（案例）

     2018年，张女士通过互联网购买了某保险公司的一份重疾险，2022年1月，张女士被确诊为甲状腺癌，张女士据此向该保险公司申请重疾理赔，在申请理赔的过程中该保险公司要求张女士签署一份授权书，授权保险公司调取其个人医疗信息，张女士拒绝授权。后，保险公司依然通过张女士的医保卡信息，调取到张女士在投保前患有甲状腺结节，但是在投保时却未如实告知，故保险公司以未如实告知为由拒赔了张女士的理赔申请并解除保险合同。

   张女士对此表示非常不满，认为保险公司的行为侵犯其个人隐私，属于违法行为。那么，在没有取得个人授权的情况下，保险公司调取个人医疗信息，是否构成违法？

（律师分析）

在实践中，对于重疾险、医疗险，保险公司接到客户理赔申请后，通常会派调查员或者第三方机构向被保险人所在地区的医院、诊所、体检机构、社保机构等调取被保险人的病史信息，主要是为了防止未如实告知、带病投保的情况，大体目的乃是获得拒赔、少赔的线索。

这种信息收集的合法性从何而来呢？通常，是在投保单或者理赔申请书中，包含了同意

保险公司调取个人信息的授权条款。

例如投保人或者被保险人在投保单中有这样的签字，授权保险公司向有关医疗、体检机构调取被保险人的门诊以及治疗信息等等。

但是，2021年11月1日，《中华人民共和国个人信息保护法》生效实施。要求对于使用个人信息需以个人充分知情为前提，进而自愿、明确地作出同意的意思表示。

更为重要的是，《个人信息保护法》的第二十八条，将“医疗健康”信息列为敏感个人信息范围。同时，在第二十九条规定，“处理敏感个人信息应当取得个人的单独同意”。

也就是说，《个人信息保护法》出台后，保险公司调取客户的医疗信息、既往病史属于敏感个人信息，必须取得个人“单独同意”。

但是什么样的同意才符合“单独同意”？目前，《个人信息保护法》对于“单独同意”的外在表现形式还没有明确。

不过，按语义理解，“单独”应与“共同”相对，因此“单独同意”应当起码存在两个层面的理解。

首先必须是被保险人本人的同意，而不能是投保人代为同意。现在很多投保单上，特别是互联网保险投保单上，并没有被保险人的签字，而是投保人代为签字同意授权保险公司去调查被保险人的医疗信息，这个不行，必须是由被保险人本人单独做出意思表示，同意授权保险公司去调取本人的医疗信息。

其次，所谓单独同意，意味着该同意仅针对一个单独事项，即医疗信息调取问题，而不能和其他事项混在一起处理。必须能够充分保证个人对上述特殊处理行为的知情权和选择权。

综上所述，我们认为“单独同意”必须满足四个条件：自愿、充分知情、单独、明确。保险公司在调取个人医疗信息等敏感信息时也必须遵守这四个条件。

其一、被保险人必须是自愿同意保险公司调取个人信息，而不是被迫同意。故，我们建议保险公司可以提供多种方式供被保险人选择，而不是仅提供一种方式。

其二、被保险人必须充分知情。知情应包含两层含义，一是清楚明确的知道授权内容和范围，二是对于授权后对于个人权益的影响也是充分知情的。

其三、单独则要求授权条款是独立的，不能与投保单、理赔申请书等其他协议混在一起处理。

其四、“明确”则要求被保险人主动勾选或者手写同意等方式以保证被保险人是明确同意的。

显然，之前保险公司在投保单中要求投保人、被保险人概括性授权保险公司调取个人医疗健康的信息方式，就不符合“单独同意”的四个条件。在《个人信息保护法》实施之后，保险公司要调取个人病史的，必须要重新获得个人单独的同意，否则属于违反《个人信息保护法》。

如果保险公司违反《个人信息保护法》，会面临什么后果呢？

 《个人信息保护法》第六十六条规定，“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

  有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”

根据《个人信息保护法》所规定的处罚措施，公司一旦违反相关规定，对企业罚款最高可至人民币5000万元或上一年度营业额5%、对个人罚款最高可至人民币100万元的巨额罚款并可能禁止其在一定期限内担任企业高管，以及企业关停、证照吊销的严重违法后果。

案例中保险公司在没有个人单独同意的情况下，私自调取个人医疗信息，显然已经违反了《个人信息保护法》，可能面临相关处罚。

个人信息保护时代已经来临，基于保险业在经营过程中对于个人信息的依赖性以及保险产品的特殊性，保险公司应尽早意识到个人信息保护的重要性和影响，严格遵守《个人信息保护法》的规定，将个人信息保护规范的要求融入到互联网保险产品的开发及销售、理赔等业务阶段。

郭玉涛律师   李婷律师