杜樂其,李煥勃

(江蘇大學 法學院,江蘇 鎮(zhèn)江 212001)

一、問題的提出

隨著互聯(lián)網(wǎng)信息技術的高速發(fā)展,計算機網(wǎng)絡所具有的強大信息處理能力使網(wǎng)絡社會中個人信息的收集與交換出現(xiàn)了爆炸性增長的趨勢,現(xiàn)代社會已經(jīng)進入信息和大數(shù)據(jù)時代[1]。海量個人信息蘊含著巨大的商業(yè)價值,在利益驅(qū)動下,收集、交易、盜竊等非法個人信息處理活動層出不窮,使得個人信息權益被侵害的風險飆升。一旦侵害風險變?yōu)楝F(xiàn)實,則權利人必將遭受損害。

當個人信息權益被侵害時,《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第69條即成為個人信息主體主張侵權責任的直接請求權基礎。根據(jù)該條規(guī)定,處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償?shù)惹謾嘭熑?其中,損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定,個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據(jù)實際情況確定賠償數(shù)額。在規(guī)范構(gòu)造上,侵害個人信息的行為是否造成損害,成為信息主體主張侵權責任的前提要件之一。從個人信息權益在規(guī)范體系中的位置來看,其被置于《中華人民共和國民法典》(以下簡稱《民法典》)人格權編之中,因此在解釋論上,《個人信息保護法》第69條中的損害應包括財產(chǎn)損害與非財產(chǎn)損害。針對財產(chǎn)損害,個人信息主體可基于第69條主張并計算損害賠償;而對非財產(chǎn)損害,則只有具備《民法典》第1183條規(guī)定的嚴重精神損害要件,才可主張精神損害賠償。但從侵害個人信息權益司法實踐來看,信息處理者違法處理個人信息的行為,或許并未產(chǎn)生即時實際財產(chǎn)損害,更遑論嚴重精神損害。司法實踐中,個人信息侵權幾乎不存在財產(chǎn)損害。例如,在孫長寶訴北京百度網(wǎng)訊科技有限公司案中,被告僅向原告賠付了1元人民幣的經(jīng)濟損失參見北京互聯(lián)網(wǎng)法院(2019)京0491民初10989號民事判決書。,這顯然與原告所遭受的損害不等值,且很難對被告的侵權行為產(chǎn)生威懾效果。此外,在大量司法實踐中,法院常以信息主體沒有遭受現(xiàn)實的損害為由駁回訴訟請求,學界對此也頗有爭議[2]。但是,不可否認的是,基于信息客體的無形性,雖然侵害個人信息并不必然產(chǎn)生即時實際財產(chǎn)損害,但仍存在被非法利用以實現(xiàn)其商業(yè)價值的風險;同時,即便侵害個人信息行為并未產(chǎn)生嚴重的精神損害,但也會存在非嚴重精神損害。在此情形下,存有疑問的是,損害風險與非嚴重精神損害,是否可被涵攝于傳統(tǒng)“損害”范疇之中?若答案是否定的,則在大量個人信息權益被侵害的事實面前,保護個人信息權益的規(guī)范意旨恐將落空;若答案是肯定的,則進一步的問題是,此類損害如何經(jīng)由解釋學路徑融入“損害”概念體系之中?侵權人承擔的損害賠償責任該如何確定?

以前述問題為邏輯起點與歸宿,本文的寫作思路如下。首先,梳理理論與實務界有關個人信息侵權損害界定的學術爭議與實務闡釋,以凸顯本文研究的必要性;其次,在廓清數(shù)字經(jīng)濟時代“損害”概念及其范疇擴張之理論基礎上,經(jīng)由解釋學進路討論風險損害和非嚴重精神損害融入“損害”體系的可能;最后,嘗試提出解決路徑,以應對損害擴張對傳統(tǒng)民法賠償責任帶來的挑戰(zhàn),消弭損害擴張的理論證明與實踐操作之間的鴻溝。本文相信,對前述問題的圓滿回答,必然有助于探尋傳統(tǒng)法律因應數(shù)字經(jīng)濟時代的可能路徑,以維系法律的安定性與包容性。

二、私法視域中“損害”的經(jīng)典解釋及其局限

(一)傳統(tǒng)私法中“損害”的類型與認定

在傳統(tǒng)侵權邏輯中,“損害”是侵權責任認定不可或缺的一部分,是認定侵權責任與進行損害賠償?shù)那疤嵝砸！睹穹ǖ洹返?165條第1款規(guī)定:“行為人因過錯侵害他人民事權益造成損害的,應當承擔侵權責任?！痹摋l文與已被廢止的《中華人民共和國侵權責任法》的內(nèi)容相比,增加了損害這一前提性要件。這為司法實踐中認定侵權責任的構(gòu)成提供了指引,補充了侵權責任構(gòu)成要件的完整性[3]。

傳統(tǒng)私法根據(jù)損害的性質(zhì),在學理上將其分為財產(chǎn)上損害及非財產(chǎn)上損害,但無論何種損害,均以恢復原狀為其首要救濟規(guī)則。財產(chǎn)上損害在無法恢復原狀時可請求金錢賠償,但非財產(chǎn)上損害則需要有法律上特別規(guī)定才可請求相當金額的賠償[4]。例如,在我國臺灣地區(qū)針對非財產(chǎn)損害的相關規(guī)定中,僅允許有限的例外情形可以請求賠償,只有人格權、生命權受到不法侵害及解除婚約時產(chǎn)生的非財產(chǎn)上損害可獲準許,其余情形均須由法院審定[5]。隨著現(xiàn)代社會的發(fā)展,筆者認為非財產(chǎn)上損害的金錢賠償請求權基礎也應得到相應的擴大。

在我國現(xiàn)有立法中,并沒有法律規(guī)范從正面對損害的概念進行界定。在學界內(nèi)關于損害的本質(zhì)這一問題上,存在著差額說和組織說兩種學說,其中差額說是學界公認的主流學說。差額說認為,損害是指在侵權行為沒有發(fā)生的假想情況下原告本應當享有的利益狀態(tài)(被減數(shù))和在侵權行為已經(jīng)發(fā)生的情況下原告實際上享有的利益狀態(tài)(減數(shù))之差額[4]。該學說得到了學界的廣泛認同,并且在財產(chǎn)損害與非財產(chǎn)損害的實務上得到了認可與應用。有學者認為,構(gòu)成損害需要滿足合法民事權益被侵害、損害具有可補救性、損害具有確定性三個條件[2]。而筆者認為,“確定性”是傳統(tǒng)侵權邏輯下認定損害的核心要素,因為認定損害應當是已經(jīng)發(fā)生了的事實或者是有充足的證據(jù)證明損害即將發(fā)生,而不是無根據(jù)的、捕風捉影的主觀臆測。

確定性標準不僅只有大陸法系適用,英美法系國家同樣適用。例如,美國聯(lián)邦憲法規(guī)定:具有起訴資格的基本要求為遭受到了“事實上的損害”、損害與被告的行為有因果關系,以及該損害有司法程序上的可救濟性(1)U.S.Const.art.III,§2cl.1.。對“事實上的損害”進行認定的重要性不言而喻,而這和大陸法系下?lián)p害“確定性”的認定是相通的。例如,在Lujan.v.Defenders of Wildlife案中,聯(lián)邦最高法院斯卡利亞大法官認為原告并沒有證明其遭受足夠迫在眉睫的損害,不符合確定性標準,不具有起訴資格Lujan.v.Defenders of Wildlife,112 S.Ct.2130(1997).。在Owner-Operator Independent Drivers Association Inc.v.United States Department of Transportation案中,縱使原告認為被告行為導致的信息不準確對其造成了損害,但原告沒有證明足以支持其訴訟資格的損害存在,并未進一步解釋這些違法行為如何引起或可能引起損害,故哥倫比亞特區(qū)聯(lián)邦地區(qū)法院駁回了原告的訴訟請求Owner-Operator Independent Drivers Association Inc v United States Department of Transportation, 211 F.Supp.3d 252(2018).。據(jù)此我們可以得出,在認定個人信息侵權損害時,仍應沿用“確定性”標準,但是由于個人信息在大數(shù)據(jù)時代傳播的透明性與特殊性,其損害的確定性往往難以認定。

(二)損害經(jīng)典解釋與個人信息損害間的齟齬

上文提到,差額說不僅得到了學界的廣泛認同,而且在財產(chǎn)損害與非財產(chǎn)損害領域得到了認可與應用。而本文所研究的個人信息侵權中的損害是否可以參照差額說予以界定?該學說的適用前提是已經(jīng)發(fā)生了可以估值的實際損害,所以根據(jù)確定性標準,損害風險與非嚴重精神損害很難適用該學說進行損害認定。此外,在損害類型、特征及責任適用上,個人信息屬性仍和傳統(tǒng)損害概念存在不匹配性。

1.個人信息屬性與傳統(tǒng)損害類型間的不匹配性

有學者認為,個人信息所保護的法益具有公私法融合的屬性,即個人信息所保護的法益可能是個體的自主利益,但同時也可以成為一種具有社會價值的公益。例如,從比較法上看,歐盟更注重突出個人信息法益的公法屬性[6]。這在一定程度上決定了個人信息侵權的損害救濟也呈現(xiàn)了公私法融合的趨勢。在個人信息違約的案件中,原告很難證明其受到了實際的具體的傷害,大多數(shù)原告僅能證明其面臨著未來風險或遭受著非嚴重性的精神損害。此類新型的損害和傳統(tǒng)私法上損害,即無論是需要證明實際損害存在的財產(chǎn)損害,還是需要有法律規(guī)定特別情形的非財產(chǎn)損害,都是不匹配的。此外,從我國《個人信息保護法》所規(guī)定的救濟方式呈現(xiàn)多元化的趨向來看[7],個體訴訟、舉報和公益訴訟等多種救濟方式呈現(xiàn)了公私法相融合的特點,也與傳統(tǒng)損害類型適用的賠禮道歉、恢復原狀等純私力救濟方式是不匹配的。

2.個人信息屬性與傳統(tǒng)損害特征間的不匹配性

個人信息權益是消極性、抵御性的人格法益。在大數(shù)據(jù)時代,為了維持正常的生活秩序,個人信息無時無刻不在被收集、整理、存儲、轉(zhuǎn)讓與利用。當前立法賦予自然人對個人信息的權益,筆者認為是自然人對其個人信息被他人收集、存儲、轉(zhuǎn)讓、整理與使用的過程中可以自主決定的利益,具體可以分為有權知悉使用目的、有權同意與拒絕、有權要求改正錯漏等權益。由于個人信息被轉(zhuǎn)讓與使用的趨勢不可逆轉(zhuǎn),相應的風險也就增加。據(jù)此,筆者認為該利益在本質(zhì)上屬于抵御或預防風險的防御性、消極性的民事利益;此外,個人信息權益應當是純粹的人格法益[8]?！秱€人信息保護法》第4條第1款規(guī)定:“個人信息是已識別或者可識別的自然人有關的各種信息”,這說明個人信息已經(jīng)與我們的人身、人格緊密相連、息息相關,體現(xiàn)了個人信息權益屬性的特殊性。

根據(jù)前文所述,傳統(tǒng)侵權法上的損害概念使用“確定性”標準,即要求信息主體遭受了現(xiàn)實的、確定的損害;而個人信息權益的消極性、人格法益性決定了其遭受的損害與“確定性”標準并不匹配,信息主體在信息泄露后面臨著個人信息權益被濫用升高的風險,而這些所謂的風險卻難以取證。換言之,在現(xiàn)代社會,個人信息權益泄露后升高的風險已經(jīng)難以避免,傳統(tǒng)私法上對損害認定的確定性、實質(zhì)性標準是否也應當適時革新以適應數(shù)字經(jīng)濟時代的變化?

3.個人信息侵權“損害”認定與損害賠償責任適用的困難

與傳統(tǒng)的侵權行為造成的損害相比,個人信息侵權造成的損害不僅是無形的,而且損害的后果是潛在的、非即時的,具體表現(xiàn)為個人信息泄露之后存在被他人非法使用的潛在危險,而潛在的威脅能否作為損害仍存在疑問[9]。此外,按照差額說進行損害認定,需要確定損害發(fā)生過后的具體利益狀態(tài)數(shù)值,否則便無法與損害發(fā)生之前的利益狀態(tài)相減。但是個人信息侵權損害是無形的、潛在的,很難對其進行精確的評估與計算,這比傳統(tǒng)人格權侵權的差額計算要模糊且復雜得多,故個人信息侵權“損害”的認定在司法實踐中困難重重。另外,由于未來將會遭受的潛在性風險很容易被法官當作是主觀推測的結(jié)果而不是損害本身,“確定性”標準的適用問題也亟待解決。

若類推適用傳統(tǒng)私法中的侵權責任,個人信息泄露的風險當然可以適用賠禮道歉、排除妨礙、消除危險的非賠償性的責任承擔方式,但賠償性的責任承擔方式能否進一步適用,學界也對此爭論不一。具體分為兩種對立的觀點:一方認為應當對“損害”進行靈活的擴張解釋,認定即將發(fā)生的風險也具有可賠償性;另一方認為仍應按照“確定性”標準認定可賠償性,即將發(fā)生的風險屬于主觀臆測。賠償性的責任承擔在司法實踐中的處理結(jié)果也不盡相同。

筆者認為,我們可以從美國有關個人信息侵權損害的典型案例中得到啟示。在Spokeo,Inc.v.Robins案(以下簡稱Spokeo案)(2)Spokeo, Inc. v. Robins,136 S. Ct. 1540 (2016).中,美國聯(lián)邦最高法院認為,損害除了應當特別,還應當具體,兩個要素必須同時具備;第九巡回上訴法院未能對“具體的損害”的要件進行論證,僅僅是認定侵害法定權利的行為并不一定存在具體損害,而“具體”要求損害必須真實而不能抽象。此外,美國最高聯(lián)邦法院認為無形的損害在一定情形下也可以是具體的,但單純的程序違法除外。在Clapper.v.Amnesty International案(以下簡稱Clapper案)(3)Clapper v.Amnesty International,568 U.S.398(2013).中,聯(lián)邦最高法院認為,風險成立損害必須具有“確定性迫近”的可能,原告未能證明其所擔憂的未來損害即將迫近,認為原告的主張具有高度揣測性難以成立從而進行了否定;但是聯(lián)邦最高法院并沒有從正面否定風險成為損害的可能性。聯(lián)邦最高法院法官運用了“實質(zhì)性風險”這一概念,從而我們可以認為,在特定的場景中,如果個人信息被侵害的風險及損害即將迫近,滿足了實質(zhì)性標準,也有可能成立損害,只是本案不符合實質(zhì)性標準而已。

上述Spokeo案和Clapper案在個人信息侵權損害賠償這一問題上具有重要意義,美國聯(lián)邦最高法院試圖通過它們來確定個人信息侵權“損害”的認定標準:Spokeo案側(cè)重于“特別性”和“具體性”標準,Clapper案側(cè)重于“迫近性”標準。雖然兩個案件都沒有表明信息泄露的未來風險是否可以構(gòu)成損害,但是并不排除其他的特定場景下風險可以構(gòu)成損害的可能。而2019年的AFGE.v.OPM案(4)AFGE(American Federation of Government Employees).v.OPM(The Office of Personnel Management),928 F.3d 42(2019).中,美國華盛頓特區(qū)巡回法院肯定了未來風險在升高的情況下構(gòu)成損害;此外,在本案中,被竊取的個人信息的敏感性同樣是影響法院判決的重要因素。

在我國,個人信息侵權損害的賠償責任問題同樣陷入困境。在我國的司法實踐中,法院在大量的案件中往往以原告沒有遭受到實質(zhì)性的損害為由駁回原告的訴訟請求。我國法院很少直接對未來風險是否構(gòu)成損害進行解釋說明,并且在是否適用精神損害賠償這一問題上舉步維艱。因為我國民事立法為了防止精神損害賠償?shù)臑E用,在認定精神損害賠償上始終以“嚴重”為構(gòu)成要件。在很多案件中,縱使信息主體遭遇了詐騙或者失去了工作(5)參見北京互聯(lián)網(wǎng)法院(2018)京0491民初1905號民事判決書、北京市第三中級人民法院(2020)京03民終2049號民事判決書。,法院仍未認定為“嚴重”,可見我國個人信息侵權損害賠償案件中精神損害獲賠的艱巨性。問題在于,若僅存在非嚴重精神損害,在其他侵權情形下,固然不能請求精神損害賠償,但在信息侵權領域,由于其可能同時缺乏財產(chǎn)損害與非嚴重精神損害,那么此時若僅限于賠禮道歉、停止侵害等責任,是否可以對個人信息提供充分保護和對被告予以充分威懾?

從美國法院在未來風險是否構(gòu)成損害這一問題上舉棋不定,我國法院在個人信息侵權精神損害賠償?shù)膯栴}上一直采取保守立場來看,大數(shù)據(jù)時代認定“損害”困難重重。沿用確定性與實質(zhì)性標準的傳統(tǒng)侵權法上的損害是司法實踐中審判者認為值得予以填補的損害,其賠償是相對的,難以使受害者完全回到侵權發(fā)生之前的狀態(tài)。而在風險社會中,若固守傳統(tǒng)侵權法上的損害概念反而會弱化侵權法的功能[8]。故筆者認為,為應對數(shù)字經(jīng)濟的發(fā)展和保護個人信息權益的要求,傳統(tǒng)侵權損害概念需要更新與擴張。

三、侵害個人信息權益所致?lián)p害的類型討論

前文提到,個人信息侵權在司法實踐中幾乎不存在財產(chǎn)損害。由于我國《個人信息保護法》第69條對“損害”的解釋尚不明確,對精神損害的賠償仍然需要援引《民法典》第1183條,但是該條款為了防止精神損害賠償制度被濫用,規(guī)定了精神損害要達到“嚴重性”的程度才可以進行賠償。從體系解釋角度來看,第69條中的損害若滿足嚴重條件,則權利人必然可主張精神損害賠償,那非嚴重性精神損害是否可以適用于個人信息侵權?此外,升高的未來風險是否可以作為個人信息侵權之損害?下文中,以第69條的法律適用與解釋為出發(fā)點,筆者將對非嚴重精神損害與升高的未來風險融入“損害”體系的可能性進行論證與展望。

(一)非嚴重精神損害賠償適用于個人信息侵權的正當性

1.理論基礎:個人信息侵權實質(zhì)是對人格利益的損害

有學者認為,與傳統(tǒng)人格要素相比,數(shù)字社會中的個人信息關乎信息主體的人格自由與人格尊嚴,其人格屬性更為顯著[10],即非嚴重性精神損害賠償適用于個人信息侵權是其人格屬性使然。信息主體所享有的個人信息權益與其人格尊嚴、人格自由密切相關。具體而言,信息處理者通過對個人信息進行收集和個性化分析,根據(jù)其喜好進行廣告等個性化推送,這在一定程度上會影響信息主體的決策與選擇的自由;此外,通過收集個人信息推測信息主體的喜好在一定程度上也可能構(gòu)成對其隱私的侵犯,而隱私是人格尊嚴不可或缺的一部分,這可能會造成私人信息的泄露。隨著數(shù)據(jù)泄露風險的顯著增加,信息主體也會產(chǎn)生焦慮與不安的心情。從個人信息被非法收集開始,信息主體就會因為對信息的用途不知情而陷入恐慌中,精神遭受痛苦,當個人信息被非法利用后,這種痛苦會進一步加重。由此可見,在個人信息侵權的每一個階段都可能會給個人信息主體帶來精神損害,而且這種損害可能會逐漸加劇。縱使無法滿足“嚴重性”要件,對個人信息權益進行非嚴重精神損害賠償救濟,也是現(xiàn)代社會保護人格自由與人格尊嚴法治要義所在,同時也可對違法者產(chǎn)生一定的威懾效果。正因如此,在立法或司法解釋中對侵害個人信息的非嚴重精神損害賠償需要予以明確。

2.確定性與實質(zhì)性:因風險產(chǎn)生的不安與擔憂

如果信息主體因為其個人信息被泄露產(chǎn)生了不安與擔憂,這種精神狀態(tài)的變化與創(chuàng)傷縱使不能構(gòu)成《民法典》1183條中的“嚴重精神損害”,是否可以作為非嚴重精神損害予以賠償?需要判斷和解決的問題是,因風險產(chǎn)生的不安與擔憂若不屬于精神損害賠償?shù)姆懂?是否可以因其具有確定性與實質(zhì)性而構(gòu)成損害并獲得賠償。

筆者認為,擔憂與不安是否構(gòu)成損害,同應對風險的預防性支出的認定相似,即它們的基礎——未來風險是否是確定與實質(zhì)的。因為在司法實踐中,因個人信息被侵犯所產(chǎn)生的焦慮不安與擔憂并不容易被法院認可[11],判斷是否構(gòu)成損害的關鍵在于這些擔憂與不安是有理有據(jù),還是主觀臆測。在美國Attias .v.CareFirst,Inc.一案(6)Attias.v.CareFirst,Inc.,865 F.3d 620,627(2017).中,美國華盛頓特區(qū)巡回法院認為在黑客攻擊已經(jīng)發(fā)生的情況下,消費者對信息泄露的擔憂就不只是主觀臆測,而是具有相當?shù)拇_定性。因為若已經(jīng)有遭受損害的信息主體,那么尚未遭受損害的主體的不安與擔憂便有理有據(jù),應當認定為真實的損害。

然而,“嚴重”是我國民法適用精神損害賠償?shù)闹匾拗茥l件。該限制的立法本意是防止精神損害賠償濫用,但是隨著大數(shù)據(jù)時代的發(fā)展,越來越多的學者認為該限制應當適當?shù)胤砰_,抑或?qū)⑵渥鳛檎J定標準的組成部分,而不是一種限制。筆者認為,可以通過法律解釋的方式對“嚴重”進行擴張解釋,以減少“嚴重性”這一條件在精神損害賠償認定上的阻礙。

3.比較法解釋:精神損害賠償制度的域外適用

比較法上在有關個人信息侵權精神損害賠償?shù)恼J定上并沒有以“嚴重性”為構(gòu)成要件,非嚴重精神損害在一定條件與情形下同樣可以獲得賠償?！稓W盟一般數(shù)據(jù)保護條例》(GDPR)序言部分第146段,以及第82條都規(guī)定了信息主體可以因非物質(zhì)損害獲得充分有效的賠償,且并沒有強調(diào)非物質(zhì)損害的嚴重性。立法者在法律條文中明確非物質(zhì)性損害可依據(jù)法律規(guī)定得到支持。根據(jù)前文所述,在美國有大量法院援引Clapper案去否定原告的訴訟主體資格。在該案中原告是因為無法證明自身受到監(jiān)視被否認訴訟主體資格,但是許多案件中原告的個人信息被泄露是顯而易見的[12]。所以,很多法院對Clapper案的援引屬于誤用,但對該案的錯誤引用也逐漸得到了緩和。例如,在美國聯(lián)邦最高法院審理的Spokeo案中,法官認為當風險達到一定程度時可以對其進行個人信息損害賠償。Spokeo案沒有否定Clapper案的司法觀點與結(jié)論,這得到了部分法院的理解與支持,同時也在學界內(nèi)產(chǎn)生了激烈的爭論。例如,聯(lián)邦第七巡回上訴法院支持對個人信息權益進行非物質(zhì)性損害賠償。在Remijas v.Neiman Marcus案中,聯(lián)邦第七巡回上訴法院認為不能對Clapper案的重要性做過度解讀,原告主張的損害符合“客觀上合理的可能性”即可以對其進行賠償(7)Remijas.v.Neiman Marcus Group,LLC,No.14 3122(2015).。這也是不違背美國聯(lián)邦憲法第3條的規(guī)定的。

通過對域外精神損害賠償適用的擴張進行梳理,我們不難發(fā)現(xiàn)美國的司法實踐中對精神損害賠償存在爭議的原因,其在于立法中并沒有對個人信息侵權適用精神損害賠償進行明確;縱使GDPR對非物質(zhì)性損害賠償在立法上進行了肯定,但對非物質(zhì)性損害賠償?shù)恼J定上仍然任重道遠。《個人信息保護法》第69條并未對精神損害賠償進行規(guī)定,應當借鑒比較法的立法與司法實踐趨勢,在司法解釋上對侵犯個人信息權益的非嚴重精神損害賠償進行肯定,以使信息主體的非嚴重精神損害賠償訴求有法可依。

(二)“風險”作為個人信息侵權之損害的展望

隨著互聯(lián)網(wǎng)使用的繼續(xù)激增,信息傷害將變得越來越普遍。國外學者認為,在美國聯(lián)邦最高法院和美國聯(lián)邦巡回上訴法院分歧加深產(chǎn)生沖突的背景下,個人信息侵權問題不會在短期內(nèi)消失[13],而在我國該問題的解決同樣任重道遠。前文已提到個人信息侵權中損害認定面臨的困境,需要探尋新的解決路徑。

筆者認為,應當認可未來風險成立損害,即將滿足一定條件的未來風險視為可以賠償?shù)膿p害;但是應當對風險構(gòu)成損害的適用加以較為嚴格的限制。因為并不是所有的風險都可以構(gòu)成損害,需要將非迫近性的未來風險加以排除。而實質(zhì)性風險損害的認定有賴于司法解釋的完善和法官的判斷與解釋。參考當前學界觀點,個人信息侵權中的“損害”認定可以從兩個方面進行擴展:一是遵循差額說,尋找個人信息侵權中的利益差額;二是通過法律解釋的方法去闡明確定性和實質(zhì)性要求的判斷標準。上述兩種途徑都遵循了傳統(tǒng)侵權邏輯的損害分析方法,具有一定的合理性。

1.甄別利益差額

差額說認為,認定損害時應當比較損害發(fā)生前后的利益狀態(tài)。個人信息侵權風險性損害的認定也應當遵循差額說的觀點,尋找利益差額去認定損害。而個人信息泄露帶來的風險是無形的,不容易通過直觀的方式進行差額計算。筆者認為,可以將風險進行類型化的區(qū)分來進行認定,以精確對利益差額的計算。

(1)個人信息泄露后升高的風險。在個人信息遭到泄露前,信息主體基本沒有面臨風險或者風險較少;而個人信息遭到泄露后信息主體面臨的風險驟升。從中不難看出升高后的風險與泄露前的低風險或零風險相比存在著利益差額。而這些風險與我們的生活息息相關,例如,身份信息的竊取和詐騙案件時有發(fā)生;并且考慮到個人信息的主體特定性、不可更改性、風險爆發(fā)的廣泛性,這些風險造成的后果是難以補救的。故將這樣升高的風險認定為損害是有必要的。

(2)預防風險的成本支出。個人信息被泄露之后面臨的被非法處理與利用、欺詐和身份盜竊的風險升高,因此信息主體需要采取預防措施來抵御風險,為抵御風險支出的時間、精力、金錢,可視為一種特殊類型的損害[2]。因為在個人信息泄露前這些成本無須支出,在泄露之后才有支出的必要,所以存在著明顯的利益差額。而學界目前對此類利益差額的爭議是預防性的成本支出是否以可靠的對未來風險的預測為基礎。所以對預防個人信息侵權損害的支出成本的認定,仍要基于未來可能遭受的風險是否具有實質(zhì)性、確定性。而在未來風險滿足實質(zhì)性標準時,此類損害賠償?shù)闹鲝埧梢缘玫街С帧?/p>

2.闡明確定性和實質(zhì)性要求的判斷標準

我們在認可未來風險成立損害的同時也要考慮到并不是所有的風險都可以成立損害,應當排除那些非迫近性的、主觀臆測的風險,只有“實質(zhì)性”“確定性”風險才應當被認為成立損害。由于實質(zhì)性標準難以統(tǒng)一界定,因此需要將其置于具體的場景中進行分析,而法官的裁量與解釋就成為關鍵。參考國外學界觀點,有學者認為美國聯(lián)邦最高法院似乎將不得不再次處理一個問題,即究竟是什么構(gòu)成了足以賦予其符合美國憲法第三條地位的具體傷害[13]。有學者建議國會頒布一項全面的法規(guī)來規(guī)范數(shù)據(jù)泄露,例如,規(guī)定擁有個人信息的公司對其存儲個人信息的人負有責任,違反這一義務將構(gòu)成“實際的”“具體的”和“特殊的”損害,符合美國聯(lián)邦最高法院第三條128項判例中關于事實損害的要求[14]。

有學者認為,個人信息應當實行分級處理的方法,一般信息偏重于利用,私密信息偏重于保護[15]。在很多案件中,侵害私密敏感的個人信息產(chǎn)生的風險更容易被認定為損害。例如,在Rosenbach.v.Six Flags Entertainment Corporation案(8)Rosenbach v.Six Flags Entertainment Corporation.,2017 IL App.2d 170317(2017),rev’d, 129 N.E.3d 1197(2019).中,因為指紋屬于生物識別信息,具有高度敏感性,被告未經(jīng)原告同意就收集指紋的行為違反了當?shù)胤?所以足以構(gòu)成損害。因此筆者認為,可以從個人信息的敏感性這一視角去認定實質(zhì)性標準,從而去排除一般信息的風險不成立損害。

四、基于損害類型的賠償責任體系的構(gòu)建

(一)精神損害賠償認定標準的淡化

有學者認為,在數(shù)字社會個人信息侵權的精神損害賠償也包含著對個人信息主體財產(chǎn)權益的保護,為了保護個人的相關利益,需要降低對損害的要求[16]。關于精神損害賠償“嚴重性”的認定,國內(nèi)學界也存在不同的看法。有學者認為應當通過被侵害的權益的階位來分情況確定精神損害是否達到“嚴重性”的程度。對物質(zhì)性人格權和精神性人格權遭受精神損害的證明標準依次降低,前者可以直接認定,后者需要綜合考慮多種因素[17]。但是也有學者認為應當采取容忍限度理論,即如果精神損害超出了一般社會人的容忍限度,就應當被認為具有“嚴重性”[3]。但實際上,即便采取第二種觀點來認定精神損害,也還是要進行具體的綜合考量,這兩種嚴重性認定標準是存在一定的共性的。

GDPR第82條并沒有強調(diào)非物質(zhì)損害的嚴重性要件。在精神損害賠償上,筆者認為可以放寬對精神損害“嚴重性”的限制,或者是將其作為認定的組成要素而不是限制條件,適當降低個人信息侵權精神損害認定的門檻;法官應當將個人信息的敏感性、受害者的精神損害嚴重性、信息處理者的主觀惡性等多種因素綜合考量,而這能使受害者通過證明自身遭受足夠的精神壓力或者痛苦就可以獲得司法救濟[11]。在淡化“嚴重精神損害”的標準后,法定賠償數(shù)額的確定也很有必要。由于《個人信息保護法》并未規(guī)定法定賠償數(shù)額,可以借鑒人身權益遭受侵害的財產(chǎn)損失法定數(shù)額確定方式,由最高人民法院通過司法解釋予以規(guī)定[10]。

需要提醒的是,淡化精神損害認定的“嚴重性”標準并不等同于所有個人信息侵權案件中的精神損害都可以得到賠償,也不意味著信息主體證明責任的免除。信息主體仍需要承擔一定程度上的證明責任,只不過無須再證明嚴重精神損害而已。

(二)懲罰性賠償制度的設想

鑒于大數(shù)據(jù)時代下的個人信息受侵害的結(jié)果具有無形性、潛伏性、持續(xù)波及性的特點,僅僅適用預防與填補損失的責任承擔方式是遠遠不夠的。有學者認為未來個人信息保護法的適用有必要引進懲罰性賠償制度[18]。在比較法上,美國《公平信用報告法案》(Fari Credit Report Act,簡稱FCRA)規(guī)定了法院允許侵權者賠償信息主體一定數(shù)額的懲罰性賠償金(9)FCRA,§1681n. Civil liability for willful noncompliance(2022).。筆者認為,出于填補損害漏洞和震懾個人信息侵權犯罪行為的需要,我們可以參照美國法的相關規(guī)定引入懲罰性賠償制度以完善個人信息保護法的法律適用。首先,懲罰性賠償制度能夠填補受害人未能獲得的損失漏洞。因為司法實踐中個人信息受到侵犯后的損害難以認定,信息主體收集證據(jù)更是困難重重,最終的獲賠額可能會不盡如人意。懲罰性賠償制度可以讓非法信息處理者付出相應的代價,去填補信息主體未能獲賠的損失漏洞。其次,懲罰性賠償制度能夠有效減少信息處理者非法利用個人信息的牟利行為。通過對違法的信息處理者進行懲罰性賠償,能夠在大范圍內(nèi)起到震懾作用與抑制效果,從而在大數(shù)據(jù)時代下更好地保護個人信息,發(fā)揮其應有的價值。再次,懲罰性賠償制度能夠調(diào)動信息主體維權的積極性。由于個人信息侵權現(xiàn)象有增無減,而信息主體為了維權需要支出的成本過高,很多受害者在遭受侵權后并不會主動維權。懲罰性賠償制度的建立旨在改善此類現(xiàn)象。面對可獲得的損害性賠償,信息主體可以打消成本大于所獲賠償?shù)念檻],積極維護自身合法權益,打擊個人信息侵權現(xiàn)象,進而維護數(shù)字經(jīng)濟市場和網(wǎng)絡環(huán)境的穩(wěn)定秩序。

(三)確定侵害個人信息權益的小額損害最低賠償限額

根據(jù)《個人信息保護法》第69條的規(guī)定,遭受侵害的信息主體可獲得的損害賠償額為受到的損失或侵權人獲得的利益。但是該計算方式很難具有實際可操作性。在李志剛與上海商數(shù)信息科技有限公司的個人信息侵權糾紛案(10)參見河北省石家莊市中級人民法院(2019)冀01民終10531號民事判決書。中,被告未經(jīng)原告同意就使用被告的淘寶賬戶信息;法院依據(jù)侵權人獲得的利益為標準,判決被告向原告支付一元人民幣的精神損害賠償。上文中提到的孫長寶訴北京百度網(wǎng)訊科技有限公司案中,被告也僅向原告賠付了一元人民幣的經(jīng)濟損失。這樣的判決顯然不能懲治被告的違法行為,同時會讓更多維權者失去維護合法權益的積極性。在無法認定實際損害的情況下,損害賠償數(shù)額多是由法院酌情確定的。學界內(nèi)有學者主張應當確立侵害個人信息權益損害賠償?shù)淖畹蜆藴蔥19]。就此而言,FCRA中的相關規(guī)定,或許可以為我們提供一個借鑒的參照。根據(jù)FCRA相關規(guī)定,消費者信用報告機構(gòu)負責收集與評估消費者信用及其他信息。在處理信息過程中,信用報告機構(gòu)需要秉持公平、公正與尊重消費者隱私權的原則。若信用報告機構(gòu)違反該法規(guī)定處理消費者信息,則將根據(jù)消費者遭受的損害予以賠償,若損害無法確定,則需支付100美元以上1000美元以下的法定賠償(11)FCRA,§1681n. Civil liability for willful noncompliance(2022).。由此可見,FCRA中的法定賠償對于提高信息處理者違法成本,補償信息主體無形損害,具有積極意義。在比較法上引入法定數(shù)額的賠償方法救濟個人信息侵權中的損害,對此有學者認為,實行小額損害最低賠償限額具有一定的合理性與必要性[20],因為最低賠償限額能夠在充分調(diào)動權利人維權的積極性的同時打擊侵犯個人信息權益的行為。

五、結(jié)語

隨著科技創(chuàng)新的進步和數(shù)字經(jīng)濟的縱深發(fā)展,個人信息的交換性日益增強,個人信息處理的無形性、普遍性也愈發(fā)明顯。這也意味著其受到侵害的風險日漸升高。個人信息侵權問題的研究短期內(nèi)可能不會得到解決,這一問題將會長期、持續(xù)地存在。

本文在沿襲學界傳統(tǒng)侵權損害賠償邏輯的基礎上,意圖轉(zhuǎn)換視角,從非嚴重精神損害與升高的未來風險是否可以作為損害賠償內(nèi)容等新角度進行研究。在個人信息侵權“損害”的認定陷入困境的情況下,認可風險成立損害,對風險實質(zhì)性、確定性標準進行必要限制以防止濫用。在數(shù)字社會中,個人信息權益與我們的人格自由與尊嚴密切相關,個人信息的保護要以人格尊嚴與自由不受侵犯為底線?；仡櫱謾嘭熑畏ǖ陌l(fā)展歷程,侵權責任的學理規(guī)則隨著社會的發(fā)展處于動態(tài)的變化之中以適應時代的要求。同樣,在大數(shù)據(jù)時代個人信息權益受到的侵害和傳統(tǒng)侵權邏輯比起來有了更多的不同,這對傳統(tǒng)損害概念提出了挑戰(zhàn)。因此,應當革新傳統(tǒng)的“損害”概念,以應對數(shù)字經(jīng)濟的發(fā)展趨勢和更全面地保護個人信息權益的要求。