個人信息侵權中損害認定標準研究

王大志 張 挺

(杭州師范大學沈鈞儒法學院 杭州 311121)

在數字化轉型時代,隨著個人信息價值的不斷提高,個人信息的安全風險也與日俱增[1],個人信息逐漸以數字化的形式呈現,個人信息保護也面臨新的風險與挑戰[2].在此背景下,個人信息侵權行為會造成更大的個人信息安全風險.在我國現行侵權法的賠償模式下,個人信息泄露造成的損害難以科學量化,并難以得到完全彌補,即使個人信息主體的損害賠償請求得到法院的支持,但因個人信息泄露所造成的個人信息高風險狀態也無法恢復至原態.鑒于此,對如何將個人信息風險納入我國侵權法保護體系以及對個人信息風險損害進行識別進行討論具有必要性.傳統語境下的損害以“確定性”為基礎.然而,個人信息泄露所造成的損害風險具有復雜性、難預測性、潛在性.在司法實踐中若不能正確認識損害“確定性”之本質,則不能有效保護信息主體的個人信息權益.故如何將個人信息風險損害引入我國的侵權損害評價體系,需要合理利用法律解釋的方法加以討論.

1 個人信息風險作為損害的困境及轉向

本文收集了聚法案例網中2021年1月至2023年12月生效的以個人信息保護糾紛為案由的民事判決文書155份,并對其進行實證分析.其中:2021年的案件共64件,占比41.29%;2022年的案件共73件,占比47.1%;2023年共18件,占比11.61%.進一步對155個案件進行篩選,其中有1個案件庭前達成和解,故得到154份有效的民事判決書.從程序來看:一審案件114件,占比74.03%;二審案件40件,占比25.97%.

1.1 判決結果

一審裁判中,被法院駁回訴訟請求的案件共89件,占比78.07%,法院判決全部或部分支持當事人訴訟請求的共21件,占比18.42%,撤銷的共4件,占比3.51%.二審裁判中,法院判決駁回上訴,維持原判決的共29件,占比72.5%;判決撤銷其裁判結果的共6件,占比17.5%;法院變更一審裁判結果改判或部分改判的共5件,占比12.5%.

1.2 個人信息損害認定情況

本文通過對該154件案件判決中的具體損害認定情況進行統計分析,得出以下結論:

1) 精神損害認定困難.

“精神損害是指受害人在人格權或者其他權利受到侵害后,所遭受的精神、生理痛苦以及其他負面情緒[3].”以當事人是否提出精神損害賠償請求來劃分:154個樣本案件中,共有77件案件涉及精神損害賠償,占比50%.以當事人是否獲得精神損害賠償為劃分標準:77件案件中,獲得法院支持或部分支持的共12件,占比15.58%,法院不予支持的共65件,占比84.42%.

通過分析未獲得精神損害賠償的原因可以發現,在65件精神損害未得到支持的案件中,法院認為其精神損害未達到嚴重性標準的共16件,占比24.61%;認為其證據不足以證明其精神受到損害的共39件,占比60%;認為被告行為不構成侵權的有8件,占比12.31%;認為原告對所受精神損害與有過失的1件,占比1.54%;認為實際損害未產生的1件,占比1.54%.

2) 財產損害認定困難.

以當事人是否提起財產損害賠償為劃分標準:154件個人信息糾紛案件中,當事人提起財產損害賠償訴訟請求的共63件,占比41%.以當事人提起的財產損害是否得到法院支持為劃分標準:63件案件中,當事人的財產損害賠償訴訟請求得到法院支持的共24件,占比38.1%.財產訴訟請求未得到法院支持的共39件,占比61.9%.

通過分析未獲得財產損害賠償支持的原因可以發現:在39件財產損害未得到支持的案件中,因證據不足,原告無法承擔證明的共30件,占比76.93%.法院認為原告財產損害與被告侵權行為之間無因果關系的1件,占比2.56%.法院認為損害后果未發生,不予支持財產損害賠償請求的1件,占比2.56%.法院認為被告行為不構成侵權或其信息處理行為不構成侵權或未超過合理限度的共6件,占比15.39%.法院認為原告與被告之間未約定損害賠償事項不支持原告損害賠償請求的1件,占比2.56%.

1.3 損害賠償認定困難的原因

通過實證分析得知,法院在對個人信息侵權損害賠償作出支持與否的判決時,首先考慮的是個人信息主體是否遭受實際損害.在損害后果未發生的情況下,法院則以損害仍未發生為理由駁回原告損害賠償的訴訟請求[4].即便法院肯定個人信息泄露后會對被侵權人的人格尊嚴、財產安全產生損害風險,被侵權人也難以提供相應的證據證明其損害.在精神損害方面,證據不足亦是阻礙被侵權人權利救濟的主要成因,原告提出證據無法證明損害客觀存在,法院難以支持其訴訟請求.另外,不滿足“嚴重性”之標準也是被侵權人精神損害未得到支持的阻礙之一,下文將對造成此類司法現狀的成因進行分析.

1.3.1 個人信息損害的特性

司法實務中個人信息糾紛案件會產生損害認定困難的原因之一是個人信息損害具有潛在性、難預測性、復雜性[5],3個特征呈遞進關系互為因果.個人信息風險損害的潛在性是指其風險損害本身難以被信息主體所察覺.難預測性則體現在風險損害所產生的后果在何時發生、以何種形式發生,以及其后果的嚴重程度難以進行科學量化.若受害人以權利損害的未來風險為由提出損害賠償請求,通常情況下難以得到法院支持.因其潛在性,個人信息損害具有難預測性,損害的潛在性與其后果的難預測性也決定了個人信息案件中損害認定的復雜性,因個人信息損害的潛在性與其損害后果的難預測性決定了對個人信息損害的認定是一個復雜的過程.因此,我國法院在司法實踐中對個人信息風險損害大多持否定態度.

1.3.2 損害確定性之桎梏

1) 損害概念未明確.損害作為風險損害的上位概念,極少有法典對其定義作出明確解釋.司法實踐中,我國以具體分散的法定損害項目作為損害額的裁判標準,即法院在判斷侵權案件的損害賠償時只需要參照《民法典》中具體的責任類型作出相應的評價[6].這種損害評價體系雖然在司法實踐中具有便利性,但是對于尚未被類型化的損害就會產生適用不能和損害難以認定等問題.《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第69條將損失作為個人信息侵權的前提,故在要解決個人信息風險構成損害這一問題時,仍需要對損害概念之構成進行解釋.

2) 個人信息風險損害與損害確定性之間的矛盾.傳統損害理論視角下,損害應當具有客觀真實性與確定性,而風險損害作為一種無形的、潛在的損害,難以通過財產差額等形式表現出來,個人信息泄露后、下游損害發生之前,信息主體往往無法認知到信息泄露的事實,對個人信息的泄露范圍及影響也處于未知狀態,風險損害也因此遭到了諸如是信息主體臆想的、虛構的等聲音質疑.信息主體在向法院提起訴訟時,法院往往以證據不足、損害尚未確定等原因駁回其訴訟請求.因此,如何調節個人信息風險損害與損害確定性之間的矛盾,理解損害確定性之內涵是下文將要探討的一個重要問題.

1.3.3 嚴苛的精神損害標準

主張精神損害賠償應當具備事實和后果2個構成要件.在個人信息糾紛案件中,原告往往很難證明自己遭受精神損害,更難以證明造成嚴重精神損害.司法實踐中,證明“嚴重精神損害”需要證明有嚴重后果的產生.而在個人信息權益侵權案件中,被侵權人的精神損害通常表現為精神上的焦慮、擔心、害怕、恐懼等,或者由于騷擾電話等造成生活上的不便,往往達不到“嚴重后果”的程度,很難被法院認定為精神損害的子類型[7],無法滿足“嚴重精神損害”的構成要件,因此,以《中華人民共和國民法典》(以下簡稱《民法典》)第1183條為請求權基礎主張精神損害賠償在司法實踐中訴求很難被滿足.

2 個人信息風險損害之論爭及基礎

2.1 否定說

否定說認為,損害必須具有“確定性”,損害未發生則不能產生損害賠償責任,即賠償責任只有在個人信息遭到非法利用、實際損害已經發生時才會產生,具有個人信息侵權所產生的未來風險并不具有“確定性”,故不能被認定為損害[8].

2.2 肯定說

肯定說認為,損害是否已經發生不能作為判斷損害確定性的唯一標準,在大數據時代背景下,應當將滿足一定條件的風險認定為損害,此觀點的核心內容為“實際性風險”說,即只有未來損害必將發生或者具有可能發生的高度蓋然性時,才能構成損害.

2.3 折中說

折中說認為,個人信息風險本身就產生了一些實際性的損害,比如,個人信息主體因為個人信息泄露所產生的精神焦慮以及為了預防風險而產生的支出等.對此類損害進行救濟應當是無爭議的[9].但在關于能否將風險本身視為一種損害問題上,折中說態度模糊.

本文贊同肯定說之觀點,個人信息風險損害作為一種尚未發生的損害,具有作為損害之合理性.司法實踐中應當有條件地對個人信息風險損害進行認定,結合具體情況降低個人信息侵權案件的損害確定性標準,從而更好地發揮司法對個人信息合法權益的保護作用.

2.4 個人信息風險作為損害的合理性

2.4.1 理論基礎

利益說認為,損害是指被害人因該特定損害事故所損害之利益,該項利益是指被害人之總財產狀況,于有損害事故之發生與無損害事故下所生之差額,故也被稱為差額說[10].差額說實質上是為損害的認定提供了一種計算方法,將損害作為一個計算數額上的大小,從而構建統一的損害概念.因差額說缺乏規范目的的法律評價,在依據差額未能確定損害的情況下,會造成不公正的后果,無法對受害人的合法權益進行合理的損害賠償.本文認為損害的本質是指被害人受法律保護的合法利益所遭受的不利益.在個人信息泄露案件中,除被害人的財產損失與精神損害之外,其所面臨的風險擴大的狀態也應該被評價為一種不利益,此種不利益并沒有表現為特定的財產損害后果,而是某種造成損害后果或者再次發生損害的可能性.

2.4.2 現實基礎

“風險社會”理論由德國社會學家烏爾里希·貝克[11](Ulrichbeck)提出.工業時代,風險常伴隨著環境損害概念出現,在大數據的時代背景下,個人信息安全無疑面臨著同樣的問題.個人信息侵權案件中的被告多為具有專業個人信息處理技術的企業和組織,而原告作為一個具有有限理性的個人,個人信息一旦被收集便完全脫離了個人信息主體的控制.原被告雙方地位和力量的懸殊,導致原告在個人信息民事訴訟中處于弱勢地位,很難承擔個人信息損害的舉證責任.傳統的侵權責任體系已經難以平衡當事人之間的地位差距,有必要引入風險責任分配理論以完善侵權責任承擔制度.

首先,個人信息的安全風險來源于信息處理者的信息處理活動,是產生風險的根源所在.其次,相較于信息個體,信息處理者擁有更多的自愿、技術、手段來控制風險.再者,信息處理者在個人信息處理活動中獲得了更多利益,甚至依靠信息處理活動來獲益,理應承擔更多的風險責任[12].比較法上,歐盟的《一般數據條例》中存在很多體現風險觀念的條款(第24條、第30條等).我國的個人信息保護立法活動已經朝著基于風險的方向進行探索與嘗試.在侵權責任法方面亦應該將重點從事后保護轉移到事前保護上.

2.4.3 矛盾化解:損害確定性理論之突破

風險損害實質上是一種未來損害.未來損害(future damages)這一概念起源于英美法系,首次使用于美國科羅拉多州法院Brafford訴Susquehanna公司一案[13]中.該案法院支持了原告“未來患癌風險”的損害賠償訴求,在一定程度上突破了損害確定性理論.

在個人信息侵權案件中,關于損害確定性標準的學說大致可以分成以下4種:其一,傳統的主流學說認為損害必須已經發生,損害必須是真實存在的,不能是主觀臆想的、虛構的、尚未發生的現象,未發生的損害事實不具有可賠償性.其二,損害發生的必然性說認為,損害同像實際損害一樣未來必然發生的損害才具有確定性,可以獲得法律上的救濟,該學說在2022年《最高人民法院關于審理人身損害賠償案件適用法律若干問題的解釋》第19條第2款中被采用,在人身損害醫療費用賠償方面,我國最高人民法院司法解釋采用“必然性”之標準對“未來損害”進行認定.其三,損害發生的高度蓋然性說認為,損害之發生應具有高度可能性,《最高人民法院關于適用中華人民共和國民事訴訟法〉的解釋》第108條第1款便是典型代表.比較法上,德國、奧地利、法國、希臘、比利時等很多國家都采納了“高度蓋然性”標準[14].其四,損害發生的可能性說認為,損害無須是確定的,只要有損害的可能性就應當得到賠償.

2.5 出路及轉向:損害確定性標準動態評價體系

在個人信息風險是否能作為損害這個問題上,應當結合不同案件類型和嚴重程度進行動態分析.個人信息侵權案件與傳統損害類型相比,對其損害確定性不能作傳統上已發生的判斷,將部分具有實際性條件的個人信息風險認定為損害,符合我國的司法現狀,也有利于大數據背景下的個人信息保護觀念的轉變,為此本文認為應當建立個人信息損害認定的動態評價標準,附條件地將個人風險損害納入到損害認定體系之中.

3 個人信息損害認定的動態評價標準

3.1 個人信息的類型

個人信息侵權案件中,被侵害的個人信息類型是判斷個人信息處理者責任的首要標準.個人信息的私密程度越深,其損害就越容易得到認定.首先,對涉及隱私的個人信息可以直接適用隱私權的保護進路進行救濟.其次,我國《個人信息保護法》將一般個人信息與敏感個人信息進行了分類保護.就一般個人信息而言,其私密程度不高,通常這些信息的泄露產生的風險不大,所以對于侵害一般個人信息的行為其損害確定性標準不能隨意降低,應當繼續適用損害已經實際發生的標準.就敏感個人信息而言,其一旦遭到泄露或者非法使用,便容易導致自然人的人格尊嚴和財產安全受到嚴重侵害,故應適當放寬其損害認定門檻.

3.2 信息處理者處理個人信息的主觀目的、處理方式

《個人信息保護法》設專章規定了個人信息處理者的義務.根據《個人信息保護法》第51條的規定,個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失.在處理目的與處理方式層面:信息處理者在收集個人信息時要通過合法程序,取得信息主體同意,在處理和利用個人信息的過程中要出于正當目的,且采取必要的信息安全保障措施.若信息處理者未采取合理措施保障個人信息安全,導致個人信息泄露的風險增大,法院在進行損害認定時可以結合其具體過錯程度確定其應當承擔的侵權責任大小.

3.3 損害評價要素多元化

損害評價應當考慮以下要素:

其一,影響范圍.侵害個人信息所造成的影響范圍越廣,損害就越容易得到法院的認定[15].例如,在網絡個人信息侵權案件中,其個人信息在網絡中的瀏覽量和轉發量都是個人信息侵權行為的直接評價標準.瀏覽量轉發量越高意味著其個人信息泄露的范圍愈廣,對信息主體所產生的影響也就越大.

其二,侵權行為次數.侵權行為次數越多,持續時間越長,對信息主體所造成的后果就越嚴重,對信息主體造成損害的可能性也就越大,其風險程度也就越高.

其三,就個人信息主體而言,其身份(職業)的私密程度及特殊性等信息的泄露也會影響其損害程度.

在個人信息侵權案件中,應當不限于以上3種標準綜合對個人信息損害進行評價,不能將其割裂,作出單一的判斷.我國首例兒童個人信息、網絡安全保護民事公益訴訟[16]體現了這種方法,杭州互聯網法院綜合侵權行為所侵害的個人信息類型、收集個人信息的方式與目的、是否采取了合理的個人信息安全保障措施等方面作出了損害認定.

4 個人信息可賠風險的范圍

具有可賠償性的損害應當符合2個條件:一是能夠通過侵權人承擔賠償責任得到賠償;二是基于法律價值上的考量,該損害應當由侵權人承擔[17].確定個人信息風險損害應當按照尋求利益差額的方法將其具體化.

4.1 個人信息風險損害本身

個人信息權益作為一種獨立的人格權益不僅承載著權利主體的精神利益,還承載著財產利益[18].當個人信息權益受侵害時,其本身的財產價值可能發生減損因而產生財產損失,這種財產損失是因個人信息權益作為一種人身權益被侵害而導致的,有別于財產權益直接受損而導致的財產損失.這種損失表現為一種潛在財產價值的喪失,但在目前的司法實踐中難以對其進行科學量化,故在個人信息侵權案件損害評價中常常被忽略.

4.2 信息主體為預防風險所產生的支出

信息主體為避免二次損害所采取一系列預防措施,為此所花費的金錢、時間、精力等支出,可視為一種特殊類型的損害.信息主體為預防風險所產生的支出主要表現為:為預防個人信息風險上訴的差旅費、律師代理費;為取證而產生的鑒定費用等.《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條第1款對合理費用的范圍作出了規定.本文認為此類損害可以得到法院的支持.

4.3 風險所引發的精神損害

《個人信息保護法》沒有規定侵害個人信息權益的精神損害賠償.有學者認為,《個人信息保護法》第69條第2款使用的是“損失”一詞,既包括了財產損失又包括精神損失[19],故為確保個人信息處理行為不逾越人格尊嚴底線,應當通過上述的個人信息損害動態評價標準,對信息主體的焦慮狀態進行綜合判斷.比如,在敏感個人信息受到侵害時,可以適當降低《民法典》第1183條“嚴重性”之標準.

5 結 語

個人信息安全風險的升高勢必會導致個人信息交換流通秩序的混亂,將風險性損害納入個人信息侵權損害賠償評價體系之中已是大勢所趨.傳統侵權法視野下的損害與風險損害固然有一定距離,通過對損害概念的擴張解釋以及損害確定性理論發展脈絡的厘清,個人信息風險性損害具有納入我國侵權法保護領域的理論基礎及現實基礎.在司法實踐層面,通過損害認定的動態評價體系,結合個人信息的類型以及其他方面因素可以對個人信息侵權損害進行動態評價,以解決個人信息侵權損害認定困難的問題,在此基礎上適當降低個人信息案件損害認定的門檻,促進個人信息保護領域的良性發展.