正實現對保險消費者個人信息保護和有效利用這兩大目標的平衡。下文，筆者就《個人信息保護法》在保險領域的適用困境及進路等相關內容展開研究。

二、保險領域《個人信息保護法》的適用困境

（一）保險人對個人信息的處理程序有待完善

1.敏感信息需要分級保護

各國在對個人信息進行立法保護時，均強調了對一類信息的特殊保護，因為這類信息一旦受到侵害，信息主體的人格尊嚴或人身、財產安全都將受到嚴重威脅。歐盟《通用數據保護條例》（以下簡稱GDPR）將這類信息稱為“特殊類別的個人數據”；日本于2005年頒布的《個人信息保護法》將其稱為“需要謹慎對待的個人信息”；美國聯邦《消費者數據隱私與安全法令》則將其稱為“敏感數據”；我國《個人信息保護法》以“敏感信息”代稱。

我國《個人信息保護法》采取“概括+列舉”的形式對敏感信息進行定義。從其列舉的類別來看，該定義不僅包括以人格權為特征的“生物識別、宗教信仰、醫療健康”等方面的信息，還涵蓋了有關于財產隱私等方面的信息，如金融賬戶信息等?？梢?，我國關于敏感信息的判斷標準既吸收了英美法中的財產要素，又吸收了歐盟法與日本法中的人格要素，即應當從是否容易導致自然人的人格尊嚴受到侵害和是否危害個人人身、財產安全兩個標準出發，來判斷某一類信息是否屬于敏感信息（王利明，2022）。

然而，由于不同行業所涉及的敏感信息種類不同，《個人信息保護法》無法窮盡列舉出敏感信息所應當涵蓋的所有種類。因此，為使敏感信息得到更周延的保護，在保險領域適用《個人信息保護法》時，應當結合保險活動所需要收集和處理的個人信息特點，明確保險活動涉及的敏感信息種類。同時，行業的差異化又將導致敏感信息的分級標準難以統一，因此，《個人信息保護法》重定義而輕分級，對其第二十八條所列舉的若干敏感信息不做任何梯級區分。

相較于一般個人信息，敏感信息確實有特殊保護的必要，但敏感信息之間也存在具體內容以及敏感程度的差異，這使得敏感信息也需要分級保護?；\統地對待一切敏感信息，不僅難以契合嚴格保護敏感信息的立法目的，更無法實現保險領域個人信息保護和利用這兩大目標的平衡。因此，有必要結合保險行業的運作模式，構建敏感信息的分級保護制度。

2.“知情—同意”規則的豁免規定能否直接適用有待考究

我國《個人信息保護法》第十三條規定，個人信息的收集和處理可以分為兩類正當化事由。其中，“知情—同意”規則是處理個人信息的核心規則，即個人在充分知情的前提下自愿、明確地表示同意后，信息處理者方可正當地處理個人信息。該規則的內涵在于：第一，信息處理者應當事先對信息處理事項進行充分告知；第二，個人同意后，其仍保留撤回同意的權利，且撤回權的行使不影響撤回前信息處理活動的效力；第三，個人信息處理的重要事項變更時，應當重新取得當事人同意。

此外，《個人信息保護法》第十三條還規定了無需經過當事人同意就能處理個人信息的幾種特殊情形，即“知情—同意”規則的豁免情形。筆者結合保險業務活動，將這幾種情形歸納為以下四類：第一，為訂立、履行保險合同所必需；第二，保險人為履行法定職責或法定義務所必需；第三，保險人在緊急情況下為保護保險消費者的生命健康或財產安全所必需；第四，保險人在合法范圍內處理保險消費者已合法公開的個人信息。其中，第一類尤其值得重點關注。訂立、履行保險合同所必需指的是，如果保險人所需要收集和處理的信息是訂立或履行保險合同所不可或缺的，那么其無需再取得保險消費者的單獨同意，即可對保險消費者的個人信息進行處理。在保險合同締約階段，為確保信息的真實性以促成保險合同的訂立，投保人有義務將其知悉的、可能影響保險人承保的重要信息如實告知保險人，即投保人的“如實告知義務”，該義務雖然為先合同義務，但作為投保人的一項法定義務，將直接影響保險合同的成立及合同內容（田宇申，2022）。因此，結合《個人信息保護法》第十三條第一款第二項的規定，投保人因履行如實告知義務所提供的個人信息，均應歸于第一類情形之列。

《個人信息保護法》第十三條第一款第二項的規定將保險消費者對訂立保險合同的合意視為其讓渡相關個人信息處理權的許可，即保險消費者對接受保險服務的承諾等價于對個人信息的授權。從條文本身來看，似乎存在一定的合理性，而一旦運用于實際情況，所導致的后果將是“保險人對保險消費者大部分個人信息的處理并不需要經過其知情同意”，容易出現保險人以此為由擴大詢問范圍、要求保險消費者回答超出為提供保險服務目的所需的個人信息，這將直接導致保險領域中的“知情—同意”規則被架空。

因此，筆者認為，保險行業并不能當然適用《個人信息保護法》所規定的“訂立合同所必需”規則，而是要對保險行業處理個人信息的正當化事由作更審慎的探討，細分出合理的、易操作的、可適的事由，避免“知情—同意”規則被架空。

（二）保險消費者的權利需要重申

1.知情同意權需要落實

“知情—同意”規則是《個人信息保護法》用以保障信息主體個人信息自決權的核心規則?！秱€人信息保護法》強調以加強信息保護和促進信息利用為兩大基本目標，意在以充分尊重個人信息自決權的前提下，通過“知情—同意”規則促進信息融合，從而發揮倍增效用（申衛星，2021）。

然而，在保險實踐中，“知情—同意”規則的運用存在諸多問題。筆者瀏覽中國人民保險、太平洋保險以及平安保險等頭部保險公司的官網后發現，上述保險公司均將其隱私政策置于官網首頁的底端。用戶在進行賬戶注冊時，注冊界面會有一排小號字體提示：“應當仔細閱讀并同意相關隱私政策的全部內容”，且只有當用戶點擊同意才能進行后續注冊?？墒?，在實際操作中，用戶無需點擊隱私政策、更無需花時間閱讀，即可直接對同意選項進行勾選。因此，用戶所作出的“同意”決定，很難被認定為系用戶基于對隱私政策的完全知情所作出的意思表示。

此外，從隱私政策的具體內容來看，保險公司為滿足《個人信息保護法》的要求規避自身法律風險，均傾向于采用“捆綁式”的方式，將法律法規內容照搬，列出晦澀且繁瑣的隱私政策條款，又不對具體內容進行通俗化的解釋、作出常人能夠理解的說明，給普通保險消費者帶來閱讀和理解上的困難，使得保險消費者的知情權與同意權幾近被“架空”，隱私政策淪為一紙空文。筆者呼吁，信息主體的知情權與同意權是其行使一切信息權利的基礎，要想實現個人信息保護和利用的平衡，保險人就必須將“知情—同意”規則落到實處，切不可讓該條規則流于形式。

2.刪除權的內涵需要完善

《個人信息保護法》第四十七條對信息主體的刪除權作了規定，從正面列舉了刪除權適用的四種具體情形，并設置了兜底條款；從反面規定了刪除權行使的兩種例外情形，即“法律、行政法規規定的保存期限未屆滿”“技術上難以實現刪除”。在這兩種例外情形下，信息處理主體除了采取必要的安全保護措施外，不得再對相關信息進行存儲等處理。進一步解讀可知，該條款還構建了一個信息主體的刪除權與信息處理主體的主動刪除義務相結合的復合結構（郭春鎮、王海洋，2022），即刪除應為信息處理主體的主動作為義務，也是信息主體行使刪除權的前置程序，只有當信息處理主體在法定情形下沒有履行刪除義務時，信息主體才能請求其刪除。

為落實《個人信息保護法》有關刪除權的規定，各保險公司所出具的隱私協議中均包含了刪除權的內容，但表達的意思并不一致。通過比對中國人民保險、太平洋保險、平安保險以及眾安保險的隱私政策可以發現，這些隱私政策在引用《個人信息保護法》關于刪除權的規定時，均以“我們可能無法立即刪除”“我們可能難以刪除”等文句進行補充。其中，中國人民保險和眾安保險提出“將在備份更新時進行刪除”；太平洋保險承諾“對無法刪除的信息進行安全的儲存，直至可以實現刪除或匿名化處理”；平安保險則照搬《個人信息保護法》之規定，表明該公司除采取安全保護措施外，不會再對該信息進行任何處理。

從實際來看，保險人存在利用刪除權的例外規定逃避履行刪除義務之嫌。因為對保險人來說，數據和信息是寶貴財富，匯總、分析歷史數據并從中挖掘業務的內在規律可以轉變為商機。因此，保險人對于已持有的個人信息不會主動履行刪除義務。那么，如何從技術上判斷個人信息是否真的已經被刪除？保險人究竟要做到何種程度才算已刪除相關信息？筆者認為，切實解決上述兩個問題是保障保險消費者刪除權的關鍵所在。

三、建立保險人對個人信息的處理程序之必要性分析

（一）敏感信息分級制度的建立

《個人信息保護法》設專節對敏感信息進行定義，并規定處理敏感信息應當取得個人的單獨同意，從而突出對敏感信息的特殊保護。但該法并沒有涉及敏感信息分級保護的相關內容?？v觀我國關于個人信息保護的行業標準及技術規范，《個人信息保護技術指引》和《個人金融信息保護技術規范》對個人敏感信息分級制度均有所涉及。其中，《個人信息保護技術指引》以個人信息價值及安全風險為標準將個人敏感信息劃分為高敏感、中敏感、低敏感三個等級，以信息泄露對個人資產可能造成的影響程度進行敏感程度的區分。該技術指引雖沒有對各級別的敏感信息種類作具體闡述，但明確要求各適用機構根據自身行業特點進行敏感信息分級。而《個人金融信息保護技術規范》則將個人金融信息按敏感程度劃分為三個等級，第一級是C1級信息——信息處理機構內部的個人金融信息，如金融賬戶開立時間和開戶機構等；第二級是C2級信息——可用于識別信息主體身份及其金融狀況的信息，如支付賬號、用戶名等；第三級是C3級信息——用戶鑒別信息，如個人生物識別信息、交易密碼等。除了對個人金融信息進行敏感程度的區分外，該規范還強調應針對不同級別的敏感信息實施差異化的保護措施。

筆者建議，保險領域可以借鑒上述做法實行對個人敏感信息的分級，即以信息泄露可能造成的影響和危害程度為標準，將保險行業的敏感信息劃分為低敏感、中敏感以及高敏感三個等級，并確定階梯式的保護強度。具體而言，第一，將保險消費者的賬戶登錄密碼、交易密碼、查詢密碼、生物識別類信息以及個人醫療健康類信息等認定為高敏感信息；第二，將證件信息及其等效信息、個人財產信息、交易信息以及家庭住址信息等認定為中敏感信息；第三，將賬戶開立時間等其他金融賬戶信息歸類為低敏感信息。對于高敏感信息，保險人應當以限制或禁止處理為原則，以收集和處理為例外，強調收集和處理機構的資質，且在其傳輸過程中做到嚴格加密（田宇申，2021）；對于中敏感信息，保險人可以在采取有效安全保障措施的前提下進行收集和處理；對于低敏感信息，保險人可以在取得信息主體單獨同意的前提下，通過強化事后風險控制的方式進行處理和運用。

筆者認為，敏感信息分級與分級保護制度的建立，可以實現保險人對保險信息資源的最大化利用，以此促成保險領域個人信息保護與利用的有效平衡。

（二）知情同意豁免情形在保險領域的正確適用

《個人信息保護法》第十三條第一款第二項的“合同必需規則”源自于GDPR第六條之規定。GDPR 以禁止數據處理為一般情形，以允許數據處理為例外情形。除將“同意規則”作為信息處理的正當性事由外，數據處理者可以出于履行合同義務的需要，或是應數據主體的請求在訂立合同之前進行必需的數據處理。

在GDPR 中，若要將訂立合同作為處理個人信息的正當化事由，必須要以信息主體的主動請求為要件，非信息主體的主動要求，數據處理者在未征得數據主體同意的情況下，僅因“訂立合同所必需”而處理相關信息的行為是沒有法律依據的。與此相對，我國《個人信息保護法》在引入這一規則時，將“信息主體的主動要求”這一要件刪除，使得刪改后的規則不僅不符合正當性原則，更忽視了信息主體的主觀意愿，當其適用于保險領域時，更會因“告知義務”的存在而架空保險消費者的知情權和同意權。

對此，有學者認為，在合同尚處于締約磋商或者初步接觸階段時，仍應當適用“知情—同意”規則，因此，應當將“合同必需”規則中關于“訂立合同”的表述刪除（程嘯，2021）。在這一觀點下，保險人即使因保險消費者履行如實告知義務而收集到了個人信息，但其后續對該信息進行處理時，仍需要經過保險消費者的知情同意。

另有學者認為，可以參照GDPR 對其構成要件進行填補，即增加“應信息主體要求采取措施”作為限制，從而實現目的論限縮（申衛星、楊旭，2022）。在此立場下，保險合同訂立時，如果保險消費者就保險費進行詢問，那么保險人可以以確定保費為目的，對保險消費者的相關信息進行處理。相反，如果保險消費者沒有主動提出要求，保險人便不得擅自處理所收集到的個人信息。

對于上述兩種不同的觀點，筆者更贊成后者的觀點。我國《個人信息保護法》中的“合同必需”規則被詬病的原因在于，相較于保險合同的履行階段，保險人在合同訂立階段所獲取的投保人的個人信息體量更為龐大。若在這一階段毫無限制地適用“知情—同意”規則的豁免條款，那么保險消費者將失去其絕大部分個人信息的信息自決權。對此，無論是將“訂立合同所必需”的豁免類型進行刪除，還是在保留的基礎上以“信息主體主動請求”為要件進行限縮，都能同等地實現對保險消費者信息自決權的保護。若是從提高保險消費者個人信息的利用效率來看，后者的觀點更符合經濟效益。

在實務中，保險人在處理保險消費者所提供的信息時，如果要反復取得保險消費者的同意，無疑會加重保險消費者的處理負擔，繁瑣又頻繁的授權同意需求會使保險消費者疲于應對，從而難以審慎地閱讀保險人有關個人信息處理的注意事項，無法認真地權衡后作出同意與否的決定，“知情—同意”規則反而流于形式。

綜上，筆者認為，有必要對“訂立合同所必需”規則進行必要的補全，即保險消費者所負的如實告知義務，不得單獨作為保險人處理信息的合法性基礎；只有在當事人主動要求采取措施的情況下，保險人才能以“訂立保險合同所必需”規則作為其處理個人信息的正當化事由。

四、保險消費者的權利再造與保障

在保險行業，保險消費者與保險人之間存在明顯的信息不對稱。首先，保險合同是典型的格式合同，在保險合同訂立之際，保險消費者只能選擇是否接受該保險合同，而無權對保險合同的具體內容提出修改或調整的建議。此外，保險精算以個人信息數據為基礎，根據“詢問回答主義”，保險消費者又對保險人有關保險事項的詢問負有如實告知義務。因此，在利益的驅動下，保險人極易以履行如實告知義務之名，對保險消費者的個人信息進行過度收集，損害保險消費者的合法權益，以提供保險服務之名行侵犯個人信息權益之實。在此情形下，保險人的信息收集手段不僅是保險消費者難以察覺的，而且其過度收集到的信息往往是關乎保險消費者個人隱私的敏感信息。

因此，在個人信息保護領域，有必要強調對保險消費者的傾斜保護，在強調保險消費者作為信息主體享有個人權利的同時，還應當要求保險人嚴格履行其作為信息處理主體的義務，從而保障保險消費者權益。

考慮到保險行業信息處理的特殊性，一味地強調強化保險人的義務將極大地限制保險活動的正常開展，不僅不利于保險人的信息化升級，而且會對保險行業的健康發展形成阻力。有鑒于此，為提高保險人對個人信息處理的效率，使其更好地服務于保險消費者，在傾斜保護的同時應當結合適度保護的理念，在實現個人信息保護與利用相平衡的視角下，對作為信息主體的保險消費者權利內涵進行二次解讀。

筆者將從信息主體的核心權利——知情權出發，在強調保護與利用相平衡的基礎上，結合保險活動中的實際情況對“知情—同意”規則進行再造，再進一步對知情同意權所衍生出的刪除權進行補充說明。

（一）保險情境下的知情同意權

目前，我國在個人信息保護方面的立法重點關注信息處理的事前授權（朱蕓陽，2021）。與之相對應的是，保險人為追求形式上的合法合規，將個人信息保護的重點放在事前階段，具體表現形式為：保險人會羅列冗長的隱私條款供保險消費者閱讀，并征求保險消費者的同意與授權。然而，同意決定的作出只有建立在充分知情的基礎上才是有意義的，上述形式的邏輯缺陷在于，一旦隱私條款的事先說明流于形式，便無法確保被保險消費者真正知悉，也就難以保證“同意”的真實性，“知情—同意”規則就無法構建。因此，為了重申保險消費者的知情權和同意權，在對“知情—同意”規則進行調整時，正確的做法是將保險人告知義務的重心從事前擴展至保險業務活動開展的全過程，以彌補告知義務與保險消費者知情權之間的斷層。

強調保險人告知義務的適當履行，首先要確保保險人告知義務的全過程履行（朱蕓陽，2021）。具體來說，在事前階段（即保險合同尚未訂立之際），保險人要求保險消費者履行如實告知義務時，應當主動對所需信息的收集目的、使用范圍以及處理方法等作出說明，說明的標準和方式可以參考保險人提示說明義務的相關內容（范慶榮，2023）；在事中階段，如發生保險事故后，保險人雖然可以依據《個人信息保護法》第十三條“為履行合同所必需”（保險人為實施理賠所必需）的規定，在不經過保險消費者知情和同意的情況下直接收集和處理相關個人信息，但仍需要將個人信息的處理情況以電子郵件等方式及時地告知信息主體；事后階段則強調追責，是指保險消費者的個人信息一旦被泄露，保險人應當及時對損害情況進行披露，并將其已經采用的補救措施告知信息主體。此外，為減輕保險消費者的閱讀負擔，保險人定期發送的告知郵件應當采取簡明與詳盡相結合的方式，以滿足保險消費者的差異化需求，從而防止繁瑣的信息披露讓告知義務再次流于形式。

（二）對刪除權內涵的完善

1.刪除權的行使所需達到的法律效果

對于行使刪除權所能達到的實際效果，學界存在兩種觀點?！皩嵸|刪除說”認為，所謂刪除，是指“不可被檢索、訪問的狀態”在技術上不可逆轉（萬方，2021）。而“邏輯刪除說”則認為，刪除最終導向“信息處理的合法性與必要性基礎喪失”，并不包括“數據歸于消滅”的內涵（趙精武，2022）。只要信息處理主體或他人無法取得、讀取與使用個人信息，即構成刪除（程嘯，2022）。

從實際操作來看，兩種觀點都以實現個人信息的“不可再用”為目的，但“實質刪除說”對信息處理主體提出了更高的技術要求，而“邏輯刪除說”則是對刪除的擴張解釋。筆者認為，結合保險人的數據處理現狀，要想平衡保險消費者的個人信息保護與保險人的合規成本，在保險領域適用《個人信息保護法》第四十七條時，應當采用“邏輯刪除說”，對刪除作擴張解釋。在大數據時代，強調信息的徹底滅失是一種理想化的追求，徹底刪除數據庫中所存儲的個人信息既不符合經濟效益，也會對數據庫造成安全隱患。強調“信息處理主體在當前技術下無法再處理個人信息”是對“實質刪除說”更具合理性的替代，如果堅持將刪除解釋為數據的徹底擦除，則絕大多數信息處理主體將不得不以“刪除個人信息從技術上難以實現”為由，逃避履行刪除義務，反而使得信息主體的刪除權淪為空談。

2.“刪除個人信息從技術上難以實現”的明確

判斷保險人是否難以從技術上實現個人信息的刪除有兩大標準：現有技術無法做到刪除個人信息，或為實現刪除目的必須投入不合理的成本。

現有技術無法做到是一種客觀的標準，應當結合具體的場景來分析其所代表的技術水平：是行業的一般技術水平還是特定信息處理主體的技術水平？以保險行業為例，如果基于保險行業當前的技術水平，可以實現對個人信息的刪除，那么個別保險人不得以其技術低于行業一般水平為由拒絕履行刪除義務；如果作為信息處理主體的保險人的技術水平高于行業的一般水平，那么此時的現有技術指的是該特定保險人的處理技術（郭春鎮、王海洋，2022）。

盡管當前技術水平能實現刪除，但若要達成該目的，保險人要付出不合理的成本，這種情形也被認定為保險人難以從技術上實現刪除。但在這種場景下，保險人需要向保險消費者承擔證明責任，應當詳盡且真實地說明其履行刪除義務所付出的成本。

綜上所述，《個人信息保護法》第四十七條的“刪除”應當作擴張解釋，以“信息處理主體無法再處理個人信息”作為刪除權行使的法律效果。同時，以“技術難以實現”為由拒絕履行刪除義務的信息處理主體應當承擔證明責任，證明自身技術及行業一般技術當前均無法做到或需要付出不合理的成本才能刪除。

五、結語

基于保險行業的特殊性，單一地強調個人信息的保護或利用都不利于保險行業的健康發展。為實現保護與利用的平衡，當《個人信息保護法》適用于保險領域時，其一般性規定需要在保險場景下作具體解讀。

第一，保險人在收集和處理個人信息的過程中，應當根據敏感程度對敏感信息進行分級，設置差異化的處理規則，以實現保險人對保險信息資源的最大化利用。同時，保險領域適用“訂立合同所必需”規則需要進行要件補全，“信息主體主動請求”應作為該規則適用的必要條件。

第二，保險消費者的信息權利應當進行重申，以強化保險人的告知義務來確保保險消費者知情權和同意權的落實；確定保險消費者刪除權的內涵，將刪除擴張解釋為“信息處理主體在當前技術下無法再處理個人信息”，并明確保險人拒絕履行刪除義務時自身應當承擔的舉證責任。