保险业个人信息保护的价值衡量与规范路径 ——以《个人信息保护法》为背景

扫描分享

本文共字，预计阅读时间。

文/田宇申北京航空航天大学法学院博士研究生

摘要：我国《个人信息保护法》出台后，确立了个人信息保护的一般规则。保险业具有公共属性，其大数法则等保险技术及内含的权义规则可能会导致个人信息保护通用规则适用的困境，需要通过保险业规章进行更加针对化的设计。其一，严格解释保险个人信息中敏感信息的外延，尤其将金融信息和健康信息进行分类处理。其二，细化个人信息匿名化处理规则，以兼容保险精算的非识别性和准确性。其三，严格限制知情同意豁免情形在保险业的适用。其四，将个人信息处理告知义务融入保险说明义务之中。最后，将自动化决策中的算法解释权进行细化明确。

关键词：个人信息保护敏感个人信息知情同意原则如实告知义务保险说明义务

一、引言

《个人信息保护法》（以下简称《个保法》）施行后，对于金融行业信息收集利用带来诸多影响。如正在征求意见的《金融产品网络营销管理办法》第二十八条明确强调网信部门应与电信、金融部门联合监管个人信息保护情况，体现金融行业对于《个保法》的贯彻落地。长期以来，基于投资者适当性规则指引和资金安全维护的需要，金融行业中证券业及银行业对消费者的个人信息保护较为重视，相关规则较为完善，尤其体现在《中国人民银行金融消费者权益保护实施办法》（以下简称《实施办法》）不仅对于金融信息进行定义，且对于银行、支付机构处理金融信息的基本原则、义务及消费者权利进行了明确。虽然保险业为金融行业的重要分支，但由于其对于信息处理的依赖程度更高，基于费率厘定等保险精算的需要及如实告知义务的要求，保险业个人信息保护立法长期处于缺位状态。虽然这更加便捷保险机构开展业务，有效发挥保险分散社会风险的积极作用，但保险机构过度收集处理个人信息的情形也普遍存在，尤其体现在敏感信息之中。因此《个保法》作为规范个人信息处理的“基本法”，对各行业个人信息处理的行为均具有规制作用。然而，由于保险业个人信息收集和利用会受到保险精算技术及如实告知义务、明确说明义务等保险法特设义务的影响，如对《个保法》不加以解释的直接援引，势必会造成具体应用场景下的适用困境。因此，保险业应当在明确个人信息保护基本价值的基础上，根据个人信息保护与保险法规则的适配性，进行特别法上更加细化性且针对性的设计。

二、保险业在个人信息保护中的利益衡量

（一）倾斜保护原则与适度保护原则的平衡

《个保法》兼具公法和私法的属性，与《保险法》兼具商法和经济法双重属性相类似，不仅负担维护经济社会平稳运行的责任，更肩负保障公民私权利的重任。在保险业，投保人与保险机构处于显著不对等地位，如以意思自治原则介入，追求形式平等的同时易导致保险机构利用自身强势地位侵害投保人利益。譬如利用优势地位强制缔约，无正当理由拒绝履行合同义务等。倾斜保护原则关注投保人作为保险消费者的弱势地位，通过加强保险机构法定义务，强化投保人权利救济，以维系保险交易公平性，实现社会实质正义。同时，倾斜保护并非意味着为投保人完全牺牲其他各方利益，这种倾斜保护本身为法益权衡后的决断。投保人权益保护的同时应兼顾保险市场创新活力以及市场交易的效率价值。适度保护原则即为避免矫枉过正，纠偏倾斜保护下带来的实质不公。

保险业在个人信息的处理中，也应坚持倾斜保护原则与适度保护原则的平衡。一方面，保险业个人信息类型多样，错综复杂，其中不乏对个人具有直接、重大影响的敏感信息。敏感信息一旦泄露会对人格尊严和财产利益带来不可逆的损害，在保险业更应注重严格保护。另一方面，个人信息的处理在协助保险人控制风险和拟定费率中发挥重要作用，保险较一般商事活动更强调信息处理对于业务开展的有效支撑，此乃保险业赖以生成和运营的基础。互联网信息技术的发展模糊了信息收集的边界并加重信息保护难度，但也不应因此否定其对于保险营销便捷性和效率性的提升。适度保护原则要求注重保险业信息处理的特殊性，在《个保法》基础上进行针对性的制度构建。

（二）保险商业利益与个体人格权益保护的平衡

早在《民法典》人格权编立法讨论时，有观点指出，对个人信息进行过于严格的确权保护，赋予信息主体任意打断信息传播的权利，信息处理者深陷花费不合理成本进行权利侵害认定的窘境，[1]这会影响互联网信息流通所带来的商业价值且阻碍互联网信息技术的自由发展。[2]我国作为互联网产业较为发达的国家，大数据的利用为企业带来了核心竞争力。[3]《个保法》不仅应考虑信息所有者人格利益的保护，也应将互联网机构的商业利益纳入衡量。此外，保险本身即为依信息而生的产业，信息收集的精确度越高，保险机构经济损失的概率更低，保险商业利益越得到实现，保险业的繁荣度便越强。而保险业越发达，社会潜在风险就更加可控，社会稳定趋向性则更为显著。由此可见，互联网业与保险业在信息的收集上具备同等需求，信息利用效率对于社会发展也会起到正向作用。

因而，在“互联网+”引导信息技术革命的同时，信息自由流通速率加快，保险科技也强调通过大数据和云计算等技术，实现精准营销和自动化决策，增加用户黏性，促进保险业稳定和发展。在互联网行业与保险业互融，尤其是当大量互联网机构通过获取金融资质开启保险业务之时，无论基于互联网所带来的商业利益，抑或保险营销的商业价值，均需以信息自由流通为依托，个人信息的保护应当在为商业利益留有必要余地下进行。

（三）保险社会公共秩序价值与私人信息自由价值的平衡

保险机构为商业机构，但同样具备准公共机构属性。保险业收集利用个人信息，既考虑保险精算之商业利益的需要，亦考察基于分散风险以实现维护损失共担的公共利益之必要。这种社会风险控制的要求既来源于保险的内核，也与信息化时代个人信息保护的基础性目的保持一致。况且个人信息本身即具备公共性价值，个人金融信息和健康信息的公共属性则更加突出。[4]这不仅体现在保险业，放宽视角于整个金融行业亦足以体现共性，即金融隐私披露或消费者对于自身金融隐私的让渡为金融契约得以建立的前提条件。[5]因此基于保险的公共性，个人信息的处理不应仅考虑信息主体信息利用的自由，更应考虑个人信息保护在何种情况下，应为保险社会风险管理和社会保障管理作出必要让步。

一方面，从《个保法》规定来看，无论知情同意的实质要求抑或个人信息处理机构的保障义务均较其他国家和地区更加严格，且我国赋予个人信息主体较为宽泛的权利。这不仅体现了我国对于个人信息保护的高规格要求，且诠释了私主体对于自我信息控制的自由价值。另一方面，《个保法》也未明确医疗、金融等负担维系社会公共秩序价值的准公共机构在个人信息处理的特殊规则，个人信息利用的公共目标和功能存在被个人私益保护的进路所消解的危险。[6]当然，从其第三十二条等条文规定来看，国家有意将特殊规则交由各行业通过规章文件制定，银保监会应在《个保法》所确立的基本规则基础上，根据保险业个人信息处理的特殊性出台对应的实施细则。

三、《个保法》对保险业个人信息处理的影响

（一）敏感个人信息界定对于保险业承保风险的影响

在保险业承保风险的考量中，保险机构主要将个人健康信息与金融信息纳入风险测评的指标，通过对投保人上述信息的建模，提供面向投保人精准化的保险产品，以此发挥保险以较小支出获取较大经济保障的效用。但无论健康信息抑或金融信息均对投保人基本人身权利和财产权益产生重大影响，上述信息的泄露和滥用也会带来大规模侵犯人权行为的风险。 [7]因此，以健康信息和金融信息为代表的敏感信息承载更高位阶的法益，需在与一般个人信息划定边界的基础上进行更加严格的保护。就我国立法现状来看，《个保法》并未采用《民法典》所确立的一般信息+隐私信息的二元规制路径，而采用了一般个人信息和敏感个人信息的二元规范进路。根据其第二十八条对于敏感个人信息的概括+列举式定义，个人健康信息、金融信息均被纳入敏感个人信息受到特殊规范。敏感个人信息的界定对保险业的影响在于，虽然立法要求保险机构应对于个人信息进行类型化的区别保护，看似增加了互联网保险网页设计的难度，但对于个人信息保护进行梯度化设计也降低了保险机构的合规成本，保险机构可对信息处理行为的合法性进行提前预测，[8]更有利于减少潜在的监管风险和诉讼风险。

另外，我国《个保法》第二十九条至第三十二条在界定敏感个人信息的基础上，对该类型信息的处理规则进行更加严格的设置。主要表现在《个保法》不仅对敏感个人信息知情同意规则进行单独同意的从严要求，对保险人说明义务的范围也进行了必要扩张。上述规则在保障投保人知情权的同时，对保险机构线上经营行为同样会产生影响。在互联网经营模式下，无论知情同意抑或说明义务的履行主要通过保险人于投保页面中设置客观呈现的文字形式进行。实践中保险机构在对投保界面进行设计时，也通过强化阅读指引引导投保人按预设流程完成投保操作。这种普适性的投保流程设计，一改传统线下领域中保险人说明义务差异化的履行方式，在提升效率的基础上也削弱了对于上述义务的履行要求。然而，保险机构说明和确保投保人知情同意义务的减轻意味着投保人阅读义务的加重，投保人可能陷入迷失在众多保险条款中的困境。根据权利义务对等原则，保险机构应承担更规范、更直观的说明义务，[9]这就需要其在投保界面的设计上投入更高成本并尽更严格的注意义务，以确保将敏感个人信息等内容以突出形式加以呈现。就目前多数保险机构的投保界面来看，不论是投保人主动点击确认的按钮设置还是加框链接导入内嵌式网页的设计，均为强化投保页面形式化设计的体现。在《个保法》第二十九条和第三十条的影响下，就形式来看，保险机构不仅应当对于个人信息保护政策中敏感个人信息的内容通过单项页面独立呈现，更应避免设置概括授权或默示确认的知情同意形式，以满足符合特定目的性的要求。[10]就内容而言，保险机构应将敏感个人信息处理的特定目的性、充分必要性以及对投保人的影响纳入说明义务之中。如对住院病历和体检报告等资料反馈出来的健康信息，保险人不仅应如实披露收集此类信息的种类和内容，更应强化对信息处理目的、用途和后果的告知，以保障投保人自主理性作出授权[11]的决定。

（二）个人信息“可识别性”对保险精算费率厘定的影响

从《个保法》第四条对个人信息概念的抽象界定来看，其采用概括定义模式，与《民法典》所明确的概括+列举定义方式存在差异。然而，该条将“可识别性”作为个人信息重要的判断标准，显然延续了《民法典》的立法精神。在我国《数据安全法》在先出台之后，《个保法》也有意区分去标识化、匿名化以及脱敏化三项概念，突出体现我国信息+数据区分立法的基本原则。依“识别特定自然人”为判断基准，去标识化与匿名化最大的区别在于，前者虽然独立评价不具备可识别性，但无法排斥与其他要素结合下的识别化，甚至可以通过信息技术的复原恢复至足以识别特定自然人的状态。后者在无法识别的基础上，突出强调不可复原性。因此经过匿名化处理后不具再识别风险的个人信息可成为数据，归属于企业财产权范畴，在脱离《个保法》保护范围的同时，也与《数据安全法》形成有效衔接。

在保险业，保险精算中的费率厘定受到大数法则的影响。大数法则强调伴随样本数量不断增加，通过对样本实际观察结果的统计，使该结果与客观结果之间存在的差异趋向于零，以此计算未来事故发生的概率。通过事故发生的概率则可以进一步预测未来损失发生的程度，从而确定合理的保险费率基准。[12]因此，保险精算费率厘定的科学性需要以足额样本为依据，保险业信息收集的目的并非仅为实现个体保险赔付的公平性，而应着眼于整个社会的风险抵御能力。由此来看，基于保险精算需求的信息收集不同于如实告知义务的要求，前者面向整体，具备社会公益属性，后者面向个体，主要解决个人的私权保障问题。

在《个保法》出台之前，保险业通行做法为：纵使合同终止或被解除，保险机构尚可不加任何处理地保有私主体个人信息，以增加保费费率计算的样本总量。但实际上，保险精算依托的信息样本并不要求具备可识别特定自然人这一要素，保险机构存在“以公益为名，行私益之实”的信息滥用之嫌。《个保法》强调个人信息的可识别性，有利于限制保险机构基于精算需要处理个人信息[13]权利的无限扩张。

（三）个人信息处理规则对于如实告知义务履行的影响

《个保法》第十三条对信息处理者个人信息的收集利用进行规范，其第一款为知情同意规则，第二款至第七款为不受该规则约束的例外情形。在保险业，为确保双方当事人信息充分对等，如实告知义务要求投保人应在缔约阶段将自己所知悉的有可能影响保险人决定是否同意承保或以何种保险费率承保的重要信息披露给保险人。[14]无论从其义务来源（最大诚信原则）抑或履行阶段（订立合同前）来看，该项义务作为先合同义务[15]并非保险合同的组成部分，但其作为一项投保人所负担的法定义务[16]直接影响保险合同的成立。从该角度来看，基于如实告知义务项下多数个人信息的处理应当纳入《个保法》第十三条第二款“为订立、履行个人作为一方当事人的合同所必需”这一例外情形进行规范。即对于多数个人信息的处理无须经过投保人知情同意，而这会导致知情同意规则适用范围受到极大程度的限缩。

不仅如此，这种知情同意规则的弱化还体现在个人信息撤回同意权的运用。个人信息撤回同意权主要体现在《个保法》第十五条，根据该条，只有在基于个人同意处理个人信息的前提下，其享有撤回同意的权利。结合该法第13条的规定，如信息处理者处理个人信息为基于订立、履行合同所必须，便不受个人信息撤回同意权的约束。在如实告知义务规则的“保护”下，即使保险合同解除，投保人无法行使个人信息撤回同意权，保险机构依然可以近乎不加限制地处理投保人个人信息。因此在保险业，一旦将如实告知义务规则与个人信息处理规则进行融合，知情同意规则存在被架空的风险。

（四）个人信息处理告知义务对保险说明义务的影响

《个保法》第十七条明确了信息处理者的告知义务，问题在于，保险说明义务较一般民事合同中格式条款说明义务的要求更甚，《个保法》中所明确的信息处理者告知义务在保险业应达到一般说明义务标准？提示说明义务标准？抑或明确说明义务标准？ [17]

依文义解释，《个保法》中强调以“显著方式，清晰易懂的语言真实、准确、完整的告知”，此处的表述可以解读为提示说明义务标准，即一般情况下仅要求信息处理者对待处理信息达到突出提示的显著呈现标准即可，只有经过投保人主动要求后方可进行解释说明，这种提示说明义务标准与《民法典》第四百九十六条的立法精神保持一致，将两项条文结合即可进一步得出个人信息为“与消费者有重大利害关系事项”的结论。因此商业机构只需要通过加粗字体、加大字号等方式重点突出个人信息收集的内容即可视为履行告知义务。然而，保险业作为特殊金融行业，其说明义务与《民法典》的设计有所差异。在保险业，保险人应履行两项义务，其一为《保险法》第十七条第一款明确的格式条款一般说明义务（无需提示），其二为《保险法》第十七条第二款强调的免责条款提示+明确说明义务。个人信息处理条款虽然可因其预先拟定且重复使用的形式纳入格式条款调整范围，但无法解释为免责条款，在保险业只能依《保险法》第十七条第一款进行规范。至此，《个保法》中的提示说明义务便与《保险法》一般说明义务产生了解释论上的冲突。

（五）自动化决策对于投资者适当性义务的影响

投资者适当性义务强调金融机构应在充分了解金融消费者的基础上，提供与其财产状况、投资能力相匹配的产品和服务。早期因投资型金融产品多集中于证券业，投资者适当性规则也主要应用于该行业。近年来伴随分红险、万能寿险和投资连结险等投资型保险产品的普及，保险业也有意引入投资者适当性规则，要求保险机构应保障保险消费者自身投资水平与保险产品风险等级的动态适配。 [18]

了解客户义务作为投资者适当性义务履行的首要任务，要求保险机构充分知晓消费者个人信息，根据投保人信息推荐适合的保险产品。保险机构在开展业务时，不仅要记录投保人基本信息，也应收集其财产状况、风险偏好、投资经验、投资意向、专业知识等类型的个人信息。传统人工信息收集方式存在效率低下且精度不强等局限，一旦通过云计算技术进行自动化决策，便可通过程序化的自动分析迅速建立用户画像，不仅提高决策效率，也可增强决策精确度。此乃自动化决策对投资者适当性义务履行的正向作用。

智能投顾服务作为投资者适当性义务与互联网自动化决策结合的新型产物，强调通过互联网信息技术手段对于投资者收入状况、固有资产、风险偏好等相关信息进行分析，结合现代投资理论运用数字化算法，[19]以实现提供投资建议和资产管理的目标。但基于算法的非公开性和复杂性，自动化决策者也可将自己隐藏于算法背后，[20]利用算法黑箱进行大数据杀熟或其他差别待遇行为，侵害保险消费者公平交易权和自主选择权。考虑到智能投顾带来的新型法律风险，2018年中国人民银行等部门印发的《关于规范金融机构资产管理业务的指导意见》（以下简称《指导意见》）第二十三条明确金融机构报备人工智能模型主要参数、资产配置主要逻辑以及向投资者提示人工智能算法固有缺陷、使用风险等信息披露义务。但上述义务的履行限于算法系统功能，对于通过自动化决策收集利用个人信息的披露却并未提及。结合《个保法》第二十四条，有必要将通过自动化决策履行投资者适当性义务过程中的信息处理问题予以细化，以确保将投资者保护贯穿于保险业务全流程。

四、保险业个人信息保护的体系解释与规范路径

（一）明晰保险业敏感个人信息的内涵和外延

《个保法》通过列举式规范将保险业利用率最高的两类信息直接纳入敏感个人信息之中，即个人金融账户信息和医疗健康信息。但该规定过于涵括，无法解答如下问题：金融账户的内涵为银行账户还是支付账户？医疗健康信息的内涵为医疗记录还是身体健康状况？此外无论个人金融信息或个人健康信息均为概括性的信息群，是否除金融账户和医疗健康信息外，其他类型金融信息和健康信息就一定无法纳入敏感个人信息的外延？

个人金融信息是否应当被纳入敏感个人信息，《个保法》立法之时就产生过巨大的争议。[21]从比较法经验来看，欧盟和美国的做法存在差异。欧盟强调敏感个人信息应以承载人格尊严为基本要素，因而将金融信息剔除出敏感个人信息之列，[22]日本和韩国也采用相同的处理模式。[23]而美国更加重视因金融信息丧失损害及权利人重大的经济利益，将之视为公民的敏感个人信息。[24]虽然我国立法模式移植于欧盟、日本等地，但将金融账户纳入敏感个人信息范畴，很显然是将财产损害风险纳入敏感性的判断之中。然而，依场景完整理论[25]下的动态分析方法，这并不意味着全部金融账户信息均属于敏感个人信息。反之，也并非全部非账户型金融信息就无法纳入敏感个人信息的外延。笔者认为，判断个人信息是否具有高度敏感性，应明确具体的判断要素。虽然学界对于“敏感”要素的判断存在差异，但基本包括客观要素和主观要素两方面，前者包括强权益侵害性、强概率风险性、强工具性、强识别性等，后者包括信息处理者认知能力、信息应用能力等。[26]一旦将上述要素融入特定场景进行判断，则应对于金融信息进行更加细致的考察。就客观要素对于信息敏感度的影响来看：除账户信息外，《实施办法》第二十七条列举的身份信息、财产信息、信用信息和交易信息也属于金融信息。此外，《个人金融信息保护技术规范》(JR/T 0171—2020)将鉴别信息归入金融信息，也有学者将预测信息纳入金融信息之中。[27]其中，鉴别信息、身份信息和信用信息虽然不属于金融账户范畴，但其因分别具有强概率风险性、强识别性和强工具性而具备强敏感性的特征。而金融账户信息中账户余额、开户时间、开户机构等单一信息无法充分识别特定自然人，不具有强识别性，敏感性也较低。但上述信息一旦进行关联后汇聚，则可能会因为识别性的提高而具有强敏感性，此时汇聚后的信息群理应被纳入敏感个人信息外延。主观要素对于信息敏感度影响的判断则要立足于行业特殊性。基于保险精算对于信息的依赖性，保险业普遍对于信息的收集和处理能力较强。而其中，互联网保险机构相比保险机构自营平台具备更加强大的信息处理能力，信息敏感性的判断更应从严进行。因此笔者建议对于《个保法》第二十八条中的“金融账户”进行扩大解释，将鉴别信息、身份信息和信用信息纳入其中。而对于其中本身识别性较弱的账户余额、开户时间、开户机构等其他金融信息，仅注意考察其在特定场景下的应用。

个人健康信息存在类似的问题。我国《个保法》第二十八条将医疗健康信息归入敏感个人信息外延。此处的医疗健康信息也应进行扩大解释，除个人重大疾病史和医疗记录、体检记录外，还应将个人身体和精神信息、生育信息、遗传信息、家庭成员健康信息等纳入其中。当然，对于《信息安全技术—健康医疗数据安全指南》（GB/T 39725-2020）附录A所罗列的医疗健康信息，也不应不加以区分地全部纳入敏感信息，对于个人社会史、生活方式、医疗保健服务费用等内容，应强调此类信息存在的状态，只有经过汇聚后满足强权益侵害性、强概率风险性、强识别性和强工具性等要素后才具备敏感属性。

（二）细化保险精算费率厘定时个人信息匿名化的处理规则

保险精算处理的个人信息不同于《个保法》中规范的个人信息，后者具备更强的人格属性，而前者无须以“可识别特定自然人”为构成要件，应将其作为“数据”这一保险机构的财产由《数据安全法》、《网络安全法》等法律调整。一方面，基于保险公共属性项下费率厘定的要求，《个保法》中第四十七条所明确的个人信息删除权应当受到限制。一旦保险合同义务履行完毕或因其他原因归于无效、被解除，虽然构成第四十七条所列“处理目的已实现…”、“个人信息处理者停止提供产品或服务……”等情形，但保险人依然可以保有信息所有权，不得拒绝投保人个人信息删除权的要求，无须对个人信息进行删除处理。另一方面，为保障公民个人信息自决权，保险费率厘定时处理个人信息同样应当受比例原则约束。上述个人信息删除权的抗辩应当附加前置要件，即保险人须将个人信息进行匿名化处理，转化为数据后方可存储利用。

另外的问题在于，是否将个人信息进行匿名化处理，就必然免除保险机构合规义务？《个保法》第七十三条对于匿名化的概念界定强调“不可识别性”+“不可复原性”两项概括要求。但该标准只是一种理想化状态，匿名化后绝对无法识别且不可复原依现行技术来看无法实现。即便是匿名化的状态，经过互联网海量信息的相互关联，也可存在重新识别个体身份的再识别风险。另外由于匿名化技术种类繁多，且每种匿名化技术带来的识别风险存在差异性。因此，在确定禁止再识别操作原则的基础上，不但需要对匿名化标准进一步明确，而且应对于保险机构的义务进行细化规范。首先，从事前预防角度差异化的设计匿名化组合技术。就比较法视域来看，欧盟“第29条工作组”（Article 29 Working Party, Art.29WP）通过的《关于匿名化技术的意见》将随机化（randomization）和泛化（generalization）视为有效的匿名化方法。其中也可分为噪声添加（noise addition）、差分隐私（differential privacy）、k-匿名化（K-anonymity）、I-多样性（I-diversity）、t-相近性（t-closeness）、置换（permutation）、聚合（aggregation）等多种技术手段。[28]但上述技术在保险业中无法不加筛验的全盘适用，在引入的同时应考虑信息匿名化后的可用性，避免定量的信息损失。[29]保险业制定匿名化技术指引时应在依据匿名化预期目的、再识别化的损害后果等个案情景的基础上，在引入上述技术进行组合的同时将再识别风险的概率按照指向性（singling out）、关联性（linkability）和推断性（inference）[30]三项评估维度进行分级，以确定经过不同技术处理后匿名信息的披露范围。[31]其次，优化事中动态防控机制，尤其应当注意严格控制匿名信息的公开化。由于信息公开后无法撤回或撤销，匿名信息公开后的再识别风险无逆向选择的可能，因此匿名化的信息应当以不公开为基本原则。[32]最后，事后风险评估机制的建立。信息匿名化后依然存在再恢复的可能，在匿名化处理完成后，保险机构应当建立再识别风险防范机制，定期评估匿名信息再识别风险，[33]一旦由于关联信息新增或应用场景变化导致识别风险提高，保险机构应及时更换技术措施。

（三）严格限制知情同意豁免情形在保险业的适用

就域外而言，欧盟《通用数据保护条例》（General Data Protection Regulation,以下简称“GDPR”）第6条对个人信息处理合法性基础同样进行了列举，除知情同意外，该条第2款至第6款对于知情同意的豁免进行了规范。[34]将该条与我国《个保法》第十三条对比可发现，GDPR第6条第2款的规制范围有所限缩，仅强调“履行合同所必要”，而将先合同义务排除于知情同意的例外情节。因此在GDPR框架下，投保人如实告知义务的履行依然受知情同意规则的限制，保险机构基于投保人如实告知义务下的个人信息处理依然需经投保人同意，其不能依据如实告知义务为合同订立所必需而任意利用信息主体的个人信息。

知情同意的豁免应尽可能的减少，且必须为公众所知晓。[35]因此就豁免必要性而言，GDPR更具合理性。首先，个人信息的处理目的在于履行保险合同的需要，合同未成立前保险机构既不负担法定也不负担约定履行合同的义务，保险机构排除知情同意规则处理个人信息欠缺正当利益。[36]其次，保险功能的发挥以信息充分对等为前提，信息披露与风险告知义务的履行多存在于合同订立阶段，上述义务的性质大多为先合同义务。因而，保险机构在合同订立阶段获取的投保人信息体量远大于履行阶段，订立阶段收集的个人信息泄露和滥用风险更大，也更有限制同意豁免的必要性。再次，保险业处理的个人信息多为敏感信息，对于投保人人格尊严和财产安全影响更甚。一旦承认知情同意的限制可以“为订立合同所必需”为前置要件，则会带来知情同意规则适用上的逻辑困境，即对于通常意义上的商事行业，机构收集的个人信息强调以信息主体知情同意为前提，但对于保险业，保险机构收集个人信息却可以通过如实告知义务的履行予以同意豁免。这不仅与“举轻以明重”的法律原则相冲突，更违背了倾斜保护的金融消费者保护理念。最后，GDPR的规定更有利于保护投保人信息自决权。知情同意规则目的在于保障信息主体知情权，此乃信息主体行使其他权利的前提。对知情同意规则的限制会压缩信息主体信息自决权的行使空间，这种限制应极为慎重。保险业一旦承认“订立合同所必需”的豁免条件，投保人不仅无从知晓个人信息的处理情况，更无法通过行使个人信息撤回同意权及时止损，个人信息的事先保护与事后救济同时处于失灵状态，投保人的信息自决权也受会到极大侵害。

未来可能的修正路径为：其一，通过司法解释对于《个保法》第十三条第二款的适用进行目的性限缩，将“订立个人作为一方当事人的合同所必需”的豁免类型在保险业予以剔除。其二，通过制定保险业《个人信息保护实施细则》，对于“订立或履行个人作为一方当事人的合同所必需”中的必需情形进行列举式规范，厘清如实告知义务与个人信息保护义务之间的关系。

（四）将个人信息处理告知义务融入保险说明义务之中

《个保法》对个人信息处理的告知义务规定宽泛，在保险业应进行限缩解释，依保险说明义务一般原理将个人信息处理内容的披露规则进行梯级设计。表现为在《个保法》有意区分一般个人信息处理规则和敏感个人信息处理规则的前提下，保险说明义务也应根据二者对投保人权益影响程度的差异作出区别对待。对于保险机构个人信息保护政策列明的一般个人信息处理规则，仅需达到通常意义上信息披露的标准。而对于《个保法》第十七条中规定的各项与投保人有“重大利害关系”事项，由于《保险法》并未明确，应按照“新法优于旧法”原则依《民法典》第四百九十六条要求保险机构的告知程度达到概括式的显著提示标准，并按投保人要求进行说明，但无需逐项单独提示或主动解释说明，更无须设置强制阅读的必选按钮。而对敏感个人信息处理规则的说明，则需要进一步分析。笔者认为敏感个人信息因对投保人人格尊严和财产安全产生重大影响可纳入保险减责、免责事项之中，除提示义务外，也应要求保险机构主动进行解释说明。原因如下：其一，就说明内容而言，《保险法》第十七条第二款中所谓的免赔率、免赔额等“免责条款”并非传统民法意义上的责任免除条款，而应当理解成为保险责任免除条款，由于保险责任的性质为保险义务，因此在保险语境下，保险机构应就免除保险义务的内容予以提示+明确说明。敏感个人信息处理规则可通过解释为保险人先合同义务项下的保密义务等纳入广义上的保险义务。根据《个保法》第二十八条，敏感信息以禁止处理为原则，特别处理为例外，因而对于敏感个人信息的处理也可纳入免除保险义务条款。其二，从说明形式来看，《保险法》第十七条第二款将免责条款施加以高标准的主动说明要求，其立法目的在于希望保险机构能够主动承担起协助投保人理解晦涩难懂、技术性较强的保险条款，这与《个保法》中关于敏感信息告知义务的立法设计存在异曲同工之处。依《个保法》第三十条规定，立法者倾向于要求信息处理者尽可能主动说明敏感信息处理的必要性和其对于个人权益的影响。因此，无论是保险责任条款抑或敏感信息处理条款，立法者均有意作出不同于一般条款的说明要求。其三，从说明后果来看，《保险法》第十七条第二款不仅要求保险机构主动承担起解释说明的义务，还要求取得投保人明确同意。线下保险机构一般会选择要求投保人签署风险告知书，而线上保险机构则通过设置单独展示免责条款的强制阅读界面，要求投保人逐项点击按钮确认。《个保法》第二十九条同样要求处理敏感信息应当取得个人的单独同意，由此可见，将敏感个人信息纳入保险人明确说明义务之中，具备现实上的必要性和逻辑上的可行性。对个人信息处理条款告知要求进行差异化设计，也有利于避免投保人迷失在纷繁复杂的保险条款中，突出重点，明确责任划分。

（五）细化自动化决策在投资者适当性义务中的应用规则

《个保法》第二十四条不仅确立了透明度和公平合理原则，也强调信息处理者为保障自动化决策应履行的义务。但上述规定较为宽泛，可操作性有限，需进行精细化的设计。尤其在保险业，既要考虑完全自动化决策对投保人遭受“大数据杀熟”的不利影响，又要避免千人一面的机械定价，[37]违背投资者适当性产品推介义务的设计初衷。

首先，应对公平合理原则在投资者适当性义务中进行实质解释。我国《个保法》第二十四条第一款中的公平合理原则强调以平等待遇为原则，差别待遇为例外。有学者认为公平合理原则强调尽可能避免差别待遇的产生，[38]但《个保法》也肯定作出合理差别待遇的自动化决策的有效性，这一点在投资者适当性义务履行中体现得尤为明显。在投资型保险产品中，并非任何差别待遇均有害于投保人投资利益，实践中投保人普遍缺乏投资知识和投资经验，很难根据有限信息作出正确的投资判断。因此，公平合理原则在投资者适当性义务中应以差别待遇为原则，平等待遇为例外。法院应通过个案衡量，根据双方信息对等程度、保险机构行为手段等内容判断保险机构是否利用自动化决策侵犯投保人自主选择权和公平交易权。

其次，基于自动化决策的算法解释权应进行适度扩张。算法解释权强调个人可要求信息处理者就自动化决策过程中运用的算法内容进行解释。将我国《个保法》第二十四条和第四十八条结合来看，算法解释权应当包括对个案决策依据的个案解释和对算法系统功能的整体解释。[39]在保险业对算法解释权的运用应进行如下理解：就内容来看，《个保法》第二十四条第三款前半句确立了有限制的算法解释权，[40]即仅对“关涉个人权益重大影响决策”事项，需要信息处理者履行说明义务。但由于投资者适当性义务直接关联投保人的投资收益和损失风险，很显然应将其纳入该类事项之中受《个保法》第二十四条第三款调整。当然，信息处理者的说明内容不能仅局限于告知 “决策系通过机器算法做出”，还应当如实说明智能投顾决策的指标来源、指标权重及风险系数。如智能投顾以投保人年龄、教育背景、专业知识、职业技能、投资经验、风险偏好等内容为依据制定风险测评指标，且为上述内容设计比重不同的影响因子。此外，结合《个保法》第二十四条、《指导意见》第二十三条等，此处的说明内容不仅包括前述投资者与保险产品匹配的决策依据，还应当包括人工智能算法固有缺陷和使用风险等一般性内容，这样一来，既可以避免《个保法》第二十四条和第四十八条的解释冲突，又可以确保个人受到更加充分保护。而就形式而言，其一，算法解释应通过说明与提示两项行为共同作出。虽然《个保法》第二十四条第三款前半句仅强调信息处理者只有在个人主动要求下方可进行说明，但结合《民法典》第四百九十六条规定，此处保险人除履行被动说明义务外，还应当履行主动提示的义务。其二，算法解释应以人工解释为基本原则。算法解释依形式样态差异可分为交互式的机器解释和非自动化的人工解释。[41]根据《个保法》第二十四条“有权拒绝…仅通过自动化决策方式作出决定”的表述，似乎隐含信息处理者不能仅以机器解释进行说明的要求。笔者认为，根据场景化理念，此处的算法内容如果涉及算法的系统风险，机器解释足以运用得当。但如果针对的是个案决策依据的个案解释，则应尽可能的排除机器解释的通用性。通过智能投顾履行投资者适当性义务恰恰强调差异化和独特性，在现有技术下机器解释难以实现针对性的解释效果，便需要以人工解释进行必要的替代。而由于相比信息有用性不足的系统风险，个案解释的应用场景更加宽泛，因此算法解释主要应以人工解释为主。

最后，自动化决策中个人退出机制应用场景的扩大。我国《个保法》第二十四条第二款和第三款分别赋予了个人事先拒绝自动化决策手段和事中阻击自动化决策的权利，但上述行权应用场景狭窄，难以有效保障个人权利救济。以事中阻击为例，《个保法》第二十四条第三款并未强调个人拒绝信息处理者通过自动化+人工化结合决策的权利，这不仅限缩了个人的行权范围，实则也与《个保法》第四十四条中拒绝权适用场景广泛的立法精神相违背。不管个人信息处理的决定是否仅依据自动化决策作出，不管自动化决策是否对个人权益有重大影响，只要自动化决策与个人信息相关联，个人可随时享有拒绝的权利。在智能投顾场景下，如投保人行使拒绝权并选择退出自动化决策机制，保险机构应单独采取人工化的手段履行投资者适当性义务。此外，算法风险并非单点的静态风险，对算法风险的控制不能仅通过事前防范和事中阻击，事后救济也同等重要。《个保法》第二十四条仅强调个人在自动化决策作出前和作出时的拒绝权，但这种拒绝权无法面向自动化决策作出后的结果。未来法律应赋予个人在难以通过事前和事中阶段退出之时，享有的免受决策约束权利和程序性的补偿救济权利。[42]

五、结语

长期以来，我国保险业个人信息保护立法相对滞后，即便是最新出台的《互联网保险业务监管办法》也只是提出个人信息处理应当遵守的合法、正当、必要及知情同意原则，而对于敏感个人信息的界定、个人信息匿名化处理规则、知情同意的豁免情形、个人信息处理告知义务以及自动化决策中的算法解释权等内容均未过多涉及，这种粗糙的立法技术无助于对保险机构提供行为指引。[43]《个保法》作为规范个人信息处理行为的专门法，设计了全行业通用的一般规则，考虑到各行业对于信息依赖程度、公私属性的差异，对于诸多问题进行了模糊处理。 [44]对属于金融行业的保险而言，其兼具私法维持意思自治和公法维护秩序稳定的功能，未来应通过在保险业制定若干规章和自律规则以进行更加细化的规则设计，这也有利于与传统保险法规则相融合，维持保险法律体系的整体性和协调性。

注释：

[1] 参见黄薇：《中华人民共和国民法典人格权编解读》，中国法制出版社2020年版，第219页。

[2] 参见丁晓东：《个人信息保护：原理与实践》，法律出版社2021年版，第1页。

[3] 参见郭江兰：《个人信息保护制度的反思与改进：以主体利益冲突与衡平为视角》，载《科技与法律》2021年第6期。

[4] 参见朱芸阳：《个人金融信息保护的逻辑与规则展开》，载《环球法律评论》2021年第43卷第6期。

[5] 参见朱宝丽、马运全：《个人金融信息管理：隐私保护与金融交易》，中国社会科学出版社2018年版，第2页。

[6] 参见梅夏英：《社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度》，载《环球法律评论》2022年第1期。

[7] See Christopher Kuner, Lee A. Bygrave, Christopher Docksey eds, The Eu General Data Protection Regulation (GDPR): A Commentary, Oxford University Press(2020),p.367.

[8] 参见程啸：《论中国个人信息保护法中的个人信息处理规则》，载《清华法学》2021年第15卷第3期。

[9] 参见曹文兵：《网络营销模式下保险人的说明义务》，载《人民司法》2005年4月。

[10] 参见田宇申：《互联网场景中保险人明确说明义务的法律调适》，载《北京航空航天大学学报（社会科学版）》，网络首发时间：2022-06-08。

[11] 参见王利明：《敏感个人信息保护的基本问题——以<民法典>和<个人信息保护法>的解释为背景》，载《当代法学》2022年第1期。

[12] 参见马天柱：《被保险人利益保障法律机制研究》，法律出版社2017年版，第135页。

[13] Sakharea, Ganars, Anonymization: a method to protect sensitive data in cloud, International Journal of Scientific & Engineering Research5(2013), pp.1668-1670.

[14] 参见任自力：《保险法总论原理判例》，清华大学出版社2010年版，第137页。

[15] 参见温世扬：《保险法》（第三版），法律出版社2016年版，第39页。

[16] 参见邹海林：《保险法学的新发展》，中国社会科学出版社2015年版，第204页。

[17] 一般说明义务为信息披露标准，提示说明义务为显著呈现标准，保险人无需主动进行解释说明。但明确说明义务要求最甚，保险业中往往通过保险人主动解释说明并要求投保人签署知情同意书以达致实质呈现标准。

[18] 就《保险销售指引（征求意见稿）》（2021）第4章规定来看，其在要求保险销售机构建立保险客户适当性制度的基础上，对于市场适当性、渠道适当性、销售方式适当性、人员适当性及需求匹配适当性要求均做出了明确规定。

[19] 参见尹若素：《中国智能投顾开展的法律挑战及应对》，载《福建金融管理干部学院学报》2020年第3期。

[20] 参见钟维：《中国式智能投顾：本源、异化与信义义务规制》，载《社会科学》2020年第4期。

[21] 参见胡文涛：《中国个人敏感信息界定之构想》，载《中国法学》2018年第5期。

[22] See General Data Protection Regulation Article 9 Processing of special categories of personal data.

[23] 详见《個人情報の保護に関する法律》第2条（定義）、《개인정보 보호법》제23조(민감정보의 처리 제한)

[24] See Financial Services Modernization Act Article 501.

[25] 依美国尼森鲍姆教授所言，隐私保护应与具体场景相关联，因为同一信息的敏感度在不同场景可能存在差异。See Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press(2009),p.125.

[26] 参见宁园：《敏感个人信息的法律基准与范畴界定——以<个人信息保护法>第28条第1款为中心》，载《比较法研究》2021年第5期。

[27] 参见邢会强：《大数据时代个人金融信息的保护与利用》，载《东方法学》2021年第1期。

[28] See Article 29 Data Protection Working Party 0829/14/EN WP216.Opinion 05/2014 on Anonymization Techniques, http://ec.europa.eu/justice/article-29/document-tation/opinion-recommendation/files/2014/wp216_en.pdf.(2022-03-14).

[29] 在保险业利用匿名化后的个人信息目的在于保险精算，需要保证数据的绝对准确性，因此诸如强调人为改变数据主体属性的置换等匿名化技术因违背了匿名化的预期目的而无法适用。

[30] 参见张涛：《欧盟个人数据匿名化治理：法律、技术与风险》，载《图书馆论坛》2019年第39卷第12期。

[31] 参见王立梅：《大数据视角下的个人信息匿名化规则》，载《云南民族大学学报（哲学社会科学版）》2021年第38卷第5期。

[32] 参见张建文，程海玲：《“破碎的隐私承诺“之防范：匿名化处理再识别风险法律规则研究》，载《西北民族大学学报（哲学社会科学版）》2020年第3期。

[33] 参见韩旭至：《大数据时代下匿名信息的法律规制》，载《大连理工大学学报（社会科学版）》2018年第4期。

[34] See General Data Protection Regulation Article 6 Lawfulness of processing.

[35] The Law Reform Commission of Hong Kong, Reform of the Law Relating to the Protection of Personal Data, The Law Reform Commission of Hong Kong(1994),p.190.

[36] 参见程啸：《论中国个人信息保护法中的个人信息处理规则》，载《清华法学》2021年第15卷第3期。

[37] 参见靳毅：《<个人信息保护法>对寿险业的挑战与机遇》，载《保险理论与实践》2021年09期。

[38] 参见杨立新、赵鑫：《利用个人信息自动化决策的知情同意规则及保障——以个性化广告为视角解读<个人信息保护法>第24条规定》,载《法律适用》2021年第10期。

[39] 参见丁晓东：《基于信任的自动化决策：算法解释权的原理反思与制度重构》，载《中国法学》2022年第1期。

[40] 参见张凌寒：《＜个人信息保护法（草案）＞中的平台算法问责制及其完善》，载《经贸法律评论》2021年第1期。

[41] 参见丁晓东：《基于信任的自动化决策：算法解释权的原理反思与制度重构》，载《中国法学》2022年第1期。

[42] 参见张欣：《免受自动化决策约束权的制度逻辑与本土构建》，载《华东政法大学学报》2021年第24卷第5期。

[43] 参见田宇申：《互联网保险中个人信息保护的法律规则——以个人信息保护政策为切入》，载《兰州学刊》2021年第9期。

[44] 以比较法视角观察，多数进行个人信息统合立法的国家均要求各行业根据个人信息处理的特殊性制定针对性更强的规范指引。如详见《個人情報の保護に関する法律》第53条（個人情報の保護に関する法律）