石文慧,魏振华

(青岛大学 法学院,山东 青岛 266071)

在传统理论中民事权利可分为财产权与人身非财产权,后者又可分为与财产有关的人身非财产权(主要是知识产权)和与财产无关的人身非财产权(主要是生命权等人格权)[1]。按照传统分类,人格权当中必不包含财产性内容,但在商品经济的快速发展以及大众传媒兴起的背景下,某些人格权益也逐渐被作为“财产”进行交易,人格权中的某些内容逐渐能够被市场所利用并且产生商业价值,进而出现人格权商品化的现象。个人信息商品化就是在人格权商品化的背景下产生的。

关于个人信息商品化的研究可追溯至“个人信息财产化”和“个人信息控制权”学说,它们将信息主体对信息所享有的权利界定为财产上的控制权。根据这一理论,有学者认为个人信息反映了主体的人格特点,它不仅具有精神性和人格性的内涵,而且也是财产价值的体现,其主要是基于商业利用的一种外化[2]。此外基于该理论英美法系国家将人格权中的财产利益独立为公开权进行保护,但这种保护模式并不适合我国的实际情况。个人信息商品化并非一项新型权利,它只是被商业利用的结果。承认个人信息商品化可以确保合理有效地使用个人信息,同时实现对个人信息私益的保护,从而实现个人信息保护和市场经济发展的利益平衡。

《中华人民共和国民法典》(以下简称《民法典》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)出台后,个人信息权益受到了前所未有的重视,为实现对个人信息的有效保护和利用,学界开展了诸多相关研究。现有文献对个人信息商品化的研究主要集中于个人信息人格利益和财产利益的区分、个人信息财产价值的理论证成、对个人信息商业利用行为的分类以及个人信息商品化的救济规则等,但是对于个人信息商品化的基本问题——如何判断个人信息已被商品化,学界中讨论不多。另外,对于个人信息商品化的保护分为两个阶段:事前预防和事后救济,目前学界主要侧重讨论对损害发生后的救济,对于如何预防损害发生、如何规制个人信息商品化的过程尚存在一定程度的欠缺。为充分解决个人信息商品化在理论上和实务中的问题,有学者从保护个人信息商品化财产利益方面展开讨论,从精神利益保护的角度进行了研究[3];也有从知情同意的规则入手,试图实现对个人信息处理利用的有效规制[4]。本文在学习借鉴前人研究的基础上,通过对个人信息商品化进行理论分析,区分了个人信息商品化过程中财产规则和责任规则的适用范围,试图通过强化知情同意原则的适用性、降低精神损害的认定标准、扩张损害结果类型来实现对个人信息商品化的有效保护。

1 个人信息商品化的理论识别

个人信息商品化是在信息时代和市场经济蓬勃发展的背景下兴起的,个人信息商品化并非是一项新型权利,它只是个人信息可被商业利用的结果。承认个人信息的商品化,一方面是为了更好地为信息主体的个人信息提供私法保护;另一方面也是为了在信息时代背景下实现对个人信息的高效合理利用,以更好的平衡保护信息主体利益与促进市场经济发展之间的矛盾。

1.1 个人信息商品化之概念厘定

个人信息商品化是将个人信息视为商品进行交易,从而对其进行商业利用。除姓名、联系方式等个人信息的财产利益被商业利用之外,其他个人信息如购物偏好等也都具有被商业利用的可能,例如自然人的网页浏览记录在经过收集处理之后,可利用自动化分析等技术手段,通过广告推送等方式影响自然人的决策。

“个人信息商品化”的本质就是对个人信息的商业利用,但是利用行为不同于处理行为。依《民法典》规定,处理行为指围绕个人信息所开展的各种行为和活动,认为“处理”是“利用”的“前置程序”,“处理”是为了“利用”。个人信息的商业利用是在处理信息的基础上,将个人信息用于商业目的的行为,这一商业利用的过程就是个人信息商品化的过程。

1.2 个人信息商品化识别之必要性

如前所述,个人信息商品化就是对个人信息的商业利用。信息时代下对信息的需求在增长,商业利用行为也变得越来越多样化,即使理解了个人信息商品化的内涵也难以对实务中存在的个人信息商品化或者利用行为进行合理清晰的判断。实现对个人信息商品化的有效识别有助于在不同情况下实现对个人信息的针对性保护,保障个人信息利用与保护的平衡。

在多数情况下,公民个体作为信息主体并不知道自己的信息已经被商业利用了[5]。个人信息商品化最为直观的表现是信息主体许可他人使用其个人信息,但是在实际生活中也存在不直观的商业利用表现。如对个人信息进行的自动化决策行为,即利用计算机程序自动分析和评估个人的行为习惯、爱好等,然后作出决策;又如个人信息的交易行为,即某网站或软件上携带第三方插件或者接入第三方应用等,并通过该种方式向第三方提供个人信息;再如为实现产品服务目的的利用行为,指信息主体在购买产品时为了享受产品服务必须提交相关个人信息等。这些商业利用行为较为隐蔽,使得信息主体难以辨析个人信息是否已被商品化,不利于信息主体寻求保护和救济。

从立法上看,我国现行法律并未对个人信息商品化进行明确及单独的规定,理论界对于个人信息商品化识别的讨论不多,大部分的讨论主要集中在人格权商品化的领域和个人信息商品化的财产权益保护方面。在人格权商品化方面,有学者通过对人格权商品化的特点进行分析,而后在辨析人格权商品化的基础上讨论人格权商品化的法律规制等问题[6]。因此在对个人信息商品化的问题进行分析之前,首先要讨论什么是个人信息商品化,如何辨析个人信息商品化,按照这一思路进行分析是必要且符合逻辑的。

1.3 个人信息商品化识别之特征分析

个人信息是一项人格权益,个人信息商品化除去市场经济环境的外部影响,其本身也具有一定的内在理论基础。对于个人信息而言,在外在性上,它们能以某种形式被观察到,并且它们不是与生俱来的,而是通过后天取得;在可支配性上,法条规定了“同意规则”,“同意”与“许可”具有异曲同工之处,这是其可支配性的体现;在可商业利用性上,互联网的自动化决策等技术使得个人信息展现出了重要商业价值;在人格性方面,个人信息系与人相关的信息,它们能体现信息主体的人格特点。这些特征均与可被商品化的标表型人格权相契合,因此对于个人信息商品化可借助人格权商品化的特点加以识别。

第一,信息指向性。个人信息作为一项人格标识,其与信息主体具有同一性,即某项个人信息仅对应特定的信息主体。当个人信息被使用于特定的产品、服务或者机构时,受众群体就会产生信息主体与产品、服务或者机构的联系。品牌热衷于高薪聘请明星做代言人,就是想利用明星的聚众效应和信息指向性,建立品牌与明星的联系,以吸引大众的注意力,从而达到让公众注意到该品牌的目的。因此个人信息在商品化的过程中对信息主体具有一定的指向性,它可以建立信息主体与信息的稳定联系,并将该种联系延伸至某产品、服务或者机构。

第二,价值期待性。可商品化的人格权益的客体具有一定的商业利用价值。一方面,该种客体对于市场经济的发展具有一定的意义,例如明星的代言在一定程度上可以促进商品的宣传和买卖,可以为市场带来一定的经济效益,利用知名人物代言的行为就属于肖像的商品化;另一方面,该种客体对权利人本身而言具有一定的财产价值,可以为其带来经济利益,例如通过许可他人使用自己的姓名等信息取得一定的许可使用费,权利人许可他人使用的行为就是其姓名等信息的商品化。因此,在个人信息商品化过程中权利人或者行为人均对其行为产生一定的财产或经济上的期待。

第三,商业目的性。消费者在享受互联网服务的同时会产生大量信息,这些信息通过互联网技术可以被追踪、记录于某种载体之上,并通过算法分析等方式在市场经济中实现对个人信息的再次利用。在信息被商业利用的过程中往往体现着权利人或者行为人的商业目的,该商业目的最直观的表现是获得报酬,例如互联网公司收集个人信息后在市场上出售。此外,还有获得经济利益的其他表现,例如互联网公司跟踪用户在网站上的活动,记录消费者购买或浏览记录以支持其正常业务的开展及促进销售。

2 个人信息商品化的现实问题

虽然在《民法典》与《个人信息保护法》出台后,无限收集、使用和交易个人信息的时代已经结束,但是个人信息的商业化利用赋予了个人信息商品属性,使其流通于信息市场之中。这一情况触发了个人信息利用与保护之间的矛盾,日益增长的信息需求和相对滞后的信息交易市场管理现状更加剧了该种矛盾,加之信息主体与信息处理者之间资源及能力的不平等状况,使得信息安全问题更加严峻。在个人信息商品化进程中,对个人信息的保护主要集中于侵害发生前的规制阶段以及侵害发生后的救济阶段。

2.1 一元论保护模式下规则适用混乱

对人格权财产利益的保护存在两种模式,一是大陆法系的一元保护模式,即放弃人格权单一利益理论,承认人格权在某些情况下也具有财产利益,将人格权商品化置于人格权制度中统一进行保护,认为人格权中存在精神、财产双重价值,应当给予一体保护;二是英美法系的二元保护模式,即承认人格权中存在财产价值,但单独创设了“公开权”,对于人格价值和财产价值分别由隐私权和公开权进行保护。对于个人信息财产利益应当适用何种模式进行保护,以及在保护过程中应当如何区分各种规则的适用还有待进一步研究。

第一,从《民法典》的体系来看,我国未单独设立专门的“公开权”对个人信息的财产利益进行保护,而是将其纳入人格权体系中统一进行保护,个人信息仅是一项权益并不是一项具体的人格权。该种立法模式在形式上一定程度地借鉴了大陆法系的一元保护模式,不单独设立专门的“公开权”对个人信息的财产利益进行保护,而是置于人格权体系中统一保护。上述立法模式在实质内容上区别于传统的一元保护模式,例如肖像权、姓名权以及个人信息权益的许可使用和同意规则,对部分人格权中的财产利益给予财产权规则的保护,形成特殊的一元保护模式,即在人格权制度下对其中的财产利益以财产权的保护规则进行保护,涉及财产规则和责任规则。

第二,对于如何区分财产规则和责任规则,何种情形适用财产规则、何种情形适用责任规则,学界尚存在争论。有学者指出,可以按照是否能够直接识别出信息主体,将个人信息划分为直接个人信息和间接个人信息,对于直接个人信息的商品化适用财产规则,对于间接个人信息的商品化适用责任规则[7]。还有学者指出,可依照个人信息的来源将个人信息分为自然性的个人信息、社会性的个人信息和复合性的个人信息,提出适用财产规则保护自然性的个人信息商品化、适用责任规则保护社会性的个人信息商品化和复合性的个人信息商品化的观点[8]。

2.2 信息主体的信息认知与处理不对等

随着互联网的快速发展,获取和处理个人信息的先进技术手段使得信息安全面临着更大的挑战。为保证个人信息处理行为的合法性,《民法典》和《个人信息保护法》均对信息主体的知情和同意进行了规定。但是在个人信息商品化的过程中仍然存在信息认知与处理不对等的问题,其主要是由知情同意原则适用的不充分性导致的,信息主体的知情权和同意权均流于表面,而非充分地适用。

第一,在个人信息获取阶段,存在相关“个人信息条款”,只有信息主体同意该条款时才可以使用某一网络平台或者软件的服务功能。在该种情况下,用户为了能够使用该项服务不得不选择同意,这往往存在信息主体的“被动同意”或“强制同意”问题。另外,在实际生活中大多数用户很少仔细阅读繁琐复杂的隐私协议,这也导致用户随意浏览、挑选浏览信息甚至放弃阅读,对知情同意基本机制的实现造成阻碍,使得隐私协议成为信息收集行为中规避法律和合规风险的避风港[9]。

第二,在个人信息处理阶段,在信息处理技术的运作下会对已收集的个人信息进行分析处理,从而得到其他信息,导致授权范围之外的个人信息被获取,并对信息主体产生一定的影响。例如在网上购物时,信息主体的浏览、购买痕迹等碎片信息经过自动化决策等技术手段的处理,可以拼凑出某些人格特征。相关网站可根据该特征通过广告推送的方式影响信息主体的决策行为。信息技术的运作导致了信息主体的信息认知与实际信息处理之间的不对等,从而使得授权范围之外的个人信息被获取、利用。

2.3 侵害个人信息精神损害认定困难

对于侵害人身权益所造成的财产损失和精神损失的情形,《民法典》分别用第一千一百八十二条与第一千一百八十三条进行了规定,但是《个人信息保护法》并未进行单独规定。被侵害人请求精神损害赔偿时往往以《民法典》第一千一百八十三条为依据,但是该规定要求精神损害须达到严重程度,无疑加重了信息主体的举证责任,使得本就处于弱势一方的信息主体更难请求精神损害赔偿。对于侵害个人信息造成精神损失的情形,立法上和司法上还未能有效解决这个问题。

第一,《个人信息保护法》未明确规定请求精神损害赔偿的内容,导致个人信息被侵害而造成精神损害的无法依据《个人信息保护法》请求赔偿。学界对第六十九条中“损害”一词是否包含“精神损害”有不同的理解。有的学者认为不应当包含精神损害,认为《民法典》是《个人信息保护法》第六十九条的上位法,后者以财产利益为保护重点,排斥人格尊严等精神利益,对于精神利益的保护应当适用《民法典》第一千一百八十三条的规定[10]。而有的学者认为应当包含精神损害,认为财产损害和精神损害都可以依据《个人信息保护法》第六十九条请求赔偿[11]。

第二,在司法判决中,对于侵害个人信息的案件,当事人主张精神损害赔偿时,诸多法院依据未给被侵害人造成严重精神损害而不予支持该项诉讼请求,例如彭于晏与广州傲尔生物科技有限公司等网络侵权责任纠纷案(1)参见(2021)粤0192民初44636号。以及张某与甘肃省农村信用社联合社等个人信息保护纠纷案(2)参见(2022)甘12民终1101号。等,判决书中均认定了侵害个人信息事实的存在,但是对于精神损害的程度均以“造成严重精神损害”为标准,认为行为人的侵害行为未达到给被侵害人造成严重精神损害的程度,因此不予支持精神损害赔偿。

2.4 侵害个人信息损害结果类型不明确

自然人民事权益遭受侵害时,受害人可请求侵权损害赔偿。传统的侵权法要求请求侵权损害赔偿时该“损害”必须是确定的、现实发生的,而不能是未发生的、具有推测性质的。但侵害个人信息行为的判定存在一定的特殊性,个人信息领域的“损害”通常是无形的,并且这种“损害”多表现为一种 “风险”,而非实际的已经产生或存在的某种损失,对于这些“风险”是否可以请求信息处理者进行侵权损害赔偿,立法与司法上还不明确。

第一,司法实践中常常受限于传统侵权法的观点,认为侵害个人信息造成的损害必须为现实的、确定的,对于“风险”往往不确定为损害。例如某公司与朱某隐私权纠纷案(3)参见(2014)宁民终字第5028号。,法院认为虽然原告表示其对公司的服务感到害怕和紧张,但这些只是原告自己的主观感受,法院不能也不应该仅凭原告的主观感受,而认为该公司的服务对原告造成了实质性的损害。另外,朱某和成某一般人格权纠纷案(4)参见(2020)桂01民终15084号。中法院也是以原告并没有因被告在网络上发表的文章而造成实质性损害,因此不支持其诉讼请求。

第二,针对司法实务中的现象,2021年出台的《个人信息保护法》也未充分回应该问题,但是倘若继续沿用传统侵权责任法上的损害类型认定,利用“损害不足”限制司法诉讼,那么对于风险预防成本、精神和心理上的不安等损害,信息主体都会因该损害不符合传统侵权法中对“损害”的要求而面临着无法请求赔偿的问题。个人信息保护的条款也将形同虚设,宛如僵尸条款一般,继续削弱对个人信息商品化进程中的保护[12]。因此有必要明确在个人信息的侵权损害赔偿中能否就带来的某项“风险”或“危险”请求损害赔偿。

3 个人信息商品化的保护路径

完善个人信息商品化保护可以从两个方面入手:一方面,处理个人信息需要得到信息主体的同意被明确规定于《民法典》与《个人信息保护法》之中,因此要加强知情同意原则的适用,以规制个人信息处理的合法性。另一方面,要保证个人信息受到侵害后能得到充分救济,区分不同保护规则的适用,并分析讨论《个人信息保护法》第六十九条的损害范围和损害结果类型。

3.1 区分财产规则和责任规则的适用

个人信息存在于人格权制度框架下,对其财产利益的保护同样采取该种特殊保护模式,即适用财产规则和责任规则。财产规则指当事人可依法自愿交易某项权益,行为人在征求权利人同意后,双方基于自愿协商对价,行为人支付对价后才享有相关的权利;责任规则指行为人可以不征求权利人的同意而侵犯权利人的权利,但必须给予适当补偿[13]。对于两种规则的适用可以从以下几个角度思考。

第一,从财产规则与责任规则含义出发。财产规则的核心要义在于双方意思表示需一致,责任规则的核心要义在于仅需信息处理者单方意思表示即可。因此,“告知信息主体并取得同意”的情形适用财产规则,“无须告知信息主体取得同意”的情形适用责任规则。《民法典》和《个人信息保护法》均对“无须告知取得同意”的情形进行了规定。《民法典》规定为公共利益的新闻报道、舆论监督行为,为保护公共利益或者信息主体合法权益的行为,或者已经公开的信息等均无须征得同意;《个人信息保护法》规定为履行合同、法定职责或义务所必需的,为维护公共利益所必需的和已经公开的个人信息无须征得同意。此外法条中还规定了兜底性条款,以达到对个人信息的持续稳定保护。

第二,从个人信息保护与利用的利益平衡理论出发。虽然《民法典》和《个人信息保护法》规定了无须信息主体同意的情形,但是法律具有一定的滞后性,尤其是面对个人信息商品化这一更具多变性的现象,在法律未规定且相关的行政法规未出台的情况下,如何适用财产规则和责任规则,可以从个人信息的保护与利用的平衡角度出发来考虑。财产规则涉及当事人的“许可”,因此更加注重对个人信息的保护,而责任规则排斥信息主体的“许可”,因此更侧重对个人信息的利用。当个人信息的保护价值大于利用价值时适用财产规则,反之则适用责任规则。对于个人信息保护价值和利用价值的比较,可以从保护个人信息自决权的私人利益角度、促进市场经济发展的商业利益角度以及保护国家信息安全的社会公益角度进行综合考量。

第三,当个人信息商品化所蕴含的社会公益、商业利益或者国家安全利益大于信息主体的私有利益,而选择责任规则进行保护时,应当注意个人信息商品化对信息主体的影响。责任规则在一定程度上排斥信息主体的某些权利,从本质上来说,社会公益、商业利益或者国家安全利益的实现伴随着信息主体利益的减损。因此一定要明确判断信息处理的目的,坚持最小损害原则,选择最轻微的侵害方式,避免过度的商业利用行为对个人的基本权利造成进一步损害。

3.2 强化信息主体知情同意的适用

“知情同意”作为个人信息处理的合法性来源之一,信息处理者往往利用该原则作为其信息处理行为合法的依据。但由于信息处理者与信息主体之间获取信息能力的差别,信息主体的知情权与同意的真实性和自愿性大打折扣,有学者指出同意规则支配下的个人数据保护法已经逐渐从信息自决沦落至信息他决的地步[14]。因此应当谨慎适用知情同意,在任何情况下都不能简单地将知情同意作为不当处理个人信息的合法性抗辩。

第一,给信息主体提供充分知情的机会。知情同意适用不充分的首要困境就在于信息主体的知情权不能得到完全实现,信息主体知悉个人信息处理的程度取决于信息处理者是否完全遵守了告知的义务。《个人信息保护法》第十七条规定信息处理者需要对个人信息处理的目的、方式、种类等进行必要的提醒和说明,使信息主体能够在充分知情的情况下作出决策。为实现法条的立法目的,保障信息主体的知情权,信息处理者在处理个人信息时应当履行告知义务。依据收益与风险相一致以及危险控制理念,对个人信息进行商业利用,尤其是在二级市场进行交易时,信息处理者需要提供信息主体的明确同意,以确保信息处理者完全履行告知义务,保障信息主体知情权的实现[9]。

第二,充分审查信息主体意思表示的自由程度。基于双方获取信息能力的差别,信息主体在作出同意的意思表示时其自由程度可能受限。在认定信息处理者的处理行为是否合法时不能简单地以知情同意作为合法性支撑,需要认真审查意思表示的自由程度。该环节主要依靠个人信息商品化事前规制以及事后监督等措施,监督和审查的重点在于信息主体的同意是否具有强制性和被迫性,该问题的关键在于信息主体是否会因为拒绝个人信息处理或收集等行为而产生不利后果,例如信息主体在使用某一网站或者软件时,因其拒绝接受相关服务条款而无法继续浏览或使用该软件,此时信息主体的意思表示自由便受到了限制,在该种条件下所做的同意意思表示便不真实,信息处理者基于该种同意的意思表示而作出的信息处理行为的合法性便存疑。

第三,保障信息主体同意意思表示与信息处理内容的一致性。在信息技术的运用下,用人单位在进行信息处理时,难以避免地存在无意超出同意范围的处理行为。信息处理者需要完善信息处理的告知同意程序,一方面,当信息处理者能够预知信息处理行为可能会因技术问题而导致信息处理过限时,应当将该风险问题充分告知信息主体,让信息主体充分地认识信息处理行为,从而选择是否接受该种技术风险,是否同意该信息处理行为;另一方面,对于无法提前预知的情况,信息处理者应当向信息主体提供查看与自己相关的个人信息处理行为的途径,以保证信息处理行为不超过同意范围。

3.3 降低精神损害认定标准

降低精神损害的认定标准可以降低信息主体请求精神损害赔偿的举证难度,实现在个人信息商品化进程中对个人信息精神价值的有效保护。为达到这一目的需要将精神损害赔偿纳入《个人信息保护法》第六十九条中,实现侵害个人信息精神损害赔偿与《民法典》第一千一百八十三条的分离,打破要求精神损害赔偿“严重性”的困境,侵害个人信息造成一般精神损害即可要求赔偿。

第一,个人信息作为一项人格权益体现着人格自由、平等等人格价值。互联网技术可以追踪到自然人的诸多行为,可通过算法分析等方式影响信息主体的决策,例如网站通过记录用户的购买或浏览痕迹来分析其购买爱好和倾向等,并根据该分析结果向用户推送相关商品,从表面看购买行为完全是当事人意志和行为自由的体现,但实际上该购买行为有可能是自然人的选择自由被限制的结果。此外,敏感个人信息可以最大化地将个人信息的精神利益表现出来,例如当信息主体的宗教信仰、医疗健康等信息被泄露或公开时可能会遭受歧视和不公,从而侵害了信息主体的平等地位和人格尊严。因此个人信息泄露不仅会使信息主体面临敲诈勒索等经济上的危险,信息追踪和人身歧视也会让他们产生难以言喻的恐惧与焦虑等不良心理反应。

第二,将精神损害纳入《个人信息保护法》第六十九条之中。一方面,从“损害”一词的含义出发,按能否用货币衡量存在财产损害和非财产损害之分。财产损害也称有形损害,是指反映财产价值,能够用货币加以衡量计算的损害;而非财产损害也称无形损害,是指不反映财产价值,不能用货币加以衡量计算的损害,通常指精神损害。因此《个人信息保护法》中“损害”一词包含“精神损害”是其应有之义。另一方面,从立法目的出发,相较于《民法典》第一千一百八十二条规定的“财产损失”,《个人信息保护法》第六十九条未沿用“财产损失”而直接使用“损害”一词,表明第六十九条中所规定的“损害”不等同于“财产损失”,还应当包含精神损失,因此将精神损害纳入第六十九条符合立法目的。

第三,将精神损害认定标准从“严重”降为“一般”。《民法典》第一千一百八十三条规定了精神损害严重程度的要求,若侵害个人信息造成精神损害的情形同样适用该规定时,那么精神损害必须达到“严重”程度。但是在个人信息领域,信息主体本身就处于弱势地位,侵害个人信息造成较少经济损失的情形普遍存在,而且对精神损害的程度往往达不到“严重”程度,这会导致信息主体怠于行使自己的权利,不利于个人信息的保护。此外,从《民法典》与《个人信息保护法》的关系方面思考,《民法典》并非《个人信息保护法》的上位法,两者在个人信息的保护和利用上共同发挥作用,对于精神损害不应单独适用《民法典》第一千一百八十三条的规定。

3.4 明确“风险”作为损害结果类型

“损害”要求是确定的、现实发生的,而不能是未发生的、具有推测性质的,而“风险”是不确定的,它更多地表现为一种未来发生的可能性。从字面上来看,“损害”与“风险”之间似乎是相互矛盾的两个对立面,但是两者并非不可调和,“损害”的确定性并不要求“损害”已经实际发生,在一定条件下“风险”也可以满足确定性的要求。实际上现代侵权法已经将“风险”作为损害结果类型进行了适用。

一方面,境外案例为“风险”作为“损害”类型提供了可能。美国的Clapper v. Amnesty International案(5)See 568 U.S. 398 (2013).中原告认为某法律的出台使得政府更容易获得监视授权,个人信息被泄露的风险将会变大,主张该法律违宪,美国联邦最高法院最终驳回了该项诉讼请求。案件中法院虽未支持原告的诉讼请求,但法院认为当原告所面临的风险属于“实质性风险”时可请求损害赔偿,因为美国联邦最高法院未排除在特殊场景下“风险”构成“损害”的可能性[15]。此外还有美国的Remijas v. Neiman Marcus Grp. LLC案(6)See 794 F.3d 688 (7th Cir.2015).和Krottner v. Starbucks Corp案(7)See 628 F.3d 1139 (9th Cir.2010).。前者案件是在诸多相关案件中已经有信息主体遭受了实际损失,对还未遭到实际损失但存在该种风险的受害人,法院对其原告资格予以承认;后者案件是已经有针对信息主体未遂的犯罪行为发生,但是原告并未遭受实际损害,法院认为其有资格请求损害赔偿[3]。

另一方面,现代侵权法已经对损害的类型进行了扩张,将“风险”作为一种潜在性损害,主要存在于环境领域。立法上《最高人民法院关于审理环境民事公益诉讼案件适用法律若干问题的解释》第十八条规定了对于危害社会公共利益风险严重的行为,原告可以要求被告承担生态修复、损害赔偿等民事责任。该规定将“风险”纳入损害结果的类型,认为对于风险严重的行为也可请求损害赔偿。实务中北京某环境研究所与某开发有限公司环境污染责任纠纷案(8)参见(2020)云民终824号。承认了风险作为损害结果类型,案件中法院认为被告建设水电站而危害环境的行为符合预防性环境公益诉讼的法定情形,突破了“无损害无救济”的司法救济理念,符合“保护优先,预防为主”的立法精神。现代环境侵权法领域的尝试,为确定“风险”为损害结果类型提供了支撑。

4 结语

在商品经济和大众传媒快速兴起的背景下,个人信息作为一项特殊的人格权益,经过自动化决策等技术手段的处理,产生了商品化趋势。个人信息商品化实现了信息资源的交流共享,同时也给个人信息的保护带来巨大挑战。本文在吸收借鉴相关研究的基础上,认为应通过区分财产规则和责任规则的适用来实现对个人信息商品化的事前规制,并通过强化信息处理者告知义务、审查意思表示真实性、控制信息处理范围等方式加强个人信息商品化过程中的合法性审查。此外,当个人信息商品化对信息主体造成损害时,信息主体不仅可以依据《个人信息保护法》第六十九条请求财产损害赔偿,而且可以请求精神损害赔偿。信息主体不仅可以对已经发生的损害请求赔偿,而且可以对未来可能发生的危险请求赔偿。通过上述方法将完善对个人信息商品化的事前规制、事中审查、事后救济,以形成对个人信息商品化全方位、全过程的保护。