程海玲

(重庆大学 法学院,重庆 400044)

大数据时代,人类生产生活与社会管理的网络化、智能化程度空前,线上网络空间的“触手”可及打破了线下实体空间的藩篱,极大地丰富着人类自由的内涵。数字经济的蓬勃发展、数字社会的着力构建、数字政府的加强建设都离不开对承载着“数字人格”与“数字化形象”的个人信息的大量处理。无时不有、无处不在的个人信息处理行为使信息主体合法权益极易遭受侵害。信息主体权益保护与个人信息流通利用成为人类社会发展面临的新议题,各国无不顺势而为积极探寻两者间的衡平之道。

因应数字化时代变革,我国在法律规范供给层面积极作为,相继出台并施行《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等一系列法律法规,正式确立了信息安全法律保障体系。然而反观社会现实,个人信息违法处理行径屡见报端,受害主体维权积极性不容乐观,更遑论实现有效救济的比例,相当数量的违法处理行为“不了了之”并持续蔓延或重现。究其症结,现行私法规范救济实效不尽如人意是不容忽视的原因之一,尤其体现为侵权损害救济规范不足以有效回应信息主体救济诉求。公法规范在维护社会秩序和公共利益的同时固然可以“为民法私权利提供重要的保障功能”[1],但“民法的基础性保障功能”[2]更应当得到充分实现以彰显私权利的独特价值和重要地位。鉴此,围绕个人信息侵权损害救济困局展开深入研究以充分回应侵权损害救济现实需要,无疑是现阶段学术研究的迫切任务。通览域内外司法实践概况,损害认定已成为个人信息侵权损害救济的首要障碍[3],基于个人信息侵权损害的多重特性及其在损害救济中的重要地位,本文着重围绕个人信息侵权风险性损害认定相关问题展开探究。

一、损害溯源:信息主体合法权益遭受侵害

(一)个人信息权益遭受侵害

个人信息权益直接关涉个人信息保护规范体系建构,明确个人信息权益具体内涵和法律属性是理解个人信息权益损害并对其予以救济的基本前提。

个人信息权益负载于个人信息之上,个人信息的特殊性决定着个人信息权益内涵的复杂性。一方面,个人信息认定极其复杂,载体化与识别性双重要件、识别与关联双重路径、直接识别与间接识别双重识别方式、识别身份与识别特征双重识别内容等折射出个人信息的复杂多样性,且在个案认定时须通盘考量具体场景。另一方面,作为个人与社会交互过程的产物,无形性、非竞争性等基本特征使得个人信息虽然指向信息主体,却通常为信息处理者控制和使用。个人信息的生成机理和效用机制决定了其同时承载着信息主体的个人信息权益、信息处理者的特定利益和公共利益,实为多元利益聚合体。进而,个人信息权益内涵须在多元利益妥适平衡中确定。基于信息的中介性、可识别性等特征[4],以及认识功能、资源功能、管理功能等多重功能,个人信息兼具个人性和社会性,个人信息权益内涵具有多维性。有学者认为个人信息权益包含了宪法维度、民法维度及行政法维度三层构造[5],也有学者主张其“包括内部构造和对外部其他主体相关权益的支配关系两个部分”[6]。个人信息权益的分层构造是对个人信息兼具个体性色彩和公共性色彩的理性回应。

在私法视域内(1)囿于文章主题及篇幅限制,本文着重聚焦私法面向的个人信息权益内涵展开分析。,个人信息权益指向作为人格要素的个人信息承载的信息主体人格尊严和人身自由,并可凝练为信息主体对个人信息的自主利益(2)个人信息同样承载着信息主体的隐私利益和呈现利益,此两项利益在我国民法规范体系中已上升为隐私权、姓名权、肖像权、名誉权、荣誉权等权利。参见:王苑《私法视域下的个人信息权益论》(《法治研究》,2022年第5期37-47页)。基于个人信息权益的法律规范意义,笔者认为其仅指向信息主体的自主利益。。《个人信息保护法》统合《中华人民共和国民法典》(以下简称《民法典》)等相关规范,专章规定“个人在个人信息处理活动中的权利”,明确信息主体享有知情权与决定权、查阅权、复制权、转移权、更正权、删除权、解释说明权等。其中,知情权与决定权是信息主体人格尊严和人身自由在个人信息处理法律关系中的具象化,旨在确保个人信息勾勒出的信息化形象与信息主体内在人格真实一致,保障信息主体参与社会生活时能够实现自治、享受公平待遇并固守主体地位[6],构成个人信息权益的核心权能。查阅权、复制权、转移权等具有明显的手段色彩,通过制衡信息处理者以确保其在维护个体尊严与自由之基础上依法处理个人信息,是推动实现信息主体知情权和决定权、维系主体地位避免个人被数据权力支配的重要手段,故也称为“工具性权能”[7]。由此,个人信息权益可通过“核心权能+工具性权能”的复合架构予以具象化。

个人信息权益性质决定着个人信息保护水准,直接影响个人信息侵权损害确定。首先,个人信息权益既是宪法权益也是民事权益,这与个人信息权益内涵的多维性相一致。宪法权利与民事权利具有价值同源性,系在不同层面对人权价值的具象化呈现,但两者的作用空间及作用对象存在本质区别[8]。个人信息权益同时对抗国家权力和私人,在宪法权益维度,国家既应当履行尊重私人生活、避免干预个人安宁的消极义务,亦应当通过积极保护支援个人对抗个人信息处理中尊严减损的风险[9];在民事权益维度,个人信息承载的信息主体人格尊严和人身自由受法律保护,信息处理者应当依法取得个人信息并确保信息安全,不得进行非法处理。其次,个人信息权益不具有权利属性,仅为一种法益。在实证法规范层面,《民法典》《个人信息保护法》等均未明确认定个人信息权益的法定权利地位。在法理逻辑层面,个人信息权益不符合权益区分的“归属效能、排除效能、社会典型公开性”[10]三个教义学标准。个人信息认定的复杂性及其在处理活动中通常由信息处理者掌控的客观事实,以及个人信息蕴含着多元利益和多重价值的法律定性,共同决定了个人信息权益并非客体确定且界限清晰,因而不具有归属效能。排除效能以归属效能为基础,归属效能的欠缺即意味着个人信息权益不具有排除效能,仅基于信息与主体之间的内在关联性不足以使个人控制信息并形成排他支配权[11]。与此同时,客体范围不确定、法益可识别性较低也表明个人信息权益缺乏社会典型公开性。最后,个人信息权益是蕴含财产利益的人格权益。立基于个人信息乃直接关涉信息主体人格尊严和人身自由的人格要素这一前提,个人信息权益的人格权益属性既有法规范依据亦吻合基本法理。信息通信技术发展应用催生并推动着数字经济繁荣发展,个人信息作为大数据产业原材料,经济价值在产业革命中逐步充分释放。个人信息承载的信息主体经济利益存在一元论(将经济利益纳入人格权益保护)和二元论(对人格权益和财产权益分别保护)保护模式之争,鉴于我国民事立法和司法实践始终坚持人格权一元保护模式,即通过人格权制度同时实现对精神利益和经济利益的保护[12],为维持法律制度体系逻辑自洽与协调一致,对个人信息权益宜沿用一元保护模式。

个人信息的生成机理及效用机制使然,个人信息权益内涵须在多元利益妥适平衡中确定,民事利益的基本定位意味着个人信息权益保护强度有限,精神利益与经济利益并存则进一步提升了个人信息权益保护的复杂性。为尽可能兼顾个人信息权益保护的确定性与灵活性,个人信息保护规范体系融合了赋权保护模式与行为规制模式两条路径。依据该规范体系,在认定个人信息处理行为是否侵害个人信息权益时,须结合个人信息处理规则、个人信息处理者义务并经由个案利益衡量加以判断,在此基础上进一步认定侵权损害。个人信息权益内涵和法律属性的复杂性决定了损害认定时利益衡量的复杂性。值得注意的是,违反法律规定并不意味着个人信息处理行为必然侵害个人信息权益,是否侵害个人信息权益还应该结合相关规定的规范意图加以辨析。

(二)个人信息侵权损害的特征及样态

与民事权益侵害通常呈现出有形性、现实性、确定性等特征不同,个人信息权益侵害具有无形性、潜伏性、不确定性及难以评估计算等特征。首先,相较于财产权或物质性人格权侵害的有形性,个人信息权益侵害是无形的,较为隐蔽且难以确定,本质上属于尊严之损害[13]。其次,个人信息权益侵害后果未必即时显现,而是表现为一种潜在威胁,即未来发生现实损害的风险。例如,个人信息泄露事件发生后,信息主体可能暂未遭受任何现实损害,但未来遭受身份盗用等侵害的风险显著增加。再次,个人信息通常以电子数据为载体,极易复制流转,个人信息处理活动实际影响范围容易扩张,大数据处理技术的应用使得个人信息权益侵害后果具有不确定性。最后,无形性、潜伏性和不确定性特征使然,个人信息权益侵害后果难以准确评估计算。虽然精神性人格权益侵害后果均不易评估计算,但个人信息权益侵害后果的这一特征尤为突出。概言之,个人信息权益侵害很难以肉眼可见的方式客观呈现,既不同于具有直观冲击力的身体伤害可以让目击者对受害人经历的痛苦感同身受,也无法像金钱损失或财产毁坏这种现实损害般易于发现、评估与量化[14]。无形性、潜伏性、不确定性和评估计算困难等特征叠加影响,形塑了个人信息权益侵害后果的特殊性,也决定了个人信息侵权损害认定的复杂性。

虽然个人信息权益侵害后果明显区别于一般民事权益侵害后果,但个人信息权益侵害同样是客观真实存在而非主观臆想的。个人信息权益侵害的基本特性决定了理解其存在的最佳方式是透过其产生的影响予以反射而非径直“直视”。域外学者对此作了精妙类比,个人信息权益侵害“类似于位于拥挤房间中的隐形物品,虽然可能无法被看见,但我们清楚人们如何与之相碰撞,如何因其存在改变自身位置及调整行进路线以设法规避等”[15]。

结合个人信息处理实践,个人信息侵权后果除包含现实损害外,通常还涉及未来损害风险的增加、预防风险的支出、风险引发的焦虑等。现实损害主要表现为个人信息侵权行为引发的歧视和不公平待遇、扰乱生活安宁等人格权益损害及财产损失等,损害认定的争议较小,其救济应着重围绕因果关系和过错等内容确定责任主体与范围。而未来损害风险的增加、预防风险的支出、风险引发的焦虑则面临着能否被认定为法律意义上的损害的直接挑战。

未来损害风险的增加,即信息主体未来遭受现实人格权益损害和财产损失的可能性增大,是信息主体权益状态发生的一种真实客观不利变化。预防风险的支出,即信息主体为消弭或降低前述风险而产生的支出,如信息被泄露者为避免金融账户损失而购买账户检测服务的支出,本质上是信息主体为避免风险现实化遭受的财产损失。风险引发的焦虑,即未来发生损害的风险给信息主体带来的焦虑、不安和恐惧,系信息主体遭受的精神痛苦。其中,预防风险的支出与风险引发的焦虑具有同源性,两者密切关联又彼此独立。一方面,预防风险的支出和风险引发的焦虑均以未来损害风险的增加为基础,相较于未来损害风险增加而言具有派生性;另一方面,风险预防措施的采取可在一定程度上降低未来损害风险,同时缓解信息主体焦虑,但基于预防措施的效用局限性,其通常不足以彻底消除风险进而完全缓解信息主体焦虑。概言之,三种样态的侵害后果均与风险高度相关,因而可以统称为风险性损害。

二、损害检视:个人信息侵权风险性损害救济困境剖析

(一)困境表象:个人信息侵权风险性损害不符合传统侵权损害理论

无损害则无赔偿,损害是损害赔偿责任的基础,也是损害赔偿法的基本概念,但各国立法较少直接明确损害内涵。梅仲协教授在《民法要义》中对损害作了如下阐释:损害者,权利或法益受侵害时所生之损失也。损害事实发生前之状况,与损害事实发生后之情形,两相比较,被害人所受之损失,即为损害之存在[16]。根据传统侵权损害理论,损害具有不利益性、客观确定性和可补救性特征。首先,损害是民事主体遭受的法律上不利益,具体可表现为身体损害、人格不利益、精神痛苦、财产减少或未增加等。“差额说”是关于损害本质的主流学说,前述梅老对损害的阐释即蕴含了差额说的核心要义。然而差额说实为一种计算方法,“缺乏基于规范目的的法律评价,在诸多情况下会造成不公平的后果”[17],学理上又出现了“组织说”和“规范损害说”。其次,客观确定性是损害的核心要素,可获赔偿的损害原则上是已发生的客观事实,或现有证据足以证明其将在未来发生,而非主观猜测或凭空虚构。最后,对民事权益的侵害赋予损害法律上的可救济性,可救济性同时意味着救济的必要性,即损害不应过于轻微。精神损害因无形性及难以量化之特征,获得赔偿以具有“严重性”为限,从而避免可能引发的滥诉风险,达致权益保护与行为自由之妥适平衡。

然而,个人信息侵权风险性损害难以符合传统侵权损害理论,尤其体现为其潜在性、不确定性等特征与传统侵权损害客观确定性要求不兼容。信息主体遭受的未来损害风险现实化之前,风险增加似乎是对损害的推测而非损害本身,是否具有客观确定性不无疑问。这在司法实践中体现尤为直观,如美国Clapper v. Amnesty International案(3)See Clapper v. Amnesty International, 133 S. Ct. 1138(2013).该案中,原告主张《外国情报监视法》(the Foreign Intelligence Surveillance Act)违宪,因该法使政府部门极易获取监视授权,工作所需必须与潜在被监视对象存在密切联系的原告担心自己的个人信息遭受监视而致泄露,原告认为政府部门未来监视交流活动对其造成的损害具有客观合理的可能性(objectively reasonable likelihood),其不得不花费大量成本采取措施预防风险。地区法院驳回了原告的诉求,联邦第二巡回法院支持了原告的主张,联邦最高法院最终推翻了第二巡回法院的判决。(以下简称“Clapper案”)中,联邦最高法院认为原告主张的未来损害具有高度推测性,采取预防措施的费用基于凭空揣测而产生,构成损害的未来威胁应当是“确定迫近的(certainly impending)”,是一种“实质性风险(substantial risk)”,而非“客观合理可能性(objectively reasonable likelihood)”。而在AFGE v. OPM案中,华盛顿特区巡回法院认为,黑客侵入数据库窃取个人信息后,注定会发生欺诈或身份冒用。在个人身份信息被窃取且已有部分受害者遭遇身份欺诈之际,讨论黑客意图意义不大。关于预防风险的开支,法院认为其极易被伪造,即身处信息社会的原告可以采取各种预防措施增加开支,为尽量避免引发道德风险,法院通常拒绝承认其构成损害。关于风险引发的焦虑,法院常常认为焦虑、恐惧和担忧系主观感受,且以具有推测性的风险为基础,不易辨别其是否真实确定或严重,因而难以构成法律意义上的损害。可见,损害认定是遭受不利益的信息主体寻求司法救济时的重要阻碍,个人信息侵权损害与传统侵权损害理论不兼容已成为大数据时代全球范围内损害救济的突出症结。

(二)困境成因:传统损害观念无法回应信息社会风险治理现实需要

信息通信技术发展应用使常态化个人信息处理活动成为客观社会现实,信息主体在享受科技革命带来的巨大便利之时,也被裹挟进了奔涌而至的风险漩涡。科技深度大规模应用使信息社会成为贝克描述的“风险社会”的升级版本,风险治理是信息社会的重要课题。风险控制与风险分配是风险应对的两大重要环节。风险控制是事前思维,旨在减少风险发生以降低风险总量;风险分配是事后思维,旨在确定特定风险承担主体以维系社会有序运转。风险作为潜在客观事物,经由风险控制虽可减少若干不利后果,但受制于人类认知局限性,风险难以完全杜绝,剩余风险必然存在,从而必须进行风险分配。风险分配的理想图景乃尽力破除“财富在顶层积聚,而风险在底层积聚”[18]即由弱势群体、低收入者作为风险默认承担主体的不公平局面,由法律明定风险损害责任主体以实现社会公平正义[19]。

结合前述关于个人信息侵权风险性损害救济困境的分析,当前司法实践因风险性损害不符合传统侵权损害理论而拒绝赔偿遭受不利益的信息主体的策略选择,其实是将个人信息侵权损害风险分配给信息主体承担。这一分配结果既不符合“有效控制原则”“风险收益对等原则”“公平原则”等风险分配原则指导下的“风险制造者承担风险”“享有收益者承担风险”的风险分配一般逻辑,又可能因对信息处理者形成反向激励而不利于促进个人信息处理活动规范有序开展。

归根结底,传统损害观念不符合信息社会风险治理客观需要是当前个人信息侵权损害救济困境的症结所在。损害首先是一种客观事实,法律视野内的损害同时包含着规范评价。法律通过规范评价将符合一定条件的自然意义的损害纳入调整范围(即法律意义的损害),以实现妥适平衡主体权益保护与行为自由维护的规范目的。就此而言,损害概念具有鲜明的社会建构性,其内涵并非固定不变,而是受所处社会条件及发展水平的制约并随之发展变化。损害概念的内涵折射出侵权法调和“受害人权益保护”与“加害人行为自由”两项权益蕴含的价值判断,并受技术发展、商业创新及利益博弈等多重因素持续影响。在信息社会,基于个人信息侵权损害的内在特质,传统侵权损害理论无法实现信息主体权益保护与信息处理者行为自由之间的妥适平衡。因应个人信息侵权损害实际特征革新损害观念是侵权法参与信息社会风险治理的重要途径。将满足一定条件的风险视为可赔偿的损害,既是合理分配侵权风险实现风险治理的客观需要,也是风险分配的具体实现方式。

三、损害证成:个人信息侵权风险性损害具有可赔偿性

(一)风险与损害的同质性:法律上不利益的本质属性

侵权法上的损害是对侵权法所保护法益的否定,本质上系法律上的不利益。前已提及,损害首先是一个事实概念,揭示了民事主体在人身和财产方面遭受的不利益。在法律视阈内,“损害概念系由法律形成,何种法益上所受的不利益得请求赔偿,当然含有法律上的评价”[20],也即损害具有规范属性,对权益的侵害是特定损害具有法律上可救济性的前提。损害的规范属性可从质的规定性与量的规定性两方面加以阐释。在质的规定性方面,损害表现为侵害民事主体人身和财产权益的不利后果,本质上反映了法律上的不利益。差额说在经规范损害说修正后至今仍能保持学理通说地位正在于其揭示了损害的不利益本质属性。在量的规定性方面,损害反映的是法律上的通常不利益,而非微额不利益。鉴于社会生活中利益冲突无处不在且难以避免,为使民事主体免于动辄得咎从而影响行为自由,加之司法资源有限,并非任何不利益均应纳入法律调整范围。质言之,不利益对民事主体的影响程度可粗略区分为显著、相当及微小等,显著及相当程度的影响可定位为通常不利益,微小程度的影响可定位为微额不利益。通常不利益有可能成为赔偿客体,微额不利益则无此可能[21]。综上,侵权法上的损害蕴含着质的规定性与量的规定性的有机统一,本质上系法律上的不利益,且该不利益不应过于微小。

个人信息侵权风险性损害系信息主体合法权益在个人信息处理活动中遭受的不利益,与侵权法上的损害具有同质性。个人信息侵权行为造成的未来损害风险的增加、预防风险的开支、风险引发的焦虑等均系信息主体遭受的真实不利益,虽然未来损害的风险尚未现实化,但是风险本身即表征着一种不利益,只是其同时蕴含着概率因素且后者在塑造其内涵方面具有内在作用[22]。风险的不利益性在市场经济场域内有更为具象的体现,并构成保险市场运行逻辑起点和保险制度运行的基础。以个人信息泄露情形为例,信息主体遭受身份盗用或欺诈的风险增加,其安全利益受到侵害,风险增加的客观不利状态系真实不利益,信息处理者履行通知义务、信息主体采取风险预防措施等均旨在改变此不利益状态;预防风险的开支系通过采取相关防范措施以尽可能地将风险现实化的不利益降至最低,开支本身是信息主体遭受的财产不利益;风险引发的焦虑和痛苦则系信息主体精神层面遭受的不利益。

由此可见,风险符合损害的质的规定性,风险与损害具有法律上不利益的同质性。法律作为“表达利益要求、平衡利益冲突和重整利益格局”[23]的利益调控机制,损害概念及相关法律规则兼具工具理性和价值理性,风险的不利益本质属性意味着认可风险性损害的可赔偿性具有法理正当性。作为利益协调平衡机制的重要工具之一,损害概念同时具有量的规定性层面的要求,即损害不应过于轻微。风险内在地蕴含着概率因素,概率的高低在一定程度上反映着不利益的大小。风险性损害应当达到特定标准方具有可赔偿性,该标准宜由立法者基于规范意旨在平衡信息主体权益保护与信息处理者行为自由的基础上确立。简言之,个人信息侵权风险性损害反映了信息主体遭受的现实不利益,满足特定标准的此种不利益超出了信息主体容忍义务对应的合理限度[24],认可其可赔偿性符合基本法理。

(二)风险性损害的确立是实现侵权法多重功能的客观需要

德国法学家瓦格纳曾言:“在任何法律制度中,侵权法都存在两颗心脏——阻吓与赔偿——它们同时跳动着,尽管强度有别。”[25]该论述鞭辟入里地揭示了侵权法的损害填补(赔偿)功能和预防功能。其中,损害填补功能是主要功能,也是侵权法作为救济法的直观反映;预防功能是辅助功能,虽然关于侵权法是否具有预防功能曾出现争议,但随着时代变迁和社会生活发展变化,“突出预防功能是现代侵权法与传统侵权法的重要区别之一”[26],作为一个“令人欢迎的副产品”[27],侵权法的预防功能已获得普遍认可。也有学者认为,侵权法同时具有惩罚功能。侵权法中的惩罚性赔偿责任制度无疑具有鲜明的惩罚功能,但放眼整个法律体系,将个别制度具有的惩罚功能视为整个侵权法的功能并不十分妥当,且民法典也秉持惩罚性赔偿法定主义立场。从公私法任务分工角度而言,私法的主要任务系填补和预防损害,惩罚任务应当主要由公法承担,以充分实现法律体系内部协调。综上,侵权法具有损害填补和预防功能。

风险性损害的确立是实现侵权法损害填补功能的直接要求。依据传统侵权损害理论,个人信息侵权风险性损害因潜在性和不确定性特征并不具有可赔偿性,遭受不利益的信息主体难以获得赔偿救济。同时,由于诉讼时效制度限制及证据收集难度随时间经过不断增大的客观事实,信息主体在风险性损害现实化后通常也难以获得充分救济,信息处理者因而免于承担本应承担的损害赔偿责任。侵权法的损害填补功能在此过程中受到妨碍。基于损害概念具有的规范属性及社会建构性,因应信息社会个人信息处理行为及侵权损害的实际特征,革新损害观念承认风险性损害的可赔偿性是推动实现侵权法损害填补功能的直接要求。

风险性损害的确立是实现侵权法预防功能的现实需求。正如奥地利学者玛塔亚(Mataja)百余年前所强调的,任何立法都无法消除已发生的损害,面对这种既定事实,法律有些无助,因此立法针对损害风险只能追求“尽可能地防止损害发生”及“依据正义和宏观经济利益的要求,令最易于承担损害赔偿的人负担已发生的损害”两个目的[28]。玛塔亚的论述强调了侵权法的预防功能,同时明晰了风险控制与分配两条应对路径。参照环境、知识产权保护等领域的经验,对易于引发不可逆转损害或严重损害后果的侵权情形,侵权救济的预防功能更应得到充分发挥。基于多数敏感个人信息的不可更改性、侵权行为易发性和大规模性等特征,个人信息侵权容易造成不可逆转损害或严重损害后果,侵权救济的预防功能应当受到高度重视。虽然人格权请求权及人格权保护禁令制度等在个人信息保护中发挥着显著预防功能,然而传统侵权损害观的践行极易使遭受不利益的信息主体难以获得赔偿救济,这实质上是以牺牲侵权法预防功能为代价。承认风险性损害以救济遭受不利益的信息主体,避免实质上对信息处理者形成违法激励,是信息时代更充分地发挥侵权法预防功能和推动实现风险治理的现实需求。

(三)风险性损害的确立符合法律体系逻辑推演结果

首先,认可个人信息侵权未来损害风险增加的可赔偿性符合现行法律体系内在逻辑。一方面,未来损害风险增加与侵权法上的可得利益损失异曲而同工。两者均系法律上的不利益,都具有潜在性和非确定性,区别仅在于前者系积极损害而后者系消极损害。因不利益本质属性,可得利益损失的可赔偿性已为侵权法认可,法官通常结合既有案件事实及事物发展规律,依据一定标准“预测”将来的可得利益是否发生[29]。美国法对此设定的“合理确定性标准”(reasonable certainty)(4)美国《侵权法重述第二版》第910节规定,因他人侵权而遭受损害者,有权从该他人处获得对该侵权造成的所有过去、现在和未来的损害的赔偿。该节评注b指出,要求证据具有合理确定性是获得预期损害赔偿的主要条件。亦为我国多数学者及司法实践所认可。原告只需证明案涉可得利益损失具有合理确定性,而无需达到绝对的确定性或数学意义上的精确性程度[30]。基于同样的法理和逻辑,未来损害风险增加同样具有可赔偿性,关键在于未来损害风险认定标准的设定。另一方面,在不当诊疗行为侵权、环境侵权和毒物侵权司法实践中,风险性损害的可赔偿性已获认可。在不当诊疗行为侵权领域,不当诊疗行为造成患者生存、维持健康的机会降低时,该机会丧失可认定为损害。King教授就此指出:“若被告的侵权行为毁损或减少了原告获取更有利结果的期待,原告即应获得对所失期待的赔偿。损害赔偿的基础是被告的侵权行为对原告获取更好结果之可能性的降低程度,侵权行为是否真的降低此可能性不影响损害赔偿的认定。”[31]域外司法判决直接指明生存机会是区别于过失医疗行为给患者造成的痛苦的独立可赔偿项目[32]。我国司法实践同样认可生存机会丧失构成损害(5)参见福建省宁德市中级人民法院(2015)宁民终字第711号民事判决书、湖南省衡阳市石鼓区人民法院(2014)石民一初字第159号民事判决书、安徽省枞阳县人民法院(2015)枞民一初字第01904号民事判决书等。,学术界亦围绕将生存机会丧失纳入生命权和健康权体系进行了大量研究。在环境侵权领域,污染环境、破坏生态所致损害大多具有潜伏性、长期性和不可逆转性,未来损害风险增加在一定条件下可认定为损害。环境法的主要创新之一即以风险概念代替损害[33]。在毒物侵权领域,原告接触有毒有害物质所致健康损害威胁同样具有潜伏性、长期性和不可逆转性,未来健康损害风险增加在一定条件下亦可认定为损害。是故,承认特定条件下个人信息侵权未来损害风险增加的可赔偿性符合现行法律体系内在逻辑。

其次,认可个人信息侵权风险预防成本的可赔偿性符合现行法律体系内在逻辑。侵权责任承担方式包括停止侵害、排除妨害、消除危险等预防性责任及损害赔偿等。在个人信息侵权引发未来损害风险增加时,依据侵权救济基本法理,信息主体可基于人格权请求权主张信息处理者消除危险。若信息主体自行采取措施消除危险,因此支出的合理费用显然系信息处理者消除危险责任的替代履行,该费用因信息处理者违法行为而产生,理应由信息处理者负担,这也符合不当得利制度基本法理。此外,我国现行法律体系中,防止违约损失扩大预防费用(6)《民法典》第591条第2款规定,当事人因防止损失扩大而支出的合理费用,由违约方负担。及制止知识产权侵权行为合理开支(7)参见《中华人民共和国著作权法》第54条第3款、《中华人民共和国专利法》第71条第3款、《中华人民共和国商标法》第63条第1款等。等的可赔偿性均获认可;个人信息侵权相关司法解释(8)参见《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第8条。也明确规定律师费、调查取证合理费用可作为制止侵权行为合理开支获得赔偿。基于同样的法理逻辑,认可个人信息侵权风险预防成本的可赔偿性,符合法律体系解释和类推解释的结果,不会引发法律体系混乱与矛盾。当然,可予赔偿的风险预防成本限于合理范围内,具体应结合个案情景予以判断。

最后,认可风险引发的焦虑可获赔偿具有正当性。个人信息侵权行为引发的信息主体焦虑、不安、恐惧等内心痛苦系精神损害,其可赔偿性主要面临损害确定性和严重性质疑。派生性特质使然,风险预防成本及引发的焦虑的确定性均取决于未来损害风险增加的确定性,在认可满足特定条件的未来损害风险增加的可赔偿性时,该风险增加引发的信息主体内心焦虑亦应具有可赔偿性。在严重性方面,结合个人信息侵权损害基本特性,风险引发的焦虑程度要件应在传统精神损害严重性要求的基础上予以放宽。一方面,精神损害严重性要件限制本身不甚合理。人格法益高于财产法益的人本主义价值定位系基本共识,在“忽略轻微损害”理念指引下,财产损害的可赔偿性尚不要求达到严重性程度,精神损害严重性要件的限定似有本末倒置之嫌。当然,严重性要件意在化解精神损害无形性、主观性特征可能引发的滥诉风险,使法院和行为人免于诉累,具有一定合理性,但司法实践中低数额的精神损害赔偿判决则充分映射出严重性要件的尴尬处境[34]。另一方面,精神损害严重性要件限定不利于实现个人信息侵权救济目的。个人信息权益系精神性人格权益,相关侵权行为极易引发精神损害,严重性要件限定使信息主体难获有效救济,不少法院以信息主体未能证明“明显的精神痛苦”或“严重的精神损害”为由拒绝支持精神损害赔偿请求(9)如四川省成都市中级人民法院(2015)成民终字第1634号民事判决书、北京市第一中级人民法院(2017)京01民终字第509号民事判决书、北京互联网法院(2018)京0491民初1905号民事判决书、北京市第三中级人民法院(2020)京03民终字第2049号民事判决书等。,利益衡量有失妥当。个人信息侵权精神损害赔偿“门槛”设置属于立法政策选择问题,不宜取决于既往立法,而应当考察当前社会、经济和伦理有无关乎放宽精神损害赔偿限制的本质要求。固有法律并非应有的法律,法律可能会随社会发展发生变化[35]。域外国家或地区普遍选择放宽精神损害严重性要求,如欧盟《一般数据保护条例》(GDPR)第82条(10)GDPR第82条规定“因违反本条例的行为遭受财产性或非财产性损害的任何人,均有权就所遭受的损害从数据控制者或者数据处理者处获得赔偿”。及立法理由第146条(11)GDPR立法理由第146条规定“为充分反映本条例之目标,应当根据欧盟法院判例法对损害概念作广义解释”。清晰传达出扩张损害概念的立场;德国顺应该理念指引,2018年修订《联邦数据保护法》时取消了非物质性损害赔偿“重大性”的条件限制。国内不少学者针对个人信息侵权救济也支持突破精神损害严重性要件限定,主张将《个人信息保护法》第69条损害赔偿责任解释为同时适用于财产损失和精神损害,排除适用《民法典》第1183条。此种解释目的指向性较强,但不免有“削足适履”之嫌。《个人信息保护法》第69条第2款规定的所受损失或所得利益优先、酌定赔偿兜底的责任确定方式客观指向财产损失,与精神损害不相适应。鉴此,基于实用主义考量,可先在制定《个人信息保护法》司法解释时明确放宽精神损害严重性要件要求,待修订《个人信息保护法》之际再对此予以明确。

四、损害认定:个人信息侵权风险性损害认定规则

(一)动态系统论:风险性损害认定的方法论基础

认可个人信息侵权风险性损害的可赔偿性并对其予以救济,不仅需要理论支撑,也需要方法论指引。风险性损害的认定实质上是一个利益衡量过程,动态系统论可作为其方法论基础。

博登海默曾言,“法律的主要作用之一就是调整及调和种种相互冲突的利益,无论是个人的利益还是社会的利益”[36]。社会生活复杂流变性及个案事实多样独特性特征使然,固定法律规则极易面临与具体个案适配性较低的困境,灵活性较高的法律规则虽有更强的统摄力和包容度,但在适用于具体个案时又常常显得空洞模糊。为有效调整社会生活、形塑良好社会秩序,在立法者经由利益衡量确立一般法律规则后,司法者在个案中行使自由裁量权完成利益衡量同样不可或缺,如何合理限定自由裁量权以免法官恣意判断至关重要。可以说,法律规则确定性与灵活性之间的紧张关系是立法者必须直面的亘古难题。动态系统论旨在“青蝇之眼”和“苍鹰之眼”,或者说在“决疑式”和“抽象概括式”立法风格[37]之间寻觅“第三条道路”,主张立法应明确裁判者须考虑的不同影响因素及各因素权重,以一种“或多或少式”的动态技术手段为法官进行价值判断和利益取舍设定“安全阀”,强调“司法过程中裁判者对各种冲突利益的动态平衡”[38],进而实现更高程度的规则确定性及对法官自由裁量权的适当限制[39]。

作为一种法学方法论,实现弹性化而非“全有全无式”法律效果的重要特征赋予动态系统论内在理性。动态系统论关注某一法律领域发挥作用的诸多特定要素,通过“与要素的数量和强度相对应的协动作用”来说明正当化法律规范或法律效果[40],以实现对冲突利益的动态衡量,尤其适宜于分析解决需进行多元价值衡量的法律问题。动态系统论分析框架由“要素”和“基础评价或原则性示例”两大支柱搭建[41],要素间的协同作用形塑了“动态”之魂并决定着法律效果强度,基础评价或原则性示例构成法律效果的判定基准。概言之,动态系统论通过对要素种类的明文规定及要素权重的确定,依据基础评价或原则性示例并结合要素满足度确定具体法律效果。

个人信息侵权风险性损害认定关涉信息主体权益保护与信息处理者行为自由的平衡,实乃复杂的利益衡量过程。在处理活动中,个人信息内容丰富、类型有别,处理手段多样、目的复杂、后果各异,这些客观特征决定了应结合特定案件事实并经由充分利益衡量认定个人信息侵权风险性损害。处理活动关涉要素多元性提供了适用动态系统论的契机,动态系统论可作为风险性损害认定中利益衡量的方法论基础,成为法官的分析框架。鉴此,风险性损害认定时应予考量的要素种类及基础评价是适用动态系统论分析框架的基本前提和关键任务。

(二)个人信息侵权风险性损害认定标准

风险性损害认定标准即动态系统论分析框架中的基础评价,在立法欠缺明文规定时,判例及学说可资参考。风险性损害认定标准应当合理适度,避免因过于严苛而难以有效救济信息主体,影响信息主体权益保护效用;或因过于宽松而妨害信息处理者行为自由,阻碍数字经济可持续发展。

在美国,风险性损害(12)依据美国法律,遭受事实上的损害(injury in fact)是起诉资格的前提之一,事实上的损害应是具体的(concrete)、特别的(particular)、实际的(actual)或即将发生的(imminent),而非推测的(conjectural)或假想的(hypothetical)。认定标准出现了“确定即将发生标准”与“实质性风险标准”之争。前述Clapper案中,最高法院认为构成损害的未来风险须是“确定即将发生的”,某些情况下具有“实质性风险”也可构成损害,但原告的主张立基于一个高度衰减的可能性链,取决于独立行为者的选择,推测性较强,对假设的未来损害的恐惧亦难以构成损害。评论者指出,最高法院在此案确立了“确定即将发生”和“实质性风险”两种标准,因涉及国家安全和外交事务的敏感问题,该案应适用较严格的“确定即将发生标准”[42]。在Spokeo, Inc. v. Robins案(13)See Spokeo, Inc. v. Robins, 136 S.Ct. 1540 (2016).被告Spokeo系消费者信用评估公司,原告主张被告对其作出的信用报告中多处信息有误,损害了其就业机会,违反了《公平信用报告法》(the Fair Credit Reporting Act)。地区法院认为原告未遭受实际损害。第九巡回法院认为损害是特别针对原告的。最高法院则认为损害不符合“具体的”特征。中,最高法院认为损害应兼具“特别的、具体的”双重特征,“特别的”即损害是原告个人而非集体所遭受,“具体的”即损害是真实而非抽象的,无形损害也可能是具体的。在Beck v. McDonald案中,联邦第四巡回法院认为33%的电脑失窃案后续伴随身份信息失窃的统计数据仅具有一般意义,并不表明电脑失窃者遭受的身份信息失窃损害是“特别的”,而在黑客窃取场景下,鉴于黑客目的意图明确,未来损害风险确系实质性的(14)在同样涉及黑客窃取用户数据的Remijas v. Neiman Marcus案中,联邦第七巡回上诉法院指出,不能过度解读最高法院对Clapper案的判决,当原告主张的损害达到“客观合理可能性”标准时即可获赔。但鉴于黑客的明确意图,该案原告面临的风险确系实质性的,已超出“客观合理可能性”标准。。

整体而言,美国最高法院及认可风险性损害可赔偿性的多数法院均倾向于认为风险性损害认定标准应当为较“客观合理可能性”更高的“实质性风险”标准。法院强调损害应当为“特别的、具体的”其与实质性风险标准具有内在一致性,要求原告遭受了个体化的真实损害,意味着其面临的未来损害风险是实质性而非合理或微小可能性的。值得注意的是,Clapper案所涉信息收集行为本身具有推测性,因而损害的臆想性较强,而在大多数违法处理个人信息的场合,违法行为本身并无争议,损害的臆想性较弱。在处理行为关涉国家安全、权力分立等重大权益时,为达至利益妥适平衡,风险性损害应当满足“确定即将发生标准”,具体可结合风险现实化的时间、概率因素加以判断[43]。

在德国,法院认为原告须证明处理者违反GDPR的行为客观上导致了重大且明显的社会或个人劣势,例如以公开曝光或羞辱形式所致的损害(15)See Case No. 8 O 26/19.,对未经授权披露个人数据的不利影响的纯粹担心(16)See Case No. 324 S 9/19.或仅因个人数据泄露可能引发第三方擅自使用而感到的不安(17)See Case No. 385 C 155/19.等都不足以构成GDPR第82条中的损害。但若处理行为严重违反GDPR,如侵犯第15—22条中的数据主体权利,基于所涉权利重要性及侵权严重性,应认定数据主体遭受了损害。综上,德国法院认为风险性损害应当符合“客观上重大且明显”的特征,权利等级及侵权严重性可作为相关衡量因素。

美、德关于风险性损害可赔偿性标准的表述虽有不同,但内在精神理念具有一致性。未来面向及概率因素使然,风险性损害认定应当以“实质性风险”为标准,即损害应当符合“客观上重大且明显”的特征,结合权利等级和侵权严重性加以衡量,从而兼顾信息主体与信息处理者的权益保护。详言之,三类风险性损害认定思路稍有差异。关于未来损害风险增加,“实质性风险”标准是对风险内含的概率因素及不确定性的必要限定。在损害发生风险具有实质性时,信息主体权益相较于信息处理者权益具有优位性,因而应认可其可赔偿性以实现损害救济的预防和赔偿功能。根据美国司法经验,“实质性风险”标准也意味着未来损害系“具体的、特定的”,即损害是真实而非抽象的,是针对受害信息主体个人而非集体的。关于风险预防成本和风险引发的焦虑,在未来损害风险达到实质性标准时,其所派生的预防成本和内心焦虑也应具有可赔偿性,但须同时符合“合理性标准”,即风险预防成本和内心焦虑精神损害应在合理限度内,具体赔偿范围由裁判者根据个案实际情况分析衡量。“实质性风险标准”和“合理性标准”均系抽象化主观标准,属于法官自由裁量权范畴,须由法官立足个案在充分说理论证之基础上予以判断。

(三)个人信息侵权风险性损害认定的考量因素

风险性损害认定考量因素的提炼,既能为裁判者提供操作指引以减少其行使裁量权时的迷茫和恣意,亦能为信息处理者提供行为指引辅助其守法合规。概言之,认定个人信息侵权风险性损害的考量因素应包括个人信息类型、数量及信息处理目的、方式、持续时间和影响后果等。

关于个人信息类型及数量,概言之,违法处理行为所涉个人信息敏感性越强、数量越多,未来损害的风险就越大。一般个人信息与敏感个人信息的类型划分具有重要基础意义,敏感个人信息蕴含内容丰富性、不可更改性等特征使得相关处理行为极易对信息主体产生重大影响,进而应当获得严格保护。有学者认为《个人信息保护法》确立了“一般权益侵害程度+更高风险兑现概率”的敏感个人信息风险程度标准[44],更高风险性既体现在信息主体遭受的现实损害层面,也体现在未来损害层面。质言之,敏感个人信息的内在特质决定了违法处理行为引发未来损害的可能性更大。此处不涉及循环论证问题,敏感个人信息法律标准和范畴确定系立足信息保护目的及处理实践进行的内涵提炼和类型归纳,并通过一般规定与列举示例相结合的方式具象呈现,其类型归纳亦可反过来辅助侵权损害风险判定,这一过程折射出理论与实践互动交融的良性关系。此外,在违法处理一般个人信息时,信息的可用性、有用性、更改难易程度、信息数量等都影响着未来损害的风险。尤须注意的是,基于个人信息的可聚合性,裁判者应结合个案所涉个人信息及已公开个人信息等,综合衡量个案中的未来损害风险。

关于信息处理目的、方式、持续时间和影响后果,通常而言,违法处理行为主观恶意越明显、持续时间越长、影响范围越广、个人信息暴露程度越高等,未来损害的风险就越大。详言之,信息处理目的直接反映处理者的主观可归责性,其通常主要影响损害赔偿范围确定而非损害认定,但可为未来损害风险判定提供指引。譬如,存储个人信息的设备被盗,窃取者可能具有主要指向设备本身或所存储个人信息抑或兼而有之的不同意图,此时可结合设备本身及所存储个人信息的价值差异、存储个人信息的利用可能性及其他相关因素,合理确定窃取者主观目的,在非以获取个人信息为主要目的时,未来损害的风险相对较小。而在黑客非法获取个人信息时,鉴于黑客主观意图明显且信息处理能力较强,未来损害风险则相对较大。在信息处理方式方面,收集、存储、移转、公开等处理行为影响各异,处理手段与持续时间共同决定信息暴露程度及影响范围,进而影响未来损害风险;同时,是否采取技术、组织措施预防风险及相关措施的合理性、有效性等也显著影响实际风险,若未对个人信息进行加密、脱敏、去标识化及匿名化等处理或相关措施有效性不足,未来损害风险则相对较大。此外,基于损害风险的未来面向,既定影响后果可指引风险预判。既定影响后果包括违法处理行为已经过的时间,是否有信息主体遭受现实损害,现实损害的严重程度及影响范围,信息主体是否遭受攻击尝试等。通常而言,若信息主体在违法处理行为发生后三到六个月内没有遭受现实损害,则未来损害风险相对较低,但若涉及个人身份证号码等难以更改的个人信息,时间的经过不足以降低风险。在大量同类信息主体已遭受现实损害或信息主体已遭受攻击尝试时,未来损害风险相对较高。

基于信息聚合的“马赛克理论”,法官在判定个案中未来损害风险是否达到实质性标准时,应当结合个案具体场景,全面考量所涉个人信息类型及数量、信息处理目的、方式、持续时间、风险预防措施采取情况、影响后果等相关因素,经由综合衡量加以认定。