个人信息侵权的理论反思与规范构建
2023-03-09叶雄彪
叶雄彪
(华中师范大学 法学院,湖北 武汉 430000)
近年来,学界围绕个人信息保护展开了一系列有益探讨,尤其是在个人信息的保护模式、个人信息的法律属性、个人信息与其他人格权的关系等问题上进行了深入研究。《民法典》个人信息保护相关规则以及《个人信息保护法》等法律规范的出台,为数字经济时代的数据流通利用与数据安全提供了规范基础。虽然《民法典》第1034条明确规定了个人信息权益受到法律保护,《个人信息保护法》第四章进一步确定了个人信息的诸项权能,但侵害个人信息权益的救济规则却不甚明确。这主要集中在以下几个方面:其一,私法保护的个人信息范围不明确。公法将可能识别个人身份的信息均纳入调整范围,形成了当前普遍采用的“可识别规则”,但私法移用这一规则却导致大量并不具有明显权益含量的信息成为法律保护的对象,进而与私法理论所追求的“法律保护个人信息乃是为了保护主体的财产权和人格权”初衷相背离(1)王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期,第66页。。其二,个人信息侵权的损害结果不明确。虽然理论上普遍认为个人享有信息权益,法律也对此进行了确认,但在个人信息侵权案件中,侵权损害的确定依然存在争议。违反个人意愿收集处理个人信息并未造成主体权益减损,利用个人信息造成的下游损害又与个人信息侵权行为之间缺乏直接联系,这些现实问题都导致个人信息侵权损害难以认定。其三,个人信息侵权的归责原则不明确。《个人信息保护法》第69条规定,个人信息侵权适用过错推定原则。这不仅与《民法典》所采取的过错责任原则相冲突,也不符合司法实践普遍采取的“自然人侵犯个人信息权益适用过错责任原则”惯例(2)参见四川省成都市中级人民法院(2018)川01民终14654号民事判决书。。有鉴于此,本文拟以个人信息侵权规则构建为核心,围绕以上理论争议问题展开讨论,就教于方家。
一、 侵权法保护的个人信息
当前立法确立了以“可识别规则”为核心的个人信息界定模式,将可以直接识别或者通过组合间接识别个人身份的数据均认定为个人信息,进而将所有与个人可能存在联系的信息材料都作为法律保护的对象,在形式上给与无差异对待。个人生理信息与网络浏览信息、日常对话信息与金融信息在侵权规范体系下受到的保护基本等同。这样一种宽泛的个人信息界定方式造成了审判实践在个人信息权益保护上的“打击范围”过广,也与民法理论以保障人格尊严、人格自由为核心的个人信息保护初衷相违背。近来不少学者注意到了“可识别规则”造成的个人信息范围过广及不确定性问题,提出场景判断和制度功能相结合的差异化个人信息识别路径(3)丁晓东:《论个人信息概念的不确定性及其法律应对》,《比较法研究》2022年第5期,第55 -56页。,但其仍然以整体的数据处理规则构建为目的,并未延伸至个人信息的侵权规则体系,未能一以贯之地将信息的差异化区分规则引入个人信息的事后救济中。这种理论的不贯通主要是因为私法的个人信息概念源于公法的规则体系,同时理论上并未注意到公法与私法在个人信息保护上的目的和作用之差别,以下详细展开。
(一) 公法与私法在个人信息保护中的指向差异
时至今日,个人信息保护领域的私法理论与公法规则已经深度交融,《个人信息保护法》更是直接以个人信息利益保护为目的完美地融合了公法与私法的内容,但二者在保护目的、调整过程方面依然存在差异。
第一, 规制目的不同。从理论研究发展进程来看,我国个人信息保护问题较早是由私法学者提出的,理论上试图将其纳入人格权法或者财产法领域予以规范,包括将个人信息作为无形物进行财产权处理、个人信息的隐私权构造以及以人格利益为核心的各种个人信息权理解(4)关于个人信息权的理论梳理,可以参见叶名怡:《论个人信息权的基本范畴》,《清华法学》2018年第5期,第145 -146页。。这些学说充分展示了私法以保障个人信息利益为核心的理论构造倾向。而作为个人信息保护示范性规范的欧盟《通用数据保护条例》(GDPR)的问世,则进一步促进了以私权保护为核心的理论探讨和立法运动。GDPR以个人信息自决为核心,以“知情同意”规则为基础构建个人信息保护体系,强调个体对自身信息的绝对控制,展现了强烈的排他主义倾向,即未经我的许可不得收集处理我的信息。这样的形式外观较为完美地契合了民法以权利为中心的理论构建模式,即赋予个人信息私权地位,然后进一步构造个人信息权利或者权益。因而在私法学者的探讨中,虽然对个人信息的法律属性尚存争议,但一个基本共识是私法规定个人信息保护内容的目的在于保障个人信息私益。这一共识体现在《民法典》第1034条关于个人信息受到民法保护的原则性规定中。而反观公法对个人信息的相关规定,其规制目的则较为多元,存在个人私益保护与公共利益维护、公共秩序构建等多重现实需求。公法对于数据流通、数据处理以及算法等问题的关注并非由民法上个人信息权益生发出来的,而是宪法所要求的政府保障公民人身安全、尊严、自由以及经济权益责任的具体化表达。此外,有序的市场秩序和社会秩序等抽象宪法性要求亦是《个人信息保护法》《网络安全法》等规范出台的法理依据。
第二, 规制过程不同。就公法规范而言,公共秩序维护之目的注定了其在个人信息规制过程中需要照应信息处理的全过程,包括个人信息的收集、存储、清洗、加工、使用、转移、销毁等。其中任何一个环节出现问题,均会对个人信息利益产生影响,并造成风险的外溢,损害其他市场主体的利益或危害公共安全。故而,《个人信息保护法》立足于全过程的信息安全和社会秩序维护,以个人的“知情同意”开启信息处理过程,以分级、分类等内部管理措施来减少信息的泄露风险,以最小化原则及评估机制等措施来保障信息利用的合理、正当,以受委托人义务来控制信息转移过程中的风险。此外,针对数据处理的“黑箱化”问题,则应当进一步以算法治理规范来强化对数据处理过程的管理,以备案、公示等措施来实现算法透明,实现从事后的个体主体安全范式向事前的整体主义安全范式转变(5)许可:《算法规制体系的中国建构与理论反思》,《法律科学(西北政法大学学报)》2022年第1期,第125 -127页。。当然,《个人信息保护法》虽然分别针对个人、信息处理者、政府等主体设计了行为规则,但其面向仍然是宏观抽象的,难以涵射全部的数据处理场景。针对不同领域和场景可能存在的数据安全风险与个人信息权益保障问题,立法者又以领域法和部门法的形式进行了完备的个人信息规制立法设计,譬如《国家安全法》第25条以维护整体的国家网络和信息安全为要旨,《网络安全法》第4章“网络信息安全”旨在维护包括个人信息在内的全部网络信息安全。这些领域法与《个人信息保护法》共同构建起我国的个人信息安全规则体系,实现国家对整个信息流通过程的监督和管理。而私法虽然也以保障个人信息利益为导向,但受制于个体现实力量弱、程序约束多等因素,个人借助私法实现信息利益维护的手段与场景则是较为有限的,难以像公法那样贯穿于全部的数据处理过程。以“信息自决”为核心的个人信息私权理论,为民事主体所提供的权利工具往往“虚有其表”,个人在完成了信息收集的同意授权之后,很难观测到后续的数据处理、利用行为。知情同意权、查阅权、删除更改权、可携权等个人信息私法意义上的权能对个体信息利益的维护需要个体的自主参与,但信息主体的精力往往是有限的,并不会实时跟进数据处理过程,故而私法对个人信息权益的保障是“片段化”和“节点式”的,即信息主体只有在信息流通的起点以及信息利益受到影响(如信息记录出现错误、泄露)的时候才会行使个人信息权。
规制目的与规制过程的不同,自然导致公法与私法所作用的信息范围不同。公法以构建整体数据安全和社会秩序等公共利益为导向,其触角需要延伸至数据处理的各个环节,故而在所规制的信息对象选择上宜以“可识别规则”为核心,涵盖所有可能识别出个人身份、给个人造成风险的信息。《民法典》片面地借鉴了公法的个人信息定义模式,忽略了私法仅应保障个体信息私益这一初衷,以“可识别规则”来界定受侵权法保护的信息范围,造成了大量无明显“权益含量”的信息进入法律保护范畴,故而有必要以保障私益这一基本目的为线索,对可受侵权法保护的个人信息范围作一定限缩。
(二) “可识别规则”的适用难题
私法学者虽然较早注意到了个人信息利益需要受到保护的现实需求,但对个人信息的界定却是晚近的事情,这也导致了技术标准和公法理论中的个人信息定义向私法体系蔓延,立法上为了追求形式统一而在不同法律规范中采用了相同的个人信息界定方式。当然,对于“可识别规则”带来的个人信息界定过于宽泛、阻碍数据流通使用等现实问题,理论上开始寻求更为实用的个人信息界定方式与差异化规制模式,并提出了“关联说”“废除静态概念说”“新识别说”等个人信息界定标准(6)高秦伟:《个人信息概念之反思及其体系化——立法与实践的理论起点》,《人大法律评论》编辑委员会组编:《人大法律评论》2019年卷第1辑,北京:法律出版社,2019年,第214 -219页。,以缓和规则之僵化。
当前,个人信息侵权救济体系同样面临规则僵化的问题。《民法典》中个人信息界定方式及其无差异救济模式的弊端已经开始显现,个人信息界定方式与私法功能定位的不匹配,造成了个人信息侵权规则体系的诸多问题。其一,侵权法保护的信息范围过广,导致可受救济的信息门槛过低,造成权利泛化和诉讼泛滥。民法以保障当事人合法权益为目的,而侵权法则更是以救济当事人的合法权益损害为宗旨,即便是对民事法益的保护,亦需要受到私益性、合法性、对世性、可归属性等条件的限制(7)温世扬:《略论侵权法保护的民事法益》,《河南省政法管理干部学院学报》2011年第1期,第32 -33页。。但在现有的个人信息侵权救济规则体系下,以“可识别规则”为核心的个人信息界定方式,无疑会造成各种“偏远”的间接识别信息进入法律保护范畴,形成法律对事实信息赋权的怪相。这些可间接识别个人身份的事实信息所承载的利益是什么,值得怀疑。即便承载了一定利益,相关事实信息是否可以归属于信息主体也是需要审慎判断的。譬如,个人的日常活动轨迹等事实信息本应被过滤出法律体系,但随着相关法律规范出台,这些事实信息即进入到私法射程之内,成为私法保护的对象。这无疑是权利的泛化,与私法保障个人信息权益的初衷相违背。
其二,侵权法无差异保护各种信息,阻碍了正常的社会交往活动,与社会管理规则相冲突。个人信息虽然具有一定的私人属性,但亦具有公共品面向,是人际交往和社会管理的基础。私法对可识别个人身份的信息进行普遍保护,无疑是对社会运行规则的悖逆。实践中陆续出现了一批因所公开违法行为或者处罚决定中包括个人信息而被认定侵害个人信息权益的判决(8)参见广州互联网法院(2019)粤0192民初11652号民事判决书。。这一方面反映了不同权益之间的冲突,另一方面也展现了个人信息保护立法在实践运行中的扭曲。基于社会交往或者社会管理的需求,个人信息的使用是不可避免的。传统社会中的信息流通并未生发出普遍的个人信息权益,网络技术导致的数据传播提速一定程度增加了信息风险,因此有必要进行一定的制度设计来降低因信息高速传播造成的不良影响,甚至阻断某些信息的传播,但个人信息作为交往工具的基础角色尚未改变。当前侵权法对可识别个人身份的各类信息进行无差异保护,尤其是在正常交往或者管理活动中的个人信息交流使用亦被认定为侵权,无疑是不符合现实逻辑的。
(三)侵权法保护的个人信息范围:侵权样态的区分
对于以“可识别规则”为核心的个人信息界定方式存在弊端,无甚争议,而如何判定侵权法保护的个人信息范围仍需要进行一定的反思。一种可供参考的思路是,借鉴场景化理论对侵害个人信息的样态进行区分,在不同侵权情境下界定受保护的个人信息范围以及是否构成侵权。
以个人信息权利行使受阻和个人信息处理者违反法定义务为依据,可以基本涵盖当前常见的个人信息侵权样态,包括以下几种:未经同意收集个人信息,个人信息错误或者被篡改,超越权限的信息使用,查阅复制受阻,个人信息泄露。以下详细分析各种侵权样态下所保护的个人信息范围。
第一, 未经同意收集个人信息情形。私法保护个人信息目的在于保障人格利益。这种人格利益应当是一种抽象人格尊严、人格自由与具体信息权益的结合,包括个人的姓名权、肖像权、隐私权等具体人格利益以及自由生活、不受干扰的抽象人格尊严(9)李婕:《人脸识别信息自决权的证立与法律保护》,《南通大学学报(社会科学版)》2021年第5期,第107 -109页。。个人信息的知情同意规则作为信息被收集的第一道关卡,赋予了个人对自身信息流向的自主决策权利,对于保障人格利益和防止风险发生具有重要意义。故而在这种情形下,对于个人信息的范围认定需要尽可能广泛,将一切与个人相关的信息均纳入侵权认定范围。
第二,个人信息错误或者被篡改情形。这样一种情形所导致的是个人的名誉权、荣誉权受损以及个人的社会经济生活受到影响,譬如个人所获一等奖荣誉被记录为二等奖造成了个人的荣誉减损,个人的征信信息记录错误导致个人后续的贷款活动受阻。但此类情形下的个人信息认定应当受到一定的限缩,基本可以限制为原始信息,即所收集的第一手资料。至于加工后的信息,则一般不应属于侵权对象,因为对于信息的加工使用属于个人信息处理者的自主行为,服务于商业或者管理目的,其过程也很难为个人知晓。当然,个人主张信息错误或者被篡改的前置条件是个人可以发现、知晓这一事实,故而《个人信息保护法》在个人信息权能端配置了信息查询复制权,同时明确了个人信息处理者的协助配合义务。因此,在个人信息查询复制受阻这一侵权样态中,所涉及的个人信息范围也应当限制为原始信息。
第三,超越权限的信息使用情形。个人信息处理者在收集数据之前需要履行充分的告知义务,其中就包括如何使用个人信息。在后续的处理过程中超越权限进行信息使用,一方面会让个体遭受的风险增加,另一方面也是对双方协议的违反,损害个人的信息利益。在这种情形下,侵权范围的确定应当以法律的规定与用户协议的约定为标准进行双重评判。其一,立法确立的用户数据收集使用范围。为了保障用户数据安全,我国陆续出台了规范企业收集使用用户数据的规定,包括《个人信息保护法》第6条第2款的最小收集范围原则、《常见类型移动互联网应用程序必要个人信息规定》所确立的各类型App数据收集范围规定等。这些规定以“原则+具体”规范的方式划定了企业可以收集使用的用户数据范围。其二,用户协议确立的数据收集范围和使用方式。用户协议虽然由企业主导确立,在“合意度”上受到质疑,但在网络信息治理愈发严格的法治环境下,其合规性和合理性逐渐增强,成为用户透视企业如何使用数据的窗口,亦是用户同意贡献自身数据及评判企业是否超越权限使用数据的重要依据。因此,在超越权限的信息使用情形中,需要结合法律规定和用户协议约定来进行综合评判。
第四,个人信息泄露情形。个人信息泄露是互联网时代的社会隐忧,技术发展和经济进步需要收集、使用数据,但企业却难以保障信息存储的绝对安全,大规模的数据泄露时有发生。另外,网络的普及亦给私人之间的信息网络传播侵权行为带来了便利,通过微信、微博等媒介传播他人个人信息的事件也屡见不鲜。目前,法院在判定企业泄露用户信息或者个体传播他人信息案件时,存在着事实上和法律上的双重难题:其一,对于信息泄露所造成的损失难以判断;其二,个人信息与隐私权、名誉权等人格权之间的法律关系难以把握。一定程度上,《民法典》对个人信息权益的肯定,逆向促进了个人信息权利意识,即在传统社会中并非侵权的个人信息传播行为基于法律的规定而被普遍认为是对个人信息权益的侵犯,造成诉讼的增加。而这一问题的产生无疑是由于个人信息权益属性在立法上与实践中存在偏差。私法保护个人信息的理由在于其所承载的人格利益,这一点在理论探讨中已经达成了共识。故而在个人信息泄露案件的裁判中,宜回归到人格利益保护的私法重心上,不应对所有可以识别身份的个人信息进行一体化保护。而这一限缩工作无疑属于司法裁量的工作范围,即在个案中判定被侵害的个人信息是否具有人格属性,甚至是具有较为重大的人格利益,以此来限制信息泄露案件中的个人信息范围。
二、个人信息侵权中的损害
损害作为侵权责任构成基础要件之一,在个人信息侵权问题探讨中被广泛关注,损害的界定成为了个人信息侵权命题成立的基础。尽管《个人信息保护法》第69条第2款规定了侵害个人信息的赔偿认定规则,但其并不能成为个人信息侵权损害当然存在的依据。侵权法的损害包括财产损害、人身损害和精神损害(10)张新宝:《侵权责任法》(第四版),北京:中国人民大学出版社,2016年,第27 -29页。,而学理上又普遍承认个人信息兼具人格属性和财产属性,二者有所契合。但抽象的理论分析在进入具体问题解决时依然面临障碍,有待进一步解析。传统的差额损害说在个人信息侵权适用中,面临利益差并不明确的问题。而当前学界提出的风险损害标准,亦面临理论和实践上的障碍,难谓合理。以下将首先对差额说和风险损害说进行检讨,然后以规范损害理论为中心解读个人信息侵权中的损害。
(一) 差额说的适用障碍
损害是当事人遭受到的不利益,包括财产损失和非财产损失两个方面(11)王利明:《侵权责任法研究》(上卷),北京:中国人民大学出版社,2010年,第302页。。侵权损害赔偿应当使当事人恢复到权益未受侵害前的状态。如此,损害就是侵权行为没有发生的情况下当事人应当享有的利益状态和侵权行为已经发生的现实情况下当事人实际享有利益状态的差额,此即损害的差额说(12)王泽鉴:《损害赔偿》,北京:北京大学出版社,2017年,第63页。。差额说下的损害需要符合三个条件:其一,损害是对合法民事权益的侵害结果;其二,损害需要具有确定性;其三,损坏需要具有可补救性(13)张新宝:《中国侵权行为法》,北京:中国社会科学出版社,1998年,第93 -94页。。传统侵权问题中,差额说虽然也面临一些挑战和质疑,譬如难以衡量精神损害赔偿是否使当事人恢复到了未受侵害的状态,但在损害确定发生的情况下,通过一定的技术手段仍然可以尽量填平当事人遭受到的损失。不过在个人信息侵权问题中,差额说的损害认定方法就难以应对了,其最大的障碍在于损害的不确定性。这种不确定性主要体现在以下几个方面:
第一,损害是否发生的不可预期性。数据的天性在于流通,个人信息的基础功能在于标识使用。人的社会性决定了个体必须与社群中的其他人进行交往,不可避免地需要进行信息交换,而信息一旦分享之后即再难被个体所控制,个人无法预测信息流向何方。在互联网时代,数据流通速度加快,信息流通的多向性和无序性被放大,个人对自身信息的控制力进一步减弱,完全无法知晓自身信息被收集之后被何人做了怎样的处理。任何一个数据处理者不遵守法律规则,或者任何一个环节违规都有可能造成个人信息权益受损。尽管《个人信息保护法》等公法规范试图明确个人信息的处理规则,但其约束力仍然是有限的。因而,在这个意义上,私法虽然赋予了个体“知情同意权”,但其权利效力非常微弱,信息是否被滥用,信息权益是否遭受损害都具有不确定性。
第二,损害发生时间的不确定性。以信息泄漏为例,从用户授权数据处理者收集自身信息开始,数据泄漏的风险即存在,任何时候都有可能发生个人信息泄漏,而且一旦泄漏即意味着在互联网中永久存在,可能引发后续的诈骗、盗窃、伤害等侵害行为。也就是说,只要个人进入互联网世界,信息随时都可能泄漏,信息泄漏的后续危害即伴随而生,个人的损害也就随时可能发生。
第三,损害范围的无限性。传统侵权法所调整的是确定的权益损害,当事人所遭受的损害往往具有一定的限度。即便是在人格权受到侵害的案件中,亦可在精神损害赔偿之外,辅以停止侵害、赔礼道歉等责任方式来消除侵权行为的后续影响,将损害终结于某一时间点。但在个人信息侵权案件中,基于信息的侵权可能随时发生,尤其是在信息泄漏之后下游风险持续存在,遭受损害的可能性持续存在,损害的范围亦可能无限扩大。实践中法院往往将信息泄漏的损害认定为某一次被诈骗的金额,试图做到“案结事了”,但这忽视了后续可能再次发生的诈骗损失。当然,这种损害的不确定性也同样存在于未经同意的信息收集、信息登记错误等侵权样态中。基于信息使用目的和方式的不确定,侵害个人信息给个人造成的风险和损害也是不确定的。
(二)风险损害说的局限
虽然私法对个人信息属性的理解集中在其所承载的权益方面,但公法防范风险的个人信息保护理念依然对私法理论产生了一定影响。特别是在面对个人信息侵权损害认定难题时,部分学者注意到从本体论视角解释侵权损害的局限,进而转向以风险考量为核心的个人信息侵权损害认定进路。这样一种损害认定思路认为,当今社会充满了风险,而且这种风险与人类的活动紧密相关,包括技术风险和政治、社会与经济等制度风险(14)刘水林:《风险社会大规模损害责任法的范式重构——从侵权赔偿到成本分担》,《法学研究》2014年第3期,第110 -111页。,法律可以通过制度设计对风险行为进行规范,对社会风险进行责任分配。网络技术的进步和数字经济的发展需求,要求大规模的个人信息采集应用,这使得整个社会进一步陷入信息风险之中。适时的法律理念和规则调整成为必要,以对冲信息利用造成的风险分配不均。风险损害认定理论也可以作进一步细分:较为极端的风险损害观点认为,个人信息暴露本身即意味着损害,后续的人身或者财产损害是否发生并不影响损害的认定(15)See Maxwell E.Loos, “Exposure as Distortion:Deciphering Substantial Injury for FTC Data Security Actions,” George Washington Law Review Arguendo 87 (2019:42): 42-78.。较为缓和的风险损害理论则认为,应当将个人信息侵权损害区分为现实损害和风险性损害。其中,现实损害是个人已经遭受的人身和财产损害,而风险性损害则指向信息泄露造成的个人风险状态差异(16)朱晓峰、夏爽:《论个人信息侵权中的损害》,《财经法学》2022年第4期,第60 -65页。。此外,也有学者尝试借鉴传统的差额损害认定标准,寻找个人信息侵害引起的风险利益差额,考量因素包括信息暴露导致的风险升高、预防风险的支出、风险引发的焦虑等方面(17)田野:《风险作为损害:大数据时代侵权“损害”概念的革新》,《政治与法律》2021年第10期,第33 -36页。。
将风险作为个人信息侵权的损害,一定程度上将抽象的个人信息利益具体化了,促进了无形的个人信息损害显形,具有参考价值。不过将风险认定为个人信息侵权中的损害,仍然需要审慎考虑。
第一, 风险可能性与损害确定性之间的冲突。风险损害理论的目的在于解释个人信息侵权侵害的利益是什么,以此作为要求侵权人承担责任的依据,消除差额说在信息侵权损害认定上的局限。但将风险作为损害却有可能颠覆既有的侵权责任理论体系,其中最大的问题就在于风险可能性与损害确定性之间的强烈冲突。法律责任的作用包括预防违法和补偿受害者,而侵权法的价值则主要在于保障个人权益,体现为事后救济,而非预防(18)格哈德·瓦格纳:《损害赔偿法的未来——商业化、惩罚性赔偿、集体性损害》,王程芳译,北京:中国法制出版社,2012年,第19页。。将个人信息侵权的损害界定为风险的提升,本质上是将未来可能发生的损害进行一定前移,要求当前的个人信息泄露者承担未来他人行为导致的损害,而且这种损害是否发生还是不确定的。如若在个人信息泄露之后,个人尽到了充分的注意义务,则未来的损害完全有可能不发生,那么个人相当于无损害即获得了利益,这无疑是不正义的。当然,学者所提出的,在风险社会信息暴露即意味着风险,这一点无可厚非,但风险的增加却并不等于赔偿。就如汽车的使用相较于步行增加了风险,但法律却没有将发生车祸事故的责任完全分配给汽车制造商。同理,网络的使用确实增加了信息风险,但损害却并不一定发生,亦不得将未发生的风险归咎于个人信息处理者。将作为损害发生可能性的风险等同于损害本身,颠覆了侵权法的基础逻辑,不具有合理性。法律分配风险的方式与平衡利益的手段是多样的,譬如对于高度危险活动采取无过错责任规则方式来分配风险,实现收益与责任的平衡,但依然坚持损害确定存在的事实基础。
第二, 风险多样性与私法保护对象的矛盾。风险损害理论注意到个人信息的使用可能对个人造成多方面的不利益,包括引发下游犯罪、社会歧视、商品差异定价等,这些风险分属人身、经济、社会等不同领域,已经完全超越了民法所能调控的范围。而其中所涉及的利益也不应属于民法保护的范围,有的甚至超越了法律的管辖范畴。私法在个人信息保护中的作用限于个人财产和人身权益维护,而侵权责任法的功能则是在信息私益受到侵害时提供救济手段。当信息使用所引发的风险外溢至其他领域时,则应当交由公法或者其他社会规范予以调整。风险损害说试图将各种不属于民法上的利益解释到个人的信息利益损害之中,无疑与私法的体系定位不符。
第三, 风险损害说在具体操作上的障碍。将风险作为个人信息侵权损害,还需要考虑具体操作上是否可行的问题。当前学界提出了多种风险“贴现”模型,考量因素包括:(1)信息类型、风险发生的盖然性、风险可能导致的危害及其影响范围(19)朱晓峰、夏爽:《论个人信息侵权中的损害》,第61 -62页。;(2)信息处理的方式和目的、信息误用的迹象等(20)田野:《风险作为损害:大数据时代侵权“损害”概念的革新》,第33 -36页。;(3)预防费用与精神损害(21)谢鸿飞:《个人信息泄露侵权责任中的“损害”——兼论风险社会中损害的观念化》,《国家检察官学院学报》2021年第5期,第35 -36页。;(4)隐私方面的损害、财产损害、损害发生的风险、未获得信息造成的损失等(22)See Jackson Erpenbach, “A Post-Spokeo Taxonomy of Intangible Harms,” Michigan Law Review 118 (2019:3): 471-506.。这些风险损害具体化模型在消解个人信息损害认定难题的同时,无疑也将“风险”和“难题”带入了审判之中。由于缺乏具体的损害评估标准,这些风险损害衡量因素只能交由法官在个案中进行动态衡量。但法官并不是数学家和经济学家,很难在裁判中进行如此多因素的非具体事实损害计算。法官或许会“就事论事”地考察某一次信息泄露造成的个人损失,但这并非全部的风险,与风险损害说所追求的完全评估信息损害目的不符。当然,采纳风险损害说的另一种可能是造成法官裁判的随意性,从而增加个人信息侵权损害的不确定性。
(三)个人信息侵权损害的判定:以规范损害说为中心
将风险纳入个人信息侵权的损害赔偿范围属于对个人信息利益的一种误读,尤其是信息滥用或者是信息泄露之后带来的各种不利益,属于经由信息而造成的下游损害。从因果关系的角度来说,这模糊了行为与责任之间的逻辑关系,无端扩大了个人信息利益的涵射范围。个人信息侵权可以区分为以信息本身为侵权对象和以信息作为手段两种行为形式(23)孙鹏、杨在会:《个人信息侵权惩罚性赔偿制度之构建》,《北方法学》2022年第5期,第97页。。目前的损害认定障碍在于,前一种侵权行为所造成的损害并不明显,一定程度上不具有可罚性,譬如未经授权的个人信息侵权行为并未在实质上影响个体的利益;而后一种侵权样态所导致的损害具有不确定性或者归责理由不够充分,将受害人遭受的人身财产损失归咎于信息泄露行为缺乏充分的理由。如果改采规范损害说,则在一定程度上可以消解个人信息侵权损害认定中的难题,且不会与现有的侵权法理论产生扞格。规范损害说以修复差额损害说的适用间隙为核心,该理论认为侵权损害不仅应当考虑受害人前后利益状态的差异,还要考虑规范目的,在损失计算中要包括法律价值的评估(24)姚辉、邱鹏:《侵权行为法上损害概念的梳理与抉择》,陈小君主编:《私法研究》第7卷,北京:法律出版社,2009年,第30 -45页。。被害人是否受到损害的实质是法律规范所保护的利益是否受到损害,或者法律保护的状态是否不同(25)汪志刚:《论民法上的损害概念的形成视角》,《法学杂志》2008年第5期,第28页。。
抽象地谈个人信息侵权损害只会让争论陷入昏暗之中,唯有在具体的侵权样态和个人信息权能受阻中进行探讨,才会让此问题更有意义。《个人信息保护法》确立了个人信息的知情同意权、查询复制权、要求解释说明权、可携带权、更正补充权、删除权,此为个人信息的原权利,而第69条规定的则属于受到侵害之后的救济权,即对个人信息原权利的救济。
个人信息侵权所造成的损害体现在两个方面:其一是原权利的行使受阻。在法律赋予了个人多项信息权能之后,权利行使不畅本身就是一种损害,正如阻碍他人进入自己的房屋,虽然没有造成房屋损害,却影响了个人的使用权能。其二是对人格尊严和自由的影响。其中知情同意权、要求解释说明权是贯穿整个数据处理过程的,以确保个人在充分知晓数据处理相关事项之后作出决策的自由。查询复制权和更正补充权则是为了维护自身信息的真实准确,属于对个人名誉、信誉、尊严以及社会活动不受阻碍的保障。而可携带权与删除权是在数据被收集之后自主决定信息留存与否的自由,亦属于对一般人格自由的保障性权能。故而,个人信息的诸项权能均是围绕人格自由和尊严保障展开的,所涉及的也是民法学界广泛承认的个人信息人格利益(26)张彤:《论民法典编纂视角下的个人信息保护立法》,《行政管理改革》2020年第2期,第31页。。侵犯这些权能所造成的自然是人格利益损害,其属于精神损害,与财产损失无涉。
当然,在人格权的商品化或者经济利用背景下,个人的姓名、肖像等信息要素确实具有一定的财产价值。法律已经将这些信息规定为了具体人格权,在发生侵权时应当属于请求权竞合之情形,优先适用具体人格权保护的规定。因此,理论上以姓名、肖像等信息为例子来论证个人信息侵权具有损害财产利益之可能是不准确的。此外,理论上也曾经提出,数字经济时代的个人信息利用会带来商业利益,故而个人信息本身就具有一定的财产价值,甚至有人主张个人信息使用者应当向个人付费。域外的个人信息交易实践虽然证明个人信息具有财产属性,不过我国目前严格限制个人信息买卖的法律体系构成了个人信息交易的制度障碍,故而当前个人信息本身还不具备财产价值。
另外一个需要澄清的问题是,个人信息侵权造成后续的各种经济不利益或者其他方面不利益应当如何获得救济?个人信息侵权乃是对各项具体权能的抑制,定位于对人格尊严和人格自由的损害,不及于后续损害。而私法上的救济方式则是请求恢复权利的正常行使,或者消除不良影响。譬如,未经同意的数据收集行为乃是对知情同意权的侵害,个人可请求删除数据,并且在一般情况下不会造成精神痛苦,并未达到需要损害赔偿的程度。而数据泄露之后导致被诈骗,一定程度上属于自身未尽到合理注意义务而遭受的损失,并不能归因于信息侵权。实际上,裁判也没有完全承认信息泄漏的下游损失,被害人自身的轻率与不谨慎乃是自身损失的原因,不应全部归责于信息泄漏(27)参见广东省深圳市中级人民法院(2019)粤03民终3954号民事判决书。。当然,否定信息侵权与下游损失之间的因果关系,并不意味着这些侵权行为不受法律调整,只是规制的方式和手段应当由公法规则确定,即借助国家力量或者社会力量来完成规范数据行为的时代任务,同时以广泛的安全教育来提升公民风险防控意识,降低社会的系统性风险(28)胡向阳等:《典型诈骗犯罪防控对策研究》,《中国人民公安大学学报(社会科学版)》2010年第5期,第94页。。
总体来说,个人信息侵权属于对人格利益的侵害,所导致的是精神损害。风险损害说所提出的焦虑不安情绪亦应当归于传统的精神损害范畴之中,且只有在达到一定严重程度的情况下才可以主张精神损害赔偿。而为了维护权益所付出的成本,包括取证费用、诉讼费用等间接损失,一定程度上可以认定为个人信息侵权的间接财产损失(29)杨垠红、章彤:《个人信息侵权风险性损害的认定路径》,《福州大学学报(哲学社会科学版)》2022年第6期,第109 -110页。。
三、 个人信息侵权的归责原则与过错
《民法典》第1034条仅规定了个人信息利益受法律保护,而个人信息侵权规则则需要借助侵权责任编的规范进行展开。个人信息侵权应当适用过错责任原则,即适用《民法典》第1165条的规定。而《个人信息保护法》第69条则采取了过错推定原则,一般性地推定个人信息处理者具有过错,允许其反证自己没有过错,实现侵权责任的免除。当前立法广泛采用数据处理者的概念,并未如域外立法例对数据处理者进行区分(30)张建文、时诚:《个人信息的新型侵权形态及其救济》,《法学杂志》2021年第4期,第44 -45页。,且《个人信息保护法》第2条明确规定组织和个人均属于该法调整对象,故而可以认为我国的个人信息侵权问题应当适用过错推定原则。然而,这样的解释却并不一定合理,仍然有反思的必要和解释的空间。
(一) 归责原则的理论选择
在《个人信息保护法》立法过程中,学界对如何选择个人信息侵权归责原则问题有过充分讨论,形成了多种不同观点,以下对其进行简要梳理分析。
1.一元归责体系
学理上对于个人信息侵权的归责原则,有多种不同的看法。其中,支持单一归责模式的理论囊括了一般过错原则、过错推定原则和无过错原则三种。一般过错原则乃是《个人信息保护法》出台之前的惯例,在司法审判中被普遍采纳。法院认定个人信息侵权成立,需要寻找侵权行为人的过错所在。尤其是在侵权人为银行、快递公司等案件中,法院往往以侵权人是否违反相关法律规范的客观标准来判定其是否具有过错(31)参见海南省第二中级人民法院(2019)琼97民终1618号民事判决书。。根据“谁主张谁证明”的证明责任分配原则,受害人需要对行为人的过错进行举证,但自动化处理技术的引入使得个人往往难以证明数据处理者具有过错,即便降低证明标准依然难以解决证据短缺给受害人带来的证明困境,故而一般过错原则被认为不利于个人信息权益保护(32)杨立新:《个人信息处理者侵害个人信息权益的民事责任》,《国家检察官学院学报》2021年第5期,第43页。。另有观点认为,在个人信息侵权领域应当适用无过错责任原则,以平衡当事人之间的利益,实现分配正义,同时保障整体的公共信息安全(33)蒋丽华:《无过错归责原则:个人信息侵权损害赔偿的应然走向》,《财经法学》2022年第1期,第41 -42页。。无过错原则使得受害人无需证明侵权人的过错,也可以减少多元归责体系下个人信息处理者的身份区分难题(34)程啸:《论侵害个人信息的民事责任》,《暨南学报(哲学社会科学版)》2020年第2期,第43页。。不过在《个人信息保护法》第69条明确规定了个人信息侵权适用过错推定责任的情况下,无过错责任原则的解释空间至少在形式上被挤压殆尽了。
《个人信息保护法》选择过错推定原则这样一条中间道路,无疑是对过错责任原则下个人信息利益保护不足与无过错责任原则下个人信息处理者负担过重的折中。理由在于,一般公民与个人信息处理者相比,在信息、资金和技术等方面都存在较大的差异,个人无法准确获知信息被如何进行处理,甚至不知道自己的信息权益是否遭受了侵害,故而过错责任对于个人来说证明要求过高(35)程啸:《侵害个人信息权益的侵权责任》,《中国法律评论》2021年第5期,第63 -64页。。而无过错责任将使个人信息处理者的负担过重,一定程度上抑制个人信息处理者的热情,阻碍技术和经济发展。过错推定原则一方面降低了个人的证明要求,另一方面又允许个人信息处理者以证明自身没有过错来免于责任承担,一定程度上做到了利益平衡,形成了与过错责任、无过错责任之间的鲜明区分。
2.多元归责体系
除了一元归责模式之外,理论上还存在多种多元归责原则理论,其中最为典型的是我国台湾地区所谓的“个人资料保护法”第28条确立的公务机关与非公务机关区分模式,以及德国《联邦数据保护法》第83条所确立的自动化数据处理与非自动化处理区分模式。前者认为公务机关侵害个人数据权益适用无过错责任原则,非公务机关侵害个人数据权益则适用过错推定原则;而后者则认为自动化处理情形下应当采取无过错责任原则,非自动化处理情形下则适用过错推定原则(36)叶名怡:《个人信息的侵权法保护》,《法学研究》2018年第4期,第93页。。这两种模式都不乏支持者,故而有必要详细展开讨论。
第一, 就我国台湾地区的归责模式而言,区分公务机关与非公务机关的理由在于,公务机关掌控了大量的数据,在很大程度上强化了公务机关与个体之间的力量差距,个人无法与公权力对抗;而且公务机关处理个人信息如果属于职权行为,应当适用公务责任,自然人向其主张信息权益损害赔偿的应当适用无过错责任原则。这种区分虽然有一定的道理,但也存在一定的局限。其一是社会力量的增长,尤其是大型互联网平台企业的发展使其具有超强的数据计算能力,其数据处理能力并不亚于政府部门(37)陈吉栋:《个人信息的侵权救济》,《交大法学》2019年第4期,第51页。,故而认为政府数据处理能力优于市场主体的观点有失片面。其二,政府部门与非政府部门的区分是另一个难题。在我国经济发展和社会管理模式下,大量非政府机构,包括医疗机构、教学科研部门、金融企业等单位承担着大量公共职能,属于政府部门的延伸,这些机构同样具有强大的数据处理需求和能力,但并不属于政府部门。如何准确定位这些属于非公务机关却又实际上履行公共职能的机构,无疑是一个较大的难题。
第二, 就德国归责模式而言,区分自动化处理与非自动化处理的理由在于,自动化处理意味着数据处理能力更强,从数据中获取的利益更丰厚,造成损害的可能性也更大,类似于高度危险行为,故而应当适用更为严格的归责形式。这样一种区分具有较强的说服力,其不对主体身份进行区别,而是以实质性的数据处理能力和处理模式为依据,构建不同的个人信息侵权归责模式。德国法在区分自动化处理和非自动化处理之后,分别采取无过错责任原则和过错推定责任原则。虽然与我国当前的个人信息侵权制度体系存在一定冲突,但其区分模式依然有较强的借鉴意义。在对《个人信息保护法》第69条所确立的个人信息侵权归责原则进行法律解释和司法适用时,依然有必要作进一步区分细化。
(二) 二元区分的归责体系构建
个人信息侵权的过错推定原则,试图在个人信息利益保护与数据处理者的经济权益保障之间作出平衡与折中,但也面临以下问题:
第一, 采取过错推定方式保障个人信息利益,拔高了个人信息的法律地位,但欠缺充分的理由。个人信息作为网络时代的新生利益形态,从属于民法人格权体系与整体的信息法律体系,但过去法律对人格利益和信息利益的保护所采取的都是过错责任原则,侵害姓名权、肖像权、名誉权等人格权的责任承担属于一般过错侵权形态,而对于知识产权、商业秘密等信息利益的责任承担也需要具有过错。因而,从宏观层面对个人信息侵权规则进行解构,一般性地采取过错推定原则,与既往的规则体系存在冲突。当前,理论对个人信息的属性理解还存在较大争议,立法也并未将个人信息权益明确为民事权利,学界不乏对个人信息作民事法益理解的观点(38)季平平:《论个人信息利益的民法属性》,《学习与探索》2022年第9期,第80 -84页。。而理论上对于民事法益的侵害赔偿要求则更为严格,需要故意且违背善良风俗(39)程啸:《侵权责任法》(第二版),北京:法律出版社,2015年,第114 -115页。。因此,采取过错推定责任来保障个人信息利益,无疑造成了体系的混乱,缺乏充分的理论依据。
第二, 从个人信息与具体人格权关系角度来看,个人信息侵权适用过错推定原则同样存在理论障碍。《民法典》第1034条尝试将一般个人信息与私密个人信息进行区分,而《个人信息保护法》第69条则将个人信息与其他人格权侵权规则作了差异化处理,努力构建起个人信息私法保护的特殊体系。但无论是《民法典》第1034条的原则性规定还是《个人信息保护法》第69条的具体规则,都没有真正做到体系的贯通,同时进一步造成了法律适用上的困境。私密信息属于个人信息中的特殊类型,理应受到更为严格的保护,在侵权规则构造上应更有利于受害人。《民法典》却选择了在私密信息侵权中适用一般过错原则,在一般个人信息侵权中则适用《个人信息保护法》第69条的过错推定原则,这在逻辑上是说不通的。此外,从一般个人信息与私密信息区分角度来看,实践中的个人信息侵权往往伴随着其他人格权的侵害,尤其是普通公民之间的个人信息侵权案件基本都涉及个人的姓名、住址、电话号码等具体人格要素,法院在裁判中并没有对典型人格要素和其他个人信息进行区分,而是一体适用过错责任原则。故而,尽管《个人信息保护法》第69条确立了个人信息侵权的过错推定原则,但其在适用范围上也是有所局限的,难以应用于普通公民之间的个人信息侵权案件。
以上问题很难通过个人信息的属性界定、一般个人信息与私密信息的边界区分等方式予以消解,原因在于《个人信息保护法》确立个人信息侵权过错推定原则并非是以个人信息利益之重要性为依据的,即并非因为个人信息利益比其他信息利益对个人而言更为重要。《个人信息保护法》主要针对大型网络企业、政府部门等具有强大数据处理优势的主体,所面向的主要是利用自动化技术进行数据处理的情形,但传统的信息利益保护制度则主要规制平等主体之间的信息侵权场景,其平等性体现为形式上的法律地位平等,也表现在实质性的信息获取手段、信息分析能力和信息利用方式等方面。基于这样的差异,个人信息侵权的归责方式自然应当进行一定的区分,以侵权行为人的数据处理能力和处理方式为依据来确定不同的个人信息侵权归责原则。
德国法上以个人信息处理者的处理方式为依据,将个人信息侵权区分为自动化处理和非自动化处理两种不同的情形,可供借鉴。在我国现行法律体系之下,有必要对《个人信息保护法》第69条确立的过错推定原则适用情形进行限缩,将其适用对象限制为大型网络平台、政府部门等利用自动化技术进行数据处理的侵权行为人;而对于一般公民之间的个人信息侵权行为,则仍然应当回归到《民法典》第1165条的过错责任原则。
(三) 过错与免责
过错作为侵权责任认定的核心要件,在个人信息侵权归责体系中占据重要地位,乃是区分归责原则的实际因素。我国侵权责任法理论虽然将过错作为责任构成的独立要件,且以一般理性人的注意义务作为评判标准,但在实践操作中往往以是否具有违法性相替代。质言之,违反法律规定即具有过错,反之则不具备过错。对应到个人信息侵权问题上,由于《个人信息保护法》力求全过程、全领域的数据安全和处理规范,辅之以其他法律规范、行业标准等具体领域的数据行为指引,现行法基本上为所有的数据处理行为确立了行为准则,涵盖当前所有的个人信息侵权样态。如此,数据侵权行为即意味着具有违法性,也即意味着具有过错,违法性与过错等同(40)张新宝主编:《〈中华人民共和国个人信息保护法〉释义》,北京:人民出版社,2021年,第527页。。《个人信息保护法》第69条的过错推定责任实际上变成了无过错责任,数据处理者并不具备免责的可能性。因而,过错的认定标准、过错与违法性之间的关系等问题并没有随着过错推定责任在法律上的确立而消解,反而成为司法裁判的关键。
侵权责任法上的过错,乃是以一般理性人为参照确立的客观过错。在过错推定原则中,行为人需要证明自己已经达到或者超过了一般理性人的注意义务,方可免除责任。一般理性人属于理论的假设,作为参考标准的客观化程度是较为模糊的,最为可靠的参照体系仍然是法律规范,即行为符合法律规定则符合一般理性人的注意义务。如此,个人信息侵权的过错与免责认定实际上陷入了循环论证之中:个人信息侵权即意味着违法,而违法则等同于未尽到一般理性人之注意义务,不能免责。这一悖论存在的原因在于法律规范的抽象性和静态性。《个人信息保护法》等规范力求实现绝对的数据安全和个人信息权益保障,忽视了数据处理行为本身的风险性、数据处理者技术的有限性等现实因素。《民法典》第1034条、《个人信息保护法》第2条确立了个人信息利益受法律保护的基本原则,这也就意味着凡是造成个人信息权益受损的行为皆具有违法性,即具有过错。而《个人信息保护法》确立的个人信息处理规则、个人信息处理者的义务等规范虽然已经较为详细,但细究之下仍然是抽象的,具有解释的空间。譬如,个人信息的分类管理并未明确具体如何分类,个人信息处理者的合规审计亦未明确具体审查标准,这些都需要在裁判中结合不同情形进行具体判断。个人信息处理者的过错是一种行为动态中的责任,如果没有处理行为,其特殊性就无法体现(41)王道发:《个人信息处理者过错推定责任研究》,《中国法学》2022年第5期,第108页。。故而,个人信息侵权中的过错推定责任应当理解为,以违反法律的保护性规范和具体操作要求为过错的初始判定标准,以个人信息处理者在处理个人信息中的具体行为方式为具体依据,形式上扭转双方的举证责任,但是否具有过错的认定最终仍然应当是对具体情节的综合判定,为违法但足够注意的个人信息处理者留出免责的空间。
虽然违法性与过错不能绝对地划等号,但在目前所展现出的多种个人信息侵权样态中,大多数情形下违法即具有过错,只有极少数情况需要具体裁量。对于未经同意的数据收集行为、超越权限的数据使用行为两种情形,由于有立法及协议的双重约束,个人信息处理者需要严格遵守法律规定和约定的数据收集使用范围,违法和违约即意味着存在过错,不存在举证推翻的可能。而对于数据记录错误情形,《个人信息保护法》等规范虽然要求个人信息处理者做到数据记录的真实准确,但个人自身原因导致的数据记录错误则不应归咎于个人信息处理者。至于因为个人数据处理者原因导致的数据记录错误,则应当结合该原因是否具有可规避性、是否尽到了足够的注意义务等方面进行综合判定。譬如,如果是因为硬件故障、软件错误等客观原因造成的记录错误,则需要在裁判中具体分析修复的可能性和难易程度、个人信息处理者是否进行了检查等客观情况进行过错判定。而在个人信息泄露情形下,个人信息处理者内部管理规范,数据库的保密措施,个人信息处理者的经营范围、数据处理目的、数据存储体量,是否分类保管等因素都是过错的判定因素。个人信息处理者如果已经尽到了充分的安全保管义务,但由于数据窃取者的技术超出了预判,则个人信息处理者即使违反了安全保障义务亦不具有过错。总的来说,个人信息侵权中的过错与违法性存在一定的区别,需要在司法裁判中结合具体情景进行判断,而这也是《个人信息保护法》第69条确定过错推定原则的应有之义。
结语
个人信息保护作为数字时代的难题,其解决需要公私法的协作与分工。尽管法律已经确认了个人信息权益的私法属性,并构建起了较为完备的个人信息权能体系,但个人信息侵权规则的具体构造依然具有重要意义。损害救济乃是私法保障个人信息利益的根本。“可识别规则”造成法律保护的个人信息范围过广,背离了私法保障个人信息利益的初衷,宜在具体侵权样态中进行场景化衡量限缩,细化侵权法保护的个人信息的种类和范围。个人信息侵权的损害并不具体明确,难以判定侵权前后的利益状态差,传统的差额说无法有效适用。至于近来学界提出的风险损害说,则存在风险可能性与侵权损害确定性、风险多样性与民事利益限定性等诸多矛盾。可供参考的损害认定思路是对差额说进行修正,改采规范损害说,以法律保护的利益状态是否受影响为考量,以恢复个人信息权能正常行使和信息利益正常状态为救济核心。同时,在侵犯个人信息造成严重精神痛苦时,法院可以结合具体情形要求承担精神损害赔偿,但以个人信息为工具造成的后续侵权则应当进行审慎考量,不宜纳入个人信息侵权损害范围之内。此外,在个人信息归责原则问题上,《个人信息保护法》第69条确立的过错推定原则在具体适用时,应当限制在利用自动化技术的场合,一般公民之间的信息侵权行为则应回归到《民法典》第1165条的一般过错原则。