险企履行消费者个人信息保护义务实践情况并不乐观，《个人信息保护法》实施影响几何

如今，AI人工智能等科技进步深刻地改变着人们的生活、生产和思维方式，同时也增加了个人信息泄露的风险。从移动互联网、无人驾驶、面部识别，到可穿戴设备、智能家居、医疗监测器械，数据驱动创新的背后，一些受经济利益驱使下的不法平台或机构，从事着超出消费者授权的个人数据的共享、信用卡欺诈、数据杀熟、名誉损害、出售贩卖个人信息等违法行为，同时也衍生出此消彼涨的敲诈、勒索、诈骗等违法犯罪行为，严重侵害了消费者的人身财产安全，影响了正常的社会经济秩序。

从11月1日起，《中华人民共和国个人信息保护法》将正式实施。今后，遏制App“强制同意”乱象、禁止“大数据杀熟”、规定“个人信息守门人”、未成年人信息被列为敏感个人信息等都将有法可依。

从11月1日起，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）将正式实施。这一经过十多年酝酿论证、十三届全国人大常委会三次审议的首部个人信息保护方面专门法律，将极大地加强我国个人信息保护的法制保障，进一步强化个人信息安全监管与治理，把个人信息使用权关进法律的笼子里。同时，该法的实施将重构数字时代社会互信，实现以人为本的大数据交流文明、互动文明和分享文明，实现数据信息交流与市场经济发展的正相关关系，同时筑牢金融市场发展的数据根基、信息根基和规则根基，全面开通市场主体健康成长的安全通道。

01

高科技“加持”埋下乱象隐患

2020年5月，江苏淮安警方破获一起侵犯公民个人信息案，某银行员工以每条80至100元的价格，将银行卡使用人的身份信息、电话号码、余额甚至交易记录售卖谋利，涉及个人信息5万余条；2021年央视3·15晚会上曝光的多家知名商店安装人脸识别摄像头，海量人脸信息被收集，却没有一个商家明确告知消费者和征得本人同意；......近年来，消费者个人信息安全问题加剧。被滥用的科技手段，造成很多消费者“被牵着鼻子走”而不自知，被迫泄露的个人隐私更成为不法者牟利的“蓝海”。长期以来，个人信息安全乱象存在几大类：一是移动应用滥采滥用数据剥夺了个人信息自主权。为实现商业利益最大化，不少移动应用滥采滥用个人信息，严重侵害了用户个人信息的选择权、知情权、删除权等权益。比如未经用户同意与第三方SDK共享个人信息，通过积分、奖励、优惠等方式欺骗、诱导用户点击下载或直接进入相应服务以获取手机用户信息等。二是个人信息非法交易侵害消费者个人隐私。当前，非法买卖个人信息已成为新兴的灰色产业，个人信息明码标价售卖猖獗。一方面，黑产人员借助“暗网”搭建利益链，已形成了内鬼、黑客、清洗者、加工者、数据中间商、买家等交易的全链条，千亿级的个人信息交易地下产业链已趋于成熟。另一方面，平台企业也在利用数据垄断优势贩卖个人信息进行商业变现。三是新技术滥用为个人生物信息泄露埋下巨大隐患。其中，最典型的就是生物信息识别技术模糊的安全使用边界，使个人生物信息面临着低采集成本、高泄露风险的安全困局。比如：基于生物识别信息的身份认证环节，在一些线下场景中，人脸识别已经成为必要“门票”，甚至还存在公共空间滥用人脸识别摄像头远距离偷采人脸图像信息以牟取私利的情况。为保护消费者个人信息安全，针对现实生活中网络用户质疑的“一揽子授权”“强制同意”等一系列个人信息保护问题，我国相关部门已连续出台政策保障个人信息安全。今年5月1日起正式实施的《网络交易监督管理办法》就对网络消费者个人信息的收集使用做出了详细规定。此次即将正式实施的《个人信息保护法》，是针对个人信息保护的系统性、综合性法律，与《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。新法对法律的适用范围、以“告知-同意”为核心的个人信息处理规则、个人信息处理活动中个人的权利和处理者义务、大型网络平台的特别义务、国家机关处理个人信息的规范、个人信息跨境流动及履行个人信息保护监管体制、法律责任等内容均作出了明确的具体规定。02经营者：须以“告知-同意”为规则

在具体措施上，针对经营者要求包括：

一是落实“告知—同意”规则，明示处理个人信息的目的、方式和范围，并提供便捷的撤回同意方式。经营者不得采取一揽子授权、强制同意等方式处理消费者个人信息；未经消费者同意，经营者不得向消费者推送商业信息。

二是不过度收集消费者个人信息。经营者收集使用个人信息应具有明确、合理的目的，并限制在对个人权益影响最小的方式和实现处理目的的最小范围，不得过度收集消费者个人信息。经营者不得以消费者不同意处理其个人信息或撤回同意为由，拒绝提供产品或服务。

三是严格限制对敏感个人信息的处理，小区、经营场所不能强制业主或者消费者进行人脸识别。经营者更不能为了商业目的非法收集消费者的人脸识别信息。

四是禁止“大数据杀熟”。经营者不能利用自身掌握的消费者经济状况、消费习惯以及对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇，也不能在未获得消费者授权的情况下通过用户画像来开展精准营销。

五是互联网平台要保护好用户个人信息。大型互联网平台也要注意履行特殊义务，需当好个人信息保护“守门人”。对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务。

03

消费者：“非必要不提供”

整体上看，《个人信息保护法》的最最重要的关键词是：“非必要不提供”，同时还要积极行使“撤回同意”的权利。

中消协提醒广大消费者，要认真学法、主动用法，了解个人信息和敏感个人信息的处理规则、自身在个人信息处理活动中所享有的权利、个人信息处理者应当承担的义务以及个人信息权益受到侵害时的救济方式等，进一步提升个人信息保护的意识和能力。同时要做到以下几点：

养成“非必要不提供”的良好习惯。消费者在接受服务时，要仔细阅读隐私协议等涉及个人信息的条款，明确经营者处理个人信息的方式、范围、目的和依据等，考量经营者处理个人信息理由的充分性和消费者提供个人信息的必要性，建议只在确属必要的情况下才向经营者提供个人信息或者进行授权。

对自己授权或者提供的个人信息进行持续跟踪。随时关注经营者个人信息条款是否进行修改，经营者是否有保障个人信息安全的能力，经营者是否存在非法处理个人信息行为等。当消费者不同意经营者继续处理其个人信息时，要积极行使“撤回同意”权利，要求经营者停止处理或及时删除其个人信息。

注意销毁带有个人信息的单据和资料。如妥善处理未脱敏的快递单据等带有个人信息的单据和资料，使用完后应及时销毁，或是涂抹掉关键信息后再丢弃；向他人提供身份证等重要证件的复印件时，最好显著标识此复印件的用途；一些带有个人敏感信息的电子数据，如证件照片等，建议用完即删或者采用加密方式进行存储。

主动拿起法律武器维护合法权益。当自身个人信息权益受到侵害或者发现经营者存在违法处理消费者个人信息行为时，要主动向个人信息保护管理部门或者消费者协会进行投诉、举报，提供案件线索和相关凭证，维护自身及其他消费者的合法权益。

04

金融机构：确保金融消费者合法权益

随着互联网金融的飞速发展，消费者使用最多的数字金融服务包括支付、信用贷款、消费贷款、互联网基金、互联网保险等。在维权方面，有超过六成的消费者选择向监管机构投诉，选择向企业投诉的占比是23%。其中，最受消费者关注的仍然是个人信息的安全问题，诸如隐私权、保密、安全性等，其次是信息披露和公平问题。为此，消费者强烈呼吁“数字金融行业的公平、公开、公正行为”，希望从业机构能够诚信经营，增强信息透明度。

2020年11月1日起正式实施的《中国人民银行金融消费者权益保护实施办法》，更是对于个人金融信息保护进行规范。

总体上看，在过去一段时间，我国在金融消费者权益保护领域已经初步建立起符合国际法律框架及发展趋势的法律保护与监管体系，对金融消费者的合法权益起到一定的保障和促进作用。

就国内保险业而言，保险机构履行消费者个人信息保护义务的实践情况并不乐观。面对超范围收集个人信息等各种违法违规行为,保险消费者的诉讼维权成本高昂，消费者多选择以向监管部门投诉的方式来解决问题。

以互联网保险行业为例，中国互联网保险市场近年来取得高速增长。根据中国保险行业协会公布的数据显示，2020年我国累计实现互联网保费收入2908.75亿元，寿险保费收入占互联网保险保费收入72.57%，保险渗透率高达6.6%。从经营主体数量来看，截至2020年末，全国共有134家保险公司开展互联网保险业务，是2011年的4.8倍，其中有73家保险公司开展产险业务、61家保险公司开展寿险业务。通过大数据、云计算、互联网和区块链等技术在互联网保险业务中的应用，获取个性化海量数据(603138,股吧)，实现互联网保险定价及费率厘定的精细化、精准化及动态化，同时整合信息数据对客户精准画像，很大程度上提升了互联网保险创新的效率，但由于信息数据处理者的主体行为风险及信息数据及技术本身的潜在安全风险，也带来了信息数据安全、个人信息保护等方面的诸多问题。

2021年8月5日，中国银保监会发布《关于开展互联网保险乱象专项整治工作的通知》，重点整治销售误导、强制搭售、费用虚高、违规经营和用户信息泄露等突出问题。作为个人信息保护领域的基本法，《个人信息保护法》的出台对我国互联网保险业务中个人信息权益保护以及互联网保险机构的数据隐私合规实践及数据开发利用等，都将产生直接和深远的影响，尤其是在互联网保险销售中违规收集用户信息的问题。其中，《个人信息保护法》明确了个人信息保护的逻辑基础，个人信息及其权益属于个人，任何组织和个人不得侵害，包括：不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

根据《个人信息保护法》要求，互联网保险机构在收集用户信息时不得超越该产品所必须的信息范畴，即不得过度收集，同时要保证对于信息收集的方式和手段对用户的个人权益影响最小。同时，作为互联网保险机构，仅在保险消费者授权范围内有权利用保险消费者的个人信息，不得基于商业利益的需要逾越授权范围进行不当利用，更不能在未经保险消费者许可的情况下，向他人传递或转让个人信息。

总之，《个人信息保护法》中明确了互联网保险中涉及的个人信息、信息权益的范畴及个人信息利用的基本原则和规则，这对于互联网保险机构开展数据隐私合规及数据开发利用有着直接且重大的意义。互联网保险机构应全面、深入开展《个人信息保护法》的理解与研究，将个人信息保护规范的要求融入到互联网保险产品的开发及销售、理赔等业务阶段，合法处理个人信息的保护与利用关系，更好地利用数字化时代为保险行业带来的新机遇。

消费者个人信息安全，关系到广大消费者的切身利益及消费者的消费信心和消费意愿，也关系到经济社会的健康发展。数字普惠金融发展，离不开每一个消费者的支持。《个人信息保护法》的正式实施，将通过多渠道、多形式和多方面对消费者权益进行全方位的保护，让消费者体验到金融服务温暖和市场诚信，健全个人信息数据安全的管理体系。

在金融供给侧改革的大背景下，各金融监管部门结合新形势、新情况，在实践中不断丰富并日臻完善出台相关规范性文件和服务标准，逐步形成我国金融消费者权益保护的法律监管框架体系，促进金融从业机构强化金融消费者保护工作，当好消费者个人信息保护的“守门人”。

本文首发于微信公众号：NEW财金。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。

（董云龙 ）