“天天都有保险推销电话，严重影响正常生活！”南方都市报、南都大数据研究院监测发现，近期不少网民在社交平台上反映密集收到保险推销电话和营销短信，怀疑个人信息被泄露。

怀疑不无道理。南都调查发现，部分保险中介机构在其网站或APP的用户协议中写着会通过用户提供的联系方式推荐合作伙伴产品，更有机构如“投保排排网”提出将收集个人上网记录等大量与投保无关的个人信息。律师分析认为，上述机构将法律规定下的信息收集，与为了商业利益的信息收集混为一谈，涉嫌侵犯消费者个人信息权益。

用户“被同意”第三方营销推送

社交平台上，不少网民反映保险推销电话对个人正常生活造成影响。例如，有网民称车险临近续保时，频繁接到多家保险公司的推销电话，甚至同一家公司有多个业务员同时推销；也有网民反映业务员更换多个不同的电话号码向其推销产品，不堪其扰；还有网民称即使明确告知不续保，仍然接到大量推销电话。网民质疑，自己没有购买过该保险公司的保险，来电推销的业务员却能准确说出自己的个人信息；或者只是误点击过某保险广告的网页，却很快接到相关推销电话。

不少网民反映保险推销电话对个人正常生活造成影响。

保险公司掌握的信息为何如此精准？

南都大数据研究院近期调查发现，部分保险中介机构的用户协议就藏着陷阱。以“投保排排网”为例，其要求用户注册、在该平台购买保险产品时先同意《隐私保护政策》。但该协议提出的个人信息用途中，包括“根据您所表明的营销偏好，向您提供营销信息（包括与所选第三方合作伙伴提供的其他产品和服务有关的信息）。通过使用收集的信息，我们会得以向您提供定制内容。”

“保通保险代理”在其《隐私政策》也写着：“与我们有合作关系的保险公司、保险代理人或其他第三方合作伙伴可能会利用您提供的联系方式信息及我们平台上的间接画像信息,通过我们平台的坐席向您推荐您可能感兴趣的保险等产品或服务。”

大童保险旗下的“童管家”也在《用户协议》中要求用户接收平台发送的营销短信等内容。

这些都意味着，一旦用户在该机构注册投保，便打包同意了相关条款，机构得以推送第三方的营销内容，甚至与第三方共享用户信息。

“童管家”称营销信息不可拒收

对于上述条款，南都研究员尝试以投保人身份分别向相关保险中介机构了解情况。但“投保排排网”的咨询电话经多次拨打均无人接听，其微信客服也未回复有关咨询。“童管家”客服回复称，该平台的营销短信与投保通知短信使用同一渠道下发，因此用户不可拒收营销信息。“保通保险代理”客服则表示，若用户拒绝接收营销电话和短信，可向客服提出屏蔽要求。

“童管家”在《用户协议》中将营销短信、活动通知、服务进度通知、保险信息通知等均列为“重要信息”。

泰和泰（深圳）律师事务所洪瑞成律师分析认为，有关条款涉嫌侵犯投保人个人信息权益。他指出，用户协议通常篇幅较长、内容复杂，普通人很难仔细阅读并理解其中的条款，投保人很可能在无准确认识的情况下同意了保险中介机构基于商业利益而进行的个人信息收集。而且，考虑到投保人在注册或使用服务时，往往只能选择同意用户协议，否则无法享受服务，机构这种做法在一定程度上限制了投保人的自主选择权。更值得关注的是，即使保险中介机构提供“退订”选项，结果仅是不再发送相关短信，相关的个人信息收集行为可能仍在继续。

“投保排排网”要求收集用户上网记录

南都研究员还发现，部分保险中介机构提出的个人信息收集清单明显违背个人信息处理的“最小必要”原则。

如“投保排排网”在其《隐私保护政策》提出的个人信息收集清单声称，为了遵守互联网保险销售行为可回溯管理的相关法律法规及监管要求，将收集用户的个人上网记录（包含搜索记录、浏览记录、点击记录、点赞/收藏/评论记录、其他网络操作行为数据），并进行统计分析。

“投保排排网”在《隐私保护政策》中要求收集用户个人上网记录。

然而，南都研究员检索发现，原中国银保监会于2020年发布的《关于规范互联网保险销售行为可回溯管理的通知》并未提出收集个人上网记录。据该通知：“保险机构应当将投保人、被保险人在销售页面上的操作轨迹予以记录和保存，操作轨迹应当包含投保人进入和离开销售页面的时点、投保人和被保险人填写或点选销售页面中的相关内容及时间等”；“保险机构开展互联网保险销售行为可回溯时，收集、使用消费者信息应当遵循合法、正当、必要的原则，不得收集与其销售产品无关的消费者信息”。

对此，广东广信君达律师事务所高级合伙人闪涛律师指出，相关监管要求的核心目的是确保互联网保险销售行为的可追溯性，防止销售误导。而保险中介机构将“记录操作轨迹”扩大解释为“收集用户个人上网记录”，已超出监管要求的必要范围。

洪瑞成律师认为，有关保险中介机构的说法，试图将为了满足法律规定的信息收集，与为了商业利益的信息收集混为一谈，容易让消费者误以为这些信息是基于法律要求收集的，使得其偏好信息被保险中介机构收集。

监管部门持续打击违规行为

监管部门近年一直在打击金融机构侵害个人信息权益行为。2024年3月，国家金融监督管理总局下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》。该通报指出，监管部门全面深入检视了银行保险机构个人信息处理工作各类流程，在个人信息处理具体执行层面发现大量问题或隐患；银行保险机构在个人信息收集方面“存在强制同意、扩大授权、笼统授权等问题”，并举例某保险公司短期健康险投保单在格式化的业务申请表中加入预设的不合理授权条款，强制消费者同意将其信息提供给外部机构，并用于与其所办理业务无关的用途。

2024年12月，《银行保险机构数据安全管理办法》发布，明确银行保险机构处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，收集个人信息应当限于实现金融业务处理目的的最小范围，不得过度收集个人信息。

闪涛律师强调，我国《个人信息保护法》明确，处理个人信息需与处理目的直接相关且采取对个人权益影响最小的方式。银行保险机构在处理个人信息时，还需遵循更严格的行业监管要求，包括在隐私政策中清晰区分“必要信息”与“可选信息”，明确合作机构的客户信息保护义务，未经同意不得将信息用于服务外用途等。

在洪瑞成律师看来，个人信息的收集与利用，涉及商业利益、技术能力和监管效能的多重博弈。比如用户协议提出的信息收集范围较小，可能导致一些功能的实现得重新征询消费者的同意，使产品或服务的竞争力在市场上有所削减。未来要切实做到数据保护和信息安全，除了从严监管、完善规则，还需要提升技术能力、培育合规文化，多方面协同发力，兼顾行业发展及个人信息保护的需要，实现数据价值和用户权益的平衡。

采写：南都研究员 李伟锋 实习生 陈金婷 朱恺熙