浅析保险消费者个人信息之私法保护

　　论文摘要 随着信息化时代的发展，个人信息的传播和使用日益增长，其拥有巨大的商业价值，故个人信息被滥用或泄漏的现象也日益增多。如何在保护个人信息和信息有效使用间取得平衡，各国都进行了长久与广泛的探索。目前，我国保险业处于飞速发展时期，有效的保护保险消费者个人信息，将有利于维护消费者利益与促进保险业之健康发展。

　　论文关键词 个人信息 信息自主权 信息使用权
　　一、问题之提出
　　2011年9月，因为怀疑个人信息被泄露，并导致财产损失，江苏省常州市市民殷先生将车管所、汽车公司4S店、保险公司告上法庭。该案在常州市天宁区人民法院公开审理。豍另外，2013年2月27日据《北京晚报》报道，一家名为众宜风险管理机构的网站，可以随便在网站上查询客户投保信息，估计泄露的网页高达80万页。众宜风险管理机构这家注册在成都的网站出售中国人寿、人保寿险、平安保险等多家保险公司的附加医疗险、紧急救援险、航班延误险和意外伤害保险。据此，怀疑有数十万个人信息遭到泄露。个别保险公司，尤其是保险代理机构滥用信息和保险客户信息泄露的情况屡见不鲜，以致车险和寿险客户被持续骚扰的报导大量出现于媒体、网络和报刊上，造成社会的恐慌。保险消费者个人信息保护日益成为社会关注的焦点，并且新消费者权益保护法中也涉及消费者个人信息保护之原则性条文，具体之法律效果仍待观察。另外，我国保险法司法解释（二）也未涉及对保险消费者个人信息之规定。因此，有必要对其个人信息保护制度作一系统研究，治理理论与实务中的混乱，以达到个人信息之有效保护与合理使用，促进保险业的有序、健康发展。

　　二、保险业之核保

　　保险乃是将人生中的各种危险分散于具有相同危险成员所组成的危险共同体之中，以使得个人在缴纳少数保险费为对价而在危险发生时，能够由保险人处得到赔偿。保险系于海上发展到陆上，从财产保险发展至人身保险，现今保险产业，以消费者保险（尤其是人寿保险）为多数。因保险具有信息不对称之特征，于海上保险业发展之初，即要求被保险人主动告知、说明保险标的之各项信息。此义务乃为保护保险人，使其易于评估风险，此亦有契约法理与保险技术为依据。若被保险人不据实将有关内容告知或者说明，将使保险人承受之危险与收取之保费无法达到对价平衡，造成保险之危险共同团体受损。如有违反，保险人则有解除契约权并留有保费。然此等主动告知及说明义务，对于现今盛行的消费者保险或有严苛之处，遂有保险将其更改为询问告知及说明方式。例如我国《保险法》第16条第1款规定：“订立保险合同，保险人就保险标的或者被保险人的有关情况提出询问的，投保人应当如实告知”。
　　保险人就前述方式取得信息后，即对所承保之危险加以认知、分析与衡量，此即核保程序。保险人就保险标的之危险加以分类、筛选，就其发生之可能性评估，并计算应收取之保费。以人寿保险为例，其需就被保险人之年龄、性别、健康、嗜好、环境、宗教信仰、职业、经济状况、社会倾向等信息加以收集与评估。因现今科技发展，人类基因信息已经可将之应用于治疗疾病等用途，其对于个人健康状况之评估亦有相当作用。基因信息为现今重要议题，如被保险人了解基因缺陷，即有可能患某些疾病，被保险人将会购买较多保险而藉此避免医疗费用之风险。然如被保险人知悉其基因安全，并无患某些严重疾病之风险，其亦将影响购买保险之动力，此或将导致保险逆选择之问题。因基因信息之收集与利用涉及伦理、隐私权等重要因素，故国外法律有禁止保险人对基因信息收集作为核保之用者。例如，荷兰在1998年，其国会立法通过《医学检测法》以规范医学检验结果的运用。豖该法规定基因信息不得使用在一定金额以下之核保，即保险金额低于6万荷币的失能保险及低于30万荷币的人寿保险，保险人不得以基因信息作为核保上的使用。芬兰并没有相关立法规范基因信息在保险上的使用，所以被保险人对于保险人要保时所提出的相关问题，依法均需确实的回答。但是，保险业在实务上的运作，并不会询问基因信息的相关问题，且纵使保险人因故取得被保险人的基因信息，亦不会使用在核保上。
　　三、个人信息保护之具体规范
　　保险是一种处理不确定性的产业。由于无所不在的不确定性构成了人类生活的风险，保险便成为人们以集体行动降低风险威胁的重要社会制度。就商业保险而言，保险制度之所以能够汇集足够的资金来分散风险，关键在于必须获得与风险相关的信息，以避免因为信息不对称导致风险与保费之间失去平衡。豙任一信息秩序系处于两对立原则之紧张关系中摆动：信息自由与信息禁止。豛因此，如何调和两者之间关系，达到合理的平衡，将成为研究之重点。
　　（一）个人信息自主权
　　人性尊严之维护与人格自由之发展为近代民主国家宪法之核心价值，人格权之内涵在保障个人身体、精神上之自主性、完整性，在其不受他人干涉下自由发展；每个人生而独立自主，应得本于自己价值观，不受他人监视、干扰之下，保有内心领域及私人领域活动之空间，依自己决定追求认为完整的人生。如有关个人属性或活动之信息，被政府机关、事业单位、企业团体等任意收集、完全掌控，形成其随时处于外人目光下生存时，因顾虑他人之期待或避免外来之危险、评判，而自我收敛或压抑，不仅其发展独立人格之自由空间被剥夺，甚至结社自由、政治参与自由亦同受压迫，最终影响政治正常运作。因而为保护个人内心领域及私人领域活动自由，个人对他人收集、加工、利用及删除自己信息，应有知悉、同意或拒绝等权利，且得参与、监督，亦即个人对自己信息之自主权，亦为人格权之一。在保险领域，保险消费者个人信息自主权应包含以下几个方面： 　　1.受告知权
　　保险人向保险消费者收集相关资讯，应告知如下信息：保险人或代理人的身份、信息收集之目的、资料传送的收受者或收受者之类别、当事人不提供信息之可能后果、当事人查询及更正其有关信息的权利等。如所收集之信息非由当事人提供，于储存个人信息或传送至第三人时，最迟应于初次揭露信息前，告知当事人。
　　2.查询权
　　信息主体之查询请求权可达成民主社会之参与及监督，发挥法律保护功能。保险人应告知信息主体相关规定，并保障信息主体得于合理期间、无过度延迟及费用之限制下，确认与其有关信息处理。其应包括处理目的、信息类别等。取得有关档案个人信息即信息来源之信息，应以当事人明了之方式为之。

　　3.修改权
　　保险消费者如发现信息不完整或不正确，可向保险人要求适当更正、删除或冻结。保险人应将信息更正、删除或冻结之情况，通知保险消费者及其他相关主体。除非保险人能证明该通知不可行，或需要不合理之耗费者，始得加以免除。
　　4.异议权
　　即基于增进公共利益，或为执行法定职权，或为第三人合法权益对保险消费者相关信息所为处理，为平衡当事人权益，信息主体得随时基于其特殊情况之重大正当理由提出异议。于异议有理由时，除国家法律规定应予保存外，保险人应删除该信息。
　　（二）保险人信息使用权之限制
　　如前述基于人性尊严及保护人格之自由发展与完善，个人对自己信息固有自己控制、决定之权利；但任何权利之主张均不可能漫无边界，且人除非独居孤岛，始得绝对掌控他人对自己个人信息之收集或利用；在群居社会中与他人共同生活状况下，每个人于生活上、工作时势必与他人有交集或联系，常因参加社会活动而产生无排他性、非独占性。如果承认个人对自己个人信息具有如财产权之独占、排他之权利，必然造成信息流通成本提高或发生阻碍，更易与他人表现自由发生冲突。因此我们在承认保险消费者之个人信息自主权的同时，也应确认保险人的信息使用权。
　　保险人为进行核保程序，于被保险人要求缔结保险契约时，即开始对被保险人之个人资料加以收集，其或由被保险人告知或说明所得，或保险人经由各种信息库或其他方式收集。其视所欲缔结之保险契约种类，所收集者可能包括被保险人之医疗、健康、基因等。保险人收集资料原应为其承担风险之相关信息，但其或有部分与所承保之风险无直接关系。保险实务中保险人为核保之需，通常均尽可能对被保险人各项资料收集。然就保险消费者角度观察，一般人缺乏对其个人信息如何被使用的认识。因被保险人为获得保险之保障，仅得依据保险人之要求提供各种个人信息。故为了维护保险消费者个人信息的权益，必须限制保险人之信息使用权。
　　1.被保险人之同意原则
　　对于个人信息使用之议题，第一个应重视者为同意权。保险人应通知被保险人其为签发保险单，避免有欺诈事情发生，应对被保险人所提供之相关信息加以调查，并获其确认。同意权必须于被保险人自由之状态，且为保险人通知后之同意。即应使被保险人了解信息为何被收集，且其目的为何，并经由被保险人有意识表达同意之意思。同意权为必要存在之先决条件，但其仅为初步要件。即除同意外，尚须授权收集与使用该特定之个人信息。豝另对所收集之个人信息之使用须符合收集使用之目的，并符合比例性之要求，且保险人必须对于资料之主体为通知。
　　当事人可为限制性之同意，且可排除一般性之同意，亦可仅对某特定一项或数项目为之。进而保险人如将所收集之资料转移由第三人使用，其应通知被保险人，让其知悉。保险人如为缔结保险契约之目的收集被保险人个人资料，保险人不得将其所收集之信息转移由他人使用。现今金融控股公司运作，控股公司内有银行、保险、证券等不同企业，保险公司为保险目的所收集之资料，不得将其转为集团其他公司所使用。除非其已通知被保险人，并获得其绝对同意。且如其获得被保险人同意将该信息转移由他人使用，则须为相同目的。换言之，其必须为他人使用该被保险人信息之目的与保险人具有相同目的，始得为适当与合法。
　　2.信息收集范围
　　保险人为承保之需，或有收集个人信息之必要。然无论其承保何种险种，显非全部信息均可适用于订立保险契约之目的。有关性生活、政治理念、宗教理念、种族等资料，纵使其对于保险风险评估有所影响，其亦不得使用。因其将对信息主体造成极大负担，且难以证明该资料对危险增加是否有所影响，如将其作为危险评估内容将过于主观。于人身保险一般保险人所收集之被保险人信息并未仅限于个人健康部分，甚至包含嗜好，如是否抽烟、喜好运动等等。就其所收集之嗜好信息观察，如保险人要求被保险人回答其有无抽烟习惯。因抽烟有可能增加某些疾病的发生率，故保险人于人身保险契约缔结前收集并使用此等信息，可认为是合理的。进而以运动之嗜好而言，或某些活动有增加意外伤害发生之可能性，就此亦为可接受者。然如就被保险人拥有休闲越野跑车之信息而言，并非有此等跑车之人均有可能超速或有危险驾驶，而致陷入高风险情况。或主张此种信息为个人生活部分，其应系隐私权保护范围。然本文认为此信息虽属隐私权保障之范围，但其亦可能为保险核保所考量之因素，因此收集此等个人信息应受相当限制较为妥当。就健康信息而言，保险人对于被保险人之信息，包含其治疗、手术及药物等资料，系为风险确认与精算目的，或将其作为除外条款所使用，故应对此等信息之收集使用适当限制。
　　3.信息使用规范
　　首先，保险人不应违背收集阶段所告知的使用目的，或超出告知范围对个人信息进行加工。其应保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知；保证加工过程中信息系统持续稳定运行，个人信息处于完整、可用状态，且保持最新。其次，保险人应不违背收集阶段已告知的转移目的，或超出告知范围转移个人信息。其向其他组织或机构转移个人信息前，应评估其价值并通过合同明确该组织和结构的个人信息保护责任。保险人未经个人信息主体的明示同意，或法律法规明确规定，或主观部门同意，其不得将个人信息转移给境外个人信息获得者，包括位于境外的个人或境外注册的组织和机构。最后，保险人对于个人信息使用目的达到后，应立即删除个人信息；若需要继续处理或留存，应符合法律的明确规定或取得保险消费者的明示同意，采取适当的存储和屏蔽措施。

　　四、我国信息保护制度之检讨

　　工信部电子科技情报研究所副所长刘九如统计，目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定，医疗信息规定，个人信息管理办法等。然这些规定内容较为分散、法律法规层级偏低。刑法修正案（七）被认为是个人信息立法的标志性事件之一。其确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”，首次将公民个人信息纳入刑法保护范畴，规定刑事责任。但诸多法律界人士认为，刑法未明确该罪的具体界定标准，不具有实际操作性，有待进一步改进与完善。另外，2009年《侵权责任法》的通过，使“人肉搜索”等侵犯受害人权利的责任认定有了法律的统一规制，但正如社科院法学研究员周汉华所说，《刑法》和《侵权责任法》都属于事后救济，在网络时代要对网络安全及个人信息进行全流程的监督才更有效。
　　我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》已于2013年2月1日实施。这项标准要求，处理个人信息应有特定、明确和合理的目的，并在个人信息主体知情的情况下获得个人信息主体的同意，在达成个人信息使用目的之后删除个人信息。其中，标准最显著的特点是将个人信息分为个人一般信息和个人敏感信息。并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可以收集和利用。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必首先获得个人信息主体明确的授权。这项标准还提出了处理个人信息时应当遵循的八项基本原则，即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。中国软件评测中心副主任朱璇认为，标准的出台意味着我国个人信息保护工作正式进入“有标可依”阶段，弥补了我国个人信息保护制度的缺失。但是笔者认为，此指南标准并非强制性标准，甚至也非推荐性标准，此属于技术性指导文件，其能否起到一定规范效力，仍待观察。
　　由我国《保险法》第116条及131条可知，保险公司及其工作人员与保险代理人、保险经纪人及其从业人员，在保险业务活动中不得泄露在业务活动中知悉的保险人、投保人、被保险人的商业秘密。第180条规定了保险监督管理机构从事监督管理工作的人员，泄露其知悉的有关单位和个人的商业秘密，将依法给予处分。我国《保险法》虽规定信息保护为商业秘密，但其并未建立保险消费者个人信息保护的法律体系。首先，没有明确规定保护个人信息，且缺乏个人信息之界定；其次，缺乏细化的程序规定，难以合理与合法操作；最后，缺乏执法主体及救济手段，承担何种法律责任以及个人信息受到侵害如何救济尚存空白。豞
　　综合上述，以及我国个人信息保护法一直未能进入立法程序，我国对于个人信息的保护主要是从隐私权的角度出发，但是随着人类进入信息时代，其制度难以全面维护个人信息的安全。现代化进程的演进带来人们生活方式的改变，并且社会中不可预测和不稳定的因素逐渐增加，保险已成为成熟社会的人们为保障其生活质量，不致因遭受不测之损害事件的影响而必须消费和购买的一种服务。人们日益依赖于保险提供的防范各种风险之经济保障。一个人或一个家庭如果要保证生活的质量不受疾病和各种意外灾害事故的影响，他或他们必须购买各种保险，使得保险消费成为其生活的一部分，正如同去超市购买日用品。保险消费者个人信息之保护，涉及信息安全、社会稳定及保险业的发展；其影响整个金融体系的有效运作与有序稳定，进而对整个经济体系的持续、健康、稳定的发展都是有积极而重要的意义。
　　保险存在信息不对称之特性，为解决逆选择或道德危险之危害，豟因此要求被保险人就保险标的提供信息，籍以维持保险制度运作。保险人为订定保险契约、厘定保险费率，须衡量相关风险，而必须对于被保险人之相关个人资料加以收集。保险人就被保险人之个人信息加以收集与利用，应受相当之限制。其必须以获得信息主体同意为其先决条件，合法收集相关资料并符合目的性、比例性等原则。其并应就相关信息收集事项告知信息主体，使其有机会了解其个人信息被收集之范围及其使用情况。我国对于保险消费者个人信息保护制度，从法律规定、理论研究都处于薄弱环节；保险实务中所出现的一些具体问题，并没有得到学术的有效回应，处于混乱与脱节状态。如前面所述，保险已成为我们生活中的必须品，若保险公司与消费者建立一种良性的互动关系，会一方面更好的保障人们的生活，另一方面也能促进保险业的健康发展。