龙松熊

(西南政法大学智能司法研究院,重庆 401120)

侵害个人信息权益的损害赔偿一直是个人信息保护领域的重点和难点问题。《中华人民共和国个人信息保护法》(简称《个人信息保护法》)第69条对侵害个人信息权益的归责原则和损害赔偿数额的确定进行了规定。在《个人信息保护法》颁布后,围绕侵害个人信息权益的损害赔偿依然存在以下三个疑难问题亟待解决:一是侵害个人信息权益但未造成严重精神损害或未产生实际财产损失的情况下,能否请求损害赔偿?具体来说,侵害个人信息权益的损害赔偿包括精神损害赔偿和财产损害赔偿两种。(1)Sarah Ludington,Reining in the Data Traders: A Tort for the Misuse of Personal Information, Maryland Law Review, Vol. 66: 186, p.186-193(2006).《中华人民共和国民法典》(简称《民法典》)规定侵犯民事权益的精神损害赔偿以“造成严重精神损害”为要件,财产损害赔偿以发生实际损失为前提。而在侵害个人信息权益时,绝大多数的侵害个人信息权益的行为,尽管会给被侵权人造成不安,但难以达到严重精神损害的程度,也难以产生实际的财产损失。如果侵害个人信息权益需要造成严重精神损害和实际的财产损失,那么大量的侵害个人信息权益案件的被侵权人因没有达到严重精神损害的程度而无法请求精神损害赔偿。(2)参见陈蓉、杨玉华:《敏感个人信息精神损害赔偿之检视与制度建构——以〈个人信息保护法〉生效前45例已决样本分析》,载《重庆邮电大学学报(社会科学版)》2023年第2期,第43页。这不仅难以实现《个人信息保护法》保护个人信息权益的立法目的,也不符合公众朴素的价值判断。因而,在《个人信息保护法》出台之后,不少权威学者开始质疑侵害个人信息权益的精神损害赔偿以“造成严重精神损害”为要件的合理性。如张新宝教授从个人信息的特点和《个人信息保护法》的立法目的出发,认为侵害个人信息权益的精神损害赔偿不应以“造成严重精神损害”为要件。(3)张新宝教授于2021年10月23日在中国法学会民法学研究会2021年年会上的主题发言中表达了此观点。参见张新宝:《侵害个人信息的损害赔偿(民法学研究会2021年年会会议简报第九期)》,载微信公众号“中国民商法律网”2021年11月17日,https://mp.weixin.qq.com/s/t6bqea22n4j7cT_zzfDT-A。谢鸿飞教授虽然承认现行法下侵害个人信息权益的精神损害赔偿须以“造成严重精神损害”为要件,但为解决个人信息权益保护上的困难,他认为只要是敏感信息的泄露都应推定产生了严重精神损害,被侵权人可以请求精神损害赔偿。(4)参见谢鸿飞:《个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化》,载《国家检察官学院学报》2021年第5期,第32页。因而,《个人信息保护法》出台之后,单纯地依据《民法典》与《个人信息保护法》在个人信息保护上存在一般法与特别法的关系来论证侵害个人信息权益的损害赔偿需要造成严重精神损害或者财产损失,实属不足。(5)如张新宝教授认为,侵害个人信息的精神损害赔偿是否需要适用《民法典》规定的以“造成严重精神损害”为前提存在肯定和否定两种观点。参见张新宝:《侵害个人信息的损害赔偿(民法学研究会2021年年会会议简报第九期)》,载微信公众号“中国民商法律网”2021年11月17日,https://mp.weixin.qq.com/s/t6bqea22n4j7cT_zzfDT-A。还需要从理论上探讨侵害个人信息权益但未造成严重精神损害或实际损失的情况下能否请求损害赔偿。二是侵害个人信息权益的案件中,涉及到多数人侵权。对于多数人侵权特别是个人信息处理者控制的信息发生泄露,泄露的信息又被第三人进行积极的利用而造成他人损害时个人信息处理者应当承担何种责任的问题,在理论上争议不断,需要进一步探讨。三是《个人信息保护法》第69条确立了损害赔偿的计算方法,但侵害个人信息权益损害赔偿的数额具体如何计算却未有明确的计算公式。因而,在《个人信息保护法》已然生效的情况下,对侵害个人信息权益损害赔偿进行体系性的思考,具有极大的实践意义。笔者将立足于中国现有立法和司法实践,结合日本侵害个人信息权益损害赔偿的理论与实践经验,对以上三个问题进行探讨,以求教于方家,有益于司法实践。

一、侵害个人信息权益损害赔偿的成立前提

个人信息权益兼具人身利益和财产利益,侵害个人信息权益中被侵权人可能面临的损害可以分为三种:一是个人信息泄露导致被侵权人基于个人信息所具有的财产利益而受到损害或者造成被侵权人的精神损害;二是个人信息泄露给自身带来的风险;三是因个人信息泄露造成的其他财产损失,这种损失既包括个人信息泄露所造成的电信诈骗等下游损失,也包括为防止个人信息泄露所带来的风险而支付的预防成本。在个人信息泄露造成其他财产损失的情况下,被侵权人请求财产损害赔偿并无争议。但在单纯的侵害个人信息权益以及个人信息泄露带来风险的情况下,被侵权人能否请求损害赔偿?这是困扰理论与实践的重大难题。(6)参见解正山:《数据泄露损害问题研究》,载《清华法学》2020年第4期,第141页;田野:《风险作为损害:大数据时代侵权“损害”概念的革新》,载《政治与法律》2021年第10期,第27页。这种困境产生的原因有两点:一是通常情况下,侵害个人信息权益难以达到造成被侵权人严重精神损害的标准;二是个人信息的价值来源于信息的集合,单一的个人信息很难具有财产价值,这使得侵害个人信息权益难以满足传统侵权损害赔偿构成要件的要求。而要解决单纯的侵害个人信息以及个人信息泄露带来风险的情况下被侵权人能否请求损害赔偿的问题,其关键就在于如何构建侵害个人信息权益损害赔偿中精神损害赔偿和财产损害赔偿的认定标准。对此,笔者认为,侵害个人信息权益的精神损害赔偿应当以“造成严重精神损害”为要件;在未有实际财产损失发生的情况下,只有个人信息被商业化利用,被侵权人才能请求财产损害赔偿。

(一)侵害个人信息权益的精神损害赔偿应以“造成严重精神损害”为要件

尽管当前对于侵害个人信息权益的精神损害赔偿是否应当以“造成严重精神损害”为前提依然存在争议,但笔者认为:在《个人信息保护法》已颁布的背景下,侵害个人信息权益的精神损害赔偿应当以“造成严重精神损害”为前提。这一论断并非源于《民法典》与《个人信息保护法》在关系上是一般法与特别法的关系,而是以“造成严重精神损害”为前提符合《个人信息保护法》的立法目的和数据产业的特点。

首先,从权益的横向对比来看,侵害个人信息权益的精神损害赔偿应当以“造成严重精神损害”为条件。一是从个人信息与隐私权的关系来看,侵害个人信息权益所造成的精神损害赔偿应当以“造成严重精神损害”为条件。个人信息可以分为私密信息和非私密信息,《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”根据《民法典》的既有规范,在侵犯隐私权等具体人格权的情况下,被侵权人若请求精神损害赔偿,需要以“造成严重精神损害”为条件。从权益保护的应然角度来说,隐私权中所包含的个人信息属于私密信息,在保护的力度上,对个人信息中的非私密信息的保护应当弱于或至少是不强于对私密信息的保护,因而,对于个人信息的保护应当弱于或至少不强于对隐私权的保护。举重以明轻,在侵害隐私权的精神损害赔偿都需要以“造成严重精神损害”为条件的情况下,对侵害个人信息权益所造成的精神损害赔偿自然应当以“造成严重精神损害”为条件。二是从个人信息与其他具体人格权的关系来看,侵害个人信息权益所造成的精神损害赔偿也应当以“造成严重精神损害”为要件。个人信息属于人格权益范畴,除隐私权外,个人信息还与姓名权、肖像权等具体人格权存在交叉,而侵害姓名权、肖像权等具体人格权都需要以“造成严重精神损害”为前提,以此类推,侵害个人信息权益也应当以“造成严重精神损害”为要件。

其次,从立法来看,对于精神损害赔偿以“造成严重精神损害”为要件也是立法者深思熟虑的结果。立法上要求精神损害赔偿以“造成严重精神损害”为要件出于三方面的考虑:一是遏制被侵权人滥用诉讼权利,谋取不法利益;二是遏制法官在精神损害是否成立的问题上不当行使自由裁量权;三是避免滥诉,避免无谓增加诉讼负担。(7)参见唐德华主编:《最高人民法院〈关于确定民事侵权精神损害赔偿责任若干问题的解释〉的理解与适用》,人民法院出版社2001年版,第5页;最高人民法院侵权责任法研究小组编:《〈中华人民共和国侵权责任法〉条文理解与适用》,人民法院出版社2016年版,第171页。因而,“造成严重精神损害”这一要件涉及到侵权人、被侵权人以及法院三方面的利益平衡。侵权法是调整侵权人行为自由与被侵权人权益保护的法律,“造成严重精神损害”这一要件的增加,可以合理地平衡侵权人的行为自由与被侵权人的权益保护。尤其于法院而言,“造成严重精神损害”这一要件的增加,在防止当事人滥诉的同时也能为法官自身的价值判断提供相应的衡量基准。因而,以实践中侵害个人信息的案件无法达到“严重”的程度,就将这一条件豁免,难谓合理。况且,侵害人格权益难以获得精神损害赔偿,是人格权侵权请求精神损害赔偿领域中的普遍现象,并非个人信息权益侵权请求精神损害赔偿所特有。从精神损害的具体认定来看,精神损害的认定本身具有主观性,是否造成严重的精神损害没有具体的标准,对于“造成严重精神损害”的认定有赖于法官的判断,属于一种具有弹性的认定办法,由法官进行具体把握。法官可以通过对精神损害案件的具体判断来满足社会发展的要求。(8)参见叶金强:《精神损害赔偿制度的解释论框架》,载《法学家》2011年第5期,第88页。若将“造成严重精神损害”此一要件进行删除,则一旦发生信息泄露事件就产生精神损害赔偿,而信息泄露案件在实践中发生的频率又如此之高,这不仅会给数据企业造成极大的负担,也会给司法机关带来巨大的案件压力。

最后,既有主张侵害个人信息权益的精神损害赔偿不应以“造成严重精神损害”为要件的观点缺乏理论支撑。从理论上来看,这一观点主要理由在于《民法典》第1183条将侵害人身权益的精神损害赔偿限定在“造成严重精神损害”的范畴,而《个人信息保护法》第69条第1款对侵害个人信息权益的损害赔偿并没有限定在“造成严重精神损害”的范畴,第2款对损害赔偿的计算也没有限定为纯粹的财产损失。二者结合可以推定《个人信息保护法》第69条在个人信息权益的保护上,突破了《民法典》第1183条以“造成严重精神损害”为要件的规定。在侵害个人信息权益的精神损害赔偿中,基于特别法优先于一般法的原理,应当优先适用《个人信息保护法》第69条的规定。(9)参见程啸:《侵害个人信息权益的侵权责任》,载《中国法律评论》2021年第5期,第69页;彭诚信、许素敏:《侵害个人信息权益精神损害赔偿的制度建构》,载《南京社会科学》2022年第3期,第89页。对此,笔者无法赞同,理由有三点:一是《个人信息保护法》第69条第1款并未将侵害个人信息权益的责任局限于损害赔偿,在没有达到“造成严重精神损害”的程度下,侵权人也可能承担其他侵权责任,故而第69条第1款没有限定“造成严重精神损失”具有合理性,但此并不能当然认定《个人信息保护法》第69条第1款规定了侵害个人信息权益的损害赔偿不需要以“造成严重精神损失”为要件;二是通常来说,损失仅指财产损失,(10)参见杨立新:《侵害个人信息权益损害赔偿的规则与适用》,载《上海政法学院学报》2022年第1期,第13页。将《个人信息保护法》第69条中的损失解释成既包括财产损失又包括精神损害,突破了对损失的一般理解,有强行解释之嫌;三是条文中没有规定需要“造成严重精神损害”并不能当然代表法律适用上的精神损害赔偿不需要以“造成严重精神损害”为条件。一个明显的例证是《日本民法典》第709条、第710条对于精神损害的赔偿在法典中并未以“造成严重精神损害”为要件,但是在日本法院的实际判例(包括个人信息案件)中,依然采用超过社会一般观念的容忍限度作为判断要件。(11)参见大阪高等裁判所平成29(ネ)第2612号民事判决书、最高裁判所昭和61年(オ)第329号民事判决书。与此类似的是,中国主张侵害个人信息权益的精神损害赔偿不应以“造成严重精神损害”为要件的学者,也认为并不是对所有的侵害个人信息权益的行为都能主张精神损害赔偿。(12)参见彭诚信、许素敏:《侵害个人信息权益精神损害赔偿的制度建构》,载《南京社会科学》2022年第3期,第91页。

(二)侵害个人信息权益的财产损害赔偿应以商业化利用为前提

损害赔偿请求权的成立以被侵权人受有损害为前提。对于损害概念的界定,学界有差额说、组织说、规范说等不同的观点,但差额说占据主流地位。(13)所谓差额说,即被害人的总财产状况于有损害事故发生与无损害事故发生下所产生之差额,差额说以财产损失的实际发生为依据,在当事人受有损害但是并未实际产生财产损失的情况下,即认为被侵权人并未有损失的产生,在此情况下,对于当事人的侵权行为所产生的损害,被侵权人无法请求相应的损害赔偿。具体可参见曾世雄:《损害赔偿法原理》,中国政法大学出版社2001年版,第119页;陈聪富:《人身侵害之损害概念》,载《台大法学论丛》2005年第1期,第50页;王泽鉴:《损害概念及损害分类》,载《月旦法学杂志》2005年第124期,第203-204页;徐建刚:《〈民法典〉背景下损害概念渊流论》,载《财经法学》2021年第2期,第31页。由于个人信息无形性、可复制的特点,单纯的侵犯个人信息权益本身并不会导致个人财产的减少。因而,在差额说下,被侵权人很难获得赔偿。(14)参见丁宇翔:《个人信息民事司法保护的难点及破解路径》,载《中国审判》2019年第19期,第94页。但难以获得赔偿并不代表不需要赔偿。传统意义上的人格权损害也很难获得赔偿,但随着科技的发展,某些人格权,如姓名、肖像、声音的财产价值被不断地发掘出来。为保护人格中的财产性权益,美国法创造了公开权以保护人格特征所体现的财产价值,日本继受美国法上的公开权,创造了商品化权,德国则肯认人格权具有精神利益及财产利益两种内容。(15)参见王泽鉴:《人格权法》,北京大学出版社2013年版,第452页。中国法上,对于人格权侵害是否能够请求财产损害赔偿也存在争议,但是《民法典》第1182条承认了人身权益的财产性。笔者认为,现有对于侵害个人信息权益损害赔偿的争议忽视了个人信息利用场景的多样性,对于侵害个人信息权益的损害赔偿应当根据具体的利用情形进行具体的判断。因而,笔者主张判定侵害个人信息权益能否请求损害赔偿时,应当从个人信息的商品化利用情况着手,若个人信息的损害是因为在未经过权利人允许的情况下被进行商业化利用,被侵权人可以请求损害赔偿,反之,则不能请求损害赔偿。具体理由如下。

首先,以商业化利用为基础来判断侵害个人信息权益的损害赔偿符合人格权财产化的发展路径。人格权中的经济利益以及商业化利用权或公开权的创立的本质在于:科学技术的发展使得原本难以被记录和传播的人格信息具有了被大量商业化利用的可能,而在人格信息被大量商业化利用后,其所产生的巨大价值导致人格权的商业价值具有被保护的必要。人格权本身所包含的人格利益,使得人格权在被商业化利用之时需征得人格权人的同意,因而,此种财产权利的归属由人格权人享有。人格权财产化的此种发展路径为侵害个人信息权益损害赔偿提供了借鉴对象。且在人格权领域,尽管必须承认并非只有名人的人格权才有财产价值,但无法否认,名人人格权一般来说能产生更大的财产价值,也更加容易得到法院的支持。(16)参见刘金瑞:《个人信息与权利配置——个人信息自决权的反思和出路》,法律出版社2017年版,第185页。名人人格权之所以更具价值的关键在于其商业化利用的概率更大,一旦涉及到侵权,便可能导致财产的损失。在人格权侵权中,对于当事人的损害赔偿的支持,除实际支出的损失外,也一般以是否可商业化利用作为依据。同样,个人信息权益属于人格权益的范畴,与既有的人格权财产化路径理应具有一致的基础。且从个人信息权益的规定来看,虽然理论界对于个人信息能否商业化利用存在争议,甚至有不少学者反对个人信息的商业化利用,(17)参见张新宝:《论个人信息权益的构造》,载《中外法学》2021年第5期,第1155-1156页。但只要不违背法律规定和社会公序良俗,就不应限制个人信息的商业化利用。比较法上对个人信息的商业化利用也有先例。(18)参见王锡锌:《个人信息权益的三层构造及保护机制》,载《现代法学》2021年第5期,第116页。

其次,以商业化利用作为侵害个人信息权益损害赔偿的基础符合中国当前个人信息的保护现状。从个人信息的保护现状来说,现有情形下,个人信息的类型多样且在不同的场景下,个人信息的保护呈现不同的状况。完全根据个人信息类型来界定侵害个人信息权益损害赔偿并不具备相应的基础,且在多数情况下,对个人信息的侵犯也并不意味着经济上的损失。因而需要以个人信息的商业化利用来判断是否需要对侵害个人信息权益进行损害赔偿,其理由主要有以下三点:一是以商业化利用作为个人信息的保护基础,符合个人信息的特点。正如前述,个人信息是否具有价值,哪些个人信息具有价值,都处于一个飘忽不定的状况。个人信息的价值并不由个人信息本身决定,而由个人信息的利用方式决定。个人信息具有经济价值的基础并不在于个人信息本身,而在于个人信息是否得到了商业化的利用,其本身具备的经济价值只有通过商业化利用才能显现出来。因此,以个人信息的商业化利用作为信息保护的基础符合个人信息财产保护的原理。二是以商业化利用作为侵害个人信息权益损害赔偿的基础符合中国当前个人信息收集的现状。尽管现有条件下对于个人信息的价值可能无法很好地用金钱进行评价,但在正常情况下,个人信息的主体并不会随意地答应信息处理者收集其个人信息,个人信息主体允许信息处理者处理个人信息,必然存在着相应的理由。信息处理者也会付出相应的对价,如数据企业等个人信息处理者收集个人信息或数据需要支付一定的对价。(19)参见程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第118页。如果允许个人信息被以商业化利用为目的地收集,尽管从表面来看,个人信息主体可能暂时没有受到损害,但从长远来看,可能会导致众多的个人信息处理者不再愿意支付对价来收集信息,个人信息主体会实实在在地受到损害。三是以商业化利用作为侵害个人信息权益损害赔偿的基础能在现行法上找到切实的依据。对于侵害人身权益的损害赔偿,其理论基础除被侵权人的损害外,还包括侵权人的不当得利。在侵害个人信息权益的案件中,对于侵害个人信息权益是否导致被侵权人受到损失存在证明上的难题,而在商业化利用的情形下,不仅当事人损失的证明难度会降低,侵权人的不当得利也能得到更加充分的展现。

最后,以商业化利用作为侵害个人信息权益损害赔偿的基础是个人信息多元利益价值的最佳平衡。个人信息不仅承载着经济价值,也承载着社会价值,对于个人信息的保护不仅要保护被侵权人的合法权益,也要保护社会的言论自由。(20)Craig D. Tindall, Argus Rules: The Commercialization of Personal Information, University of Illinois Journal of Law, Technology &Policy, Vol. 2003: 181, p.191(2003).既要做到权益保护又要防止保护过度而阻碍信息的正常流通。(21)参见周汉华:《个人信息保护的法律定位》,载《法商研究》2020年第3期,第50页。侵权损害赔偿中,禁止得利是损害赔偿法的基本原则。个人信息仅有在商业化利用的场景下才有获利的可能,侵权人将个人信息进行商业化利用事实上是剥夺了被侵权人将个人信息进行商业化利用的可能。因而以商业化利用作为基础,可以防止侵权人的不当得利。同时,也能允许不以商业化利用为目的的个人信息在社会中进行正常的流通,满足社会对于信息流通的要求。

二、侵害个人信息权益的类型及损害赔偿责任的承担

侵害个人信息权益的损害赔偿主要解决三个问题:一是如何认定个人信息侵权;二是责任的承担,特别是在多数人侵权的情况下,侵权人之间如何分担损害赔偿责任;三是基于个人信息的无形性,如何计算具体的损害赔偿数额。上文已经论证了如何认定个人信息侵权的问题,下文将在对现有侵害个人信息权益的类型进行分析的基础上,探讨侵害个人信息权益的损害赔偿责任的承担问题。

(一)侵害个人信息权益的类型

侵害个人信息权益的行为可分为作为的侵害个人信息权益的行为、不作为的侵害个人信息权益的行为以及作为与不作为相结合的侵害个人信息权益的行为。

在作为的侵害个人信息权益的行为中,作为的侵害个人信息权益的行为又可以细分为两种。第一种是个人信息处理者通过非法收集等手段直接侵害自然人的个人信息权益。如对《个人信息保护法》第13条规定的需要取得个人同意才能处理的个人信息,个人信息处理者在未经过个人同意的情况下就进行处理。第二种是在个人信息处理者通过合法手段处理个人信息的情况下,侵权人通过非法侵入等手段,侵害个人信息处理者处理的个人信息。如侵入到他人的计算机系统获取个人信息。另外,在作为的侵害个人信息权益的行为中,侵权人既可以是一人,也可以是数人。

在不作为的侵害个人信息权益的行为中,不作为的侵害个人信息权益的行为主要源于处理个人信息的信息处理者的疏忽或者其他过错导致其处理的个人信息泄露。具体表现为单纯的个人信息处理者处理的信息泄露。在不作为的侵害个人信息权益的场景下,因只涉及个人信息泄露,没有涉及到个人信息的商业化利用,其赔偿主要也是被侵权人的精神损害赔偿。

在作为与不作为相结合的侵害个人信息权益的行为中,作为与不作为相结合侵害个人信息权益的情形则表现为个人信息处理者处理的信息泄露并被第三人积极利用的情形。此处的信息泄露,既可以是个人信息处理者因自己的疏忽或者其他过错导致的个人信息泄露,也可以是个人信息处理者的过错与第三人积极作为相结合而导致的个人信息泄露。在个人信息处理者处理的信息泄露并被第三人积极利用的情况下,涉及到个人信息处理者与第三人之间的责任分担问题,特别是信息处理者应当承担的责任形态问题。有学者主张,应当在信息的收集、持有和共享阶段规定信息的收集人、持有人和共享人的信息安全保障义务。(22)参见王利明:《数据共享与个人信息保护》,载《现代法学》2019年第1期,第56页。也有学者认为应当设置信息处理者的信息安全保障义务,一旦信息泄露,由信息泄露者承担补充责任。(23)参见刘迎霜:《大数据时代个人信息保护再思考》,载《社会科学》2019年第3期,第108页;解正山:《数据泄露损害问题研究》,载《清华法学》2020年第4期,第148页。还有学者认为《民法典》第111条已经确立了数据控制者的安全保障义务。(24)参见叶名怡:《个人信息的侵权法保护》,载《法学研究》2018年第4期,第90页。因而,在信息泄露情况下,如何认定侵权主体的责任问题至关重要。

(二)侵害个人信息权益损害赔偿责任的承担

在侵害个人信息权益的情形中,如果侵权主体只有一人,则由侵权人承担侵权责任,其具体的责任形态根据具体的侵权行为进行判定,学界对此并无争议;但涉及到多个侵权主体时,侵权主体之间如何分担责任便成为一个难题。多数人侵权涉及到的责任形态有按份责任、连带责任和补充责任三种。其中补充责任属于一种特殊的责任形态,是在负有安全保障义务的责任主体未履行安全保障义务时承担的责任。不少学者认为,应当将补充责任纳入侵害个人信息权益的损害赔偿的责任认定之中。笔者认为,在侵害个人信息权益中个人信息处理者承担的保障信息安全的义务并不是民法上的安全保障义务,侵权人的损害赔偿责任应当根据具体的情形进行判定。

1.侵害个人信息权益中补充责任之证伪

前已述及,众多学者主张应当赋予信息处理者安全保障义务,当个人信息处理者未履行安全保障义务时,其承担补充责任。此处的安全保障义务是否为《民法典》第1198条所涵盖的安全保障义务?笔者对此持否定态度。如若个人信息处理者承担民法上的安全保障义务则与安全保障义务的法律规定不符。

安全保障义务起源于德国的往来义务,最初是为了弥补德国法上不作为侵权不能归责而产生的。在中国,因为“银河宾馆案”“五月花案”等案件的发生而对经营者的安全保障义务进行过深入的探讨。最终,原《中华人民共和国侵权责任法》(简称《侵权责任法》)第37条确立了安全保障义务。在立法确立了安全保障义务后,对于安全保障义务的法律适用问题,理论界存在适用领域说、行为模式说、主观过错说等多种观点。主张适用领域说的学者认为,《民法典》第1198条的安全保障义务的主体应当限制在经营性场所和公共活动的组织者。(25)参见梁慧星:《读条文,学民法》,人民法院出版社2014年版,第369-370页。主张行为模式说的学者认为对于安全保障义务的补充责任的适用应根据侵权行为人的行为进行相应的区分。安全保障义务人承担安全保障义务的原因在于其实行的是不作为侵权。(26)参见张新宝、唐青林:《经营者对服务场所的安全保障义务》,载《法学研究》2003年第3期,第91页;王竹:《侵权责任分担论——侵权损害赔偿责任数人分担的一般理论》,中国人民大学出版社2009年版,第185页;郑志峰:《竞合侵权行为理论的反思与重构——与杨立新教授商榷》,载《政治与法律》2015年第8期,第122页。主张主观过错说的学者认为在第三人介入的情况下,应当根据当事人的主观意志的不同,对当事人的法律责任进行相应的区分。(27)参见李中原:《论违反安全保障义务的补充责任制度》,载《中外法学》2014年第3期,第692-693页;孙维飞:《论安全保障义务人相应的补充责任——以〈侵权责任法〉第12条和第37条第2款的关系为中心》,载《东方法学》2014年第3期,第45页。但上述模式均存在问题。从安全保障义务的司法实践来看,安全保障义务经由实践中的不断发展,最终不断地本土化。尽管理论上对于安全保障义务的适用不无争议,但实践中已经由法官创造了一套独立的适用规则,即安全保障义务人承担补充责任的基础在于其有过错但不具备相当因果关系。此种适用方式也能调和《民法典》第1198条第2款与第1171条、第1172条、第1175条在法律适用上的冲突。(28)对于安全保障义务的法律适用问题,笔者曾有论文进行过专门论述。参见龙松熊:《比例原则视野下安全保障义务的法律适用——兼谈两起老虎吃人案的损害赔偿问题》,载李曙光主编:《法大研究生(2017年第2辑)》,中国政法大学出版社2017年版,第411-412页。个人信息处理者安全保障义务的适用场景是个人信息泄露又被第三人适用的情形。但在个人信息处理者泄露的信息被第三人利用并造成被侵权人相应损害的情况下,往往对信息来源存在证明困难,并不存在有联系但不存在因果关系的情况。且根据《民法典》第1198条第2款的规定,安全保障义务的责任主体必须是经营场所、公共场所的经营者、管理者或者群众性活动的组织者,而个人信息处理者通常并不具备此身份。(29)在司法实践中,已有案例认为信息处理者承担的是安全保障义务。如在“申瑾与支付宝(中国)网络技术有限公司等侵权纠纷案”中,法院认为网络空间可以被解释为原《侵权责任法》第37条第2款中的公共场所,因而认为信息的收集者、控制者对于信息泄露应当承担安全保障义务,参见北京市朝阳区人民法院(2018)京0105民初36658号民事判决书。但笔者认为,安全保障义务向网络空间的扩展,不仅与立法者的立法目的不符,也与后续因果关系的判断存在功能重复,且要求信息泄露者承担绝对的安全保障义务,在网络环境下,将会给信息处理者增加沉重的民事负担,引发新的不公平。因而,安全保障义务的适用范围不能也不应向网络空间拓展。因而此处的安全保障义务应理解为是保障个人信息安全的义务,而并不是《民法典》所规定的安全保障义务。故在信息泄露中,信息泄露者所承担的也自然不是安全保障义务所对应的补充责任。

2.侵害个人信息权益中连带责任的适用情形

侵权责任的承担受侵权人的主观状态和原因力的双重影响。除政策性连带外,只有在侵权人主观上具有极大的可惩罚性或客观上单一行为即可以引起损害发生的情况下,侵权人之间才需要承担连带责任。具体到中国,其请求权基础为《民法典》第1168条、第1169条、第1170条和第1171条。在作为的侵害个人信息权益的情形中,如果存在多数人侵权的情况,且符合法律的规定,则应当根据侵权责任的具体形态确定侵权人的责任。在作为与不作为相结合的侵害个人信息权益的情形中,主要涉及《民法典》第1168条和第1171条。理论上,对于《民法典》第1168条中的“共同”存在着主客观共同说和主观共同说等多种观点。但从《民法典》的体系来看,《民法典》第1168条规定的共同应当仅限于共同故意。(30)参见程啸:《侵权责任法》(第3版),法律出版社2021年版,第384页。因而,从主观上看,只有在因个人信息处理者对于个人信息的泄露主观上为故意的情况下,个人信息泄露者才需要承担连带责任。《民法典》第1171条对侵权人之间因原因力的原因承担的侵权责任进行了相应的规定。根据学界通说,《民法典》第1171条中侵权人之间承担连带责任的基础在于,每个人的行为都足以造成相应的损害。而在个人信息泄露中,单纯的个人信息泄露并不足以导致侵权结果的发生。因而,对于侵害个人信息权益的损害赔偿,从原因力的角度来说,无法令信息泄露者承担连带责任。

3.侵害个人信息权益中按份责任的适用情形

在连带责任无法普遍适用的情况下,在侵害个人信息权益的情形中,对于按份责任主要能够应用的请求权基础是《民法典》第1172条。《民法典》第1172条规定:“二人以上分别实施侵权行为造成同一损害,能够确定责任大小的,各自承担相应的责任;难以确定责任大小的,平均承担责任。”在作为的侵害个人信息权益的情形中,如果侵权主体为多数且满足第1172条的规定,则应当按照第1172条的规定承担按份责任。在作为与不作为相结合的侵害个人信息权益的行为中,其主要表现为泄露的个人信息被第三人利用,给被侵权人造成相应的损害,从表面的效果上来看,似乎满足《民法典》第1172条的构成要件。但是在个人信息泄露的情况下,信息泄露与损害发生之间的因果关系存在着相应的疑问。在被侵权人证明信息泄露来源于信息泄露者的情况下,信息泄露者是否就必然需要承担相应的责任?这需要对信息泄露与损害发生之间是否存在因果关系进行相应的考量。当前,中国对于因果关系的判断采取的是相当因果关系,但个人信息的泄露与损害的发生并不一定具备相当因果关系。(31)参见徐明:《大数据时代的隐私危机及其侵权法应对》,载《中国法学》2017年第1期,第147页。如实践中有法院认为,个人信息泄露案件中,被侵权人被诈骗的原因在于被侵权人自身安全防范意识问题。(32)参见“刘某某与昆明某某航空运输服务有限公司、云南某某航空有限责任公司、北京某某信息技术有限公司财产损害赔偿纠纷案”,云南省昆明市盘龙区人民法院(2015)盘法民初字第936号民事判决书。因此,对于信息泄露与损害发生之间是否存在因果关系不能一概而论,而应当在实践中,根据泄露的信息的精确度和具体的环境来进行认定。

三、侵害个人信息权益损害赔偿数额的计算

在确认侵权人应当承担侵害个人信息权益的侵权责任后,涉及的另一个问题是侵权损害赔偿数额的计算。《个人信息保护法》第69条第2款对侵害个人信息权益的损害赔偿数额进行了规定。根据该条规定,在能够确定被侵权人损失或者侵权人获利的情况下,按照被侵权人的损失或者侵权人的获利进行赔偿;在被侵权人的损失或者侵权人的获利难以确定的情况下,按照实际情况确定。但《个人信息保护法》第69条所确立的损害赔偿计算规则在理论与实践中备受争议,需要进一步完善。

(一)当前中国侵害个人信息权益损害赔偿计算规则的不足

对于物或人身的损害,尽管计算标准存在争议,但是至少具备统一认定的可能。而对于非实体性的人格权益损害,在绝大多数情况下仅能依靠法官的自由裁量。在《个人信息保护法》颁布之前,对于侵害个人信息权益的损害赔偿的计算,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第2款规定:“被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”《个人信息保护法》颁布后,从《个人信息保护法》第69条的规定来看,中国立法上对于侵害个人信息权益损害赔偿中具体数额的计算,采取自由裁量的模式。但此种绝对自由裁量模式存在严重的不足。

一方面,《个人信息保护法》第69条采取的自由裁量模式赋予法官过大的裁量权,不利于产业发展和司法审判。《个人信息保护法》第69条在财产损害赔偿的计算上,没有统一的标准,而是试图通过对被侵权人的损害、侵权人的获利或者法院的估算三种方式来计算赔偿数额。但此种自由裁量模式并不利于产业的发展和司法审判。对产业发展来说,个人信息处理者对于自身的风险需要有基本的预期。而在被侵权人损失和侵权人获利无法明确的情况下,《个人信息保护法》第69条将损害赔偿数额的计算交由法官,无法满足个人信息处理者对侵权损害赔偿的预期。对法官来说,《个人信息保护法》第69条确立的自由裁量模式导致法官只能凭借自身的经验和感觉进行断案,缺乏可依据的标准。而个人信息本身又具有无形性,容易导致同案不同判甚至差距悬殊。

另一方面,《个人信息保护法》第69条并未确立赔偿的上限,一旦发生个人信息泄露等数据侵权案件,侵权人难以承受相应的损害赔偿。在小规模侵权中,《个人信息保护法》第69条采用的计算模式因为涉及的损害赔偿数额有限,通常不会对产业的发展产生太大影响。但个人信息具有无形性的特征,个人信息的价值在于信息的大量存储,在大量存储信息的情况下,可能发生大规模的个人信息泄露。一旦发生大规模个人信息泄露,在现有模式下将会产生数额巨大的赔偿。与此相反,中国台湾地区“个人资料保护法”第28条采用了三分的进路,先是规定了当事人无法证明自己损失时,法院裁量的损失在新台币500元以上至20 000元以下;然后规定同一事件造成多数人损害的,赔偿总额以新台币2亿元为限,但所涉利益超过新台币2亿元者,以所涉金额为限;最后规定如果所涉利益超过新台币2亿元者,单个人的最低赔偿额可以不受新台币500元的限制。这些都可以说是采取限定赔偿数额的模式。在《个人信息保护法》的立法过程中,曾经也有过限定赔偿数额的立法建议,但最终未被采纳。(33)参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第521-522页。

综上,为弥补《个人信息保护法》第69条存在的不足,需要解决侵害个人信息权益计算上的不确定性和损害赔偿限额两大问题。其中的难点又在于个人信息权益计算规则中的确定性问题。从比较法来看,为应对这一问题,日本对损害赔偿数额的计算制定了相应的模式,对中国具有极大的借鉴意义。下文将在对日本侵害个人信息权益损害赔偿计算模型进行介绍分析的基础上,对中国侵害个人信息权益损害赔偿的计算提出建议。

(二)日本侵害个人信息权益损害赔偿计算模型之考察

为让个人信息处理者更好地把握处理个人信息的风险,了解个人信息泄露损害赔偿的数额,也为给保险机构的风险评估提供支持。日本网络安全协会(Japan Network Security Association,简称JNSA)通过对日本侵害个人信息权益损害赔偿案件的观察、分析和总结,对个人信息泄露的损害赔偿数额提出了一个基本的计算公式——JO模型。在JO模型中,个人信息权益的损害赔偿数额由泄露的个人信息的价值、泄露信息主体的社会责任度以及事后应对措施的评价三个部分组成。用公式表示为:损害赔偿数额=(个人信息的价值)×(泄露信息主体的社会责任度)×(事后应对措施的评价)

1.个人信息的价值

不同的个人信息的泄露所造成的经济损失和精神痛苦存在区别,为此,JNSA将个人信息分成基本信息、经济信息和隐私信息三类。基本信息的泄露造成的经济损失和精神痛苦处于最低的程度,而经济信息的泄露会带来更大的经济损失,隐私信息的泄露会给被侵权人造成更大的精神痛苦。与此相对,个人信息的价值由基础信息价值、细微信息度和本人特定容易度三个部分组成。用公式表示为:个人信息的价值=(基础信息价值)×(细微信息度)×(本人特定容易度)

基础信息的价值为固定的500日元,是一个不变的基数。(34)参见《2018年情報セキュリティインシデントに関する調査報告書》,载JNSA,https://www.jnsa.org/result/incident/data/2017incident_survey_sokuhou_attachment_ver1.0.pdf。而细微信息度是一个变化的标准,根据信息的不同类型,信息导致的经济损失和精神痛苦也不同。对于可能被泄露的信息,JNSA在研究中将个人信息的类型进行了具体化的规定,其对应关系如表1所示。(35)此表格系笔者根据JNSA在《2018年情報セキュリティインシデントに関する調査報告書》中的表格翻译而来。

针对表1所表示的不同信息,JNSA通过分析,得出了细微信息度的具体计算公式:细微信息度=(10X-1+5Y-1),其中X表示精神痛苦程度,Y表示经济损失程度。(36)参见《2018年情報セキュリティインシデントに関する調査報告書》,载JNSA,https://www.jnsa.org/result/incident/data/2017incident_survey_sokuhou_attachment_ver1.0.pdf。如果一次信息泄露事故中存在多个信息泄露,则分别取X、Y的最大值。例如,在同一事件中,同时泄露了护照信息(1,2)和信仰(3,1),在损害赔偿数额计算的时候,X、Y分别取3、2。

本人特定容易度主要是根据泄露的信息对于识别本人的难易程度来进行考量。具体来说分为简单就可能特定个人、需要花费代价来特定个人以及上述信息以外的难以特定个人的信息,具体如表2所示。

表2 本人特定容易度计算表

2.信息泄露主体的社会责任

JNSA将信息泄露主体的社会责任分为一般社会责任和高度社会责任,而一般社会责任和高度社会责任在社会责任度的数值上存在差异。总体来说,医疗、金融·信用、信息通信等特定行业,政府机关等公共服务部门以及知名度高的大企业承担高度社会责任,而其他普通的企业、团体和组织承担一般社会责任,具体如表3所示。

表3 社会责任度计算表

3.事后应对措施的评价

事后应对措施分为采取了合理的应对措施、没有采取合理的应对措施以及不明确是否采取了合理的应对措施三类,这三类分别对应不同的数值,具体如表4所示。其中值得说明的是,在评价的效果上,JNSA对采取了合理的应对措施和不明确是否采取了合理的应对措施进行同等的评价。

表4 事后应对措施的评价计算表

总体来说,通过不同的信息类型及其与个人之间的关系来判断个人信息的价值,并确定具体的计算公式,计算出固定的赔偿数额(简称固定赔偿数额模式),这对于难以计算的信息损害赔偿数额而言属于一种非常有益的尝试。日本固定赔偿数额模式的优势在于其赔偿数额的固定性和可计算性,既能够防止法官的恣意判断,使得个人信息处理者在个人信息处理中预估自身风险,方便采取相应的风险预防措施和进行保险,且在受害主体范围广泛的情况下,固定赔偿数额模式能够大致统一赔偿数额,对于维护社会稳定具有极大的裨益。同时,也为个人信息保险业务的开展提供了技术前提。但此种模式也存在不足。首先,日本固定赔偿数额模式所依靠的JO模型本身存在不足。JO模型所依赖的数据来源于实践,需要根据实践的发展不断完善。在部分案件中,依靠JO模型计算出来的损害赔偿结果与法院的实际判决存在巨大差异,(37)石川朝久=櫻井幸一「個人情報漏洩補償に関するー検討」コンピュータセキュリティシンポジウム2014論文集2014巻2号(2014年)1189頁参照;山田道洋=菊池浩明=松山直樹=乾孝治「個人情報漏洩の損害額の新数理モデルの提案」情報処理学会論文誌60巻9号(2019年)4頁参照。在日本司法判决中也极少直接使用JO模型计算损害赔偿数额。(38)笔者于2021年12月3日在日本裁判所网站上以“個人情報”为关键词,搜索到745个案例,发现其中涉及到侵害个人信息权益损害赔偿的案件,无一采用固定赔偿数额模式的做法。其次,日本固定赔偿数额模式没有合理地实现个人与企业数据之间的平衡。JO模型采用的固定赔偿数额模式隐含的一个大前提是所有的个人信息损害都需要赔偿。而实践中个人信息泄露涉及到的主体众多,如果采用统一的计算模式,在信息泄露影响到的主体较多的情况下,数据企业特别是数据创新企业可能不堪重负。(39)在日本一旦发生信息泄露事件,大多数企业会选择给予被泄露信息的当事人一定的优惠券,以达成相应的和解。中山布纱「個人識別情報の漏えいによる不法行為の成否——ベネッセコーポレーション個人情報漏えい損害賠償請求事件——(最高裁平成29年10月23日判決判タ1442号46頁)」,立命館法学X巻4号(2018年)279頁参照。最后,JO模型采取的固定赔偿数额模式忽视了侵权人侵害个人信息权益的主观状态。由于个人所处的社会地位和社会环境的不同,对于侵害个人信息权益造成的损害,也应当因人而异,在侵害个人信息权益造成财产损失的情况下,其可以不考虑侵权人的主观状态,但是在精神损失的计算上,侵权人本身的主观状态应是一个重要的考量因素。JO模型采取的固定赔偿数额模式对于精神损害赔偿根据既有的公式进行统一计算,尽管在计算公式中加入了对事后应对措施的评价作为衡量标准,但侵权人在侵权时的主观状态却无法在损害赔偿的数额上得到体现。(40)尽管在《个人信息保护法》中引入了公法对个人信息处理者的规制,但是依然无法否认:在民事领域,特别是在个人信息泄露之时,个人信息处理者的主观过错存在不同。

(三)中国侵害个人信息权益损害赔偿计算的应然路径

如上所述,日本提出的固定赔偿数额模式存在不足。但在大规模侵权中,因被侵权主体具有广泛性,固定赔偿数额模式统一、确定的赔偿数额的合理性深值思考。在《个人信息保护法》第69条对损害赔偿数额采取自由裁量的模式下,固定赔偿数额模式在当前计算侵害个人信息权益损害赔偿具体数额时依然具有极大的参考价值。值得注意的是,虽然侵害个人信息权益损害赔偿属于全世界共同面对的问题,且存在着一定的共性,但侵害个人信息权益损害赔偿侵害数额的计算与本国的经济发展水平和个人信息的保护实践紧密相关,日本的JO模型只是在中国尚未建立自己的计算模型的情况下,提供一种对可能造成的损害赔偿进行估算的方式,主要用于参考,并不能当然地适用于中国,对计算的结果需要进行调整。具体来说,对于JO模型计算的结果可以作如下调整。

一是调整损害赔偿的基础数额。JO模型建立的数据来源于日本的司法实践,其基础是日本的经济社会发展水平和日本的司法裁判习惯。因而,在具体的赔偿数额的计算上,其更多地适合于日本。在中国侵害个人信息权益损害赔偿计算公式尚未建立的情况下,可以暂时借用日本的JO模型,但是在计算具体的赔偿数额时,可以由法官根据中国当前的经济发展水平进行调整,JO模型计算出来的结果可以成为一个参考依据,便于法官根据相关的计算结果对损害赔偿数额进行裁量,防止类似案件中因为法官对于损害赔偿数额的裁量权导致赔偿数额差距过于悬殊。

二是根据案情适当区分不同主体的损害赔偿的数额。在JO模型下,在泄露相同的个人信息的情况下,所产生的损害赔偿的数额也是固定的。在大规模的信息泄露的情况下,通常损害赔偿的数额是统一确定的,但并没有排除在特殊情况下进行调整的可能性,特别是JO模型没有区分泄露的个人信息的数量,因而,在具体的个案中完全具有调整的必要和合理性基础。

三是设定侵害个人信息权益损害赔偿的上限,正如上文所述,在侵害个人信息权益的情况下,如果采用固定赔偿数额模式,若涉及数量主体巨大,可能会给泄露信息的企业造成巨大的压力,特别是当下对于损害赔偿的数额,很难有证据证明损害已经发生,因而设定一个损害赔偿的上限具有充分的必要性。中国台湾地区对于赔偿数额的规定值得借鉴。

四、结语

《个人信息保护法》的出台是中国个人信息保护的里程碑。但随着人工智能和大数据的发展,围绕个人信息保护所引发的民事案件,在可预见的将来依然会不断增多。尽管与传统人格权相比,个人信息权益存在特殊性,但仍应遵循民法的基本规则。具体到侵害个人信息权益损害赔偿领域,侵害个人信息权益的精神损害赔偿,在当下和将来都应当坚持以“造成严重精神损害”为要件;对于作为的侵害个人信息权益的财产损害赔偿,应当以商业化利用为依据;对于不作为的侵害个人信息权益行为,信息处理者承担的安全保障义务并非《民法典》的安全保障义务。信息处理者非故意的情况下,其是否承担按份责任应当根据信息泄露的精确度和具体情况来判定。在损害赔偿的数额上,日本的JO模型对中国具有参考意义。中国也应当根据自己的司法裁判实际,建立中国的损害赔偿计算模型,这不仅可为中国的司法审判提供方便,也可为中国侵害个人信息权益损害赔偿商业保险制度提供技术支持。