王大志 张 挺

(杭州师范大学沈钧儒法学院 杭州 311121)

在数字化转型时代,随着个人信息价值的不断提高,个人信息的安全风险也与日俱增[1],个人信息逐渐以数字化的形式呈现,个人信息保护也面临新的风险与挑战[2].在此背景下,个人信息侵权行为会造成更大的个人信息安全风险.在我国现行侵权法的赔偿模式下,个人信息泄露造成的损害难以科学量化,并难以得到完全弥补,即使个人信息主体的损害赔偿请求得到法院的支持,但因个人信息泄露所造成的个人信息高风险状态也无法恢复至原态.鉴于此,对如何将个人信息风险纳入我国侵权法保护体系以及对个人信息风险损害进行识别进行讨论具有必要性.传统语境下的损害以“确定性”为基础.然而,个人信息泄露所造成的损害风险具有复杂性、难预测性、潜在性.在司法实践中若不能正确认识损害“确定性”之本质,则不能有效保护信息主体的个人信息权益.故如何将个人信息风险损害引入我国的侵权损害评价体系,需要合理利用法律解释的方法加以讨论.

1 个人信息风险作为损害的困境及转向

本文收集了聚法案例网中2021年1月至2023年12月生效的以个人信息保护纠纷为案由的民事判决文书155份,并对其进行实证分析.其中:2021年的案件共64件,占比41.29%;2022年的案件共73件,占比47.1%;2023年共18件,占比11.61%.进一步对155个案件进行筛选,其中有1个案件庭前达成和解,故得到154份有效的民事判决书.从程序来看:一审案件114件,占比74.03%;二审案件40件,占比25.97%.

1.1 判决结果

一审裁判中,被法院驳回诉讼请求的案件共89件,占比78.07%,法院判决全部或部分支持当事人诉讼请求的共21件,占比18.42%,撤销的共4件,占比3.51%.二审裁判中,法院判决驳回上诉,维持原判决的共29件,占比72.5%;判决撤销其裁判结果的共6件,占比17.5%;法院变更一审裁判结果改判或部分改判的共5件,占比12.5%.

1.2 个人信息损害认定情况

本文通过对该154件案件判决中的具体损害认定情况进行统计分析,得出以下结论:

1) 精神损害认定困难.

“精神损害是指受害人在人格权或者其他权利受到侵害后,所遭受的精神、生理痛苦以及其他负面情绪[3].”以当事人是否提出精神损害赔偿请求来划分:154个样本案件中,共有77件案件涉及精神损害赔偿,占比50%.以当事人是否获得精神损害赔偿为划分标准:77件案件中,获得法院支持或部分支持的共12件,占比15.58%,法院不予支持的共65件,占比84.42%.

通过分析未获得精神损害赔偿的原因可以发现,在65件精神损害未得到支持的案件中,法院认为其精神损害未达到严重性标准的共16件,占比24.61%;认为其证据不足以证明其精神受到损害的共39件,占比60%;认为被告行为不构成侵权的有8件,占比12.31%;认为原告对所受精神损害与有过失的1件,占比1.54%;认为实际损害未产生的1件,占比1.54%.

2) 财产损害认定困难.

以当事人是否提起财产损害赔偿为划分标准:154件个人信息纠纷案件中,当事人提起财产损害赔偿诉讼请求的共63件,占比41%.以当事人提起的财产损害是否得到法院支持为划分标准:63件案件中,当事人的财产损害赔偿诉讼请求得到法院支持的共24件,占比38.1%.财产诉讼请求未得到法院支持的共39件,占比61.9%.

通过分析未获得财产损害赔偿支持的原因可以发现:在39件财产损害未得到支持的案件中,因证据不足,原告无法承担证明的共30件,占比76.93%.法院认为原告财产损害与被告侵权行为之间无因果关系的1件,占比2.56%.法院认为损害后果未发生,不予支持财产损害赔偿请求的1件,占比2.56%.法院认为被告行为不构成侵权或其信息处理行为不构成侵权或未超过合理限度的共6件,占比15.39%.法院认为原告与被告之间未约定损害赔偿事项不支持原告损害赔偿请求的1件,占比2.56%.

1.3 损害赔偿认定困难的原因

通过实证分析得知,法院在对个人信息侵权损害赔偿作出支持与否的判决时,首先考虑的是个人信息主体是否遭受实际损害.在损害后果未发生的情况下,法院则以损害仍未发生为理由驳回原告损害赔偿的诉讼请求[4].即便法院肯定个人信息泄露后会对被侵权人的人格尊严、财产安全产生损害风险,被侵权人也难以提供相应的证据证明其损害.在精神损害方面,证据不足亦是阻碍被侵权人权利救济的主要成因,原告提出证据无法证明损害客观存在,法院难以支持其诉讼请求.另外,不满足“严重性”之标准也是被侵权人精神损害未得到支持的阻碍之一,下文将对造成此类司法现状的成因进行分析.

1.3.1 个人信息损害的特性

司法实务中个人信息纠纷案件会产生损害认定困难的原因之一是个人信息损害具有潜在性、难预测性、复杂性[5],3个特征呈递进关系互为因果.个人信息风险损害的潜在性是指其风险损害本身难以被信息主体所察觉.难预测性则体现在风险损害所产生的后果在何时发生、以何种形式发生,以及其后果的严重程度难以进行科学量化.若受害人以权利损害的未来风险为由提出损害赔偿请求,通常情况下难以得到法院支持.因其潜在性,个人信息损害具有难预测性,损害的潜在性与其后果的难预测性也决定了个人信息案件中损害认定的复杂性,因个人信息损害的潜在性与其损害后果的难预测性决定了对个人信息损害的认定是一个复杂的过程.因此,我国法院在司法实践中对个人信息风险损害大多持否定态度.

1.3.2 损害确定性之桎梏

1) 损害概念未明确.损害作为风险损害的上位概念,极少有法典对其定义作出明确解释.司法实践中,我国以具体分散的法定损害项目作为损害额的裁判标准,即法院在判断侵权案件的损害赔偿时只需要参照《民法典》中具体的责任类型作出相应的评价[6].这种损害评价体系虽然在司法实践中具有便利性,但是对于尚未被类型化的损害就会产生适用不能和损害难以认定等问题.《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第69条将损失作为个人信息侵权的前提,故在要解决个人信息风险构成损害这一问题时,仍需要对损害概念之构成进行解释.

2) 个人信息风险损害与损害确定性之间的矛盾.传统损害理论视角下,损害应当具有客观真实性与确定性,而风险损害作为一种无形的、潜在的损害,难以通过财产差额等形式表现出来,个人信息泄露后、下游损害发生之前,信息主体往往无法认知到信息泄露的事实,对个人信息的泄露范围及影响也处于未知状态,风险损害也因此遭到了诸如是信息主体臆想的、虚构的等声音质疑.信息主体在向法院提起诉讼时,法院往往以证据不足、损害尚未确定等原因驳回其诉讼请求.因此,如何调节个人信息风险损害与损害确定性之间的矛盾,理解损害确定性之内涵是下文将要探讨的一个重要问题.

1.3.3 严苛的精神损害标准

主张精神损害赔偿应当具备事实和后果2个构成要件.在个人信息纠纷案件中,原告往往很难证明自己遭受精神损害,更难以证明造成严重精神损害.司法实践中,证明“严重精神损害”需要证明有严重后果的产生.而在个人信息权益侵权案件中,被侵权人的精神损害通常表现为精神上的焦虑、担心、害怕、恐惧等,或者由于骚扰电话等造成生活上的不便,往往达不到“严重后果”的程度,很难被法院认定为精神损害的子类型[7],无法满足“严重精神损害”的构成要件,因此,以《中华人民共和国民法典》(以下简称《民法典》)第1183条为请求权基础主张精神损害赔偿在司法实践中诉求很难被满足.

2 个人信息风险损害之论争及基础

2.1 否定说

否定说认为,损害必须具有“确定性”,损害未发生则不能产生损害赔偿责任,即赔偿责任只有在个人信息遭到非法利用、实际损害已经发生时才会产生,具有个人信息侵权所产生的未来风险并不具有“确定性”,故不能被认定为损害[8].

2.2 肯定说

肯定说认为,损害是否已经发生不能作为判断损害确定性的唯一标准,在大数据时代背景下,应当将满足一定条件的风险认定为损害,此观点的核心内容为“实际性风险”说,即只有未来损害必将发生或者具有可能发生的高度盖然性时,才能构成损害.

2.3 折中说

折中说认为,个人信息风险本身就产生了一些实际性的损害,比如,个人信息主体因为个人信息泄露所产生的精神焦虑以及为了预防风险而产生的支出等.对此类损害进行救济应当是无争议的[9].但在关于能否将风险本身视为一种损害问题上,折中说态度模糊.

本文赞同肯定说之观点,个人信息风险损害作为一种尚未发生的损害,具有作为损害之合理性.司法实践中应当有条件地对个人信息风险损害进行认定,结合具体情况降低个人信息侵权案件的损害确定性标准,从而更好地发挥司法对个人信息合法权益的保护作用.

2.4 个人信息风险作为损害的合理性

2.4.1 理论基础

利益说认为,损害是指被害人因该特定损害事故所损害之利益,该项利益是指被害人之总财产状况,于有损害事故之发生与无损害事故下所生之差额,故也被称为差额说[10].差额说实质上是为损害的认定提供了一种计算方法,将损害作为一个计算数额上的大小,从而构建统一的损害概念.因差额说缺乏规范目的的法律评价,在依据差额未能确定损害的情况下,会造成不公正的后果,无法对受害人的合法权益进行合理的损害赔偿.本文认为损害的本质是指被害人受法律保护的合法利益所遭受的不利益.在个人信息泄露案件中,除被害人的财产损失与精神损害之外,其所面临的风险扩大的状态也应该被评价为一种不利益,此种不利益并没有表现为特定的财产损害后果,而是某种造成损害后果或者再次发生损害的可能性.

2.4.2 现实基础

“风险社会”理论由德国社会学家乌尔里希·贝克[11](Ulrichbeck)提出.工业时代,风险常伴随着环境损害概念出现,在大数据的时代背景下,个人信息安全无疑面临着同样的问题.个人信息侵权案件中的被告多为具有专业个人信息处理技术的企业和组织,而原告作为一个具有有限理性的个人,个人信息一旦被收集便完全脱离了个人信息主体的控制.原被告双方地位和力量的悬殊,导致原告在个人信息民事诉讼中处于弱势地位,很难承担个人信息损害的举证责任.传统的侵权责任体系已经难以平衡当事人之间的地位差距,有必要引入风险责任分配理论以完善侵权责任承担制度.

首先,个人信息的安全风险来源于信息处理者的信息处理活动,是产生风险的根源所在.其次,相较于信息个体,信息处理者拥有更多的自愿、技术、手段来控制风险.再者,信息处理者在个人信息处理活动中获得了更多利益,甚至依靠信息处理活动来获益,理应承担更多的风险责任[12].比较法上,欧盟的《一般数据条例》中存在很多体现风险观念的条款(第24条、第30条等).我国的个人信息保护立法活动已经朝着基于风险的方向进行探索与尝试.在侵权责任法方面亦应该将重点从事后保护转移到事前保护上.

2.4.3 矛盾化解:损害确定性理论之突破

风险损害实质上是一种未来损害.未来损害(future damages)这一概念起源于英美法系,首次使用于美国科罗拉多州法院Brafford诉Susquehanna公司一案[13]中.该案法院支持了原告“未来患癌风险”的损害赔偿诉求,在一定程度上突破了损害确定性理论.

在个人信息侵权案件中,关于损害确定性标准的学说大致可以分成以下4种:其一,传统的主流学说认为损害必须已经发生,损害必须是真实存在的,不能是主观臆想的、虚构的、尚未发生的现象,未发生的损害事实不具有可赔偿性.其二,损害发生的必然性说认为,损害同像实际损害一样未来必然发生的损害才具有确定性,可以获得法律上的救济,该学说在2022年《最高人民法院关于审理人身损害赔偿案件适用法律若干问题的解释》第19条第2款中被采用,在人身损害医疗费用赔偿方面,我国最高人民法院司法解释采用“必然性”之标准对“未来损害”进行认定.其三,损害发生的高度盖然性说认为,损害之发生应具有高度可能性,《最高人民法院关于适用中华人民共和国民事诉讼法〉的解释》第108条第1款便是典型代表.比较法上,德国、奥地利、法国、希腊、比利时等很多国家都采纳了“高度盖然性”标准[14].其四,损害发生的可能性说认为,损害无须是确定的,只要有损害的可能性就应当得到赔偿.

2.5 出路及转向:损害确定性标准动态评价体系

在个人信息风险是否能作为损害这个问题上,应当结合不同案件类型和严重程度进行动态分析.个人信息侵权案件与传统损害类型相比,对其损害确定性不能作传统上已发生的判断,将部分具有实际性条件的个人信息风险认定为损害,符合我国的司法现状,也有利于大数据背景下的个人信息保护观念的转变,为此本文认为应当建立个人信息损害认定的动态评价标准,附条件地将个人风险损害纳入到损害认定体系之中.

3 个人信息损害认定的动态评价标准

3.1 个人信息的类型

个人信息侵权案件中,被侵害的个人信息类型是判断个人信息处理者责任的首要标准.个人信息的私密程度越深,其损害就越容易得到认定.首先,对涉及隐私的个人信息可以直接适用隐私权的保护进路进行救济.其次,我国《个人信息保护法》将一般个人信息与敏感个人信息进行了分类保护.就一般个人信息而言,其私密程度不高,通常这些信息的泄露产生的风险不大,所以对于侵害一般个人信息的行为其损害确定性标准不能随意降低,应当继续适用损害已经实际发生的标准.就敏感个人信息而言,其一旦遭到泄露或者非法使用,便容易导致自然人的人格尊严和财产安全受到严重侵害,故应适当放宽其损害认定门槛.

3.2 信息处理者处理个人信息的主观目的、处理方式

《个人信息保护法》设专章规定了个人信息处理者的义务.根据《个人信息保护法》第51条的规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失.在处理目的与处理方式层面:信息处理者在收集个人信息时要通过合法程序,取得信息主体同意,在处理和利用个人信息的过程中要出于正当目的,且采取必要的信息安全保障措施.若信息处理者未采取合理措施保障个人信息安全,导致个人信息泄露的风险增大,法院在进行损害认定时可以结合其具体过错程度确定其应当承担的侵权责任大小.

3.3 损害评价要素多元化

损害评价应当考虑以下要素:

其一,影响范围.侵害个人信息所造成的影响范围越广,损害就越容易得到法院的认定[15].例如,在网络个人信息侵权案件中,其个人信息在网络中的浏览量和转发量都是个人信息侵权行为的直接评价标准.浏览量转发量越高意味着其个人信息泄露的范围愈广,对信息主体所产生的影响也就越大.

其二,侵权行为次数.侵权行为次数越多,持续时间越长,对信息主体所造成的后果就越严重,对信息主体造成损害的可能性也就越大,其风险程度也就越高.

其三,就个人信息主体而言,其身份(职业)的私密程度及特殊性等信息的泄露也会影响其损害程度.

在个人信息侵权案件中,应当不限于以上3种标准综合对个人信息损害进行评价,不能将其割裂,作出单一的判断.我国首例儿童个人信息、网络安全保护民事公益诉讼[16]体现了这种方法,杭州互联网法院综合侵权行为所侵害的个人信息类型、收集个人信息的方式与目的、是否采取了合理的个人信息安全保障措施等方面作出了损害认定.

4 个人信息可赔风险的范围

具有可赔偿性的损害应当符合2个条件:一是能够通过侵权人承担赔偿责任得到赔偿;二是基于法律价值上的考量,该损害应当由侵权人承担[17].确定个人信息风险损害应当按照寻求利益差额的方法将其具体化.

4.1 个人信息风险损害本身

个人信息权益作为一种独立的人格权益不仅承载着权利主体的精神利益,还承载着财产利益[18].当个人信息权益受侵害时,其本身的财产价值可能发生减损因而产生财产损失,这种财产损失是因个人信息权益作为一种人身权益被侵害而导致的,有别于财产权益直接受损而导致的财产损失.这种损失表现为一种潜在财产价值的丧失,但在目前的司法实践中难以对其进行科学量化,故在个人信息侵权案件损害评价中常常被忽略.

4.2 信息主体为预防风险所产生的支出

信息主体为避免二次损害所采取一系列预防措施,为此所花费的金钱、时间、精力等支出,可视为一种特殊类型的损害.信息主体为预防风险所产生的支出主要表现为:为预防个人信息风险上诉的差旅费、律师代理费;为取证而产生的鉴定费用等.《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1款对合理费用的范围作出了规定.本文认为此类损害可以得到法院的支持.

4.3 风险所引发的精神损害

《个人信息保护法》没有规定侵害个人信息权益的精神损害赔偿.有学者认为,《个人信息保护法》第69条第2款使用的是“损失”一词,既包括了财产损失又包括精神损失[19],故为确保个人信息处理行为不逾越人格尊严底线,应当通过上述的个人信息损害动态评价标准,对信息主体的焦虑状态进行综合判断.比如,在敏感个人信息受到侵害时,可以适当降低《民法典》第1183条“严重性”之标准.

5 结 语

个人信息安全风险的升高势必会导致个人信息交换流通秩序的混乱,将风险性损害纳入个人信息侵权损害赔偿评价体系之中已是大势所趋.传统侵权法视野下的损害与风险损害固然有一定距离,通过对损害概念的扩张解释以及损害确定性理论发展脉络的厘清,个人信息风险性损害具有纳入我国侵权法保护领域的理论基础及现实基础.在司法实践层面,通过损害认定的动态评价体系,结合个人信息的类型以及其他方面因素可以对个人信息侵权损害进行动态评价,以解决个人信息侵权损害认定困难的问题,在此基础上适当降低个人信息案件损害认定的门槛,促进个人信息保护领域的良性发展.