1、保险消费者个人信息保护的困境纾解范庆荣摘 要 民法典个人信息保护法等法律法规的修立搭建了保险消费者个人信息保护的框架。基于保险行业的特殊性,个人信息保护的一般性规定适用于保险领域时需要进行具体解读。保险消费者履行如实告知义务并非无限度,它与个人信息自决也并不矛盾。基因信息作为特殊的个人信息被用于核保时需要审慎对待,应严格控制保险人获取基因信息后的使用范围和方式,并充分尊重保险消费者的选择权。保险人处理个人信息除了要满足“知情 同意规则”外,还要受到正当原则、必要原则的制约。在保险消费者个人信息保护的法律救济路径选择上,需要结合立法目的和个案情境加以判断,给予当事人以选择权。基于保险领域的特殊性
2、,侵犯保险消费者私密信息与敏感信息的侵权责任的归责原则应当统一,且与非私密信息、非敏感信息加以区别,以弥合目前法律规定的责任承担轻重失衡的局面。关键词 民法典;个人信息保护;保险消费者;个人信息自决中图分类号.文献标识码 文章编号():基金项目 本文为 年湖南省社科基金青年项目()的研究成果。作者简介 范庆荣,法学博士,湖南师范大学法学院讲师,:.。保险的正常运转以保险人对保险消费者个人信息的处理为基础,以此评估风险、计算保费,维持着风险共同体的内部平衡(,)。这就导致保险人不可避免地掌握了保险消费者大量的个人信息,其中不乏敏感信息。这些个人信息一旦泄露,其影响难以衡量。与之相伴而生的是保险人
3、对个人信息不规范的处理行为导致的法律纠纷繁多。如何对保险消费者的个人信息提供保护,现行保险法对此并未言及。民法典对于个人信息保护的规定和个人信息保护法的出台在一定程度上弥补了这一缺憾。然而,新法的施行尚在摸索阶段,两部法律的实施本身就需要磨合与衔接,保险领域的特殊性更使得现有规定在为保险消费者个人信息提供保护时捉襟见肘。在救济路径上,如何解决个人信息保护的泛化规定与保险消费者个人信息保护的特殊性并不完全契合的问题?以上论题不仅涉及到民法典和个人信息保护法在保险领域的有效推行,更关系到保险消费者自身利益的维护。此外,除却常见的非法广告推销、贩卖个人信息等其他领域普遍存在的侵权行为外,建立在以个人
4、信息处理作为正常运转基础的保险行业,在个人信息保护问题上也存在着颇多与生俱来的冲突。例如,基于个人信息自决,保险消费者的如实告知义务应当如何履行?随着科技与医学的发展,基因信息能否被用于核保?尽管出于维持风险共同体内部平衡的需要,保险人要进行核保,但是其处理保险消费者个人信息的程度与程序应该受到怎样的限制?这些问题直接涉及到保险人处理行为的标准,关乎着保险行业的正当性。故本文拟对上述问题作一分析,以期对保险领域个人信息的利用与保护有所助益。保险研究 年第 期 .一、保险消费者个人信息保护中的困境(一)如实告知义务与个人信息自决之间存在龃龉.个人信息自决可能限制如实告知义务的履行个人信息保护中最
5、为重要的权利内容,即个人信息自决。通俗地来说,它是指个人决定于何时、何地、以何种方式、在多大程度上传播与自己相关的信息。其主要规则包括以下三点:第一,个人信息的收集必须征得信息主体的同意或者符合法定事由。第二,个人信息的收集目的必须明确,且不得超出收集目的使用。第三,个人信息主体享有查阅权、更正权、删除权、免受完全自动化决定的约束权等权利(杨芳,)。保险消费者的如实告知义务是保险运行的基础,保险人需要以此为依据判断风险大小,决定承保与否,确定保费高低。然而,基于个人信息自决,保险消费者可否在选择性地提供自身信息的同时获得保险保障呢?对于保险人询问表格中的所有内容,保险消费者是否必须在全部如实回
6、答后才能享受保险服务呢?这是在探讨保险消费者个人信息保护过程中必须审慎对待的论题。.基因信息用于核保的正当性有待论证基因信息属于个人信息,这一点并无疑义。但由于基因信息具有特殊的私密性,且涉及到投保的公平性,受科技发展影响还会存在一定的局限性,在将其归于保险消费者个人信息加以利用时,争议不绝于耳(田野,)。反对在人身保险中使用被保险人的基因信息核保的主要理由有三:第一,利用基因核保可能侵犯被保险人的隐私权(,)。个人对于自我的基因信息有“知”和“不知”的权利。若为保险人所用,则会迫使其了解自身的基因状况,加重心理负担(,)。第二,利用基因核保将会剥夺被保险人公平地获得保险保障的权利。当保险人通
7、过基因信息得知被保险人罹患某种疾病的可能性大大高于其他人时,很可能会设置高额的保费,甚至拒保。被保险人将面临不公平的对待(,)。第三,基因的可靠性有待证实(,)。疾病的产生过程比较复杂,以目前的科技发展状况来看,将基因作为核保手段并不成熟。所以,基因信息用于核保的正当性有待进一步论证。(二)保险人对于个人信息的利用与保护之间需要平衡.保险人处理个人信息的程度尚不明确保险的运行依赖于保险人对保险消费者个人信息的处理,以评估危险共同体风险发生的概率。但是,这并不意味着保险人可以任意处理保险消费者的个人信息,其利用的程度仍然需要受到限制。作为保险运行基础的保险人核保、保险理赔与保险消费者个人信息的处
8、理密不可分。在核保过程中保险人得自行收集信息,以便核实保险消费者提供资料的真实性。自行收集的渠道包括但不限于自建或者保险公司之间共享的信息资料库,以及采用各种合法手段获得的信息。在保险理赔过程中,保险人也掌 年 月,瑞典最大的保险公司 将近 万客户的个人信息泄露给、等公司,其中不乏敏感信息,造成了恶劣影响。例如有保险公司未经同意长期向客户发送电子邮件,其中涉及其他客户大量的个人信息,参见()京 民初 号判决书;有保险公司通过第三方获取了消费者的个人信息,不断进行保险推销活动,参见()郴北民二初字第 号判决书;更有保险代理人非法买卖其所掌握的保险消费者个人信息,其行为已构成犯罪,参见()苏 刑终
9、 号刑事裁定书。基因信息可否用于核保属于个人信息保护与如实告知义务之间张力的一个显著体现。一方面,基因信息属于敏感信息,需要受到较高程度的保护;但另一方面,保障危险共同体的对价平衡也是保险制度赖以存续的根本,保险人通过如实告知义务来获取基因信息亦有其正当性。基因信息可否用于核保涉及到利益平衡,是明确如实告知义务正当性之后的更高层次的论题。因此本文将该问题放在此处探讨。例如长期人寿保险在订立保险合同前,保险人为了保证自身承担的风险与保费之间符合对价平衡,除了依据保险消费者的如实告知外,通常还会要求被保险人前往指定医院进行体检。医院将体检结果告知保险人,即意味着保险人掌握了被保险人的健康状况信息。
10、保险消费者个人信息保护的困境纾解握了保险消费者的部分个人信息。此外,保险事故发生后,保险人在调查过程中会接触到保险消费者的个人信息。然而,在个人信息保护与合理使用原则下,并非所有的为了维持危险共同体运行的个人信息处理行为都具有合理性。例如,某保险公司是否可以将保险消费者的个人信息用于分析投保兴趣,以研究新的保险产品或是用于精准推送保险服务?保险人是否只需要取得保险消费者的同意,即可以任意处理其所掌握的保险消费者的个人信息?保险人处理个人信息的行为应该受到哪些制约?这些问题直接关系到保险消费者个人信息的利用程度,也决定着个人信息的保护力度。.保险人处理个人信息的程序亟需细化除了实质性的内容界定外
11、,保险人利用保险消费者个人信息的程序也需要规范。个人信息如何实现利用与保护两大目标的耦合与平衡,很大程度上取决于处理个人信息具体操作规则的设计。为规范信息处理主体的处理行为,个人信息保护法规定了“知情 同意规则”,信息处理者须在尊重信息主体意愿的前提下才能实现对个人信息的利用。然而,现有的“知情 同意规则”在适用上存在诸多困境,包括但不限于同意欠缺真实性与自主性,默示同意的任意扩张等问题(马新彦,)。依据此规则,保险消费者非但难以真正实现个人信息自决,而且如此流于形式的“知情 同意”还将失灵的授权机制转化为失效的免责机制(刘权,)。所以,要想真正实现保险人对个人信息的利用与保护两大目标,有必要
12、细化保险人处理个人信息的程序,将“知情 同意规则”落到实处。(三)现有的救济途径不能满足保险消费者个人信息保护的特殊需求.个人信息类型划分下救济规则的适用问题需要厘清个人信息保护法将个人信息划分为敏感信息与非敏感信息,并对敏感信息设置了特殊的处理规则。而民法典对个人信息作出了私密信息与非私密信息的区分,对私密信息适用隐私权的保护规则(王利明,)。由此产生的疑问是,敏感信息与私密信息是何种关系?两者的保护规则能否互通适用?以上问题必须得到妥善的回应,不仅仅是因为保险消费者的个人信息中既涉及到敏感信息与非敏感信息的区分,也存在私密信息与非私密信息的区别,还兼有两者的混合,保险消费者的个人信息权益受
13、到侵犯时应该适用何种规则进行救济颇费思量,更重要的是适用规则的厘清直接影响个人信息保护法律体系的架构与稳定,必须明确两者的规范逻辑。.现有归责原则未体现保险领域的特殊性依照个人信息保护法第 条的规定,个人信息侵权责任的认定适用过错推定原则(王利明,)。然而,这一规定并没有考虑保险消费者个人信息保护的特殊需求:保险领域中信息不对称的严重程度高于一般行业,保险消费者需要得到更为倾斜性的保护。除此之外,个人信息分类带来的救济路径的分野也需要解决。按照民法典的规定,私密信息适用隐私权的救济规则,得通过民法典.侵权责任编中一般侵权责任的规定加以保护(黄薇,)。不同于过错推定责任,一般侵权责任的归责原则为
14、过错责任原则。这意味着谁主张谁举证,即保险消费者必须证明保险人对泄露保险消费者私密信息有过错才成立侵权责任。这就产生了一个悖论:相较于非私密信息,私密信息理应得到更为周全的保护,然而实际上其救济路径却比非私密信息更费周章,保险消费者需要承担举证责任证明保险人主观上存在过错。如此一来,通过隐私权对私密信息加以保护的救济力度反倒不如非私密信息了。这对于私密与非私密信息并存已为常态的保险消费者个人信息保护而言,要么将使前述隐私权的保护规范沦为具文,要么将造成与立法目的格格不入的法律适用局面。保险研究 年第 期 .例如在人寿保险中,出于给付保险金的需要,受益人要将自身的身份信息、银行卡号等资料提交保险
15、人。例如,在以被保险人死亡作为保险事故发生条件的情形中,判断被保险人属于自杀还是他杀时,保险人可能会掌握被保险人的心理疾病整疗记录、个人日记、犯罪前科等个人信息。这一问题并非保险消费者个人信息保护所特有,却也是亟待解决的普遍存在的问题。二、个人信息自决与保险消费者的如实告知义务(一)个人信息自决下如实告知义务的履行保险消费者的如实告知义务与个人信息自决之间非但不矛盾,反而是相辅相成的。如实告知义务体现了个人信息的利用与保护之间的平衡(任自力,)。如实告知义务是保险人获取保险消费者个人信息的重要途径。保险人依赖保险消费者履行如实告知义务评估其所承担的风险,以便依照对价平衡原则计算保费,从而维持危
16、险共同体的内部平衡。基于个人信息自决,个人虽然有权决定于何时、何地、何种程度、何种方式公开与自己相关的信息,但是一旦选择投保,就要在保险人的询问下将与核保有关的个人信息如实告知保险人。选择性地告知之所以受到限制,是因为一方面保险消费者对个人信息的决定权在保险消费者选择投保时已经提前行使,保险人基于基本服务目的处理个人信息并不需要取得保险消费者的单独同意,此时保险消费者对个人信息的授权已与接受保险服务的承诺合二为一;另一方面如若允许完全放开个人信息自决,会增加保险消费者逆选择的风险(刘宗荣,),不利于保险的长足发展。从源头上看,个人信息自决下如实告知义务的履行并不需要单独取得信息主体的知情同意。根据个人信息保护法第十三条第一款第二项和第二款的规定,处理个人信息是保险人为订立、履行保险合同所必需的,此时不需要取得个人同意。这就意味着,保险人要求保险消费者履行如实告知义务无需另外征得其同意。但是,这并不意味着如实告知义务的履行是无限度的,个人信息自决赋予了保险消费者决定权。从个人信息处理的目的上来看,个人信息自决下的正当原则和必要原则赋予了保险消费者拒绝的权利。履行如实告知义务并不意味着保险
