车险续保季,不少人反映频繁接到保险公司的陌生推销电话,对方甚至能准确说出个人信息。有媒体调查发现,部分保险中介机构的用户注册协议或隐私协议中存在“授权将联系方式及间接用户画像用于‘合作伙伴产品推荐’”等侵权条款。
保险行业属于“个人信息密集型行业”,涉及数据要素多、保护链条长、风险点分散。相关经营主体掌握着生物识别、金融账户、家庭关系、财产状况、就医健康等敏感个人信息。相关企业不能借“行业惯例”之名倒卖用户信息。铺天盖地的营销信息,不仅会干扰用户正常生活、引起反感、丢失潜在客户,也会引发公众对信息安全的质疑,损害整个行业的公信力。
依据《中华人民共和国个人信息保护法》第六条规定,收集和处理个人信息都应遵循“最小必要”原则,即限于实现处理目的的最小范围。此外,为确保互联网保险销售行为的可追溯性,防止销售误导,原银保监会于2020年发布《关于规范互联网保险销售行为可回溯管理的通知》,要求保险机构记录“投保人在销售页面上的操作轨迹”。但某些机构却将其扩大为收集浏览历史、点赞记录等无关数据。将满足监管的必要收集与商业目的的信息收集混为一谈,有误导消费者,过度收集信息之嫌。
此类“沉默式”侵权条款往往隐藏在复杂的协议文本之中,往往伴随“协议内容想看又看不懂”“默认一次同意、终身授权”“不愿接受却不得不接受”等问题,导致出现“知情—同意”的适用困境。
较高的阅读成本和理解门槛,很可能让用户在无准确认识的情况下,同意了服务提供者基于商业利益而进行的个人信息收集,倘若用户阅读后不同意协议,又需要承担包括无法使用在内的潜在后果。有人辩称,这是“市场行为”,不过是商家和消费者的双向选择。但仔细想想,规定看似合理,实则蛮横,一定程度上限制了用户的自主选择权。更令人担忧的是,即使保险中介机构提供“退订”选项,也仅是不再发送相关短信,而相关的个人信息收集行为仍在继续。
尽管近年来我国形成了由《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》构成数据合规顶层法律框架,开展了各类违法违规收集使用个人信息专项治理行动,百姓的个人信息保护意识也在不断提高,但个人信息违规收集现象屡禁不止。背后除了利益方对合规成本与违规收益的考量,也有“最小必要”原则模糊、数据流转黑箱化、技术滥用隐蔽等因素。因此,要治理个人信息的过度获取和不当使用,单靠用户的“火眼金睛”或企业的“道德自觉”远远不够,还得细化场景规则,做到有效告知,提高违规成本,建立刚性约束。(苏群超)