APP下载

个人信息权益的民事司法救济路径研究
——以82份民事裁判文书为样本

2022-12-17

学海 2022年2期
关键词:人格权权益个人信息

内容提要 个人信息的处理活动已成为促进数字经济发展的强劲动力,但因非法处理个人信息所导致的侵害个人信息权益的事件也层出不穷。《个人信息保护法》第69条明确了侵害个人信息权益的过错推定责任原则和赔偿数额确定规则。在司法实践中,法官对个人信息权益法律属性的认定,在很大程度上决定了个人信息权益的司法救济方式和力度。本文通过收集、整理侵害个人信息权益的民事司法裁判文书,对司法过程中侵害个人信息权益行为的认定、个人信息权益的法律属性、证明责任及损害赔偿规则等问题进行了归纳和分析,在此基础上,对如何进一步完善个人信息权益的司法救济路径,抑制相关侵权行为的发生,进行了深入研究。

收集、使用、加工、传输、买卖、提供或公开个人信息等个人信息处理活动,成为促进数字经济发展的强劲动力,但因非法处理个人信息所导致的侵害个人信息权益的事件也层出不穷。2020年5月28日,第十三届全国人民代表大会第三次会议通过《中华人民共和国民法典》(以下简称《民法典》),对个人信息的界定、处理个人信息活动的原则和要求、个人信息处理者的安全保障义务、相关机关及其工作人员的保密义务等方面做出了规定。2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),对个人信息的处理和跨境提供的规则、个人信息处理者的权利和义务、履行个人信息保护的职责部门等做了进一步的规定。尤其在民事责任方面,该法第69条明确了侵害个人信息权益的过错推定责任原则和赔偿数额确定规则。可以看出,我国目前是以专门立法与分散立法相结合的方式,逐步规范个人信息处理活动,强化相关部门的职责。这为我国个人信息保护和数字经济发展提供了有力的法律保障。通过司法途径救济被侵害的个人信息权益,对抑制侵害个人信息权益的侵权行为、减少因违法处理个人信息滋生的犯罪活动、规范个人信息活动秩序至关重要。而侵害个人信息权益行为的司法认定、个人信息权益的法律属性、证明责任及其损害赔偿规则等,在理论界和司法实践中仍是极具争议而又亟待解决的问题。

侵害个人信息权益行为的民事司法认定

本文借助中国裁判文书网数据库,检索标题部分含有“个人信息”“个人信息保护”的案件,以及全文含有“个人信息权”“个人信息权益”的司法裁判文书,经过筛选,收集了有关“侵害个人信息权益行为”的有效裁判文书82篇,①以此为基础,对个人信息权益的司法救济方式展开实证研究。通过对侵害个人信息权益的民事司法裁判文书的分析,本文认为目前侵害个人信息权益的民事案件具有四个特点。

第一,侵害个人信息权益的案件数量逐年递增、呈现出明显的区域差异,其中相关民事案件的数量远低于相关刑事案件的数量。以案件数量为视角,我国侵害个人信息权益案件的数量自2017年以来成倍增长,相较于2016年的增幅为316%,且之后每年案件总数保持在3000件左右;从不同类型案件数量来看,自2013年至2021年上半年,相关刑事案件数量为11224件、相关民事案件数量为82件、相关行政案件数量为12件;从案件分布来看,侵害个人信息权益的案件主要集中在江苏省、浙江省、广东省和上海市。这表明,尽管各类侵害个人信息权益的行为屡见不鲜,但权利人选择通过民事诉讼途径维护自身权益的案件,在侵害个人信息权益案件总数中的比例却很低,且地区间个人信息权益的司法救济发展不均衡,集中在经济发展水平较高的地区。

第二,侵害个人信息权益民事案件的立案案由从分散逐步发展至统一。根据最高人民法院民事案件案由相关规定,民事案件案由的表述方式原则上为“法律关系性质+纠纷”,从民事案件案由的“法律关系性质”中可看出法官对案件法律关系性质的判断。就侵害个人信息权益民事裁判文书中的案由而言,法官之间对于个人信息权益的法律属性的认定存在很大差异,故案由包括一般人格权、②隐私权、③名誉权、④个人信息权、⑤侵权责任、⑥网络侵权责任。⑦总体上,法官对侵害个人信息权益的行为多按人格权纠纷和侵权责任纠纷来处理,其中,以“人格权纠纷”为案由的纠纷包括个人信息保护纠纷、名誉权纠纷、隐私权纠纷、一般人格权纠纷;以“侵权责任纠纷”为案由的纠纷多是个人信息权益网络侵权纠纷。2021年1月1日起施行的《最高人民法院关于修改〈民事案件案由规定〉的决定》(法〔2020〕346号)将“隐私权纠纷”剖分为“隐私权纠纷”和“个人信息保护纠纷”两类,此后,侵害个人信息权益民事案件的立案案由统一为“个人信息保护”纠纷,设置在人格权纠纷下作为第三级立案案由。该规定是基于《民法典》总则编“民事权利”章第111条对个人信息的相关规定,法院并未将个人信息权益认定为独立的民事权利,而是将其视为与隐私权并列的具体人格权益。

第三,当事人提请诉讼,需自己证明其个人信息权益受侵害的事实,故其承担的诉讼成本远高于可能获得的经济赔偿和维权合理费用。根据《个人信息保护法》第69条、民事诉讼法及相关司法解释规定的举证责任分配规则,当事人请求个人信息处理者承担侵害其个人信息权益的民事责任,应承担就该诉讼请求所依据事实的举证责任,若未能提供证据或者证据不足以证明其事实主张的,应承担不利后果。而为证明侵害其个人信息权益的事实,当事人需承担收集、固定证据的人力、时间成本及各种相关费用,包括工商查询费、公证费、材料费、交通费、律师费等。法院支持的责任方式包括删除个人信息、赔礼道歉、赔偿经济损失、承担维权合理费用、支付精神损害抚慰金等。⑧由于个人信息蕴含的经济价值难以衡量,违法处理个人信息活动对个人信息权益人造成的财产损失和精神损害赔偿也难以准确评估,而维权合理费用通常只包括鉴定费用而不涵盖律师费用,精神损害抚慰金更是仅具象征意义。因此,当事人采取诉讼途径进行维权,即使胜诉,其所能获得的财产赔偿和精神损害抚慰金,与其所付出的维权成本也完全不能匹配。

第四,个人信息权益的民事与刑事司法保护之间的衔接尚显不足。在个人信息保护范畴方面,民法和刑法对个人信息界定的范畴是基本一致的,均是以“载体+可识别性”为标准,⑨包括自然人活动情况在内的各类信息,并不局限于受隐私权或名誉权保护的个人信息;就侵害个人信息权益的严重程度而言,非法获取、出售或提供公民个人信息达到“情节严重”程度并构成犯罪时,⑩刑事司法保护才可介入。但追究刑事犯罪司法程序复杂、耗时较长。2020年9月18日,最高人民检察院出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》,将网络侵害(个人信息保护)案件列为新领域公益诉讼重点范围。个人信息保护列入民事公益诉讼,为取证难、维权成本高且难以通过私益诉讼维护个人信息权益的困境提供了司法救济渠道。尤其是,检察机关在办理侵犯公民个人信息刑事案件的过程中可以提起刑事附带民事公益诉讼,有助于及时有效阻断侵害个人信息权益行为的发生,成为衔接个人信息民事与刑事司法保护之间的重要方式。但个人信息保护公益诉讼的适用范围较小,针对的只是存在大量侵害社会公益的侵权行为并达到刑事犯罪标准的情况。而且在侵害个人信息刑事附带民事公益诉讼中,因被侵权人往往人数众多甚至是不特定的,侵权人所承担的民事侵权责任一般是在公开媒体上向被侵权的社会公众赔礼道歉、支付赔偿金。因赔偿金数额远低于罚金且是由检察机关作专门处理,因而难以为特定的具体被侵权人提供及时有效的司法保护。更为突出的问题是,对于达不到刑事犯罪标准的侵害个人信息权益的侵权行为而言,必须使侵权人承担停止侵害、赔偿损失等民事责任,才能及时有效地制止侵权行为,维护个人信息权益人的正当权益。但在这种情况下,刑事司法由于侵权行为达不到犯罪标准而难以介入,私益诉讼又因成本过高,抑制了个人选择诉讼途径维护自身信息权益的积极性,这就使得个人信息的民事司法保护与刑事司法保护之间缺乏有效衔接,难以遏制纷繁复杂的侵害个人信息权益违法行为的发生。

总之,2013年以来,相关司法裁判文书对个人信息权益侵权行为的司法认定标准不一;个人信息权益人的财产损失难以评估,侵权损害赔偿数额远低于其财产损失和诉讼成本;个人信息权益的民事与刑事司法保护缺乏有效衔接等,这些问题影响了个人信息权益人选择通过民事诉讼方式来维护自身的信息权益,致使个人信息保护的相关民事案件数量远低于相关刑事案件数量。究其原因,乃在于个人信息权益的法律属性、侵害个人信息权益行为的司法认定、证明责任的分配和责任方式均存有争议。在法律适用中,如何界定隐私与个人信息?个人信息能否成为个人自由处置的财产或准财产,抑或不可任意处置人格的一部分?对个人信息的司法保护应采取财产权保护框架、人格权保护框架,抑或知识产权保护框架?这些问题成为需要认真斟酌且极具实践意义的问题。

个人信息权益的权利属性争议

个人信息权益的司法保护应选择何种模式?回答这个问题,首先需要讨论的是个人信息权益能否成为一项独立民事权利;并在此基础上,对个人信息权益的权利属性、个人信息蕴含的财产权益与人格权益、司法过程中证明责任的分配以及法律适用的选择等问题展开理论分析。

(一)将个人信息权视为一项独立民事权利已成为立法趋势

将个人信息权视为一项独立的民事权利已成为现代社会法治发展的普遍趋势。目前,许多国家和地区的法律对个人信息权的基本内容做出规定,且多以隐私权保护为基础开展个人信息保护立法。美国的个人信息保护立法即采用隐私权保护模式,将个人信息权视为一类隐私权。在美国的法律中,隐私权是一个框架性的权利,类似于德国的一般人格权。欧洲学界的主流观点是将个人信息权视为一项独立权利。1991年6月,德国《联邦资料保护法》首次提出“个人信息权”的概念,认为个人信息保护是对隐私权保护的衍生和扩展。我国个人信息保护立法以《民法典》为基础、以《个人信息保护法》为专门立法,相关规定分散于不同法律的不同条文中,涉及国家安全法、民法、刑法等。尽管国内学界就个人信息权益能否成为一项独立的民事权利尚存争议,且《民法典》和《个人信息保护法》中并未明确规定个人信息权,但个人信息是与特定自然人相联系的,对个人信息的非法获取、公开、买卖等行为显然会对个人的正常生活造成影响,甚至会滋生各种犯罪活动。由此,个人信息权益不仅是应受法律保护的民事权益,更应成为一项独立的民事权利。

从法律条文编排的逻辑来看,“个人信息保护”与“隐私权”并列规定于人格权编内。《民法典》于第四编“人格权”第六章“隐私权和个人信息保护”中对“个人信息保护”做了详细规定,此外,该编还规定了生命权、健康权、姓名权、名称权、名誉权和隐私权等具体权利。将“个人信息保护”置于与“隐私权”并列的立法编排,且与多种具体人格权归纳于同编之内,意味着从法条编排的角度看,个人信息权是与其他独立权利相并列的民事权利。

从权利发展的历程来看,个人信息权的出现符合民事权利的发展规律。以人格权发展为例,“由最初的生命权、健康权,扩展到名誉权、贞操权,到近代法律又确定了姓名权、肖像权等具体人格权,直到后来,才出现了一般人格权”。当新类型的“人格”伦理价值产生时,只有被法律确认之后它才可能成为一项新的人格权。换言之,每一项新的人格权都不是人之固有权利,而是立法者为适应社会需要而创设的法定权利。因此,回应信息时代发展的需求,解决信息技术进步带来的各种问题,有必要从法律的角度对个人信息权利加以确认。

从学理角度看,个人信息权不能被其他权利所涵盖,且与其他法律权益相比具有鲜明的特征和内容,需要被法律确认为独立权利。尽管个人信息权常被称为“资讯隐私权”“个人资料隐私权”,个人信息与隐私存在重复之处,国外也有学者认为个人信息在本质上是一种隐私。但事实上,个人信息权与隐私权在权利属性、权利客体、权利内容及保护方式等方面是存在明显差别的。《民法典》第1034条第3款规定个人信息范畴中的私密信息适用隐私权相关规定,没有特别规定的适用个人信息保护相关规定。在法律适用方面,个人信息保护规定与隐私权保护规定是一般与特殊的关系,隐私权相关规定无法涵盖个人信息的保护范畴。个人信息权也不同于一般人格权,一般人格权过于抽象概括、指向不明确,具有兜底保护功能,将个人信息权视为一般人格权,不利于司法裁判的明确性和可预期性。

(二)个人信息权法律属性的学术争议

关于个人信息权的法律属性,存在诸多学术观点,包括宪法人权说、一般人格权说、隐私权说、财产权说、新型权利说、独立人格权说,以及主张涉及人格尊严的给予人格权保护,涉及主体财产权益的给予财产权保护的混合权利说。国内学者大多主张个人信息权属于具体人格权,个人信息主体对个人信息流转范围和方式的控制是与个人人格发展紧密相连的,在现实社会中应成为保护个人信息权益的价值基础。《民法典》《个人信息保护法》对个人信息界定采取的是“载体+可识别性”的立法规范模式,且《个人信息保护法》增加排除“匿名化处理后的信息”,“可识别性”和排除规则印证了个人信息具有的人格特征。拥有个人信息的自然人是特定民事主体,有权控制个人信息并排斥他人的非法干涉,体现民事权利核心之私益。但权力来源日益“软化”,信息日益“物化”。财产权说主张个人信息可以作为财产加以利用,个人信息权是权利主体对其个人信息的商业价值进行支配的一种新型财产权。互联网企业收集、储存与分析、出售个人信息已成为常态,个人信息的大规模收集和处理甚至成为其核心竞争力。当个人数据开始在商业领域流动时,因阻止个人数据泄露而愿意支付的注意成本或保护措施,在一定程度上可以被视为个人数据的基本价值。运用大数据技术对个人信息进行整合和管理,针对个人需求优化自身产品或提供个性化服务能够产生巨大的经济价值,但不能因大数据技术的运用而忽略个人信息本身蕴含的经济价值,为保护个人信息所花费的注意成本变相成为个人信息蕴含的经济价值。维护个人信息安全仅依赖个人注意义务是不够的,还需国家维护信息主权、建设国家网络与信息安全保障体系,以及网络平台花费管理成本等等,而维护个人信息安全的经济成本在大数据时代被平摊在每一项个人信息的经济价值中。将个人信息权视为人格权或财产权,在司法中各具优势和劣势。具体而言,通过立法确认个人信息权为具体人格权,可为个人信息权利人提供较为宽泛的法律保护,个人信息权亦成为一种不断适应时代发展的新型权利。但在司法适用过程中,由于人格权保护路径具有一定程度的开放性和模糊性,这可能造成个人信息司法救济程度不一,导致个人信息权利边界较为模糊。尽管个人信息的财产权保护规则较为明确,有助于个人在参与个人信息处理活动中掌握话语权、维护自身财产利益,但基于同意的财产权保护进路同样可能面临个人信息保护力度不足的问题。该保护路径基于如下事实:自然人是对其个人信息的最佳判断者,应将个人同意置于个人信息流通的核心;但个人在面对隐私政策时,可能会对个人信息被收集、储存、处理与披露等风险认识不足,难以做出理性判断,甚至不具备对隐私政策的阅读和理解能力,难以防范个人信息被非法利用。

法律权利的性质是由其客体的属性和功能决定的,对个人信息采取何种法律权利保护模式,应根据个人信息对个人信息主体所具有的属性和功能来确定。本文主张,个人信息权的法律属性徘徊在人格权与财产权之间,当个人信息发挥维护主体人格尊严的功能时,应给予其人格权保护;当个人信息发挥维护主体财产利益的功能时,应给予其财产权保护;如若个人信息同时发挥维护主体人格尊严和财产利益的价值或功能,应给予其人格权和财产权的双重保护。在工业社会,个人信息主要发挥维护人格尊严的功能,法律仅给予其人格权保护。高新信息技术开辟了一个社会公众控制个人信息的新时代,信息正逐渐从公共领域转移到私有领域,以往在公共领域可以免费获得的信息,现今因处于私有领域,必须花费足够费用才能得到。个人信息在维护主体财产利益方面的功能日益凸显,法律不应忽视个人信息主体对其个人信息享有的财产利益。

个人信息权益司法救济路径的法律功能比较

个人信息权益法律属性的司法认定、个人信息数量、侵权人获利数额等,影响个人信息权益人通过司法程序获得的经济赔偿数额。尤其是,法官对个人信息权益法律属性认定的不同,决定了个人信息权益的司法救济方式和力度。而个人信息权益的司法救济方式和力度,影响着个人信息法律保护功能的发挥。如何在司法实践中全面保护个人信息权益并抑制相关侵权行为的发生,可以界权成本理论为分析工具,探究在不同个人信息权益权利属性的情形下,个人信息权益司法救济的最优路径。

(一)界权成本理论

法律(立法和司法)是现代市民社会和市场经济的支撑性力量,其基础功能是“定分”和“止争”。“定分”即“界权”,既包括立法者的初始权利界定,也包括司法者面对合法权利相互冲突时的重新界权。科斯认为,“不建立初始的权利界定,就不可能有交换和重组这些权利的市场交易”。法律威慑理论提供了法律“止争”的事前机制,通过事前的责任分配实现事后的有效预防。法律“止争”功能的实现需依赖“始终如一的依法判决”的司法机制,通过事后的始终如一依法判决实现事前的纠纷预防机制。

法律“定分止争功能”的发挥需要立法机关、行政机关、司法机关和当事人等承担相应的成本。立法成本、行政成本以及司法成本,便是广义交易成本中的界权成本、法治成本或制度成本。界权成本是在交易相对人违约时采取权利救济措施,提请仲裁、诉诸法院并依靠国家强制力执行胜诉裁判的成本。一旦加入交易成本的考量,法律制度的作用立即显现,不同界权方式决定了交易成本的高低甚至决定了交易能否达成。当初始界权尚未达到最佳状态时,法律应周延考虑重新界权的利弊得失。法律在模拟市场交易直接配置权利时,不应忽视市场交易所遵循的平等互利原则,得利方应当补偿失权方而非无偿剥夺。由于界权成本是公共权威在权利界定或规则选择上的机会成本,是一种无可避免的最高代价,立法者或法官在“定分”时不得不面对未来,比较不同的界权方案(或规则选择)的机会成本(或不得不放弃的预期最大收益)并从中选择机会成本较低的方案。对立法机关而言,我国个人信息保护立法呈现专门立法和分散立法相结合的特点,除《民法典》与《个人信息保护法》外,大量相关立法散见于《国家安全法》《刑法》等相关法律中,立法机关为此花费大量立法成本。在个人信息保护的司法实践中,法院为审理相关案件也需要承担相关的司法成本。除此之外,个人信息权益人同样需要承担搜集整理证据、聘请律师、起诉至法院所花费的时间、费用等诉讼成本。面对个人信息权益的高额界权成本,如何对个人信息权益进行界权,从而最大程度地发挥法律“止争”的功能显得至关重要。

(二)个人信息权益的界权及其止争功能

除立法者对初始权利的界定,法官面对合法权利相互冲突时的重新界权也是界权的重要方面。法官对个人信息权益的司法认定体现在个人信息权益属性之人格权与财产权的争议中,影响着个人信息保护相关法律“止争”功能的发挥,即维护个人信息安全、预防和减少个人信息权益的侵权行为等。

一是,将个人信息权益认定为一种新型具体人格权,运用人格权法和侵权法相关条款对个人信息蕴含的人格利益进行救济。传统人格权理论主张人格权是主体所固有、不可剥夺、不可抛弃、不可转让,且没有财产属性的消极性或防御性权利。若认可人格权客体具有财产因素,无异于将内化于主体的人格因素财产化,继而导致人格权主体的客体化。随着人格权理论的发展,人格权客体被分为物质性人格要素和精神性人格要素,通过立法明确自然人对其个人信息享有人格权益,即可同时保护自然人对其个人信息享有的精神利益和经济利益,无需分别设立单独的人格权和财产权。相应地,我国民事司法实践坚持人格权一元保护模式,即通过人格权制度实现其精神利益和经济利益保护。在人格权法的适用方面,《民法典》第997条规定了人格权行为禁令,借此暂时保护被侵害的个人信息权益,第995条和第1000条为包括个人信息权益在内的人格权益被侵害提供了请求权基础。同时,个人信息权益人在其个人信息权益受到侵害、妨碍或有妨碍的危险时,可以提出与侵权行为的具体方式和造成影响的范围相当的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等请求权,以恢复个人信息权益的完满状态且不受诉讼时效的限制。在侵权法适用方面,《民法典》第1182条和第1183条规定了侵害个人信息权益造成财产损失的赔偿数额确定方式和精神损害赔偿规则,尤其当赔偿数额难以确定时,法院具有可根据实际情况确定赔偿数额的自由裁量权。通过比较人格权法与侵权法保护个人信息权益的适用效果,可以发现,对于个人信息权益,相关人格权法的适用更为灵活,人格权行为禁令为个人信息权益人提供了及时有效的司法保护,但法律责任的承担方式局限于人格权救济方式。即便法院运用自由裁量权确定赔偿数额,被侵权人的诉讼成本远高于获得的财产赔偿,且精神抚慰金的适用过于保守,与侵权人获得的财产利益相比微不足道。从司法“止争”功能的角度看,将个人信息权益视为人格权益,依据人格权法和侵权法对个人信息的财产权益提供的司法救济力度明显不足,客观上可能助长或纵容个人信息权益侵权行为的发生。

二是,将个人信息权益认定为财产权,应当运用合同法和侵权法相关条款对个人信息蕴含的财产权益进行救济。个人信息权益人的同意虽已成为个人信息保护的公认原则,但不能因个人信息权益人的同意而忽视个人信息蕴含的经济利益,该经济利益隐含在免费模式的“用数据支付”中,其实质是个人信息“同意收集使用”代替了“金钱”支付。与传统财产权理论不同,个人信息在自由处分和自由交易方面不可能如同“物”一般被任意处置,这一特性决定了个人信息权益主体对个人信息的占有、使用、收益和处分均有所不同。《民法典》第1035条和第1036条从正反两方面肯定了个人信息处理者处理他人的个人信息的权利,《个人信息保护法》第6条规定了收集和处理个人信息的原则,即应当限于实现处理目的的最小范围,处理个人信息应当具有明确、合理的目的,且应当采取与处理目的直接相关、对个人权益影响最小的方式。在合同法适用方面,个人信息许可适用合同应当明确个人信息处理人处理个人信息的范围、目的和行为边界,若违反先合同义务、合同履行中的约定义务和法定义务、后合同义务,当事人可行使缔约过失责任请求权、约定个人信息保护条款时的合同请求权、未约定个人信息保护条款时不履行合同债务的损害赔偿请求权、违反个人信息保护法定义务时的损害赔偿请求权。在适用侵权法方面,信息处理人因收集、处理、利用、传递他人个人信息而获得财产性利益,被侵权人除了可以要求侵权人承担停止侵害、赔偿损失等责任方式,还可按照《民法典》第1184条规定财产损失计算方式,即按照损失发生时的市场价格或者其他合理方式,将个人信息权益认定为财产权,适用侵权法对侵害财产权益造成的损失行使损害赔偿请求权。尽管《个人信息保护法》第69条规定了侵害个人信息权益的过错推定责任原则,即个人信息处理者在其个人信息处理活动侵害个人信息权益并造成损害,且无法证明自己没有过错的情况下需要承担损害赔偿等侵权责任,但个人信息权益人需要向法庭提供证据证明个人信息权益被损害的事实,以及个人信息权益人因此受到的损失或者个人信息获得的利益,若个人信息权益人的损失和处理者的获利难以确定,需要人民法院按照实际情况确定赔偿数额。从司法“止争”的功能角度看,通过减少个人信息权益人的诉讼成本或加大侵害个人信息权益行为的财产赔偿责任以增加侵权行为成本,能够有效抑制侵权行为的发生,尤其对未经许可擅自将个人信息用于商业用途的行为,成为预防、减少个人信息权益侵权行为的重要方式。但侵权行为发生地在网络空间难以追踪和确认,势必增加个人信息权益人的诉讼成本,甚至引发跨国纠纷的法律适用问题,尽管个人信息权益人无需证明个人信息处理者的过错,但需要对损害事实进行举证,举证难度较大且需要专业人士协助。若适用合同法,难以确认被侵害的个人信息的市场价格,赔偿数额的确定存有争议,而法院支持的赔偿数额往往较低,难以引导和规范社会公众的个人信息活动。

个人信息人格权益与财产权益的融合:一种民事司法救济的新视角

法律是“生活世界”的支撑、保障和稳定结构,个体价值观、动机和创造性在“生活世界”中得以出现和培育。通过立法保障个人信息安全、规制个人信息有序流动、细化个人信息权益的司法救济方式,有助于提升社会公众的个人信息保护意识、促进个人信息在市场经济运行中的运用、激发个人信息活动的活力。尽管《个人信息保护法》第44条规定个人对其个人信息的处理享有知情权和决定权,但因个人信息权益的具体请求权基础不明确、不统一,若将个人信息权益的权利属性仅视为人格权或财产权,个人信息权益将难以得到全面、充分、有效的司法救济,可考虑以司法“止争”功能为视角,融合个人信息权益权利属性之人格权和财产权,以此为基础重构个人信息权益的司法救济路径。

第一,为有效保护个人信息权益、规范个人信息处理活动、促进个人信息的合理利用,个人信息权益的司法保护应结合具体案情明确个人信息权益的边界,严格区分个人信息权益与其他具体人格权的适用情形。尽管《民法典》并未明确将个人信息权益视为独立的民事权利,且将个人信息保护与隐私权并列置于人格权编,《个人信息保护法》对个人信息处理规则进行的规定,涵盖了一般规定、敏感个人信息的处理规则、国家机关处理个人信息的特别规定,但个人信息权益具备积极行使和收益的特性,不同于传统人格权且需要通过立法明确为独立民事权利。在司法实践中,适用《民法典》《个人信息保护法》等个人信息保护的相关法律,需要在具体案情中分析个人信息权利的权利边界、行使方式及其赔偿责任等。如同个人合理空间需还原到社群共同体中才具有实现的可能,个人信息保护也需还原到特定语境与社群中进行思考。法官应结合具体案情区分个人信息权与诸如隐私权、名誉权等具体人格权的适用情形,逐步统一以“个人信息保护”为案由的案件类型,以防个人信息权益与其他具体人格权发生适用冲突。汲取适用人格权法更为灵活、能够提供及时有效保护的优势,个人信息权益人除可行使人格权请求权,即停止侵害、排除妨碍、消除危险、恢复名誉、赔礼道歉等请求权,在诉讼过程中还可向人民法院申请采取责令行为人停止侵害个人信息行为的措施,为个人信息权益人提供及时有效且不受诉讼时效限制的司法保护。

第二,个人信息权益司法保护应着重个人信息权益的财产权属性,在证明责任分配和损害赔偿数额方面,个人信息处理者须承担不能证明自己无过错的损害赔偿等不利后果,当个人信息权益人遭受的损失难以证明时,法官应运用自由裁量权增加个人信息权益损害赔偿数额。除将个人执业信息、健康信息、信用信息、个人网络浏览信息等各类个人信息聚集成为大数据,并对大数据进行深加工可获得财产收益,个人信息本身所具有的经济价值也不容忽视。《个人信息保护法》第69条规定了个人信息处理者的过错责任推定原则和损害赔偿数额的确定规则,即处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。当个人信息处理者无法证明自己的个人信息活动无过错,则须承担损害赔偿等不利后果;个人信息权益人难以证明自己所遭受的损失,损害赔偿数额按照个人信息权益人受到的损失或者个人信息处理者获得的利益确定。而个人信息处理者获得的利益无法确定时,赔偿数额应由法官根据“实际情况”来确定,此时赔偿数额被涵盖在法官自由裁量权的范畴内。在侵害个人信息权益案件中,无论是个人信息权益所受的损失或个人信息处理者的收益均是难以确定的,法官可在既有相关案例赔偿数额的基础上适度提高赔偿数额,设置法定的最低赔偿额条款,或参照《民法典》第1185条对侵害知识产权的惩罚性赔偿。在侵权人具有明显侵权恶意的情形下,引入惩罚性赔偿制度,尤其对非法出售个人信息,法院应支持个人信息权益人要求的惩罚性赔偿,通过提高侵权人的侵权成本抑制侵害个人信息权益行为的发生。

第三,制定个人信息保护相关司法解释。可将律师费用置于“合理开支”范围内,降低个人信息权益人的诉讼成本,弥合个人信息权益民事司法保护与刑事司法保护的差距。个人信息保护的相关法律规范并非自始基于一个预先设计的规划,而是因侵权形态、科技进步、保护必要性及人民的权利意识而形成,并处于一种快速变动的发展过程中。我国个人信息保护立法现状为司法解释扩张留下了足够空间,通过对个人信息案件的归纳分析,发掘在现行法律框架下发挥“定分止争”功能的新规则,并通过司法解释加以固定,有助于解决个人信息权益保护力度不够等问题,达到立法成本效益的最优化。由于个人信息权益侵权案件中当事人的证明责任包含两个方面。一方面,当事人对自己的主张有提出证据予以证明的责任,即行为责任。个人信息权益人对自身个人信息权益受到损害、个人信息处理者违法处理个人信息活动及其中的因果关系承担证明责任。另一方面,如果案件事实真伪不明,负有举证责任的一方当事人承担败诉的法律后果,即结果责任。个人信息处理者无法证明自身无过错则须承担损害赔偿责任。因此,即便《个人信息保护法》规定了个人信息处理者过错责任推定原则,个人信息权益人获取和固定相关证据往往需要律师协助,个人信息权益人诉讼成本远高于其获得的损害赔偿数额,其中律师费用在诉讼成本中占比较大。在个人信息权益民事司法保护与刑事司法保护的衔接方面,个人信息保护民事公益诉讼为取证难、维权成本高且难以通过私益诉讼的个人信息侵权纠纷提供了救济渠道,但对于达不到刑事犯罪标准的侵害个人信息权益的违法行为而言,个人信息保护公益诉讼的适用范围还是太小。对个人信息保护的民事司法救济力度不足,诉讼成本远高于其获得的经济赔偿和维权合理费用,势必抑制个人维护自身个人信息权益的积极性。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定人民法院根据当事人的请求和具体案情,可以将符合国家有关部门规定的律师费用计算在赔偿范围内。在不限于利用信息网络侵害个人信息权益的案件中,法院应支持将律师费用计算在赔偿范围内,以此大幅降低个人信息权益的诉讼成本,鼓励个人信息权益人通过诉讼途径保护其合法权益,从源头解决个人信息权益民事司法保护与刑事司法保护衔接不足的问题。

①数据来源为中国裁判文书网(https://wenshu.court.gov.cn/)数据库,检索词为“个人信息”“个人信息权”“个人信息权益”,检索范围为“首部”“全文”,检索限制项为“案件类型:民事”“文书性质:判决”,检索时间为2021年8月1日,共检索138篇,筛选掉“个人信息”词语仅为案件事实的文书及重复文书,最后得到有效判决书82篇。

②北京市第二中级人民法院(2020)京02民终10179号;江苏省如皋市人民法院(2020)苏0682民初6724号;江苏省淮安市中级人民法院(2020)苏08民终2511号;重庆市江津区人民法院(2020)渝0116民初9138号;江苏省昆山市人民法院(2020)苏0583民初11684号;广东省广州市增城区(2020)粤0118民初6923号民事判决书等。

③辽宁省丹东市中级人民法院(2020)辽06民终1688号;河北省承德市中级人民法院(2020)冀08民终2665号;重庆市第五中级人民法院(2020)渝05民终7205号;重庆市渝北区人民法院(2020)渝0112民初24368号;北京市朝阳区人民法院(2008)朝民初字第29276号;上海市第一中级人民法院(2009)沪一中民二终字第4202号;深圳宝安区人民法院(2010)深宝法民一初字第1034号;泰州市海陵区人民法院(2014)泰海民初字第1676号民事判决书等。

④辽宁省阜新市中级人民法院(2020)辽09民终1549号;辽宁省大连市中山区人民法院(2020)辽0202民初3364号;浙江省义乌市人民法院(2020)浙0782民初15033号;深圳市中级人民法院(2014)深中法民终字第3130号;北京市丰台区人民法院(2014)丰民初字第589号;南京市中级人民法院(2015)宁民终字第322号民事判决书等。

⑤广州市中级人民法院(2014)穗中法立民终字第2604号;温州市中级人民法院(2015)浙温民终字第1712号民事判决书等。

⑥山东省德州市中级人民法院(2020)鲁14民终1348号;北京市第二中级人民法院(2020)京02民终8514号民事判决书等。

⑦浙江省绍兴市越城区人民法院(2020)浙0602民初7040号;辽宁省沈阳市沈河区人民法院(2020)辽0103民初3916号;北京市第四中级人民法院(2020)京04民终369号民事判决书等。

⑧北京互联网法院(2019)京0491民初6694号;北京市第二中级人民法院(2021)京02民终10830号;杭州互联网法院(2020)浙0192民初10605号;北京市第一中级人民法院(2017)京01民终509号民事判决书等。

⑨《民法典》第1034条第2款规定对个人信息的界定,采取的是“载体”+“可识别性”双重界定模式,并列举了具有代表性的个人信息具体内容。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对“公民个人信息”的界定是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。

⑩《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条对“情节严重”进行了详细规定。

猜你喜欢

人格权权益个人信息
通报:存在侵害用户权益行为的84款App
个人信息保护进入“法时代”
论一般人格权条款与具体人格权条款的规范适用关系
敏感个人信息保护:我国《个人信息保护法》的重要内容
浅论人格权独立成编的必要性
民法典人格权编的重要社会价值
漫话权益
主题语境九:个人信息(1)
论人格权的财产化对于传统人格权的消极防御
警惕个人信息泄露