大数据时代个人信息安全的金融保障研究

欧阳含依　胡思蓉　胡晗曦　汤川琦　陈厚洁

摘要：大数据时代下，信息不断数字化，成为重要的生产要素和稀缺资源。尽管个人信息被赋予了新的商业价值，但个人信息安全问题也日益突出。从个人信息安全的保险保障机制出发，通过构建个人信息安全责任保险，完善个人信息保护的事后补偿机制，转移侵权企业的民事赔偿责任，间接降低企业的赔偿风险。首先，文章阐明个人信息安全风险概念、特点及个人信息安全保险的发展历程；其次，从承保主体、承保责任、给付方式及保费率与赔付金额四方面提出个人信息安全责任保险的构造设想；最后，在分析个人信息安全责任保险的发展难点的基础上，从完善法律制度、提高公民维权意识、培养保险复合型人才及推行强制险四大角度提出可行性建议。

关键词：个人信息安全；个人信息安全责任保险

当今社会正在经历信息革命，网络通信与互联网迅速发展，大数据与数字经济时代已经到来。根据中国互联网络信息中心（CNNIC），截至2022年6月，我国网民规模为10.51亿，互联网普及率达74.4%。而在社会数字化转型的过程中，个人信息数据成为一种重要的资源和生产资料，“自然人”也在互联网语境下逐渐变成“数字人”。与此同时，个人信息安全问题也上升为社会性事件。中国消费者协会指出超八成受访者曾遭遇个人信息泄露问题。反观当前个人信息保护机制，虽说社会重视程度提高，存在监管部门和协会投诉、法律诉讼等维权途径，但在遭受个人信息安全损失的事后补偿方面，仍缺乏有效性。

对于个人信息的金融保障而言，保险作为集散风险的重要工具，在个人信息保护、分散个人信息泄漏风险方面，能够发挥重要作用。当前与信息相关的保险主要有网络信息保险，个人信息保险以附加险的形式存在，对个人信息保护的力度有限。因此，本文从保险机制出发，提出个人信息安全责任保险的构造设想。个人信息安全责任保险是承保个人信息使用者侵犯个人信息权益、造成民事损害赔偿责任的一类责任保险。该险种不仅可以转移信息使用者或保管者的民事赔偿责任，降低其经济损失与名誉风险，而且为受害方提供相应的经济赔偿，有效维护其个人信息安全权益。

因此，针对大数据时代下个人信息存在的安全风险，本文从个人信息安全的金融保障出发，从保险机制切入，指出个人信息安全以及当前个人信息安全责任保险的发展现状，并提出构建个人信息安全责任保险构造设想。通过个人信息安全责任保险，一方面，完善个人信息保护的事后补偿机制，为大数据时代个人信息安全提供金融保障；另一方面，丰富中国责任保险品种、完善责任保险理论框架。

一、个人信息安全风险与其责任保险发展现状分析

（一）个人信息安全风险

个人信息安全风险是指第三方在收集、处理、使用以及传播个人信息之时无意泄露个人信息导致被泄露方遭受财产或名誉损失的一类风险。其主要有以下特征。

一是不确定性。一方面，个人信息泄露的源头难以追溯。互联网技术提高了信息传播频率，在各个端口都有泄露个人信息的风险；与此同时，虚拟网与ID的存在，加大了泄露源的搜索难度。另一方面，个人信息泄露造成损失的时间具有不确定性。个人用户在信息被泄露与泄露造成的经济损失存在一定时滞，且用户的损失程度存在个体差异，以及有些个人信息泄露损失难以量化，增加了风险发掘、评估与预测的难度。

二是普遍性与社会性。个人信息安全泄漏风险无处不在，其涉及范围广、社会影响大。最高人民检察院发布的数据显示，2021年检察机关办理个人信息保护领域公益诉讼2000余件，同比上升近3倍。除此之外，大量App违规收集并泄露个人信息，社会影响大。具体如表1所示。

三是损害性。信息泄露方造成经济、名誉损失，如果深陷法律纠纷，则增加泄露方的时间、人员、劳动力等成本。此外，被泄露方将会增加某些法律与名誉风险，造成一定的财产与精神损失。在2016年，居民因个人信息泄露、垃圾信息等问题整体受损超过900亿元人民币。除此之外，当面临不法分子利用个人信息进行违法犯罪活動之时，个人将面临一定的法律风险与信用风险，个人名誉及财产将会有潜在损失。

（二）个人信息安全责任保险发展历程

当前个人信息安全责任保险仍处于构造之中，有关个人信息安全的保险多存在于网络信息安全保险以及对应的责任保险中。对于网络信息保险的具体险种，欧美市场也为中国提供借鉴经验。1999年，“E-Risk保险”和“黑客保险”分别在美国和英国问世，其承保标的为因电脑病毒感染、黑客攻击等原因导致企业网络系统瘫痪、数据泄露等造成的财产损失。随着数字化进程加快，全球越来越多的网络信息安全保险被设计与推广，如美国国际集团推出了Cyber Edge、Cyber Edge Plush和Cyber Edge PC三款信息保险、德国安联保险公司推出网络保险（Cyber Protect）、伦敦劳合社推出“E-comprehensive网络安全保险”等。

相较于责任保险市场发达的欧美国家，我国责任保险业发展始于20世纪50年代初，发展历史短，网络安全保险处于发展初期，个人信息安全责任保险尚未完全得到商业应用。2013年苏黎世保险公司设计出安全与隐私保护综合保险，信息安全保险进入中国市场，其保险标的为因企业问题，使得公司内部员工与客户的个人受到信息泄露而发生的财产损失。随后，众安保险在2016年推出数据安全险。直至2017年，内地市场首款承保个人信息安全责任保险产品推出，承保企业由于网络黑客攻击等原因、发生投保企业所管理的客户信息泄漏事故而引发的相关赔偿责任，这是内地市场首款承保个人信息风险的保险产品。

二、个人信息责任保险构造设想

（一）企业法人及其内部员工

企业法人的运作与管理主要通过管理层与一般雇员完成，企业的管理决策层与一般雇员都应纳入承保范围。对于企业决策者与管理者而言，其正当决策与执行行为产生的法律效果应当由公司法人承担。但由于高管的人数较少，薪资较高，在公司承担更大的责任义务，企业法人可以为其投保个人责任保险，其保费与薪资成比例，保费根据企业自身经济实力在企业与个人之间平摊，但对于一般雇员来说，其数量多、薪资少、承担的职责较低，可以采用团体险为员工参保。当个人与公司解除劳动合同，如仍在保险期间内，其均属于被保险人，当第三方提出损害赔偿，保险人有权依据保险合同提供相应赔偿。

（二）事业单位

个人信息的处理与使用的主体除了企业，事业单位也是一大主体。在数字经济下，事业单位在互联网系统上存储大量个人信息，且在后疫情时代，个人家庭住址、行程轨迹等大量信息储存于相关部门，个人信息泄漏风险有扩散趋势。例如，根据中国信通院，疫情期间医疗公网安全风险上升，越来越多的系统遭受网络攻击，脆弱性问题居高不下，存在大量医疗数据风险敞口。其中，分别有29.8%和28.9%的医疗单位的数据库服务、文件服务暴露在公共互联网，涉及2.1万数据资产。因此，事业机关和政府单位的员工也应纳入个人信息安全责任保险的被保险人范畴，在其执行工作职责期间，因无意操作不当或网络系统遭受攻击使得个人信息遭受泄露，面临侵权责任并对第三方赔偿时，保险公司根据保费与损失程度进行理赔。

（三）保险责任（承保范围）与责任免除

个人信息安全责任保险的主要承保范围是企事业单位以及政府机构在运行过程中，因内部员工的操作不当或系统没能及时维修所导致个人信息泄露并造成一定的损失。其一般的保险责任内容如下：

一是侵害第三人个人信息权与隐私权并造成的损失。主要有：1.财产损失。个人信息被用于非法活动而给个人造成的财产损失，如盗用身份证进行非法集资活动、冒名办信用卡及透支欠款；或因泄露而使个人遭受诈骗，个人财产权被侵害。2.精神损失。被泄露个人信息的第三人收到大量骚扰信息，干扰日常生活；或因为个人信息泄露使得名誉受损。在确定第三方的损失之后，保险人依据所确定的损失，依照合同进行理赔。

二是在第三方维权过程中与该侵权事件相关的法律诉讼费、律师费以及其他事前经保险人同意的相关费用。1.案件受理费，如第一和第二案件受理费，如有需要，还可能存在再审案件受理费；2.申请费。如申请法律的裁决和调解书等；3.当事人在诉讼过程中花费的法律文书工本费；4.在评定第三人因个人信息泄露造成的财产损失过程中，产生的评估费用；5.律师费与抗辩费若第三方诉讼成功，被保险人侵权责任成立，保险人也应该支付其基础律师费用。

为保障保险公司的利益以及可持续经营，降低道德风险，还应明确该保险的除外责任。具体表现为：1.被保险人有意泄露、贩卖与传播个人信息以获取私利的行为；2.被保险人存在恶意泄露个人信息以骗取保费的行为；3.被保险人在投保后，主观弱化信息系统维护力度、有意增加系统个人信息安全风险。出现以上情况，保险公司在被保险人出现侵害个人信息权与隐私权的侵权赔偿之时，可以拒绝向其理赔。

（四）给付方式

个人信息安全责任保险的承保责任的确定与被保险人侵权责任的构成、第三人受到损失并向被保险人索赔相关联。这两个阶段存在一定时间间隔，容易出现以下几个问题：一是在保险期间，保险人已经侵权，但第三方出现一定的损失已经不在保险期间；二是第三方出现一定的损失在保险期间、但由于法律诉讼时间过长，使得维权期间不在保险期间，即容易产生“长尾责任”。

因此，针对个人信息安全责任保险采用以索赔为基础的承保方式，即无论泄露个人信息的事故是否发生在保险有效期内，保险人只对保险期内被泄露个人信息的第三方向被保险人剔除的有效索赔负赔偿责任。

（五）保费率与赔付金额

个人信息安全责任保险的保险费应该以个人信息安全责任风险和赔付金额为基础。对于个人信息安全责任风险来说，其影响因素主要有：1.承保区域，即公司客户与内部员工的数量等信息，量越大，风险敞口越大。2.企业个人信息系统的安全程度。保险公司应该对当前公司的内部网络系统及硬件设施进行检查，了解其安全性。3.被保险人的抗风险的能力，即工作人员的职业道德与工作能力，工作能力越差，保费率也越高。4.历史数据。通过历史数据来了解被保险人的风险程度。对于赔付金额来说，赔付金额越高，保费率越大，而赔付金额主要包括根据法律诉讼判决、被保险人依法应支付给第三方的损失赔偿，以及第三方产生的诉讼费、律师费以及其他相关费用。而在司法实践中，个人由于信息泄露而造成的精神损失与名誉损失是无形的，且裁定标准受主观影响大，在损失测度上存在一定困难。因此，可以借鉴国外经验，即设定无形损害赔偿的上限。

三、中国个人信息安全责任保险发展难点

（一）个人信息安全风险损失难以评估

首先，个人信息泄露来源追溯难度大，侵权主体难以确认。一是个人信息传播途径多、范围广、频率快。不同于传统的个人信息收集方式，大数据时代下的个人信息通过移动网络以及各种智能端口被收集与传播，个人信息在何时何地被非法使用难以确定。二是存在隐蔽风险源的技术手段。一些惡意窃取个人信息的黑客，往往会隐藏其真实身份以及网络地址，甚至有些网络地址在境外。三是存在隐形获取信息的途径。在人工智能领域，很多智能端口能够隐蔽地收集个人信息，如手机的指纹与面容解锁，很多App利用算法对个人信息过度收集。因此，借助于新兴技术，侵权主体难以辨认与追溯，个人信息风险损失的确定变得更加困难。

其次，个人信息安全损失带来的非财产损失难以用货币计量。一方面，个人信息泄露与真正产生损失之间存在时间间隔，存在未来遭受到物质损失的风险。一是被侵权的自然人在其个人信息泄露后采取一定措施减少损失，防止损失进一步扩大。例如，购买一定的服务来加强个人信息保护力度。二是个人因信息泄露增加的生活成本。当个人信息泄露之后，被泄露方的生活成本有可能增加，例如信息转移费用、注销银行账户与重新开立账户发生的手续费。因此，这些因企业未履行用户个人信息维护义务而花费的费用，应当纳入个人信息泄漏风险损失中。另一方面，由于信息泄露带来的内心焦虑、情绪紧张等精神损失难以测定。例如，因个人信息泄露收到的垃圾短信和电话，因惧怕个人财产损失而产生的焦虑、恐慌等消极心态。而在当前中国的法律法案中，未明确因个人信息泄露造成的精神损害赔偿范畴。

（二）个人信息安全法律制度及维权体系不完善

在大数据时代下，尽管我国越来越重视个人信息的保护，传统的个人信息安全法律保护已经无法覆盖数字经济时代下所产生的新的法律问题，个人信息权益的法律配套措施不完善，在一定程度上给个人信息安全保护的保险机制的完善带来阻力。

一是法律条款过于宽泛，可操作性低，法律实践效果差。目前相关法律大多只停留在概念解释与行为规定，对于侵权之后个人信息安全损失的界定、侵权的严重程度的界定、具体定责等问题尚未体现在法律条文。例如，在《中华人民共和国个人信息保护法》里，仅规定了罚款金额上限，而对第三方的损害赔偿原则、金额等尚未提及。因此，个人因信息安全问题造成的财产、非财产损失难以得到应有赔偿。

二是有关个人信息的法律制度缺乏系统性。当前我国有关个人信息的法律法规对于个人信息的相关概念内容存在偏差，缺乏一致性和系统性，给法律实践带来一定的冲突。例如，在确定个人信息的主要内容之时，《民法典》对于私密信息的内容没有具体规定，而是将其使用隐私权的规定，但是《个人信息保护技术指引》提出个人敏感信息和非敏感信息两个概念，对个人敏感信息也尚未具体划分。

三是法律存在时间短，公民法律维权意识弱。关于网络个人信息安全的法律制度是近几年才颁布并推行的，由于个人维权观念的形成、法律实践的探索都需要时间沉淀，尽管当前我国法律越来越重视对个人信息的保护，但公民的法律维权意识依旧缺失，个人信息安全法律体系仍有待通过法律实践慢慢完善。

四是当前法律仍未完全覆盖大数据时代新产生的个人信息保护问题。一方面，个人信息存在被过度挖掘的风险。企业在利用大数据技术对消费者进行精准分析的时候，容易过度收集个人信息，侵犯个人信息权益。而在此过程中，如何界定企业的侵权责任、如何测定第三方的权益损失，在当前法律中尚未体现。另一方面，当前个人信息的授权模式加大了信息保护监管难度。在大数据时代下，个人信息的收集主要采用知情同意模式，即告知用户其个人信息即将被获取使用，在用户授权后信息使用者即使用其信息、对其进行精准服务。这个过程在提高信息传播效率与信息商业价值的同时，也为监管带来技术和强度要求。

（三）缺乏复合型精算人才，保险创新力差

在个人信息安全责任保险的构造与展业中，需要掌握多种技能。在测度个人信息安全风险的损失程度及概率过程中，保险人员需懂得保险精算，且此保险涉及网络信息安全与信息技术，此外，由于责任保险转移被保险人的法律责任，涉及大量的法律法规，需要有法律基础。反观当前保险人才培養机制，未能与时俱进，体系仍待完善。一是高校培养目标与保险劳动市场人才需求脱节，金融课业体系未能与从业需求有效衔接。二是高校保险课程宽泛，跨学科培养实践难度大。一些高校开设的保险专业课程所学知识广泛，但未增强专业深度，此外，跨学科的课程开设较少，难以真正培养复合型保险人才。三是企业培训内容陈旧。一些保险公司在员工培训的过程中，不注重与时俱进，培训时间短，培训系统单一。

（四）企业承保意识弱，个人信息责任保险缺乏需求基础

当前个人对个人信息安全的重视程度不断提高，但通过法律进行维权的意识仍旧较薄弱。当前存在几大途径维护公民自身个人信息安全权益：1.向消费者协会、行业协会，以及相关行政部门投诉；2.与企业沟通并自行解决；3.向法院提起诉讼；4.通过自媒体和传统媒体增加曝光度，引起社会关注来解决侵权问题。而在这些途径中，多数公民选择向消费者协会和行政部门投诉，超过三成公民在遭受到个人信息泄露后“自认倒霉”，而通过人民法院提起诉讼的比例较低。

由此可见，尽管个人信息泄露逐渐成为社会性问题，但受法律体系的缺失以及我国传统的维权思维模式的影响，我国公民较少走法律程序进行维权，且对个人信息泄漏风险及损失认识不足，重视程度仍较低，其向侵权企业进行索赔的概率较低。因此，企业通过投保个人信息安全责任风险的意愿和需求没有那么迫切。

四、发展建议

（一）完善我国个人信息安全的法律体系，提高法律操作性

首先，构建系统化、统一性的个人信息保护法律制度。统一立法模式不仅能够为个人信息权益范围提供统一标准，更进一步增强了个人信息安全法的权威性。其次，明确个人信息权益，对相关概念与惩处进一步具体化。明确个人信息标准定义和具体内容，细分个人信息侵权责任和相应赔偿范围，以此提高公民通过法律进行诉讼的成功率，扩大个人信息安全责任保险承保基础。最后，参考国际法律标准，借鉴国外对于个人信息安全法律制定的经验，在法制层面与国际接轨。中国应当结合自身国情，合理借鉴国外经验，丰富完善当前个人信息安全法律体系，为个人信息安全风险的界定、损失的衡量带来坚实的法律基础。

（二）加强行业自律，培养公民信息安全意识

互联网或信息服务行业的行业协会应当充分发挥引导作用。一是制定相应行业规范，明确企业在个人信息上的权利与义务，以及违规后的惩戒内容。二是为企业提供信息保护技术服务，控制企业泄露信息的风险。三是提高从业人员的素质，定期对其考核，检查其对于技术漏洞发现的能力，必要时对员工展开技能培训。四是应提升公民信息安全意识。加大对公民个人信息安全的宣传，定期组织政府工作人员学习个人信息安全法，政府与各个高校合作，通过学校加大教育力度。并利用媒体宣传，提高个人信息安全的普法力度，激发个人的维权意识。

（三）将个人信息安全责任保险设立为强制险

按照法律规定是否必须购买，可将责任保险分为强制险与自愿险。将个人信息安全责任保险设置为强制险，其实践效果优于自愿性保险。由于个人信息在被泄露、传播、给个人造成一定损失存在一定的时间间隔，对于当前公民来说，其个人信息保护意识较薄弱，其依法进行维权的概率相对较低，最终企业会因为保费过高而放弃投保，从而降低投保率。因此，将个人信息安全责任保险设置为强制险，更有利于保护受害者，维持社会稳定，真正发挥个人信息安全的保险机制保护效果。

（四）培养保险复合型人才

一方面，高校对金融教育数字化转型，产学研相结合。高校应该构建复合型金融人才培养目标体系，在保险本专业增加相关法律、计算机等其他相关专业的学习。与此同时，与企业、政府搭建人才资源共享平台，政府牵头，企业提出人才需求，学校根据企业需求培养专业性人才。除此之外，做好产学研相结合。加强校企合作，加强对金融科技企业的游学调研；注重保险人才与法律、数字技术人才相结合。另一方面，行业重塑保险人才引进与培育体系。对于保险企业人才引进来说，一方面，保险行业企业为金融科技、保险精算人才提供更好的就业福利，提升岗位吸引力；另一方面，提高专业性门槛，引进既懂科技、又懂保险与法律的人才。对于保险企业的人才培育来说，对新员工来说，增加法律、信息技术等从业知识的培养；对于老员工来说，与时俱进定期开展员工培训，将法律、信息技术等知识纳入员工考核体系中。

五、结语

大数据时代下，个人信息安全权是公民一项重要的权益，保险作为集散风险的重要工具，在个人信息保护、分散个人信息泄漏风险方面，能够发挥重要作用。个人信息安全风险具有不确定性、普遍性、社会性与损害性，而当前我国个人信息安全责任保险尚处于构造中，有关个人信息的保险也附属于网络保险体系，因此，对保险的承保主体、保险责任、给付方式、保费率进行规定，提出个人信息安全责任保险的构造设想，完善个人信息保护的事后补偿机制，为大数据时代个人信息安全提供金融保障。但是当前在大数据时代下，个人信息安全风险损失难以评估、法律制度及维权体系不完善、缺乏复合型精算人才，保险创新力差以及企业承保意识弱，这为险种构造带来一定难点。因此，应该从完善我国个人信息安全的法律体系、培养公民信息安全意识、设立为强制险培养保险、培养复合型人才四方面改进，为个人信息安全責任保险发挥金融保障作用创造更好的环境。

参考文献：

[1]Priest G L.The Current Insurance Crisis and Modern Tort Law[J].The Yale Law Journal，1987，96（07）.

[2]中国互联网络信息中心.第50次中国互联网络发展状况统计报告[EB/OL].（2022-08-31）[2022-11-01].http：//www.cnnic.net.cn/n4/2022/0914/c88-10226.html.

[3]中国消费者协会.App个人信息泄露情况调查报告[EB/OL].（2018-08-29）[2022-11-01].https：//www.cca.org.cn/jmxf/ detail/28180.html.

[4]张瑞纲，吴叶莹.个人信息安全责任保险制度建设研究[J].区域金融研究，2021（05）：52-60.

[5]蔡大顺.论个人信息安全责任保险的契约构造[J].南方金融，2019（02）：59-66.

[6]中华人民共和国最高人民检察院.法治护航，共筑个人信息“安全堤”[EB/OL].（2022-08-26）[2022-11-01].https：//www.spp.gov.cn/zdgz/202208/t20220826_

575039.shtml

[7]程合红.商事人格权—人格权的经济利益内涵及其实现与保护[M].北京：中国人民大学出版社，2002.

[8]刘俊海.现代公司法（第三版）[M].北京：法律出版社，2015.

[9]中国通信院（CAICT）.2020数字医疗：疫情防控期间网络安全风险研究报告.[EB/OL].（2020-03）[2022-11-01].http：//www.caict.ac.cn/.

[10]唐金成.现代保险学[M].长沙：中南大学出版社，2001.

＊基金项目：2021年广西壮族自治区大学生创新创业项目“责任保险机制应对个人信息泄露的事后补偿——以个人信息安全责任保险构造为视角”（20210100262）。

（作者单位：广西大学）