个人信息泄露责任保险的探索

谢秀红　刘慧　林枫霞　李帝非广东金融学院



个人信息泄露责任保险的探索

谢秀红刘慧林枫霞李帝非
广东金融学院

摘要：通过分析当前个人信息泄露的现状，结合“个人信息”的来源发展以及各国对个人信息保护采取的法律举措的发展与完善，对比国内的法律环境建设，在适配当前个人信息保护法律建设进程的前提下，结合当前保障需求的实践研究，思考应对个人信息泄露状况的责任保险保障机制，开展个人信息泄露责任保险的可行性研究。

1　引言

随着经济社会和信息技术的不断发展，在进行各项活动时会收集、保存大量的个人信息，在批量处理和传递个人信息的过程中，个人信息可能会遭到不当收集、恶意使用、篡改，个人信息安全保障问题日益显露。

大量信息泄露事件的发生，已经成为一个社会问题，需要引起社会以及有关部门的关注和重视。哪里有风险，哪里就需要保险，从现实问题出发，个人信息泄露责任保险正是当今社会发展的需要，责任保险与社会生产和人们生活有着密切的关系，具有较强的社会管理功能，在一些社会问题上， 保险能够在消费者的人身或经济利益受到侵害时给予经济补偿。随着社会经济发展、法律法规体系的完善和公民维权意识的提高，个人信息保障保险产生的条件逐渐具备。

自“个人信息”一词被提出以来，在历史的发展中逐渐被利益化，信息经济的参与者在获取消费信息的同时不可避免地面临着个人信息泄露的风险。个人信息泄露责任保险的提出，是基于当前国内零星分布于各种保险产品当中的个人信息保障条款，在具备个人信息保障条款的保险产品开发当时，保险公司已经意识到被保险人个人信息保障的需求，或者在保险产品运作过程当中产生保障的需求，随着时代的发展，现在对个人信息安全保障的需求肯定是要倍加于几年前甚至是一年前，依靠作为附加性质的保障显然是不全面的。

2　个人信息泄露责任风险的表现及其保障分析

2.1现实及法律风险

通过问卷调查的方式评估个人信息泄露程度和信息类型，将社会主体划分为在校学生、工薪阶层和保险专业人员，分层次进行调查，从而收集足够的数据分析当前个人信息安全保障的需求度。

调查主要有效地选取了237位在校大学生、202位工薪阶层和多个保险公司的50名代表职员，具体分布情况为：学生的年龄在18-22岁之间；工薪阶层的年龄在18-50岁之间。在489个调查对象中，不到20%表示极少因个人信息泄露受到各种困扰，而大约三成的人表示经常受到骚扰，其中被电话短信和邮件骚扰比例在85%以上，登门推销和家人被骚扰的问题也偶有发生，甚至有5%左右的人则表示曾因此而危及人身安全；在泄露的信息类型中高达90%是个人基本信息（包括姓名、联系方式、身份证号码和住址），40%的家人被波及骚扰，30%的网络身份和照片被泄露，更有11%-17%调查对象的个人银行账号和密码被泄露，并且呈现出从学生向职员比例递增的趋势。同时，在数据调查结果中，九成的调查对象认为亟需保障个人信息安全，可见，在信息社会高度发展的同时，社会参与者不可避免地面临着个人信息泄露的安全隐患，也由此对个人信息安全保障产生了日益渐增的需求。

2.2个人信息泄露责任风险保障措施分析

在网络营销、网络技术相对发达的时代，未来我们的所有个人信息将无形中影响着我们，不仅仅是各种垃圾信息的骚扰，在工作中所能胜任的岗位、在生活中得到的服务质量都会受到影响。如果不对此问题加以思考和解决，未来我们所走的每一步都会被无形地绑架。此外信息泄露而带来的高科技犯罪将占上风，使得我们的人身财产安全陷入危机。这些所带来的损失也是难以预防和估量的。

纵观现行的法律体系，信息安全大部分仅有法律条文间接保护，但其保护力度不大。个人信息保护要达到实行面广的成效，一定要从法的角度规范，要做到有法可依。事实上，早在2003年，个人信息立法研究课题就被提出并在2005年提交了《个人信息保护法》专家意见稿，但是这项立法建议一直未能进入正式的立法程序。然而，近年来，随着信息时代的到来以及新兴数据技术的普及，个人信息安全问题逐渐引发人们的关注，在2014年3月份的两会代表就出现要求建立个人信息安全法的提议。目前，虽然有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定，医疗信息规定，个人信用管理办法等，但仅出台了一部个人信息保护的专门性法律——《关于加强网络信息保护的决定》（2012 年12月28日颁布），其他涉及个人隐私信息保护的规定，除《宪法》外，主要分布于民法、刑法、行政法中：民法中有《民法通则》、《侵权责任法》 ；刑法中有《刑法修正案》 ；行政法中有《居民身份证法》、《治安管理处罚法》、《政府信息公开条例》。

除此之外，我国也在各个相关的行业颁布相应的法律条文，加强对个人信息安全的保护，譬如：2013年9月1日实施的《电信和互联网用户个人信息保护规定》 ；2014年10月10日实施的 《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》 ；2015年3月11日由中国证券业协会发布的《证券公司信息隔离墙制度指引》 ；2015 年5月19日由工业和信息化部颁布的《通信短信息服务管理规定》等。

可见，虽然针对个人信息安全保护的法律法规内容较为分散、层级偏低，但是在个人信息保护领域的法律建设关注度是不断上升的，这也给相关保险保障举措的确立打了强心剂，在有法可依的前提下，保险人可以通过代位求偿原则获得补偿，这也在无形中削减了保险人在这一领域推出相关产品的隐忧，提高信息泄露责任保险产品推出的可操作性。

3　信息安全保障保险产品借鉴

相比国内，国外在个人信息安全性的保障和关注度未曾消减，不管是法律法规的保护、行业自律的约束，还是保险辅助保障的实施，都要比国内先走一步，在建设信息社会的保障机制之时，我们可以从国外的建设经验中借鉴和学习。

3.1黑客保险

信息保障领域的保险产品中，比较典型的当属英国劳埃德的“黑客保险”，投保的内容包括公司及其客户受到黑客攻击所带来的损失和损害。此外，美国在雅虎、亚马逊等大型网站遭受黑客袭击之后，黑客保险迅速崛起，并且随着发展的不断成熟，更是将黑客保险业务细分为不同的险种，对黑客电脑病毒攻击和盗窃信用卡资料作了特定险种的区分。

早在 2014年，美国发生保险行业历史上最严重的网络攻击事件之一“Anthem信息泄露案件”，导致数以百万计的用户和员工资料被盗；同时，在过去两年内，半数德国企业遭受过网络攻击，每年遭受损失高达510亿欧元。可见，信息泄露案件逐渐向高频和高损的方向发展，黑客保险在欧美地区的流行正是建立在诸多的信息安全案件基础上，这也为我国信息保障领域险种的加快开发敲响警钟，可喜的是，今年众安保险联合阿里云推出首款信息安全类保险——数据安全险，这也是国内第一份专门针对黑客盗取云计算数据的保险。

随着网络社会以及信息全球化的发展，黑客攻击案件随之增生，信息泄露风险逐渐暴露，保险需求日益凸显，据世界最大的再保险公司慕尼黑再保险预测，未来五年相关黑客损失险业务量将翻一倍。可见黑客保险的发展潜力是呈上升趋势，特别是在信息技术愈发先进的时代，信息对于用户尤其是企业用户来说，无疑就是资产，一旦发生信息泄露，造成的后果是难以估量的，因此，虽然目前在我国投保此类险种的企业数量较少，但相信在不久的将来，信息保障类险种势必成为基本安全保障产品。

3.2网络安全保险

由于网络攻击案件频发，美国无疑是网络安全保险相对成熟的地区，除此之外，美国网络保险的迅猛发展更多是得益于美国政府的鼓励政策，针对险种推行初期，美国政府出台了一系列指导方针，促使2014年网络保险市场的快速发展，这启示我国信息安全保障保险市场的发展也需要政府的鼓励和支持。

据普华永道最新报告指出，网络安全险是全球保险市场增长最快的险种，预计到2020年，全球网络安全险销售额将达到75亿美元。虽然我国目前的网络安全保障保险普及度不高，但是随着信息化的飞速发展，不少保险公司也适时抢抓机遇，填补市场空白。如华泰财险与京东金融合作推出的专门针对互联网个人账户资金安全的“个人账户安全保障保险”；平安产险去年8月开发了一款个人账户资金损失保险；众安保险也计划联合百度推出专门针对手机支付安全的保险产品“百付安”。

其中最值得一提的是，苏黎世作为国内第一家发布保险产品的公司，早在2013年就已经推出安全与隐私保护综合险，主要为企业内部的机密商业信息、客户信息和雇员信息提供保障，并且采取联合第三方定损的方式，协助客户聘请专业的会计人员以及法律顾问等，同时承担合理且必要的相关费用，虽然这种方式有助于解决损失界定的问题，但又存在定损成本过高，费用界定纠纷等问题，继而使客户投保意愿不高，产品可行性降低，但其作为信息安全保障险种的先导性作用是毋庸置疑的。

4　个人信息泄露责任保险发展建议

4.1个人信息安全保障方式的选择

正如欧、美、日采取的保障措施，我国也着手从政府法律角度以及社会行业层面进行建设，但从目前的保障水平来看，普遍认为法律对信息泄露者的惩罚机制不完善，尽管2009年，刑法修正案（七）确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名，对国家机关或者金融、电信、交通、教育、医疗等单位的工作人员、互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位进行规范，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任，但依旧存在界定标准不清晰的缺陷。归责标准不明确加上惩处力度不够，个人信息泄露现象愈演愈烈并逐渐成为愈加迫切的社会问题，随着信息消费时代的到来甚至影响到社会经济活动。

所幸的是，同年《侵权责任法》的通过，使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制，如果网站无视受害人提出的屏蔽、删除要求，就要承担连带责任，这一规定，恰恰提供了另外一条行之有效的保障思路，那就是责任保险保障。

4.2针对国内的责任保障机制引发的思考

现如今，个人信息安全保护的紧迫性愈发凸显，尽管正在加快《个人信息保护法》的立法程序，但从目前的责任保障机制来看，《刑法》和《侵权责任法》等法律法规都属于事后救济，在信息时代要对网络安全以及个人信息进行全流程的监管才更为有效。

责任保险作为对法律风险的承担，承保被保险人致使第三者财产损失以及人身伤害的损害赔偿责任，伴随立法保护建设过程中，责任保险保障机制的出现无疑是改善信息泄露频发现象的优质举措，同时，保险作为社会稳定器本身就具备强大的优势。再者，目前国内针对个人信息保护的保险条款并非没有，如医疗保险、职业责任险等都有相关的条款，可见，保险对个人信息安全保障的需求是有所回应的，但基本上处于零散分布状态，现阶段仍然借助保险产品主险条款对个人信息安全进行保障，恰如现阶段的法律保障条文，分布零散且层级不高，借此立法程序开展契机，责任保险保障机制筹建也迎来了新的机遇。

4.3个人信息泄露责任保险推行难点及解决思路

（1）损失评估难

多数情况下，个人信息泄露导致的后果涉及名誉损失，具有评估损失难的特点，缺乏直观的定损标准，容易造成保险纠纷，针对这一问题，可以考虑采取通过第三方评估机构加入定损评估的方式，来实现公平公正地保障投保人与保险公司双方的权益。

（2）损失评估成本高

不管是保险公司进行损失评估还是通过第三方机构进行评估，都存在成本偏高的隐忧，对于保险公司来说，成本上升意味着客户的投保意愿相对下降，使得相应的保险产品推出的难度增加，对此，不妨借鉴仲裁模式来解决这一问题，可以由第三方机构发起，由在个人信息领域具备经验，并且热心这一领域研究的非保险人员组成评估团队，对个人信息泄露案件进行损失等级的设定和评估，在通过对案件研究之后评定损失等级。投保人与保险公司双方在合同当中可作相应的约定，并且指定一家第三方机构进行评估，保险公司根据第三方机构评定的损失等级进行赔付，若客户对评定结果产生异议，也可再另外指定一家第三方评估机构，自行支付相应的评估费用，若双方产生纠纷，也可最后采取法庭审判的方式解决。

5　结语

根据我国目前不容乐观的信息泄露状况，通过对“个人信息”的溯源以及国内外保障机制的对比借鉴，在强烈的市场需求和不断完善的法律环境下，对个人信息侵权现象提出一种新的补救措施——个人信息泄露责任保险。保险作为社会稳定器，其强大功能自是毋庸置疑，尽管此前并没有作为独立险种出现，但是在个人信息关注度随信息经济发展逐渐攀升的背景下，从调查分析所得当前的风险状况、市场背景以及法律建设环境的支持力度来看，个人信息泄露责任保险的推出是具备可行性的。

参考文献

［1］Silvia Klincekova.Information Security and Personal Data Protection. Current Trends in Technology and Science， 2014（June-July）

［2］严宵凤，朱璇.个人信息保护势在必行［J］.信息安全与技术，2010（10）

［3］翁孙哲.个人信息的刑法保护探析［J］.犯罪研究，2012（1）

［4］肖少启.个人信息法律保护途径分析［J］.重庆大学学报，2013（4）

［5］旺娜，崔子宁.个人信息法律保护现状及研究综述［J］.法律经纬，2010（9）

［6］董纯朴.公民个人信息安全犯罪防控研究——以多元体参加信息时代保护公民隐私为视角［J］.公安研究，2014（1）

［7］高志明.论个人信息保护中的自律与监督［C］.中国公共管理论丛2013年第1辑，2013

［8］王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心［J］.现代法学，2013（7）

［9］王海涛.浅谈个人信息法律保护的有效模式与法律制度［J］.科技致富向导，2014（5）

［10］宋鹏，王有凯.网络背景下个人信息安全保护探讨［C］. 第27次全国计算机安全学术交流会，2012（8）

［11］王兵，郭垒.网络社会个人信息侵权问题研究［J］.西南交通大学学报，2011（3）

［12］胡雁云.我国个人信息法律保护的模式选择与制度建构［J］.中州学刊，2011（7）

［13］邱国栋，王雅娟.消费者信息安全研究——基于重要报纸报道的内容分析［C］.广东社会科学，2010（5）

［14］齐桂霞.个人信息安全与防范［J］.辽宁师专学报，2011 （12）

［15］黄蓝.个人信息保护的国际比较与启示［J］.情报科学，2014（1）