论《个人信息保护法》在保险领域的适用困境及进路

王 琳/ 华东政法大学经济法学院

一、问题的提出

随着信息时代的到来，个人信息已成为一项宝贵的资源。海量个人信息背后所蕴含的巨大商业价值使其成为经营者竞相争夺的对象。国内外早已将个人信息保护作为立法议题，保护个人信息的重要性更是不言自明。保险业务有其特有的运作模式，即保险人在收集投保信息的基础上，运用概率论和大数法则对海量的个人信息进行处理和分析，将个别危险发生及损失的不确定性转变为众多同类危险发生及损失的可预测性。在对危险共同体进行风险评估的基础上，保险人得以尽可能科学地设置与损失程度相当的保险费率，从而保障承担风险后果的保险消费者的群体利益，实现保险活动科学、有序发展。换言之，保险人对于个人信息的收集和运用贯穿于投保、核保以及理赔的全过程。

此外，根据保险的基本原则——最大诚信原则，保险人与投保人订立保险合同之时，投保人有义务就保险人的询问承担如实告知义务。在这一过程中，特别是对于人寿保险的核保而言，投保人需要提供的信息除了姓名、年龄等基本信息外，还包括有无家族遗传病史等关乎个人隐私的信息。这些隐私信息是《个人信息保护法》要重点保护的对象和内容。

然而，横向比较我国银行业与证券业等其他行业，这些行业出于对客户资金安全维护的需要，对个人信息的保护举措实现了与时俱进（田宇申，2021），而本应作为重点监管对象的保险行业却长期存在个人信息保护等相关法规缺位的情况（郑启福，2012）。即便是现行的《个人信息保护法》也仍以原则为导向，以一般性和概括性的规定为主，相关规定泛化、简单，尚难以满足保险行业的特殊要求。

保险行业通过收集和处理个人信息来运作的模式，与个人信息保护的主要方法存在与生俱来的矛盾。若一味地强调倾斜保护保险消费者的信息安全，势必会对保险行业的正常运作产生掣肘；而不对保险消费者给予特殊保护，又必将使得对保险消费者的个人信息保护成为空谈。

针对上述情况，笔者认为，《个人信息保护法》需要灵活、巧妙地运用于保险实践中，保险人要根据不同的保险场景设置对应的处理规则或原则。例如，保险人在处理个人信息时，应当根据敏感程度对信息进行分级，设置差异化的处理规则；保险领域适用“订立合同所必需”规则需要进行要件补全，“信息主体主动请求”则是该规则适用的必要条件；为保障保险消费者的知情权、同意权，保险人的说明义务原则上应当贯穿于保险活动的全过程，至于删除权一项，必须贯彻落实合法原则与目的限制原则。唯有如此，保险人才能真正实现对保险消费者个人信息保护和有效利用这两大目标的平衡。下文，笔者就《个人信息保护法》在保险领域的适用困境及进路等相关内容展开研究。

二、保险领域《个人信息保护法》的适用困境

（一）保险人对个人信息的处理程序有待完善

1.敏感信息需要分级保护

各国在对个人信息进行立法保护时，均强调了对一类信息的特殊保护，因为这类信息一旦受到侵害，信息主体的人格尊严或人身、财产安全都将受到严重威胁。欧盟《通用数据保护条例》（以下简称GDPR）将这类信息称为“特殊类别的个人数据”；日本于2005年颁布的《个人信息保护法》将其称为“需要谨慎对待的个人信息”；美国联邦《消费者数据隐私与安全法令》则将其称为“敏感数据”；我国《个人信息保护法》以“敏感信息”代称。

我国《个人信息保护法》采取“概括+列举”的形式对敏感信息进行定义。从其列举的类别来看，该定义不仅包括以人格权为特征的“生物识别、宗教信仰、医疗健康”等方面的信息，还涵盖了有关于财产隐私等方面的信息，如金融账户信息等。可见，我国关于敏感信息的判断标准既吸收了英美法中的财产要素，又吸收了欧盟法与日本法中的人格要素，即应当从是否容易导致自然人的人格尊严受到侵害和是否危害个人人身、财产安全两个标准出发，来判断某一类信息是否属于敏感信息（王利明，2022）。

然而，由于不同行业所涉及的敏感信息种类不同，《个人信息保护法》无法穷尽列举出敏感信息所应当涵盖的所有种类。因此，为使敏感信息得到更周延的保护，在保险领域适用《个人信息保护法》时，应当结合保险活动所需要收集和处理的个人信息特点，明确保险活动涉及的敏感信息种类。同时，行业的差异化又将导致敏感信息的分级标准难以统一，因此，《个人信息保护法》重定义而轻分级，对其第二十八条所列举的若干敏感信息不做任何梯级区分。

相较于一般个人信息，敏感信息确实有特殊保护的必要，但敏感信息之间也存在具体内容以及敏感程度的差异，这使得敏感信息也需要分级保护。笼统地对待一切敏感信息，不仅难以契合严格保护敏感信息的立法目的，更无法实现保险领域个人信息保护和利用这两大目标的平衡。因此，有必要结合保险行业的运作模式，构建敏感信息的分级保护制度。

2.“知情—同意”规则的豁免规定能否直接适用有待考究

我国《个人信息保护法》第十三条规定，个人信息的收集和处理可以分为两类正当化事由。其中，“知情—同意”规则是处理个人信息的核心规则，即个人在充分知情的前提下自愿、明确地表示同意后，信息处理者方可正当地处理个人信息。该规则的内涵在于：第一，信息处理者应当事先对信息处理事项进行充分告知；第二，个人同意后，其仍保留撤回同意的权利，且撤回权的行使不影响撤回前信息处理活动的效力；第三，个人信息处理的重要事项变更时，应当重新取得当事人同意。

此外，《个人信息保护法》第十三条还规定了无需经过当事人同意就能处理个人信息的几种特殊情形，即“知情—同意”规则的豁免情形。笔者结合保险业务活动，将这几种情形归纳为以下四类：第一，为订立、履行保险合同所必需；第二，保险人为履行法定职责或法定义务所必需；第三，保险人在紧急情况下为保护保险消费者的生命健康或财产安全所必需；第四，保险人在合法范围内处理保险消费者已合法公开的个人信息。其中，第一类尤其值得重点关注。订立、履行保险合同所必需指的是，如果保险人所需要收集和处理的信息是订立或履行保险合同所不可或缺的，那么其无需再取得保险消费者的单独同意，即可对保险消费者的个人信息进行处理。在保险合同缔约阶段，为确保信息的真实性以促成保险合同的订立，投保人有义务将其知悉的、可能影响保险人承保的重要信息如实告知保险人，即投保人的“如实告知义务”，该义务虽然为先合同义务，但作为投保人的一项法定义务，将直接影响保险合同的成立及合同内容（田宇申，2022）。因此，结合《个人信息保护法》第十三条第一款第二项的规定，投保人因履行如实告知义务所提供的个人信息，均应归于第一类情形之列。

《个人信息保护法》第十三条第一款第二项的规定将保险消费者对订立保险合同的合意视为其让渡相关个人信息处理权的许可，即保险消费者对接受保险服务的承诺等价于对个人信息的授权。从条文本身来看，似乎存在一定的合理性，而一旦运用于实际情况，所导致的后果将是“保险人对保险消费者大部分个人信息的处理并不需要经过其知情同意”，容易出现保险人以此为由扩大询问范围、要求保险消费者回答超出为提供保险服务目的所需的个人信息，这将直接导致保险领域中的“知情—同意”规则被架空。

因此，笔者认为，保险行业并不能当然适用《个人信息保护法》所规定的“订立合同所必需”规则，而是要对保险行业处理个人信息的正当化事由作更审慎的探讨，细分出合理的、易操作的、可适的事由，避免“知情—同意”规则被架空。

（二）保险消费者的权利需要重申

1.知情同意权需要落实

“知情—同意”规则是《个人信息保护法》用以保障信息主体个人信息自决权的核心规则。《个人信息保护法》强调以加强信息保护和促进信息利用为两大基本目标，意在以充分尊重个人信息自决权的前提下，通过“知情—同意”规则促进信息融合，从而发挥倍增效用（申卫星，2021）。

然而，在保险实践中，“知情—同意”规则的运用存在诸多问题。笔者浏览中国人民保险、太平洋保险以及平安保险等头部保险公司的官网后发现，上述保险公司均将其隐私政策置于官网首页的底端。用户在进行账户注册时，注册界面会有一排小号字体提示：“应当仔细阅读并同意相关隐私政策的全部内容”，且只有当用户点击同意才能进行后续注册。可是，在实际操作中，用户无需点击隐私政策、更无需花时间阅读，即可直接对同意选项进行勾选。因此，用户所作出的“同意”决定，很难被认定为系用户基于对隐私政策的完全知情所作出的意思表示。

此外，从隐私政策的具体内容来看，保险公司为满足《个人信息保护法》的要求规避自身法律风险，均倾向于采用“捆绑式”的方式，将法律法规内容照搬，列出晦涩且繁琐的隐私政策条款，又不对具体内容进行通俗化的解释、作出常人能够理解的说明，给普通保险消费者带来阅读和理解上的困难，使得保险消费者的知情权与同意权几近被“架空”，隐私政策沦为一纸空文。笔者呼吁，信息主体的知情权与同意权是其行使一切信息权利的基础，要想实现个人信息保护和利用的平衡，保险人就必须将“知情—同意”规则落到实处，切不可让该条规则流于形式。

2.删除权的内涵需要完善

《个人信息保护法》第四十七条对信息主体的删除权作了规定，从正面列举了删除权适用的四种具体情形，并设置了兜底条款；从反面规定了删除权行使的两种例外情形，即“法律、行政法规规定的保存期限未届满”“技术上难以实现删除”。在这两种例外情形下，信息处理主体除了采取必要的安全保护措施外，不得再对相关信息进行存储等处理。进一步解读可知，该条款还构建了一个信息主体的删除权与信息处理主体的主动删除义务相结合的复合结构（郭春镇、王海洋，2022），即删除应为信息处理主体的主动作为义务，也是信息主体行使删除权的前置程序，只有当信息处理主体在法定情形下没有履行删除义务时，信息主体才能请求其删除。

为落实《个人信息保护法》有关删除权的规定，各保险公司所出具的隐私协议中均包含了删除权的内容，但表达的意思并不一致。通过比对中国人民保险、太平洋保险、平安保险以及众安保险的隐私政策可以发现，这些隐私政策在引用《个人信息保护法》关于删除权的规定时，均以“我们可能无法立即删除”“我们可能难以删除”等文句进行补充。其中，中国人民保险和众安保险提出“将在备份更新时进行删除”；太平洋保险承诺“对无法删除的信息进行安全的储存，直至可以实现删除或匿名化处理”；平安保险则照搬《个人信息保护法》之规定，表明该公司除采取安全保护措施外，不会再对该信息进行任何处理。

从实际来看，保险人存在利用删除权的例外规定逃避履行删除义务之嫌。因为对保险人来说，数据和信息是宝贵财富，汇总、分析历史数据并从中挖掘业务的内在规律可以转变为商机。因此，保险人对于已持有的个人信息不会主动履行删除义务。那么，如何从技术上判断个人信息是否真的已经被删除？保险人究竟要做到何种程度才算已删除相关信息？笔者认为，切实解决上述两个问题是保障保险消费者删除权的关键所在。

三、建立保险人对个人信息的处理程序之必要性分析

（一）敏感信息分级制度的建立

《个人信息保护法》设专节对敏感信息进行定义，并规定处理敏感信息应当取得个人的单独同意，从而突出对敏感信息的特殊保护。但该法并没有涉及敏感信息分级保护的相关内容。纵观我国关于个人信息保护的行业标准及技术规范，《个人信息保护技术指引》和《个人金融信息保护技术规范》对个人敏感信息分级制度均有所涉及。其中，《个人信息保护技术指引》以个人信息价值及安全风险为标准将个人敏感信息划分为高敏感、中敏感、低敏感三个等级，以信息泄露对个人资产可能造成的影响程度进行敏感程度的区分。该技术指引虽没有对各级别的敏感信息种类作具体阐述，但明确要求各适用机构根据自身行业特点进行敏感信息分级。而《个人金融信息保护技术规范》则将个人金融信息按敏感程度划分为三个等级，第一级是C1级信息——信息处理机构内部的个人金融信息，如金融账户开立时间和开户机构等；第二级是C2级信息——可用于识别信息主体身份及其金融状况的信息，如支付账号、用户名等；第三级是C3级信息——用户鉴别信息，如个人生物识别信息、交易密码等。除了对个人金融信息进行敏感程度的区分外，该规范还强调应针对不同级别的敏感信息实施差异化的保护措施。

笔者建议，保险领域可以借鉴上述做法实行对个人敏感信息的分级，即以信息泄露可能造成的影响和危害程度为标准，将保险行业的敏感信息划分为低敏感、中敏感以及高敏感三个等级，并确定阶梯式的保护强度。具体而言，第一，将保险消费者的账户登录密码、交易密码、查询密码、生物识别类信息以及个人医疗健康类信息等认定为高敏感信息；第二，将证件信息及其等效信息、个人财产信息、交易信息以及家庭住址信息等认定为中敏感信息；第三，将账户开立时间等其他金融账户信息归类为低敏感信息。对于高敏感信息，保险人应当以限制或禁止处理为原则，以收集和处理为例外，强调收集和处理机构的资质，且在其传输过程中做到严格加密（田宇申，2021）；对于中敏感信息，保险人可以在采取有效安全保障措施的前提下进行收集和处理；对于低敏感信息，保险人可以在取得信息主体单独同意的前提下，通过强化事后风险控制的方式进行处理和运用。

笔者认为，敏感信息分级与分级保护制度的建立，可以实现保险人对保险信息资源的最大化利用，以此促成保险领域个人信息保护与利用的有效平衡。

（二）知情同意豁免情形在保险领域的正确适用

《个人信息保护法》第十三条第一款第二项的“合同必需规则”源自于GDPR第六条之规定。GDPR 以禁止数据处理为一般情形，以允许数据处理为例外情形。除将“同意规则”作为信息处理的正当性事由外，数据处理者可以出于履行合同义务的需要，或是应数据主体的请求在订立合同之前进行必需的数据处理。

在GDPR 中，若要将订立合同作为处理个人信息的正当化事由，必须要以信息主体的主动请求为要件，非信息主体的主动要求，数据处理者在未征得数据主体同意的情况下，仅因“订立合同所必需”而处理相关信息的行为是没有法律依据的。与此相对，我国《个人信息保护法》在引入这一规则时，将“信息主体的主动要求”这一要件删除，使得删改后的规则不仅不符合正当性原则，更忽视了信息主体的主观意愿，当其适用于保险领域时，更会因“告知义务”的存在而架空保险消费者的知情权和同意权。

对此，有学者认为，在合同尚处于缔约磋商或者初步接触阶段时，仍应当适用“知情—同意”规则，因此，应当将“合同必需”规则中关于“订立合同”的表述删除（程啸，2021）。在这一观点下，保险人即使因保险消费者履行如实告知义务而收集到了个人信息，但其后续对该信息进行处理时，仍需要经过保险消费者的知情同意。

另有学者认为，可以参照GDPR 对其构成要件进行填补，即增加“应信息主体要求采取措施”作为限制，从而实现目的论限缩（申卫星、杨旭，2022）。在此立场下，保险合同订立时，如果保险消费者就保险费进行询问，那么保险人可以以确定保费为目的，对保险消费者的相关信息进行处理。相反，如果保险消费者没有主动提出要求，保险人便不得擅自处理所收集到的个人信息。

对于上述两种不同的观点，笔者更赞成后者的观点。我国《个人信息保护法》中的“合同必需”规则被诟病的原因在于，相较于保险合同的履行阶段，保险人在合同订立阶段所获取的投保人的个人信息体量更为庞大。若在这一阶段毫无限制地适用“知情—同意”规则的豁免条款，那么保险消费者将失去其绝大部分个人信息的信息自决权。对此，无论是将“订立合同所必需”的豁免类型进行删除，还是在保留的基础上以“信息主体主动请求”为要件进行限缩，都能同等地实现对保险消费者信息自决权的保护。若是从提高保险消费者个人信息的利用效率来看，后者的观点更符合经济效益。

在实务中，保险人在处理保险消费者所提供的信息时，如果要反复取得保险消费者的同意，无疑会加重保险消费者的处理负担，繁琐又频繁的授权同意需求会使保险消费者疲于应对，从而难以审慎地阅读保险人有关个人信息处理的注意事项，无法认真地权衡后作出同意与否的决定，“知情—同意”规则反而流于形式。

综上，笔者认为，有必要对“订立合同所必需”规则进行必要的补全，即保险消费者所负的如实告知义务，不得单独作为保险人处理信息的合法性基础；只有在当事人主动要求采取措施的情况下，保险人才能以“订立保险合同所必需”规则作为其处理个人信息的正当化事由。

四、保险消费者的权利再造与保障

在保险行业，保险消费者与保险人之间存在明显的信息不对称。首先，保险合同是典型的格式合同，在保险合同订立之际，保险消费者只能选择是否接受该保险合同，而无权对保险合同的具体内容提出修改或调整的建议。此外，保险精算以个人信息数据为基础，根据“询问回答主义”，保险消费者又对保险人有关保险事项的询问负有如实告知义务。因此，在利益的驱动下，保险人极易以履行如实告知义务之名，对保险消费者的个人信息进行过度收集，损害保险消费者的合法权益，以提供保险服务之名行侵犯个人信息权益之实。在此情形下，保险人的信息收集手段不仅是保险消费者难以察觉的，而且其过度收集到的信息往往是关乎保险消费者个人隐私的敏感信息。

因此，在个人信息保护领域，有必要强调对保险消费者的倾斜保护，在强调保险消费者作为信息主体享有个人权利的同时，还应当要求保险人严格履行其作为信息处理主体的义务，从而保障保险消费者权益。

考虑到保险行业信息处理的特殊性，一味地强调强化保险人的义务将极大地限制保险活动的正常开展，不仅不利于保险人的信息化升级，而且会对保险行业的健康发展形成阻力。有鉴于此，为提高保险人对个人信息处理的效率，使其更好地服务于保险消费者，在倾斜保护的同时应当结合适度保护的理念，在实现个人信息保护与利用相平衡的视角下，对作为信息主体的保险消费者权利内涵进行二次解读。

笔者将从信息主体的核心权利——知情权出发，在强调保护与利用相平衡的基础上，结合保险活动中的实际情况对“知情—同意”规则进行再造，再进一步对知情同意权所衍生出的删除权进行补充说明。

（一）保险情境下的知情同意权

目前，我国在个人信息保护方面的立法重点关注信息处理的事前授权（朱芸阳，2021）。与之相对应的是，保险人为追求形式上的合法合规，将个人信息保护的重点放在事前阶段，具体表现形式为：保险人会罗列冗长的隐私条款供保险消费者阅读，并征求保险消费者的同意与授权。然而，同意决定的作出只有建立在充分知情的基础上才是有意义的，上述形式的逻辑缺陷在于，一旦隐私条款的事先说明流于形式，便无法确保被保险消费者真正知悉，也就难以保证“同意”的真实性，“知情—同意”规则就无法构建。因此，为了重申保险消费者的知情权和同意权，在对“知情—同意”规则进行调整时，正确的做法是将保险人告知义务的重心从事前扩展至保险业务活动开展的全过程，以弥补告知义务与保险消费者知情权之间的断层。

强调保险人告知义务的适当履行，首先要确保保险人告知义务的全过程履行（朱芸阳，2021）。具体来说，在事前阶段（即保险合同尚未订立之际），保险人要求保险消费者履行如实告知义务时，应当主动对所需信息的收集目的、使用范围以及处理方法等作出说明，说明的标准和方式可以参考保险人提示说明义务的相关内容（范庆荣，2023）；在事中阶段，如发生保险事故后，保险人虽然可以依据《个人信息保护法》第十三条“为履行合同所必需”（保险人为实施理赔所必需）的规定，在不经过保险消费者知情和同意的情况下直接收集和处理相关个人信息，但仍需要将个人信息的处理情况以电子邮件等方式及时地告知信息主体；事后阶段则强调追责，是指保险消费者的个人信息一旦被泄露，保险人应当及时对损害情况进行披露，并将其已经采用的补救措施告知信息主体。此外，为减轻保险消费者的阅读负担，保险人定期发送的告知邮件应当采取简明与详尽相结合的方式，以满足保险消费者的差异化需求，从而防止繁琐的信息披露让告知义务再次流于形式。

（二）对删除权内涵的完善

1.删除权的行使所需达到的法律效果

对于行使删除权所能达到的实际效果，学界存在两种观点。“实质删除说”认为，所谓删除，是指“不可被检索、访问的状态”在技术上不可逆转（万方，2021）。而“逻辑删除说”则认为，删除最终导向“信息处理的合法性与必要性基础丧失”，并不包括“数据归于消灭”的内涵（赵精武，2022）。只要信息处理主体或他人无法取得、读取与使用个人信息，即构成删除（程啸，2022）。

从实际操作来看，两种观点都以实现个人信息的“不可再用”为目的，但“实质删除说”对信息处理主体提出了更高的技术要求，而“逻辑删除说”则是对删除的扩张解释。笔者认为，结合保险人的数据处理现状，要想平衡保险消费者的个人信息保护与保险人的合规成本，在保险领域适用《个人信息保护法》第四十七条时，应当采用“逻辑删除说”，对删除作扩张解释。在大数据时代，强调信息的彻底灭失是一种理想化的追求，彻底删除数据库中所存储的个人信息既不符合经济效益，也会对数据库造成安全隐患。强调“信息处理主体在当前技术下无法再处理个人信息”是对“实质删除说”更具合理性的替代，如果坚持将删除解释为数据的彻底擦除，则绝大多数信息处理主体将不得不以“删除个人信息从技术上难以实现”为由，逃避履行删除义务，反而使得信息主体的删除权沦为空谈。

2.“删除个人信息从技术上难以实现”的明确

判断保险人是否难以从技术上实现个人信息的删除有两大标准：现有技术无法做到删除个人信息，或为实现删除目的必须投入不合理的成本。

现有技术无法做到是一种客观的标准，应当结合具体的场景来分析其所代表的技术水平：是行业的一般技术水平还是特定信息处理主体的技术水平？以保险行业为例，如果基于保险行业当前的技术水平，可以实现对个人信息的删除，那么个别保险人不得以其技术低于行业一般水平为由拒绝履行删除义务；如果作为信息处理主体的保险人的技术水平高于行业的一般水平，那么此时的现有技术指的是该特定保险人的处理技术（郭春镇、王海洋，2022）。

尽管当前技术水平能实现删除，但若要达成该目的，保险人要付出不合理的成本，这种情形也被认定为保险人难以从技术上实现删除。但在这种场景下，保险人需要向保险消费者承担证明责任，应当详尽且真实地说明其履行删除义务所付出的成本。

综上所述，《个人信息保护法》第四十七条的“删除”应当作扩张解释，以“信息处理主体无法再处理个人信息”作为删除权行使的法律效果。同时，以“技术难以实现”为由拒绝履行删除义务的信息处理主体应当承担证明责任，证明自身技术及行业一般技术当前均无法做到或需要付出不合理的成本才能删除。

五、结语

基于保险行业的特殊性，单一地强调个人信息的保护或利用都不利于保险行业的健康发展。为实现保护与利用的平衡，当《个人信息保护法》适用于保险领域时，其一般性规定需要在保险场景下作具体解读。

第一，保险人在收集和处理个人信息的过程中，应当根据敏感程度对敏感信息进行分级，设置差异化的处理规则，以实现保险人对保险信息资源的最大化利用。同时，保险领域适用“订立合同所必需”规则需要进行要件补全，“信息主体主动请求”应作为该规则适用的必要条件。

第二，保险消费者的信息权利应当进行重申，以强化保险人的告知义务来确保保险消费者知情权和同意权的落实；确定保险消费者删除权的内涵，将删除扩张解释为“信息处理主体在当前技术下无法再处理个人信息”，并明确保险人拒绝履行删除义务时自身应当承担的举证责任。