行业现状与问题 - 保险行业属于个人信息密集型行业，涉及生物识别、金融账户、家庭关系、财产状况、就医健康等敏感个人信息，数据要素多、保护链条长、风险点分散[3] - 部分保险中介机构的用户注册或隐私协议中存在侵权条款，例如授权将联系方式及间接用户画像用于“合作伙伴产品推荐”[1] - 车险即将到期时，车主频繁接到能准确说出个人信息的保险公司陌生推销电话，表明个人信息泄露及滥用问题在行业内存在[1] 违规行为与侵权方式 - 相关企业存在借“行业惯例”之名倒卖用户信息的现象[3] - 某些机构将监管要求的“销售页面操作轨迹”记录，扩大为收集浏览历史、点赞记录等无关数据，将满足监管的必要收集与商业目的的信息收集混为一谈[3] - “沉默式”侵权条款隐藏在复杂的协议文本中，较高的阅读成本和理解门槛使用户可能在无准确认识的情况下，同意了超出“最小必要”原则的信息收集[3] 监管要求与法律框架 - 个人信息保护法规定，收集和处理个人信息应遵循“最小必要”原则，即限于实现处理目的的最小范围[3] - 原银保监会于2020年发布《关于规范互联网保险销售行为可回溯管理的通知》，要求保险机构记录“投保人在销售页面上的操作轨迹”以确保可追溯性并防止销售误导[3] - 我国已形成由网络安全法、数据安全法、个人信息保护法构成的数据合规顶层法律框架，并开展了各类违法违规收集使用个人信息专项治理行动[4] 问题根源与治理挑战 - 个人信息违规收集现象屡禁不止，背后涉及利益方对合规成本与违规收益的考量[4] - “最小必要”原则相对模糊、数据流转黑箱化、技术滥用隐蔽等因素增加了治理难度[4] - 铺天盖地的营销信息不仅打扰用户、引起反感、丢失潜在客户，也会引发公众对信息安全质疑，损害整个行业的公信力[3] 治理建议与方向 - 治理个人信息的过度获取和不当使用，单靠用户的“火眼金睛”或企业的“道德自觉”远远不够[4] - 需要细化场景规则，做到有效告知，提高违规成本，建立刚性约束[4]