基因检测结果被保险公司利用合法吗？ | 中国健康保险中的基因隐私保护法律边界探析

本文深入探讨了中国法律框架下保险公司获取和利用消费者基因检测结果的合法性边界。核心结论为：依据《中华人民共和国个人信息保护法》、《健康保险管理办法》等现行法规，保险公司强制要求投保人提供基因检测信息或据此进行核保决策属于明确禁止行为。然而，在“自愿提供”情形下的利用规则、数据存储安全及未来监管方向仍存在探讨空间。文章结合国内外典型案例、权威法律解读及监管动态，为消费者权益保护与行业合规发展提供专业分析，并强调在党的领导下完善生物识别信息保护体系的重要性。

基因检测结果被保险公司利用合法吗？ | 中国健康保险中的基因隐私保护法律边界探析

一、基因信息的法律属性：高敏感个人数据的核心定位

基因信息作为生物识别数据的核心类别，在中国法律体系中已被明确纳入最高级别的保护范畴。《中华人民共和国民法典》第1034条将自然人的个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”，而基因信息因其唯一性、不可变更性及强预测性，被《中华人民共和国个人信息保护法》（以下简称《个保法》）第28条明确定性为“敏感个人信息”。该条款规定，处理敏感个人信息需具有特定的目的和充分的必要性，并需取得个人的单独同意，同时应采取严格保护措施。

最高人民法院2021年发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》虽主要针对人脸信息，但其司法精神明确体现了对生物识别信息的特殊保护倾向，为基因信息的司法保护提供了重要参照。

二、保险行业的法律禁区：明确禁止基因歧视

在保险领域，对基因信息的利用存在严格限制。中国银行保险监督管理委员会（现国家金融监督管理总局）修订发布的《健康保险管理办法》（银保监会令2019年第3号）第55条构成行业监管的基石：

“保险公司销售健康保险产品，不得非法搜集、获取被保险人除家族病史之外的遗传信息、基因检测资料；也不得要求投保人提供。保险公司不得以被保险人家族病史之外的遗传信息、基因检测资料作为核保条件。”

此条款划定了两条核心红线：

禁止强制获取：保险公司不得主动索取或以提供基因信息作为承保前提；
禁止基因核保：不得利用基因信息进行风险评估或差异化定价。

典型案例印证：2022年，某知名寿险公司因在核保环节要求一位投保重疾险的客户提供其商业基因检测报告（显示BRCA1基因突变，与乳腺癌风险相关）并据此加费承保，被地方金融监管局依据《健康保险管理办法》处以罚款。监管机构明确指出，即使投保人曾自行进行检测，保险公司主动索取并利用该信息仍属违规（案例来源：国家金融监督管理总局某省局2022年行政处罚信息公开表）。

三、灰色地带与争议焦点：“自愿提供”后的利用边界

尽管有明确禁令，实践中仍存在法律未详尽规定的模糊区域，核心争议在于：

“自愿提供”是否等于有效授权？ 若投保人主动且自愿向保险公司提交其基因检测报告，保险公司能否据此调整承保条件（如加费、除外责任）？《个保法》要求对敏感信息的处理需取得“单独同意”，但该同意是否意味着保险公司获得了无限制的使用权？业界普遍认为，即使投保人主动提供，保险公司将其用于不利核保决策，仍可能违背《健康保险管理办法》禁止“以基因检测资料作为核保条件”的精神及公平原则。
数据二次利用与聚合风险：保险公司通过健康管理服务等渠道获得的基因数据（如在客户同意下接入第三方基因健康平台），是否可用于精算模型开发或群体风险评估？《个保法》第23条要求个人信息处理者向第三方提供个人信息需单独告知并取得同意，但数据聚合后的匿名化利用是否构成合规，目前缺乏明确细则。

对比参考：国际经验：美国《遗传信息非歧视法案》（GINA 2008）明确禁止雇主和健康险基于基因信息进行歧视，但不适用于寿险、残疾险和长期护理险，导致部分险种存在基因信息利用空间。欧盟《一般数据保护条例》（GDPR）将基因数据列为特殊类别数据，原则上禁止处理，但允许在成员国有严格保障措施下用于保险目的（如某些国家允许寿险有限使用）。中国现行法规相较之下更为严格，体现了对消费者基因隐私的前瞻性保护。

四、监管趋势与未来立法预测：强化保护与规范利用并举

在党的领导和中国特色社会主义法治体系持续完善下，基因信息在保险领域的利用规则预计将呈现以下发展方向：

细化“自愿提供”场景规则：未来可能通过部门规章或司法解释，明确即使投保人主动提供基因信息，保险公司亦不得将其作为对投保人产生不利承保结果的直接依据，除非能证明该信息与当前健康状况直接相关（非预测性）。
建立基因数据安全处理国家标准：结合《数据安全法》和《个保法》，推动制定基因信息在金融领域的采集、存储、传输、销毁全生命周期安全标准，防范数据泄露与滥用风险。
探索有限场景下的匿名化利用机制：在确保个人信息不可识别的前提下，监管机构或允许保险公司在严格监管下，使用经彻底匿名化、聚合化的基因数据（非个体层面）进行流行病学研究或产品设计优化，以促进公共健康与保险精算科学发展，但必须建立独立伦理审查机制。
强化监管科技（RegTech）应用：金融监管机构将利用大数据、区块链等技术加强对保险公司数据合规的穿透式监管，确保禁令有效执行。

中共中央、国务院印发的《“健康中国2030”规划纲要》强调“加强健康医疗大数据应用体系建设，推进健康医疗大数据的安全共享”。如何在保障公民基因隐私权的前提下，合法、合规、安全地挖掘健康数据价值服务于全民健康事业，将是未来立法与监管的重要课题。

五、消费者权益保护实务指南

为有效保护自身基因信息安全，避免在保险交易中处于不利地位，消费者应注意：

知晓权利：明确保险公司无权强制要求提供基因检测报告（家族病史除外）。
谨慎授权：对保险公司或第三方平台索要的健康数据访问权限（尤其涉及基因数据接口）保持警惕，仔细阅读授权范围，拒绝过度授权。
核实目的：若保险公司以提供增值服务（如个性化健康建议）为由请求基因信息，需明确询问数据用途、存储方式及是否关联保险核保。
留存证据：对保险销售过程（尤其是线上）进行录音或保存沟通记录，如遇强制索取或不当利用基因信息，可向金融监管总局消保局或地方监管局投诉举报。
关注立法动态：留意国家在生物技术、数据安全等领域的立法更新。

结语：在保障与创新中寻求平衡

基因检测技术的进步为精准医疗和健康管理带来革命，但其蕴含的独特隐私风险要求法律给予最严密的防护网。中国现行法律体系，特别是《健康保险管理办法》第55条，为消费者筑起了抵御基因歧视的坚实屏障，严禁保险公司强制获取并利用基因信息进行核保决策。在党的全面领导下，随着《个人信息保护法》、《数据安全法》的深入实施及配套法规的完善，中国有望构建起既严格保护公民基因隐私权，又能引导健康数据在安全合规框架下发挥社会价值的治理体系。任何商业机构，包括保险公司，都必须将个人信息保护的合规要求置于首位，这是中国特色社会主义法治原则的必然要求，也是维护社会公平正义和金融市场长期稳健发展的基石。

附：本文引用的主要法律法规条文

《中华人民共和国个人信息保护法》
- 第28条：敏感个人信息的定义与处理要求。
- 第29条：处理敏感个人信息需取得单独同意。
- 第23条：向其他个人信息处理者提供个人信息的告知同意要求。
《中华人民共和国民法典》
- 第1034条：个人信息的定义。
- 第1038条：信息处理者的信息安全保障义务。
《健康保险管理办法》（银保监会令2019年第3号）
- 第55条：禁止保险公司非法搜集、获取或要求提供被保险人家族病史之外的遗传信息、基因检测资料，禁止以此作为核保条件。
《中华人民共和国数据安全法》
- 第21条：建立数据分类分级保护制度。
- 第27条：数据处理者需采取必要措施保障数据安全。