（一）总体情况

随着社会的进步、科学技术的飞速发展，物联网、云计算、大数据等新科技的广泛应用，个人信息已经渗透进经济和社会的每个角落。个人信息的收集和匹配成本变得越来越低，原来单个的、孤立的个人信息在商业化的运作中会被广泛收集、提取和利用，成为新的数据。个人信息保护与合理使用之间的界限变得越来越模糊。一方面，在当前严厉打击侵犯公民个人信息犯罪的刑事政策下，个人信息保护不容有失。因为一旦个人信息被泄露扩散，个人的隐私将遭受重大威胁。法律有必要限制任何人未经权利人允许，不得扩散和不当利用能够指向特定个人的整体信息，并应当积极地、谨慎地采取有效措施防止信息泄露。另一方面，个人信息不可避免会被他人收集、处理以及使用。因为现代社会下，国家需要通过收集、统计、分析个人信息，来改善公共服务、加强社会管理。同时，个人信息的使用场景也在发生重大转变。从原来的仅在国家机关、电信、交通、教育、医疗等公共部门使用，迅速扩展至网络购物、物流快递、房产、保险等大众服务性行业。保险业务天然高频处理海量的敏感个人信息。上述客户信息一旦泄露或者非法使用，极易导致客户的人格尊严或者人身、财产安全受到危害。

经检索，相关案例主要集中在非法获取和侵犯公民个人信息犯罪1。这些案例可以反映出侵犯个人信息的一些特点。一是侵犯个人信息的形式呈现多样化，如通过签订信息买卖协议直接购买、从内部网络私自导出、以及其他非法窃取行为；二是特定人员监管缺位。诸如对征信人员、客服人员、话务人员、医务人员等掌握、接触、管理公共个人信息的岗位，缺乏有效监督管理；三是对个人信息的保护能力不足。在“趣拿案”中，东航和趣拿网络购票平台，分别管理航班旅客信息，由于未能形成安全有效的数据使用防范体系，导致客户信息泄露；四是危害程度日益严重。在丁某光侵犯公民个人信息案中，2013年一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞，致使全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月，被告人丁某光在不法网站获取上述非法公开的宾馆住宿记录等公民个人信息，并上传至自己开办的“嗅密码”网站。该网站除了能够查询宾馆住宿记录外，还提供用户QQ、部分论坛账号及密码找回功能。后丁某被判处侵犯公民个人信息罪。

（二）我国商业保险机构个人信息的立法规制

第一，《个人信息保护法》确立了处理个人信息的基本原则，即“合法、正当、必要和诚信原则”“目的明确与直接相关原则”以及“最小必要原则”。这意味着保险公司在收集任何客户信息前，都必须审视其是否为实现具体的保险服务所“最小范围”必需。例如，为核保收集的健康信息，不得用于未经客户另行同意的营销推广。为本次理赔调查收集的信息，不得用于其他不相干的理赔案件或反欺诈分析，除非已进行充分的匿名化处理。

第二，《个人信息保护法》第28条特别划定了敏感个人信息的范畴。对于保险公司而言，客户的健康生理信息、医疗健康记录、金融账户信息、行踪轨迹等，均属于典型的敏感个人信息。处理此类信息需要满足更苛刻的条件：一是具有特定的目的和充分的必要性。二是取得个人的单独同意。《银行保险机构消费者权益保护管理办法》第43条进一步细化为收集消费者个人信息应当向消费者告知收集使用的目的、方式和范围等规则，并经消费者同意。三是采取严格保护措施，包括制定内部管理制度和操作规程、对个人信息实行分类管理、采取加密与去标识化等安全技术措施、合理确定操作权限并定期培训、制定应急预案等。

第三，《个人信息保护法》第4条及《数据安全法》第3条明确了“数据处理”，匿名化处理是重要的技术手段。匿名化后的信息不再属于个人信息，可作为一种数据资产用于大数据分析、模型训练、行业研究等。该数据信息的使用和流转相对于个人信息而言限制较低。但匿名化必须达到“不可复原”的技术标准，否则仍有被认定为个人信息处理的风险。

第四，《数据安全法》明确了数据出境的合规要求。保险公司业务涉及将在中国境内收集和产生的客户个人信息或重要数据传输至境外，需启动数据出境安全评估、个人信息保护认证或订立标准合同等法定路径。

二、域外数据隐私权的保护及我国的借镜

欧盟的隐私保护中在保障数据所有者/数据生产者的同意权、知情权、搜集权等基础性权利的同时，也规定了被遗忘权3（删除权）、可携带权等有特色的权利。其中，被遗忘权规定，如果控制者将符合第1款条件的个人数据进行公开传播，控制者应该采取所有合理的方式予以删除，并有责任通知处理此数据的其他数据控制者，删除关于数据主体所主张的个人数据链接、复制件等等4。这是对传统数据删除权的扩张，对数据控制者对其控制的数据和经由其传播的数据都负有删除、要求第三方停止利用的义务。

对于数据可携带权这一新型权利，其立法意旨在于促进数据的传播和流通。在技术可行的条件下，数据主体有权将个人数据直接从一个控制者传输到另一个控制者。是否转移、通过何种方式转移，决定权在于数据主体，基于数据主体（用户）的同意，并且通过自动化的方式获取结构化、可普遍使用和机器可读的数据5。

美国在个人信息和数据隐私方面的保护走在世界前列，在1974年、1986年、1988年等年度制定了《个人隐私法》、《电子通讯隐私法案》、有关儿童的《网上儿童隐私权保护法》，对个人数据、数据隐私等概念先行做了界定。21世纪，隐私权被写进宪法，具有最高的法律保障效力。此外，美国联邦贸易委员会（FTC）于2009年实施的《身份盗窃红旗规则》（Identity Theft Red Flags Rules）对于保护消费者隐私信息不被企业和组织盗用进行了立法规制。

在联邦和州范围内颁布法案的同时，也积极鼓励行业自治，通过数据生产者、控制者和处理者的合作、沟通，互相监督、共享数据隐私保护标准，提高整个行业的数据隐私保护水准。对此，美国政府曾表示在保护网络隐私权方面私营企业应当起到主导作用6。美国有很多网络信息保护的自律性组织。其中，比较知名的自律组织有“在线隐私联盟”、美国电子前线基金会和TRUSTe。“在线隐私联盟”通过线上空间的交互和战略合作来提高私营企业数据隐私保护的水平和力度。美国电子前线基金会成立于1990年，是一家致力于保护个人隐私、推动自由言论和捍卫数字技术创新的非营利组织。TRUSTe是由美国电子前线基金会与Commerce.net共同发起设立。TRUSTe致力于在会员中推行网络隐私权认证计划，对符合自律标准的网站颁发认证证书7。通过可进行处理的数据隐私白名单制度、数据隐私认证证书等措施，以行业自律实施数据隐私保护的“软治理”。

（三）对我国的借鉴

欧洲对个人数据和信息的保护理论是立基于人权这一基本权利中所进一步派生，美国对个人数据和信息的保护理论则是立基于《宪法》所确立的公民基本权利，并从司法判例中归纳出一般范式。欧洲的个人信息保护是通过《公约》及一系列具体规范指引来规范，其在具体规制上可遵循一般的原则，亦可按照详细的行为规范来操作，具有极强的实践性和适用性。而美国则从隐私权这一角度，强调个人处分个人信息的自由，属于法律赋予个人在《宪法》的限度内对自身信息的保护。两者虽然规范的体例和方式不同，前者是通过法律规制个人信息控制者和使用者的信息使用行为，后者是充分授权个人来保护自身信息安全，但从法律效果来看，域外法对个人信息的保护，都是通过赋予个人信息保护相关权利及其合理限度，来调和个人与社会在信息使用和保护间的平衡，以实现社会经济和人民福祉的有序发展。

三、经营者信息财产权保护的引入

四、保险公司客户信息合规管理建议

针对保险公司对客户信息的使用情况，应当区分公民的个人信息和保险公司的经营者信息，进行差异化的保护。首先，对于客户信息中的敏感信息，应当采用最高等级的保护。对于可以数据化的敏感信息（非绝对私密的隐私），应当采用数据脱敏、匿名化等技术才可以数据化。对于非敏感信息可采用第二等级的保护。同时，保险公司应当为客户提供查询与之相关的个人信息的必要途径，以保证其在目的范围内收集和整理个人信息的准确性与时效性。其次，对于经营者信息，可以通过设定信息可遗忘、传输限定等规则，来增强保险公司的管控力。最后，针对电销、网销等直接获取或掌握客户信息的敏感岗位，应通过设立相应信息脱敏程序和规则，增强对客户信息的管控力度。

（二）保险公司客户信息传输环节的优化

保险业务高度依赖第三方合作，如体检机构、公估公司、云服务商、呼叫中心外包方、系统开发商等。保险公司可以通过行使传输权，来禁止未经保险公司同意的任何数据传输行为，以此，来保护个人信息免受非法侵害。任何人不得向特定人或不特定的公众提供保险公司所掌握的客户信息，否则将构成对保险公司传输权的侵害。

针对保险公司在个人信息传输环节的可能出现的问题，对传输给第三方的个人信息出现安全事件的可能性进行评估，进而确定是否可以传输。评估内容包括三方面，一是个人信息主体是否授权同意；二是个人信息的传输是否为使用方在其合法的经营范围内从事正常业务活动或履行合同义务所必须；三是个人信息接受方的安全保护能力及采取的措施。保险公司可根据自身情况，设定相应的安全风险等级，安全风险等级可分为高中低三档。如经评估后，认定为是高风险，应当拒绝或终止该传输申请。通过建立这种评估体系，可以量化评估信息传输环节的风险，有效避免因信息传输不当，而导致的客户个人信息泄露。

值得注意的是，根据《个人信息保护法》第23条向其他个人信息处理者提供其处理的个人信息的，必须向个人告知接收方的身份、联系方式、处理目的、方式和信息种类，并取得个人的单独同意。保险公司将客户信息提供给合作的健康管理公司用于提供增值服务，必须就此事项单独、明确地征得客户同意，而不能隐藏在长达数页的隐私政策中一揽子获取授权。

（三）完善顶层设计与治理架构

一是强化顶层设计。根据《数据安全法》第二十七条，建议保险公司董事会或高级管理层下设“数据安全与个人信息保护委员会”，作为最高决策机构。明确指定首席数据官或数据安全负责人，并设立专职的数据合规团队。二是信息管理制度体系化。全面梳理并修订现有制度，形成以《客户信息安全管理办法》为纲领，涵盖《数据分类分级指引》、《个人信息收集使用规范》、《第三方数据安全管理规定》、《数据安全事件应急预案》、《员工信息安全守则》等在内的“1+N”制度体系。制定详尽的《数据安全事件应急预案》，明确应急指挥小组、技术处置团队、公关法务团队的职责与流程。

保险公司客户信息保护是一项复杂、动态且具有高度战略意义的系统工程。它绝非单一部门之责，而是需要公司最高层推动，法律合规、信息技术、业务运营、内部审计等多部门协同作战的“一把手工程”。当前严苛的法律环境与监管态势，已将数据安全与个人信息保护从“成本中心”推向“风险控制核心”与“核心竞争力”的位置。

文中脚注：

1.经检索，侵犯个人信息的案例主要包括赵某岗侵犯公民个人信息案（入库编号：2024-03-1-207-001）、丁某光侵犯公民个人信息案（入库编号：2024-04-1-207-003）、钱某勇、王某春等侵犯公民个人信息案（入库编号：2024-18-1-207-004）、卢某某侵犯公民个人信息案（入库编号：2024-18-1-207-005）、邱某某侵犯公民个人信息案（入库编号：2024-18-1-207-006）、刘某某侵犯公民个人信息案（入库编号：2024-18-1-207-008）、“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案2018年-最高人民法院发布第一批涉互联网典型案例之五”（以下简称“趣拿案”）。

2.欧盟《通用数据保护条例》第83条。

3.被遗忘权的设立，来源于2014年欧洲法院在谷歌西班牙案件中确立的“被遗忘权”判例。

4.欧盟《通用数据保护条例》第17条第2款。

5.王融：《欧盟数据保护通用条例——十个误解与争议》，载《大数据》2016年第4期，第93-101页。

6.1997年克林顿政府在《全球电子商务发展框架》中提到网络隐私与私营企业的关系。

7.卢小宾、袁文秀：《网络个人数据隐私权保护体系的三维透视》，载《情报资料工作》2005年第3期，第34-36页。