车险续保季，不少人反映频繁接到保险公司的陌生推销电话，对方甚至能准确说出个人信息。有媒体调查发现，部分保险中介机构的用户注册协议或隐私协议中存在“授权将联系方式及间接用户画像用于‘合作伙伴产品推荐’”等侵权条款。

保险行业属于“个人信息密集型行业”，涉及数据要素多、保护链条长、风险点分散。相关经营主体掌握着生物识别、金融账户、家庭关系、财产状况、就医健康等敏感个人信息。相关企业不能借“行业惯例”之名倒卖用户信息。铺天盖地的营销信息，不仅会干扰用户正常生活、引起反感、丢失潜在客户，也会引发公众对信息安全的质疑，损害整个行业的公信力。

依据《中华人民共和国个人信息保护法》第六条规定，收集和处理个人信息都应遵循“最小必要”原则，即限于实现处理目的的最小范围。此外，为确保互联网保险销售行为的可追溯性，防止销售误导，原银保监会于2020年发布《关于规范互联网保险销售行为可回溯管理的通知》，要求保险机构记录“投保人在销售页面上的操作轨迹”。但某些机构却将其扩大为收集浏览历史、点赞记录等无关数据。将满足监管的必要收集与商业目的的信息收集混为一谈，有误导消费者，过度收集信息之嫌。

此类“沉默式”侵权条款往往隐藏在复杂的协议文本之中，往往伴随“协议内容想看又看不懂”“默认一次同意、终身授权”“不愿接受却不得不接受”等问题，导致出现“知情—同意”的适用困境。

较高的阅读成本和理解门槛，很可能让用户在无准确认识的情况下，同意了服务提供者基于商业利益而进行的个人信息收集，倘若用户阅读后不同意协议，又需要承担包括无法使用在内的潜在后果。有人辩称，这是“市场行为”，不过是商家和消费者的双向选择。但仔细想想，规定看似合理，实则蛮横，一定程度上限制了用户的自主选择权。更令人担忧的是，即使保险中介机构提供“退订”选项，也仅是不再发送相关短信，而相关的个人信息收集行为仍在继续。

尽管近年来我国形成了由《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》构成数据合规顶层法律框架，开展了各类违法违规收集使用个人信息专项治理行动，百姓的个人信息保护意识也在不断提高，但个人信息违规收集现象屡禁不止。背后除了利益方对合规成本与违规收益的考量，也有“最小必要”原则模糊、数据流转黑箱化、技术滥用隐蔽等因素。因此，要治理个人信息的过度获取和不当使用，单靠用户的“火眼金睛”或企业的“道德自觉”远远不够，还得细化场景规则，做到有效告知，提高违规成本，建立刚性约束。（苏群超）