保险业机构合规实务中,经常面临某种新信息类型是否应被认定为个人信息的困境。比如,保险公司在投保前的风险审核环节中,拟向第三方大数据公司获取投保人或被保险人的风险评分、特征标签、特征模型,该类信息是对个人信息进行加工后形成的预测信息,是否应被认定为个人信息?这关乎保险公司是否应履行收集、使用个人信息相关的法定义务。因此,个人信息认定是保险业机构后续开展个人信息全生命周期保护工作的逻辑起点,而个人信息是个比较抽象的概念,相关法律、法规、规章、司法解释、国家标准的界定不完全相同。

▲CFP

区分“已识别”及“可识别”

随着保险业向网络化、数字化转型升级,由此产生的信息形态日益多样化,这给个人信息的认定增加了难度。比如,通过收集、汇聚、分析原始信息形成的直接用户画像、间接用户画像、去标识化信息认定问题。

《中华人民共和国网络安全法》(下称“网络安全法”)第七十六条第(五)项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

《中华人民共和国民法典》(下称“民法典”)第一千零三十四条第二款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《中华人民共和国个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”

针对个人信息的定义,个人信息保护法在网络安全法以及民法典规定“识别”基础上,将个人信息的识别区分为“已识别”及“可识别”的表述,即凡是与“已识别”的自然人或“可识别”的自然人有关的信息,均为个人信息。此规定与网络安全法以及民法典最显著的区别在于,前述法律均以主观上的“识别”作为界定个人信息的基础,而个人信息保护法则以客观上的“关联”作为界定个人信息的基础,“已识别”或“可识别”的自然人是进行相关行为判断的参照对象。

但是,对于什么是“可识别”的自然人,个人信息保护法并没有进一步作出界定。笔者认为,对于可识别的判断,可以结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“个人信息刑事案件司法解释”)和《信息安全技术 个人信息安全规范》规定进行判断。

在个人信息刑事案件司法解释与《信息安全技术 个人信息安全规范》中,规定了“与其他信息结合识别特定自然人身份或者反映特定自然人个人活动情况的各种信息”,信息的组合认定是否成为“可识别”内涵,有待立法进一步完善。由此可见,个人信息保护法在“识别”基础上作出“已识别”与“可识别”的区分,并将“关联”要素融合进来,将个人信息保护的外延进一步完善。

值得注意的是,直接用户画像、间接用户画像、去标识化信息等是否为个人信息问题?笔者认为,如结合个人信息定义判定,直接用户画像是对特定自然人某项特征的描述,仅在原始信息基础上进行加工,但能够识别至特定自然人,通常被认为属于个人信息;间接用户画像是对特定自然人所在群体特征的描述,一般不被视为个人信息;去标识化信息虽然无法直接识别至特定自然人,但结合其他信息并进行技术还原,仍然可以识别至特定自然人,通常也被认为属于个人信息。

参考全国网络安全标准技术委员会于今年3月21日发布的《数据安全技术 数据分类分级规则》(将于10月1日实施),该规则规定在一般数据分4级框架下,特定类型一般数据的最低参考级别为:敏感个人信息不低于4级,一般个人信息不低于2级,去标识化的个人信息不低于2级……由此可见,相关国家标准对去标识化的个人信息最低级别与一般个人信息最低级别要求一致,能从国家通用标准的层面看出,通常情况下去标识化的个人信息仍然属于个人信息。

司法实践中,关于脱密处理后的信息是否认定为个人信息问题,广州互联网法院在余某诉查博士隐私权、个人信息保护纠纷一案中的裁判思路值得参考。该案中,广州互联网法院综合考量脱密处理后的信息能否与其他信息结合识别至特定自然人、一般理性人识别到特定自然人的行为成本、传输手段、是否对外披露等因素,最终未将脱密处理后的车况信息认定为个人信息。但该案属于个案,并不意味着保险机构对自身脱密处理后的信息作出不认定为个人信息的结论。实际上,广州互联网法院未否认通过第三方信息与脱敏处理后的信息结合识别到特定自然人的可能性,并且个人信息保护法、民法典、网络安全法等对于“个人信息”定义的措辞(“有关”“各种信息”)属于兜底性表述,实务中遇到的个人信息认定问题仍需结合具体业务场景进行综合判定。

保险业个人信息维度精细化

从保险法律关系主体角度区分,保险业领域的个人信息可分为投保人、被保险人、受益人、保险代理人、保险业机构用工人员的个人信息。

保险法律关系主体通常包括保险人、投保人、被保险人、受益人、保险代理人、保险经纪人。其中,保险人指与投保人订立保险合同,并按照合同约定承担赔偿或者给付保险金责任的保险公司;投保人指与保险人订立保险合同,并按照合同约定负有支付保险费义务的人;被保险人指其财产或者人身受保险合同保障,享有保险金请求权的人;受益人指人身保险合同中由被保险人或者投保人指定的享有保险金请求权的人;保险代理人指根据保险人的委托,向保险人收取佣金,并在保险人授权的范围内代为办理保险业务的机构或者个人;保险经纪人指基于投保人的利益,为投保人与保险人订立保险合同提供中介服务,并依法收取佣金的机构。

前述保险法律关系主体中,投保人、被保险人、受益人、保险代理人均可以是自然人,从而可以成为个人信息的权利主体。此外,保险业机构的员工个人信息,也是保险业个人信息保护所关注的问题。

从个人信息在保险活动中的作用角度区分,保险业领域的个人信息可以分为基本信息、不同险种项下的特殊信息。

保险人承保保险产品,如果是针对个人的保险产品,一般涉及投保人、被保险人、受益人的个人姓名、性别、民族、国籍、证件类型(身份证、军官证、护照等)、证件号码、手机号码、职业、住址或工作单位地址、电子邮件地址等基本信息。如果是针对法人或非法人组织的保险产品,也涉及其法定代表人、负责人、联系人的基本信息。同时,不同保险产品涉及的个人信息类型有一定差异,左表列示了常见险种可能涉及的特殊个人信息类型。

目前,创新型保险产品层出不穷,可以预见,保险公司可获得的个人信息类型将越来越丰富,维度也将越来越精细。比如,某保险公司曾于2022年初推出养发植发费用补偿保障险,结合该公司官网公布的《个人养发植发费用补偿保险条款(互联网版)》,涉及被保险人的指定头皮区域头发密度、头发直径、头皮油脂度、头皮毛囊健康状况、头皮角化程度等信息。而随着智能手表、耳机、眼镜等可穿戴设备受到越来越多人的青睐,保险公司通过采集每日步数、心率、血氧饱和度和实时心率等人体健康数据,用于优化健康保险产品、追踪承保客户信息、加强对风险管理指标的准确识别等应用,也将会使个人信息的获取更加丰富。

从个人信息一旦泄露或非法使用所造成的损害后果角度区分,保险业领域中的个人信息可以分为敏感个人信息和一般个人信息。

敏感个人信息指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。个人信息从前述“常见险种可能涉及的特殊个人信息类型”图表所示来看,多个险种涉及医疗健康、金融账户、行踪轨迹等敏感个人信息,保险业对敏感个人信息具有高度的依赖性。

金融数据安全关乎个人隐私

对于个人金融信息,金融行业标准《个人金融信息保护技术规范》 (下称“技术规范”)和《金融数据安全分级指南》(下称“分级指南”)从敏感程度角度又进一步划分了不同类别或等级。

具体而言,技术规范按敏感程度将个人金融信息从高到低划分为三个类别:C3类别信息主要为用户鉴别信息,包括账户登录密码、银行卡磁道数据(或芯片等效信息)等;C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,包括账户登录用户名、个人财产信息等;C1类别信息主要为机构内部的信息资产,主要供金融业机构内部使用的个人金融信息,包括账户开立时间、基于账户信息产生的支付标记信息等。

分级指南从影响对象(国家安全、公众权益、个人隐私、企业合法权益等)、影响程度(严重损害、一般损害、轻微损害、无损害)角度,将金融数据从高到低划分为五级:安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响的数据属于5级金融数据;安全性遭到破坏后,对个人隐私造成重要影响,但不影响国家安全的数据,以及个人金融信息中的C3类别属于4级金融数据;安全性遭到破坏后,对个人隐私造成一般影响,但不影响国家安全,个人金融信息中的C2类别属于3级金融数据;安全性遭到破坏后,对个人隐私造成轻微影响,但不影响国家安全、公众权益的数据属于2级金融数据;安全性遭到破坏后,可能对个人隐私不造成影响,或仅造成轻微影响但不影响国家安全、公众权益的数据属于1级金融数据。从上述分级指南可以看出,个人金融信息或个人隐私是金融数据的重要类型之一。

(作者系锦天城律师事务所高级合伙人)

编审|王 婧责编|王 茜校对|张 波  张雪慧来源|《法人》杂志2024年09月总第247期

海量资讯、精准解读,尽在新浪财经APP