互联网保险中个人信息保护的法律规制
——以个人信息保护政策为切入

田宇申

一、问题的提出

以互联网为重要标志的第三次科技革命通过信息的生产和处理在实现经济飞速发展的同时,也带来了社会结构的质变，虽然“个人信息”概念在传统线下营销中同样存在，但互联网营销所依托的大数据和云计算技术本质均为海量数据的架构和分析，其对于个人信息的需求量和获取量是线下业务所无法企及的。在保险行业中，由于其产品的定价机制以保险精算为依托，为确保风险评估的准确性和大数法则的有效性，以发挥保险分散风险和填补损失的积极作用，被保险人个人信息的获取就显得愈发重要，互联网营销与保险营销在个人信息的需求方面具有天然的契合性。随着保险科技的不断发展，互联网保险公司在为投保人量身定制符合用户特性的个性化保险服务时，更加需要对于用户的个人信息进行收集和利用，以通过数据挖掘和用户画像的建立达致精准营销的目的，增加客户粘性。然而在现阶段互联网信息技术尚且无法实现精确收集信息的现状下，如不采取必要的方式划定个人信息收集处理行为的边界，极易造成保险公司对于个人信息的过度收集和过度滥用，侵犯用户的合法权益。

《民法典》颁布后，其人格权编第1034条至1039条明确了个人信息保护的基本规则，以此为依据，《个人信息保护法》制定计划被提上日程。2020年10月17日，第十三届全国人大常委会第二十二次会议对于《个人信息保护法(草案)》进行了首次审议，其第14条规定个人信息处理者对于个人信息的处理应当建立在信息所有人充分知情且自愿明确做出知情同意意思表示的基础上，即突出强调个人信息的处理应以信息所有人“知情—同意”为前置要件。实践中，互联网保险公司一般会在网站中设置个人信息保护政策，将其对于保险消费者个人信息的利用情况进行披露，并获得后者的知情同意。在现阶段我国依然以“知情—同意”作为个人信息保护规范核心的前提下，作为限制互联网保险公司不当收集利用个人信息行为的第一道门槛，个人信息保护政策的合规性直接影响后续互联网保险公司实操的法律风险。

纵观我国金融行业，出于对消费者资信调查和储蓄存款、投资理财等大额资金安全维护的需要，证券业和银行业对于个人信息的保护较为重视，相关立法与时俱进。但在保险业，由于海量数据的收集有助于提高保险精算的准确度，为避免过度限制个人信息收集影响保险损失填补作用的发挥，保险行业个人信息保护法规长期缺位，规定多为简单零散的宣示性条款，缺乏协调性和体系化，无法为保险消费者个人信息提供充分完善的保护，(1)郑启福：《金融消费者隐私权的该法律保护研究》，《西北大学学报(哲学社会科学版)》2012年第2期。因此互联网保险公司个人信息保护政策普遍仅具象征意义。此外在缺乏保险监管部门管控的前提下，实践中部分互联网保险公司以个人信息保护政策大打个人信息收集利用擦边球，更使个人信息保护政策的贯彻流于形式。笔者拟通过实证研究互联网保险公司个人信息保护政策的制定情况，以期对互联网保险行业个人信息保护的法律制度和监管实践提供有效的理论指引。

二、个人信息保护政策法律合规性实证分析

如按现行三种较为普遍的互联网保险分类模式对我国目前行业知名度较高的12家保险公司进行检索，可以发现为有效贯彻“知情—同意”规则，以保护消费者对于个人信息收集利用的知情权，大多互联网保险公司会选择于投保界面中制定个人信息保护政策(个别网站亦称隐私政策)，且进行必要的公示。而在个人信息保护政策之中，保险公司基本会将个人信息收集、使用、共享、保护及公开披露的具体内容进行明确规定，以划定数据处理行为的界限，见表1：

表1 互联网保险行业中个人信息保护政策的基本内容

当然，上述个人信息保护政策是否符合现行法要求，应进行更加细致的探讨。目前对于互联网个人信息保护的细致规范主要体现于《网络安全法》(2016)和《信息安全技术个人信息安全规范》(GB/T35273-2017)(2)《信息安全技术个人信息安全规范》(GB/T35273-2017)2017年发布，并于2020年进行二次修改，形成最新版本《信息安全技术个人信息安全规范》(GB/T35273-2020)。之中，前者为我国目前唯一一部对于个人信息收集利用规则进行详尽阐述的法律层级规范，后者作为自律规范虽效力层级较低，但由于其时效性最强且内容最为详尽，因而也将之作为考察的规则依据。

(一)以《网络安全法》为视角检视个人信息保护政策合规性

《网络安全法》第4章第40条—第49条对网络运营者收集和使用用户个人信息进行了若干限制，可以总结为7大原则，分别为限制收集原则(第41条)、明确目的原则(第41条)、合法处理原则(第42条)、限制使用原则(第44条)、安全保障原则(第45条、第47条)、公开透明原则(第41条)以及用户权利原则(第43条、第44条)。以上述7项原则为依据，本文对12家互联网保险公司的个人信息保护政策进行了比对，见表2：

表2 《网络安全法》中关于个人信息收集使用的内容要求

由表2可以看出，就没有制定个人信息保护政策的互联网保险公司而言，虽然会在服务协议或投保声明中规定部分涉及个人信息保护的条款，但大多只是以“我们承诺不会将您的个人信息泄露给任何第三方作其他用途”等话术一带而过，远无法达致《网络安全法》中7项原则的要求。而对于单独制定个人信息保护政策的互联网保险公司而言，其基本从形式上能够达到7项原则要求，但从中可以看出的问题是，《网络安全法》第41条中第1款规定的限制收集原则要求互联网保险公司在收集保险消费者个人信息时应当遵循合法、正当且必要原则，第2款则强调互联网保险公司收集个人信息应当与其提供服务直接相关，即收集信息的关联性要素。而部分保险公司在个人信息保护政策中只列明了合法与正当的要求，对于必要性和关联性的重视程度略显不足。(3)按照《民法典》第1035条的规定，信息收集机构在处理个人信息时同样要遵循合法、正当、必要原则，而保险机构在处理个人信息时同样对于必要性的重视程度显著不足。

(二)以《信息安全技术个人信息安全规范》为依据考察个人信息保护政策的合理性

《网络安全法》从维护网络信息安全的角度对于个人信息的收集利用进行最低限度的法律约束，而为保证《网络安全法》的技术性规则可落地实施，《信息安全技术个人信息安全规范》(GB/T35273-2020)在《网络安全法》的基础上，从内容和形式两方面对互联网保险公司收集处理个人信息的行为进行了更高规格和更加详尽的规范。

在内容上，《信息安全技术个人信息安全规范》在重申《网络安全法》原则的基础上，增加了7项原则，分别为最小必要原则、选择同意原则、敏感信息区分对待原则、储存时间最小化原则、个人信息安全事件处置原则、个人信息保存的去标识化原则以及个人信息跨境传输限制原则。在形式上，《信息安全技术个人信息安全规范》附件中对个人信息保护政策提出了如下6项要求：(1)告知消费者个人信息控制者的联系方法；(2)明示个人信息保护政策链接；(3)以链接形式展示数据安全能力合规证明；(4)提供针对处理规则的专门答疑渠道；(5)个人信息的共享、转让、公开披露以点击确认形式征求同意；(6)收集个人敏感信息分阶段、分窗口、分屏幕的特殊形式要求。针对上述内容和形式要求，本文对12家公司的个人信息保护政策进行了比对，分别见表3和表4：

从表3可以看出，大多制定个人信息保护政策的公司对于储存时间最小化原则和选择同意原则较为重视，一般都会要求对于个人信息的收集，应当经过保险消费者同意，而不需要保险消费者同意即可收集的事项应在个人信息保护政策中予以列明，且在个人信息的储存过程中则要求一旦超过合乎目的的存储期间，便应立刻进行删除或匿名化处理。但大多公司对于其他5项原则重视程度不足，尤其是个人敏感信息区分对待原则及个人信息安全事件处置原则普及率较低，最小必要原则中三项子规则(关联性、最小频率和最低数量)更是没有任何公司可以全部达致要求。

由表4可知，相较之内容，互联网保险公司更加忽视个人信息收集利用的形式要求。除“告知消费者个人信息控制者的联系方法”与“明示个人信息保护政策链接”两项要求能够被大多公司遵守外，其他几项要求则极少有公司能够满足。其中，即使针对“明示个人信息保护政策链接”要求，很多保险公司的做法能否达到实质标准亦存在疑问。如部分保险公司在投保人选购保险产品时，将个人信息保护政策勾选按钮设置为默认同意或直接取消确认按钮，无需投保人主动勾选即可进行下一步的登录操作。此外，还有保险公司直接将个人信息保护政策以小号字体置于官网首页底栏或顶栏中，甚至部分保险公司将个人信息保护政策的链接嵌于首页新闻中心之中，保险消费者需要点击新闻中心进入公司信息界面后才能够查阅个人信息保护政策声明，上述做法共同点在于非将个人信息保护政策置于保险消费者投保必经流程之中，保险消费者是否打开链接对投保流程不会产生任何影响，这种界面设计势必会影响个人信息保护政策链接对于投保人的提示效果，消费者往往难以在复杂的投保流程操作中注意到自己个人信息的利用情况。

表4 《信息安全技术个人信息安全规范》中关于个人信息收集使用的形式要求

(三)个人信息保护政策合规性研究反映的现实问题

从上述个人信息保护政策实证分析中可以看出，少有保险公司能够满足现行互联网法规和个人信息安全规范的要求，若个人信息保护政策尚且不合规，要求互联网保险公司在实践中能够切实做到审慎收集利用个人信息更是煎水作冰。我国目前个人信息保护政策的形式和内容缺乏明确统一的标准，亦可反映出若干立法和监管方面的现实问题。

1.互联网保险个人信息保护立法模式选择的争议

在我国，互联网保险个人信息保护立法模式曾存在两种选择，其一为统合立法模式，即在将“个人信息”概念从隐私权分离出来后，将其规范统合在一部《个人信息保护法》中通行于全行业适用。其二为专门立法模式，强调将个人信息作为隐私权的下位概念，各行业单独制定特殊保护规则。《民法典》颁布前，《侵权责任法》虽然确立了一般隐私权的保护路径，但并未提及“个人信息”概念，长期以来，金融行业中消费者的个人信息权益更多以“个人隐私权”的概念出现在金融业法律和部门规章(4)如《商业银行法》第29条：商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。此外，《银行业监督管理法》与《反洗钱法》均规定了商业银行工作人员、银行业监督管理机构从事监督管理工作人员泄露商业秘密和个人隐私应承担的法律责任。中，这一点与专门立法模式较为接近。但由于个人信息与隐私二者系交叉概念，随着互联网信息技术的不断发展，新型个人信息层出不穷，单靠隐私权无法周延个人信息的保护范围。《民法典》的立法设计标志着我国将个人信息从隐私权独立出来，并将之作为一项单独的人格权进行保护，《个人信息保护法》的制定也说明我国倾向于将个人信息进行统合保护，对法典化国家而言，此种保护模式有利于扩大个人信息的保护范围，减少立法和行业实践冲突，这种立法思路的转变值得肯定。但另一方面，保险具有行业特殊性，兼具商业营利属性与社会保障属性，将之与一般商事营利活动同等对待势必会因忽略保险行业个人信息收集利用的社会性和公益性从而影响保险分摊损失作用的发挥，阻碍保险行业的有序发展。

2.互联网保险个人信息立法及监管实践的缺位

在我国《个人信息保护法(草案)》尚待审议之时，现阶段我国关于互联网保险行业个人信息保护的立法主要体现在5部法律、1部立法解释、1部司法解释、1部行政法规、12部部门规章及11部行业标准之中。然而其中大多数规范性文件对于个人信息保护仅进行宣示性的规定，缺乏对于个人信息保护政策形式和内容详尽的法律要求。《民法典》颁布后，其人格权编对个人信息的定义及收集处理存储规则进行明确，以此为依据，各行业均开启个人信息保护的新一轮立法，但在互联网保险业依然存在规则简单，操作性不足弊端，如2020年12月14日银保监会发布的《互联网保险业务监管办法》虽然对于互联网保险公司的营销行为进行了较为详尽的规定，但其第38条对于个人信息收集利用的规范只强调了合法、正当、必要原则和“知情—同意”原则，且对于上述原则的具体操作方式并未涉及，而对于个人敏感信息和个人信息保护政策的形式要求更是只字未提。这种粗糙的立法技术使得互联网保险个人信息保护规范的形式意义远大于实质意义，客观上纵容了互联网保险公司有意忽略个人信息保护政策的合规设计。

此外，个人信息保护政策执行过程中的监管缺位问题亦较为突出，虽然我国目前对于个人信息保护采用统合立法模式，但在我国尚未建立统一专门化的个人信息监管机构之时，互联网保险个人信息的收集和利用往往会涉及央行、银保监会、工信部、网信办等几大部门联合监管，这种混合监管模式存在各部门互相推诿的缺陷，保险消费者一旦遇到互联网保险公司过度收集或滥用个人信息的情形，可能面临投诉无门的困境，也正因为互联网保险业缺乏专门的监督机构，互联网保险公司的个人信息政策在执行过程中缺乏有效的监督机制，难以在实践中切实保障保险消费者的信息自主权。

3.互联网保险业个人敏感信息细化规范的粗糙设计

从上述图表可以看出，我国目前尚无任何互联网保险公司在个人信息保护政策中对个人信息进行区分对待并明确对于个人敏感信息予以更加严格的保护，除互联网保险公司降低成本(5)部分学者认为，在大数据时代，所有数据均可导引出特殊类型的个人信息，对个别信息进行特殊保护只会增加管制成本，阻碍企业进行数据分析。胡文涛：《我国个人敏感信息界定之构想》，《中国法学》2018年第5期。与提高交易效率的商业化考虑外，主要原因在于我国法律对于个人敏感信息的定义和分级处理方式的细化规范略显粗糙。(6)《个人信息保护法》制定前，《网络安全法》并没有对个人信息的类型进行必要的区分，《民法典》将个人信息区分为一般个人信息和私密信息，却也未提及个人敏感信息的概念。长期以来，我国关于个人敏感信息的定义仅存在于《个人信息保护指南》和《个人信息安全规范》等效力层级低下的行业标准之中，且不同行业标准对个人敏感信息外延的规定存在明显差异。如今虽然《个人信息保护法》(草案)明确个人敏感信息的概念，但条款不足(4条)，难以体现对于个人敏感信息保护更加严格的立法宗旨。在我国现行互联网和金融行业标准中，对于个人敏感信息进行细化规范的方式亦存在差异，主要可总结为三种模式。

第一种即重分级轻定义模式，如《个人信息保护技术指引》虽将个人敏感信息具体内容的制定权限下放至各个接受服务的信息主体之中，但要求对于个人敏感信息应按照敏感度区分为高敏感、中敏感、低敏感三个等级。

第二种为重定义轻分级模式，如《中国金融移动支付检测规范》第8部分对于个人认证信息中属于个人敏感信息的内容进行了列举，主要包括金融支付机构留存的登录密码、交易密码和取款密码等。《信息安全技术个人信息安全规范》于附录B中在对于个人敏感信息的判定标准进行明确的基础上对于个人财产信息和个人健康生理信息中属于个人敏感信息的内容进行了拓宽式列举，不仅将银行账户、存款信息、房产信息、信贷记录、征信信息、交易和消费记录等金融信息纳入个人敏感信息之中，且医嘱单、体检报告、既往病史和生育信息等个人健康生理信息亦被归入个人敏感信息范畴，但上述两项行业标准并未对个人敏感信息的分级方式进行明确。

第三种模式为两者并重式，即在对于个人敏感信息进行列举式定义的同时进行分级。如《个人金融信息保护技术规范》按照个人金融信息敏感程度高低将金融信息区分账户密码等用户鉴别信息(C3级-高敏感度)、支付账号等可识别特定主体身份与金融状况的信息(C2级-中敏感度)以及开户机构等金融机构内部使用的个人金融信息(C1级-低敏感度)，C1-C3级别的敏感信息分别适用不同力度的保护措施。

我国《个人信息保护法(草案)》第一次以法律层级角度提出“个人敏感信息”的概念，却并未对其进行分级，很明显采用了重定义轻分级的规范模式。但即使在个人敏感信息内部，因信息性质、内容及敏感度存在差异而依然存在梯度分级保护的必要性，我国目前互联网保险业并未对个人敏感信息进行任何定义或分级的规定，难以契合对于个人敏感信息应严格保护的立法精神，更无法实现个人信息保护和利用之间的平衡。

三、域外互联网保险个人信息保护的制度借鉴

世界范围内主要存在两种个人信息保护的范式选择，其一为以欧盟、日本为代表的统合立法模式，其二为美国的专门立法模式。前者强调将个人信息从隐私权独立出来单独作为一项人格权进行较高规格的保护，而后者则将个人信息作为隐私权的特殊类别进行规范。将个人信息权(亦有国家和地区称之为个人数据权(7)欧盟多数成员国采“数据”(Data)定义，但亚洲国家大多倾向于采“信息”(Information)定义，虽然在我国，二者多数情况下会进行混用，但严格意义上来说，数据的范围比信息更加广泛。余筱兰：《信息权在我国民法典编纂中的立法遵从》，《法学杂志》2017年第4期。)进行单独保护的国家和地区大多不区分行业形成统一的个人信息保护法，(8)如欧盟的《通用数据保护条例》、德国的《联邦数据保护法》、法国的《法国自由、档案、信息法》、日本的《个人信息保护法》等。而美国则采取分散性的立法模式，其个人信息保护规范散见于不同行业的法律规则中，且制定法相对于行业自律规则仅占据辅助性地位。除《公平信用报告法》《隐私权法》《金融服务现代化法案》中的个别条款对于整个金融行业具有普适效力外，由于美国金融行业分业立法，互联网保险业个人信息主要根据各州自行制定的法律进行特殊保护。(9)王宝刚等：《个人金融信息保护法律研究》，《金融理论与实践》2013年第2期。

(一)域外个人信息保护立法的一般规则

由于我国个人信息保护采用统合立法模式，笔者仅通过梳理欧盟、日本等11个(10)样本包括的国家和地区：欧盟、德国、法国、英国、日本、韩国、新加坡、澳大利亚、加拿大、我国台湾地区、我国香港地区。域外统合立法国家和地区的立法现状可发现，大多国家和地区对于个人信息保护的规定可总结为如下要求：(1)目的限制原则，即收集个人信息前要确定其目的(11)加拿大《个人信息保护和电子文件法》附表1(第5节)4.2原则2-识别目的部分。，且信息的收集、处理和利用均应用于正当、合法、必要且特定(12)其中，日本对于目的特定化要求最为严格，不仅强调个人信息处理者应将其利用目的特定化，还强调个人信息处理者一旦变更利用目的，不得超出具有变更前利用目的相当关联性的被合理的认可范围。参见日本《个人信息保护法》第15条。的目的，在达致特定目的前提下，要保证信息收集的最低限度性(13)韩国《个人信息保护法》第3条第1款。。(2)知情同意原则(14)个别国家亦称之为“许可同意原则”，如德国《联邦数据保护法》第4、4a条。，即在明示信息收集、使用和披露的目的方式和原则，且明示无需用户同意的例外收集情形的基础上，获得信息主体的知情同意(15)欧盟及其成员大多认可“知情-同意原则”，即在强化信息主体个人信息权利的基础上，要求对于信息主体进行更高规格的保护，但韩国、日本等国仅对于“个人敏感信息”或“需要注意的个人信息”强制施以“知情-同意”的要求。，其主要强调收集、处理和利用时手段上的合法性、公正性且适当性要求。(16)参见我国台湾地区“个人资料保护法”第19条；日本《个人信息保护法》第16、17条等。(3)用户权利原则，即用户对自己的个人信息享有公开、获取、查询、更正、删除等权利。(17)当然，由于不同国家对于个人信息保护的强度存在差异，用户权利的类型亦存在不同，一般而言，大陆法系国家多强调人格权的高规格保护，用户权利体系更加健全，如《欧盟通用数据保护条例》在《个人数据保护指令》的基础上，增加了用户限制处理权、可携带权、自主决定权、被遗忘权等权利，参见欧盟《通用数据保护条例》第3章。而英美法系或日本等综合立法的国家更强调信息流通的自由度，如日本仅强调用户的查询权、更正权和删除权，澳大利亚《隐私法案》仅强调个人信息知情权、获取权、查询权和更正权。参见日本《个人信息保护法》第25、26、27条。(4)期限性原则，强调个人信息的收集和使用不能超过合乎目的的期限，超过后应当立即进行主动删除或匿名化处理，对于收集后的个人信息应及时进行必要的更新。(18)参见我国台湾地区“个人资料保护法”第11条；日本《个人信息保护法》第19条等。(5)安全保障及责任制原则，机构应当采取必要且正当的措施保障个人信息的真实性、完整性和安全性，如造成用户个人信息的泄露、损毁灭失应当承担损害赔偿责任。(19)参见日本《个人信息保护法》第20条；韩国《个人信息保护法》第29条；加拿大《个人信息保护和电子文件法》附表1(第5节)4.1原则1-责任等。(6)个人信息的分类处理，对于个人信息应当区分一般个人信息和敏感信息，对于后者要进行更加严格的保护。(20)如韩国对于个人信息的处理不要求必须经过信息主体的同意，但根据韩国《个人信息保护法》第23条，个人信息处理者原则上不得处理个人敏感信息，只有法定情形或取得信息主体明确同意时，方可进行。加拿大《个人信息保护和电子文件法》也指出，征求信息主体同意的形式因信息的类型而有所不同，对于个人一般信息，暗示同意应当允许，但对于个人敏感信息，应当寻求信息主体的明确同意。(7)对于数据流通性比较强国家和地区，大多要求个人信息跨境流通应当符合法律规定且用户的明确授权。(21)如欧盟作为全世界数据流通最为频繁的地区之一，其法律对于个人数据的跨境流动设定较高的限制条件，参见欧盟《通用数据保护条例》第5章。

(二)域外互联网保险行业个人信息保护立法的特殊规则

多数对于个人信息保护进行统合立法的国家和地区在金融行业亦采取合一立法模式，即将保险、银行和证券等分支行业规范整合在统一的金融商品交易法之中，因此，笔者对于互联网保险业个人信息保护的专门规定更多置于金融法中予以考察。

以日本和韩国为例，日本在《个人信息保护法》之外，《金融商品交易法》《办理关于金融机构保护个人资讯指南》《金融领域个人信息保护方针》与《金融领域个人信息保护方针的安全管理措施实务指南》均对于金融行业个人信息保护进行了更加严格的规制，主要表现为以下四项特殊规则。其一为“知情—同意”原则形式上的规范。日本《个人信息保护法》并未对于个人信息所有人同意的形式做出明确规定，而依据《金融领域个人信息保护方针》第4条的规定，金融领域处理个人信息的企业必须采用书面形式获取个人信息所有人的同意，且同意书对于个人信息处理的规定必须能使本人能够理解(其中的含义)，同意书也应当以能够清楚反映本人意图的方式设定确认模式。(22)详见《金融分野における個人情報保護方針》第4条同意の形式について。其二为个人信息的区分保护。日本《个人信息保护法》并未提及个人敏感信息的概念，但《金融领域个人信息保护方针》将个人信息区分为一般个人信息和敏感信息，其第5条强调对于宗教、民族种族、医疗保健、犯罪等信息应当作为敏感信息，在从事保险业或其他金融领域业务中，应当以本人同意为基础，在业务执行上的必要范围内取得和利用。(23)详见《金融分野における個人情報保護方針》第6条 機微(センシティブ) 情報について⑦保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ) 情報を取得し、利用し、又は第三者提供する場合。《金融领域个人信息保护方针的安全管理措施实务指南》附件2则对于敏感信息的收集处理做出了具体规定，譬如要满足最低要求限额、访问控制限额为最少人数、严格的身份验证程序、外部审核流程等。(24)详见《金融分野における個人情報保護方針の安全管理措置の実務指針》(別添2)金融分野における個人情報保護に関するガイドライン第6条に定める「機微(センシティブ)情報」。其三为金融从业者安全管理措施的细化规范。日本《个人信息保护法》第39条只规定了匿名加工信息处理业者的管理义务，而《金融领域个人信息保护方针》第10条对于财务领域中的个人信息业务运营商组织安全控制措施、个人安全管理措施、技术安全管理措施均进行了较为细化的规范。(25)详见《金融分野における個人情報保護方針》第10条 安全管理措置(法第20条及び基本方針関連)。其四为金融从业者监督义务的强化。日本《个人信息保护法》第3节只规定了个人信息保护委员会的监督职能，对于金融从业者的监督义务并无涉及。《金融领域个人信息保护方针》则于第11条和12条(26)详见《金融分野における個人情報保護方針》第11条従業者の監督(法第 21 条及び基本方針関連)、第12条 委託先の監督(法第 22 条及び基本方針関連)。特别强调为防止个人数据泄露、丢失或损坏，金融从业者需要对其雇员和承包商进行必要的监督，在此基础上，《金融领域个人信息保护方针的安全管理措施实务指南》第5条对于个人数据承包商监督的标准进行了细化明确，包括选择承包商的标准、与承包商签订合同的内容、对于承包商的定期审核要求等。(27)详见《金融分野における個人情報保護方針の安全管理措置の実務指針》金融分野における個人情報保護に関するガイドライン第12条に定める「委託先の監督」について。

(三)域外互联网保险业个人信息保护的监管现状

就世界范围来看，对于互联网保险行业个人信息保护的监管模式存在以下三种，统合监管模式、行业监管模式和分业监管模式。统合监管模式以欧陆地区和东亚地区为典型代表，即强调不区分行业而在全国范围内设置统一的个人信息监管机构，如欧盟数据保护专员公署、德国联邦数据保护与信息自由专员办公室、法国国家信息与自由委员会、澳大利亚信息专员办公室、日本个人信息保护委员会和我国香港地区的个人资料隐私专员公署等。而行业监管模式强调政府应将各行业个人信息保护的监管权限下放到各个行业的监管机构之中。如英国金融行为监管局和我国台湾地区的联合金融征信中心负责监督金融全行业个人信息保护的落实情况。分业监管模式则以美国为代表，要求在金融领域由联邦银行管理机构、全国信用社管理局、财政部长、证券交易委员会和联邦贸易委员会依各自管辖权限分别负责银行、证券、保险领域个人信息保护的监管，其中保险主要由各州保险委员会和保险监督官自行监管。

(四)域外互联网保险业立法监管经验对我国的启示

从立法模式的选择来看，美国发达的行业自律实践、判例法主导的立法传统抑或联邦制的国家结构，均与我国国情存在较大差异，强行推行分业立法模式在我国存在水土不服的适用困境，而将个人信息进行统合保护不仅可以与我国《民法典》人格权编中的个人信息保护专章相契合，也符合国际上的对于个人信息高标准保护的通行做法。但另一方面，《个人信息保护法》只是设定了个人信息保护的一般规则，保险属于金融领域，兼具私法维持意思自治和公法维护秩序稳定的功能，因此即便是对个人信息进行统合立法的国家也会在保险行业制定若干规章和自律规则以进行特别法上的制度设计，如对于健康信息和金融信息以书面方式作为“知情—同意”的形式要件，且强调期限的严格限制等。

同样从监管经验来看，虽然各国个人信息保护监管机构的设置基本与其立法模式紧密相关，对于将个人信息统合立法的国家和地区而言，大多会不分行业设置专门负责个人信息保护的主管机构统合监管。而对于个人信息碎片化立法的国家而言，基本会采用分业监管模式。但由于个人信息的收集和利用在各行业之间存在差异性，即便是对于统合监管模式的国家和地区而言，也会要求各行业特定的监管机构通过制定特殊的监管细则和应用指南细化具体规则的可操作性并要求行业监管机构辅助监督个人信息的收集利用情况，如我国香港地区虽然存在个人信息保护的专门监管机构，但香港金融管理局往往也会进行一定程度的辅助监管。更何况我国金融业采分业监管模式，与欧盟、日本等国家和地区的大金融监管体系实践亦存在差异，在缺少统一金融监管机构的前提下，则更加凸显于互联网保险业设立专门化个人信息保护监管机构的重要性。

四、互联网保险中个人信息保护的完善建议

(一)互联网保险中个人信息保护的理念

1.互联网保险中倾斜保护理念和适度保护理念的平衡

在互联网保险业中，保险消费者与保险公司地位存在不对等性。一方面保险消费者与保险公司无论是从财产状况、专业知识以及地位均处于明显不对称的状态，保险公司可能利用自己的强势地位侵害消费者利益。(31)张钱：《“后危机时代”金融消费者权益保护法律制度研究》，大连海事大学2014年博士学位论文，第20页。另一方面，互联网新技术的运用，在促进交易快捷，提高效率的同时，也进一步加剧了保险消费者与保险公司的信息不对称，实践中保险公司常以商业利益为驱动，简化个人信息收集利用的披露流程，侵犯保险消费者合法权益。

在互联网保险中谈及个人信息保护的理念，首先要坚持倾斜性保护与适度保护的平衡。倾斜性保护原则为保险消费领域中应当贯彻的首要理念，即强调对保险消费者实施比普通消费者更加完整、有力的保护措施。(32)马建威：《我国金融消费者权益保护法律制度研究》，对外经济贸易大学2015年博士学位论文，第18页。倾斜保护理念更加关注保险消费者的弱势地位，通过加强保险机构的法定义务，强化保险消费者的权利救济，以维系保险交易的公平性，实现社会实质正义。以倾斜保护原则为宏观指导，保险消费者作为弱势地位一方，应当享有更加充分的权利保障，而保险公司作为专业水平强势的一方，其义务的履行应当进行更加严格的法律规制。虽然保险精算以数据和信息为依托，但这并非意味在保险行业对于个人信息就可以无限制的收集利用。部分保险公司以要求投保人履行如实告知义务为名，违反合目的性原则，过度收集与投保无关的消费者信息，本质上与倾斜性保护理念背道而驰。

当然，倾斜性保护理念的运用并非强调对于保险消费者毫无节制的照顾。相反，这种保护也应当遵循适度性。适度保护理念最早由英国提出，根据英国《金融服务与市场法》(2000)的规定，消费者保护的目标是确保对消费者的适度保护，这种适度保护需要考察的因素包括保险消费者交易经验和专业水平的差异性；保险消费者对于保险服务企业准确信息的需求程度；以及保险消费者责任自负原则的贯彻程度等。(33)曲一帆：《金融消费者保护法律制度比较研究》，中国政法大学2011年博士学位论文。适度保护理念要求对保险消费者的保护不能仅通过强化保险服务企业的义务来实现，消费者自身也要尽到合理的注意义务。例如，在互联网保险中，保险消费者在购买保险产品时不得以个人信息保护为由拒绝向保险公司提供健康信息和金融信息，而应切实履行投保人如实告知义务，并对其信息的真实性和时效性负担责任。(34)虽然《个人信息保护法》(草案)第16条赋予了信息权利主体以同意权和撤回权，第17条前半部分也强调个人信息处理者不得以信息权利主体行使同意权和撤回权而拒绝提供产品或服务，但该条后半部分的但书条款也为保险行业留有特别立法的空间。这不仅是保险领域信息充分且对等的义务要求，实则也为实现个人信息利用和保护之间利益衡平的体现。(35)在多数国家个人信息保护法的制定过程中，均强调应当在促进新兴产业发展，增强社会经济活力与保护个人信息权益，维护社会正义的之间达成平衡状态，如日本《个人信息保护法》第1条立法目的即强调重视个人信息的正当且有效利用在促进新兴产业的创造、实现充满活力的经济社会和富足的国民生活上的作用；新加坡《个人数据保护法令》第3条指出个人信息保护的宗旨即为通过规范组织以符合正常理性人认为适当的方式来收集、运用、披露个人数据，以满足其为特定目的的需要同时满足个人对其个人数据的保护，体现了寻求权利主体与义务主体之间平衡点的价值取向。See Personal Data Protection Act(2012)§3.purpose.

2.互联网保险中兼顾个人信息一般保护与特殊保护的理念

互联网保险业中既要注重互联网行业个人信息保护的普遍性要求，又要侧重保险行业的特殊性，对个人信息的保护做差异化设计。一方面，在我国全行业的个人信息保护均应当符合《民法典》《个人信息保护法》和其他互联网行业个人信息保护规章及行业标准的要求，但另一方面保险业对于个人信息的保护不同于一般商业领域，具有一定特殊性，主要表现在个人信息的分类之中。由于保险定价和产品的精准营销需要收集大量的个人金融信息，(36)尤其对于投资型人身保险产品，出于投资者适当性规则的要求，保险公司应当以“了解你的客户”为原则，在审慎了解客户投资能力和财务水平的基础上推介保险产品。而人身保险的营销更是不可避免要收集医疗记录、体检报告内含的个人健康信息，因而上述两类特殊信息应当予以重视。从域外法角度考察，大多国家和地区会将个人金融信息与个人健康信息认定为个人敏感信息并予以更高规格的保护，如欧盟、加拿大、澳大利亚和日本等国家和地区均要求对于个人敏感信息应当以禁止处理为原则，且强调明确且主动的高标准“知情—同意”要求。

以金融信息和健康信息为代表的个人敏感信息相比一般个人信息而言，或承载更高的人格尊严要素，或对于财产安全产生重大影响(37)对于金融信息(Financial Information)，因其极少承载人格尊严要素，大陆法系国家普遍将之剔除出个人敏感信息的范畴，但英美法系国家则更加重视公民财产权，如英国与美国均因金融信息的丧失易造成权利人重大的经济损害，而将之视为公民的个人敏感信息。，上述信息的滥用本质上能够对消费者的基本权利造成侵害，若不加以限制收集、处理和使用的授权，会为消费者带来慌恐、不安与不可预测的损害风险，(38)李飞：《台湾“个人资料保护法”的变迁、问题及其启示意义》，《厦门大学法律评论》2012年第0期。因而社会公众对于金融信息和健康信息具有极强的敏感度，往往会较之其他类型的个人信息更加担心信息的泄露与遗失。对于因业务需要，可能收集保险消费者大量个人敏感信息的互联网保险公司而言，应当对一般信息与敏感信息进行更加细致的区分保护，保险机构在收集个人敏感信息时也应当遵循更高的注意义务。

我国《个人信息保护法(草案)》对于个人敏感信息进行概括+列举式的定义，其范围既包含了英美法中的财产隐私信息，又吸收了欧盟法中规制的承载人格要素的个人信息。由于不同行业敏感信息的种类和分级标准可能存在差异性，《个人信息保护法》不便于对个人敏感信息进行统一标准的分级，但在《个人信息保护法》将个人敏感信息分级权限下放到各个行业之时，保险业就需要银保监会对于敏感信息进行更加细致的分级处理。

(二)完善互联网保险中个人信息保护立法与监管体系

1.互联网保险中个人信息保护立法的完善思路

我国应在完善《个人信息保护法》的同时，通过银保监会发布的规章或指导性原则予以细化。具体而言，相关立法可从如下方面进行完善。

首先，在细化《互联网保险业务监管办法》第38条中规定的合法、正当、必要等原则的基础上，尤应以“最小必要”取代“必要”作为个人信息的首要收集利用原则。其中，对于最小必要原则涉及的最小必要信息和最小必要权限的范围也应当进行明确，前者可将网络日志、手机号码、身份证件信息、账号信息、银行账户信息、个人健康信息等纳入其中，并设定不同层级的使用要求，而对于后者应当严格将之限定为存储权限，不能包括位置权限、传感器权限等。(39)我国目前正在进行《信息安全技术移动互联网应用程序(APP)收集个人信息基本规范》草案的审议，该规范附录A和附录B分别按照服务类型的不同设定最小必要信息和最小必要权限的要求，但该规范中的服务类型并未涉及保险营销。另外对于个人敏感信息，还应当就其收集的最小必要性以及对于个人的影响向保险消费者进行严格的解释说明。(40)例如，在人身保险中，对于个人健康信息的收集会直接影响互联网保险公司的保费测算和承保风险，应当对于保险消费者进行严格的解释说明。

其次，《个人信息保护法(草案)》对于种族、民族、个人生物特征、行踪信息和金融账户、医疗信息不做任何梯级区分，立法略显粗糙。笔者认为应当在坚持一般个人信息与个人敏感信息二元划分(41)当然，对于一般个人信息与个人敏感信息二元划分，有学者也提出不同意见，认为个人信息敏感度的判断需要区分具体场景，很难直接统一量化，因而强调以是否触及信息主体人格尊严和自由发展的核心利益作为区分信息类型的判断标准。笔者持不同见解，首先，虽然个人信息敏感度的判断在不同场景存在差异，但从我国《个人信息保护法》草案来看，采取的是比较宽泛的概括+列举式的定义方法，对于个人信息敏感度的判断完全可以通过各行业的单行法予以细化规制。其次，一旦采取以人格尊严和自由发展作为判断信息类型的依据，财产信息便很难被囊括其中，需要特殊保护的信息类型被大幅度缩减，不利于信息主体合法权益的维护。吕炳斌：《个人信息保护的“同意”困境及其出路》，《法商研究》2021年第2期。的基础上，从定义和分级两方面对于个人敏感信息进行更加细致的规范。具体而言，第一，对于保险行业的个人敏感信息应进行明确定义，尤其应将个人金融信息(42)此处的个人金融信息不应当仅理解为《个人信息保护法(草案)》规定的金融账户信息，应采广义概念，还包括金融交易信息、鉴别信息(如交易密码、卡式保险验证码)等。、个人生物特征信息和个人健康信息等纳入其中。第二，应要求互联网保险公司根据个人信息的敏感度、重要性和特定种类的业务需要，对于个人敏感信息进行梯度分级，且差异化设计利用和传输个人敏感信息的加密方式，以确保信息利用处理过程中的安全性。为此可借鉴《个人信息保护技术指引》和《个人金融信息保护技术规范》的做法，除一般个人信息外，将保险行业个人敏感信息设置高敏感、中敏感和低敏感三个梯度，将保险消费者个人生物识别信息、个人重大疾病史、体检单等个人健康信息和财产账户登录密码、交易密码等个人金融信息纳入高敏感度信息范围中，将个人生育信息、家庭成员健康信息等其他个人健康信息和保险账户信息、支付账号信息、验证码等个人金融信息等纳入中敏感度信息之中，其他个人金融信息(如开户银行、开户地点、开户时间等)则可属于低敏感信息的范畴。对于高敏感信息和中敏感信息应禁止委托或授权无保险资质的机构收集处理，且在传输过程中严格加密，另外，对于高敏感信息，还应当强调在收集和储存过程中，采取加密技术严格确保信息的保密性和非公开性。

最后，应明确“知情—同意”和“许可—使用”的形式化要求，禁止互联网保险公司对个人信息保护政策进行不合理的隐匿或对于个人信息不加以分类分级全部采取概括授权方式进行收集利用。从比较法角度观察，美国联邦贸易委员会在其《在快速变革时代保护消费者隐私权的报告》(2012)(43)万方：《隐私政策中的告知同意原则及其异化》，《法律科学(西北政法大学学报)》2019年第2期。中将一般个人信息和个人敏感信息区别设计消费者同意的形式，对于前者仅满足“择出式同意”要求即可，即无需消费者明示同意，仅需获得默示同意即可，而对于后者则强调“择入式同意”，如网络服务商未获取消费者的明示同意，则无权收集处理个人敏感信息。我国《个人信息保护法(草案)》第14条直接对于一般个人信息施加以“明确同意”的高标准要求，并未考虑到对于个人信息利用较为依赖的特殊行业的需要，因此建议将《个人信息保护法(草案)》第14条修改为“除法律、行政法规另有规定外，处理个人信息的同意应当由个人在充分知情的前提下自愿、明确做出”，在此基础上我国在保险行业可采取梯级“知情—同意”的形式要求(44)从我国行业规范现状来看，我国原有意采用此种梯级“知情-同意”的形式要求，如《信息安全技术个人信息安全规范》(2020)第5.4条规定收集一般个人信息仅需要获得个人信息主体的授权同意即可(明示或默示均可)，但对于个人敏感信息则强调必须征得个人信息主体的明示同意。但上述标准并非强制性法律标准，作为推荐性行业标准的个人信息安全规范效力有限，难以起到较强的约束作用。《个人信息保护法(草案)》否定了这种梯级的形式要求，相比《信息安全技术个人信息安全规范》(2020)提升了个人信息“知情-同意”的严格程度，对于全部个人信息的“知情-同意”均以“明确同意”为原则。，对于一般个人信息可以采取概括授权的形式，且不需要保险消费者的明示同意(45)当然，也有学者提出不同的意见，认为应打破个人敏感信息和一般个人信息分别适用不同“知情-同意”标准的结构，对个人信息收集统一适用明确同意(explicit consent)标准，该做法也被欧盟所确认。依《个人信息保护法(草案)》规定来看，我国也有意采用这种统一且高标准的“明确同意”要求，但笔者认为，欧盟之所以对于“知情-同意”设定如此高的门槛，是与其长期以来将个人信息作为信息主体一项法定权利，强调信息主体充分信息控制权的立法宗旨密不可分的，在我国并未像欧盟一样将个人信息明确作为一项权利的基础上，对于个人信息施加如此严格的保护标准与我国国情不符，也会影响我国信息产业的发展，尤其体现在互联网保险行业，由于保险大数法则要求以海量信息为样本，对“知情-同意”设定过高的标准并不利于保险精算的开展，默示同意有利于为告知同意的实施提供一定程度灵活性，足以应对扩张性的个人信息概念。林洹民：《个人信息保护中知情同意原则的困境与出路》，《北京航空航天大学学报(社会科学版)》2018年第3期。，可以承认以推定形式做出的默示同意(46)部分学者认为，默示同意意味着“知情-同意“规则直接被架空，因为机构完全可以在拒绝披露个人信息收集利用情况下，强制消费者购买产品。但笔者认为，此处的默示同意并非等同于默示告知，互联网保险公司依然进行充分的信息披露和告知义务的履行，默示同意只是强调保险消费者可以采取某种的行为进行同意的意思表示，譬如继续使用保险服务或购买保险产品等。黄东海、缑玉龙：《个人信息安全保护之“知情-同意”架构急需优化》，《中国信息安全》2020年第4期。。对于低敏感信息，由于其承载人格要素要低，取得保险消费者单独、明示(47)从《网络安全法》《个人信息保护法》(草案)的规定可以看出，我国法律对于“明示同意”“明确同意”“书面同意”“单独同意”的规定较为随意，并未明确四种同意的关系，依据《信息技术个人信息安全规范》(2020)第3.6条和《个人金融信息保护技术规范》3.22条对于“明示同意”的解释，明示同意显然为“书面同意”和“电子数据确认同意”的上位概念。笔者认为，“明示同意”相对于“默示同意”，强调信息主体“知情-同意”操作的主动性和肯定性，这种主动性的体现可以是口头形式，也可以是书面形式。“明确同意”(explicitconsent)较之“明示同意”要求更高，体现了一种形式标准向实质标准转化的导向，因为“明确”不仅意味着同意应由信息主体主动做出，更强调这种同意意思表示的做出应当建立在“无歧义”“清晰”“具体”理解信息收集处理原则的基础上。“书面同意”相对于“口头同意”，较“明示同意”和“明确同意”要求更甚，主要排除“口头同意”这一证据认定较为困难的同意形式，“单独同意”则与上述三项概念存在交叉关系，其相对于“概括授权”，主要立足于确保信息主体逐项进行“知情-同意”的操作。同意即可进行“许可使用”，且在获取保险消费者单独同意并进行个人信息安全影响评估后可进行例外的公开披露。对于中、高度敏感信息则应当以禁止收集处理为原则，“知情—同意”收集处理为例外(48)即便是个人敏感信息的收集处理，依然应当强调以当事人“知情-同意”为前提，我国台湾地区“个人资料保护法”第6条虽然将医疗、基因、健康检查等信息纳入个人敏感信息之中，但却没有强调以当事人“知情-同意”为收集利用的前置要件，有失偏颇。刘程：《论台湾地区〈个人信息保护法〉及借鉴》，《吉林省教育学院学报》2015年第11期。，由于上述信息为严重影响保险消费者资金安全的个人金融信息和承载较强人格性要素的个人健康信息和生物特征信息，如确属如实告知义务履行和保险精算之必要，应于获得保险消费者单独、明确(49)如前文所述，“书面同意”相较之“明确同意”要求更甚，我国台湾地区“个人资料保护法”对此规定最为较为严格，要求公务及非公务机关对于个人资料的收集、处理及利用(除法定事由外)须经当事人书面同意，但笔者认为考虑到我国大陆地区互联网行业的发达程度和保险行业对于信息收集利用的必要性，大陆地区不必采用如此严格的“知情-同意”标准。同意后进行收集，在保险合同无法履行或履行完毕后应当立即进行脱敏化处理(50)对于个人敏感信息采取脱敏化的处理后，信息的利用和处理无需征得保险消费者的二次“知情-同意”，有助于实现个人信息保护与保险精算过程中信息使用之间的利益平衡。，且严格禁止公开披露。与之相关联的配套措施即要求互联网保险公司建立个人信息数据库分级授权管理机制，合理确定保险公司工作人员调取信息的范围和权限。

2.强化互联网保险业对于个人信息保护的行为监管

针对我国目前互联网保险行业监管主体不明的弊端，可借鉴英国和我国香港地区的行业监管模式，银保监会作为对于保险公司进行行为监管的主体，在制定互联网保险行业个人信息保护实施细则的同时，也应当明确其个人信息保护的监管主体地位。银保监会应当于消费者保护局中下设专门负责受理个人信息保护的监管机构，在负责处理消费者投诉和处理纠纷的同时应当对于互联网保险机构个人信息处理机制的形式和内容进行必要的抽检，对于不符合要求的保险机构要求禁止其个人信息的收集、处理和使用并处以必要的罚款、责令整改等行政处罚措施，以确保互联网保险公司将保险消费者个人信息的保护落到实处。

(三)对于互联网保险公司处理个人信息的合规建议

1.互联网保险公司个人信息保护政策的内容优化

首先，互联网保险公司对于保险消费者“知情—同意”的内容不能以“我们承诺不会将个人信息泄露给任何第三方作其他用途。”类似的表述进行概括说明，也不能进行诸如“为了业务需要”或者“为了保护您的合法权益”等含糊表述要求消费者进行概括确认，应细化个人信息保护政策中的信息收集处理机制，并将处理目的和同意内容形成一一对应关系。(51)田野、张晨辉：《论敏感个人信息的法律保护》，《河南社会科学》2019年第7期。互联网保险公司的个人信息政策内容应当尽可能清晰细化信息收集使用的目的，且明确个人信息的收集应当尽遵循最低频次和最小数量的要求。

其次，个人信息保护政策有必要明确对于个人信息的储存应当遵循储存时间最小化原则，为便于信息主体对上述储存行为进行监督，个人信息保护政策也应当明确待互联网保险公司对个人信息进行商业性目的的储存后，信息主体拥有每年度要求以书面形式提供信息并对信息真实性进行质疑并要求修改的权利。(52)此处可参考德国《联邦数据保护法》第34条第8款的规定。而一旦保险合同终止或遇到其他无法实现合同目的的事由，保险公司应当立刻主动对于用户的个人信息进行删除，如确因法定原因或保险精算需要而无法对于个人信息进行删除，也应当进行去识别化处理。

再次，互联网保险公司不能将个人信息统一进行概括授权，而应当在个人信息保护政策中明确个人敏感信息的内涵与外延，尤其应当列明对于个人敏感信息收集过程中“知情—同意”的例外情形。对于个人敏感信息，应区分低度敏感信息、中度敏感信息和高度敏感信息，对于低度敏感信息，应当在获得保险消费者单独且明示同意的基础上进行收集，而对于中高度敏感信息应当以禁止处理为原则，明确同意处理为例外，除非受到保险消费者明确同意，互联网保险公司不得随意收集与使用，对于其中的“明确同意”应当做出严格的解释，即应当建立在保险消费者对于自己权利充分理解(53)在保险行业，保险人需要履行格式条款的一般说明义务和明确说明义务，在《民法典》将格式条款说明义务的范围由“减责或免责条款”扩大至“重大利害关系条款”前提下，可以将个人敏感信息的收集利用规则纳入保险人明确说明义务的范围之中，要求保险人进行提示和明确解释说明，如保险消费者没有注意或理解上述内容，则该内容不能视为其已知情同意。参见《民法典》第496条、《保险法》第17条。的基础上，做出的主动且清晰的书面意思表示，任何隐藏个人敏感信息条款或默认同意的条款设计均不符合明确同意的高标准要求。此外，对于个人敏感信息的利用，应当以脱敏化处理为前提，为此，互联网保险公司应当建立个人敏感信息脱敏(如屏蔽、去标识、匿名化等)管理规范和制度，以明确不同敏感级别个人信息脱敏规则、脱敏方法和脱敏数据的使用限制。(54)参见《个人金融信息保护技术规范》(JR/T 0171-2020)7.2.1(e)。

最后，对于个人信息的安全保障义务的履行，不应当满足于仅制定安全保障义务的原则性条款，而应当对于安全事件的类型、安全漏洞的分类标准予以明确，且应当完善紧急事件应急预案机制，定期(半年一次或一年一次)组织应急响应培训，以增强互联网保险机构内部员工信息安全意识。如互联网保险公司发现其所储存的个人敏感信息被非法传输或被非法向第三方披露，应当及时将非法获取信息的性质和应急措施通知银保监会。

2.采集用户个人信息“知情同意”页面的形式设计

由于互联网保险中的人—机交互模式一改传统线下保险中人—人互动模式，以“一对多”定式化的网页操作流程代替传统“一对一”的沟通式行为营销，在降低人力、时间成本，发挥交易便捷化优势的同时也加剧了保险公司与消费者的信息不对称。为纠偏保险公司与消费者的利益失衡，在互联网保险行业中更应当强化网站网页的布局及投保流程设计，体现在个人信息的收集利用方面即为“知情—同意”页面的优化。

首先，个人信息保护政策的链接应设置于投保人必经的操作界面，通过单独网页或弹窗形式提示保险消费者，对于重点事项应当通过加粗或下划线等标记手段确保消费者能够于繁杂的网页信息中精准获取其个人信息的收集利用情况，且增加保险消费者主动勾选的同意选项(55)实践中，大多互联网保险公司会将个人信息保护政策的链接进行不合理的隐匿或设计成为非勾选模式，这种做法实则违背了“知情-同意”规则的要求。根据德国《联邦数据保护法》(2017)第4条及第4a条的规定，“知情-同意”不仅要求如从数据主体处收集个人数据，数据主体应被告知提供信息是强制的还是自愿的，而且要求数据主体必须自由决定的同意才具有效力，我国《个人信息保护法(草案)》第7条也强调个人信息处理规则的明示要求。。其次，个人信息保护政策的展示界面应当提供专门的疑难解答窗口，以智能客服和人工客服相结合，确保消费者对于不理解或者有歧义的词句能够随时进行咨询互动。再次，应当于个人信息保护政策中设置内嵌式链接并将数据安全合规证明置于其中，以确保网站的安全保障义务可落到实处。最后，对于个人敏感信息的确认应当分窗口单独呈现，在通过加粗、扩大字号等方式重点提示的同时逐项设置用户同意选项，并要求保险消费者主动点击确认，严禁概括授权的同意或以默认勾选按钮代替消费者进行“知情—同意”的确认。