彭诚信、许素敏:侵害个人信息权益精神损害赔偿的制度建构
点击蓝字 关注我们
侵害个人信息权益
精神损害赔偿的制度建构
作者简介:彭诚信,上海交通大学凯原法学院教授、博导;许素敏,上海交通大学凯原法学院博士生,中国法与社会研究院研究助理。
基金项目:国家社科基金重大项目“大数据时代个人数据保护与数据权利体系研究”(18ZDA145)的阶段性成果。
文章来源:原载于《南京社会科学》2022年第3期,转载对注释与参考文献进行了省略。
1
摘要
在侵权法保护路径之下,个人信息权益受到侵害是否应该以及如何获得精神损害赔偿的问题面临正当性质疑、认定标准严格、损害赔偿数额难以计算等困境,导致个人信息主体的合法权益难以获得有效保护。个人信息权益具有明显的人格属性,与个人信息主体的人格尊严、人格自由密切相关,因此个人信息权益遭受侵害时,被侵权人应获得精神损害赔偿具有一定的理论根基与实践需求。对被侵权人的精神损害赔偿的认定应该适度淡化“严重精神损害”的标准。在具体的损害赔偿数额计算方面,应以个人信息主体的实际损害或者个人信息处理者(侵权主体)的实际获利为基本依据,并构建法定赔偿数额制度。
2
关键词
个人信息权益;精神损害赔偿;法定赔偿数额
3
目次
一、侵害个人信息权益精神损害赔偿制度的适用困境
二、侵害个人信息权益精神损害赔偿的正当性证成
三、侵害个人信息权益精神损害赔偿认定标准的缓和
四、侵害个人信息权益精神损害赔偿数额的计算方式
五、结语
《民法典》人格权编第六章“隐私权和个人信息保护”规定了个人信息保护的重要规则,主要涉及个人信息的内涵、个人信息处理的合法性依据、个人信息处理的免责事由、个人信息主体的权利、个人信息处理者的义务等内容,但并没有详细规定侵害个人信息权益的救济规则,尤其是损害赔偿规则。“损害赔偿问题是个人信息安全的戈尔迪之结。愈演愈烈的个人信息滥用行为与损害赔偿制度不完善有关。”为了实现侵害个人信息权益的有效救济,《个人信息保护法》(以下简称《个保法》)第69条规定: “处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”该条明确了侵害个人信息权益损害赔偿责任的过错推定原则,在一定程度上有利于减轻个人信息主体的举证负担,但侵害个人信息权益的损害认定,尤其是精神损害认定仍存在较大的困境。本文将以《个保法》第69条为核心,分析侵害个人信息权益精神损害赔偿的适用困境,并围绕侵害个人信息权益精神损害赔偿的正当性、认定标准、数额计算等问题展开进一步的讨论。
一、侵害个人信息权益精神损害赔偿制度的适用困境
(一)侵害个人信息权益精神损害赔偿的正当性存疑
《个保法》第69条肯定侵害个人信息权益损害赔偿,但并未进一步界定“损害”的具体范围,故而《个保法》是否肯定侵害个人信息权益精神损害赔偿存在较大争议。例如,《个保法》出台之前,有学者认为我国《个保法》(草案)未明确规定是否可以对侵害个人信息权益适用精神损害赔偿。杨立新教授则直接指出,《个保法》没有规定侵害个人信息权益的精神利益的精神损害赔偿。“损害也称损害后果,是指受害人一方因他人的侵权行为或者准侵权行为而遭受的人身、精神或财产方面的不利后果。”在个人信息权益侵害案件中,个人信息主体要求被诉侵权人承担损害赔偿责任,需要证明存在损害。侵害个人信息权益导致的财产损害比较容易证明。以较为常见的个人信息泄露案件为例,个人信息主体因个人信息泄露遭受的财产损失比较明显。例如,在 “周某某与广东快客电子商务有限公司网络侵权责任纠纷案”中,原告因个人信息被泄露遭受电信诈骗,损失49990.96元。本案中,原告因个人信息权益遭受侵害而导致的财产损失较易举证。但在很多情形下,个人信息权益遭受侵害不会导致直接的身体伤害或者财产利益损失,更多表现为一种精神上的损害,例如焦虑、不安等。与身体伤害、财产利益损失等物质损害相比,精神损害具有无形性,无法用肉眼识别。精神损害容易被作假或者夸大,既难被证实也难被证伪,这也是否定精神损害赔偿的重要理由。由于个人信息权益遭受侵害导致的精神损害具有不确定性,在很多案件中法院往往以个人信息主体没有证明遭受实质性损害为由驳回精神损害赔偿的诉讼请求。例 如,在“朱某与北京百度网讯科技有限公司隐私权纠纷案”中,二审法院认为朱某并不能提供证据证明百度公司的个性化推荐服务对其造成事实上的实质性损害,朱某因此感到恐惧、精神高度紧张仅是其个人的主观感受,故否定其精神损害赔偿诉求。在个人信息权益侵害案件中,精神损害赔偿的适用可谓困难重重,即使法院认定个人信息权益侵害成立,多数侵权人也只需承担停止侵害、赔礼道歉等侵权责任。大数据时代背景之下,个人信息权益侵害案件频发,这种隔靴搔痒的责任承担方式显然难以实现有效的事前预防与事后救济。
(二)侵害个人信息权益精神损害赔偿的认定标准严格
按照《民法典》第1183条的规定,被侵权人请求精神损害赔偿需要证明自身存在严重精神损害。严重精神损害要件的理论基础有二: 一是侵权法古已有之的“忽略轻微损害”规则(a de minimis-rule),二是现代侵权法中的“水闸理论” ( floodgate theory) 。二者的目的都在于协调侵权法的两种核心价值,即权利保护与行动自由。立法者以“严重精神损害”为精神损害赔偿的适用前提,主要是基于精神损害本身具有无形性,难以准确衡量,如果放宽精神损害赔偿的损害程度要求,容易导致大量的滥诉行为。“严重精神损害”是我国民法上精神损害赔偿的重要限制条件,往往以是否同时侵害生命权、身体权、健康权等物质性人格权以及名誉权、隐私权等与核心人格利益紧密相关的精神性人格权为依据,而在个人信息权益侵害的情境下,精神损害似乎看起来并不严重,这就成为实践中法院否定精神损害赔偿的主要原因。个人信息表征信息主体的个人评价与社会评价,在大数据时代数据自动化技术普遍应用的背景下,如果严格将“严重精神损害”作为认定精神损害赔偿的程度要件,似乎会妨碍个人信息的有效保护。同样地,美国部分法院在侵害个人信息权益精神损害赔偿的认定方面也采用较为严格的标准,要求个人信息主体具备明显的身体症状或者疾病。例如,在美国马萨诸塞州,个人信息主体获得精神损害赔偿,除了需要证明数据持有者的侵权行为,还需要具备可以诊断的身体症状。在 Amburgy v. Express Scripts, Inc. 案中,美国密苏里州东区联邦地区法院东分院认为原告不能因为精神困扰获得损害赔偿,因为他没有患有任何由被告的疏忽行为导致的医学上可以诊断的疾病。
在个人信息权益侵害案件中,个人信息主体遭受的精神损害往往比较轻微、不显著,故而“严重精神损害”的要求使得个人信息主体在请求精神损害赔偿时面临较重的举证负担。个人信息主体往往会提出精神损害赔偿诉求,由于个人信息主体需要证明自身达到“严重精神损害”的程度,所以其诉求难以获得法院的支持。《民法典》生效以前,我国司法实践普遍采用“隐私权模式”处理个人信息权益侵害案件。通常情形下,只有涉及私密信息权益侵害且达到严重程度时,才会适用精神损害赔偿。如果只是涉及非私密信息权益侵害,法院一般不支持精神损害赔偿。《民法典》 第1032条第2款和第1034条第2款明确界定隐私和个人信息的范畴,从而确立起隐私权和个人信息权益相区分的理念。在“凌某某与北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”中,原告提出精神损害赔偿的诉求,然而法院最终认定被告只是侵害原告的个人信息权益,并未侵害其隐私权。故而,法院并未支持原告的精神损害赔偿诉求。由此可见,在多数个人信息权益侵害案件中,个人信息处理者往往只需要承担赔礼道歉、停止侵害、消除影响等非损害赔偿类民事责任。传统侵权法要求侵害个人信息权益精神损害赔偿需要以严重精神损害为前提,实际上限制了民事损害赔偿制度的制约功能,无法对违法的个人信息处理者形成有效的威慑力。
(三)侵害个人信息权益精神损害赔偿的数额估算困难
侵害个人信息权益精神损害赔偿的数额难以精确计算,原因在于缺乏清晰的方法能够将无形的精神损害转化为金钱赔偿。在个人信息权益侵害的司法实践中,有的个人信息主体主张1元的精神损害赔偿,有的个人信息主体主张50万元的精神损害 赔 偿。更有甚者,在Granger v. Equifax, Inc. 案+18中,原告Granger基于被告Equifax, Inc. 泄露其个人信息的事实主张7500万美元赔偿。由此可见,人们对于个人信息权益侵害引发的精神损害的认知具有很明显的差异性,如何合理确定侵害个人信息权益精神损害赔偿数额存在较大难题。《个保法》第69条第2款所规定的损害赔偿数额计算标准与《民法典》第1182条所规定的因人身权益侵害产生的财产损失的计算标准基本一致,但侵害个人信息权益精神损害赔偿数额是否能够根据《个保法》第69条第2款确定存在较大疑问。有的观点认为《个保法》第69条第2款可以适用于侵害个人信息权益精神损害赔偿数额确定,也有学者认为《个保法》第69条 第2款只适用于个人信息权益侵害导致的财产利益损害赔偿数额确定。侵害个人信息权益精神损害赔偿的数额计算方式需要进一步明确。
二、侵害个人信息权益精神损害赔偿的正当性证成
(一)理论基础: 个人信息权益的人格属性使然
数字社会的个人信息以电子形式存在,能够通过算法识别出自然人。个人信息能够反映自然人个体的生存状态以及其在社会中的运动、变化、发展状况,与个人信息主体的个体评价及社会评价紧密相关。个人信息权益具有天然的人格属性,与姓名、名誉、隐私、肖像等传统人格要素一样,承载着平等、自由、尊严等人的伦理价值,是自然人之所以为社会人的重要组成部分。与传统人格要素不同的是,数字社会中的个人信息不仅关乎个人在传统线下社会的人格自由、人格尊严,更关乎个人在数字社会的人格自由、人格尊严,故其人格属性更为显著。
其一,个人信息与个人的人格评价紧密相关。传统线下社会的人格评价主要基于口口相传的信息而形成,数字社会的人格评价则主要基于电子化的信息,通过算法而形成。在数字社会中,个人信息处理者基于个人信息主体同意、公共利益等合法性事由,大量收集个人在日常生活中产生的各种信息,并借助数据分析技术,精确地刻画个人在数字社会中的人格形象,形成独特的“数字人格”。个人信息片段组合积累而成的“数字人格”在一定程度上代表了个人信息主体的真实个人形象,许多与个人信息主体息息相关的重要事项都需要以“数字人格”为判断依据,人们对个人信息的依赖使得对“数字人格”的侵害有时更甚于传统线下社会中对人格权的侵害。
其二,个人信息与个人的人格自由紧密相关。人自出生时起就是自然人,依其本质属性,有能力在给定的各种可能性的范围内,自主地和负责地决定他的存在和关系。在传统线下社会中,人们在参与人际交往、经济活动时不可避免地要向他人共享自己的相关信息,但这些信息并不会被用于进一步的分析,从而预测个人的行为偏好,以影响个人的行为自由。在数字社会中,个人信息具有显著的商业价值,个人信息处理者基于所收集的个人信息,对个人信息主体进行个性化分析,了解个人信息主体的偏好,并推送个性化广告,获取经济利益。数字社会的个人信息处理往往以影响个人信息主体的行为决策为目的,从而干扰个人信息主体的行为自由与选择自由,个人信息主体难以真正实现人格的自由发展。
其三,个人信息与个人的人格尊严紧密相关。《民法典》明确界定隐私与个人信息之间的关系,即隐私与个人信息的交叉部分为私密信息。按照《民法典》第1033条和第1035条的规定,私密信息处理的条件比非私密信息处理的条件更为严格,个人信息处理者不能轻易收集个人的私密信息。在数字社会中,个人信息处理者最初收集的个人信息可能并非私密信息,但通过算法所形成的描述个人信息主体私密特征的信息可能构成隐私。由于数字社会中的私密信息可以不直接通过采集的方式获得,故由此产生的隐私侵权行为更为隐蔽。隐私是人格尊严的重要组成部分,在此意义上,数字社会的个人信息与个人的人格尊严具有更为紧密的联系。
由于个人信息权益具有明显的人格属性,与个人信息主体的人格自由、人格尊严密切相关,故个人信息权益侵害极易损害个人信息主体的人格利益。个人信息处理者通过自动化决策方式对个人进行信息推送、商业营销时,数据和算法设计都无法做到客观中立,它们反映着数据收集者或者算法设计者的某种主观性或者偏见,故自动化决策的结论也可能带有偏见,从而可能对个人信息主体造成歧视性侵害,有损个人信息主体的人格尊严。个人信息泄露虽不必然导致即时的身体伤害、人格受损,但个人信息主体因此而遭受相应的风险与焦虑,即未来隐私被窥探、身份被盗用或遭遇歧视、诈骗或勒索等侵害风险的显著增加,以及这些风险让他们产生难以言明的恐惧与焦虑等不良的精神或心理反应。数字社会的个人信息权益侵害与传统线下社会的个人信息权益侵害相比,最主要的特点在于损害的不可逆,即个人信息主体很难将个人信息权益侵害造成的损害完全消除,其根本原因在于个人信息的可复制性太强。个人信息权益侵害对个人信息主体造成精神损害是显而易见的,如果未对此类损害予以有效救济,何谈人格自由、人格尊严之保护。为避免个人信息主体因个人信息权益被侵害承受精神损害而无有效救济路径,有必要在立法上明确肯定侵害个人信息权益精神损害赔偿的正当性。
(二)域外趋势: 侵害个人信息权益精神损害赔偿制度的适用扩张
《欧盟一般数据保护条例》(以下简称GDPR)出台之前,1995年《欧盟数据保护指令》第23条第1款明确支持侵害个人信息权益损害赔偿,但并未进一步界定“损害”的具体类型。因此,欧盟各国将《欧盟数据保护指令》转化为国内法时,在 “侵害个人信息权益精神损害赔偿”是否应获得支持的问题上存在较大分歧。有的欧洲国家将《欧盟数据保护指令》第23条第1款规定的“损害”解释为包括物质损害和非物质损害,例如瑞典。有的欧洲国家则不认可非物质损害赔偿或者要求非物质损害赔偿需要以存在经济损失为前提。例如,在Collins v. FBD Insurance plc案中,被告在处理原告因货车被盗的保险索赔过程中违反了1988年《爱尔兰数据保护法》第7条规定的数据控制者的职责,原告要求被告承担损害赔偿责任。爱尔兰高等法院要求原告证明被告违反注意义务所造成的实际损害,并认为将1988年《爱尔兰数据保护法》第7条理解为支持索赔人的非经济损害赔偿超出了第7条和《欧盟数据保护指令》的范围。由于原告未能证明被告的行为对其造成损害,故爱尔兰高等法院推翻了爱尔兰巡回法院要求被告赔偿原告15000欧元的判决。原告的损害赔偿诉求未能获得支持的主要原因在于1988年《爱尔兰数据保护法》并未明确规定精神损害赔偿,故而爱尔兰高等法院在解读1988年 《爱尔兰数据保护法》第7条和《欧盟数据保护指令》第23条第1款时,对“损害”一词作狭义解释,未将非物质损害纳入赔偿范围。值得一提的是GDPR出台后,爱尔兰根据GDPR修改了《数据保护法》。2018年《爱尔兰数据保护法》详细规定了个人信息权益侵害的损害赔偿责任,并在第117条第10款明确损害包括物质损害和非物质损害。因此,在GDPR或者2018年《爱尔兰数据保护法》施行的背景下,侵害个人信息权益精神损害赔偿诉求更容易获得支持。
在英国,1998年《英国数据保护法》第13条第2 款规定: “如果个人因数据控制者违反本法的任何要求而遭受精神痛苦,则在以下情形,个人有权从数据控制者处获得赔偿:(a)个人也因该违法行为遭受损害;(b)或者该违法行为涉及为特殊目的而处理个人信息。”该法明确精神痛苦的可赔偿性,但设置两类前提条件。第13条第2款第a项规定的“损害”在英国判例中往往被解读为“经济损失”,所以仅存在精神痛苦的个人难以获得赔偿。例如,在Johnson v. Medical Defence Union Ltd案中,英国高等法院大法官法庭认为原告依据1998 年《英国数据保护法》第13条第2款第a项主张获得精神痛苦的损害赔偿需要证明存在经济损失。英国上诉法院民事法庭在解读《欧盟数据保护指令》第23条时进一步指出,认为《欧盟数据保护指令》第23条规定的“损害”必须超越其经济损失的根本含义的观点缺乏令人信服的理由。此种观念长期影响英国的司法实践,导致侵害个人信息权益精神损害赔偿难以获得支持。在Halliday v. Creation Consumer Finance Ltd案中,法院认为原告遭受了1英镑的名义上的经济损失,并以此为前提要求被告承担 750 英镑的精神损害赔偿责任。Halliday v. Creation Consumer Finance Ltd案之后,英国有多个法院借鉴该案法院所采取的方法,通过裁定名义上的经济损失,进而支持原告的精神损害赔偿诉求。
上述法院虽然支持原告的精神损害赔偿诉求,但仍未摆脱“精神损害赔偿需以经济损失为前提”的枷锁。Vidal-Hall v. Google Inc案成为英国侵害个人信息权益精神损害赔偿的重要转折点,具有里程碑意义。该案的基本案情为:谷歌在原告不知情或未同意的情况下通过使用cookies获取原告的互联网使用情况信息,并提供给第三方。原告基于焦虑、精神痛苦主张损害赔偿。法院认为原告可以要求赔偿损失,而无需证明存在经济损失。同时,法院指出《欧盟数据保护指令》旨在保护隐私而非经济权利(economic rights),应当赔偿那些数据隐私被数据控制者侵犯从而导致他们精神困扰(但不是经济损害)的个人。因此,不应将《欧盟数据保护指令》第23条规定的“损害”解释为仅限于经济损害。Vidal-Hall v. Google Inc案之后,英国有多个判例援引该案支持原告的精神损害赔偿诉求。更有甚者,在Lloyd v. Google LLC案中,法院认为可以因失去对数据的控制而获得赔偿,无需证明经济损失或精神痛苦。Vidal-Hall v. Google Inc案的判决精神已被纳入2018年《英国数据保护法》。该法第168条第1款明确GDPR第82条规定的非物质损害( non-material damage) 包括精神痛苦(distress),该法第169条第5款明确损害(damage)包括经济损失和不涉及经济损失的损害,例如精神痛苦。此外,1998年《英国数据保护法》 第13条第2款第a项也不再保留,从而消除原告主张精神损害赔偿的主要障碍。
按照美国《宪法》第3条的规定,原告提起联邦法院诉讼需要具备事实上的损害(injury -in-fact) ,以明确是否具备诉讼主体资格(standing) 。这种事实上的损害指的是受法律保护的利益被侵犯,而且这种损害是特殊的、具体的、实际的或者即将到来的,而非推测或者假设的。在美国的个人信息权益侵害案件中,原告证明存在事实上的损害的主要理由之一是个人信息权益侵害造成精神困扰(emotional distress)。美国部分法院认为精神困扰不构成事实上的损害。例如,在Clapper v. Amnesty International USA案中,原告就美国1978年《外国情报监控法》第702条授权政府对美国境外的非美国人进行监控以获取外国情报信息的合宪性问题向法院提起诉讼。原告声称他们对《外国情报监控法》的监控有实际且有根据的恐惧。美国联邦最高法院认为原告的恐惧具有高度推测性,故而推翻美国联邦第二巡回上诉法院的判决,认定原告不具有诉讼主体资格。Clapper v. Amnesty International USA 案对于美国的个人信息权益侵害案件具有广泛的影响,不少法院援引 Clapper v. Amnesty International USA 案,否定原告的诉讼主体资格。例如,在 In re Barnes&Noble Pin Pad Litig. 案中,美国伊利诺伊州北区联邦地区法院东分院认为安全漏洞后的精神困扰不足以确立诉讼主体资格,特别是在对信息的威胁并非迫在眉睫的情况下。
事实上,美国部分法院以Clapper v. Amnesty International USA 案为先例,否定原告的诉讼主体资格属于误用。Clapper v. Amnesty International USA 案与常见的个人信息泄露案件存在根本性区别。Clapper v. Amnesty International USA 案中,法院否认原告诉讼主体资格的主要原因在于原告无法证明实际受到监视。而大多数的个人信息泄露案件中,原告的个人信息被错误地泄露是毫无争议的。由此可见,美国部分法院错误引用 Clapper v. Amnesty International USA 案,从而导致侵害个人信息权益精神损害赔偿的标准被不当拔高,加大了个人信息主体获得精神损害赔偿的难度。值得注意的是,近几年来,Clapper v. Amnesty International USA 案对于美国个人信息权益侵害案件的影响有所降低。例如,有学者经过统计得出结论,即自2016 年以来,Clapper v. Amnesty International USA 案在美国个人信息权益侵害案件中的被引次数有所下降。美国立法层面也开始逐渐肯定侵害个人信息权益精神损害赔偿的正当性。例如,美国《电话销售和消费者欺诈及滥用预防法》指出,遭受电话骚扰的个人可以寻求精神损害赔偿。美国法学会2020年发布的《数据隐私法律原则》也将情感损害(emotional harm)和情感上的寒蝉效应(chilling effect)都列为可以认定的损害。
通过梳理欧美的相关立法和司法实践,可以看出侵害个人信息权益精神损害赔偿存在较大争议的主要原因在于立法者并未在法律条文中明确肯定侵害个人信息权益可以适用精神损害赔偿。泛泛地规定“个人信息主体遭受的损害应当获得赔偿”只会徒增司法实践中的争议,无益于统一司法裁判观念。《个保法》第69条肯定侵害个人信息权益损害赔偿,但未明确肯定精神损害赔偿,从而引发侵害个人信息权益适用精神损害赔偿是否具有正当性的争论,故应借鉴比较法上的发展趋势,于立法上明确侵害个人信息权益精神损害赔偿,如此个人信息主体的精神损害赔偿诉求便具有更加明确的制定法基础。
三、侵害个人信息权益精神损害赔偿认定标准的缓和
侵害个人信息权益精神损害赔偿的认定标准在我国学界存在较大争议。有学者指出: “有权利侵害就存在损害,有损害就应该有救济,因此要求‘严重’毫无必要。严重程度只影响赔偿数额,不能决定权利人损害赔偿请求权的有无。”有的学者则认为,如果在个人信息权益侵害案件中,原告无法证明自己遭受了严重的精神损害,则不得请求侵权人承担精神损害赔偿责任。按照《民法典》第1183条,在“精神损害”前加上“严重”二字,有画蛇添足之嫌,可能推导出构成损害却不赔偿的结论,与侵权法填补损害的宗旨相违背.在 《民法典》和《个保法》施行的背景之下,应当重新思考侵害个人信息权益精神损害赔偿的程度要件,确立合理的认定标准。从《个保法》第 69 条的优先适用效力、实现充分有效的侵害个人信息权益损害赔偿效果、“严重精神损害”要件已然逐渐淡化的域外趋势等视角考量,我国侵害个人信息权益精神损害赔偿不应以“严重精神损害”为前提。
(一)《个人信息保护法》的侵权责任条款具有优先适用效力
从《民法典》与《个保法》之间的关系来看,《民法典》的相关规定并不当然具有优先适用的效力。《民法典》是全国人民代表大会制定的民事基本法律,《个保法》是全国人民代表大会常务委员会制定的个人信息保护一般性法律。从规范位阶来看,二者同属“法律”的范畴。《民法典》与 《个保法》具有紧密的联系。《民法典》总则编以及人格权编有多个条款涉及个人信息保护的重要规则,并为《个保法》所承继,但不能由此认为《民法典》天然具有优先适用效力。《民法典》属于私法,而《个保法》并非纯粹的私法,其同时包含个人信息的公法保护规范,属于一部公私混合的个人信息保护法律。《个保法》中的私法规范属于个人信息保护领域的特殊民事法律规范,而《民法典》属于基本民事法律规范,《个保法》的民事保护内容相较于《民法典》中的相关内容处于特别法地位,具有优先适用的效力。就侵权责任规范而言,《民法典》侵权责任编第二章“损害赔偿”的条款属于民事侵权的一般性条款,《个保法》第69条属于专门适用于个人信息权益侵害的特别条款,应该优先适用。由于《个保法》第69条未设置严重精神损害的程度要求,故而侵害个人信息权益精神损害赔偿的适用无需遵循《民法典》第1183条的规定。《个保法》第69条对侵害个人信息权益精神损害赔偿采取宽松的“损害”认定标准,有利于保护个人信息主体的相关利益。
(二)实现充分有效的侵害个人信息权益损害赔偿效果
侵害个人信息权益损害赔偿包括财产损害赔偿和精神损害赔偿两种类型。在司法实践中,个人信息权益侵害引发的财产损害赔偿主要体现为个人信息泄露导致的电信诈骗损失以及个人信息主体所支出的公证费、律师费等合理维权费用。除此之外,个人信息经济价值的损害赔偿在司法实践中并未获得广泛的认可。我国《民法典》制定过程中,立法者曾经一度明确认可个人信息的商业化利用。《民法典》人格权编(草案征求意见稿)第4条规定: “民事主体对其名称、肖像、个人信息等具有经济利益内容的人格权益享有支配的权利,可以许可他人使用,但根据其性质或者依照法律规定不得许可的除外。” 然而,最终出台的《民法典》并未明确规定个人信息的商业化利用,从而导致个人信息的经济价值未能获得立法上的承认。我国个人信息权益侵害的司法实践中,肯定个人信息经济价值的案例也是寥寥无几。在笔者所阅读的个人信息权益侵害案例中,只有三个案例明确个人信息的经济价值,并支持个人信息主体的经济损失赔偿诉求。例如,在 “凌某某与北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”中,法院认为个人信息是数据的重要来源之一,而数据作为新型生产要素又是数字经济发展的基础,对于个人信息的采集和利用必然会带来商业价值和经济利益。由于被告在未征得原告同意的情况下采集原告的个人信息并加以利用,所以法院要求被告赔偿原告经济损失1000元。
在美国的个人信息权益侵害案件中,原告也会主张自己应该享有个人信息经济价值,多数法院并不支持此类诉求。例如,在著名的 In re Dou-bleClick Inc. Privacy Litig. 案中,被告采用cookies技术收集原告的姓名、电子邮件地址、电话号码等个人信息。原告声称自己遭受经济损失,其中就包括被告所收集的人口统计信息的经济价值的损失。美国纽约南区联邦地区法院认为尽管人口统计信息的价值很高,但是人口统计信息收集的价值从未被视为信息主体的经济损失。在Gubala v. Time Warner Cable, Inc. 案中,被告在原告取消订阅服务八年后仍未删除原告的个人信息。原告诉至法院,声称自己的个人信息具有经济价值,蕴含于原告与被告的交易价值中。被告非法保留原告的个人信息,剥夺了原告与被告交易的全部价值,剥夺了原告个人信息的经济价值。美国联邦第七巡回上诉法院并未认可原告的观点。
在没有损害赔偿责任的情况下,最有能力防止个人信息权益损害的人可能缺乏足够的动机谨慎行事,以避免不必要的损害。在数字社会中,个人信息与传统人格权存在本质区别,原因在于个人信息天然具有财产价值。现实生活中,个人信息主体无法通过积极的方式与个人信息处理者共享个人信息财产权益,只能在个人信息权益遭受侵害时通过消极的方式获得损害赔偿,以间接享有个人信息财产权益。如上所述,侵害个人信息权益财产损害赔偿未获得我国司法的普遍支持,如果仍要求侵害个人信息权益精神损害赔偿以“严重精神损害”为适用前提,将加大个人信息主体获得损害赔偿的难度,显然不利于个人信息的全面保护。数字社会的侵害个人信息权益精神损害赔偿内含着对个人信息主体的财产权益保护,降低损害要求方能利于保护个人的相关利益。侵害个人信息权益精神损害赔偿不应强调“严重精神损害”,如此才能全面保护个人信息主体的人格权益与财产权益,从而契合数字社会中个人信息的本质属性。
(三)比较法上“严重精神损害”要件的逐渐淡化
从比较法来看,“严重精神损害”的程度要件已然逐渐淡化。GDPE第82条第1款规定: “任何因违反本条例而遭受物质损害或者非物质损害的人都有权从数据控制者或者处理者那里获得赔偿。”该条款明确支持非物质损害赔偿,但并未以“严重精神损害”为适用前提。此外,按照GDPR序言第146条的规定,数据控制者或处理者应赔偿个人因违法处理数据而可能遭受的任何损害,并且损害的概念应根据法院的判例法作充分的解释,以充分反映本条例的目标。数据主体应就他们所遭受的损害获得“充分”和“有效”的赔偿。GDPR序言第85条列举了个人数据泄露导致的损害,不仅包括名誉损害、身份盗窃、欺诈等严重损害,也包括“失去对个人数据的控制”等较为宽泛的损害。此外,“根 据既有判例,欧 洲法院(ECJ)可能会保持对损害的宽泛解释,因为这将对责任方产生‘真正的威慑作用’”。在德国,按照《德国民法典》第253条的规定,一般而言,非财产损害赔偿需要以身体、健康、自由或性的自主决定的侵害为前提条件。GDPR生效之前, 2009年修订的《德国联邦数据保护法》第8条第2款规定: “在严重侵犯隐私的情况下,数据主体应当获得对其受到的非物质损害的充足的金钱赔偿。”由于个人信息泄露通常只会给个人信息主体造成轻微的不便,例如大量的垃圾邮件,故而,德国法院不允许对这些案件的非经济损失进行任何赔偿。GDPR出台后,2019年《德国联邦数据保护法》第83条第2款规定: “数据主体可以就非物质损害请求适当的经济赔偿。”2009年《德国联邦数据保护法》第8条第2款规定的“严重侵犯隐私”条件亦不再保留。从司法实践来看,GDPR生效后,欧洲各国对于侵害个人信息权益精神损害赔偿的程度要件要求已不像以往那般严格。
需要强调的是,舍弃“严重精神损害”标准并不意味着在任何个人信息权益侵害案件中个人信息主体均可以获得精神损害赔偿,而无需证明是否存在精神损害以及精神损害的程度。个人信息主体仍需承担一定的精神损害证明责任,只是不再需要证明存在严重精神损害。
四、侵害个人信息权益精神损害赔偿数额的计算方式
(一)基本计算方法
《个保法》第69条第2款规定: “前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定; 个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”这个条款源于《民法典》第1182条,但与《民法典》第1182条存在区别。《民法典》第1182条主要与《民法典》 第993条规定的人格要素商业化利用相衔接。当侵权人擅自利用权利人的姓名、名称、肖像等人格要素时,权利人可以依据《民法典》第1182条主张人格要素的财产利益损害赔偿。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定: “被侵权人为制止侵权行为所支付的合理开支,可以认定为民法典第1182条规定的财产损失。”因此,《民法典》第1182条也适用于权利人因维权所支出的必要、合理费用。《民法典》第1182条适用的前提是权利人因为人身权益遭受侵害产生财产损失。相比之下,从文义解释的角度来看, 《个保法》第69条第2款的适用并未限于个人信息权益侵害导致的财产损害。《个保法》第69条第1款的损害赔偿责任均可以适用《个保法》第69条第2款的方式计算损害赔偿数额。由于《个保法》第69条第1款的侵害个人信息权益损害赔偿包括财产损害赔偿和精神损害赔偿,因此侵害个人信息权益精神损害赔偿数额的确定也可以按照《个保法》第69条第2款计算。《个保法》第69条第2款以及《民法典》第1182条关于损害赔偿数额的计算方式与原《侵权责任法》第20条相比,最大的区别在于《个保法》第69条第2款和《民法典》第1182条将前面两种计算方式置于同一适用顺位,不再规定“按照侵权人的获利予以赔偿”需要以“被侵权人的实际损失难以确定”为前提,而是由被侵权人自行选择。“立法机关作此修改主要是考虑通过赋予被侵权人以选择权,可以有效地保护被侵权人的合法权益,同时也有利于剥夺侵权人的非法获利,预防和制止侵权行为的发生。”
(二)法定赔偿数额
事实上,尽管《个保法》第69条第2款规定了侵害个人信息权益精神损害赔偿数额确定的三种计算方式,即实际损害赔偿、侵权人获利赔偿、法院酌定赔偿,但是前面两种计算方式的可操作性并不强。在个人信息权益侵害的司法实践中,无论是个人信息主体的实际精神损害,还是个人信息处理者基于个人信息的获利均难以举证。由于精神损害具有明显的无形性,故而个人信息主体难以充分证明自身的精神利益在个人信息权益侵害前后的具体变化。个人信息处理者的侵权获利虽然具有客观性,但涉及个人信息处理者的商业秘密,而且个人信息给个人信息处理者带来的经济利益也缺乏合理的计算标准。例如,在“凌某某与北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”,“孙某某与北京百度网讯科技有限公司人格权纠纷案”中,法院均认为个人信息处理者的获利缺乏相关证据,难以认定。在司法实践中,大多数个人信息权益侵害案件的精神损害赔偿数额是通过法院酌定的方式确定。《个保法》第69条第2款的不足在于只明确法院酌定的损害赔偿数额计算方式,但未规定法定赔偿数额。比较法上,有多个国家规定个人信息权益侵害的法定赔偿数额。例如,按照美国2018年《加州消费者隐私法案》第1798.150条第a款的规定,个人信息权益侵害的损害赔偿数额为每人每事件100美元至750美元之间或者实际损害,以较大者为准。2019年12月内部征求意见的《个保法》(草案)也曾经规定,个人的损失或者个人信息处理者获得的利益难以确定的,按照每人每事件500元至1000元确定,然而最终出台的《个保法》并未规定法定赔偿数额。个人信息权益侵害的法定赔偿数额具有很强的必要性。我国也有多位学者主张确立侵害个人信息权益损害赔偿的最低标准。由于《个保法》已经出台,故而可以借鉴人身权益遭受侵害的财产损失法定数额确定方式,由最高人民法院通过司法解释予以规定。
五、结语
个人信息权益同传统人格权益一样,与个人的人格尊严、人格自由具有紧密的联系,但与传统人格权益不同的是,该人格权益中天然地内含财产价值,而且在数字社会中,该财产价值具有促进数字经济发展的决定作用。这也决定了个人信息保护的核心目的在于促进数据(含特定的个人信息)利用,但其必须以个人信息(含隐私性信息)的人格权益不受侵害为底线。随着信息技术的广泛应用,个人信息权益侵害问题层出不穷,已经严重影响个人的人格尊严、人格自由,故传统侵权法规则也应予以一定的回应,作出适应社会发展的调整。侵害个人信息权益精神损害赔偿无疑是实现个人信息人格权益有效救济的关键手段,但在侵权法保护路径之下,严重精神损害的程度要件成为侵害个人信息权益精神损害赔偿的主要障碍。有鉴于此,应当更新传统的精神损害赔偿观念,设计出区别于传统人格权的精神损害赔偿规则。回溯侵权法的发展历史,侵权责任规则也是处于不断的变化之中,以便适应社会的不断发展。数字社会的个人信息权益侵害与传统线下社会的人格权益侵害具有明显的区别,故应更新传统的侵权损害赔偿观念,以适应新社会形态下的个人信息保护需求。
相关阅读
3. 谢鸿飞:个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化
商品书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
战略合作伙伴:上海中联律师事务所