互联网法治 | 大规模个人信息侵权中非物质性损害的认定及救济
点击上方“中国审判”可以订阅哦!
文 | 广州互联网法院 段莉琼 谭静宜
利用互联网实施的个人信息侵权在实践中呈现出规模化、链条化趋势,数据的无限复制性致使侵权成本越来越低,高技术手段又使得侵权手段更隐蔽、处理传播更迅速、源头更难以查找。对个体受害人而言,短时间内很难出现明显实质性损害。传统侵权责任中以损害赔偿为目标的救济方式,在该类案件中面临损害范围难以确定、因果关系无法辨明、救济方式较为单一等困境。笔者认为,有必要从具体个案出发,对大规模个人侵权中非物质性损害的要件认定及救济导向问题进行分析,以便更全面地保护个人信息权益、维护网络空间良好生态。
认定非物质性损害的法益基础
损害是民事赔偿责任的必备要件,法律上的损害或具有可赔偿性的损害应在协调各种价值目标的基础上进行。具体而言,笔者认为,认定非物质性损害能否获得救济应当考虑以下因素:
(一)非物质性损害认定与个人信息控制权损害
从我国现有个人信息保护体系上看,无论是《中华人民共和国民法典》(以下简称《民法典》),还是《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),均强调信息主体对于个人数据的控制,信息主体具有全生命周期的权利。实践中,个人信息权益往往与信息自由、商业自由等多种价值交织,只有结合具体语境与社群中的信息流通,才能准确思考隐私的边界与个人数据流通的合理性。因此,个人信息能否保护好,不仅在于信息主体是否能够对自己掌握的个人信息进行直接支配,还在于能否控制好被他人正当和非正当地共享着的信息。
通常,公众的个人信息一般来源于公众在某种特定情形下自愿公开的信息,但侵权人从不同渠道获取这些信息后,在违背公众合理期待的情况下可能会进行二次甚至无数次的利用处理。而信息收集、处理与披露产生的损害可能不会立即显现且一一对应,只有当行为人侵害个人信息的行为引发后续的连锁效应(如被冒名贷款、注册企业、注册网络账号等)时下游“损害”才较为明显。可见,在个人信息大规模侵权的案件中所造成的损害大部分缺乏有形的具体损害,而通常表现为个人信息泄露的风险、产生的社会焦虑、增加社会防御成本等非物质性损害。非物质性损害已成为大规模信息侵权案件中对个人信息控制权损害扩张的主要方向。
(二)非物质性损害认定与个人信息风险规制
如上文所述,个人信息权益并非绝对性权利,具有个体属性和公共流通属性的双重属性。例如,以欧盟《一般数据保护条例》(以下简称《条例》)为代表的数据保护立法中,既包括个体的知情权等消极的隐私期待权利,也包括积极的数据选择权与控制权,还包括数据质量与数据安全等权利。因此,个人信息既包括附着于数据上的人格性权益、财产性权益,也应当包括风险预防性权益。
当前,大多数国家已在很多场景下认可非物质性损害构成法律上认可的损害。如欧盟《条例》第82条第(1)款规定:“任何因为违反本条例而受到物质或非物质性伤害的人都有权从控制者或数据者处获得损害赔偿。”同时,由于风险预防往往存在损害不易察觉、后果无法知悉、举证困难、侵权主体难以确定等各种困境,个体受害人处于弱势地位,极易因上述困境而怠于诉讼,若对此不予以救济,长此以往,必然对社会秩序和公共安全产生更大危害。
(三)非物质性损害认定与侵权法功能的完善
在个人信息侵权中,风险具有潜伏性、扩散性和不可逆性。笔者认为,侵权法制度应更加注重其威慑与治理功能,通过多主体合作治理的方式发挥其公共治理功能。
通过对我国相关个人信息保护公益诉讼法律文书的分析,笔者发现,仅有少部分案件产生实质性损害,通常表现为众多个人信息泄露后导致账户被盗窃、财产减损等。大部分案件所呈现的损害情形均为非物质性损害,主要表现如下:一是侵害带来的骚扰,例如,贷款催收、广告推销、电信诈骗等;二是对新技术应用产生的风险焦虑,例如,部分案件中,侵权人利用新技术将2D照片转化为人脸3D动画,信息主体知晓后产生包括对人脸识别技术的不信任,害怕侵权人利用伪造的人脸识别视频进行贷款、公司注册等操作从而导致财产损失等焦虑,各类App运营公司也不得不采取额外的措施修复漏洞等;三是纯粹的焦虑,例如,信息主体对个性化推荐的担忧等。
由此可见,在大规模微型侵权的情形下,如果固守传统侵权损害观念,反而会减损侵权法功能。个人信息侵权制度的中心应当从损害赔偿转向合理威慑,通过将侵权成本内部化,迫使行为人以符合社会合理期望的、考虑他人利益的方式行事,从而实现对相关风险的预防治理。
判定构成非物质性损害的要件分析
认可风险等非物质性损害具有独立的法益价值,但非物质性损害均为间接损害或推定性损害,如果对此类损害界定过宽,可能会引发滥诉行为;如果界定过窄,则可能无法对个人信息侵权进行源头救济。
传统损害认定需要具备两个核心要件:一是损害必须是真实的;二是通过受害人权益差额判断损害有无。而现代侵权法则强调救济与安全,可通过宣告侵权行为不法、权益受到侵害即构成损害进行认定。结合两种认定思路,笔者认为,在大规模个人信息侵权中,非物质性损害的认定应当具备客观性、显著性、关联性等构成要件,从而进行综合性救济。
(一)未来必然发生或高度可能产生
损害的客观性认定要求该损害并非主观臆测,而是需要具备相应的证据证明风险导致的损害未来必然会发生或具有高度可能性在将来产生。
损害未来必然发生的情形即个人信息侵权导致的下游损害已经产生。例如,已经有受害人遭受了财产损害、人格权损害等,或者已有针对受害人的未遂行为发生。此种情形下,损害客观性较为容易确认。
在下游损害未及时出现的情况下,高度可能发生性则需要达到客观合理可能性的标准。个人信息权益遭到侵害后,损害风险是否具体,完全取决于未来的数据流通过程。因此,可以结合个人信息的特点和证据认定规则,区分必然发生损害的案件和存在损害风险的案件。
一方面,对于可直接识别的个人信息或敏感个人信息,具有高度识别度和敏感度。因此,损害的认定可借鉴采取“权益受到侵害即构成损害”的认定规则。另一方面,对于间接可识别的个人信息,需要判断信息组合对于主体识别覆盖范围的大小。当信息碎片组合能够多方面地体现出信息主体的社会交往、财产、生物特征及医疗方面等状况时,那么风险也将增大。此外,还应考虑遭受或将会遭受损害的人的合理期待,可从信息主体主观上对信息的使用目的的预期及这种预期是否符合社会公众的一般认知这两个角度进行衡量。
(二)在一定范围内达到显著性程度
尽管承认个人信息非物质性损害是必然趋势,损害具有显著性依然是条件之一,法院裁判时还需要结合具体个案场景,将信息种类、信息处理的方式和目的、信息滥用的迹象等各种因素结合起来,作为判断考量。
关于信息的种类。根据个人信息的特征,敏感个人信息的非物质性损害可直接认定具有显著性,非敏感个人信息的非物质性损害在个人信息处理者存在过错时也可以直接认定具有显著性。此外,个人信息泄露的范围、个人信息主体是否得到及时通知,以及个人信息权利自救的有效性,也可以作为损害显著性的间接要素予以考虑。
关于信息处理的方式和目的。个人信息以何种方式被非法处理,对于损害的判断非常重要。在大规模个人信息侵权案件中,身份被盗用的风险是最主要的担忧。最终真实的信息滥用是否会发生,与侵权人获取个人信息的目的息息相关。该目的可以通过侵权人的信息处理方式、处理信息条数、信息处理用途等间接方式予以推知。
关于信息滥用的可能性。个人信息泄露发生后,随着时间的推移,个人信息滥用的端倪将逐渐显现,其对于损害的认定具有佐证意义。如果有证据证明个人信息被冒用、篡改,就可以认定损害会发生,采取合理救济措施的成本就可以认定为损害。如果个人信息没有被滥用,但个人信息权益侵害所体现的风险和焦虑是普遍出现的,当这种普遍性可以特定化到个人时,风险就等同于损害的发生。
(三)非物质性损害与侵权行为存在高度关联性
在个人信息侵权中,非物质性损害与侵权行为之间的因果关系更为复杂。笔者认为,法院不应在个人信息侵权中过多依赖因果关系这一制度与思维工具,而应从因果关系分析转向何种责任分配有利于有效威慑和预防风险的角度分析。可适当引入概率理论、市场份额理论,以可预见性的标准来论证损害与侵权行为之间的高度关联性。
非物质性损害的救济导向和责任承担方式
非物质性损害概念的扩张和革新,将是侵权法应对大数据时代挑战的一次升级。实现对非物质性损害的法律救济并不是推倒重来式的法律变革,而是需要从个人信息保护的风险性特征、群体保护及个人信息秩序建构等目标出发,将传统损害赔偿之诉转变为威慑预防的治理之诉。
(一)转变救济导向
在个人信息保护制度中,对个体权利损害的补偿是其目标之一,但并非唯一目标或主要目标。网络空间的特殊性和隐蔽性导致公众难以获悉其个人信息被侵害的情况。个人信息侵权具有大规模微型侵权的特点,导致受害人极易怠于行使诉讼权利。个人信息违规所导致的相关损害链条通常较长,侵害主体可能很多。此外,导致侵害发生的风险是累积产生的,在很多情况下不能查明也不可能查明所有参与侵权的具体人员。这些因素都使得单纯的损害赔偿面临损害不确定性的难题,仅靠事后救济,无法有效防止和治理非物质性损害的扩张。
面对大规模侵权导致的非物质性损害,个人信息权利之诉并不是寻求对个体损害的补偿,也并非对具有绝对权性质的人格权的确认,而是在具体场景中分析不同信息权利是否有利于信息处理关系的治理。同时,侵权法应当衡量不同信息权利所期望达到的功能与目标,将面向“未来”对损害的预防置于中心地位,不应再被动地填补损害,而是要通过主动和提前介入“风险社会”的“风险源”之中,按照合理威慑和预防损害的原则对救济方式进行重构。
(二)责任承担方式
第一,停止侵害。数据的流通与获取对于数据利用具有核心影响。在风险社会,仅要求侵权人停止当下侵权行为并不能有效阻止风险蔓延,侵权人依然有可能也有条件与原始侵权链条进行链接“重操旧业”。因此,在构成非物质性损害的案件中,应阻隔侵权人数据流通与获取途径,在客观上达到停止侵害的目的。例如,要求侵权人注销用于数据流通、获取及利益兑现的数字工具,对于实现风险控制将会起到立竿见影的作用。
第二,赔礼道歉。赔礼道歉是一种对于保护人格权益具有重要功能的民事责任。大规模信息侵权造成的非物质性损害包括公众对于信息安全的焦虑等情绪。判令侵权人承担赔礼道歉的民事责任,一方面可以让其认识自身行为的违法性;另一方面可以抚慰受害人因侵权人的侵权行为而遭受的痛苦,确立社会行为规范,弘扬社会是非善恶标准,从而发挥法律的一般威慑功能。
第三,赔偿损失。《个人信息保护法》只规定了确定损害赔偿额的3种方法,此种确定方法仅适用于损害未来必然发生的情形。非物质性损害赔偿的金额需要围绕信息条数、违法所得、行为手段、侵害领域等产生实质风险的诸多因素进行综合判定。
首先,关于损害赔偿的标准。因个人信息承载了人格利益和财产利益,一切损失都可以因为个人信息侵权而产生。为了避免风险链条的无限扩展,进而导致损害赔偿缺乏确定性,法院可以按照公允、可预期的标准确定损害赔偿的范围。其次,关于预防风险的费用。一旦个人信息权益被侵害,受害人势必会采取措施,防止其个人信息被进一步滥用,那么采取措施降低风险而支出的合理成本就应当被视为风险损害。因此,降低风险而支出的合理成本代表了一种经济损失,属于非处理个人信息而产生的负担。最后,关于确定金额的参考因素。实际操作中,因降低风险支出的成本不能通过司法鉴定等程序进行客观确定,故在评估损害赔偿额时,可以风险产生的客观因素为标尺,包括但不限于不当行为的性质和严重性、违法行为数量、发生不当行为的时间长短、被告不当行为的故意等。
第四,恢复原状。非物质性损害的辐射性决定了单纯金钱赔偿不能完全覆盖受损范围。如果个人信息主体及时收到通知,并能够相互配合作出补救措施,则个人信息侵权案件的风险和焦虑在特定条件下是可预防、可消除的。当然,侵权人的主观过错在责任减免中也应当发挥一定的作用。因此,当侵权人积极主动做出与侵害行为影响相当的补偿行为,弥补其行为过失,使网络环境恢复到其应然状态,可相应减免损害赔偿责任,以强调侵权人对某些可预见下游风险合理注意义务的承担。
总之,笔者认为,在个人信息保护乱象频发的情况下,应通过解释论的方法对非物质性损害认定的标准予以重新解读。在个案的场景下由裁判者综合客观性、显著性、关联性等要件进行考量,司法保护的重心从个体救济转向公共治理,以事先预防、事后救济等综合手段重构责任承担方式,方能实现对个人侵权的有效预防与威慑。
本期封面及目录
<< 滑动查看下一张图片 >>
《中国审判》杂志2023年第16期
中国审判新闻半月刊·总第326期
(关注“中国审判”微信号,获取更多精彩资讯)
编辑/徐畅