从身份识别到行为识别:个人信息侵权认定的路径选择
2019-08-31邓佑文王文文
邓佑文, 王文文
(浙江师范大学 法政学院,浙江 金华 321004)*
大数据时代的个人信息带有人格利益和财产利益双重属性,由此也衍生出信息主体固有的人格权与信息本身所蕴含的财产利益在权利行使中的冲突。个人信息的法律保护和数据的商业利用之间的平衡成为裁判个人信息纠纷案的必要考量因素,更准确地说,目前司法实践中个人信息的法律界定成为个人信息侵权案件判定的前提。然则由于信息的交叉杂糅性与立法的滞后性,当前个人信息的法律界定缺乏明晰的标准。第一,信息数据化处理技术的发展导致个人信息潜在范围扩张,相应增大了法律适用的不确定性。第二,信息脱敏技术崛起增强了信息利用的道德可接受度,然脱敏后的信息也在迅速发展的大数据面前难以排除被重新识别的可能。受法律保护的个人信息边界模糊不清,匿名化处理有效性标准与时俱进,因而对个人信息法律判定标准进行探讨尤为必要。本文拟从个人信息的可识别性司法适用困境出发,探讨应被纳入私法保护范围的个人信息之边界及附于其上的权利客体,并以此为基础,对个人信息侵权行为的认定路径作一探讨分析。
一、身份识别作为个人信息判定标准的侵权救济困境
目前学术通说认为,个人信息相较传统隐私权,在权利客体、权利属性、权利内容保护方式等方面都存在明显差异,法律对其保护应摆脱隐私权保护模式,以私权保护为中心,建构独立的权利或法益保护秩序。[1]比较法中,个人信息的侵权救济也存在不同路径。
图1 个人信息侵权救济比较法路径
如上图1所示,虽然各国在面对个人信息侵权纠纷时救济思路不一,但均以权益损害为判断侵权的逻辑起点。程啸先生认为,判断行为是否侵权,可参考图2所示的思维过程,[2]215只有当行为造成权益侵害时才能启动侵权救济模式。
图2 权益被侵害与损害的关系示意图
认定个人信息(又称个人数据,个人资料)①法律保护边界的国际通行做法是“以身份识别为标准”,②其定义一般包含身份可识别性、载体、内容(包括客观事实和主观评价)三大要素。[3]其中身份可识别性是个人信息最重要的要件,包括能够被直接或间接识别两种情形,后者具体体现为通过参照姓名、定位等数据标识,或基因、经济收入等身份要素来定位到个人。[4]这一标准也得到我国的立法及学术界的认同,王利明、[5]张新宝、[6]周汉华、[7]蒋坡、[8]齐爱民[9]等学者均采取了“识别性”个人信息定义。还有学者认为,个人信息的关键特征在于识别或能识别到具体自然人。[10]
然而依赖传统路径裁断个人信息侵权纠纷常面临权利界定不明的困境。我国个人信息的定义采用“一般定义+典例事项+例示规定”的样式,③这是基于大数据时代丰富的信息类型难以列举穷尽之考虑,但也产生了例示规定如何解释的问题。现实中,在个人日常生活中频繁出现的IP地址、cookies、人群标签等个人信息衍生品与传统个人信息差异明显,其是否属法律保护范畴并不能作当然解释。[11]这一方面源于例示规定解释本身的难度,同时也反映出“一般定义”中构成要素的适用之困难。可识别性作为个人信息认定的关键要素,在目前我国司法适用中遭遇瓶颈,如百度网讯与朱烨隐私权纠纷一案。④一审法院以信息自决为法理,认定百度非经信息主体明确同意收集、利用他人信息的行为构成侵犯隐私权。但二审法院在事实认定相同的前提下,认为cookie记录信息因无法确定信息归属主体而“不具身份可识别性”,百度网讯为个性化推荐服务而收集和推送信息的终端是浏览器,不存在定向识别网络用户身份的行为,“故百度网讯公司的个性化推荐行为属于正当商业行为”。百度未经用户知情和明示同意,即利用cookie记录跟踪用户上网踪迹,并以此进行精准广告投放,导致信息主体“感到恐惧,精神高度紧张,影响了正常的工作和生活”,确实侵扰了信息主体的日常生活,且不谈这种信息收集是否真的不具可识别性,该类行为仅因商业主体收集到的个人信息不具可识别性而不被法律规制的认定又是否合乎法意及情理?若可识别性作为个人信息法律认定标准尚有欠缺,法律对个人信息的保护又该以何为界?个人信息侵权纠纷认定标准又该如何?
二、身份识别标准失效的原因剖析
身份识别标准的制度功能有三:一是为司法侵权认定提供相对精确的标准;二是保护潜在的信息财产利益;三是保证不涉私人领域的其他信息符合社会发展的流通。[12]但实践中个人信息身份识别标准却受到冲击,主要原因有司法认定中个人信息可识别标准界限模糊、身份识别标准无法涵盖所有信息侵权行为两个方面。
(一)可识别性标准界限模糊
个人信息识别判断标准分“主观说”“客观说”“任一主体说”三类。“主观说”以信息利用主体的主观要素判断识别可能性;[13]“客观说”从与案件无涉的普通人角度认定识别可能性;[14]“任一主体说”标准最高,认为只要社会任意主体可识别即具识别的可能性。[15]三类标准在实践中均有反映,折射出可识别性标准适用的不确定性。
第一,可识别性因信息整合技术的发展而动态变化,这否定了“主观说”的合理性。大数据时代,信息的收集和匹配成本越来越低,个人信息之上夹携的身份资料及财产利益驱动了多方主体对其的利用,而信息主体也往往在毫不知情的状态下被政府、商业主体等轻易获知生活中的琐碎信息。除此,诸多在一般普通人眼中并无价值的个人信息,也可以被他人利用来识别信息主体身份,进而侵扰我们的私域空间或其他利益。大数据整合技术往往带来1+1>2的效用,孤立的个人信息经提取整合,可形成详细准确的整体信息,从而可达到与特定个人匹配的程度。这些系统性的整体信息蕴含着巨大的潜在财产价值,同时也承载着分散主体的人格利益,这类数据一旦被泄露扩散,任何人的私人空间都将不会安宁,普通住宅赋予个人的私密空间将被整合数据吞噬。更甚者,现期不具识别性的零散信息可能会被更先进的信息整合技术演变成为可准确定位个人的数据,进而将个人变为代码一般的存在。正如学者所言,识别与非识别间存在着在某一时刻相互转化的风险。[16]日新月异的信息技术几乎使普通人“无私可隐”,可识别性的判断难度只增不减。
第二,不同群体可识别性界限不一,这否定了“客观说”的合理性。隐私法的功能其实是在“界定社群的本质和边界”,[17]夹携着个人身份特征的信息也具有这样的效果。不同领域、不同群体的识别性因社会实践和利益结构存在差异。信息控制者相较普通个人有轻易识别信息主体的能力。如庞理鹏与北京趣拿信息技术有限公司之间发生的隐私权纠纷案中[(2017)京01民终509号],庞理鹏的姓名与个人隐私并无绝对联系,但航空公司将其与个人行程信息整合,便可定位当事人行踪,构成在当事人未知情况下对其私域的侵扰。不同主体识别能力的相对性使得可识别性界限模糊,这也是“客观说”遭受批评的原因。
第三,“身份”的法律保护价值有待商榷,这否定了“任一主体说”的合理性。身份再识别技术的发展使得几乎任何信息都可以用来识别个人身份,具有身份可识别性。故而有学者认为,这一发展体现了“识别性”定义的不妥之处。[18]如果法律把所有身份可识别信息都纳入保护范围,不仅会加重诉讼负担,也可能阻碍信息产业发展,限制个人信息之上所携带的财产利益的发挥,同时容易导致权利滥用,最终限制信息自由流通。[19]但个人信息法旨在保护人,而非信息本身。[20]法律保护对象和行为侵权是两件事,应当予以区分。因此可识别性作为个人信息的核心要素并无任何不当之处,但其并不能成为判定受法律保护个人信息的唯一特性,也不应当成为必要构成要素。
(二)存在无涉身份识别的信息侵扰行为
有学者从侵害类型角度对新型信息侵害行为进行归类,认为目前存在“数据泄露、导致或促成下游犯罪发生、社会分选和歧视、数据监控下的不安与自我审查、消费操纵和关系控制”五类应当被现行侵权法规认可的新侵权类型。[21]其中诸多行为并不需涉及身份识别便能对信息主体造成侵害。根据《民法总则》第111条规定,个人信息侵权行为包括非法收集、使用、加工、传输、买卖、提供或者公开他人个人信息等行为,这是站在信息使用者角度对侵权行为的认定,若转换到对信息主体人格权益和财产权益的侵害角度,则可分为信息披露、信息侵扰两类行为。其中信息披露正因为个人信息携带身份识别功能,才能对信息主体造成利益损害。但信息侵扰行为不一定能直接识别到具体个人。普罗瑟认为,“侵扰行为是对他人事务形成干扰,并且让他人在合理程度上感到冒犯或者心生反感的行为”。[22]如Katz v.United States案中,行为人的窃听行为,虽并不知悉监控对象的私人信息,也没有侵入受害人物理空间,但同样构成对他人隐私的侵害。再如上文提及的朱烨案,百度未经用户明示同意,即利用cookie技术获取用户上网信息,并在数据分析后进行有目的的广告投放,其行为实际侵扰了用户的个人私域,对用户的精神健康有一定的伤害。但二审认为,百度网讯并未对cookie信息进行实质性身份识别,无需承担隐私侵权责任。显然本案中,出于对信息实践价值的考虑,法官限制了个人信息法律保护范围,但这种司法手段显然存在助长网络服务商对有潜在商业价值的个人信息放肆利用之患虞,毕竟商业主体只需在形式上对数据进行脱敏处理,即可合法使用交易数据。由此,身份识别标准在本案中阻碍了受害者的法律救济。
既然司法实践中身份识别标准的价值被高估,那法官在审理侵扰行为时,又该采取何种标准或路径对被侵扰主体的利益予以救济?英国司法实践基于诉因理论对个人信息侵权裁判采用两阶层分析框架:首先判断信息是否符合合理权利期待等法律保护目的,其次基于个案事实进行利益衡量。[23]该分析框架对我国司法实践有借鉴意义,即若侵扰行为所含个人信息在具备身份识别风险时,法官可考虑侵扰行为本身,而非纠结信息主体是否能被识别。当然这一路径应建立在个人信息权利保护客体的重新认识上。
三、个人信息法律保护客体的合理界定
根据《民法总则》第111条相关规定,自然人的个人信息均受民法保护。此种规定看似扩大了权利范围,实则因信息众多,权利边界不清,导致无法为他人行为划定禁区。[24]这主要源于我国学术界将权利客体与权利对象混同之故。学术主流将哲学上的“客体”移植于法学领域,混淆权利客体与权利对象,难以为个人信息商业价值发挥与法律保护提供自洽的理论解释。[25]因此,理论上应将个人信息权利客体从权利对象(载体)中剥离出来,予以更规范的法律表达。
(一)剥离:个人信息权利客体与权利对象的区分
目前关于权利客体与权利对象的认识有“同一说”与“分层说”之区分。“分层说”认为存在不同层级的权利客体,即支配权或利用权的标的、可经法律行为处分的标的及其他可被整体处分的某财产权利。[26]“分层说”将权利客体视为权利或法律关系,与权利对象并不一致。“同一说”认为“权利以有形或无形之社会利益为内容或目的,为此内容或目的之成立所必要之一定对象,为权利之客体”。[27]在个人信息保护问题上,我国学术界普遍认同“同一说”的观点,有诸如“法律保护具有价值的个人信息”、[28]“与人格尊严相关”的个人信息方受人格权保护、[29]“个人不良信息不受法律保护”[30]等多种观点。无论采取哪种界定方式,个人信息法律保护范围的边界都显模糊。霍菲尔德曾指出,如何正确分析利益的内在本质阻碍了许多具体法律问题的解决,而利益本质的探索需要依赖法律概念的厘清,此工作的前提是区分纯法律关系(purely legal relations)和引起该关系的物质与精神事实(physical and mental facts)。[31]显然这一区分划清了权利客体与权利对象的界限。
权利通常附着在某种事物上,可能是一栋房子(物)、一个举动(行为)、一本著作(知识产权),亦或者是一种权利,如股份质押,该法律关系中存在双重权利载体与权利客体,同时第二重权利载体是第一重权利客体,也即,股票作为可视化的物,是股权的权利载体,而股权作为一种权利,又承载着“权利质押”这一特殊的权利客体(如图3所示)。再如某些人格利益,人格利益的权利载体不能一概而论,可以是可具象化的事物,如隐私、姓名、肖像;也可以是一种行为,如个人信息自决行为、信息自由利用行为等;也可以是某种权利,如公众人物利用名誉赚取财产利益,财产利益便附着于名誉权这一人格利益上。显然权利对象皆是可具象事物,但权利客体却是具象事物背后的利益。实践中常将权利载体(权利对象)如肖像视为肖像权的客体,显然肖像与肖像权所承载的利益并不是同一事物。将权利客体与权利载体混同的做法,无论在逻辑上或在实践中均不成立。事实上,哲学上的客体只是法学领域中存在具体外延的“权利对象”,法学上与权利主体相对应的客体只能是抽象范畴的“民事利益”。
图3 股权质押中双重权利载体与客体图示
司法认定没有明确标准来界定应受法律保护的个人信息,因此笔者建议抛却拘泥于个人信息本身的思考,在司法实践中界分权利保护客体与权利载体,对个人信息法律体系保护的实质利益进行探讨。权利保护范围的宽广性与保护要件设定的严格程度,是可以分离也应当分离的两个问题。[21]个人信息与人格利益密切相关,不应该以内容的优劣而改变信息属性,且内容的优劣具有相对性,不足以排除法律对其的保护。另外,我国民法总则第111条在措辞上使用个人信息而非“个人信息权”,一方面是由于权利客体与对象混同所致,另一方面也是基于个人信息界定困难的考虑。由此,个人信息作为权利对象应被统一纳入私法保护,但在侵权认定中,权利客体的明确界定才是司法裁断的重点。
个人信息中存在以人格尊严与人身自由为内容的人格利益与基于人格利益及商业利用衍生出的财产利益双重权利客体,且有直接利益与间接利益之分,具体在法律保护顺位上,有学者认为,信息自主(信息主体的自决权)与信息自由(商业主体的合理利用权)处于相同权利位阶,只是在立法技术和内容规定上存在调和空间。[32]笔者认为,虽然两种法益处于相同位阶,但因权利保护价值存在高低,个案需要利益衡平以明晰权利保护边界。基于个人信息人格利益的原生性,法律保护应当首先关注信息背后的人,其次再考量必要的商业利用。
(二)表达:法律应保护个人信息背后的“人”
1.个人信息保护的价值基础:以人为目的
针对个人信息的保护,各国法律有不同的价值取向。如图1所示,美国在实用主义的指导下,将个人信息纳入隐私权框架予以保护,并区分出侧重消极保护的个人隐私和注重积极控制的个人信息,从而建立了个人信息控制理论。[11]德国在本体主义思想影响下,形成了“领域理论”,即通过划分“同心圆”,将个体人格的活动领域区分为“隐秘领域”“秘密领域”和“个人领域”,三个领域因与“人之尊严”的关系远近而在法律上表现为不同保护层级。[33]随后司法实践表明,个人对于自身信息并不享有绝对的不受限制的支配权,因此在该理论扬弃的同时,发展出了自我表现理论,认为具有社会属性的个人日常生活在人际交往的互动场景中,享有对自身个人信息加以合理利用进而掌控自我表现的利益。进而,通过“人口普查案”,德国联邦宪法法院确立以“信息自决权”为核心的个人信息保护法律体系。由此,两大法系在个人信息法律保护价值基础上趋于一致,即在表达信息主体人格自由的前提下应当对个人信息予以节制化利用。[33]
信息自主与信息自由是个人信息法律保护的两大权利内容。⑤通过自我角色、自我行为、自我信息的决定,个人在社会交往中成为独立的个体,这是人格尊严的体现,也是个人信息法律保护的价值基础。因此法律保护个人信息首先应当关注个人信息背后的人。
2.个人信息保护的必要延伸:以财产利益为补充
有学者认为,个人信息保护法保护的只是相较民法具体化了的人格权。[34]此观点对个人信息保护范围理解得过窄了,财产性权利是个人信息法不容忽视的保护目的之一。以实例说明,在因企业信息失真致商业机会丧失的案件中,请求权基础常被描述为名誉权⑥或人格权⑦侵权,法院虽支持当事人的主张,却忽略了个人信息存在的价值及其背后蕴含的利益本质:第一,信息错误何以构成人格权侵害;第二,损害赔偿范围是否包含纯粹经济损失;第三,因对人格利益的损害而导致的商业机会等财产利益的丧失是否属于人格权的保护范围?可以说该类判决并非说理透彻明晰的法律裁断。事实上,企业的信用信息中包含着商业机会,在市场环境下,企业存在依靠良好的信用获得商业利润的合理期待,信用信息的失真剥夺了企业的这一机会,因此信用信息中蕴含的财产利益应当进入法律保护视野。所以,法律保护个人信息时,除信息背后的人格利益外,其包含的财产利益或潜在财产价值也应当被重视。
(三)范畴:个人信息法律保护客体的应然边界
既然个人信息有人格和财产双重利益属性,个人信息法律保护客体也应该考虑两方面内容。首先,个人信息保护并非单纯的人格利益,因此滥觞于德国的个人信息自决权理论并不能完全满足个人信息在大数据时代的应用功能。一则将个人信息作为客体排他性地归属于信息主体的做法,无法为信息主体以外的人划定义务范围;二则信息的流通与商业利用可能会因信息利用者行为受限而受阻碍。其次,个人信息的关联性判定应当作为个人信息侵权认定前置程序。上文述及司法实践中身份识别标准适用出现困境,但必须说明的是,个人信息正是因为与自然人有所关联才会携带人格利益及潜在商业价值,因此,个人信息与信息主体的关联性应当成为代替“可识别性”的标准。这并不是说但凡与信息主体有所关联的信息,皆应纳入法律保护范围,而是指关联性应作为个人信息侵权行为判定的前置程序,寻找被侵犯之客体。由此便能避免朱烨案中因未能识别信息主体身份而使不法行为人规避法律惩罚的情形。
法律应当防范因个人信息不当使用产生的抽象危险而非事后予以制裁,因为对信息主体而言,该类危险会产生其人格和财产权利受损的不安。德国学者克里普曾指出,个人数据法当保护如下利益:知悉个人信息被处理的利益、个人信息正确和完整的利益、个人信息处理须符合特定目的的利益以及隐私利益等。[35]这一观点可为如今立法及司法实践提供参考。
第一,自决或知悉个人信息被处理的利益。该项法益在个人信息自决权的基础上平衡了商业利用中所涉的公共利益与个人利益的冲突,是其他法益展开的前提。个人信息作为个人代码在日常交流中被铭记,这是个人存在价值的体现,只有自我才能决定自身代码的用途。当然这种自决权益在距离信息主体人格过远时,便应当赋予信息主体知悉权。只有信息自主,信息主体方能干涉信息违法处理行为,维护自身权益之圆满程度,并在受损时主张损害赔偿。
第二,个人信息正确和完整的利益。个人信息将个人存在这一抽象概念具象化,信息表述了个人与社会的交互影响,从而也使个人的社会属性得以展示。正如霍菲尔德曾言,不是合同产生了债,而是社会造就了债。人是社会性动物,个人信息的正确性和完整性利益应当予以积极保护,从而保证由信息衍生出的潜在财产利益。为此信息主体拥有如更正、封锁、删除个人(不恰当)信息等系列请求权。
第三,信息处理须符合特定目的的利益。信息的首次公开应由信息主体自我决定,此时信息收集工作服务于某一特定目的,同时也限定了该信息日后利用的目的。此外,根据目的限制原则,个人信息的传递原则上受到了禁止,若作他用,则需信息主体重新决定或知悉用途。
第四,隐私利益。相较普通个人信息,敏感性信息应当更强调对其保护而非利用,如此才能协调个人信息侵权法律关系中的利益衡量格局,最终实现利益平衡。[36]在法律保护方面,对普通信息而言,信息主体的以上三项权益可基本控制个人信息被滥用的抽象危险。但隐私信息与个人生活紧密相关,赋予个人必要的隐私空间是民事主体应有的权利,故应对隐私信息予以更严格保护。具体如我国《侵权责任法》第62条及台湾地区《个人资料保护法》第6条,均将涉私信息单独进行规定,且禁止流通,体现了法律对其进行严格保护的价值取向。⑧
四、从身份识别到行为识别的转换
个人信息保护旨在保护人,而非信息本身。因此,在个人信息侵权行为判定中,应关注的也是个人信息之上的人格利益与财产利益而非个人信息本身。在个人信息侵权判定中,司法实践应实现从身份识别向行为识别的转换,关注个人信息侵权行为本身,而非涉案个人信息能否实质识别到具体个人。
(一)确立个人信息侵权责任的归责原则:多元归责
纵观对个人信息进行专门立法保护的各国规定,个人信息侵权归责原则经历了由“无过错原则”⑨到“多元归责原则”⑩的过渡。我国台湾地区在归责原则方面的立法规定(如图4所示),很大程度上与中国大陆法律关于个人信息保护的精神相一致,因而值得借鉴。
图4 我国台湾地区《个人数据保护法》侵权损害赔偿规则
1.公务机关侵害个人信息应承担无过错责任
有学者指出,确立无过错责任原则的预期目标在于,“切实保护人民群众人身、财产的安全,促使从事高度危险业务和危险行为等的行为人尽力保障周围人员、环境安全;一旦造成损害,能迅速及时的查清事实,尽快赔偿;使无辜的损害由国家和社会合理负担”。[37]信息的合理利用与流通,对公共部门而言,有利于提高决策水平与行政效率,进而促进社会公共利益,这是公务机关必须利用个人信息的原因,也是个人信息自决权益让位于公权力行为的原因。但其人格权属性决定了公务机关的数据使用不可避免地会产生侵扰信息主体的行为。无过错责任原则的基本理念“不在于对具有反社会性行为之制裁”,“乃是在于对不幸损害之合理分配”,[38]以实现分配正义。此项特征恰好满足公务机关对个人信息进行利用的初衷,同时也能最大限度地规范公权力机关的行为。因此,公务机关侵害个人信息的行为应当适用无过错责任归责原则。
2.非公务机关侵害个人信息应承担推定的过错责任
王泽鉴教授认为,过错责任的社会价值在于法律必须调和“个人自由”与“社会安全”两个进步价值。[39]在个人信息侵权的法律关系中,商业主体利用个人数据这一社会资源的自由与信息主体享有信息支配自由之间处于对立失衡状态,欲使其恢复平衡,法律需设定相应的利益配置平衡器。法律欲划定社会成员自由行为的边界,只能责令行为人因过错担责,而非责令行为人对己行为造成的一切后果承担责任,否则缺乏创造性与能动性的行为规则终将危及社会公共利益。[40]以过错作为侵权行为人承担责任的标准,可从主观和客观两方面对失衡的法律关系予以调节。
此外需要注意的是,个人信息侵权关系中,信息利用者往往具有相当的隐蔽性,侵权行为与损害结果间可能存在一定的时空跨度,这些客观因素直接增加了信息主体的举证成本。对比信息控制人对信息的利用过程,其行为遵循一定的程序,且大数据技术的处理痕迹会存在相应的记录,因此商业主体对“不存在过错”的举证成本负担较轻。根据成本收益理论,采用过错推定形式对行为进行认定可使当事人之间的利益分配更加合理均衡。
(二)明确个人信息侵权表现形态:行为归类
如上所述,个人信息法律保护客体可分为信息自决、保持信息正确完整、信息处理合目的、隐私利益四类法益。从侵权者角度而言,表现为个人信息收集、利用、整合、储存、遗失等过程中对四类法益的侵害。
第一,个人信息收集中的侵权行为。个人信息代表着自然人在社会中存在的印记,信息的收集当经信息主体的自主意识决定,反之皆可构成对个人信息上附着的法益的侵害,如未经同意、超越收集目的、违法收集等行为。另外,商业主体常以格式条款抗辩称已获得信息主体的默示同意。针对该类行为,笔者认为默示同意规则要么用于积极行为外示后的推定,要么用于法律特别规定,因此以格式条款形式推定信息主体默示同意收集行为的前提是,信息主体存在明确的信息被收集表示。故而司法实践应依照格式条款应用的有关规定,对侵权行为人设置格式条款的注意义务进行审查,进而判定收集行为有无违反信息主体意思自治,最后认定收集行为的法律效果。
第二,个人信息利用中的侵权行为。刑法中个人信息的利用表现为非法出售和非法获取两类行为,故信息买卖行为当纳入民事侵权行为范畴。除此,利用个人信息进行定向侵扰、智能应用读取收集存储内容对用户进行个性化推荐、广告推销商收集个人信息进行定向推销等行为,均属个人信息利用中的侵权行为。
第三,个人信息整合中的侵权行为。大数据技术的运用使碎片化的个人信息经加工、处理、分析后成为特定个体的图谱,该类行为在传统个人信息法律保护研究中未受重视,但现实中,商业主体利用数据整合准确定位到具体个人的想象变成现实,诸如人肉搜索、定点推销等行为的频繁发生。科技带来的侵权行为当受法律重视。再者,通过对特定群体的个人信息进行整合可形成规模及功能均庞大的数据库,借助足够智能的程序设计,微不足道的信息经整合便可发展成为潜在商机。如分析特定人的交易记录,判断其交易偏好,以此达到有效的广告推广。值得关注的是,这一过程中被分析者可能在某场域成为“透明人”,从而可能对该群体的个人生活造成潜在威胁。
第四,个人信息存储中的侵权行为。个人信息经收集后必储于相应媒介,若其保存期限、使用目的、管理责任等不明确,一旦出现隐私信息利用或泄露,可能会对信息主体个人生活带来极大困扰。如门户网站上个人信息的更新、更正、遗忘等行为,均可能对信息主体带来人格或财产上的侵损。再如政府机构、航空公司、学校、医院等服务部门,因工作需要存储的个人信息,若其管理不规范,则很可能对信息主体个人形象或私人生活存在侵扰隐患。
第五,个人信息遗失中的侵权行为。包括个人信息自然遗失和非法窃取两类。第一类指个人信息控制者因不当管理而致遗失,此类行为并不直接损害个人信息主体,但事后经某些人有意的信息整合,对信息主体而言同样存在侵损隐患。第二类非法窃取行为,如木马程序植入、微型监控等,这些行为违背了个人信息主体意愿,而且后续往往会造成较为恶劣的信息主体财产或人格利益的侵损结果。
(三)明晰个人信息侵权的认定标准:行为识别
个人信息侵权纠纷中,身份识别要素的重要性被高估,只要涉案信息与特定人之间有关联,考虑到对信息主体的潜在精神威胁,就应当认定为法律所保护的个人信息。但法律保护与承担责任显然不是等价命题。侵权责任的判定应把握侵权责任构成要件,其不仅是侵权责任有机构成的基本要素,也是判断侵权人是否担责的根据。[41]个人信息侵权的行为识别存在以下几种认定模式。
第一,存在个人信息侵权行为。侵权行为通常表现为个人信息收集、利用、整合、储存、遗失等过程中对四类法益的侵害。个人信息法律保护应关注信息背后的人,具体体现为对人格利益和财产利益的保护。因此在判定行为性质时,关注点依旧在权益的侵害。需要注意的是,个人信息之上的人格利益与财产利益有时会出现冲突,此时利益的衡平应从个案出发,在不对信息主体形成实质性损害的前提下最大可能保护信息的流通。
第二,造成损害结果。侵权损害事实由民事权利被侵害和利益受损两方面要素构成。民事权利决定侵权行为的范围和性质,确定的利益损害决定侵权责任的成立及赔偿范围。[42]对个人信息上人格要素与财产要素的损害,可能导致其承载的权益的三种损害:直接人格利益损害(身份信息中包含的个人自由及尊严等价值)、精神创伤及痛苦(因信息侵权造成的间接精神伤害)、财产利益的损失(包括信息内含的财产价值等)。司法实践中精神利益的侵损证明相对困难,因为个人信息的不当利用往往给信息主体带来不同程度的精神担忧或者对生活环境造成困扰,而受害人身体上的实质损害很难在法律上举证证明。面对这一司法困境,英美侵权法中的自身可诉侵权制度可提供突破思路。
自身可诉侵权中,受害人的举证义务仅限于向法院证明被告的侵权行为存在,至于损害之有无与程度的证明并不是原告的义务。[43]在个人信息侵权纠纷中引入这一诉讼机制可避免被害人举证不能的困境,也可根据侵权行为性质判定损失,最大限度地维护信息主体的利益。此外,既然侵犯个人信息权可能造成多重损害事实,受害人因此也可以享有数个赔偿请求权。
第三,因果关系认定。一般财产利益的直接损失,较易被证明其与侵权行为之间的关系,而侵权行为与人格利益的损害、与间接财产利益的损害,则需要用相当因果关系理论和法规目的说予以补充认定。
相当因果关系说强调的是一个普通人对损害结果一般程度的可预见性,[2]238“其情事对于结果为不可缺之条件,一般的有发生同种结果之可能者,其条件与其结果为有相当因果关系”。[44]这也意味着,法院应按照侵权行为发生时的一般社会经验为判断标准,若此行为可能且客观地引起了该损害后果,那么两者之间存在因果关系。例如庞理鹏与北京趣拿隐私权纠纷案中,信息公司数据库中储存有客户的个人信息,其声称已对数据库采取一定安全保障措施,用户数据泄露盖由黑客入侵所致。若此说法成立,黑客入侵与客户个人信息的泄露之间固然存在因果关系,而考量经营者的行为,保密系统并未达到足够安全标准,其不作为或作为程度不够的行为与数据泄露有因果关系;若此说法不成立,数据库保密措施足够完备,则数据泄露只能由信息公司内部人员泄露,这便是直接因果关系。无论案情属哪种假设,趣拿公司的行为均使信息主体暴露于信息泄露的危险之下,理当承担责任。
相当因果关系说虽然可有效认定行为的侵权性质,但法官可能会因同情受害者而致因果关系链条认定过长。由此,Ernst Rabet教授提出法规目的说,认为侵权行为所生赔偿责任当探究侵权法规之目的。[45]如信息主体因个人信息不当利用产生精神痛苦的情形,在相当因果关系立场上,被害人的精神痛苦很难被归类为行为人可预见结果之列。但探究法意,精神侵损确属法规保护目的之列。于是,法规目的说能够弥补相当因果关系说难以解决的特定侵害发生的赔偿问题。
第四,行为人存在主观过错。过错是主观心理状态的评价,只有通过行为外现,才有被法律评价与非难的可能。[46]个人信息侵权中,公务机关的侵权行为采取无过错责任归责原则,故此处只针对非公务机关个人信息侵权行为。侵权人的主观过错分为两类:故意与过失,两者均强调认识和意愿两大要素的存在。就故意而言,是行为人明知后果而执意为之的行为,如行为人明知超越收集目的而决意对个人信息加以利用或披露等行为,其主观过错溢于行为之外,容易断定。司法难点在于对过失的判定。现代侵权法以补偿和预防为基本功能,[2]266侵权人发生侵权行为时虽未明确预知后果,但其行为性质足够恶劣时,亦须对其予以规制,如此便产生过失这一心理状态的认定问题,要求行为人同时存在预见之可能及可回避之性质。实践中通常采取善良管理人标准进行行为过失判定,即从主观过失标准转向客观过失判定,以理性人在同样时空下应当达到的注意程度而非行为人主观预见程度来判断有无过失。[47]在个人信息侵权判定中同样可采取这一原则,但需特别注意的是,虽然个人信息侵权属于民事行为,但通常信息利用主体与信息主体间的地位并不实质平等,因此在司法裁断中赋予一方主体一定的限制是必要的。如可依据职业人员的一般认知水准、行为的危险程度、预防损害的成本高低等要素来对个人信息侵权法律关系的主体予以利益平衡。王利明先生提出的以“中等偏上”的理性注意标准对信息流转中的行为予以规范便是利益衡平后的结论。[48]
结 语
司法实践中个人信息的法律界定是个人信息侵权案件判定的前提。现代技术的快速发展与立法的滞后性导致了个人信息的界定缺乏明晰的标准,大数据时代个人信息的潜在范围无限扩张,法律适用面临极大的不确定性,因此以身份识别为中心的个人信息范围界定标准面临司法适用困境。个人信息受法律保护源于其上附着的人格利益与财产利益,司法实践应区分权利保护客体和权利保护对象,更应关注法益而非个人信息本身,从而实现个人信息侵权裁断中从身份识别向行为识别的转换,有效解决某些信息侵扰行为被排除法律救济范围、个人信息潜在范围过大导致的法律适用难的司法困境。当然,信息保护与信息利用之间存在天然张力,需要法官在个案中以利益衡量,这是另一司法难题,需要将来进一步探讨。
注释:
①一般认为信息是数据反映的内容,数据是信息的表现形式,两者区别在于数据可以计量而信息不能,因此个人数据、个人信息、个人资料等概念的区别,仅在表述角度或翻译差别,在本文中具有同样法律含义。参见齐爱民:《中国信息立法研究》,武汉大学出版社2009年版,第74页。
②具体如欧盟《一般数据保护条例》(GDPR)第4.1条规定,“个人数据是指与一个已被识别或者可识别的自然人(数据主体)相连的任何信息”;美国加州《消费者隐私权法案》规定,个人数据指处于受管辖实体控制之下的,通过合法方式无法被公众获取的,且链接到或切实可由受管辖实体链接到特定个人的,包括个人相关常用设备的任何数据;同样的,中国香港法例第486章《个人资料保护法》第2条第1项规定,个人资料指下列任何资料:(a)直接或间接与一名生者有关的;(b)可从该资料直接或间接地查明某人身份的;(c)该等资料的存在形式是可予以查阅及处理的。可见,对个人信息的认定通常与身份识别紧密相关。
③中国国家标准(GB/T 35273—2017)规定,个人信息(personal information),指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息。(个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。)
④参见北京百度网讯科技公司与朱烨隐私权纠纷案,(2014)宁民终字第5028号。二审法院认为,网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。
⑤奥平康弘:《知情权》,岩波书店1981年版,第384-385页,转引自周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第48页。
⑥参考石建军与中国工商银行股份有限公司黄山城建支行、中国人民银行征信中心名誉权纠纷案,(2014)黄中法民一终字第00285号;周桂英与中国农业银行股份有限公司罗山县支行名誉权纠纷案,(2009)罗民初字第895号。
⑦参考中国工商银行股份有限公司个旧支行与段明波、中国人民银行征信中心人格权纠纷案,(2010)云高民一终字第43号。
⑧我国《侵权责任法》第62条规定,医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开病历资料,造成患者损害的,应当承担侵权责任。再如台湾地区《个人资料保护法》第6条规定,有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料,不得收集、处理或利用。这些规定均强调个人隐私利益的特殊保护。
⑨欧盟1995年《数据保护指令》第二十三条,荷兰《个人数据保护法》第四十九条,葡萄牙《个人数据保护法》、意大利《个人和其他主题个人数据处理保护法》、匈牙利《个人数据保护与公共利益数据公开法》等法律,均设置了无过错责任归责原则。参见刁胜先:《个人信息网络侵权归责原则的比较研究——兼评我国侵权法相关规定》,《河北法学》2011年第6期。
⑩2016年欧盟《统一数据保护条例》对数据控制者和数据处理者的侵权责任归责原则进行了区分;德国《联邦个人资料保护法》根据公权力机关和自然人主体,分别规定无过错责任归责原则和过错责任归责原则;我国台湾地区的《计算机处理个人数据保护法》、香港的《个人资料条例》对“公务机关”和“非公务机关”不同的责任主体采取了不同的归责原则。参见张涛:《个人信息权的界定及其民法保护——基于利益衡量之展开》,吉林大学2012年博士学位论文。