个人信息双重风险性损害判定与赔偿框架的重塑
王 雪
内容提要:进入大数据时代,个人信息泄露所引发的双重风险性损害具有特殊性。客观风险性损害无参照的非现实性与主观风险性损害认定的高门槛成为信息主体索赔的阻碍,以往支持风险性损害的思路难以适用于个人信息领域。个人信息双重风险性损害的理论支撑与赔偿机制需要重新探索。信息主体基于知情权对个人信息财产价值的控制成为个人信息客观风险性损害的理论基础,而精神损害的独立性与“严重”标准的淡化均使得个人信息主观风险性损害的认定可从宽解释。面对信息主体索赔,首先,法院需要评估并量化风险性损害的级别。其次,立法需引入法定赔偿制度以固定个人信息财产价值的范围,且个人信息处理者的过错在民事责任划分中应得到重点考量。最后,构建特别代表人诉讼机制可有效应对个人信息侵权群体性纠纷并缓解信息主体诉讼负担。
关键词:信息主体 个人信息处理者 客观风险性损害 主观风险性损害 知情权
现今,个人信息泄露的频繁发生已然严重威胁信息主体的个人信息权益。为强化对个人信息权益的专属保护,2021年我国颁布《个人信息保护法》,其中第69条规定个人信息处理者须对侵犯个人信息权益承担损害赔偿责任。然而,“损害”的判定成为信息主体索赔的主要障碍。损害的现实发生与确定性是民事索赔的前提,因为法律本身追求秩序的稳定与可预测性。然而,法律处 理的社会现象本身是复杂的、概率性的事项,不确定性是无法避免的。在大部分泄露案件中,信息主体面临财产损害风险与精神焦虑,但这些损害不具有现实性与确定性,被称为“风险性损害”,难以得到法院认可。
国内外学者对个人信息泄露引发的风险性损害均开展了一定的研究。美国学者Solove教授初步肯定了个人信息风险性损害,引发了学界关注。我国部分学者通过论证实质性风险的危害,对个人信息风险性损害持肯定态度。相反,部分民法学者坚持认为“风险以及对风险的焦虑过于不确定”,因而个人信息风险性损害无需获得赔偿。但就个人信息泄露后信息主体为防止下游损害发生而采取预防措施所支出的合理成本可以获赔这一观点,学者们基本达成共识;且其符合《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《规定》)第12条第1款的规定,在司法实践中更易被接受。值得注意的是,学者们对风险性损害这一概念本身的探讨较少,忽视了个人信息风险性损害的特殊性,且对个人信息风险性损害的赔偿论证较为笼统。本文从风险性损害这一概念出发,将研究问题概括为以下三点:第一,个人信息泄露引发的风险性损害是什么,与其他领域的风险性损害相比,具有何种特殊性?第二,不同类型的个人信息风险性损害获得法律认可的依据分别是什么?获得赔偿需要满足何种条件?第三,现有民事赔偿制度能否满足个人信息风险性损害的赔偿需求,如果不能,如何改进?文章将对上述问题进行论证,提出自身见解作为参考,期望起到抛砖引玉的效果。
一、个人信息双重风险性损害的界定与特殊性
由于风险性损害本身存在学理分歧,个人信息领域的风险性损害是否应当获赔这一问题也面临诸多争议。对个人信息双重风险性损害的判定与赔偿须注重个人信息领域的特殊性。
(一)个人信息泄露引发双重风险性损害
个人信息泄露是引发风险性损害最普遍的情形,泄露后个人信息的滥用会产生不同类型的风险性损害。以信息主体为核心,个人信息泄露引发的风险性损害可以归类为客观风险性损害与主观风险性损害。
1.个人信息客观风险性损害
客观风险性损害涉及与被泄露后的个人信息有关的外部行为。未经授权的行为人可能使用被泄露的个人信息从事身份盗窃、电信诈骗等,以期获得金钱利益。
我国法院并不认可个人信息泄露给信息主体财产权益造成的风险。在孙某诉中国移动通信集团山东有限公司滨州分公司一案中,尽管一审与二审法院均认可被告对原告个人信息的滥用,但均否决了原告主张的因个人信息滥用引发的财产损害。
美国法院同样面临个人信息客观风险性损害的判断问题。受限于美国宪法第3条的规定,原告具备诉讼资格需要满足“事实上的损害”(injury in fact)这一要件,即信息主体必须证明其合法权益受到侵犯才具有诉讼资格,这种侵犯是具体的、特定的,或即将发生的。在著名的Clapper v.Amnesty Int´l USA一案中,美国联邦最高法院认为只有风险性损害被证明满足“实质性风险”(substantial risk)标准,信息主体才具有诉讼资格,但案件中可能性的推测无法证明潜在监控带来的未来损害即将发生,因此法院否决了原告的诉讼资格。因而,自Clapper案后美国联邦巡回上诉法院裁决的审判路径在于判断信息主体面临的风险性损害是否具备实质性,但“实质性风险”如何判断并未得到清晰阐释。不同联邦巡回上诉法院的裁决结果也截然不同。笔者对美国联邦巡回上诉法院的审判结果进行了整理,见表1。
综上,美国联邦最高法院、第二、第四、第八巡回上诉法院对泄露引发的客观风险性损害持否定意见,而联邦第三、第六、第七、第九、第十一巡回上诉法院持支持立场。是否满足“实质性风险”标准是美国法院裁决的核心,联邦第三巡回上诉法院将实质性风险解释为“原告遭受直接损害的现实危险”。可这一解释终究过于模糊,即使个人信息泄露的情形相似,如面临黑客袭击或电脑遭遇盗窃,不同法院的判断却截然不同,本质上依赖于法官自由心证。
2.个人信息主观风险性损害
与客观风险性损害不同,主观风险性损害发生于信息主体内部,核心在于风险引发的精神损害。在个人信息被不明身份的主体非法获取的情况下,信息主体可能会出现许多心理或情绪变化,如恐惧、愤怒或抑郁。
在我国《个人信息保护法》颁布之前,实践中个人信息泄露均归类为隐私权纠纷,因而,目前我国法院对个人信息主观风险性损害的审判路径主要采取侵犯隐私权后精神损害的判决思路。依照《民法典》第1183条,信息主体需要证明自身因为个人信息泄露产生严重精神损害方可以获得赔偿。值得一提的是,我国司法实践已经出现支持个人信息主观风险性损害的案例。2022年原告庞某某先后在山东省济宁市任城区人民法院、滨州市沾化区人民法院以及德州市德城区人民法院提起诉讼(以下简称“庞某某系列案件”)。尽管被告包括不同的企业,但原告诉讼案由大致相同,即被告在未与原告签订劳动合同且未征得原告同意的情况下,将原告作为本公司员工为其缴纳社会保险,侵害了其个人信息。这一行为有可能导致原告无法以应届毕业生身份择业,且有可能在原告毕业后影响其择业范围及享受人才补贴政策等。尽管侵权行为带来的后果尚未发生,但上述法院均认定这一行为会给原告造成精神困扰,并判决不同数额的精神损害赔偿。可见,虽然支持个人信息精神损害赔偿的案件比例较低,但相比于客观风险性损害的不受认可,部分法院确实对主观风险性损害的索赔持积极态度。
美国法院对个人信息主观风险性损害的裁决标准与客观风险性损害保持一致,即“实质性风险”标准。当法院认定信息主体面临的恐惧、焦虑与抑郁满足“实质性风险”标准时,主观风险性损害也会得到法院的认可。如在Krottner v.Starbucks Corp.一案中,笔记本电脑被盗泄露了原告的个人敏感信息,美国联邦第九巡回上诉法院主张原告具有普遍的焦虑和压力,可以构成事实上的损害。而在Beck v.McDonald一案中,美国联邦第四巡回上诉法院认为,个人信息泄露导致的“情绪不安”和“对身份盗窃和金融欺诈的恐惧”远不能构成实质性风险,对个人信息泄露引发的主观和客观风险性损害全部否决。
(二)个人信息双重风险性损害的特殊性
个人信息处理者的特殊地位与个人信息权益的特殊性质,使得个人信息领域的风险性损害具有一定的特殊性。
1.个人信息处理者的特殊地位
其一,个人信息处理者对个人信息具有极强的控制能力。个人信息处理者,尤其是大型互联网公司,在世界范围内拥有海量信息。部分个人信息处理者所掌握的个人信息数量甚至超过科技实力较弱的发展中国家,因而此类公司被誉为新类型的“国家”。个人信息处理者不仅可以监视用户行为,同时可通过控制推送具有倾向性的内容,影响用户判断,干预用户选择,从而达到操纵用户行为的目的。信息主体对个人信息处理者处理自身个人信息的方式与用途无法干预。个人信息处理者与信息主体之间的不对等也进一步加剧了个人信息侵权私人索赔的困难。
其二,个人信息处理者享有部分监管权力。鉴于个人信息处理者掌握海量个人信息,行政机关的监管职能不得不依赖于个人信息处理者的配合。我国《网络安全法》第47条规定,一旦网络服务提供者发现法律、行政法规禁止发布或者传输的信息,应当立即停止传输并采取措施防止扩散。这意味着个人信息处理者需要审查用户言论的合法性,从而享有了部分原本属于执法机关的公权力。鉴于用户广泛使用线上社交平台,个人信息处理者对违法言论的禁令措施也更加具有“惩罚”功能。2021年社交媒体巨头公司推特宣布“永久封禁”特朗普的账号,原因是他“有煽动暴力的危险”,违反了推特平台禁止美化暴力的规定。但个人信息处理者对言论审查的标准与程序的不透明致使用户缺乏救济途径,其审查言论权限的正当性也面临较大争议。
2.个人信息权益具有公私混合属性
个人信息权益被我国民法视作独立的人格权,法律首先保护个人信息所附有的人格权益。我国《民法典》第111条将个人信息作为一项民事权利,人格权编第六章又将其与隐私权相区分并提供单独保护。2021年我国《个人信息保护法》使用“个人信息权益”的表述,第四章规定了个人信息权益的内容包括知情权、查阅权、复制权以及删除权等,这被认为是以人格权请求权的方式出现。个人信息权益以个人信息自决为基础,信息主体根据自身意愿对个人信息享有控制权并依据需求予以处置。信息主体不仅可以对侵犯个人信息权益的行为采取消极防御措施,如诉请停止侵害或损害赔偿,也可以采取积极措施,如将个人信息直接用于交易。
同时,个人信息权益作为一项“权利束”,也包括宪法和行政法上的权利。我国《个人信息保护法》第1条规定“根据宪法,制定本法”,将宪法作为个人信息保护的法理基础。个人信息权益的本质是国家赋予信息主体保护自身个人信息的工具,国家对信息主体负有保护义务是个人信息权益的宪法基础。此外,除民事保护,我国对个人信息权益也采取刑事保护与行政保护的方式。《个人信息保护法》第66条规定了个人信息处理者违反义务的行政责任,包括警告、罚款等;《刑法》第253条之一规定了“侵犯公民个人信息罪”,以刑事责任规制严重侵犯公民个人信息的情形。可见,个人信息权益的性质蕴含公私混合属性,同时依靠公法与私法双重路径予以保护。
二、认定个人信息双重风险性损害的核心障碍
我国法院对个人信息双重风险性损害主要持否定性评价,但个人信息客观与主观风险性损害认定过程中遭遇的核心阻碍并不相同,须区分讨论。
(一)客观风险性损害:无参照的非现实性
即使非现实性是不同领域风险性损害所具有的共同特征,但个人信息客观风险性损害的判断更加没有现实参照。
早在进入大数据时代之前,法院已经将风险性损害这一概念应用于机会利益丧失机会利益丧失、有毒物质侵权以及创伤性事故这三类案件中。就机会利益丧失案件而言,起初美国法院只允许原告在最初拥有超过50%生存机会的情况下提出索赔,逐渐地部分美国法院对任何可以衡量的机会利益丧失引发的风险性损害均准许提起索赔诉讼。在Herskovits v.Group Health Coop.一案中,Herskovits因Group Health医院未能诊断出癌症病情而丧失及时救治的诊疗机会,生存的可能性从39%降低至25%。华盛顿高等法院支持了原告的索赔,认为原告不需要证明患者的生存概率是51%,生存机会减少的证据是足够的。我国部分法院对患者机会利益的丧失作为风险性损害也持肯定态度。在徐某某、戴某某等医疗损害责任纠纷案件中,医院的过错行为客观上导致了患者的晚期贲门腺癌延误诊断,法院认可损害赔偿责任的成立。就有毒物质侵权案件而言,暴露于有毒物质之下引发的损害通常是具有一定潜伏性的疾病,这些疾病的潜伏期也会因被侵权人的体质、毒物种类以及暴露时间的长短而不同,甚至可能长达数十年。但潜伏期结束后,侵权人与被侵权人的范围并不明确,因果关系更是难以证明。由于传统侵权法的损害范围难以应对这一类型的大规模侵权案件,英国法院便在Barker v.Corus UK Ltd.一案中扩张解释,主张如果雇主因疏忽而使雇员接触到石棉,患间皮瘤的重大风险被视为损害。除机会利益丧失和有毒物质侵权案件外,美国法院同样认可对创伤性事故引发的未来风险进行赔偿。在Jordan v.Bero一案中,原告骑自行车与驾驶汽车的被告相撞致使原告大脑挫伤严重。主治医生从统计学意义上作证称,相当多的人遭受此种类型的脑损伤后会出现永久性后遗症。西弗吉尼亚州的最高上诉法院认为,永久性损害的表现可能是潜伏的,未来出现的时间不可预测,有积极的医学证据表明这一创伤是永久性的,足以支持对这一创伤的未来风险进行赔偿。
上述风险性损害应用的三类案件与客观风险性损害的适用具有一定的共性。其一,被侵权人均遭受现实损害,包括现实的人身损害和由此产生的经济损失。如在美国有毒物质侵权的典型案件Hagerty v.L & L Marine Services,Inc.中,由于公司装载化学品的设备存在缺陷,原告担任公司油工期间被化学致癌物质完全淋湿,之后原告出现头晕、恶心等症状,即使尚未确诊癌症,但需要继续接受医疗检查并支付医疗费用。这为客观风险性损害的判断提供了证明,被美国联邦第五巡回上诉法院视为“足够的真实性迹象”。而在机会利益丧失的案件中,误诊或延误本身会延长原告患病的周期并增加治疗费用,遑论创伤性事故案件以原告本身遭受严重创伤为前提。其二,专业人士出具的意见推测原告未来遭受的风险,判定风险转化为现实的概率,从而证明可能引起的财产损失。正如Jordan v.Bero一案中,医学证词证明原告的脑部因车祸遭到永久性损害,法院审查医学证明提供的推测是否具有合理性,若未来风险是可以合理确定的,那么未来风险引发的医疗费用和工资损失应得到赔偿。
然而,个人信息客观风险性损害的判断没有任何现实参照,法院无法采取既有类型案件中风险性损害的判断路径。其一,通常情形下信息主体并未遭受现实的人身损害或财产损失。虽然整体上泄露可能造成巨额经济损失或引发人身伤害案件,但具体到每一个信息主体,其遭受的经济损害并不明显,未遭受人身物理攻击的信息主体占据多数。法院无法以现实损害为基础推测信息主体未来遭受的财产风险。其二,在个人信息领域,尚未出现专业人士提供有效的意见说明。医疗领域内,医生对病人遭受的未来风险转化为现实损害的概率可以做出专业推测并得到法院认可。但大数据作为新型的学科,针对个人信息泄露给信息主体造成的侵权损害,尚未出现权威的专业人士可以提供证明。这就使法院无法判断个人信息客观风险性损害出现的概率。其三,个人信息的财产价值并不清晰。在上述风险性损害应用的三类案件中,无论是医疗费用抑或是工资收入,均有着清晰的计算标准。但在个人信息领域,即使法院支持客观风险性损害的索赔,也会因个人信息财产价值外化路径的缺失而无法量化信息主体的财产损失。
(二)主观风险性损害:认定门槛较高
依照《民法典》第1183条,信息主体需要证明自身因为个人信息泄露产生严重精神损害才可获得赔偿。虽然我国已然出现支持个人信息主观风险性损害的判决,但“严重”这一高门槛导致我国法院支持信息主体精神损害赔偿的案件比例较低。
“严重”作为精神损害的限定条件,以侵权法中的“水闸理论”和“忽略轻微损害”规则为基础。就“水闸理论”而言,鉴于消极情绪是自然人日常生活的组成部分,自然人对此类消极情绪的调节是其自身负责的事项之一。况且消极情绪依赖于主观感受,这导致同一事件之下不同当事人的情绪反应会出现较大差异。倘若法院支持对任何消极情绪的精神损害索赔,很可能引发精神痛苦的伪装,故而需要通过提高精神损害索赔的条件以防止滥诉。而“忽略轻微损害”则更侧重将精神损害与人身损害相绑定。传统侵权法视野下,被侵权人遭受人身损害或者精神损害致使生理产生不良反应成为法院裁决精神损害赔偿的先决条件。如在Jordan v.Bero一案中,Haden法官认为原告所受到的创伤被证明是永久性的,从这一事实可以合理地推断出其将在未来继续遭受精神痛苦,应当允许未来的疼痛与痛苦作为风险性损害赔偿的要素之一。但这一推断是以原告身体遭受到永久性创伤和过去的精神痛苦为依据的。对于没有遭受人身损害的个人信息侵权案件,信息主体因风险性损害所遭受的精神痛苦难以被法院认定为达到“严重”程度。2012年美国联邦最高法院在Fed.Aviation Admin.v.Cooper一案中便主张,飞行员医疗信息遭到泄露引发的痛苦并不足以获取精神损害赔偿,依旧需要具备“实际损害”的要件,并由此驳回飞行员的索赔。
在个人信息侵权案件中,“严重”要件迫使信息主体承担较重的举证责任,致使个人信息主观风险性损害的索赔无法发挥作用。信息主体由于个人信息侵权引发的风险往往会产生消极情绪,甚至这一精神痛苦很可能是信息主体遭受到的唯一损害。但正因为信息主体无法证明自身精神痛苦的生理表现,导致个人信息处理者即使侵犯个人信息权益,也只需要承担赔礼道歉、停止侵害等责任。
(三)原有风险性损害学理支撑的不足
上个世纪学者们就风险性损害的理论基础便已经开始探讨,目前对个人信息双重风险性损害的肯定主要遵循以往风险性损害的学理依据,例如风险社会的责任分配、损害概念的扩展以及侵权法的威慑功能。但这一论证路径忽视了个人信息双重风险性损害的特殊性。
首先,风险社会责任分配理论无法为个人信息处理者承担风险性损害的民事赔偿责任提供依据。风险社会的风险是人造的、非自然产生的。风险引发的损害具有潜伏性且不会受到国家边界的阻碍,致使损害难以在当代得到判断。风险的潜在性和责任问题相结合致使难以确定责任主体。鉴于原有的法律规范无法满足调整新型法律关系的需求,风险控制与风险分配成为风险社会法律规制的重点。在法律层面,侵权责任成为风险社会分配风险的主要方式之一,借助“行为—责任”的预设机制,由风险制造者承担风险带来的不利后果成为侵权法分配风险的主要路径。然而,风险分配并不意味着个人信息处理者须赔偿未发生的损害。需要强调的是,立法认可风险可能带来危害并不等同于民事赔偿范围的扩张。风险社会责任分配理论仅阐释通过侵权责任由风险制造者承担不利后果,但正如前文所言,风险社会大规模侵权的案件如有毒物质侵权等均展现一定的人身损害,个人信息侵权案件并不能满足这一前提。鉴于个人信息权益具有公私混合属性,个人信息权益的法律保护措施也是多维度的,包括民事赔偿、行政处罚与刑事制裁。《个人信息保护法》第66条与《刑法》第253条之一所形成的公法保护路径依旧可以规制引发风险的个人信息违法行为。在公法保护路径可以惩治个人信息处理者的情形下,个人信息处理者为风险性损害承担民事赔偿责任的理论基础需要进一步探讨。
其次,损害判定理论的延伸不足以支持个人信息风险性损害的成立。德国著名学者Mommsen提出了“差额说”,即比较侵害事故发生后的财产状况以及若无侵害事故时所应有的财产状态的差额。针对“差额说”的弊端,德国损害理论基于“客观化”与“规范化”两个方向不断修正,先后发展了“客观损害说”与“规范损害说”。前者更加注重权益状态恶化而非单纯考虑差额,后者更加侧重依据价值判断确定损害范围。尽管损害概念从差额说到规范损害说的演进延伸了损害的范围,但损害概念的扩张依旧要求损害具有一定程度的“现实性”。法院在其他领域对风险性损害的推测依旧以现实损害为基础,这并不足以应对个人信息客观风险性损害“无参照的非现实性”,也无法解释主观风险性损害是否需要满足严重标准。美国学者对“损害”的理解相较于德国更加宽泛,“损害”被普遍认定是对合法利益或福利的挫折。然而,对风险性损害予以民事赔偿也遭到众多反对意见,如学者Goldberg 和Zipursky便提出,在主张被告承担赔偿责任之前,原告必须确定过错已然成为现实。尽管其认可暴露于高度危险之下带来的身体损害会造成当事人福利减少,但是这并不足以构成原告获取赔偿的缘由。
最后,侵权法的威慑功能也无法为个人信息风险性损害提供解释依据。众所周知,侵权法可以通过要求侵权人承担损害赔偿从而威慑侵害行为。卡拉布雷西法官(Judge Calabresi)开创性地提出“最便宜的成本规避者”理论,寻求将事故发生的损害成本、预防损害的成本以及行政成本降到最低,作为侵权法威慑理论的核心。侵权法中的民事追索在双重方向运作,不仅可以补救私人侵权,同时也满足社会监管的需求,因为构成民事过错的因素往往来自社会监管的需要。然而,侵权法的威慑功能更加强调对个人信息违法行为的遏制,无法解释个人信息风险性损害赔偿的正当性。且侵权法的威慑功能也可借助《个人信息保护法》第70条所规定的民事公益诉讼予以实现。鉴于个人信息处理者的特殊地位,信息主体与个人信息处理者实力悬殊。信息主体提起民事诉讼的成本与收益严重不平衡,可能缺乏动力提起私人诉讼。相比于单个民事主体提起的民事诉讼,民事公益诉讼更可以借助公益诉讼主体的专业性和对个人信息处理者的索赔强化社会监管。以威慑功能作为个人信息风险性损害赔偿的依据反而存在“扭曲”的理论衔接。
三、个人信息双重风险性损害认定的理论依据
个人信息客观风险性损害和主观风险性损害遭到否定性评价的缘由不同,因而须分别探讨其理论依据。
(一)知情权保护打破客观风险性损害桎梏
风险社会法律的重点在于风险控制,而风险控制的前提在于知晓风险发生的情形、概率以及预防措施等。但信息的供给与自由流动只存在于理想假设,信息不对称是风险社会的常态。由于信息不对称无法依靠市场自身调节,法律构建“知情同意”这一行为模式并将其应用于医疗领域、产品责任等诸多法律关系的建构。
1.知情权在侵权法领域的适用
其一,在医疗领域,知情权保护患者评估所有重要信息的权利以做出治疗的最终决定,而其在充分知情的情况下会做出何种决定并不是法院关注的重点。相反,患者被排除在慎重决定过程之外,是诉讼理由的核心所在。在北京美中宜和妇儿医院有限公司与刘某某等医疗损害责任纠纷一案中,美中宜和医院在产检过程中未将胎儿异常的后果告知家属,北京市第三中级人民法院裁决美中宜和医院按照30%的责任比例承担赔偿责任。
其二,同医疗纠纷案件相比,知情权在产品责任领域的应用更加广泛。立法层面,我国《消费者权益保护法》第8条与第16条分别对消费者知情权和经营者告知义务做出规定。司法层面,2019年中国消费者协会发布典型案例“许某某与某被告电信服务合同纠纷案”,黑龙江省牡丹江市中级人民法院裁决认为,被告未告知原告收费标准,侵犯了原告的知情权和选择权,判决返还费用。
综上,市场经济的发展与产品架构的专业化注定交易双方存在巨大的“信息鸿沟”,知情权这一程序性权利是扭转双方不对等地位的关键。通过民事赔偿救济知情权,不仅可以实现程序正义,更重要的是在个案中弥补因违反“知情同意”行为模式带来的各类损害。
2.知情权控制下个人信息财产价值的认可
信息主体正是以知情权的保障为前提,自主控制个人信息财产价值的分享与让渡。我国《个人信息保护法》第14条和第44条规定了个人信息处理的“知情同意”规则以保障信息主体的知情权。
一方面,个人信息具有天然的财产属性,信息主体对个人信息享有财产利益。个人信息的效用性、稀缺性与流通性,使其产生交换价值并成为法律上财产权益的客体。信息主体以提供或允许访问个人信息为前提,获取互联网企业提供的数字产品或服务。虽然众多互联网企业看似以免费或以折扣价的方式提供在线服务,但事实上信息主体是以个人信息作为支付对价购买产品或服务的。换言之,个人信息可以用来代替金钱为数字内容付费,支付模式从“金钱支付”转变为“数据支付”。2015年欧盟拟议的《欧洲议会和欧盟理事会关于数字内容供应合同若干方面的指令》(以下简称《指令》)序言第13条便已指出“数据支付”模式的存在,即:“在数字经济中,个人信息经常被越来越多的市场参与者视为具有与金钱相当的价值”。《指令》第3(1)条也明确将消费者以个人信息作为支付对价来获取供应商数字产品或服务的合同纳入管辖范围。
另一方面,信息主体对个人信息财产价值的支配依赖于知情权的实现。基于对个人信息处理环节以及数字产品的了解,信息主体决定是否分享或让渡个人信息所具有的财产价值。信息主体对个人信息财产价值的参与方式以消极参与为主,积极参与为辅。但个人信息处理者对个人信息超强的控制力弱化了信息主体的知情权。个人信息泄露是在侵害信息主体知情权的情形下,使信息主体丧失个人信息财产价值的控制。因而个人信息客观风险性损害认定的依据在于知情权受损下个人信息财产价值的丧失。在凌某某诉北京微播视界科技有限公司案件中,尽管原、被告双方均未提供原告因个人信息权益受到侵害所遭受的财产损失或被告获得利益的相关证据,但北京互联网法院认为,个人信息本身具有财产价值并会为被告商业运营带来经济利益,酌定赔偿数额为1,000元。
综上,个人信息客观风险性损害的索赔不需要具有现实损害,关键在于知情权丧失致使信息主体个人信息的财产价值被剥夺。
(二)主观风险性损害认定的从宽解释
个人信息主观风险性损害以“严重”作为认定标准,不仅忽视了这一损害的独立价值,更无法达成个人信息保护的目标。
1.个人信息主观风险性损害具有独立价值
信息主体所遭到的主观风险性损害不依附于人身损害或其他财产损失存在,具有独立价值。其一,个人信息泄露导致人格尊严受到损害。《宪法》第38条明文规定“中华人民共和国公民的人格尊严不受侵犯”,人格尊严俨然成为人权的价值基础和逻辑起点。《民法典》以宪法为依据,第109条对人格尊严做出一般性保护规定,并在人格权编将人格尊严作为首要价值。保障人格尊严不受侵犯也是《个人信息保护法》需要重点解决的问题。个人信息泄露后个人信息可能被不知名的主体查看或二次使用,信息主体人格尊严受损,并由此处于焦虑和恐惧状态。但人格尊严受损不一定具有生理表现,也与人身损害没有必然联系,更不一定会带来财产损失。美国联邦第五巡回上诉法院在Hagerty v.L & L Marine Services,Inc.案件中便秉持这一观点,提出无论是否有身体上的伤害或影响,只要原告的恐惧是合理的,并且与被告的过失有因果关系,那么其有权对因害怕患癌症而产生的精神痛苦进行赔偿。
其二,个人信息泄露损害人格自由。个人信息泄露在侵犯信息主体知情权的同时,信息主体自主控制或选择披露个人信息的决定权被剥夺。当今披露个人信息已然成为信息主体日常生活的组成部分,但个人信息的披露应当出于信息主体的自愿。人格自由应用于个人信息领域,表现为不受胁迫的自由和选择,而泄露导致个人信息的使用遭受到操纵与胁迫。信息主体的人格尊严与人格自由受损,这一损害可以单独得到法院认可。在Google Inc v.Vidal-Hall & Ors一案中,三名原告主张谷歌公司滥用其个人信息的行为损害了其个人尊严、自主性和完整性,要求谷歌公司对产生的焦虑和痛苦进行赔偿。英国上诉法院认为,个人信息侵权产生的损害包括精神损害,个人信息保护的核心在于隐私而非经济权利,原告仅具有精神痛苦进行索赔是可行的,无需证明其他损失。这一裁决肯定了信息主体主观风险性损害的独立价值,且这一损害与人身损害或财产损失无关联。
2.“严重”标准的淡化
《个人信息保护法》与《民法典》关于个人信息侵权民事赔偿责任规则的衔接出现分歧,这也导致“严重”标准是否需要淡化争议不断。
权利位阶视角下,人格权益的保护,包括人格尊严与人格自由,优先于财产利益的保护。传统民法以财产法为中心,财产损失的赔偿实行填补原则,不以“严重”标准为前提。人格权益的赔偿标准不应高于财产损失,若信息主体主观风险性损害仅在满足“严重”标准时才可获得赔偿,不仅违背我国《民法典》保护人格尊严这一首要价值理念,不符合个人信息保护的目标,更与权利位阶相冲突。放眼全球,欧盟《通用数据保护条例》(General Data Protection Regulation)作为最具影响力的个人数据保护法案,于第82(1)条明文规定遭受非物质性损害的信息主体有权获得赔偿,其序言第146条进一步阐释“损害赔偿的概念应根据法院审理案件的情况进行宽泛的解释,以准确反映本条例的目标”。可见,个人信息主观风险性损害“严重”标准的淡化具有法理依据。
从司法审判的角度着眼,法官在个人信息泄露案件中也开始逐步放弃“严重”标准的使用。个人信息主观风险性损害与现实人身损害、财产损失不存在必然联系,“严重”标准作为赔偿前提反而严重阻碍个人信息保护的目标。泄露引发的风险造成的精神损害是否严重,应当作为赔偿责任影响因素之一,而不是前提条件。在“庞某某系列案件”中,山东省济宁市任城区人民法院、德州市德城区人民法院以及滨州市沾化区人民法院均认可个人信息侵权给原告带来的风险并裁决被告赔偿未来风险给原告造成的精神痛苦。但法院在审判中并未要求原告证明这一损害达到“严重”标准,判决书使用的表述为“一定的精神困扰和担心”。
四、个人信息双重风险性损害的评估与赔偿
虽然个人信息双重风险性损害具有认定的理论依据,但个人信息在任何环节的流通均蕴含不同程度的风险,对风险性损害的零容忍反而会阻碍数字经济的运转。
(一)个人信息双重风险性损害的评估
个人信息双重风险性损害是否应赔偿的关键在于评估个案中信息主体面临的风险。英国信息专员办公室(Information Commissioners Office)认为风险评估是指衡量风险实际发生的可能性以及后果的严重性。
1.可能性评估
可能性评估是判断风险性损害转化为现实损害的概率。其一,考量泄露个人信息的行为人是否具有侵犯个人信息权益的主观恶意。与意外泄露个人信息不同,利用钓鱼链接或病毒软件窃取个人信息的黑客具有欺诈或冒用信息主体身份的主观恶意,风险性损害实际发生的可能性较高。其二,考量遭泄露的个人信息的敏感性与稀缺性。一般认为,个人信息风险性损害实际发生的概率与个人信息的敏感性、稀缺性成正比关系。我国《个人信息保护法》将个人信息区分为敏感个人信息与一般个人信息,前者包括个人财产信息、个人健康生理信息、个人生物识别信息等等。也正因为敏感个人信息的特别属性,其泄露本身意味着损害的发生。而个人信息的稀缺性容易受到忽视,个人信息的价值不仅来源于敏感性,也来源于稀缺性,如性倾向。个人信息的稀缺性是其价值的组成部分,个人信息处理者可着眼于被泄露的个人信息的性质以确定侵权人利用个人信息进行勒索、羞辱或曝光的可能性。
2.严重性评估
严重性评估是评估个人信息泄露引发风险性损害的严重程度。首先,结合具体案件评估遭泄露的个人信息可能引发的风险性损害的样态。如客观风险性损害可能表现为支付额外的费用、背负债务。而主观风险性损害严重性的评估可参考来自心理学家、精神病学家以及律师的意见。其次,考量个人信息泄露的数量与泄露范围。遭泄露的个人信息的数量越大,泄露案件造成的整体损害越大。此外,个人信息的泄露范围是彻底暴露于互联网,抑或是仅被不具有权限的特定主体访问,风险自然不同。前者一旦发生,所引发的风险性损害无法控制;但针对后者,个人信息处理者可通过与特定主体的协议来保障个人信息的安全。最后,考量个人信息处理者是否采取降低风险的措施。个人信息处理者能够采取的措施不仅包括银行账户的欺诈监测,也包括为信息主体提供心理咨询的服务。
可能性评估与严重性评估结束后,更重要的是将信息主体遭受到的风险划分不同等级。笔者以英国Data Protection Network公司发布的风险等级图为参照,尝试对风险性损害予以区分(见图1)。可能性评估的结果可划分为4级,包括极不可能发生(1级,0~25%),有可能发生(2级,25%~50%),很可能发生(3级,50%~75%),极可能发生(4级,75%~100%)。与可能性相对应,严重性程度的评估也可划分为4级,包括几乎不会受到影响(1级,0~25%);遇到财产损失或情绪焦虑但可以克服(2级,25%~50%);遇到较为严重的经济损失如资金挪用、被银行列入黑名单或精神出现明显的恐惧痛苦(3级,50%~75%);承担重大财务损害如背负高额债务或精神遭受极大折磨如出现自杀倾向(4级,75%~100%)。不可否认,这一评估难以精密计量,法官只需要结合具体案件将可能性的概率和严重性程度做出不同级别的归类即可。可能性概率与严重性程度相乘即为风险性损害的评估级别,如法官评估可能性概率为25%~50%,即为2级,严重性程度为50%~75%,即为3级,二者相乘为6级。若风险性损害最终评估级别低于8级,意味着比例低于50%,说明风险性损害在可承受范围之内;若级别不小于8级(红色部分)意味着风险性损害超出信息主体可以容忍的范畴,达到高度盖然性,法院应当对信息主体损害赔偿的诉求予以认可。
(二)个人信息双重风险性损害赔偿责任范围的认定
在评估个人信息双重风险性损害后,法院需要进一步认定个人信息处理者的责任范围。
1.引入法定赔偿制度
依照《个人信息保护法》第69条第2款,信息主体所受损失或个人信息处理者所获利益难以确定,导致个人信息风险性损害赔偿范围依赖于法院自由裁量。我国《规定》第12条第2款允许法院对人身权益遭受损害的被侵权人赔偿50万元以下数额,但这一范围裁量空间较大,无法提供明确指导。
法定赔偿制度可以有效解决信息主体难以举证损害数额的难题。我国台湾地区“个人资料保护法”第28条第3款对法定赔偿制度做出规定,为无法举证证明损害数额的信息主体提供固定数值范围的上限与下限。这一条款曾被主张引入,但最终并未得到立法机关认可。主要原因在于个人信息泄露一旦发生,涉及的信息主体数量广泛,即使法定赔偿范围的下限较低,个人信息处理者依旧会面临巨额赔偿。可法定赔偿制度的关键在于固定个人信息财产价值的范围,改变个人信息财产属性不被认可的现状。立法为个人信息侵权设立法定赔偿上下限,不仅为法院裁决提供参照,更是起到补偿与预防的双重功能,激励个人信息处理者强化个人信息安全管理。况且,个人信息处理者并非对所有的个人信息风险性损害均予以赔偿。因而,以担心个人信息处理者赔偿数额巨大为由否定法定赔偿制度的设立并不合理,我国《个人信息保护法》可以我国台湾地区“个人资料保护法”第28条第3款为蓝本引入法定赔偿制度。
2.过错判定下个人信息处理者责任的划分
在个人信息风险性损害达到风险评估级别时,因果关系盖然性的标准已然满足。对于精神损害赔偿,我国2020年《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第5条规定侵权人的过错程度作为精神损害赔偿数额的首要标准。但对于未来风险引发的财产损失,由于其无法精准衡量,完全填补原则无法适用,个人信息处理者的主观过错成为责任范围判定的重要因素。
依据主观意图的不同,过错可以大致区分为故意与过失,后者可以进一步划分为重大过失与一般过失。一方面,若个人信息处理者主动泄露或明知他人盗取信息主体个人信息而任由后果发生,则可以判定“故意”的存在。在In re Target Corp.Customer Data Sec.Breach Litig.一案中,Target公司明知消费者银行卡信息遭到黑客盗窃,但为不影响购物季销售继续接受银行卡付款,可被认定为“故意”。另一方面,针对过失,学者曾世雄将其解释为“未尽能注意之注意义务”,重大过失与一般过失的区分在于义务标准不同,违反一般人之注意义务构成重大过失,而违反善良管理人注意义务为一般过失。我国《个人信息保护法》第五章规定个人信息处理者负有采取一系列内部管理措施保护个人信息的义务。倘若个人信息处理者存在主观故意或重大过失,其承担更高的赔偿数额具有合理性。在赵某与杨某某等隐私权纠纷一案中,链家公司要求经纪人将客户的身份证、房产证及合同信息照片上传至公司内网,且没有采用任何措施予以防护。一般理性人均可以预见,这将极大增加客户个人信息遭到侵权的可能性,此时链家公司构成重大过失。北京市朝阳区人民法院认可个人信息财产价值并判决赔偿损害10万元,也正是对链家公司过错的映射。值得注意的是,若遭到泄露的信息不属于敏感个人信息,个人信息处理者仅具有一般过失,且如果个人信息处理者对泄漏采取了补救措施以遏制风险性损害的发生,那么可以考虑减轻甚至免除其责任。
(三)个人信息损害赔偿特别代表人诉讼机制的建构
特别代表人诉讼机制是以任意诉讼担当理论为基础,由法律关系以外的第三人或组织,为自身利益或代表他人利益,以当事人身份提起诉讼且法院裁决效力及于案件权利主体的诉讼机制。我国《证券法》第95条第3款设立的特别代表人诉讼机制为个人信息损害赔偿提供了制度经验。
1.公益组织担任特别代表人诉讼主体
个人信息侵权存在波及主体广泛而单个主体损害微小的特点,信息主体提起损害赔偿诉讼面临成本高、时间久等困境。尽管《个人信息保护法》第70条规定了个人信息公益诉讼,但信息主体难以从公益诉讼的赔偿款项中受偿。在个人信息领域设立特别代表人诉讼机制不仅可以提高诉讼效率,更可以解决信息主体诉讼成本高昂的问题。
以公益组织担任特别代表人诉讼中的代表人更加合理。首先,公益组织具有公益性,可以化解信息主体内部推荐代表人引发的纠纷,更容易获得全体信息主体的支持。也正是因为公益性,公益组织不会因为个人信息风险性损害受到认可而滥诉。其次,公益组织如消费者协会,具备诉讼的经验和专业知识,有助于扭转信息主体与个人信息处理者之间的不对等地位。最后,由于个人信息泄露案件中信息主体遍及全国,公益组织可以超越地理位置的限制,平等保护每一位信息主体的权益。
我国台湾地区的有关规定可以为我们提供参照。我国台湾地区“个人资料保护法”第34条第1款明文设立特别代表人诉讼制度,即对于同一原因事实造成多数当事人权利受侵害之事件,在接受20名以上信息主体委托后,财团法人或公益社团法人可作为当事人提起个人信息损害赔偿诉讼。此外,“个人资料保护法”第39条明示财团法人或公益社团法人诉讼获取的赔偿,在扣除诉讼必要费用后,分别交付委托的信息主体。
2.信息公开下的明示加入
当事人参与特别代表人诉讼有两种方式,即加入制与退出制。前者强调当事人需要按照一定程序向法院明示自身加入诉讼的意愿,而后者则默认所有具有诉讼资格的当事人全部参与诉讼,除非个别主体明确表示退出。退出制的有利之处在于保障全体当事人均可以获得救济,但应用于个人信息领域不具备现实可行性。个人信息泄露波及的信息主体可以达到数百万、千万,部分信息主体甚至并不知晓自身个人信息遭到泄露。法院根本无法确定个人信息泄露案件涉及的当事人,更无从裁决。我国《证券法》第95条第3款采取退出制的原因在于,证券登记结算机构可以有效提供投资者的名单,但个人信息领域并不存在类似的权威机构。
与退出制相比,加入制可以方便法院迅速确认参与诉讼的信息主体的范围并尊重其诉讼意愿。我国台湾地区“个人资料保护法”第34条第2款规定实行明示加入制,由法院公告或通知因同一事实原因遭受侵权的信息主体,信息主体需要在一定期间内向起诉的财团法人或公益社团法人授予诉讼实施权。但不可否认,法院采取公告、新闻报纸等传统媒体通知的方式会极大限缩信息主体的参与度,因而信息公开的方式极为重要。一方面,公益组织可利用多种电子方式如网站、公众号公开此次代表人诉讼的进展以及结果。另一方面,法院可以借助大数据技术如IP地址组成的数据库扩大通知的范围,并可要求个人信息处理者提供所掌握的信息主体的联系方式如手机号码、电子邮件。
五、结语
正如学者Adler所言,一些风险是可以接受的,而另一些风险显然是不可接受的。个人信息双重风险性损害的认定具有理论支撑不代表其可以得到法院的全盘接受,法院需评估量化风险性损害的级别。鉴于我国个人信息财产价值的认定存在困难,可以引入法定损害赔偿制度为法院提供参考依据。由于大部分个人信息泄露案件尚未出现财产损失,法院难以依据完全赔偿原则裁决,需要转向以个人信息处理者的过错为重点考量因素划分责任范围。此外,设立特别代表人诉讼机制,以公益组织作为诉讼主体并由信息主体明示加入,可以减轻信息主体的诉累并保障其从赔偿款项中受偿。
(王雪,内蒙古大学法学院讲师,南开大学法学博士。)
【本文为2021年国家社科基金一般项目“新一轮知识产权国际争端解决机制的变革与重构及我国的因应对策研究”(项目编号:21BFX101)阶段性成果。】
Abstract:In the era of big data,the dual risk-based damage associated with personal information leakage presents unique challenges. The unrealistic nature of objective risk-based damage without benchmarks and the high threshold for determining subjective risk-based damage have become obstacles for information subjects seeking compensation. Traditional approaches to supporting risk-based damage are inadequate in the realm of personal information. The theoretical support and compensation mechanisms for dual risk-based damage of personal information need re-exploration. The information subject´s control over the value of personal information assets based on the right to know forms the theoretical basis for objective risk-based damage. Additionally,the independence of mental suffering and the relaxation of the“serious”standard allow for a broader interpretation of subjective risk-based damage. In addressing claims by information subjects,first,courts need to assess and quantify the level of risk-based damage;second,legislation should introduce a statutory compensation system to define the range of personal information asset value,with a focus on the fault of personal information processors in civil liability;finally,establishing a special representative litigation mechanism can effectively address collective disputes over personal information infringement and alleviate the litigation burden on information subjects.
Keywords:Information Subjects;Personal Information Processors;Objective Risk-Based Damage;Subjective Risk-Based Damage;Right to Know
(责任编辑 曹 炜)