个人信息纠纷案件民事检察监督的 难点与对策
2021-05-18柏屹颖沈家奎
柏屹颖 沈家奎
摘 要:民法典将个人信息纳入人格权编予以保护,开启个人信息私权保护新时代。在个人信息纠纷案件民事检察监督实务中,存在案由不确定、赔偿金额难以认定、侵权归责难、举证难等亟需解决的问题。当务之急检法两家受案系统里应尽快确立个人信息案件的案由名称,在司法解释层面需尽早建立最低损害赔偿金兜底制度,并根据侵权人身份及信息处理技术能力的不同确立过错推定为主、无过错责任和过错责任为辅的侵权归责原则,以违法性证明为主来减轻被侵权人举证责任。
关键词:民事检察 个人信息 损害赔偿 侵权 归责
万物互联、大数据、云计算、人工智能等信息技术日新月异,各种APP软件应用层出不穷,每时每刻都有海量的个人信息数据在产生、流动和处理。伴随网络信息产业高速发展的同时,大量个人信息数据被非法采集、泄露和贩卖,个人信息保护的重要性和紧迫性日益凸显。这次民法典中对个人信息的定义、处理原则、免责事由、救济措施等做出原则性的规定,开启了个人信息保护的新时代,为民事检察如何发挥监督职能、做好个人信息保护工作提供了重要的法律依据。但个人信息私权保护,与传统的民事私权相比存在诸多特异性“品质”,比如其既蕴含重要的人格权利益,又具有重要的经济价值,既需要法律给予保护,又需要鼓励合理利用,既属个人私权,又关乎社会公益,既受私法保护,又受到诸多公法调整等。[1]检察实务中发现,在处理个人信息权益纠纷时传统的民事法律思维和手段经常会遭遇“水土不服”,阻碍着民事检察在个人信息保护上发挥更大的职能作用,需要在实践中思考并给出切实可行的解决方案。
一、案由的确定
民事检察的首要工作是对法院的民事诉讼活动进行监督。信息主体在权益被侵害后,无论是向法院起诉还是向检察院申请监督,面临的首要问题就是要以一个确定案由来立案受理,而案由也是对诉争法律事实关系的高度概括和提炼,但实践中无论是法院系统还是检察系统,对于侵犯个人信息纠纷案件并没有一个独立的案由名称来命名,一般都是以“一般人格权纠纷”“隐私权纠纷”“名誉权纠纷”“荣誉权纠纷”等来代替,因为民事案件的案由名称一直是由最高人民法院统一确定并公布使用,不能任意更改。就个人信息的客体和权能内容来说,它与传统的一般人格权和隐私权、名誉权等具体人格权等既存在重合,也有很多不同,用上述人格权案由来表征、替代个人信息纠纷并不贴切,因为个人信息纠纷案件的保护客体是个人信息,根据民法典1034条的定义,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。另外,依据个人信息的敏感程度,又可分为敏感个人信息和一般个人信息,敏感个人信息是指泄露或滥用可能危害人身或财产安全,极易导致个人名誉、身心健康或歧视性待遇的个人信息,像身份证号码、银行账号、行踪轨迹、性取向等信息,这些敏感信息与人的安全、自由、尊严等紧密相关,具有强烈的人格权属性,但一些如职业、学历、网名昵称、游戏积分、品牌喜好等一般个人信息,如果这类信息不具有单独识别性,具有的人格权因素很弱,甚至可称为中性个人信息,对于这类个人信息的侵权纠纷,再用人格权案由来冠名就不匹配。
司法机关一直未给个人信息纠纷确立独立的案由名称原因在于,个人信息是一个伴随着网络化、数据化、信息化时代而来的,民法典颁布前对究竟属传统的民事私法权利,还是新生的公法权利,是人格权还是财产权,是权利还是权益,理论界一直存有很大分歧,有学者担心将个人信息直接界定为个人信息权,会导致个体对个人信息享有过于绝对的控制权,不利于信息的合理流转和利用。[2]也有学者认为个人信息已超出传统人格权范畴,与劳动权、受教育权、消费者权利等权益属性类似,具有公私法多元特点,不宜简单的以民事私权来界定。由于权益性质在相关法律中的定位也不明,导致实务中个人信息纠纷的案由类型无法确定。
這次民法典将个人信息保护明确纳入人格权编,与隐私权并列,相当于赋予其具体人格权的私法权益地位,但又没有使用“个人信息权”这一明确称谓,可见立法机关对部分争议观点采取了谨慎折中的回应,实践中不妨先以“个人信息权益”或“个人信息保护”来代替“个人信息权”这一有争议且没被立法采纳的名称。鉴于民法典已经对个人信息保护作出明确的规定,笔者认为再用目前的人格权案由来囊括所有类型的个人信息纠纷,既可能造成张冠李戴、指向不明,也容易让公众误解检察机关、审判机关对个人信息保护的不重视,更不利于发挥司法机关在个案办理上的教育、引导、宣传作用。建议最高人民法院尽快对《民事案件案由规定》进行修订,将“个人信息权益纠纷”或“个人信息保护纠纷”作为新的案由添入目录中,同时法检两家应及时对办案系统里的案由名目进行更新,对侵犯个人信息的相关纠纷及时使用新案由受案办理。
二、损害赔偿的认定
检察机关在民事诉讼监督实务中,经常发现个人信息被侵权人即使赢了官司却很难获得损害赔偿的情况,法官判决侵权人承担的经常是停止侵害、删除数据、赔礼道歉等非经济责任,这既严重影响了个人信息主体法律维权的积极性,又使得侵权人违法成本过低,起不到应有的惩戒作用,而民事检察部门也认识到这类判决存在缺陷却无力改变,因为造成这一后果并不是法官能力不足、心慈手软或徇私枉法,主要在于个人信息侵权的损害赔偿存在法律障碍:一是损害有无发生不好界定,因为个人信息侵权造成的损害通常是无形的,比如说个人信息被非法采集或泄露,是典型的侵权行为,但在没有发生次生危害的情形下,信息主体很难证明自己具体损失了什么;二是损害的对象不明确,即使法律认定损失存在,该损失究竟是物质财产性利益受损,还是精神上受损害,并不明确;三是损害的金额难以确定,民事侵权赔偿通常以恢复性、补偿性原则为主,即以实际受损数额或侵权获利金额为参数来计算,但在个人信息侵权案件中这两个数额都难以估算。
个人信息侵权犹如强行打开一个密闭的气罐,只要打开就一定有气体溢出,无非是溢出多少而已。同理,个人信息侵权案件中,如果原告已证明发生了侵权行为,比如个人信息被非法采集、泄露等,就应该认定损害已经发生,无需再举证。而损害赔偿的范围应根据侵害的个人信息类型作区分,其中侵害敏感个人信息的,应既包含财产性赔偿和精神性赔偿,而侵害个人一般信息的,则不包括精神性赔偿。因为个人信息从财产属性上说,是一种信息数据资源,是大数据产业的重要“原材料”,蕴含经济价值,被他人非法采集、泄露,当然构成对财产性利益的侵害,而敏感个人信息则具有财产性和人格性双重属性,从人格属性上说,个人信息关乎人的自由、尊严、安全等与人格有关的精神性利益,对其侵害会造成人的紧张、恐惧、不安等,必然造成精神性损伤,比如疾控中心将本地艾滋病毒携带者名单泄露给药品厂商,肯定会给病毒携带者精神上带来严重伤害。所以只要证实存在侵权行为,无论是对一般个人信息的侵害,还是对敏感个人信息的侵害,都会造成个人财产性利益受损或财产性和精神性利益双受损,法官所需裁决只是损害赔偿的大小。
对于赔偿金额问题,应优先采纳原告能够证明的数额,对于原告无法举证证明的,可以借鉴域外个人信息保护法律制度中的法定最低赔偿金兜底制度。如美国加州2018年6月颁布的《加州消费者隐私法案》(CCPA)第1798.150节中规定在侵权事件发生后,每位消费者可以要求“每次事件赔偿不少于100美元且不超过750美元的损害赔偿金或实际损害赔偿金,以数额较大者为准。”我国台湾地区的个人资料保护法是有关个人信息保护方面的专门法律,在第28条中规定“如被害人不易或不能证明其实际损害金时,可请求法院依侵害情节,以每人每一事件新台币5百元以上2万元以下计算”。[3]实践中,可以通过司法解释来确定个人信息侵权的最低赔偿金范围,比如500元至5万元,当被侵权人无法举证其在财产上或精神上遭受的损害金额时,由法官根据侵权人的侵权手段、动机、过错程度、持续时间等情节,确定实际赔偿金额。另外侵权人还要承担被侵权人为制止侵权行为、委托律师和起诉等方面的合理开支。
三、侵权责任归责原则的明确
从民事检察实践来看,在个人信息纠纷案例中,纠纷引起的民事责任既有违约责任也有侵权责任,而绝大多数是侵权责任,但我国法律目前对个人信息的侵权责任适用何种归责原则没有具体规定,给民事审判及民事检察监督都带来困惑。根据我国法律的规定,侵权责任的归责原则分为过错原则、过错推定原则和无过错原则,其中过错原则产生于罗马法,该原则在1804年《法国民法典》中被正式确立并被各国立法所效仿,成为侵权责任认定时最主要的归责原则,其曾被自然学派推崇为民法学上的“最大成就”和罗马法中“最有价值的遗产”。过错原则要求只有在行为人存在过错的情况下,才对行为造成的损害承担责任,该归责原则导致被害方承担的举证责任最重。民法典中有关个人信息的六个条文中没有涉及侵权归责问题,侵害个人信息的侵权责任认定究竟是适用何种归责原则,理论界有多种观点,传统民法学者认为对个人信息的保护是民事私权保护的一种,侵犯私权一般适用过错原则,因为无论是依据原侵权责任法的相关规定,还是民法典第7编侵权责任中1165条、1166条的规定看,在法律没有明确规定时,民事侵权责任的认定都应该适用过错原则,对个人信息的保护也不例外。也有学者认为个人信息保护既涉及私权和民事法律,也涉及公共利益和公法,对侵害个人信息的归责认定不能只依据民事法律,除了正在制定中的个人信息保护法,《消费者权益保护法》、《网络安全法》、《电子商务法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、征信业管理条例等多部单行法律法规也都对个人信息保护做了很多规定,比如《网络安全法》第74条中规定:“违反本法规定,给他人造成损害的,依法承担民事责任”,由此认为也可以适用无过错原则或过错推定来认定。[4]
不同的归责原则对应不同的证明责任,过错原则需要被侵权人证明侵权人存在过错,否则其主张不会被支持。过错推定原则则实行举证责任倒置,由侵权人举证证明自己无过错,否则推定其有过错,而无过错原则只要侵权人违反法律造成侵权事实就应该承担法律责任,无需证明是否有过错,因此被侵权方的举证责任最轻。常见的侵权行为,如故意伤害、交通肇事、销售伪劣产品等,通常具有外在可见的行为及可感知的后果,被侵权人举证比较容易,但个人信息侵权具有隐蔽性、技术复杂性和难以感知性,一方面对过错进行证明的难度大,另一方面被侵权人通常是个体自然人,而侵权人往往都是企业组织或公权部门,被侵权人与侵权人相比无论是在财力、专业技术、诉讼能力上都难以对抗,如果将个人信息侵权责任一律以过错归责原则来认定,将远远超出被侵权人的举证能力,使法律赋予司法机关的权利救济功能落空,挫伤被侵权人的诉讼维权积极性。但若一律以无过错责任来认定,则会无限加大个人信息处理者的法律责任,导致信息数据行业参与者动辄得咎,妨碍了个人信息的合理流动和大数据产业的发展。对比域外地区的相关做法,欧盟目前对个人信息侵权采取的是过错推定责任,在欧盟2018年实施《一般数据保护条例》(GDPR)第82条第3款的规定“控制者或处理者如果证明自己对引起损失的事件没有任何责任,那么其第2段所规定的责任可以免除。”[5]在我国台湾地区,根据侵权人是公务机关和非公务机的不同,分别承担无过错责任和过错推定责任。
根据域外地区处理个人信息侵权案件的司法经验看,往往根据侵权人的身份和侵权手段的不同确立相适应的归责原则,因为从实际案例看,企业、组织类侵权人与非企业组织类侵权人在侵权的能力、范围、数量和影响后果上有着天壤之别,而同样是组织类行为人,公权部门与一般组织相比在收集个人信息方面具有更多的便利以及享有更多的免责事由,后者需要受到更严厉的监管。而从侵权技术手段上说,人工处理与采用智能自动化的处理信息技术相比,在侵权的广度、数量、频次、危害后果、隐蔽性等方面也难以相提并论,后者也需要负担更多的举证义务。笔者认为,最高人民法院可以适时修改相关司法解释,借鉴域外国家和地区在立法、司法上的成熟经验,对个人信息侵权纠纷案件的处理作出专门的规定,依据侵权人在身份及信息处理技术手段的不同来区别适用不同的归责原则,对非企业组织类并采用非自动化信息处理手段的侵权人適用过错责任,对公权机构侵权人一律适用无过错责任,其余的侵权人一律适用过错推定责任。
正如百度公司李彦宏所言“中国人愿意用隐私换便捷”[6],中国老百姓保护个人信息的意识普遍不强,而生活场景中各项业务的实名制、无处不在的监控探头及网络信息黑产的猖獗,更加剧了个人信息侵权的泛滥,如何有效遏制这一局面,对现行法律和司法实践提出了挑战。有人担心对个人信息侵权的司法救济过于激进,会阻碍中国网络信息产业的发展,但实际情形正相反,当下中国实际面临的是国家司法权对个人信息的保护过于软弱,中国网络信息公司对个人信息保护的漠视态度也广受诟病,而这正损害着中国网络信息产业的声誉和海外拓展。
对个人信息的保护应发挥公私法协同治理效应,除了加快制定我国《个人信息保护法》外,当前可通过司法解释层面的调整优化,最大限度激发个人信息主体充分行使诉权,毕竟被侵害人自己比公权机关更关心自己的权益,而民事救济手段比行政手段、刑事手段更高效、更节约司法资源,真正实现民法典对个人信息加强保护之目的。
注释:
[1] 参见周汉华:《个人信息保护的法律定位》,《法商研究》2020年第3期。
[2] 参见丁晓东:《个人信息私法保护的困境与出路》,《法学研究》2018年第6期。
[3] 林洲富:《个人资料保护法之理论与实务》,台湾元照出版公司2019年版,第107页。
[4] 参见叶名怡:《个人信息的侵权法保护》,《法学研究》2018年第4期。
[5] 京东法律研究院:《欧盟数据宪章:〈一般数据保护条例〉(GDPR)评述及实务指引》,法律出版社2018年版,第268页。
[6]包雨朦:《李彦宏:中国人多数情况下愿意用隐私交换便捷性》,新浪网http://news.sina.com.cn/s/wh/2018-03-26/doc-ifysrivq8493582.shtml,最后访问日期:2020年9月20日。