查看原文
其他

王鹏鹏|论敏感个人信息的侵权保护

王鹏鹏 华中科技大学学报社会科学版
2024-09-23

CSSCI来源期刊  中文核心期刊  中国人文社会科学核心期刊 


作者简介 




王鹏鹏,福建师范大学法学院副教授




原文刊登于《华中科技大学学报(社科版)》2023年第二期第41至第51页



论敏感个人信息的侵权保护



摘要

 Abstract

敏感个人信息与私密信息之间存在区分,“敏感性”需要客观的法律标准予以认定,“私密性”是主观认识。场景理论的引入将缓和敏感个人信息界定的僵化。敏感个人信息侵权的主要表现形式为对隐私权的侵害、诱发下游犯罪以及引起不必要的歧视。这些损失发生需要通过精神损害赔偿和财产性损害赔进行弥补。其中,损失可以通过缓和“严重的精神损害”、延伸“差额说”、信息主体获得利益等规则立体确定。《个人信息保护法》第二章规定的“敏感个人信息的处理规则”是事前防御性规则,处理敏感信息时违反该规定将被认为有过错。《个人信息保护法》中规定的过错推定原则与《民法典》中的过错原则并不存在实质冲突,而是协调统一的。

键词

Key words

敏感个人信息;私密信息;场景理论;信息侵权;归责原则

一、问题的提出

大数据时代,个人信息侵权已经成为当下普遍且广泛存在的新型侵权类型。其中,敏感个人信息泄露或者非法使用,将导致更为严重的损害结果。敏感个人信息的保护力度应该比一般个人信息的保护力度更大。《中华人民共和国民法典》(以下简称《民法典》)并没有对敏感个人信息进行界定,在立法上存在缺失和留白。《个人信息保护法》填补了法律对于敏感个人信息保护的空白。《个人信息保护法》第二章专门规定了“敏感个人信息的处理原则”,为敏感个人信息的处理提供了基本的指引,但也没有就敏感个人信息侵权责任的承担提出更为详细的规定。

敏感个人信息侵权的立法缺失导致司法裁判的困惑。信息处理者在个人信息处理过程中,利用自身的技术优势,包括信息收集、算法技术,不断地加工和处理与个人紧密相关的信息,从而做出有利于特定目的的决策结果,实现商业需求。商业行为本身的趋利性,将诱使信息处理者在处理个人信息的过程中,损害个人的信息权益。信息处理者在不当使用敏感个人信息时,不仅可能会侵犯信息主体的隐私,而且还可能诱发下游犯罪以及社会分选歧视等。如,大量的酒店住宿信息被不当泄露、人脸识别信息被不当采集、防疫核酸检测信息被贩卖等。同时,敏感个人信息侵权的损害认定过于严苛,信息主体无法证明其因信息泄露而遭受财产侵害,无法获得赔偿;部分法院甚至以信息处理者侵犯信息主体的敏感信息并没有达到严重的损害结果为由,不支持信息主体的侵权责任主张。此外,信息主体对于敏感个人信息侵权发生的损害结果不知悉,造成大量的敏感个人信息侵权事件得不到有效的救济。这都在客观上降低了信息处理者侵权的成本。

敏感个人信息损害是一种新型的侵权类型,需要在理论上予以探讨。敏感个人信息损害的私法保护有如下问题亟待明确:一是敏感个人信息的界定。尽管《个人信息保护法》在第28条对敏感个人信息进行了规定,但是其和《民法典》上的私密信息关系是怎样的?二是敏感个人信息侵权的损害结果认定。敏感个人信息侵权结果就是出现损害,但是,敏感个人信息侵权的损害结果往往并不是侵犯个人信息权益本身所造成的,更多的是侵犯信息主体的隐私、下游犯罪、不必要的歧视等,这些损害该如何确定?三是敏感个人信息侵权保护。《个人信息保护法》专门规定了“敏感个人信息的处理原则”,违反上述原则是否就可以认定行为人的“过错”?同时,《个人信息保护法》第69条对于一般个人信息侵权的归责路径采取过错推定原则,而《民法典》对于私密信息侵权的归责原则似乎采取的是过错原则,那么,敏感个人信息侵权的归责原则该采取何种模式?上述这些问题亟待进一步研究。

二、敏感个人信息认定标准的检视

敏感个人信息的侵权责任承担的前提是对其内涵和外延有清晰的认识。《个人信息保护法》第28条第1款对敏感个人信息作出了界定,描述了敏感个人信息的风险内容、风险程度以及风险发生的可能,具有一定的进步意义。

(一)敏感个人信息的“敏感性”考量

敏感个人信息的界定在《个人信息保护法》中采取的是“概括+列举”相结合的方式,这不仅为理解敏感个人信息提供了一定的弹性,而且还明确了若干常见的类型。但是,敏感个人信息的“敏感”更多的是主观上的认识,并没有具体的标准,存在极大的主观评价空间,给司法实践以及法律适用带来一定的困惑。

敏感个人信息的“敏感”程度的主观标准不具有科学性。敏感个人信息的“敏感性”的主观标准因不同个体有不同的感知。如婚恋信息,有些人将此类信息视为极为敏感的信息,而有些人则将此类信息对外公开,并不认为是敏感个人信息。据此,有学者认为敏感个人信息是用户真正关心的个人信息。也有学者认为,技术驱动下的信息都带有一定的敏感性。但是,敏感个人信息若如此界定将会造成概念泛化,导致个人信息的“敏感”范围无限扩大。敏感个人信息若受到“敏感”这一语义的束缚,将无法走出主观认知的泥潭。信息主体对于“敏感性”的认识,具有较大的主观评价空间,需要较为准确的法律实证资料以及客观的评价标准进行界定。

敏感个人信息的“敏感”界定需要客观评价标准。敏感个人信息的界定通过列举的方式进行界定存在困难。目前,在《个人信息保护法》上规定的“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息”七种类型的信息,显然无法满足社会生活的现实需要。立法机构在概括的标准中提出了对信息主体容易造成危险的信息。敏感个人信息的高风险性且容易造成信息主体的人格、财产、人身受到威胁,该规定具有一定的兜底性作用。从敏感个人信息不当使用的结果看,可以有以下的判断维度:首先,敏感个人信息造成人格尊严的损害。人格尊严作为人生存的基本前提,需要法律予以特殊的保护。敏感个人信息的泄露,如医疗健康信息,可能造成不必要的就业歧视。其次,敏感个人信息造成的人身损害。人身损害是基于敏感个人信息被不当的适用所造成的。如信息主体的行踪轨迹被非法使用,造成的损害结果可能被下游犯罪利用,如故意伤害、非法拘禁绑架等。最后,敏感个人信息造成的财产损失。敏感个人信息被不当使用,如金融账户信息,将极易导致信息主体的财产损失。

敏感个人信息在实务中的“敏感性”判定需要遵循一定的逻辑递进层次。首先,敏感信息应该是个人信息,只有能够识别出信息主体的身份,才有进一步讨论和识别的必要。如果一个信息无法识别出特定的身份,则就不能称之为“敏感个人信息”。如基因片段都蕴含着巨大医疗健康信息,但是如果没有同特定的主体进行链接,则也很难作为敏感个人信息。其次,敏感个人信息并不是个人主观的心理要素判断,而是具有客观法律保护标准的特定客体。现有法律所界定的容易造成人格尊严、人身、财产受到损害的个人信息,是以损害结果为导向所做的判断。最后,敏感个人信息的判断标准需要兼采具体场景进行判断。随着信息技术的不断发展以及应用场景的不断丰富,敏感个人信息的外延将不断扩展,此时就需要引入具体的场景进行判断。

(二)信息“敏感性”与“私密性”的区分

《民法典》上将个人信息区分为私密信息与非私密信息,但《个人信息保护法》并没有延续《民法典》对于个人信息的区分,而是将个人信息区分为敏感信息和非敏感信息。这就带来一大疑惑:私密信息与敏感信息关系如何?是否为同一法律客体?

敏感个人信息与私密信息属于法律保护的不同客体。《个人信息保护法》的立法目的在于“规范个人信息处理活动”,调整的是信息主体与信息处理者之间的权利义务。敏感个人信息主体与处理者之间,二者在专业、技术以及资金上都存在显著的差距。《个人信息保护法》通过权利义务的分配,更为注重保护敏感个人信息主体的信息利益。《民法典》将私密信息置于人格权编中,并且将其作为一种隐私权保护的具体类型,调整的是平等主体之间的权利义务,在法律上并不需要实质的利益的倾斜保护。从个人敏感信息与隐私权的实践上看,随着信息社会的不断推进,敏感个人信息和隐私权的内涵和外延将不断的融合。

敏感个人信息与私密信息的关系在理论上也有不同的认识。有学者认为,敏感个人信息与私密信息之间是交叉重合的,一些信息可以同时是敏感个人信息和私密信息;也有学者认为二者是相互分离且独立的;还有学者认为,敏感个人信息被私密信息所包含。笔者认为,敏感个人信息与私密信息是基于不同的标准来对个人信息的分类,其中,敏感个人信息重点关注该信息的泄露是否容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,而私密信息则更为关注信息主体的生活安宁不受侵扰的隐私。在敏感个人信息与私密信息的区分中,敏感个人信息不仅有主观的“敏感性”要素考虑,更有客观危险的法律要素的评价;私密信息则更多的是主观认知表现,并没有实质性的标准评价。

个人信息的“敏感性”与“私密性”属于不同维度的两个评价标准,二者存在交叉重叠之处。敏感个人信息与私密信息是基于不同的标准进行分类,在内容上必然存在部分交叉但并非完全融合。敏感个人信息的判断原则是以国家法律或者标准予以确定,《个人信息保护法》认为是“容易产生危害”。敏感个人信息原则上是禁止处理的,信息主体授权处理并不会导致信息本身失去敏感性。但是,私密信息则是从社会公众的认知角度出发,经过公开之后将不再具有私密性。如,信息主体的行踪轨迹,既属于敏感个人信息,也属于私密信息。信息主体基于特定的目的将行踪轨迹公开,此时在法律上就不会被评价为私密信息,但依然属于敏感信息。同时,私密信息在隐私人格权中予以保护,更为关注生活的安宁以及人身财产安全不受侵扰。敏感个人信息的认定需要有一定的客观标准,从法律规定上以损害发生的容易程度作为判断依据,即“容易”损害。

总之,个人信息在“敏感性”与“私密性”之间的区分,将个人信息作为不同的法律客体进行保护,但是二者之间又存在交叉和重叠的部分。对个人信息的“敏感性”和“私密性”区分的不同法律评价标准的界定,显示出对敏感个人信息而言,目前的法律标准的规定具有一定的局限性,需要结合具体的应用场景进行认定。

(三)敏感个人信息认定的场景理论

《个人信息保护法》采用“概括+列举”的方式对敏感个人信息进行界定,并不能满足个人信息日益丰富的应用场景需要。如《征信业管理条例》将个人征信信息列为敏感个人信息,最高人民法院颁布的《关于审理使用人脸识别技术处理个人信息相关民事案件使用法律若干问题的规定》认为人脸信息是敏感个人信息,……敏感个人信息在不同的场景下将不断丰富。因此,个人信息也会随着应用场景的不同而作出不同的敏感性评价,这就需要引入场景理论进行认定。

场景理论是对个人信息在不同情境的信息要素进行评价。个人信息处理的场景理论参与要素有信息主体、信息处理者、第三方主体、信息性质以及信息的处理目的等。其中,信息主体、信息处理者以及信息处理目的对敏感信息的评价具有明显的影响作用。第一,信息主体要素,主要是基于不同的主体标准进行的评价,如信息主体的年龄。我国已经将不满十四周岁的个人信息统一列为敏感个人信息。第二,信息处理者基于何种身份处理该信息,敏感性也将不一样。如医生使用患者的医疗信息,就不存在敏感性。但是,如果其他主体使用该信息,则存在敏感性的问题。第三,信息处理的目的,考虑信息处理者处理信息的目的,若违反特定目的来对信息进行处理,则会对敏感个人信息的主体造成侵害。总之,场景理论引入之后,对敏感个人信息进行评价,主要就是围绕信息主体、信息处理者、信息处理的目的进行综合考量。

场景理论扩展和丰富了敏感个人信息的范畴。场景理论的信息主体、信息处理者以及信息处理目的等要素的引入,有效地缓解了立法上的僵化,丰富和扩展了敏感个人信息的外延。敏感个人信息的判定不能简单地按照信息的性质进行判断,而是应该将其置于具体的应用场景中进行综合评价。信息公开的规模大小以及信息存续长短也可以成为敏感程度判断的间接因素。以汽车信息为例,显然它并不是《个人信息保护法》中所规定的具体类型,但是基于场景理论,一定规模且持续一段时间的信息被信息处理者采集,非法使用或者泄露,将很容易分析出驾驶员的行车轨迹、司乘情况以及出行规律等,这对驾驶员的人格尊严、人身财产都将产生极大的潜在危险。此外,场景理论可以通过具体的应用场景剔除一些非敏感信息的认定类型。如金融账户信息,此类信息对于信息主体的征信评价有直接的意义,若信息主体授权金融机构查询此类信息,并根据其作出的征信评价提供贷款,在该应用场景下,信息主体金融信息将不再作为敏感个人信息;再比如医疗信息,尽管《个人信息保护法》已经将此类信息界定为敏感个人信息,但医生在使用该信息进行诊疗活动时,并不能被认为具有敏感性。

敏感个人信息的认定在不同的场景下具有不同敏感性。尽管敏感个人信息的判断标准以事后是否容易遭受损害为标准,但场景理论揭示了敏感个人信息的判定应该放在具体的应用场景中。场景理论认为,信息从一个信息处理者传输到不同的信息处理者时,被不同的开发利用也将有不同的信息含义,这有效地平衡了信息主体与信息处理者之间的利益。

三、敏感个人信息侵权损失的考察

敏感个人信息侵害并没有作为一种特殊的侵权类型在《民法典》的“侵权责任编”中予以规定,只能按照一般侵权责任进行处理。对于敏感个人信息权益受到侵害的侵权责任的私法规定,可以零星地适用于《民法典》《个人信息保护法》等规定。敏感个人信息主体对侵权所造成的损害结果感知不够强烈,并且因信息主体的理性不足、数据鸿沟以及救济效果欠缺等原因,导致私力救济乏力。究其原因,主要是由于敏感个人信息的损失无法确定。

(一)敏感个人信息侵权的损害类型

敏感个人信息的侵权发生在信息处理过程中。敏感个人信息的处理包括收集、存储、使用、加工等行为,可以是积极的作为,也可以是消极的不作为。但是,由于这些不当的行为将导致敏感个人信息的“泄露或者非法使用”,并没有造成敏感个人信息的直接损害,而是“导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”等下游损害。

敏感个人信息侵权将导致信息主体不安与焦虑。信息处理者在敏感个人信息收集、存储、传输、加工、使用等不同环节都存在敏感个人信息侵权的可能。敏感个人信息未经允许被第三方访问、识别、解读,从而导致信息的保密性和完整性遭到破坏。如,某酒店集团的客户住宿记录被泄露,这些信息记载着客户在何时、何地与何人登记住宿的内容,信息泄露无法对信息主体的财产和人身造成直接的损害,但会对信息主体的社会声誉、生活安宁以及心理承压造成影响,甚至对信息主体家庭的和谐造成破坏。敏感个人信息侵权发生后,信息主体遭受后续损害的风险在不断增加,从而造成信息主体的不安、恐惧。但是,我国的司法裁判认为,信息主体因未能证明信息处理人的数据泄露而遭受的实际损害,无法得到有效的侵权损害赔偿,这无疑在一定程度上降低信息处理者侵害敏感个人信息的违法成本。

敏感个人信息侵权将对隐私权造成侵害。隐私权是信息主体不愿意被他人知道的“私密空间、私密活动以及私密信息”,是一种自己的生活安宁不被侵扰的防御性权利。首先,敏感个人信息承载着大量的隐私利益,如生物识别、宗教信仰、行踪轨迹等。敏感个人信息将直接识别指向信息主体的隐私利益。敏感个人信息随着生活实践的不断丰富和隐私权的外延不断扩大,二者也将不断地融合。其次,敏感个人信息的合理使用以及处理的前提是不侵犯信息主体的隐私,如果要对敏感个人信息进行处理,则需要有严格的前置“通知—同意”授权程序,以保护信息主体的隐私利益。最后,敏感个人信息并不会因为其公开或者被使用而降低或者丧失“敏感”性,相反,信息处理者在处理时应该以信息主体的隐私权保护为边界,合理有序地处理敏感个人信息。

敏感个人信息侵权将诱发下游犯罪。下游犯罪本质上只是以敏感个人信息为工具,如电信诈骗、敲诈勒索以及身份盗取等。以电信网络诈骗为例,犯罪行为人通过非法手段获取信息主体的个人信息,包括信息主体的姓名、家属信息、职业信息等,对受害人进行网络电信诈骗。下游犯罪是敏感个人信息权益受到的衍生侵害。此外,信息主体的个人信息受到侵害与下游犯罪受到的损失之间的因果关系高度复杂,难以认定。敏感个人信息侵权的责任倒置对于因果关系的司法认定有所缓和,信息主体提供的证据能够证明信息处理者存在泄露信息主体隐私信息的高度可能,就可以认为信息处理者实施了泄露个人信息的加害行为,并且二者存在因果关系。敏感个人信息作为工具引发的下游犯罪的财产损害,是新型损害的表现方式。

敏感个人信息侵权将引起社会歧视。信息处理者将信息按照特定的目的进行加工,为自己最终的商业目的服务。社会歧视产生于上述商业目的服务的过程中,信息处理者通过算法对信息主体进行分类筛选,并且产生不同的标签,最终推送出有差别的服务、价格。大数据杀熟是社会歧视最为典型的表现。社会歧视的技术路径是信息处理者按照一定目的对敏感个人信息进行处理并进行标签化,在算法技术路径下生成自动的决策结果,产生对特定群体的优待或者排斥。社会歧视带来的不公平的差别待遇,本身就是信息处理者对信息主体的利益损害,信息处理者基于不同的信息主体的个人信息所进行的信息分选,不断放大了算法歧视带来的后果。敏感个人信息引发的社会歧视是技术驱动的结果,是新型侵权损害类型。

从上述的分析看,敏感个人信息侵害的隐私权、下游犯罪以及社会歧视,并不是侵害敏感个人信息所带来的直接结果,而是因敏感个人信息侵害所诱发的延伸损害;同时,敏感个人信息所诱发的下游损害,无法直接评估经济损害结果。因此,隐私权、下游犯罪以及社会歧视的损失在敏感个人信息侵权中该如何确定就值得进一步研究。

(二)敏感个人信息侵权的损失认定

敏感个人信息权益受到侵权后,往往发生的是衍生的社会风险,如不安恐惧、隐私损害、下游犯罪以及社会歧视等,但这些损害都无法认定。比如个人的健康信息受到侵害,可能引起的社会后果是就业歧视;个人的酒店住宿记录被不当公开,可能引发信息主体社会评价的下降……那么,对于因敏感个人信息侵权的损失该如何认定,就成为理论界和实务界关注的焦点。

敏感个人信息侵权很难用“差额损失”认定。传统的侵权行为理论认为,侵权所产生的结果是差额损失。“差额损失”是敏感个人信息所享有的利益与侵权行为发生前的利益之间的减损差额,侵权责任的承担就是通过货币来填补差额。敏感个人信息损害的发生阶段,学界有不同的看法。有学者认为,赔偿责任只有在个人信息被非法利用且产生人身、财产损害时才会发生。也有学者将个人信息损害的赔偿责任前置,认为只要有发生损害的风险,侵权责任机制就可以启动。上述两种观点中,第一种观点认为,只有实际损失的发生,才能主张侵权责任;第二种观点则是没有发生损害,也要求信息处理者承担侵权责任。“差额损失”则要求损害需要实际发生,才能要求信息处理者承担损害赔偿责任。但是,敏感个人信息被侵害后的经济损失无法直接认定。如原告因被告将自己的征信信息进行商业化使用,但是由于原告无法证明自身因征信信息被利用而遭受的经济损失,而未能得到法院的侵权损害支持;再比如,法院不支持信息主体的侵权损害赔偿的主要理由都是认为信息主体无法证明损害的发生。概言之,敏感个人信息的侵权需要以一定的损害发生为前提。

在现有的司法实践中,法院对于侵犯公民敏感个人信息的刑事责任采取较为严格的措施,民事责任则往往通过公益诉讼或者刑事附带民事诉讼的方式予以解决。敏感个人信息侵权损害的认定有不同的裁判思路:有法院采用了行为主体的获利金额作为损失认定的标准,并判定侵权主体向社会公众赔礼道歉;也有法院不对损害金额进行认定,仅仅要求侵权人公开赔礼道歉且删除相关的敏感个人信息。信息主体在主张由于敏感个人信息损害带来的赔偿时,就需要证明其具体的损失情况,但信息主体很难证明信息处理者对其造成了实质性损害,甚至连生活上的困扰都很难证明,更难以证明侵权责任成立。在部分的裁判案件中,法院即便认定了信息处理者对信息主体造成了隐私权益损害,也无法得到有效的赔偿。我国曾有判例显示,信息主体因为授权信息处理者收集其网页浏览记录,并实施推送精准营销广告而侵害了其私生活的安宁,但法院认为信息主体并没有因该行为对信息主体造成实质性损害,不构成对隐私权的侵害。总之,现有的侵权责任的承担方式无法有效地通过风险分配的形式对侵权人的侵权损害行为形成有效的威慑。

敏感个人信息被侵权后最为典型的表现就是信息主体因担心未来潜在的侵害而处于焦虑不安的状态。这种焦虑不安的状态能否要求精神损害赔偿,就值得研究。精神损害赔偿产生的前提是发生“严重的精神损害”。法院对于“严重的精神损害”的认定是极为谨慎和保守的,大量的案件并不认为此种内心的焦虑和不安达到严重的限制要件,从而无法支持对精神损害赔偿的诉求。有些法院甚至对于信息主体所主张的1元精神损害赔偿请求都不予支持。但是,也有法院就将这种不安的焦虑认定为可以主张精神损害赔偿的要件,从而支持部分的精神损害抚慰金。信息主体无法得到赔偿的主要原因在于法院认为其无法达到“严重”的程度,就风险控制及分配理论而言,若要求敏感个人信息的主体达到“严重”程度才可以主张赔偿,无异于放纵信息处理者损害行为的发生。

(三)敏感个人信息侵权的损失确定

敏感个人信息侵权发生之后就需要确定信息主体所遭受的损失。按照侵权责任法的理论,损失的确定包括财产损害赔偿和非财产损害赔偿。其中,非财产损害包括痛苦、创伤以及生活品质下降,而财产损害包括收入或者利润的损失或者财产价值的损害。然而,敏感个人信息侵权的损害并不直接导致财产损失,而是信息主体的风险与焦虑不断增加。

敏感个人信息主体精神损害赔偿“严重”的标准应有所下降。我国现有的法院判决多因原告无法证明敏感个人信息的侵害而遭受实际财产损害,且敏感个人信息主体的不安和恐惧并没有达到“严重的精神损害”程度而无法获得赔偿。如果要求敏感个人信息的损害标准要达到“严重”或者“明显”的界定,将降低信息主体提起诉讼而获得救济的机会。若借鉴国外判例——已经转向信息主体主张敏感个人信息的侵害,如泄露、不法使用等,则将增加其未来遭受侵权风险的损害和因此产生的精神不安、恐惧。国外有裁判采取“客观合理的可能性”标准来认定这种未来损失的实际发生。在雷米亚斯案中,约35万张信用卡信息和身份信息被非法获取,其中约9200个持卡人的财产或者人身权益已经遭到损害,对于其他的超过34万人的信息主体的合法权益遭受侵害的判断,法院认为,尽管34万人因信用卡信息或者身份信息泄露并没有造成实际损害,但是这种未来的侵害的发生是“客观合理的可能性”,从而判定信息主体造成了“事实的损害” 。不仅如此,欧盟法也认为敏感个人数据泄露所造成的不安和恐惧需要予以侵权保护,需要侵权主体承担赔偿责任。此外,欧盟国家有降低精神损害赔偿门槛的趋势。概言之,敏感个人信息侵权所造成的不安、恐惧应被认定受到严重的精神损害,并予以赔偿。

敏感个人信息主体财产损害赔偿“差额损失”的标准应有所延伸。敏感个人信息侵权后的损害是在下游犯罪、算法歧视中形成的,如因诈骗罪所形成的财产损失、大数据杀熟的价格差价,这些财产损失是可以通过财产填补完成的。侵权主体应该对受害人的全部经济利益进行赔偿。传统的“差额损失”观点认为,侵权人损害赔偿仅仅局限于造成的直接损失,并无法延伸至下游犯罪、歧视等所导致的财产损失。在敏感个人信息侵权的场景下,信息主体可能因侵权人的行为导致财产损失和人身伤亡。如敏感个人信息被用于诈骗,信息主体因诈骗所遭受的损失就可以予以认定;又如敏感个人信息被用于故意伤害等,侵权人就应该对敏感个人信息主体的人身损害进行赔偿;再如,敏感个人信息所造成的大数据杀熟,其损失可以通过二者的价格差额予以认定。从我国的司法判例看,敏感个人信息的财产损害赔偿也多遵循上述认定规则。如北京法院认为,原告的手机号、银行卡号、航班信息等被泄露而用于电信诈骗,遭受损失118900元,因携程公司违反相应的安全保障义务,造成信息主体的财产损失,应该予以赔偿。值得注意的是,敏感个人信息损害的财产性赔偿还需要遵循填补损失原则,禁止受害人获得额外利益。

敏感个人信息主体财产损害侵权的损失可以信息处理者获得的利益确定。信息处理者非法使用敏感个人信息,主要是运用于商业目的并获得商业利益。目前,《个人信息保护法》第69条已经将信息处理者的赔偿责任以“个人信息处理者因此获得的利益”来确定,这对确定敏感个人信息侵权的损失具有积极的意义。从侵权行为人的动因看,法律强制规定侵权人可能需要将自己获得的利益全部赔偿给敏感个人信息侵权的受害人,将有效地降低侵权行为人的侵权动力。从法律的适用逻辑看,敏感信息受到损害之后,行为人受到的损害包括精神损害或者物质损害都可能不容易被认定,但是侵权行为主体特别是商业机构的经营行为所获得的利益是比较容易确认的。

值得注意的是,《个人信息保护法》还强调:“根据实际情况确定赔偿数额。”在适用该条文上存在一定的逻辑位阶,即只有敏感个人信息主体无法确定“受到的损失”和个人信息处理者“因此获得的利益”,才可以适用该条款。敏感个人信息侵权损害根据实际情况确定赔偿数额,可以根据行为人的过错、影响范围以及目的、方式等确定。这就给裁判者适度的裁量权,保留了法条一定的弹性。

四、敏感个人信息侵权保护的展开

敏感个人信息不当使用或者泄露容易造成信息主体的利益受到损害,《民法典》以及《个人信息保护法》都围绕具体的保护路径予以的规则设置展开。《个人信息保护法》专门设定的“敏感个人信息的处理规则”,不仅作为事前防御性保护规则,而且也为侵权责任的“过错”认定提供了规则指引。

(一)敏感个人信息侵权防御规则

敏感个人信息的防御性保护是在还没有发生侵权时法律就已制定了特殊的保护规则。敏感个人信息对于信息主体的人格尊严、人身及财产安全容易产生风险,《个人信息保护法》专门规定了“敏感个人信息的处理规则”,予以防御性保护。综观敏感个人信息的防御性规则,主要包括“特定目的+单独同意”。

敏感个人信息只有在符合特定目的才可以进行处理。《个人信息保护法》第28条规定了敏感个人信息处理的两个前提条件,即“特定目的”且“充分必要”“采取严格的保护措施”。其中,“特定目的”和“充分必要”是法律评判的标准,“采取严格的保护措施”属于技术要件。敏感个人信息处理受到特定目的的限制,且必须是特定化、具体明确的。如,生物基因信息属于敏感个人信息,该信息的采集、处理以及存储需要遵循特殊的目的,不能笼统地认为是为了信息主体的健康等宽泛的目的,而是应该对目的进行具体化界定,如用于筛选癌症指标等。同时,此类信息被采集处理之后,应该及时对生物样本进行销毁,防止该生物信息被用作其他的目的。

敏感个人信息处理需要符合充分必要的要件。敏感个人信息处理的充分必要与特定目的是紧密结合的,两者不能予以分割处理。一方面,敏感个人信息的处理需要遵循充分性原则。敏感个人信息原则上是禁止处理的,只有在充分的理由支撑下才能进行处理。敏感个人信息处理的充分性就要求与其处理的目的要完全一致。如对信息主体行踪轨迹的查询的目的是用于防疫,行为轨迹是判断信息主体是否途经疫情中高风险的唯一依据,此时对于信息主体的行踪轨迹的处理就显得非常的充分。另一方面,敏感个人信息处理的必要性,亦即是否有其他的方式可以替代处理敏感个人信息。如在银行理财产品的App中,对于客户的姓名、身份证号码、银行账户信息的采集是有必要的,但是对于客户的健康信息、生物信息以及宗教信息的处理就完全没有必要。敏感个人信息的充分必要要件的事前限制,有效地保护了信息主体的合法权益。

敏感个人信息的处理需要单独同意。单独同意作为个人信息处理的一般规则,通过“通知—同意”机制予以实现。在该机制中,敏感个人信息处理者将信息收集、存储、应用等环节通知信息主体,信息主体通过勾选“同意”选项完成对信息处理的授权。但是,在互联网追求效率的前提下,信息主体对于信息处理者的同意规则的构建趋于泛化。法律为强化敏感个人信息的保护,特别设置了单独同意授权规则。首先,敏感个人信息主体的“单独同意授权”是明确且具体的,并不允许信息处理者要求信息主体一揽子的统一授权。信息主体需要对敏感个人信息处理进行逐一授权同意,若未经同意授权处理敏感个人信息,就属于侵害信息主体的民事权益行为。如,《人脸识别的司法解释》就明确,如果没有经过信息主体的同意而处理人脸识别信息,就属于侵害人格权益行为。其次,敏感个人信息单独明确同意,就需要信息处理者对于信息的收集、存储以及传输等处理过程需要明确告知,而不是简单笼统地告知一般处理目的。最后,敏感个人信息的单独同意规则应该有后端救济的措施。信息主体可以单独同意授权信息处理者处理敏感个人信息,当然也可以拒绝同意授权。但是,就目前的实践看,信息主体拒绝同意授权的结果可能无法使用App。信息处理者因为信息主体拒绝提供信息而无法正常享受信息处理者提供的服务,是对其相关权益的损害,需要法律予以救济。总之,单独同意规则的确定,强化了对敏感个人信息的私法保护。

(二)敏感个人信息侵权归责原则

《个人信息保护法》第69条规定的过错推定原则,有严格的侵权主体限制,即信息处理者。若侵权的主体并不是个人信息处理者,而是其他组织或者个人,就不能适用过错推定原则,而应该适用过错责任。无论是个人信息处理者还是非个人信息处理者,在适用归责原则上的核心要件均为过错。

信息处理者违反“防御性规则”处理敏感个人信息将被认定为有“过错”。《个人信息保护法》专门规定的“敏感个人信息的处理规则”作为信息处理者处理敏感个人信息的指引。侵权责任的构成要件中所描述的“过错”,是对侵权人主观心态的评价,在理论上包括故意和过失。我国法律并没有在侵权责任中区分过错与违法性,行为人违反法律的相关规定,在侵权责任的承担中就会被认为行为人有过错。具体而言,敏感个人信息处理者在取得信息主体同意后处理个人信息,该处理活动在外观上属于合法行为的客观要件。如果不合理地处理敏感个人信息,依然会产生民事责任。“不合理”作为较为抽象的标准,需要行为人进行主观判断,应结合具体的应用情景、使用频次进行认定。信息处理者处理的是信息主体自行公开或者已经合法公开的信息时,即使没有取得信息主体的同意也是合法的。若因安全保护措施的不到位,导致敏感个人信息的不当使用或者泄露,也会被法院认为其存在过错。总之,敏感个人信息侵权中的过错是法律对行为人主观的界定,而违法则是对其客观标准的评价。

敏感个人信息侵权“过错”的司法裁判考量。尽管理论上对于过错的考量多集中在主观界定上,但还是存在一定的外观客观标准。司法裁判中对于过错的考量也有越来越多的客观化标准,如消极义务上的不得泄露、篡改、毁损敏感个人信息,积极义务如保护个人信息安全的防控措施。信息处理者对上述义务的违反,就被认为在主观上存在过错。敏感个人信息侵权存在主观上的过错,并不要求其行为上一定具有违法性。信息处理者对公开的敏感个人信息进行处理本身并不具有违法性,但是由于其处理的方式不合理或者不恰当,仍然需要承担侵权责任。信息处理者本身所具有的专业和技术远高于一般的信息主体,司法裁判中苛求信息处理者的高度注意义务标准要显著高于一般人的标准。法院也会认为信息主体相对于有数据垄断能力的信息处理者而言,在证据搜集以及举证能力上都处于弱势地位,按照公平正义原则就应该对举证责任进行倒置分配。此外,信息处理者在处理敏感个人信息的过程中,需要采取严格的保护措施。概言之,敏感个人信息侵权责任承担需要对侵权主体过错要素进行综合评价。

综上所述,就目前敏感个人信息侵权的归责原则适用上,就其侵权主体的不同区分采用了过错推定和过错原则。信息处理者侵害敏感个人信息适用过错推定归责原则,加重了信息处理者的责任承担;而对于非信息处理者则采用过错原则,即需要信息主体证明行为人存在过错。敏感个人信息责任承担的归责原则的不同改变了风险承担的方式,有效平衡了不同主体的利益。

(三)敏感个人信息侵权内生协调

按照《民法典》第1034条的规定,私密信息的侵权行为应该循隐私权的路径予以解决,在侵权责任上适用过错原则。敏感个人信息的保护在《个人信息保护法》的视角下,则适用过错推定原则。私密信息与敏感个人信息在内涵和外延上存在交叉重叠,因此在归责原则上二者外观上存在冲突,但其内在却是协调的。

敏感个人信息侵权的归责原则的适用是基于不同的立法目的所产生的。《民法典》所规定的私密信息适用于隐私权的保护,是将其置于一般人格权的保护范畴。隐私权保护的是信息主体的生活安宁不受侵犯,其义务人是除信息主体之外的其他所有人,当然包括信息处理者。但是,当敏感个人信息的侵权人不是信息处理者时,如一般的自然人和法人时,就需要援引隐私权的保护规则来主张侵权责任的承担。《个人信息保护法》中所规定的敏感个人信息,更多的是规范信息处理者与信息主体之间的权利和义务。当敏感个人信息的处理者侵害信息主体的权益时,其所具有的专业和技术都明显高于信息主体,就适用过错推定的归责原则。敏感个人信息侵权的过错推定原则,减轻了信息主体的举证责任,信息处理者只要证明其在处理敏感个人信息的过程中不存在过错,同样可以不承担责任。敏感个人信息侵权责任的归责原则的适用,是基于规范不同主体的权利义务产生的,进而会产生不同的归责原则的适用问题。

敏感个人信息侵权的归责原则的适用将根据信息主体的请求权基础法条不同而有所不同。个人信息侵权的主张是由信息主体发起的,当一个信息既属于私密信息,也属于敏感个人信息时,在请求权基础上就可以予以选择。侵权人属于非信息处理者,则信息主体对于侵权损害行为只能遵循侵权损害赔偿的一般归责原则,即过错原则。但是,侵权人属于信息处理者就存在选择不同法条作为请求权基础的问题:信息主体选择将其作为敏感个人信息,则适用《个人信息保护法》第69条的过错推定原则,要求信息处理者承担侵权责任;如果作为私密信息,就只能适用过错原则进行主张。从上述的比较中发现,由于信息主体选择的请求权基础不一致,信息主体的证明责任也不同。信息主体将其作为敏感个人信息时,其遵循的归责原则是过错推定,并不需要证明行为人存在过错;而作为私密信息,则需要证明行为人具有过错。显然,信息主体需要根据不同的请求权基础进行选择,承担不同的举证责任。

敏感个人信息的归责原则在现有的立法规范中并不存在实质性的冲突。尽管适用不同的法律规范,敏感个人信息侵权的归责原则会存在形式上的冲突,但是基于受害人的不同请求权基础的选择,裁判者在司法实务中并不会存在实质性冲突。其原因在于,裁判者需要按照受害人的请求进行裁判,当受害人选择了某一特定的请求权基础时,侵权责任的归责原则也就确定了,就不存在规范内部的冲突问题。在理论上,敏感个人信息的归责原则的适用也是统一的。敏感个人信息的过错推定原则适用于信息主体与信息处理者之间,而过错原则适用在信息主体与一般自然人或者法人之间。之所以有不同的归责原则的适用问题,实质原因在于受害人与侵权人之间的专业和技术的优势地位有所不同。《个人信息保护法》第69条所采取的过错推定责任,信息处理者处理个人信息而造成信息主体损害的,信息处理者如果能够证明自己没有过错则不承担损害赔偿责任。该规定降低了信息主体举证责任难度,将该举证责任倒置给了信息处理者。信息主体要证明信息处理者存在过错的难度是极大的。信息处理者在技术、专业以及财力上都优于信息主体,信息主体甚至并不知道自己的信息权益受到损害,也就无法证明信息处理者存在过错。

五、结语

敏感个人信息侵权事件频发,对信息主体的人格尊严、人身及财产安全造成损害。《个人信息保护法》对敏感个人信息进行了专门的规定,回应了社会发展的需要,但是法律规定地过于简单和笼统也给司法实践带来了困扰,特别是对敏感个人信息侵权保护路径的设计更是有待进一步研究。

敏感个人信息侵权的私法保护,就是要平衡信息主体与信息处理者之间的权利义务。信息主体的个人信息权益极易受到损害的原因在于存在一个不平衡的权力结构:信息主体对于自我信息无法掌握与信息处理者对于信息的绝对控制,权利和技术的不平衡,加剧了相关主体之间的利益失衡,损害了信息主体的权益。敏感个人信息的权益保护,就是希望能够将信息主体的权利与权力实现平衡。

敏感个人信息的法律有效保护不仅可以保护信息主体的合法权益,更是可以有效地界定信息处理者的行为边界。敏感个人信息的侵权保护,是通过民事责任的承担分配来实现社会合法利益为目的的,将风险对于社会公众的总体损害降低至最小。敏感个人信息经过脱敏化、匿名化处理之后,将为数字经济发展提供重要的生产要素。总而言之,敏感个人信息侵权保护的研究目的并不是限制其流动,而是应该在符合法律规范的框架下实现更好的流动,释放数据本身应有的经济价值。

注:封面图片源于vcg.com

华中大社科学报

欢迎您的关注

点“阅读原文”了解更多

修改于
继续滑动看下一个
华中科技大学学报社会科学版
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存