中心研究 | 简评美国伊利诺伊州Cothron诉White Castle指纹识别信息侵权案
全文共计约9000字,细读时间约30分钟
文|姬祥 信通院互联网法律研究中心助理研究员
CIPP/US CIPP/E
2021年12月20日,美国联邦第七巡回法院在Cothron诉White Castle指纹识别信息侵权案中就伊利诺伊州《生物特征信息隐私法》相关条款的适用问题请求伊利诺伊州最高法院进行意见确认(certification)。案件涉及对法定权利的侵害是否直接构成侵权法上的“损害”(injury)、法定损害赔偿请求权的发生规则以及法定损害赔偿金的计算方式等问题,对理论界和实务界进行相关研究有借鉴意义。
Cothron(以下简称“原告”)自2004年起在White Castle(以下简称“被告”)工作。原告声称,自2007年起,被告要求原告使用指纹扫描系统访问工作电脑,每次扫描结果都会发送给第三方服务商进行验证。原告认为,自2008年伊利诺伊州《生物特征信息隐私法》(以下简称“BIPA”)生效之日起至2018年起诉时,被告未在事前获得满足BIPA要求的适当同意的情况下收集原告指纹并向第三方披露的行为违反了BIPA的相关规定。
BIPA于2008年通过并生效。BIPA的立法调查结果认为,生物特征识别技术在商业和安全筛查领域的应用日益增多,似乎有望简化金融交易和安全筛查所需的程序,提高效率。而生物特征标识符不同于用于访问财务信息或其他敏感信息的其他唯一标识符,例如社会保险号码等标识符在泄露时可以更改,但生物特征在生物学上为个体独有,一旦泄露,个人遭受身份盗窃的风险更高,并且很可能不再使用生物识别辅助进行的交易。为了解决这些问题,BIPA规定了私人实体如何收集、使用、保护、处理、存储、保留和销毁生物特征标识符和生物特征信息,并设置了私人诉讼权。
BIPA相关条款 | |
第15条(a)款 | 持有生物特征标识符或生物特征信息的私人实体必须制定并向公众公开相关的书面政策,在满足收集或获取生物特征标识符或生物特征信息的初始目的时,或在个人最后一次与私人实体互动的3年内(以先发生者为准),制定有关生物特征标识符或生物特征信息的保留计划和永久销毁指南。除非存在具有管辖权的法院签发的有效逮捕令或传票,持有生物特征标识符或生物特征信息的私人实体必须遵守其既定的保留计划和销毁指南。 |
第15条(b)款 | 任何私人实体不得收集、获取(capture)、购买、通过交易取得或以其他方式取得个人或客户的生物特征标识符或生物特征信息,除非事先: (1)以书面形式通知主体或其合法授权代表,该主体的生物特征标识符或生物特征信息正在被收集或存储; (2)以书面形式通知主体或其合法授权代表,该主体生物特征标识符或生物特征信息被收集、存储和使用的具体目的和期限; (3)收到生物特征标识符或生物特征信息的主体或其合法授权代表作出(executed)的书面许可(written release)。 |
第15条(d)款 | 持有生物特征标识符或生物特征信息的私人实体不得披露、重新披露或以其他方式传播个人或客户的生物特征标识符或生物特征信息,除非: (1)生物特征标识符或生物特征信息的主体或其法定授权代表同意披露或重新披露; (2)披露或重新披露行为完成了生物特征标识符或生物特征信息的主体或其法定授权代表要求或授权的金融交易; (3)披露或重新披露是州法律、联邦法律或市镇法令的要求;或 (4)披露是有管辖权的法院发出的有效的逮捕令或传票的要求。 |
第20条 | 诉讼权。任何因违反本法规定的行为而受伤害的(aggrieved)的个人,都有权向州巡回法院提起诉讼,或在向联邦地区法院提起诉讼的过程中提出对侵害方的补充请求。胜诉方可就以下每项(each)违法行为获得补救(recover): (1)对过失地违反本法规定的私人实体,可以请求1000美元的预定损害赔偿金(liquidated damages)或以实际损害计算的赔偿金,以较大者为准;[1] (2)对故意或轻率地违反本法规定的私人实体,可以请求5000美元的预定损害赔偿金或实际赔偿金,以较大者为准; (3)合理的律师费和成本,包括专家证人费和其他诉讼费用;以及 (4)州法院或联邦法院认为适当的其他救济,包括禁令。 |
本案存在两个争议焦点。第一,Cothron是否具备诉讼资格?第二,关于损害赔偿问题,是否被告每一违法行为都发生了独立的损害赔偿请求权?以及是否每一损害赔偿请求权都可以独立地计算法定损害赔偿金?
(一)争议焦点一:诉讼资格
在美国,为防止滥诉,避免消耗过多的司法资源,原告需要取得诉讼资格(Standing)成为适格原告,所涉争议才是法院根据美国宪法第3条有权审理的案件。为此,原告需要在侵权案件中证明:
(1)事实上的损害(injury in fact)。原告遭受了事实上的损害,该等损害是实际的(concrete)、具体化的(particularized),且是实际存在的(actual)或即将发生的(imminent),不得是推测的(conjectural)或假想的(hypothetical);
(2)因果关系。损害与被诉行为之间需存在因果关系,以使损害可公平地追溯(fairly traceable)至被告的被诉行为;
(3)可救济性。该等损害很可能能够通过有利的司法判决得到救济。
本案中,法官采用了两个不同的思路来说明原告具备适格原告资格。第一个思路仍从美国宪法第三条要求的诉讼资格出发,说明原告遭受了事实上的损害。第二个思路是从BIPA第20条的规定出发,认为只要被告的行为违反BIPA使得原告受到伤害(aggrieved),原告即有起诉被告获得救济的权利。具体说来:
1、思路一:事实上的损害
法官援引了一系列判例,从无形损害、具体损害、和侵入行为的类比以及知情选择权的剥夺这四个方面来说明原告存在事实上的损害。首先,法官认为实际损害(concrete injuries)要求损害(harms)是“真实的而非抽象的”,[2]除了易于辨明的有形损害(tangible harms),某些无形损害(intangible harms),尤其是那些与“传统上被认为是提供了在美国法院进行诉讼的根据”的损害,[3]也符合实际损害的要件,包括名誉损害、私密信息被披露,以及对私生活的侵入(intrusion upon seclusion)。[4]其次,法官认为具体损害(Particularized injuries)指的是“以一种私人化的和个人化的方式(a personal and individual way)对原告施加特定影响”。[5]第三,法官援引了Bryant案判决中的分析,[6]认为BIPA第15条(b)款规定的知情同意义务保护了个人独有的生物特征数据中的隐私权益,因此,不遵守关于收集生物特征数据的义务相当于侵犯个人的“私有领域”,“类似于一种侵入行为(act of trespass)”,[7]人们必须“有机会就向谁以及出于何种目的放弃(relinquish)其生物特征数据控制权作出知情选择”,不遵守此类义务则会剥夺人们“在伴随风险的情况下考虑该等收集和使用数据的条款是否可以接受的机会”,而对于这种机会的剥夺,是一种实际的和具体的损害。第四,法官将Bryant案中有关BIPA第15条(b)款的分析扩展到BIPA第15条(a)款和第15条(d)款,认为非法保留、披露、重新披露或传播生物特征数据就像非法收集生物特征数据一样,剥夺了一个人“在伴随风险”的情况下考虑谁可能持有其生物特征数据的机会,满足了事实上的损害的要求。
2、思路二:BIPA第20条包含了适当的诉因
法官援引了Rosenbach案中的分析,[8]在该案中,伊利诺伊州最高法院认为,BIPA保护一个人对其生物特征数据的“隐私权和控制权”(right to privacy in and control over),在第15条定义了该等权利的“轮廓”(contours),违反第15条的行为即使得第20条所指的原告受到“伤害”(aggrieves),原告“无需证明除了法定权利被侵犯以外的其他损害(injury)”即取得适格原告资格。
(二)争议焦点二:损害赔偿
原告认为,被告每一次扫描和传输原告指纹时,都独立构成了违反BIPA规定的违法行为,根据伊利诺伊州最高法院在Rosenbach案中的分析,被告的每一违法行为都使得原告感到被“伤害”(aggrieved)。因此,原告认为其对被告每一次违反BIPA的行为都具有损害赔偿请求权。
被告辩称,只有第一次扫描和传输原告指纹的行为才涉及原告损害赔偿请求权发生(accrual)与否的问题,由于第一次侵害行为发生在2008年,已经超过诉讼时效,这一损害赔偿请求权的存在已经没有意义。首先,被告援引了一项适用于诽谤和其他隐私侵权案件的请求权发生规则:一次公开规则(the single-publication rule)。其次,被告辩称,伊利诺伊、州最高法院在Rosenbach案中的分析实际上指向了与原告论点相反的结论:原告仅因被告首次违反BIPA第15条(b)款和15条(d)款的行为受到“伤害”。
1、一次公开规则的适用
根据该规则,基于广泛散布的诽谤性言论产生的侵权损害赔偿请求权仅在该等言论首次公开时产生,而不是在后续每次发布同一言论时重复产生。其目的在于“保护演讲者和作者免受诽谤性内容单一但大规模制作的出版物引起的重复诉讼”,[9]这一原则已被编入伊利诺伊州通过的the Uniform Single Publication Act中。被告认为,根据伊利诺伊州最高法院在West Bend Mutual案中的说理,[10]非法披露个人生物特征数据是侵犯隐私的“公开”行为,应当适用一次公开规则。
法院认为,应当质疑一次公开规则在本案当中的适用。the Uniform Single Publication Act的管辖范围包括诽谤和其他传统的隐私侵权行为,该法以说明性清单的方式列举了涵盖报纸、书籍、电影、电视和广播在内的公开媒介,这可能表示一次公开规则不能与BIPA兼容(fit)。同时,由于West Bend Mutual案涉及的信息披露是保险合同意义上的公开,而非the Uniform Single Publication Act意义上的公开,因此该案判决并非可以当然地适用(slam dunk)至本案当中。
2、首次发生规则(first-time-only accrual rule)——对BIPA第15条(d)款的文义解释
被告认为,仅原告的指纹第一次被传输至第三方的行为可产生相应的损害赔偿请求权。法院认为,即使一次公开规则不适用,从BIPA第15条(d)款的文义上看,被告所辩称的首次发生规则是有道理的。BIPA第15条(d)款中“披露”指向的对象的是未取得生物特征数据的第三方,重复地向同一第三方传输相同的生物特征数据并不构成新的“披露”行为或“重新披露”(redisclose)行为。
原告认为,BIPA对“重新披露”行为的规定否定了被告辩称的首次发生规则,“重新披露”行为包括向同一第三方披露相同的生物特征数据。被告辩称,“重新披露”指的应当是持有生物特征数据的第三方对其他未持有该生物特征数据的“下游”(downstream)实体进行的“披露”。原告认为,BIPA第15条(d)款适用于任何“持有生物特征标识符或生物特征信息的私人实体”,被告的观点会使“重新披露”的概念变得冗余,对下游实体进行披露的行为应当落入到“披露”的范畴当中。
法院认为,从表述上看,“披露、重新披露或以其他方式传播”并没有明确排除一次发生规则(a single-time accrual rule)的适用,“披露”和“重新披露”后接“以其他方式传播”(other disseminate)的表述可能说明了本条的目的在于尽可能地确保所有类似“披露”的行为被涵盖在内。虽然BIPA第15条(d)款没有明确规定损害赔偿请求权只在首次披露时产生,但这是从文义上对法条表述的合理解读。
3、以Rosenbach案为基础对损害赔偿请求权发生问题的分析
Rosenbach案中,伊利诺伊州最高法院认为BIPA的目的在于保护个人对其生物特征数据的“隐私权和控制权”。被告认为,侵权行为第一次发生时就已经对该等权利造成侵害,同一侵害人的重复侵权行为不会进一步损害个人的隐私权或控制权。
法院认为,如果认为在侵权行为首次发生之后的违法收集或披露行为不会造成BIPA意图防止的伤害(harm),被告的首次发生理论(one-and-done theory)是有道理的,BIPA的表述某种程度上支持了这一观点,但这一观点也存在明显的瑕疵,因为其前提是两次违法行为的发生并不比一次违法行为更糟糕(worse)。这个前提可能是错误的,即使是同一实体重复违法收集数据,或者向同一实体重复违法披露数据,也可能增加生物特征数据被滥用或者错误处理的风险,因此,每一次违法行为的发生都会使原告受到独立的伤害。
然而,法院还考虑到,原告在工作中扫描指纹的频率非常高,如果将被告每一次收集和向第三方传输原告指纹数据的行为都视作独立的违法行为,且每一独立违法行为都能够产生请求赔偿1000美元或者5000美元预定损害赔偿金的损害赔偿请求权,最终被告所需承担的损害赔偿责任可能是惊人的。就此问题,原告认为,损害赔偿金的计算与损害赔偿请求权的发生应当分开,如果按照被告的观点,损害赔偿请求权仅在首次违法行为时发生,导致的结果就是,一旦一个私人实体违反了BIPA,如果在第一次之后的违法行为不会产生任何不利的法律后果,那么违法者就不会有动力纠正自己的违法行为,也不会有动力遵守法律。
第七巡回法院认为,本案涉及的问题新颖且棘手,因此请求伊利诺伊州最高法院进行意见确认(certification)。[11]
(一)法定损害赔偿金制度有利于降低受侵害人获得救济的难度
由于在个人信息保护侵权案件当中,受侵害人要证明实际损害存在难度,法定损害赔偿金制度逐渐被引入一些国家和地区的数据保护法中。例如,除了BIPA之外,美国加州《消费者权益保护法案》(以下简称“CCPA”)第1798.150条(a)(1)(A)项规定了对“任何消费者的未加密和未妥善处理(nonredacted)的个人信息遭受到未经授权的访问、渗透、盗窃的,或者由于企业违反了实施和维护与信息性质相适应的合理安全程序和实践的保护义务”而遭受个人信息安全事件影响的消费者适用的法定损害赔偿金制度,每次事件每位消费者可获得下限为100美元且上限不超过750美元的赔偿。我国台湾地区“个人资料保护法”第28条和第29条涵盖的侵害行为更为宽泛,包括非公务机关违反“个人资料保护法”规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利的行为,并且特别规定,在被害人不易或不能证明其实际损害额时,得请求法院依侵害情节,以每人每一事件新台币五百元以上二万元以下计算法定损害赔偿金。
近年来,美国法院在信息隐私侵权案中倾向于认为受害人只要证明行为人存在“侵害法定权利的行为”或者“违反法定义务的行为”,就满足传统侵权案件事实上损害的证明要求,取得适格原告资格,类似于《德国民法典》“违反保护他人之法律”作为提起侵权之诉的诉因。[12]在Robins诉Spokeo公司案中,[13]联邦第九巡回法院认为,“国会为强制执行成文法条款而设立私人诉因,意味着国会有意为强制执行该条款设立法定权利,原告的法定权利受到侵犯时不一定受到真实伤害(actual damages),法定权利受到侵犯本身就满足了受害人取得适格原告资格所需要满足的事实上的损害(injury in fact)的要件。”如此一来,大大减轻了受害人的诉讼成本。再加上法定损害赔偿金制度的引入,受害人获得救济的难度大大降低。
(二)不合理的法定损害赔偿金制度会扭曲损害赔偿责任的功能
通常而言,损害赔偿请求权旨在填补受害人的损害,故以补偿功能为基本功能。在没有规定法定损害赔偿金的国家或地区,法官通常将侵害行为的发生次数、严重性、持续时间,数据处理活动的性质、范围、目的,受影响数据主体的数量及遭受的损害程度纳入到侵权行为人损害赔偿责任的计算中。对于引入了法定损害赔偿金制度的国家和地区,如果损害赔偿请求权发生制度以及法定损害赔偿金计算方式设计得不合理,可能会导致侵权行为人承担过高的损害赔偿责任,从而使得这一制度的实际效果从“使得受害人所受损害更易获得补偿”转变为“使得侵权行为人面临严重的惩罚性赔偿后果”。个人信息保护法中的惩罚性法律后果应当主要体现在行政罚款、竞业限制等手段中,私力救济机制或许不应当担负如此功能。更何况,随着法定损害赔偿金的引入,对于个人而言,证明责任与诉讼成本降低,“滥诉”的风险增大,倘使侵权行为人面临集体诉讼,所需承担的损害赔偿金数额更是天文数字。
为解决这些问题,伊利诺伊州正考虑对BIPA进行修正,例如,2021年2月,伊利诺伊州众议院议员提出对BIPA的修正案(HB0559),引入了类似于CCPA下的30日合规补救期制度,要求受害人在向私人实体提起诉讼之前,向私人实体发送书面通知,说明受害人认为的私人实体已经违反或正在违反的BIPA下的具体规定,如果私人实体在30天内实际纠正了该违法行为且向受害人提供有关纠正违规行为的书面说明和不再发生违法行为的承诺,则受害人不得对私人实体提起法定损害赔偿之诉。如果私人实体后续作出了违反其书面声明和承诺的行为,受害人可对私人实体提起诉讼,可强制执行书面声明的内容并就私人实体每次违反书面声明的行为以及作出书面声明之后的其他任何违法行为追究法定损害赔偿金。[14]目前,HB0559正重新提交众议院委员会审查。除此之外,2021年3月,伊利诺伊州众议院议员提交了另一份针对BIPA的修正案(HB0560),HB0560取消了BIPA规定的私人诉讼权,将诉讼权交由伊利诺伊州总检察长和州劳工部的执法部门。[15]
我国台湾地区“个人资料保护法”也考虑到了法定损害赔偿金制度下侵权行为人承担的损害赔偿责任过重的问题。“个人资料保护法”第28条第3款规定:“如被害人不易或不能证明其实际损害额时,得请求法院依侵害情节,以每人每一事件新台币五百元以上二万元以下计算。”同时,又在该条第4款对同一事件多人请求损害赔偿的总额作出限制,规定“对于同一原因事实造成多数当事人权利受侵害之事件,经当事人请求损害赔偿者,其合计最高总额以新台币二亿元为限。但因该原因事实所涉利益超过新台币二亿元者,以该所涉利益为限”,在该条第5款在第4款总额限制的情况下对第2款每人每事件最低赔偿额作出克减,规定“同一原因事实造成之损害总额逾前项金额时,被害人所受赔偿金额,不受第三项所定每人每一事件最低赔偿金额新台币五百元之限制”。笔者认为,“个人资料保护法”第28条降低了被害人在“不易或不能证明其实际损害额时”的证明责任,同时,考虑到非公务机关所服务的个人资料当事人众多,一次事件影响范围难以估计,如果损害赔偿的数额过于巨大可能导致对非公务机关的正常运营造成影响,故而影响到个人资料当事人的利益,又以规定损害赔偿上限额的方式保障不会对非公务机关的运营造成致命打击。
(三)我国可以考虑在个人信息保护领域设置合理的法定损害赔偿金制度
目前,我国在个人信息保护领域仍以传统侵权法方式计算损害赔偿责任。《民法典》第1165条第1款、第1166条对原《侵权责任法》第6条第1款和第7条作出了修改,[16]对侵害与损害、绝对权请求权与侵权损害赔偿请求权进行了区分,明确了损害赔偿责任的产生基于“损害”的发生而非“侵害行为”的发生。[17]在《民法典》1165条表述中的“侵害”,指的是侵害行为,即行为人自主实施的侵害他人民事权益的行为,[18]而在该条表述中的“损害”,指的是具有法律上的可补偿性的受害人遭受的任何物质利益或精神利益的非自愿丧失。[19]
根据我国《个人信息保护法》(以下简称“《个保法》”)第69条规定,损害赔偿责任的发生仍以“是否造成损害”为准,而非“是否存在侵害行为”,是否将“侵害法定权利的行为”或者“违反法定义务的行为”认定为一种可能招致损害赔偿责任的“损害”,仍有待于我国立法机关、司法机关后续作出明确。此外,目前我国《个保法》尚未设置法定损害赔偿金制度,根据《个保法》第69条第2款的规定,损害赔偿责任的计算方式仍以“个人因此受到的损失”或者“个人信息处理者因此获得的利益”为准,在“完全赔偿”和“禁止得利”两项原则涵盖之下。为了克服个人在侵害个人信息权益中损害证明难的问题,或许可以考虑在未来引入法定损害赔偿金制度。同时,应当为法定损害赔偿金的适用设置合理的限制条件。例如,特定适用情形;合规补救期制度;赔偿金额的合理区间;同一违法行为造成多数人权利时的总额限制等,以更好地达到“保护”与“发展”的平衡。
[1]根据《元照法律词典》对“liquidated damages”的解释,该概念本指预定损害赔偿金/合同损害赔偿金,即合同中的违约条款,对在合同一方违约时应向另一方支付一定数额的金钱所作的约定。参见《元照法律词典》,北京大学出版社2003年版,第854页。根据康奈尔大学Wex法律词典的解释,“liquidated damages”常见(Most often)于合同中。详见:
https://www.law.cornell.edu/wex/liquidated_damages。但本案中,法官认为这就是一种“statutory damages”,即“法定损害赔偿金”,根据康奈尔大学Wex法律词典的解释,法定损害赔偿金的金额通常由法律事先规定,常见于原告遭受的损害或损失难以确定的比较复杂的领域。详见:
https://www.law.cornell.edu/wex/statutory_damages。BIPA中为什么使用“liquidated damages”而不是“statutory damages”,笔者尚未找到答案,请各位读者赐教!
[2]Spokeo, Inc. v. Robins, 578 U.S. 330, 340 (2016)
[3]TransUnion LLC v. Ramirez, 141 S. Ct. 2190, 2204 (2021); see also Spokeo, 578 U.S. at 340–41.
[4]TransUnion LLC v. Ramirez, 141 S. Ct. 2190, 2204 (2021).
[5]Lujan v. Defs. of Wildlife, 504 U.S. 560 (1992).
[6]Bryant v. Compass Group USA, Inc., 958 F.3d 617 (7th Cir. 2020)
[7]在现代法中,trespass有三类:侵害他人财物(trespass to goods);侵犯他人人身(trespass to the person);侵入他人土地(trespass to land)。参见《元照法律词典》,北京大学出版社2003年版,第1356页。
[8]Rosenbach v. Six Flags Entertainment Corp., 129 N.E.3d 1197, 1206 (Ill. 2019)
[9]Pippen v. NBCUniversal Media, LLC, 734 F.3d 610, 614–15 (7th Cir. 2013).
[10]West Bend Mutual Insurance Co. v. Krishna Schaumburg Tan, Inc., No. 125978, 2021 WL 2005464 (Ill. May 20, 2021).
[11]意见确认(certification):联邦上诉法院对本院正在审理的未决案件中的某一法律问题需要相关指导时,请求联邦最高法院或者州最高法院对该问题予以审查的程序。参见《元照法律词典》,北京大学出版社2003年版,第208页。
[12]《德国民法典》第823条第1款规定的“违反以保护他人为目的的法律者,负相同的义务。依其法律之内容,虽无过失亦可能违反此种法律者,仅在有过失时,始负担赔偿损害的义务”。转引自程啸著:《侵权责任法》,法律出版社2021年第3版,第142页。
[13]Robins发现Spokeo公司生成的关于Robins自身的个人信息不准确,该等错误信息可能对Robins在求职时带来不利的影响。因此,Robins联合同样出现此类情况的其他消费者对Spokeo提起了联邦集体诉讼,指控Spokeo故意不遵守美国1970年《公平信用报告法》(The Fair Credit Reporting Act of 1970,FCRA)的要求。根据FCRA第602条的规定,消费者报告机构须“遵守合理的程序以确保消费者报告的最大准确性”,而“任何因故意不遵守此项义务者将对受影响者承担责任”。Spokeo认为,由于Robins未证明事实上的损害,仅证明Spokeo违反了FCRA规定的程序义务,不能认为这满足了实际损害的要件,“仅是违反FCRA的程序性要求可能不会造成任何损害,也并非所有的不准确性都会造成损害或者任何实质性的可能造成损害的风险”。Robins v. Spokeo, 742 F.3d 409 (9th Cir. 2014).
[14]https://www.ilga.gov/legislation/BillStatus.asp?DocNum=559&GAID=16&DocTypeID=HB&SessionID=110&GA=102
[15]https://www.ilga.gov/legislation/billstatus.asp?DocNum=560&GAID=16&GA=102&DocTypeID=HB&LegID=128637&SessionID=110
[16]《民法典》第1165条第1款的表述为“行为人因过错侵害他人民事权益造成损害的”,而《侵权责任法》第6条第1款的规定是“行为人因过错侵害他人民事权益”。
[17]参见程啸:《中国民法典侵权责任编的创新与发展》,《中国法律评论》2020年第3期,第48页。
[18]“侵害”一词突出强调了行为的非法性和违法性。例如对于物权、人格权等绝对权而言,侵害行为指的是未经权利人许可且不存在法律规定的违法阻却事由的情况下,侵入权利人控制的领域或占有、使用、处分权利的客体。例如,未经所有权人同意而使用其所有的物品;未经权利人同意而侵入其住宅。至于法律保护的非绝对权的其他民事权利及民事利益,侵害行为是指未经权利人或权益人同意,且以法律所禁止方式使用、处分他人的权益客体或者进入他人权益所控制的领域。例如,以违反法律规定和当事人约定的方式处理自然人的个人信息。参见程啸:《中国民法典侵权责任编的创新与发展》,《中国法律评论》2020年第3期,第48页。
[19]“损害”的存在是损害赔偿责任的必备要件,很多情形下,侵害他人的民事权益往往会对权益人造成损害,如开车将他人撞伤的行为,侵害了受害人的健康权或身体权。但在很多情形中,行为人虽然侵害了他人的民事权益,却并不一定导致了损害后果。例如,在房屋所有权人的门口堆放杂物堵塞出路,虽然可以认定构成对房屋所有权人所有权的妨碍,却并未造成损害。除此之外,即使侵害造成了损害,二者在因果关系判断中所处的层次也不同。认定加害人的行为是否构成侵害,即加害行为与权益被侵害之间是否存在因果联系,属于责任成立的因果关系,是第一层次的因果关系,解决的是侵权责任成立与否的问题。然而,侵害行为与损害之间的因果联系,属于第二层次的因果关系,即责任范围的因果关系,解决的是赔偿范围问题。此外,侵害民事权益是所有的侵权责任的构成要件,即没有侵害他人民事权益的行为,就不会产生侵权责任,但是,损害只是侵权责任中的侵权损害赔偿责任的构成要件,即没有损害就没有赔偿。然而,《侵权责任法》并未对侵害与损害作出正确的区分。一方面,依据该法第6条第1款,不仅“侵害”他人民事权益的行为是所有的侵权责任的构成要件,而且“过错”原则上也是所有侵权责任的构成要件。至于“损害”这个侵权赔偿责任的最重要的构成要件,却没有出现在对过错责任原则的规定当中,参见程啸:《中国民法典侵权责任编的创新与发展》,《中国法律评论》2020年第3期,第48-49页。参见程啸著:《侵权责任法》,法律出版社2021年第3版,第109页。
中心会议 | 算法治理研讨会暨《算法治理蓝皮书》发布会在北京顺利召开(后附蓝皮书原文与解读)
新书推荐 |《个人信息保护立法研究》
年度观察 | 2021年网络法治盘点与回顾(二):个人信息保护篇
域外观察 | 韩国率先发布全球首部《数据基本法》,大力发展数据产业
域外观察 | 韩国迎来《个人信息保护法》颁布以来的首次全面修订
中心解读|《个人信息保护法》与GDPR的个人信息权利对比
中心研究|十问十答看懂我国个人信息去标识化规则中心研究 | 透视“数字守门人”制度:对大型平台的事前监管机制
中心研究|美国打压我国科技公司的政策工具梳理
中心研究|关于APP与关联方共享个人信息问题研究
中心会议|《个人信息保护法(草案二次审议稿)》研讨会顺利召开中心研究|商务部《阻断办法》解读与“国际阻断立法”比较研究
中心研究|数据治理 |数据价值演变下的个人信息保护:反思与重构
域外观察|数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究|数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
中心研究|未成年网络保护 | 《未成年人保护法》修订:十大制度亮点推动未成年人网络保护进入新阶段
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译|新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理