个人信息安全保险在我国属于新兴险种,也是互联网时代下具有巨大发展前景的险种之一,该险种的承保基础、被保险人以及保险金给付等诸多问题都急待厘清。本文系统分析了个人信息安全保险的法律构造,并通过介绍美国网络安全险的发展状况阐明其中可供我国借鉴的经验,以期为我国个人信息安全保险的发展提供新思路。
1 问题的提出
5G时代的到来使人们在惊喜之余更加深刻的感受到互联网对人类生活带来的变革,根据中国互联网络信息中心发布的第43次《中国互联网络发展状况统计报告》,截至2018年 12 月,我国网民规模达到8.29亿人,互联网普及率达到59.6%,未来的互联网势必会继续渗透到人们生活的每个角落。互联网带来的不仅是更加便利的生活,也带来了更多的风险。中央网信办的统计数据显示,2017年我国网民在上网过程中遇到的安全问题中,个人信息泄露问题占比最高,达到 27.1%,网民因为个人信息泄露、垃圾信息、诈骗信息等現象导致遭受的经济损失人均133元,总体损失约915亿元。
我国建设网络强国的进程中风险与机遇并存,习近平总书记用“一体之两翼,驱动之双轮”概括了网络安全和信息化发展的辩证关系,网络安全风险已成为现代社会最重要的风险因素,个人信息是否安全成为人民群众最为关心的问题。在如今的互联网时代,加之以网络实名制的影响,个人信息泄露渠道可谓是数不甚数,最主要的是通过企业、政府机关或者教育系统泄露个人信息。防火墙等信息安全技术虽然可以在一定程度上降低个人信息泄露的风险,但随着科技进步的不止是保护手段,攻击手段也在不断的换代升级,仅依靠技术不能完全解决问题,也不能挽回已经造成的损失。正如劳合社首席执行官英格·碧尔所表示:“随着网络环境的恶化,保险必将成为各行业保驾护航的必需品,”利用保险来防范个人信息风险以及分摊信息泄露所造成的损失对于企业、政府或是个人都显得十分必要。
个人信息安全保险属于网络安全险的一种,从网络安全保险市场分布来看,欧美等国家发展水平相对较高,其中美国约占 90%,欧洲约占 8%,亚太地区占比仅为 1% 左右。在美国,美国国际集团(AIG)、丘博(Chubb)、安达(ACE Limited)和 CAN 保险集团等约 50 家保险公司提供专门的网络攻击保单,网络安全保险业务成为美国保险业发展最为迅猛的领域。目前中国国内市场还处于起步阶段,以苏黎世财险、安联财险、美亚保险等为代表的外资保险公司在网络安全保险方面推动力度较大,内资保险公司介入相对较少。2017 年 6 月,中国人保财险与韩国三星火灾公司合作推出个人信息泄露责任保险产品,这也是中国内地市场首款承保个人信息风险的保险产品,承保企业由于网络黑客攻击等原因、发生投保企业所管理的客户信息泄露事故而引发的相关赔偿责任。
国内个人信息安全保险发展缓慢的主要原因在于计算机行业的风险巨大且难以控制,并对人力和技术水平的要求相比其他行业较高。一旦发生信息泄露事故,不但事故造成的损失难以估计,保险标的的价值也难以准确的计量,对于以精算为基础的保险行业来说,众多不确定因素使保险公司对个人信息安全险始终保持谨慎观望的态度。
不论保险公司是否愿意将个人信息安全列入承保范围,不可否认的是若将保险纳入个人信息行业保障的范畴,其风险管理功能对于个人信息安全风险的控制会起到极大的作用。风险管理的作用可以通过保险公司核保和行使监督检查的权利来发挥,保险人对投保申请进行审核并决定是否接受这一风险,为判断被保险人的风险程度,保险人会对投保申请进行挑选和评估,也会基于风险程度对被保险人进行风险等级分类,确定相应的保险费率。对于高风险投保人,保险公司会选择不接受投保或是以高额保费接受投保。在保险公司不接受投保申请的情况下,高风险投保人会尽量避免风险行为或放弃高风险行为,这就迫使管理个人信息的机构采取更加安全的措施防止个人信息泄露。当保险人接受投保申请后会作为第三方风险评估机构深入调查研究投保人内部的信息安全漏洞和可能存在的风险,并将这些信息反馈给被保险人,被保险人也能通过保险人的反馈评估识别风险的大小,制定信息安全方针,控制个人信息安全风险。
综上所述,系统研究个人信息安全保险显然十分重要,但目前国内相应的研究基本处于空白状态,该险种的承保基础、被保险人以及保险金给付等众多问题都急待厘清,故对于其法律制度构造的基本问题进行研究对日后个人信息安全保险的发展有着至关重要的影响。
2 个人信息安全保险制度构造
在阐述个人信息安全保险的制度构造之前,应当说明的一点是个人信息安全保险应当根据受众群体不同分为个人信息安全责任保险和个人信息安全个险两类,其中个人信息安全责任险受众群体主要为企业、政府机构等掌握个人信息且负有保密义务的组织或个人,个人信息安全个险则主要针对个人开发。企业等个人信息占有、控制者利用保险分散风险的合理之处自不用说,现阶段网络安全保的主要客户也都是企业,但个人信息安全个险的存在也非常有必要。虽然在目前的市场环境下,个人信息安全个险的目标用户都是高净值人群,因为其对于网络系统的依附程度较高,面临网络攻击时会遭受较大的损失,因此对于网络安全险的需求更高,例如美国的AIG和Hiscox保险就针对富裕人群推出了个险服务,为个人和家庭用户提供网络安全保险。但在未来互联网科技不断发展的背景下,一般人群对于自身信息安全的关注度也会不断提升,开发承保范围更加广泛的个险更有利于未来市场的需要。
首先,针对个人信息安全保险的承保基础(保险标的)应当定性为侵权法律责任,具体来说个人信息安全责任保险承保被保险人违反网络安全法、个人信息保护义务以及保险合同约定导致第三人遭受的损失;个人信息安全个险承保被保险人因个人信息泄露而遭受的损失,赔付范围可以包括客户遭遇黑客攻击的客户提供数据恢复服务费用,遭受网络暴力或网络勒索产生的相关费用,恢复客户声誉所需费用等一系列相关费用。侵害公民个人信息的行为主要以作为的形式表现,例如非法获取、出售个人信息等,但也可以不作为的方式对公民个人信息造成侵害,例如负有保密义务的组织发现信息丢失不采取相应措施予以制止的,网络服务提供者对于在网络上发现的泄露公民个人信息、隐私等网络消息不予制止或及时删除的都属于以不作为的方式侵害公民个人信息安全。侵害公民个人信息的行为也可兼以作为和不作为的方式表现,例如在舒某诉靖安县嘉园物业管理服务有限公司隐私权纠纷案中被告物流公司在公告栏中张贴所有原告的身份信息、家庭住址等,在原告撕下材料后再次张贴相同的材料副本在公告栏中且拒不撕下,根据过错规则的原则可以认定物流公司对原告的个人信息泄露具有过错,应当承担侵权责任,本案中物流公司便是通过作为兼不作为的方式泄露原告个人信息并对其造成损害的。虽然在本案中并未判决物流公司承担精神损害赔偿的责任,但个人信息安全侵害案件中信息主体遭受的损失应当包括个人信息被非法收集、利用所造成的财产损失和精神损失。
其次关于个人信息安全险的被保险人,个险的被保险人是显而易见的,本文着重探讨的是个人信息安全责任险的被保险人。根据《民法总则》的规定,个人信息的控制与使用者包括自然人与法人,实践中自然人收集、管理大量他人个人信息的情况非常少见,绝大部分是企业法人收集管理、分析使用个人信息以开展日常经营活动,我们在日常生活中也基于企业的承诺以多种方式分享给企业自己的个人信息,例如开启APP的读取权限、授权企业分析个人数据等。获取个人信息数据的企业被称为数据控制人,但这些企业不一定会亲自处理分析已获得的数据,尤其是技术力量不发达的中小型企业会更倾向于委托外部数据处理企业进行数据分析、管理,这些被委托的机构被称为数据处理人,比如云计算服务商被很多公司所委托,以实现系统集成、存储大量数据的需求,也因此掌握了大量客户的信息。举一例来说明,阿里云平台的平均入侵比例约为 0.5% / 月,一些安全能力差的小客户经常被黑客反复入侵。但在被入侵的客户中,数据遭公开泄露的比例低于 0.5%,所以实际发生经济损失的案例也比较少,但若阿里云平台遭受恶意攻击导致数据泄露,所造成的影响将难以估量。故基于民法上委托行为的法理,企业委托的数据处理人也应成为个人信息安全险的被保险人。
现实中网络安全险种的主要受众群体是企业,但有较高的个人信息泄露风险、却又很容易被忽视的还有两个群体,一是政府机关,二是教育系统。2017年政府官方网站泄露个人信息的情况频频发生,河北衡水市政府、甘肃省国土资源厅、江西省宜春市政府、景德镇市政府等一些由官方主动公开的文件材料中,出现个人隐私信息泄露情况,事件经媒体披露后,上述官网陆续将涉事文件删除或隐藏,但仍有“漏网之鱼”。教育行业也是极具吸引力的网络攻击目标,因为学校的数据库里储存着大量的职工、家长、学生和他人的大量个人信息,例如2018年西昌市两名老师利用工作之便收集并售卖学生信息,40万条个人信息被泄露,对学生和家长的日常生活也造成了一定程度的影响。我国教育行业对于购买个人信息安全险重要性的认知度还不够,但在网络安全险发展较好的美国,其医疗卫生和教育行业的客户在网络安全保险方面的投保率最高,分别高达50%和32%。这不仅为我国政府机关和教育行业系统敲响了警钟,也从侧面提醒开发个人信息安全责任保险的保险公司不应当仅将企业作为目标客户,针对政府机关和教育行业的客户开发相应的险种也是非常有必要的。
不论是企业、政府机关还是教育行业,都是通过雇员行使其职责,而雇员侵权行为的后果由雇主承担,故保险公司应对雇员的侵权损害予以理赔。由于雇员的流动性以及人数众多等原因,个人信息安全责任保险应采取集体险的方式,以职位、身份等作为识别依据,概括的将被保险人限定于雇员、管理人员等,在保险事故发生之时再具体确定被保险人。
第三,在保险金给付阶段,不同于一般财产损失险,个人信息泄露到权利人受到实质损害可能间隔较长,涉及到的利益主体可能十分广泛,已被泄露的信息也可能呈现不断扩大的趋势,受害人未必能及时主张损害赔偿,侵权人的身份也往往难以得到认定,很容易出现侵权事件发生在保险合同期间内但受害者行使赔偿请求权在保单期满后的情形,且同一信息泄露事件的受害者未必在同一时间提起索赔请求,故比起事故发生制的理赔机制,索赔发生制更加适合个人信息安全险,保单配合约定追诉期制度以防范索赔发生制可能带来的道德风险。
至于保险金额,个人信息安全险应为损失补偿型保险,赔付个人信息泄露对信息权利人所造成的损失。证明有形财产的损失与信息泄露之间存在因果关系虽然困难,但更加困难的是认定精神损害赔偿数额,实践中对精神损害类的非物质性损害赔偿的认定标准不一,其数额认定在保险赔付时也会成为难点,因此比较合理的做法是借鉴别国做法,如美国、日本等国对于非财产性损害以及精神赔偿数额有上限的限制,在限制的数额之内根据权利人受损的具体情况进行赔付可以有效的减少保险人面临的不确定性风险。
3 法律完善的建议
良好的法律环境对保险的产生和发展起着至关重要的作用,针对网络安全的专项立法以及出台相应的政策法規也是保障网络安全保险发展的基础,个人信息安全险想要发展也离不开法律、政策的支持。美国网络安全险产品之所以发展迅速,不单是因为其悠久的保险发展历史,更与《违反安全通知法案》在美国各州的推行有莫大的关系,美国 50 个州中有 48个州颁布了在发生数据泄露事件时需强制通知客户。不仅是美国,欧洲的《欧盟数据保护规定》不仅规定了数据泄露的强制通知义务,同时规定一定规模以上的大型企业必须购买网络安全保险。
我国2017年实施的《网络安全法》对国内网络空间法治建设来讲是重要的里程碑事件,在此之前我国网络安全保护的法律几乎呈现空白状态,但仅有一部法律是远远不够的,总书记也提出了六个“加快”的要求,吹响了加快网络安全建设的冲锋号。具体来说应当将个人信息安全险等网络安全保险区别于传统的财产保险、人身保险,由国家组织专门人才为网络信息安全保险“量身定做”法律规范和安全标准,并配套建设多层级法律法规体系,为个人信息安全险等网络安全险提供法律依据,对重点领域可以考虑通过立法形式设置强制责任险,为公民提供更加普遍的个人信息保障。银保监会也要加强对此类产品的引导和监管,通过规范性文件、指导性文件等方式引导保险公司开展网络安全险种的开发,支持其发展,建立更加科学的风险分析模式,制定更加合理的保险定价,为我国个人信息安全险的发展形成良性循环,才能为公众提供更加实际的保障。
综上所述,我国个人信息安全险的发展之路仍然很漫长,在发展过程中要勇于尝试并发现问题,充分借鉴并利用国外先进经验,不断优化产品设计、加强对产品的监督管理,对于个人信息安全险而言要从国家安全大局出发,坚持为个人信息安全服务,促进中国个人信息安全保险健康、良性发展。
(作者单位:石河子大学法律系)