个人信息私法救济中的“损害赔偿”困境与应对路径
2022-10-10赵贝贝
赵贝贝
内容提要:作为救济个人信息权益损害的民事责任之一,损害赔偿责任在侵权责任承担方式体系中具有核心地位。然而,实证数据和案例分析表明,司法实践对侵害个人信息损害赔偿责任的适用多持严苛态度,其中损害的认定已成为其中的首要障碍。从风险规制理论的视角来看,将信息风险性损害纳入法律上的损害范畴是一种高效的风险分配路径,更是化解私法保护困境的有效出路。此外,为确保信息侵权损害赔偿责任的落实,应凭借“差额说”将信息风险性损害具体化为附带财产损失和焦虑引起的精神损害等样态;适当缓和精神损害的严重程度要求;明确财产损失、精神损害、惩罚性赔偿的赔偿数额之计算规则,以更好地发挥损害赔偿填补损失的功能。
一、问题的提出
我国公法对个人信息权益保护的立法回应虽早于私法,但因刑事责任或行政责任的着眼点在于向国家承担责任,对私权利的救济仍需仰赖具有财产性质的民事责任。正因如此,《个人信息保护法》第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”这使得损害赔偿成为信息侵权民事责任的“代名词”。但在个人信息侵权领域,单纯侵害个人信息极少伴随着信息主体财产、身体实际受损等直接物质性损害,通常带来的是风险或焦虑不安等非物质性损害。对此,信息主体主张的损害类型较为多元:一是实际发生了诈骗等侵权行为并造成现实经济或精神损害;二是个人信息的孤立经济价值减损;三是个人信息泄露带来的未来损害风险及内心焦虑不安;四是因信息侵权行为而增加的预防风险费、诉讼费、交通费等附带财产支出。然而,由于外部风险或内心焦虑等损害难以被传统侵权法损害概念所接纳,法院常以信息主体无法证明其已遭受实质性损害或无法律依据为由否定第三、四种情形下的损害。在个人信息被过度收集、滥用等侵权行为不断见诸报端、而人的行为风险又无法根除的现代社会,为使处于风险中心的信息主体获得司法的有效救济,我们必须反思:信息主体可主张的损害是否应当包括外部风险或内心焦虑;若包括,需满足的条件要求是什么以及如何凭借“差额说”将风险性损害予以具体化;在信息损害确定后,又如何使事实上的损害真正转变为可获合理赔偿数额的法律上的损害。上述问题正是社会生活高度信息化带来的挑战,而及时应对这些挑战对积累裁判经验和消除实务分歧不无益处。
二、实务视角下的个人信息损害赔偿责任
损害赔偿是侵权法的核心功能,《民法典》侵权责任编将原《侵权责任法》第二章“责任构成和责任方式”修改为“损害赔偿”,进一步明确了以损害赔偿为中心的侵权责任承担方式体系。(1)参见王利明:《我国〈民法典〉侵权责任编损害赔偿制度的亮点——以损害赔偿为中心的侵权责任形式》,载《政法论丛》2021年第5期。为系统展现个人信息保护的损害赔偿责任现状,本部分以《民法典》施行后的个人信息保护纠纷案件作为分析样本,又虑及规范层面隐私权与个人信息权益在适用规则与案由上存在交叉之现实,笔者分别以“个人信息保护纠纷”“隐私权、个人信息保护纠纷”为案由在“聚法案例网”中做民事案件的检索,共获得裁判文书359份(截至2022年2月8日)。在排除撤诉、重复等无效样本的基础上,可将有效个人信息保护纠纷裁判文书进一步限缩为176份,围绕主要民事责任方式及审理程序而展开的实证统计结果如表1、表2:
表1 主要民事责任方式
如表1所示,信息主体寻求法律救济时,其所主张的停止侵害、赔礼道歉等非赔偿性民事责任诉求一般可通过诉讼程序实现,但对于财产损失赔偿和精神损害赔偿而言,司法实践多持严苛态度。其中法院对精神损害赔偿的裁判支持率仅为26.41%,呈现出信息主体对损害赔偿的急需与人民法院的微量供给之间的紧张关系。如表2所示,损害赔偿责任不仅成为一审和二审争论的问题,连再审率都达到了4.79%。这在一定程度上说明实务对个人信息损害赔偿责任的认定争议较大,进一步说明以个案为切入点立体剖析赔偿性民事责任之价值。
表2 审理程序
微观视之,司法实务中的个人信息损害赔偿责任主要有以下几方面的问题需要解决:
(一)信息泄露等侵权行为本身是否造成财产损失认定不一
个人信息受侵害时可能会导致或促成下游侵害的发生,并产生相应的财产损失,如不法分子利用被泄露的个人信息实施金融诈骗、伪造证件等行为,(2)参见商希雪:《侵害公民个人信息民事归责路径的类型化分析——以信息安全与信息权利的“二分法”规范体系为视角》,载《法学论坛》2021年第4期。当引发明显财产性损失时,信息主体主张财产损失赔偿自不待言。问题在于,若下游侵害未现实发生,信息泄露或滥用等侵权行为本身是否造成财产损失呢?侵权法以填补损害为主要目的,若无损害则无填补之必要,(3)参见王泽鉴:《侵权行为》,北京大学出版社2009年版,第175-176页。个人信息权益侵权领域也莫能外。实务中,针对信息被侵害而未造成现实的人身或财产损失时,信息主体主张的财产损失类型通常有两类,即个人信息自身经济价值减损和财产权益未来被侵害的风险。
就个人信息自身的经济价值而言,其以企业数据为表征后无疑蕴含经济利益,部分法院也对此予以了认可。(4)参见广东省深圳市中级人民法院(2019)粤03民终字第20512号民事判决书。但孤立个人数据的经济价值并不高,据相关计算,单个普通人贡献的数据价值为0.007美元,而经常出差的富人价值为1.78美元。(5)参见申卫星:《论数据用益权》,载《中国社会科学》2020年第11期。在“俞某诉北京乐某达康科技有限公司等网络侵权责任纠纷案”(6)参见北京市海淀区人民法院(2018)京0108民初字第13661号民事判决书。中,当事人也仅是根据个人信息的经济价值象征意义的主张1元或2元赔偿。因个人信息侵权呈现出损害轻微的特点,实务中也并无多少人花费一审、二审甚至再审的高额诉讼成本去追求几元赔偿,法院也常忽视个人信息本身的经济价值。事实上,个人信息的非法交易有着庞大的买家需求,信息泄露的源头行为容易成为其他网络犯罪的“抓手”,因此,人们对于信息泄露等侵权行为的恐惧不在于个人信息自身的价值,而是担忧下游侵害发生的可能性,亦即侵害风险增加或某种机会丧失等。诚然,相对于财产损失或人身伤害易于评估、量化而言,风险多少显得不那么真实。也正是风险与损害确定性标准之间的鸿沟,使得风险能否被损害概念所容并具有赔偿性面临着实践中的挑战。在“孙国燕与被告移动滨州分公司、山东移动公司隐私权、个人信息保护纠纷案”(7)参见山东省滨州市滨城区人民法院(2021)鲁1602民初字第83号民事判决书。中,法院认为被告的电话推销行为直接侵犯了信息主体的知情权与拒绝处理权等信息权利,但对信息主体以未来损害风险为由所主张的财产损失赔偿请求未予支持。而在“孙某某诉沈阳某某家居有限公司隐私权纠纷案”(8)参见沈阳市大东区人民法院(2020)辽0104民初字第6814号民事判决书。中,法院虽然认为被告将个人信息发送到微信群中的侵权行为未造成现实财产损失,但仍认可了信息泄露行为本身造成了财产损失而酌定赔偿800元。在个人信息侵权领域,不乏因信息受到侵害而积极维权的当事人,而司法实践对未来风险是否属于侵权损害问题并未形成统一的认识,这无疑将对个人信息的私法保护实践产生消极影响。
(二)附带财产损失是否属于“合理费用”存在理解分歧
发生个人信息侵权行为后,信息主体在个人信息本身损害之外,还存在因利用国家审判制度以实现救济而产生的一些无法避免的律师费、打印费、误工费、交通费等维权成本,以及为避免身份盗用或欺诈风险升高而采取的预防风险支出,上述费用可被统称为附带财产损失,那么信息主体能够以此费用支出诉请赔偿吗?针对侵权损害赔偿范围的划定,我国《民法典》采纳了合理性标准,(9)参见王磊:《侵权损害赔偿范围的确定机制》,载《法学》2021年第4期。在第1179条和第1181条第2款列举了交通费、误工费等法定赔偿项目,并以“合理费用”作为判断其他损害项目是否属于“等”范围之内的标准。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《网络侵权司法解释》)第12条第1款也明确将被侵权人为制止侵权行为所支付的调查费用以及律师费用视为合理费用。由此可见,预防风险支出、部分维权成本等附带财产损失并不属于现行规范明确列举的法定赔偿项目,那么,是否可以归入具有经济赔偿性的“合理费用”范围呢?对此,司法实践中也存在不同的认识。在“戴森、李玉梅与敖馨月隐私权纠纷案”(10)参见四川省攀枝花市仁和区人民法院(2021)川0411民初字第717号民事判决书。中法院认为,原告为维护合法权益委托其丈夫出庭参加诉讼,必然会产生误工损失,因此对其主张的误工费(法定赔偿项目)予以支持。而在“黄茂安与中国移动宜黄县分公司、中国移动抚州分公司等个人信息保护纠纷案”(11)参见江西省宜黄县人民法院(2021)赣1026民初字第422号民事判决书。中,对原告主张的打印费、交通费、咨询律师费,法院均以没有法律依据为由不予支持。就该案而言,法官在未对交通费、律师费等法定明确赔偿项目予以支持的情况下,反而对并非法定明确赔偿项目的鉴定费予以支持,令人费解。在司法实践中,诸如此类的问题并不在少数,且因为孤立个人信息本身的经济价值微小,受害人主张财产损失赔偿的主要依据又通常是附带财产损失,所以,明确附带财产损失的性质以遏制脱离合理性的裁判分歧现象,是个人信息侵权裁判中无法绕开的话题。
(三)精神损害赔偿认定艰难
个人信息损害通常具有无形性,法院常以信息主体无法证明其已遭受实质损害为由,不支持其财产损失赔偿主张,这几乎挫败了所有基于未来侵害风险提出的财产损失赔偿请求,信息主体对信息侵权损害的救济也转而寄希望于被纳入精神损害赔偿。从个人信息的类型视之,私密信息具有隐私权与个人信息的双重特点。当个人私密信息因被泄露而直接或间接导致明显侵犯隐私权的侵害时,信息主体常通过隐私权保护逻辑主张精神损害赔偿。但在个人信息侵权案件中,精神损害赔偿的支持率仅为26.41%,而焦虑不安难以被认定为精神损害的子类型,是个人信息精神损害赔偿认定艰难的原因之一。由于个人信息具有数据属性,在个人信息被恶意电子化存储后,不法分子可能会永久获得个人信息数据,受害者因担忧未来被侵害也可能一直处于焦虑不安的精神状态中,(12)See Justin Dion & Nicholas M.Smith,Consumer Protection—Exploring Private Causes of Action for Victims of Data Breaches,41 Western New England Law Review 253,260(2019).此种焦虑不安能否被解释为精神损害的子类型呢?与众多裁判文书否定未来风险性焦虑具有损害赔偿性相反,在“刘云超与被告北京顺丰速运有限公司,第三人严颜个人信息保护纠纷案”(13)参见北京市顺义区人民法院(2020)京0113民初字第16062号民事判决书。中,法院不仅支持了原告的赔礼道歉请求,还将原告因个人信息失控产生的可能被用于违法事宜的焦虑不安情绪认定为损害,并部分支持了其主张的精神损害抚慰金。尽管在该案中法院认可了内心焦虑成立损害,但总体而言,法院在审判实践中对内心焦虑的认定持谨慎态度。
此外,即使此类内心焦虑能纳入精神损害的范畴,其也受《民法典》第1183条第1款规定的“严重”要件限制。实践中,法院在大量案件中以损害未达到严重程度为由,拒绝支持信息主体主张的精神损害诉求。例如,在“蔡小燕与赵延安隐私权、个人信息保护纠纷案”(14)参见湖南省益阳市赫山区人民法院(2021)湘0903民初字第1506号民事判决书。中,被告未经原告同意将原告及其两子的户籍信息张贴在公开场合,法院支持了原告公开赔礼道歉的请求,但以精神损害未构成严重为由驳回了原告主张仅1元的精神损害赔偿请求。甚至在部分信息主体因个人信息泄露而导致被原公司解雇或遭遇诈骗等行为时,法院仍然认为其精神痛苦不够严重。(15)参见北京市第三中级人民法院(2020)京03民终字第2049号民事判决书;北京互联网法院(2018)京0491民初字第1905号民事判决书。由此可见,法院在审判实践中是普遍默认赔礼道歉责任轻于精神损害赔偿的,即使该精神损害赔偿额为1元也倾向于作出赔礼道歉等非赔偿性民事责任,信息主体若想获得精神损害赔偿绝非易事。
三、对“损害”的界定应与风险规制理论相契合
从以上个人信息侵权案例反映的情况来看,审判实务中的问题主要围绕损害类型展开。按照损害赔偿的基本原理,受害人主张损害赔偿责任时需要证明自身遭受了法律上可补救的损害,(16)参见王叶刚:《论侵害人格权益财产损失赔偿中的法院酌定》,载《法学家》2021年第3期。而信息风险性损害能否被纳入法律上的损害范畴,已成为信息主体寻求私法救济的阻碍。《民法典》第1165条第1款作为侵权责任的一般条款,仅提及“损害”一词而未否定风险成立损害的可能性,因此,本部分将从风险规制视角出发,探讨信息风险构成损害的正当性。
(一)风险规制路径:风险控制和风险分配
自20世纪伊始,伴随科技的多次革命性飞跃,愈益频繁爆发的风险致害造成的大规模损害引发人们对工业社会法律思维模式的批判,在此背景下,德国思想家乌尔里希·贝克首倡“风险社会”理论。风险社会中的“风险”是与自然风险(如各种自然灾害)相对应的风险,其内在于科学技术,“可被定义为以系统的方式应对由现代化自身引发的危险和不安”(17)〔德〕乌尔里希·贝克:《风险社会:新的现代化之路》,张文杰、何博闻译,译林出版社2018年版,第7页。。随着科学技术的广泛应用,人类面对和遭受的风险数量和级别大大提高。就风险分布而言,尽管有权势和财富的社会阶级也不能逃脱风险的危害,但若不通过法律、政策对风险进行控制或分配,那么将形成风险与财富呈反比分配的不公状态。(18)参见何国强:《风险社会、风险分配与侵权责任法的变革》,载《广东社会科学》2018年第3期。基于此,国家的任务转向“以未来为目标的对科技发展可能给社会造成的危险进行预防”(19)〔德〕乌尔里希·巴斯特:《德国行政法读本》,于安等译,高等教育出版社2006年版,第53页。,即如何规制风险成为现代国家的一项重要任务。根据公共性程度可将风险分为公共风险和个体风险两类,(20)参见侯东德、周莉欣:《风险理论视角下智能投顾投资者的保护路径》,载《华东政法大学学报》2021年第4期。两类风险的特点决定了规制方式的差异。个体风险是指“那些分散制造的,地方化的,可受个人控制或者是来自本体的风险”(21)Peter Huber,Safety and The Second Best:The Hazards of Risk Management in the Courts,85 Columbia Law Review 277,278(1985).,由于该风险的主体关系单一且损失相对固定,法律能够做到通过个案判断对个体风险进行分配与化解。因此,规制个体风险的路径是风险分配,重心在于对被害人的风险损害予以赔偿。而公共风险其实是个体风险扩散的结果,具有广泛的扩散性、蔓延性,显然难以简单依靠传统的私人自治或市场机制来防控。相较于个体风险而言,在公共风险的规制上,应注重从整体上控制风险的蔓延和扩张,即通常采取以追求秩序为价值取向的风险控制路径。风险控制路径和风险分配路径之间存在互补性的特点,前者是一种事前的规制思维,后者是一种事后的规制思维。鉴于此,在将风险作为规制目标时,常规的风险规制做法是并行适用上述两种路径,进而发挥出两种路径融合规制风险的优势。
(二)引入风险分配路径的方式:认可信息风险性损害
在大数据背景下,人们对数据、信息的依赖导致风险不可避免地裹挟而至,信息流转共享本身即是一种典型的社会风险活动,这可从《个人信息保护法》多次使用“风险”概念中得到证实。因此,法律对个人信息的规范面临着如何有效平衡信息安全保障与信息流转共享之间的关系,即在最大程度地满足信息处理者对信息需求的情况下,通过设置合理的风险控制或者风险分配路径,避免信息主体在信息处理活动中承受不合理的风险。
个人信息具有典型的复合法益性质,信息之上不仅汇集了各方主体不同类型和性质的利益诉求,各类风险也相应伴生于各方主体的活动之中。就公共风险而言,我国现行规范规定的风险控制路径较为多元,不仅通过《刑法》《治安管理处罚法》等公法来达到风险控制的效果,更是在《个人信息保护法》中明确规定了国家网信部门承担的监督管理义务,个人信息处理者承担的风险评估、告知同意等义务,来应对个人信息领域的公共风险。但受社会认知的限制,在采取风险控制措施的情况下仍存在剩余风险的可能,这就涉及风险分配的问题。
鉴于“从危险中获取经济利益者也经常被视为具有制止危险义务的人”(22)〔德〕克雷斯蒂安·冯·巴尔:《欧洲比较侵权行为法》(下册),张新宝译,法律出版社2001年版,第271页。,剩余风险理应由作为信息风险之源与主要获益者的信息处理者承担。按照法经济学理论,“纯粹的风险分配与损害分配是重合的”(23)前引〔18〕,何国强文,第233页。,亦即在剩余风险转化为现实的诈骗、身份窃取等损害之前,信息处理者所承担的风险在资本逻辑中可通过赔偿的方式进行转移。然而,信息风险性损害与传统侵权损害概念的抵牾阻断了风险性损害的转移,这使得信息主体以私法手段特别是侵权责任手段寻求损害赔偿的整体效果不尽人意。归结而言,信息风险分配路径的缺位导致司法实务中频现信息损害认定难的问题,因此,在风险控制的基础上引入风险分配路径成为必要,而将满足特定条件的信息风险性损害视为法律上承认的损害,无疑是一种高效的风险分配路径。
(三)认可信息风险性损害的正当性:符合风险分配正义
风险分配实质上是“风险成本、风险责任、风险损失在主体间的承担”(24)徐钝:《社会风险分配失衡的社会资本矫正——以法理型社会资本培育为中心》,载《学术论坛》2013年第7期,第70页。,由于风险具有不利益,为确保数字经济的健康发展,风险分配必须把实现正义作为最重要的目标追求。在个人信息保护的问题上,认可信息风险性损害不仅阻断了不公平分配风险现象的扩展,又能包容性地促进新兴信息产业的发展。具体而言:其一,认可信息风险性损害意味着让真正制造风险且获取收益的主体承担风险。个人信息侵权损害极少伴随着信息主体财产、人身受损等直接物质性损害,通常带来的是外部风险或焦虑不安等非物质性损害,该类损害具有不确定性、无限性和难以计量等特点。由于风险性损害与侵权法框架下的多数损害特征以及人们对损害的一般认识存在差异,法院常以损害不存在为由驳回受害人的损害赔偿请求,这等于纵容了信息处理者肆无忌惮地使用信息,并将风险转嫁给无辜且缺乏预防能力的信息主体。认可信息风险成立损害,并将损害分配给风险预防能力较高的信息处理者,客观上遏制了风险分配的不公现象,有助于保障处于弱势地位的信息主体的权益。其二,认可信息风险性损害具有预防风险的功能,有利于保障社会整体利益。风险分配正义以实现多数人的合法利益为目的,即通过合理的制度安排使风险对公众的总体损害降至最低。(25)参见张晒:《风险分配何以公正?——基于新冠肺炎疫情的哲学审思》,载《北京理工大学学报(社会科学版)》2020年第3期。相较于个人信息主体,信息处理者掌握更多资源和技术,在风险预防方面处于能力更强的位置,可以通过采取提高产品质量或采购风险防控设备等方式分散风险。而认可信息风险性损害相当于一种事后的惩戒机制,能够倒逼个人信息处理者积极采取上述措施,从而达到预防信息风险的目的。
事实上,司法实践中,风险性损害在环境污染、医疗损害赔偿、毒物侵害等领域已经得到认可与适用。在比较法上,欧盟立法也采用了抽象的损害概念,信息主体因数据泄露而导致身份盗窃或欺诈、声誉受损等非物质性损害,都有权要求信息处理者承担损害赔偿责任,(26)参见解正山:《数据泄露损害问题研究》,载《清华法学》2020年第4期。《德国联邦数据保护法》第83条第2款与《印度个人数据保护法案》第3条第20项同样也认可了个人信息风险性损害。
四、以信息损害为中心续造损害赔偿规则
损害与赔偿如影随形,是开启损害赔偿的“钥匙”。鉴于个人信息风险性损害的特点及既有损害赔偿规范的不足,为使事实上的信息损害真正转变为可获合理赔偿的法律上的损害,仍需回应信息风险性损害的具体样态、精神损害赔偿的条件以及损害赔偿数额的计算规则等问题。
(一)明确信息风险性损害的样态和识别因素
1.风险性损害的具体样态
损害是权利或利益被侵害的后果,我国现有法律规范并未就损害这一概念进行正面界定。在损害赔偿法的历史上,“差额说”一直占据着重要地位,(27)参见徐建刚:《〈民法典〉背景下损害概念渊流论》,载《财经法学》2021年第2期。认为对损害的界定起决定性作用的并非具体法益遭受的侵害,而是受害人在侵权行为发生后实际享有的利益状态(减数)与若侵权行为未发生时的假设利益状态(被减数)之差额。因此,在判断信息风险性损害的样态时,可凭借“差额说”将信息风险性损害具体化为信息主体遭受的各种损害。
(1)外部风险性损害:附带财产损失
个人信息具有“可识别性”,且基因信息、生物识别信息等敏感信息又是不可更改和删除的,一旦暴露,将给信息主体带来身份被窃取或欺诈的风险。而个人信息在网络空间中又具有传播的即时性和复刻的便利性等特征,这使得信息主体面临未来遭受损害的风险升高。为避免未来损害的发生,信息主体通常会采取预防措施来应对风险,如购买风险监控服务、更换手机号等,以及因个人信息侵权行为而增加诉讼费、误工费等合理诉讼支出,这些实质上可被视为信息风险性损害。预防费用、诉讼成本支出等附带财产损失在性质上虽为“自愿的支出”,但这些费用在个人信息被侵权之前是无需支出的,在侵权行为发生之后则成为必要,且其中有些诉讼成本支出具有风险预防性质,实质上可被扩大解释为《网络侵权司法解释》第12条第1款规定中所称的“被侵权人为制止侵权行为所支付的合理开支”。(28)参见杨立新:《侵害个人信息权益损害赔偿的规则与适用——〈个人信息保护法〉第69条的关键词释评》,载《上海政法学院学报》2022年第1期;田野:《风险作为损害:大数据时代侵权“损害”概念的革新》,载《政治与法律》2021年第10期。事实上,依《民法典》第995条规定的消除危险等人格权请求权,信息主体本就可向信息处理者主张消除危险等责任,若受害人已经采取相应措施,支出的合理预防费用和具有风险预防性质的诉讼成本支出当然构成事实上的损害。外部风险性损害直观传达的是一种面向未来的可能性,而将上述附带财产损失视为外部风险性损害,除了能够按照合理财产损失的标准对外部风险进行量化外,亦能增强信息主体界定信息损害赔偿范围的可预期性,从而调动个人采取预防措施的积极性,有助于避免更大损害的发生。
(2)风险引发的内心焦虑:精神损害
“精神损害是指受害人在人格权或其他权利受到侵害后,而遭受的生理痛苦、精神痛苦以及其他不良情绪。”(29)张新宝:《精神损害赔偿制度研究》,法律出版社2012年版,第17页。循此定义及《民法典》第1183条的规定可知,精神损害赔偿救济的对象是人格权、身份权和人格利益、身份利益等人身权,基本形态包括身体疼痛和精神痛苦。尽管《民法典》《个人信息保护法》等规范将个人信息的保护层级界定为法益而非权利,但因个人信息权益属于人格利益而可通过精神损害赔偿获得救济,且其损害形态往往归于精神痛苦。实务中,通过隐私权保护逻辑获得精神损害赔偿自无争议,法律适用的最大瓶颈在于焦虑不安等精神状态能否构成精神损害。信息主体因信息泄露而使身份或财产处于风险之中的常态反应,通常是无法言明的担忧或焦虑等消极精神状态,与确定的身体疼痛和因侵犯隐私权或名誉权引起的精神痛苦相比,并不那么直观而不易被认可。其实,在个人信息特别是生物识别信息、行踪信息等敏感信息因泄露而发生现实损害之前实为一颗“不定时炸弹”,涉及此类信息的侵权行为无疑破坏了个人生活安宁和安全稳定预期。由此产生的焦虑随着时间的流逝,足以造成精神损害。(30)See DJ.Solove,DK Citron,Risk and Anxiety:A Theory of Data Breach Harms,96 Texas Law Review 737,765(2018).此外,在信息侵权领域,因大规模数据泄露而频繁发生的受害者遭受财物或其他严重财产损失的事件表明,(31)参见湖南省张家界市中级人民法院(2021)湘08刑终字第112号刑事裁定书;云南省楚雄彝族自治州中级人民法院(2021)云23刑终字第229号刑事裁定书。还未遭受现实损害的信息主体对风险的担忧并非凭空产生的心理压力,损害后果不言而喻,因此,认可内心焦虑属于精神损害并具有可赔偿性无疑是大数据时代的大势所趋。
2.确定风险性损害的参考因素
承认信息风险性损害具有正当性,但风险性损害是否确定发生应建立在合理可靠的未来风险预测基础之上。法官对个案中风险性损害的预判取决于未来的信息流通过程,应由法官参考相关因素裁量确定。具体而言,对风险性损害的认定有影响的因素主要包括如下几项:(1)个人信息的种类。个人信息被侵害后成立风险损害的可能性与信息的性质相关,一般而言,私密或敏感信息相较于一般信息更具重要性,故其被侵权后造成的风险更容易成立损害。因此,在我国信息风险性损害的认定普遍艰难的现状下,基于现行立法在私密或敏感信息的处理上以禁止为原则,以有条件允许为例外的立场之考量,(32)参见《民法典》第1033条,《个人信息保护法》第28条。对个人信息保护采取分而治之的策略极有必要,即私密或敏感信息的暴露本身即视为“现实损害”,对一般个人信息风险需满足特定条件才予以认可成立损害。(2)信息处理者的主观目的。在无形的网络空间中,信息处理者实施侵害行为时的主观状态对损害的判断至关重要,该主观状态一般可通过间接的方式推知。例如,在黑客攻击导致的数据泄露事件以及因平台收集数据产生的消费操控或歧视等侵权案件中,侵权人恶意获取或违法使用个人数据的主观故意是非常明显的,即使未立即利用获取的信息开展欺诈或歧视等下游侵权行为,违法使用信息是迟早的事,认可该种情形下的风险成立损害具有合理性。(3)信息侵权损害的迹象。风险性损害具有伴随时间的推移逐渐显现的特点,若在同一信息泄露活动中已有部分信息主体遭受身份窃取或欺诈,这表明尚未遭受现实侵害的信息主体在未来也有受到类似损害的风险,这可成为法官裁量的重要参考因素。当然,现实中个人信息风险的情形千差万别,法院裁定参考因素的类型无法一一列举,司法实践中还需由法官根据个案的具体场景综合判断。
(二)适当缓和可获赔偿的精神损害程度要求
精神损害赔偿意味着受害人能够通过金钱来缓解精神痛苦,更为关键的是实现了身体与灵魂在法律上的平等对待。(33)参见谢鸿飞:《精神损害赔偿的三个关键词》,载《法商研究》2010年第6期。认可信息风险引发的内心焦虑成立精神损害,意味着信息主体可通过内心焦虑损害及隐私权损害两种途径主张精神损害赔偿,而以“严重”作为获取精神损害赔偿的条件,无疑将造成损害赔偿与精神损害之间的逻辑断裂。从理论视角观之,“严重”要件的基础主要是侵权法上的“忽略轻微损害”规则和现代侵权法中的“水闸理论”,两者都以协调权利保护与行动自由为目的。(34)参见李昊:《纯经济上损失赔偿制度研究》,北京大学出版社2004年版,第53页。然而,随着人们对人格尊严的逐渐重视,该限制条件的正当性正在受到挑战。其一,有违精神性人格权高于财产权利的民事权益位阶理论。精神层面的权益保护映射出人类文明的发展程度,从《民法典》人格权编的规定可推知,“与其他法益,尤其是物质性的利益相比,人的生命和人格尊严处于更高的位阶”(35)〔德〕卡尔·拉伦茨:《法学方法论》(第六版),黄家镇译,商务印书馆2020年版,第421页。,亦即精神性人格权因属高于财产权利的民事权益理应获得优先保护。(36)参见王利明:《论民事权益位阶:以〈民法典〉为中心》,载《中国法学》2022年第1期。但现实是被侵权人主张财产损失赔偿并不以“严重”为限制条件,而是奉行全部赔偿原则(包括轻微损害),且在人身伤害案件中的精神损害赔偿请求通常都会被支持。与之相反,尽管当事人所受的精神痛苦在非物质性人身权益的损害中有可能处于唯一地位,立法仍以“严重”这一高门槛作为获得精神损害赔偿的前提条件,这不仅使得介于微小与严重之间的精神损害无法获得赔偿,更会变相助长侵权人侵权的动力。其二,非以“严重”作为限制条件并不会引发大量精神损害赔偿请求如洪水般涌向法院。从实证层面考察,对于真正受到精神痛苦的受害人而言,其坚持诉讼并不以赔偿金的数额为主要目的,而是“有”或者“没有”获得赔偿金。恶意诉讼主体虽以追求高额损害赔偿为目的,但赔偿金数额普遍并不高的现实会使其丧失诉讼的动力,所以无需过度担忧诉权被滥用。
此外,从比较法视角观之,《德国民法典》第253条未将“严重”作为适用精神损害赔偿的法定条件,欧盟《一般数据保护条例》第82条第1款与德国《联邦数据保护法》第83条第2款,也体现了取消精神损害严重性要求、降低精神损害赔偿门槛的趋势。(37)参见张建文、时诚:《个人信息的新型侵权形态及其救济》,载《法学杂志》2021年第4期。就我国而言,可获赔偿的精神损害的适用范围呈逐步扩大的趋势,如《民法典》肯定了违约精神损害赔偿、侵害“具有人身意义的特定物”的精神损害赔偿等,凸显了立法对人格尊严的重视。因此,为确保个人信息处理不逾越人格尊严底线,降低精神损害赔偿的条件实属必要。当然,适当降低精神损害严重性的条件并不意味着对精神损害的一概承认,而使信息处理者动辄因显著轻微的权益损害行为对信息主体赔偿精神损害,被侵权人因个人信息侵权而主张精神损害赔偿请求时,仍应向法院提供其遭受精神压力或痛苦的初步证据。
(三)厘清信息损害赔偿数额的计算规则
1.损害赔偿数额的计算依据
损害赔偿责任的落实依赖于损害赔偿数额的计算依据。《个人信息保护法》第69条第2款借鉴了《民法典》第1182条规定的计算方法,将信息主体“受到的损失”和信息处理者“获得的利益”在适用顺位上合并为同一层次,赋予受害人在损害赔偿与返还获利之间进行选择的权利以实现保护的最大化,当根据以上两种计算方法难以确定赔偿数额时,则由法院“根据实际情况确定”。当个人信息因权益被侵害而遭受财产损失时,依据该计算规则主张损害赔偿数额自不待言,问题在于,《民法典》第1182条规定的损害赔偿性质是侵害他人人身权益造成的财产损失而非精神损害,那么,《个人信息保护法》第69条规定的损害赔偿性质如何呢?这涉及精神损害赔偿数额的计算依据。
上已述及,在个人信息侵权领域,风险引发的内心焦虑能够成立精神损害,这表明《个人信息保护法》第69条第1款中的“损害赔偿”应当包括精神损害,而第2款规定的计算方法又是针对第1款中的损害赔偿责任设计的,因此,无论是财产损失还是精神损害,都可以按照第2款的规定确定赔偿数额。但由于“受到的损失”和“获得的利益”这两种计算方法的侧重点不同,财产损失和精神损害在具体计算规则的适用上存在差异。通说认为,“受到的损失”应被解释为财产损失,不宜扩张至精神损害,(38)参见王利明:《民法》(下册),中国人民大学出版社2020年版,第532页。这意味着“受到的损失”这一计算方法侧重救济的是个人信息权益人受到的财产损失,排除了精神损害赔偿责任通过该计算方法得以落实的可能。就“获得的利益”而言,利益是指个人信息处理者侵害个人信息权益获得的财产利益,而精神损害赔偿责任的最终体现方式是支付精神损害抚慰金,因此,将“获得的利益”作为落实精神损害赔偿责任的计算方法更为妥当,有助于解决精神损害难以量化之难题。所谓“根据实际情况确定赔偿数额”,其实是指由法院依职权酌定赔偿数额,财产损失和精神损害均是法官酌定的对象。需要注意的是,法官在酌定时的考量基础除了信息主体“受到的损失”和信息处理者“获得的利益”外,还需要“根据侵权人的过错程度、具体侵权行为和方式、造成的后果和影响等确定”(39)黄薇:《中华人民共和国民法典侵权责任编释义》,法律出版社2020年版,第57页。。
2.惩罚性赔偿数额的确定
就个人信息侵权损害赔偿责任而言,除部分案件中存在能够按照合理财产损失的标准进行量化的预防风险支出和维权成本等实际损害外,多数案件中的信息损害具有个体损失数额较小的特点。在个人信息侵权行为发生后,若仅以单个个人信息的实际价值来计算赔偿数额,每笔赔偿1元或2元,这样的结果不仅不能惩治信息处理者利用个人信息非法获利的行为,也难以调动权利人维权的积极性,因此,有必要在个人信息侵权损害赔偿责任中规定惩罚性赔偿责任。“惩罚性赔偿又称报复性赔偿,是指由法院判决作出的赔偿数额超出实际损害数额,对侵权人具有惩罚功能的损害赔偿责任。”(40)杨立新:《〈民法典〉惩罚性赔偿规则的具体适用》,载《荆楚法学》2022年第1期,第65页。相较于《侵权责任法》,《民法典》将惩罚性赔偿的适用范围扩展至知识产权和破坏生态领域,表明《民法典》注重对恶意侵权行为进行惩罚的态度。事实上,欧盟《一般数据保护条例》第83条已就高额罚款作出了规定,在英国的司法实践中,也存在因航空公司泄露乘客信息而被开出1.839亿英镑罚款的案例。(41)参见孙莹:《大规模侵害个人信息高额罚款研究》,载《中国法学》2020年第5期。一旦明确应当在个人信息侵权领域设置惩罚性赔偿责任,就涉及惩罚性赔偿数额的确定问题。对此,应当从计算基数和倍数两方面着手。计算基数的一般规则应当是依照侵权行为造成的实际损失计算,(42)参见前引〔40〕, 杨立新文。根据《个人信息保护法》第69条第2款的规定,在个人信息侵权领域,惩罚性赔偿的计算基数应当是信息主体“受到的损失”和信息处理者“获得的利益”。关于计算倍数,在已成熟适用惩罚性赔偿的知识产权、消费者权益保护等领域,并未形成统一的标准,但基本处于1~5倍之间,因此,信息侵权惩罚性赔偿中的计算倍数可由法官在1~5倍的范围内自由裁量。
综上可知,在个人信息侵权行为发生后,个人信息处理者需要对财产损失、精神损害、惩罚性赔偿承担责任。但由于多数信息侵权案件中被侵权人受到的损失较微小,按照计算依据得出的上述三种赔偿数额的总和通常也不能达到惩罚恶意侵权人的目的,因此,实行损害赔偿最低赔偿标准就十分必要。我国台湾地区“个人资料保护法”规定,每人每事件新台币500元以上2万元以下计算,美国《加州消费者隐私法案》所认定的赔偿范围是100美元至750美元之间。(43)参见刘云:《论个人信息非物质性损害的认定规则》,载《经贸法律评论》2021年第1期。其实,我国《消费者权益保护法》《食品安全法》也早已规定了损害最低赔偿标准,分别是500元和1000元。就侵害个人信息的微额损害而言,因个人信息可被进一步分为普通和敏感两类,结合现行法在产品、食品领域的微额损害赔偿标准的规定,侵害普通信息时可以按照每人每事件500元,侵害敏感信息时可以按照每人每事件1000元,如此方能确保被侵权人的维权成本和胜诉利益之间的平衡。
五、结 语
在大数据时代,被转化为数据的海量个人信息是云计算、区块链等尖端科技的“燃料”,如何实现个人对自身信息的“脱控”而不“失控”,所受损害得到充分救济是法律适用最为关注之点。对此,《个人信息保护法》在以往信息保护规范的基础上全面规定了个人信息保护规则,但因个人信息侵权损害与传统侵权法上的损害认定标准间的不匹配性,通过私法保护个人信息的司法实践力有不逮。在风险社会背景下,立法者不应仅将着眼点置于非赔偿性民事责任,还应当在潜在损害风险转化为诈骗等现实损害之前对风险进行分配,即通过损害赔偿责任对信息主体承担的风险损害进行补偿。诚然,对风险性损害的认可无疑将对法律适用的稳定性造成一定程度的冲击,因此,笔者又从信息风险性损害的具体样态、精神损害赔偿的条件以及损害赔偿数额的计算依据等方面进一步完善了信息损害赔偿规则,以期能够破解个人信息权益保护之司法难题。
