徐家力 杨森
〔内容提要〕随着《个人信息保护法》的生效、数字化技术的不断发展、数据规模的急剧增长,保险行业个人信息管理问题需要重新审视。保险公司个人信息数据的违规处理及防护不到位,除了会面临新法的巨额罚款,还会遭遇声誉损害进一步影响市值。本文基于保险行业面临的挑战,将保险个人信息作为一项财产权进行产权分配,以达到社会福利最大化为目标,得出个人信息数据的所有权归属应由保险公司和消费者共享更为有效的结论。指出保险公司、第三方代理机构、保险客户之间的信息授权模式应参考互联网平台的“三重授权规则”,提出科技化赋能保险行业个人信息数据安全管理的重要性,重点在于跟进隐私计算技术方案的掌握,并指出保护端点上的数据及便携式设备上的数据应当是保险公司数据安全管理的重点方向。
〔关键词〕个人信息保护 数据安全 保险客户 科技赋能
一、问题的提出
随着云计算、人工智能、大数据等新型技术的出现,我们的生产生活方式发生着翻天覆地的变化,人们的思维方式、社会形态也在不断变革。数据,尤其是个人信息,对于实现企业风险控制、产品开发和行业战略分析目标来说,无疑是核心和基础,然而数据的开发和利用与个人信息保护之间存在着天然的对立关系,如何实现二者的平衡成为数字信息化时代关注的焦点。保险业作为数字密集型产业,其对数据的依赖无论是在广度还是在深度上都更加强烈,保险人为了能精准计算、预判风险、核保理赔,势必要在信息不对称的市场环境中想方设法获得被保险人信息资源,此外,保险业存在的根基“大数法则”,更是决定了其背后庞大的用户量及用户个人信息数据量。随着《个人信息保护法》的即将生效,保险业在现行制度框架下,如何利用高科技手段保护公司数据,找到用户个人信息保护的规则边界,成为每一家保险公司必须面临和解决的问题。
二、数字时代对保险个人信息保护的新要求
(一)大数据技术给保险业个信保护带来的挑战
保险本身的定义就是要集中众人的力量建立起保险基金,用以补偿发生灾害或事故的保险客户经济损失的一种方法,在保险公司的日常经营中,不可避免地要利用各种数学推理方法及风险模型对风险进行预估以对公司利润进行预测,包括随后的保险经营流程:承保、核保、理赔、保险精算定价等,所有的计算过程即为数字化的过程,由此可见保险行业具有天生的数字化属性。在没有大数据技术以前,传统保险行业的数据来源于用户表格填写产生的一些滞后数据,大数据技术促使保险业可以快速海量收集、存储、处理数据,例如数据工程师运用爬虫技术抓取网页数据,通过提数服务将数据集成提供给下游消费者使用,通过机器学习构建新模型对新数据进行分析,实现对保险消费者“精准画像”。
数字化属性加上新时代数字化技术的快速发展,促使了保险科技化的进程,现如今的保险消费逐渐向场景化、智能化发展,保险类型也开始转型为管理型和互动型保险,例如,汽车保险出现了“UBI车险”类型,保险公司可通过一系列的联网设备,根据每位保险消费车主的用车习惯、行驶里程等信息实现不同情况的保险定价;健康险中保险公司通过为被保险人提供的穿戴式设备,实时获取被保险人的健康信息,不仅可以在患大病时方便理赔程序速启动、速进行,也可以实时提供健康服务。数据技术的发展极大地降低了保险市场中逆向选择和道德风险的现象,并促使保险产业链优化升级;消费者购买保险方式也更加便捷,大部分保险都提供了线上服务,消费者可在浏览网页的同时,输入投保信息随时投保。
由此可见,无论是保险公司的内部运营还是面向客户的保险产品,都越来越依赖数字技术。虽然技術无疑使流程更快,客户自助服务更广泛,但所有这些数据都意味着保险公司及其客户容易受到安全漏洞的影响。加上保险数据本身具有规模性、多样性、高速性、价值性的特征,数据安全危机很容易造成牵一发而动全身的局面。分析大数据技术给保险业个人信息保护带来的主要矛盾,主要有以下两点问题:(1)个人信息的权利归属及授权搜集使用问题。数据搜集、使用的前提在于对于数据的支配权力,支配权力来源途径只有两条,一是对数据的拥有,二是数据所有人的授权使用。若直接规定个人信息所有权人为个人,保险公司需要频繁征得权利人授意才能操作数据,无疑大大降低了保险公司的运营效率,而且消费者为了获得保险业务的主动权对其个人信息并没有足够的动机去披露,这也会使得保险公司的权益受到损害。(2)保险公司如何确保客户个人信息数据库的安全。个人数据是保险公司能够持续经营的根基,只有在全面准确地掌握和分析客户信息的基础上,才能让保险公司提供出适合大众的保险产品。与此同时,保险公司也成为网络黑客的理想目标,因为他们储存着大量公众敏感核心信息。为了确保客户个人信息的安全,保险公司必须要在完善数据监管机制的同时固建数据防护系统。
(二)现行法律对保险行业个信保护的新要求
1980年经合组织(OECD)制定过《隐私保护及个人数据跨境流通指南》,确立了目的特定、知情同意和最小化原则。2018年欧盟颁布的《一般数据保护条例》(GDPR),该部法规在全球数据保护规则制定中具备里程碑般的意义,制定了企业在对用户的数据收集、存储、保护和使用时新的标准,唤起了用户对个人隐私和在数字时代的个人权利欲望。它的设计目的主要有三项:第一,跟随现代新科技产品的发展,使得数据安全监督管理和互联网流行趋势下的个人信息传输的设施和工具同步发展。第二,减轻个体公民和存有个人信息的企业之间权利力量的不均衡。在法规条款中,明确了公民个人有“删除”其数据的权利,并规定了企业使用数据的“同意”应该是用户自由给出的,并且对于某些敏感的个人数据是“明确的”;且不能将提供敏感信息作为服务的条件。第三,简化企业监管环境。能够更大程度上让公民和企业受益于数字经济带来的好处。同时该部法规为了更好地保护欧盟公民的个人信息,设定了高额的惩罚条款,如此一来,给数据型产业带来了极大的冲击,但对于欧盟新法颁布之前就已经持续遵守良好数据原则的公司来说,严苛的规定并没有带来太多负面的影响。这也给全球数据型企业欲持续发展敲了一记警钟。
在全球个人隐私保护大趋势下,我国《个人信息保护法》也登上了历史的舞台,这部于2021年11月1日正式生效的法律,给保险业带来了惊天动地的影响。该部法律确立了公民具备个人信息处理者的角色,对保险公司的数据处理能力、数据保护水平提出了更高的要求。该部法律同时也有监管更加严格、处罚力度更大的特点,保险公司、机构一旦因个人信息处理不当违法被查,就会受到非常严重的行政处罚。深圳特区为了顺应法规的出台,在2021年6月29日,于深圳市第七届人民代表大会常务委员会第二次会议通过了《深圳经济特区数据条例》,于2021年7月6日发布公告(第十号),自2022年1月1日起施行。该条例对个人数据权规定做出了创新,明确表明自然人对个人数据依法享有数据权,设定的一些规则,例如:个人数据处理规则以“告知—同意”为前提、用户有权拒绝被画像和被推荐、“人脸识别”不能强制使用,均体现了对个人数据保护的力度,但同样面临与实务界对接的执行难的问题。
三、个人信息权益归属及授权
(一)从个人信息产权界定判别权益归属
即将生效的《个人信息保护法》将个人信息定义为以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。保险业个人信息,根据字面上的理解,涉及保险消费者的身份、健康、财产、社会记录等信息。有学者将个人信息的类型分为“基本个人信息”“被记录的伴生个人信息”“预测个人信息”三类。个人信息具备人格权在学界并无争议,但是否具有财产权却众说纷纭。在流量为王的热潮下,各大公司都在为了争取数据不惜冒着生存风险,近年来,各种数据安全问题频繁发生,支付宝年度账单事件、顺丰员工专卖内部数据权限数据安全事件、工信部约谈“ZAO”APP事件、墨迹科技IPO被否事件,无不体现了数据背后的巨大市场价值。保险个人信息也同样具备财产属性,将保险交易过程纳入经济学范畴进行考虑,第一,对于被保险人来说,其可通过隐瞒真实信息创造牟利的机会。第二,对于保险公司来说,会不惜重金雇佣第三方公司取调查用户的真实信息。第三,保险公司若是掌握了大量客户真实信息,可以帮助其识别潜在客户,创造更多为公司盈利的机会。以上几点均可体现出保险个人信息数据的巨大财产属性。
将保险业中的个人信息确定为具有财产属性后,就要讨论该财产权利归属问题。个人数据信息产权问题是现如今大数据时代一个非常潮流的命题,产权清晰以及在产权人格化上内生出的市场信用的激励相容性。是提高社会经济活动效率的重要前提。根据国内外的实际情况,我们经常看到的现象是个人信息的收集企业对信息资源自由地控制并利用。也有学者强调了信息企业对个人信息的控制权属于绝对权利,无需经过政府授权而得到法律上的保护。从现实交易来看,保险个人信息源于保险消费者个人属性及日常积累,也就是个人信息的生产者,但其将个人信息让渡给保险公司后,公司根据大数据分类、分析,创造出适合大众的保险产品,亦产生了一定的社会福利,在该过程中,消费者个人和保险公司都对个人信息的价值做出了相应的贡献,很难区分出个人信息财产权更为合适的归属。对此,有学者曾在其论文中,构建了以金融机构、消费者、征信机构为主体的三方博弈模型,以实现社会福利最大化的帕累托最优为目标,分别以金融机构和消费者以及外部立法者为产权配置的中心进行效果分析,得到将隐私信息由金融机构和消费者共享是实现市场效率最高、社会福利最大化的最佳途径的结论。笔者亦认为将保险个人信息财产权归属于保险公司和保险消费者共享最为合适,但实践中,如何确定各自权利的界限,实现双方最大权益保护是最值得讨论的问题。虽然数据企业依法应取得被收集个人数据的自然人的同意,但作为消费者的自然人并没有协商的空间和议价的能力。
(二)“普遍付费+个别付费”双重模式提供授权新思维
虽然根据法律经济学理论的讨论,认为应当给予公民个人对其个人信息享有财产权地位,并且《个人信息保护法》也更加强调公民对个人信息的主导支配权利,但在保险领域,个人和保险公司之间力量的悬殊以及个人信息本身的特点,有时候也因为保险消费者个人的非理性,导致了保险消费者对其个人信息难以控制的局面时有发生。通常情况下,在保险消费者进入保险市场的初始阶段,和保险公司的谈判结果只有两个:同意提供并被其收集个人信息者留下,不同意此选项的,就无法享受该保险产品,协议条款通常由保险公司提前拟定,消费者仅能在是和非中进行选择,此时个人信息作为一项消费者的财产权利并没有和对方谈判议价的机会,但若对保险公司实施强制取消该规则,必将使得有些公民滥用权利,从而阻碍保险公司的持久经营,也不利于整体社会福利的提高。对此,可通过设计相关规则来解决此困境,比如,构建商业自主框架,有学者曾对个人信息保护设计了一种“普遍付费+个别付费”双重新型模式,在保险领域也同样可以取得很好的效果。该模式的具体逻辑就是用户可以在提供个人信息和支付一定費用两条路径中选择其一来获得相应服务。落实到保险规则中,个人信息的授权多是以“同意”为主要原则,若消费者觉得保险合同中的个人信息条款的设计侵犯了自己的权益,可选择进入交易的商业模式,通过消费者和保险公司进行协商,以提高保费的形式拒绝保险公司对其个人隐私的侵犯,这种付费模式刚好可以解决保险业个人信息作为一项财产权利却无法和其他财产一样在市场中正常交易的弊端,使得个人信息实现了其对价机制,此外也通过提高保费减轻了保险消费者发生道德风险给保险公司造成的经济损失,但具体保费设置还需在实践中探索。
(三)第三方机构对个人信息的使用权利
保险公司在其日常经营业务中,为了提高效率,通常会将其保险业务切块分割,委托给第三方代理机构处置,这种情况通常会发生在核保阶段,保险公司因为没有专业队伍,为了节省人员开支,提高核保信息的准确性,从而寻求专业程度更高的第三方机构进行。与此同时,为了方便代理机构核准信息,在交付新任务的时候,也同时会将其所掌握的保险客户个人信息以及以往的交易信息一并交给该机构。这些机构往往为了能够高效获取信息,雇佣的员工常常没有经过太多的专业培训,如此一来,被保险人在被核实信息的过程中常常会因感受到个人信息被侵犯而与第三方机构发生矛盾,将保险公司和第三方机构一并告向法院。根据以往的判例显示,法院对于此类案件的态度通常会以保险公司的做法并不符合《侵权责任法》中的侵犯隐私权的所列情形,并且在《中华人民共和国保险法》所允许的正常权利范围为由,驳回原告侵犯个人隐私的诉讼。
但是此类做法在《个人信息保护法》生效后是否依旧合理,需要商榷。对此可类比于互联网平台中对第三方应用的相关规制办法,在互联网平台中,用户的个人信息的开放和共享是各个平台能够正常运转的重要内容,和保险业运营相似,在公开给第三方平台(或保险第三方机构)的过程中,个人信息面临着很高的泄露风险。北京知识产权法院曾在“新浪微博诉脉脉”案中,确定了获取用户的个人信息应当遵守的“三重授权规则”,即在第三方平台欲想获得个人信息需要得到平台和用户的双重授权,后期使用需要再次征得用户的授权,此种做法给减少相关诉讼争端提供了重要保障,也体现了司法机关对平台个人信息保护责任的强调。保险行业和开放平台比较,虽然在运营机制上存在差别,但其所流转的个人信息相比较于开放平台更加敏感,伴随着《个人信息保护法》对保险公司个人信息保护义务的加强,保险公司可以效仿互联网平台的相关规则设计,至少应当在与客户签订协议时如实说明情况,并征得客户的同意和授权,并允许保险消费者在后续合同履行期内有停止授权的权利。在和相关代理机构签订业务合同时,要声明需对方履行有限使用保险客户个人信息的义务,并能保证最大程度保护客户的个人信息不被泄露且不被用于代理业务以外的活动。
在外部监管方面,仅靠粗略的法规条款要求远远不够。建议在《个人信息保护法》规定的一般规则的统合立法模式之外,制定若干行业规章及自律规则进行特别法的规则设计,加强中国银保监会的主导监管地位,加强保险公司对第三方代理机构的信息使用监督义务,监督第三方代理机构搜集、使用数据的正当性及使用限度状况,从法源上切断保险从业者滥用客户信息的路径。对第三方代理机构设置信用评级,保险客户在签订保险合同时,有权根据自己的意愿選择第三方代理机构。其次也要加强对保险客户告知义务的规则设计,由于我国保险法仅对投保人的告知义务予以说明,并无明文规定被保险人的告知义务,若投保人和被保险人并不是同一主体,投保人无法实时掌握被保险人更新的个人信息,无形中增加了保险公司的核实成本。据此,应当建立保险行业大数据库,允许被保险人登录系统并对个人资料有修改权和个人信息共享情况具有知情权,提醒被保险人及时修改个人信息,被保险人在享受权利的同时也应当被要求具有如实告知义务。
四、建立、完善数据安全管理及技术措施
对整个保险行业来说,科技化、数字化成为发展的必然方向。全球资本市场统计报告显示,2020年保险科技融资总额增长了12%,交易数量增长了20%。得益于例如云计算、区块链、大数据等新型信息技术手段,当前保险行业在产业链优化、生态环境重构、转型升级方面得到了快速提升。在未来的发展上,科技化赋能保险公司是必然趋势。个人信息数据管理作为保险公司服务的命脉,更应该全面融入数字技术,尤其要注重隐私计算的跟进学习,此技术方案是解决保险科技数据难题的重要手段,可引进高科技人才,通过安全、可信的方式促进保险机构在个人信息安全保障下的合规经营。
在数据管理上,可有以下两个改进重点。
1.保护端点上的数据。保险机构的员工是个人信息监管的重点监督对象。保险行业的数据威胁通常不是在系统的安全漏洞,常常来源于内部员工以及第三方代理机构。保险行业的员工有个重要的特征就是流动性很强,保险检查员会经常实地考察,保险推销员需要寻找客户游走讲解推销。数字化的工作环境决定了他们会随身携带移动网络设备,并经常远程操控存储个人信息数据的计算机。其离开公司后,网络的安全性便得不到保障:许多数据保护工具都依赖于网络安全的级别,因此一旦承载个人信息的移动设备离开了安全的网络,便很容易受到外部的攻击。保险公司可提供以下的数据安全措施:直接在数据端点上保护数据。将安全软件安装到计算机上,确保设备的物理位置安全。通过这种方式,员工无论怎么远程操控,都会得到安全过滤监控。
2.保护便携式设备上的数据。个人信息的另一个储存位置在一些便携式设备上,如U盘、笔记本电脑等,许多保险公司会关注到个人信息数据安全的网络威胁,却忽视了这些便携式设备被偷走的风险。可通过加密技术对设备上的数据进行自动加密来解决此类问题,进行设备控制可以防止设备相互连接,也可以控制具体设备让其连接到计算机上。
(作者单位:1.中国东北振兴研究院;2.北京科技大学经济管理学院)