个人信息侵权责任的规范构造*
2022-01-20李昊
李昊
在2021年8月20日通过的《个人信息保护法》中,个人信息侵权责任的请求权基础体现为第69条第1款,与之配套的还有第20条第2款规定的个人信息共同处理者的连带责任(但限于法律规定的情形,属于引致性条款)和第70条规定的大规模个人信息侵权的群体诉讼规范。其他章节的条文或者涉及个人信息处理者的义务或者涉及个人信息权益的内容,关联着第69条第1款规定的责任构成中的侵权行为样态、过错的判断、抗辩事由(如告知同意)和救济方式(更正、删除等),形成请求权基础的规范体系。
与2020年10月的“一审稿”和2021年4月的“二审稿”相比,《个人信息保护法》第69条第1款在表述方式上衔接了《民法典·侵权责任编》第1165条第1款,区分了“侵害个人信息权益”和“造成损害”,并延续“二审稿”第68条第1款的规定,明确采用了过错推定责任。第69条第2款除删去了当事人协商的表述外,基本延续了《民法典·侵权责任编》第1182条的规范内容,将个人信息权益享有者遭受的损失和个人信息处理者的获益并列作为损害赔偿数额计算的选择项,并在赔偿数额难以确定的情形,赋予法院最终的裁量权。
除了关联《民法典·侵权责任编》关于侵权责任的一般规定外,《个人信息保护法》在个人信息侵权责任上还与《民法典·总则编》《民法典·人格权编》中的个人信息责任规范有着密切关联。特别是《个人信息保护法》第13条涵括了《民法典·人格权编》第1035条规定的个人信息侵权的抗辩事由并进行了扩充,第44-47条细化了《民法典·人格权编》第1037条规定的个人信息权益的内容,第49条则呼应《民法典·人格权编》第994条关于死者人格利益保护的规定。
虽然在个人信息侵权责任规范上,《个人信息保护法》较之《民法典》更趋完善,但围绕个人信息的权益属性,其侵权责任构成仍存在着需要进一步明确的问题:(1)《个人信息保护法》保护的个人信息权益是公权益,还是私权益?区分个人信息权利和个人信息利益对其侵权责任构成是否有影响?(2)个人信息权益和其他民事权益在侵权责任上如何界分?(3)个人信息权益侵害和损害是否应当区分?各自的规范内容是什么?这些问题既涉及《个人信息保护法》和《民法典》中的个人信息侵权责任规定之间的关系,也涉及《个人信息保护法》个人信息侵权责任的规范构成,本文将围绕上述问题对个人信息侵权责任的规范构造展开分析。
一、个人信息侵权责任保护的法益——个人信息的民法属性
(一)基于《民法典》编纂的理论争议
《民法典》第111条延续了《民法总则》第111条的规定,同时又在人格权编第6章(隐私权与个人信息保护)对个人信息保护作了更为具体的规定,但始终没有明确受保护的是自然人的个人信息权利,还是自然人的个人信息利益。这种立法表述上的模糊,不仅引发了民法学者关于个人信息法律属性的讨论,还引发了公法学者与民法学者之间的争议,但这种争议是否影响在民法范围内构建个人信息侵权责任的规范体系,值得讨论。
学界关于个人信息侵权的保护对象的讨论,主要存在民事权利说、民事利益说和公法权利说三种不同的观点。但这三种观点之间的分歧并非绝对的不可调和,而是存在一定的共识,并且这种学理共识也已经被最新通过的《个人信息保护法》所接纳。
民事权利说认为,自然人对个人信息享有个人信息权,其属于一种新型的具体人格权。其主要理由在于:(1)隐私信息与个人信息之间存在诸多差别,无法将对个人信息的保护附属于隐私权之下;①参见王利明:《论个人信息权在人格权法中的地位》,《苏州大学学报(哲学社会科学版)》2012年第6期,第68页;王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期,第62页。(2)既有的人格权保护范围也无法涵盖对个人信息的保护;②参见王成:《个人信息民法保护的模式选择》,《中国社会科学》2019年第6期,第137页。(3)在比较法上也没有对个人信息进行法益保护的先例。③参见杨立新:《个人信息:法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》,《法学论坛》2018年第1期,第39—40页。故应当对个人信息采取权利模式的保护,承认自然人对个人信息享有个人信息权。民事权利说对民事利益说的批判在于:“合法利益”的范围和内容本身非常模糊,而我国既有法律体系也没有为“合法利益”提供配套的独立责任规范。①参见王成:《个人信息民法保护的模式选择》,第137—139页。在司法实践中,受害人常常会因为无法举证“损害事实”这一侵权责任的构成要件而导致维权不能。②参见杨立新:《私法保护个人信息存在的问题及对策》,《社会科学战线》2021年第1期,第198—199页。
民事利益说对民事权利说的观点持否定态度,该观点认为自然人对个人信息并非享有民事权利,而只是享有民事利益。理由主要有:(1)个人信息的内涵及外延并不明确,无法达到权利客体所应具有的具体特定要求,而且与其他人格权客体存在交叉重合。③参见郑晓剑:《个人信息的民法定位及保护模式》,《法学》2021年第3期,第120—121页。(2)个人信息权益具有场景性特征,即个人信息权益并不是绝对的,其还应当受到社会利益及公共利益的限制,个人信息规范应当视具体的场景而定,故不宜设置绝对权性质的个人信息权。④参见金耀:《个人信息私法规制路径的反思与转进》,《华东政法大学学报》2020年第5期,第85—86页。(3)《民法典》第111条虽被规定在总则编第五章“民事权利”中,但并未将个人信息明确规定为个人信息权,而该条在具体人格权的规定(第110条)之后,身份权、财产权(第112条以下)之前,更倾向于是将其作为人格利益进行保护。⑤参见程啸:《民法典编纂视野下的个人信息保护》,《中国法学》2019年第4期,第26页。
公法权利说则认为,个人信息受保护的权利并非一项私法上的权利,而是一项公法权利。周汉华教授认为,不同于人格权这一传统的民事权利,个人信息权则是完全独立的一项新型公法权利,后者的保护客体及义务主体应分别是数据处理活动中涉及的个人信息和数据控制者,而非按照传统隐私权观念将保护客体及义务主体泛化为全部个人信息及任何组织和个人,个人信息究竟是权利还是权益的争议正是由此导致。⑥参见周汉华:《个人信息保护的法律定位》,《法商研究》2020年第3期,第50—51页。王锡锌教授进一步认为,应以“个人信息受保护权——国家保护义务”框架建构个人信息的权力保护模式,⑦参见王锡锌:《个人信息国家保护义务及展开》,《中国法学》2021年第1期,第149页。而《民法典》确立的个人信息受保护权,只是宪法上的个人信息受保护权在具体法律中的表述。⑧参见王锡锌:《个人信息国家保护义务及展开》,第149页;王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,《清华法学》2021年第3期,第11页。
(二)理论争议中的共识
民事权利说与民事利益说的观点分歧只是存在于民法范畴内,而公法权利说则是站在公法的立场上,认为个人信息的法律属性并非是一项民事权利或民事利益。公法权利说的担忧在于,如果承认自然人对个人信息享有的是一项民事权利,便意味着个人信息成为绝对、排他、对世的权利对象,个人信息的流通价值会因此被抹杀,而且对个人信息的私权保护无法对抗公权力,也无法导出对个人信息来自多部门法的多重保护。⑨参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,第9—10页。尽管民事利益说也不认同自然人对个人信息享有绝对、排他、对世的民事权利,但公法权利说对民事权利说的其他批评也同样适用于民事利益说。不过,公法权利说的上述批评值得讨论。
首先,即使是持民事权利说的学者,也并未认可自然人对个人信息的绝对控制,也在强调自然人对个人信息享有的权利是受到限制的,其对个人信息的支配主要表现为对信息的使用,而权利的排他性也只有当外界的介入损害到主体尊严时才会发挥作用,并不会对信息的流通造成不利影响。①参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,第66页;叶名怡:《个人信息的侵权法保护》,《法学研究》2018年第4期,第85页。其次,持民事权利说的学者也并未否认其他部门法介入对个人信息的保护,反而也在提倡民法与各部门法之间对个人信息的协同保护。②王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,第71页。同时,值得注意的是,持公法权利说的学者所欲表达的只是自然人在民法领域内对个人信息享有的民事权利或民事利益源自更高层次的宪法上的权利,而未对民法中的个人信息保护持否定态度。③参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,第11页。既然公法权利说认可民法对个人信息的保护,必然要承认自然人对个人信息享有民事权利或民事利益,因为只有民事权利或民事利益才会受到民法的保护。因此,公法权利说与民事权利说或民事利益说对于个人信息应受到民法保护这点,是存在共识的。
在民事权利说与民事利益说的内部争议中,二者对于个人信息应受民法保护更是没有争议,只不过是应通过民事权利还是应通过民事利益进行保护的问题。对于个人信息的民法保护,当下采取民事权益说的观点或许更容易为各方所接受。具体而言,《民法典》第126条规定“民事主体享有法律规定的其他民事权利和利益”,这是关于民事主体享有的民事权益的兜底性规定。④参见黄薇主编:《中华人民共和国民法典总则编解读》,北京:中国法制出版社,2020年,第403页。因此,在民法语境下,“权益”一词既可能指民事权利,也可能指民事利益。民事权益说正是在此基础上展开,其无意于纠结个人信息究竟是作为民事权利保护,还是作为民事利益保护,而更关注如何对个人信息进行具体保护。虽然对于个人信息的性质究属权利抑或利益仍有争论,但是都不妨碍法律将其确定为自然人的人身非财产性质的人格权(权益),⑤参见张新宝:《〈民法总则〉个人信息保护条文研究》,《中外法学》2019年第1期,第74页。该权益的具体名称如何对于自然人并不重要,重要的是对于其内容和保护方式加以明确。⑥参见程啸:《我国〈民法典〉个人信息保护制度的创新与发展》,《财经法学》2020年第4期,第35页。
因此,无论是公法权利说,还是民事权利说或民事利益说,达成的共识是:自然人对个人信息是享有民事权益的,并且这种民事权益应受到民法的保护。
(三)《个人信息保护法》的立场
《个人信息保护法》无疑尊重并体现了上述共识。该法中共有15个条文出现“权益”一词,尤其是第69条第1款表明,如果个人信息处理者处理个人信息侵害个人信息权益造成损害,应根据过错推定原则承担侵权责任。这便意味着《个人信息保护法》中的“权益”至少是包含民事权益的,而第69条有关侵权责任承担的规定更进一步明确了这种民事权益是如何受到民法保护的。
其实,即使将该“权益”理解为利益,也不意味着对其保护力度不强。正如有学者所言,尽管某种利益并没有上升到运用权利工具进行保护的程度,但只要有法律明确规定应该予以保护,其在责任构成要件上与对权利的保护就不存在本质的区别。⑦参见方新军:《权益区分保护的合理性证明——〈侵权责任法〉第6条第一款的解释论前提》,《清华法学》2013年第1期,第156页。在《民法典》等法律已经规定自然人的个人信息应受法律保护,并且《个人信息保护法》第69条第1款又明确了个人信息侵权责任的构成要件的情况下,更是如此,无论是将“权益”理解为民事权利,还是理解为民事利益,二者在侵权责任的构成要件上并无不同。就此而言,《个人信息保护法》的做法无疑是非常务实的,值得肯定。
不过,相较于生命权、身体权和健康权等物质性人格权,个人信息权益作为一项非物质性人格权益,更容易与其他权益产生冲突,是否对其进行保护,需要综合考虑各种因素进行权衡。为此,《民法典》第998条引入了动态体系论的观点,对于侵害非物质性人格权是否应承担民事责任,应综合考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素。①参见王利明:《民法典人格权编中动态系统论的采纳与运用》,《法学家》2020年第4期,第5页。②参见朱晓峰:《人格权侵害民事责任认定条款适用论》,《中国法学》2021年第4期,第62页。有观点认为,《民法典》第998条作为不完全法条,其并非独立的请求权基础,而是在《民法典》第1165条第1款的框架内作为辅助性规范发挥作用。②该观点过于片面。《民法典》第1165条第2款规定的过错推定责任也是在第1款规定的过错责任的基础上展开的,第998条同样可以在过错推定责任的框架内发挥辅助性规范的作用。《个人信息保护法》第69条第1款已明确个人信息侵权适用过错推定责任,其实际上是《民法典》第1165条第2款在个人信息保护领域中的具体体现,《民法典》第998条当然可以在《个人信息保护法》第69条第1款的框架内发挥辅助性规范的作用。不过,由于《个人信息保护法》第69条第1款为了强化对个人信息权益的保护而采取了过错推定责任,在判断侵害个人信息权益是否应承担侵权责任时,无需特别考虑过错因素。此外,由于个人信息的私密性程度与是否更容易遭受侵害呈正相关的关系,③参见张建文、时诚:《个人信息的新型侵权形态及其救济》,《法学杂志》2021年第4期,第43页。需要将个人信息的私密程度同剩余的其他几项因素一并作为个人信息权益是否遭受侵害的考虑因素。
二、个人信息侵权责任规范的体系关联
(一)个人信息侵权责任规范的独立性
《个人信息保护法》中确立的个人信息侵权责任规范的目的显然是为了保护个人信息权益。从《民法典》中的条文规定来看,第110条和第990条第1款对具体人格权的类型进行了列举,第109条和第990条第2款则是对一般人格权的规定,属于前两项规定的兜底性条款。但第109条和第990条第2款中并未列举个人信息,个人信息保护是由第111条和人格权编第六章“隐私权和个人信息保护”来专门规定的,这似乎意味着自然人享有的个人信息权益既非具体人格权,也无须通过一般人格权来加以保护,自然人享有的个人信息权益体现为介于一般人格权与具体人格权之间的一项人格权益,其自身存在着不同于一般人格权和具体人格权的独特法律价值,应当单独受到法律保护。
有观点认为,个人信息权益是一项受保护的防御性权益,可为自然人既有的人格权和财产权树立起保护屏障。④参见程啸:《民法典编纂视野下的个人信息保护》,第37页;程啸:《论大数据时代的个人数据权利》,《中国社会科学》2018年第3期,第116页;杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期,第22页。此时,个人信息侵权责任规范可被理解为一种前置性保护规范,有效防范因个人信息被非法利用而可能产生的抽象危险以及这种抽象危险可能现实化后的人格或财产受损。⑤参见杨芳:《个人信息保护法保护客体之辨——兼论个人信息保护法和民法适用上之关系》,《比较法研究》2017年第5期,第81页。因此,个人信息权益应单独受到法律保护。但另有观点对此表示质疑称,既然个人信息权益的法律价值仅仅止于此,为何不直接以这些人身、财产权利寻求防御性救济,反而舍近求远寻求个人信息的法律保护?①参见陆青:《数字时代的身份构建及其法律保障:以个人信息保护为中心的思考》,《法学研究》2021年第5期,第7页。该质疑确属有力。无可否认的是,法律强调对个人信息自主控制的保护,确实可以有效避免自然人既有的人格权和财产权遭受侵害,但这只是法律保护个人信息自主控制的溢出效应,而并非个人信息权益应受保护的核心理由。实际上,个人信息权益在价值上的独立性,首先体现在法律对个人信息自主控制的认可。在信息化时代,自然人的个人信息面临着被过度搜集的威胁,这种过度搜集已经远远超过正常社会交往的必要限度,打破了个人信息自主控制与个人信息流动之间的平衡。因此,为维系这种平衡,除非存在法定事由,未经自然人同意,不得随意搜集自然人的个人信息,自然人对个人信息能否被搜集、能够在多大限度内被搜集以及能够在多大限度内被使用都享有自主决定的权利。有学者将之进一步总结为法律对个人信息的自主价值和使用价值的保护,前者的主要内容是通过对个人信息的自主使用实现人格自由发展,后者则是指个人信息以通过在社会交往过程中公开并流转的方式为本人带来各种利益。②参见谢远扬:《个人信息的私法保护》,北京:中国法制出版社,2016年,第43—46页。还有学者认为,保护个人信息的目的在于使个人身份在自主性、完整性层面得到正确的定位。③参见陆青:《数字时代的身份构建及其法律保障:以个人信息保护为中心的思考》,第14页。但这种观点显然是仅注意到了个人信息的自主价值,而忽略了个人信息的使用价值。
(二)个人信息侵权责任规范的关联性
如上文所述,个人信息权益有着与既有人格权不同的独立价值,这便意味着各自的侵权责任规范应当相互独立,但个人信息的内容十分丰富,包含私密信息、肖像信息、姓名信息等内容,而这些个人信息内容同时也属于隐私权、肖像权、姓名权等具体人格权的保护对象,因此《个人信息保护法》中的个人信息侵权不可避免会和《民法典》规定的具体人格权侵权发生保护上的竞合问题。
关于对私密信息可能产生的重叠保护的处理,《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”立法机关释义书及权威学者均认为,之所以如此规定,是因为法律对权利的保护程度要高于权益,对私密信息优先用隐私权的保护方式进行保护,可以实现更高程度的保护。④参见黄薇主编:《中华人民共和国民法典人格权编解读》,北京:中国法制出版社,2020年,第212页;王利明:《和而不同:隐私权与个人信息的规则界分和适用》,《法学评论》2021年第2期,第19页。但结合《个人信息保护法》第69条的规定来看,这种解释理由现在就有待商榷了。根据第69条第1款的规定,私密信息遭受侵害并产生损害时,信息主体向个人信息处理者主张损害赔偿责任,适用的是过错责任推定原则,信息主体无须证明个人信息处理者存在过错。但如果是采取隐私权的保护方式,隐私权作为一项具体权利,在其遭受侵害并产生损害时,适用的是《民法典》第1165条第1款规定的过错责任原则,信息主体主张损害赔偿责任时仍需证明个人信息处理者存在过错。相比之下,对私密信息采取个人信息保护的方式其实力度更强,更有利于信息主体向个人信息处理者主张侵权责任。
尽管《个人信息保护法》第69条的规定对私密信息保护更具优势,但鉴于《民法典》第1034条第3款已明确隐私权规则的优先适用,当私密信息遭受个人信息处理者的侵害时,也只能进一步援引《民法典》第1165条第1款规定的过错责任进行保护。不过,为最大程度上化解这种立法上的明显冲突,可寄希望于在实践中尽量降低信息主体对过错要件的证明标准。例如,在《民法典》及《个人信息保护法》出台前的庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案中,原告仅被要求对过错要件承担较低的证明标准。①参见北京市第一中级人民法院(2017)京01民终509号民事判决书。
而对于肖像、姓名等个人信息的保护,便并不会出现上述解释上的困境。当含有肖像、姓名等内容的个人信息遭受侵害并产生损害时,信息主体享有两种请求权,既可基于《个人信息保护法》第69条第1款的规定向个人信息处理者主张损害赔偿责任,也可基于《民法典》第1165条第1款的规定向个人信息处理者主张损害赔偿责任。二者构成请求权的竞合,权利人可以择一主张。但如果在信息主体无法证明个人信息处理者的过错的情况下,仅可以依据《个人信息保护法》第69条的规定向个人信息处理者主张个人信息侵权的损害赔偿责任。
三、个人信息权益的侵害样态
有观点认为,关于个人信息权益遭受的侵害,应划分为信息安全遭受的侵害与信息权利遭受的侵害,前者可能引发下游的人身或财产权益遭受侵害,而后者则会导致个人信息失去控制或违背自决意愿。②参见商希雪:《侵害公民个人信息民事归责路径的类型化分析——以信息安全与信息权利的“二分法”规范体系为视角》,《法学论坛》2021年第4期,第100页。该观点显然扩大了个人信息权益的内涵,尽管对于个人信息权益进行保护可对既有的人身或财产权益避免遭受侵害有所助益,但这只是法律对个人信息权益的自主控制进行保护的溢出效应,而并非意味着信息安全本身属于个人信息权益的规范内容。如上文所述,个人信息权益的规范内容体现在自主价值和使用价值两个方面,在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等个人信息处理活动中,非法的个人信息处理行为对个人信息权益的侵害本质上应是对其自主价值和使用价值的侵害。
《民法典》及《个人信息保护法》基于对个人信息自主控制的保护,确立了知情同意原则,即个人信息处理者进行个人信息处理原则上应令个人知情并征得其同意。正因如此,《个人信息保护法》在第四章“个人在个人信息处理活动中的权利”中首先规定的便是个人的知情权、决定权(第44条),此两项权利是该章规定的其他权利的前提和基础。换言之,第45条第1款规定的查阅权与复制权、第48条规定的要求解释和说明权、第45条第3款规定的可携带权、第46条规定的更正权与补充权、第47条规定的删除权都是知情权、决定权的延伸。此外,通过《民法典》第993条还可以解释出许可他人使用个人信息的权利,同样也是知情权、决定权的延伸。上述个人在个人信息处理活动中的权利,又可以区分为原权利和救济权,前者包括知情权、决定权、查询权、复制权、要求解释和说明权、可携带权,而后者则包括更正权、补充权和删除权,后者是在前者遭受侵害时赋予权利主体的救济性权利,其本身不再发生再次被侵害的问题。
原权利遭受侵害的样态在实践中主要体现为如下几种类型:
第一,未经个人同意擅自收集个人信息。个人信息的收集为个人信息处理活动的首要环节,其后的各种信息处理活动都以此为开端。从国家互联网信息办公室对公众常用的部分App的个人信息收集使用情况进行的检测来看,大量的互联网企业存在未经用户同意擅自收集个人信息、收集与提供服务无关的个人信息、未公开收集使用规则等严重侵害个人信息权益的现象。③参见《关于抖音等105款App违法违规收集使用个人信息情况的通报》,http://www.cac.gov.cn/2021-05/20/c_1623091083320667.htm,2021年9月11日。此外,在日常生活中也经常出现一些擅自收集他人个人信息的情况。例如,某居民在自家门上安装摄像装置以防止大门遭受破坏,但该摄像装置还可以完整获悉相邻住户日常进出的全部信息,并具备收集、存储功能,这种行为无疑属于擅自收集、存储他人个人信息的情形。①参见广东省高级人民法院(2016)粤民再464号民事判决书。更有甚者,售楼处会设置人脸识别设备对购房者的个人信息进行识别,以判断其是自访客户抑或是中介渠道客户,②参见《售楼处安装人脸识别系统对看房者“无感抓拍”!究竟是何目的?》,微信公众号“新华每日电讯”,2020年11月24日。也属于擅自收集个人信息的情形。
第二,个人信息泄露。这实际上是非法公开个人信息的行为,在类型上可分为不定向泄露和定向泄露两种。前者在主观上多表现为个人信息处理者疏忽大意的过失,在客观上则表现为个人信息处理者将他人的个人信息公开给不特定的第三方。后者的主观状态多表现为个人信息处理者的故意,在客观上多表现为个人信息处理者将他人的个人信息提供给特定的第三方。例如,某银行未获得客户授权以及有权机关的合法调查手续,就将客户的个人账户交易明细提供给第三方。③参见《非法提供个人信息要担责》,http://epaper.tianjinwe.com/tjrb/html/2021-09/02/content_173_4973163.htm,2021年9月11日。再如,学校工作人员将利用职务之便拿到的学生信息提供给校外培训机构、培训机构之间将掌握的学生信息进行互换。④参见《江苏盐城:10万余条学生信息遭泄露!盐城警方揪出幕后黑手!》,https://baijiahao.baidu.com/s?id=1709264733904502609&wfr=spider&for=pc,2021年9月11日。个人信息泄露的危害在于,信息主体将长时间处于精神焦虑状态,时刻担忧自己的个人信息被他人掌握后用于侵害自己既有的人身或财产权益。从司法实践中的裁判案例来看,因个人信息泄露导致个人既有人身或财产权益遭受侵害的情况确实也时有发生。⑤参见北京市第一中级人民法院(2017)京01民终509号民事判决书;北京市朝阳区人民法院(2018)京0105民初36658号民事判决书;广东省深圳市中级人民法院(2019)粤03民终3954号民事判决书。
第三,个人信息被非法篡改。例如,在网络热议的山东某女子被他人顶替高考成绩的事件中,该女子的身份、成绩等个人信息都被他人篡改,直到16年后才发现,对该女子人生发展造成重大影响。⑥参见《高考成绩被冒名顶替,山东理工大学删除顶替者学历》,https://www.sohu.com/a/403843302_120722002,2021年9月11日。再如,因虚假个人信息而未被发放贷款或被以更高的利率发放贷款,或因虚假信息而未被雇用或被解雇。⑦Spittka,Die Kommerzialisierung von Schadensersatz unter der DS-GVO,GRUR-Prax 2019,475,476.
第四,非法利用个人信息进行自动化决策。近几年来,新闻媒体对于互联网企业未经用户同意擅自利用其个人信息进行“用户画像”然后进行“大数据杀熟”的行为多有报道。⑧参见《〈个人信息保护法草案〉最新修改出炉,互联网平台“自动化决策”将受限》,https://www.sohu.com/a/483279681_120011209,2021年9月11日。此外,这种非法利用个人信息进行自动化决策的行为,还会导致特定群体遭受歧视。例如,招聘网站将性别、种族等现实中的偏见性词汇设定进入系统后与应聘者的个人信息进行匹配,从而使得这类受到歧视的群体难以获得相应的工作机会。⑨参见王焕超:《如何让算法解释自己为什么“算法歧视”?》,微信公众号“腾讯研究院”,2019年6月13日。
第五,查阅、复制个人信息受阻。查阅权、复制权为知情权的延伸,贯穿于个人信息处理全过程。即使自然人同意其个人信息被收集或进行其他处理,仍有对个人信息处理结果知情的权利,这便产生了自然人查阅个人信息的需求。在很多情况下,自然人还需要将该处理结果复制后用于其他合法目的,如为进行某笔商业交易而向对方展示自己的信用状况,这便催生了复制权。①参见丁宇翔:《个人信息保护纠纷理论释解与裁判实务》,北京:中国法制出版社,2021年,第93—94页。
以上个人信息权益的侵害样态均为基础样态,彼此之间存在组合的可能性。此外,随着《个人信息保护法》的实施,还会有更多的个人信息权益受侵害的类型出现,有待根据司法实践的发展做进一步的总结。
还需要注意的是,有学者将信息泄露、算法歧视、非法利用个人信息进行自动化决策等个人信息权益的侵害样态直接认定为损害。②参见叶名怡:《个人信息的侵权法保护》,第88页;张建文、时诚:《个人信息的新型侵权形态及其救济》,第40页。这种观点显然并未对权益侵害与损害进行有效区分,前者强调的是行为的违法性,旨在筛选受保护法益,后者则是损害赔偿责任的必备构成要件,③参见程啸:《侵权责任法》(第三版),北京:法律出版社,2021年,第224页。是权益受侵害后产生的法律后果,二者之间存在责任范围因果关系判断的必要。
四、侵害个人信息权益的损害认定
个人信息权益作为一项受保护的民事权益,面对个人信息处理者的侵权行为,无论该侵权行为是否涉及对个人信息的非法利用,都可能存在着财产损害和非财产损害(《欧盟一般数据条例》采用的是“非物质损害”的表述,主要体现为精神损害)。
(一)侵害个人信息权益造成的财产损害
侵害个人信息权益可能导致被侵权人遭受纯粹经济损失,如前述因虚假个人信息而不被发放贷款或被以更高的利率发放贷款,或因虚假信息而不被雇用或被解雇等情形,④Spittka,Die Kommerzialisierung von Schadensersatz unter der DS-GVO,GRUR-Prax 2019,475,476.或因自动化决策而支付更高的价格等。
除上述纯粹经济损失外,非法处理个人信息还可能导致其他财产损害。如上述列举的非法提供个人信息给他人、非法利用个人信息进行自动化决策等侵害样态,都属于个人信息处理者对个人信息的非法利用。在个人信息蕴含着经济利益的情形(即存在商业化可能的情形),这种非法利用行为将可能导致信息主体直接遭受财产损害。该财产损害属于所失利益,即如果侵权人不实施该侵权行为,则被侵权人原本可以通过人格权益的商业利用而获得相应的经济利益。⑤参见程啸:《侵权责任法》(第三版),第841页。对此,《个人信息保护法》第69条第2款直接采用了《民法典·侵权责任编》第1182条规定的侵害人身权益造成财产损失的损害计算方式,类似于德国联邦最高法院发展出的“三层损害计算方式”(dreifache Schadensberechnung)⑥Vgl.Paal,Schadensersatzansprüche bei Datenschutzverstößen,MMR 2020,14,16.。
而上述列举的个人信息处理者擅自收集个人信息、非法泄露个人信息、拒绝信息主体查阅个人信息等侵害样态,却并非属于个人信息被非法利用的情形,尽管个人信息中可能蕴含着经济利益,但这些侵害样态毕竟并未涉及个人信息处理者的非法利用行为,似乎并不能产生财产损害。实际上,无论是否涉及对个人信息的非法利用,信息主体所遭受的财产损害至少应包含其为维护自己权益而支出的费用(法条中常表述为制止侵权行为所支付的合理开支),即被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用以及符合国家有关部门规定的律师费用。在《著作权法》第54条第3款、《最高人民法院关于审理著作权民事纠纷案件适用法律若干问题的解释》(2020修正)第26条、《商标法》第63条第1款、《最高人民法院关于审理商标民事纠纷案件适用法律若干问题的解释》(2020修正)第17条、《专利法》第71条第3款、《最高人民法院关于审理专利纠纷案件适用法律问题的若干规定(2020修正)》第16条、《反不正当竞争法》第17条第3款、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2020修正)第12条第1款、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第8条等条文中,都对此有明确规定。之所以如此,是为了降低被侵权人的维权成本,避免陷入被侵权人维权成本高而侵权人违法成本较小的不平衡状态。①参见奚晓明主编:《最高人民法院利用网络侵害人身权益司法解释理解与适用》,北京:人民法院出版社,2014年,第244页;焦彦、石必胜、戴怡婷:《降低维权成本提高侵权代价——北京高院关于加大知识产权司法保护力度的调研报告》,《人民法院报》2015年4月23日,第008版,第3页;郭锋、陈龙业、贾玉慧、张音:《〈关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定〉的理解与适用》,《人民司法》2021年第25期,第42页。如果没有侵权行为,被侵权人就不会有为制止侵权行为所支付的合理开支,只有将其纳入赔偿范围才可以将被侵权人的财产状态恢复至被侵权前的状态。②参见窦玉梅:《因制止侵权行为所支付的合理费用之确定》,《人民司法》2008年第11期,第42页。从《欧盟一般数据保护条例》第82条第1款的规定来看,任何因为个人信息处理者违反本条例而受到物质或非物质性损害的人都有权向个人信息处理者主张损害赔偿,该条例序言部分第146段也认为损害的概念应根据法院的判例法作广义上的解释,以充分反映该条例的目标。德国理论上也都将信息主体进行权利追索的费用,如律师费用(如通知侵权人和提出申诉的费用)和调查费用,认定为其遭受的财产损害。③Paal,Schadensersatzansprüche bei Datenschutzverstößen,MMR 2020,14,16;Neun/Lubitzsch,Die neue EUDatenschutz-Grundverordnung-Rechtsschutz und Schadensersatz,BB 2017,2563,2567.因此,基于上述理由,信息主体为制止个人信息处理者的侵权行为而支付的合理开支,应当列入财产损害赔偿范围。在我国司法实践中,法院一般也都持此种裁判观点,④参见北京市顺义区人民法院(2020)京0113民初16062号民事判决书。值得肯定。有学者认为,基于同样的理由,信息主体为防止未来损害发生而支出的预防费用也应被认定为财产损害。⑤参见谢鸿飞:《个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化》,《国家检察官学院学报》2021年第5期,第33页。该观点虽值得肯定,但在解释理由上与信息主体为维护自己权益而支出的费用(所谓的制止侵权行为所支出的合理开支)并不一致。如《欧洲侵权法原则》(PETL)第2:104条规定“为预防可能发生的损害而支出的合理费用应予赔偿”,其理由在于侵权法的目的不只是填补损害,还包括预防。⑥参见欧洲侵权法小组:《欧洲侵权法原则:文本与评注》,于敏、谢鸿飞译,北京:法律出版社,2009年,第70页。由此可见,虽然信息主体为维护自己权益而支出的费用与为防止未来损害发生而支出的预防费用都应作为财产损害得到赔偿,但二者背后的理由却不相同,前者对应侵权法的补偿功能,而后者对应侵权法的预防功能。
此外,还需注意的是,信息主体的上述合理开支被认定为财产损害,并不意味着信息主体遭受的全部财产损害是确定的。如果信息主体除证明上述合理开支外,无法证明遭受的其他财产损失或者个人信息处理者因此获得的利益的,仍需要适用《个人信息保护法》第69条第2款的规定,由法官根据实际情况确定赔偿数额。
(二)侵害个人信息权益造成的精神损害
就非法处理个人信息行为导致的精神损害而言,从个人信息被非法收集伊始,信息主体就会因对搜集用途概不知情而陷于无尽的恐慌之中,精神上遭受极大痛苦,当个人信息被进一步非法利用时,其遭受的精神痛苦会被进一步加剧,因此,信息主体在个人信息被非法处理的每个阶段都可能产生精神损害。从《欧盟一般数据保护条例》序言部分第146段及第82条第1款的规定来看,信息主体可获得充分且有效的赔偿,并未强调非物质损害的“严重性”要件。与此不同的是,我国《个人信息保护法》第69条第2款源自《民法典》第1182条,仅对侵害人身权益造成的财产损害进行了规定,而对于精神损害的赔偿仍需援引《民法典》第1183条第1款。但该条款出于防止精神损害赔偿制度被滥用的目的,规定精神损害须具备严重性才可以进行赔偿。①参见黄薇主编:《中华人民共和国民法典侵权责任编解读》,北京:中国法制出版社,2020年,第79页。这与《欧盟一般数据保护条例》的规定存在重大不同。《欧盟一般数据保护条例》序言第146段第3句要求根据欧洲法院(Court of Justice)的判例对损害的概念做广泛解释,第4句则要求数据主体得到充分和有效的损害赔偿。因此,条例第82条第1款规定遭受物质或非物质损害的任何人有权获得赔偿,未对非物质损害施加严重性的要求。②Paal,Schadensersatzansprüche bei Datenschutzverstößen,MMR 2020,14,17;Spittka,Die Kommerzialisierung von Schadensersatz unter der DS-GVO,GRUR-Prax 2019,475,476;Kohn,Der Schadensersatzanspruch nach Art.82 DSGVO,ZD 2019,498,501.
关于“严重性”的认定,学界也存在不同看法。有观点认为应采纳容忍限度理论,即超出了社会一般人的容忍限度,就被认为具有“严重性”。③参见黄薇主编:《中华人民共和国民法典侵权责任编解读》,第79页;王利明:《侵权责任法研究》(第二版)(上卷),北京:中国人民大学出版社,2016年,第724页;王利明、周友军、高圣平:《中国侵权责任法教程》,北京:人民法院出版社,2010年版,第346页。另有观点认为,应通过被侵害权益的位阶来确定精神损害是否存在及严重程度,对于物质性人格权(即生命权、身体权和健康权)和精神性人格权(即名誉权和肖像权等)遭受精神损害的证明标准依次降低,前者可以被直接认定,后者则需要综合考虑多种因素来认定。④参见程啸:《侵权责任法》(第三版),第233、862页。实际上,运用前一种观点认定精神损害的严重性与否仍需要借助具体的考量因素,这与后一种观点的严重性认定标准是存在一定共识的。至于具体的考量因素,不妨借鉴《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第5条规定的前3项标准,即侵权人的过错程度、侵权行为的目的、方式、场合等具体情节、侵权行为所造成的后果。
(三)侵害个人信息权益造成的既有人身或财产权益损害
因个人信息权益遭受侵害而进一步导致其他人身权益(需刨除与个人信息权益重叠部分的人身权益)或财产权益遭受损害的常见类型是,个人信息处理者仅仅因疏忽防范而泄露了信息主体的个人信息,但对后续的他人利用泄露的个人信息侵害信息主体既有人身或财产权益的行为并不知情。对此,个人信息处理者未能尽到安全保障义务,应当根据《民法典》第1198条第2款的规定承担补充责任。在我国司法实践中,有法院在裁判思路上也采此观点,值得肯定。①参见北京市朝阳区人民法院(2018)京0105民初36658号民事判决书;广东省深圳市中级人民法院(2019)粤03民终3954号民事判决书。实际上,这属于特殊的无意思联络的数人侵权类型,此外还存在着一些其他无意思联络的数人侵权类型,按照《民法典》第1171条或第1172条的规定处理即可。当然,如果个人信息处理者为他人非法提供个人信息用于侵害信息主体既有人身或财产权益的,则构成共同侵权而应对此承担连带责任(《民法典》第1168条)。
值得注意的是,上述情形中仍存在个人信息权益自身所遭受的损害,其不同于既有人身或财产权益所遭受的损害,二者背后的价值指向并不相同,故前一的损害并不能为后一损害所吸收,有单独赔偿之必要。而且,对于既有人身或财产权益所遭受的财产损害的赔偿,应适用《民法典》第1165条第1款规定的过错责任,而对于个人信息权益所遭受的的财产损害的赔偿,则应适用《个人信息保护法》第69条第1款规定的过错推定责任。对于既有人身或财产权益所遭受的非财产损害的赔偿与个人信息权益所遭受的非财产损害的赔偿,在法律适用上亦同,不过二者在赔偿规则上都适用《民法典》第1183条第1款的规定。
结语
《个人信息保护法》第69条第1款沿袭《民法典·侵权责任编》第1165条第1款的规范模式为个人信息权益的侵权责任提供了请求权基础,这一请求权基础的特点在于明确区分了权益侵害和损害,同时《个人信息保护法》中规定的大量个人信息处理规则和个人信息处理者的义务规则也为个人信息权益侵权责任的构成提供了具体化的依据。结合《个人信息保护法》和《民法典》的相关规范,就个人信息侵权的请求权基础规范群做如下图示,以求简明。