摘要:损害作为个人信息侵权责任构成的核心要件,亦是损害赔偿适用的前提。由于数字经济 时代个人信息侵权呈现出新的特征和损害形态,侵害个人信息的后果往往体现为受害人在未来遭 受损害的风险,传统侵权损害救济在应对时存在较大的局限性。侵权损害赔偿的预防功能、风险 社会下的风险控制和分配理论,以及损害概念扩张的国际趋势为认可风险性损害提供了正当性基 础,通过动态系统的评价标准体系,综合个人信息类型,行为的目的、方式、后果及影响范围等因 素能够破除风险性损害的认定困境,且预防性支出和风险引发的焦虑在满足一定条件下也可构成 损害, 以达到全面保护个人信息权益的效果。
一 、问题的提出
在基于权利的个人信息保护法律制度中,个 人信息权益遭受损害时,信息主体往往寻求侵权 损害赔偿的私法救济。法谚有云:“无损害则无救 济 ”,损害作为侵权责任构成的核心要件,直接 决定了侵权责任是否成立,以及在损害填补的规 则下受害人能获得多少救济。但是随着大数据技 术的发展,个人信息呈现出多种新型侵权形态, 这种损害往往并非直观的、易于计算的物质性损 害,而是常表现为信息泄露后可能引发的一系列 风险,具有分散性、无形性、延时性与抽象性的 特点,由于这类风险性损害未转化为实际损失, 难以被纳入传统侵权法的损害概念范畴。研究表 明,司法实践中,“ 损害 ”认定已经成为众多个 人数据泄露案件难以通过司法程序获得救济的主 要原因之一[1]。当前,《 中华人民共和国民法典 》 (以下简称《 民法典》)、《 中华人民共和国个人 信息保护法》(以下简称《个人信息保护法》)及 其他法律规范并未对损害概念和认定作出明确 规定,导致受到侵害的信息主体无法得到及时、 充分的私法救济,因此认可风险性损害以及完善 风险性损害的认定规则是保障信息主体权益的 关键。
二、个人信息侵权损害的认定困境
( 一 )传统“ 差额说 ”认定新型损害存在局限性
损害是受害人主张侵权损害赔偿的核心要件,我国传统侵权法采取差额说的判定方法认定损害 的存在,然而伴随新型损害形态的出现,将差额 作为损害是否存在的判定方法具有一定的局限 性。首先,个人信息侵权损害呈现无形性、难以计 量的特点,信息的流转、利用在信息主体毫无意 识的情况下进行,在造成实际损失之前许多人都 未意识到个人信息已经被非法收集利用,或者信 息主体的财产在计算上并未出现差额,但已然发 生了价值上的减损。其次,个人信息侵权损害往 往具有延时性、不确定性,损害后果与侵权行为 存在时间上的分离,当下的损害行为可能在未来 很长的一段时间才会导致损害结果的发生,若信 息主体想要在这段时间主张财产损害或者精神损 害赔偿,很难获得法院的支持。在上述两种情形 中,若按照差额说的观点,则信息主体并未发生 财产上的差额,因此无法认定损害的存在,难以 通过侵权行为获得私法救济,显然不利于当下个 人信息保护。
( 二 )现行规则难以有效救济风险性损害
1.外部风险性损害:预防性支出
个人信息具有“ 可识别性 ”,且敏感信息和 隐私信息具有显著的人格利益和财产利益,一旦 泄露,极易给信息主体造成身份被非法利用或诈 骗的风险。在网络技术的加持下,个人信息被收 集、处理、传播的速度以几何倍数增长,信息处理 环节的增多导致个人信息泄露的风险升高。为此 信息主体往往通过采取预防措施来避免损害的发生,例如,花费金钱修改个人信息、购买保险等商 业服务以降低个人信息泄露被非法利用造成的人 身、财产风险,因此此类支出也被称为预防性支 出。目前我国对于未来风险的预防性支出部分, 仍存在损害赔偿的救济空白。
2 .内部风险性损害:因风险产生的焦虑
信息主体因担心信息泄露后被非法利用产生 的焦虑、不安情绪成为信息遭遇泄露后受害人常 见的心理状态。私密信息由隐私权和个人信息提 供双重保护,当个人信息泄露导致构成侵犯隐私 权时,受害人可以通过人格权保护请求精神损害 赔偿。但根据我国《 民法典》第一千一百八十三 条的规定,主张精神损害赔偿须达到“ 严重性 ” 的标准。实践中,法院在许多情况下拒绝支持当 事人精神损害赔偿的诉讼请求,理由是信息主体 不能证明发生了精神损害或精神损害不够严重。在邓某荣与北京某丰公司的侵权责任纠纷案中, 即使信息主体因信息泄露失去了工作,法院仍然 认为他没有遭受痛苦或无法证明痛苦,如此可见 精神性损害赔偿维权之艰难。
在个人信息被肆意过度收集利用、信息主体 遭受的风险无法彻底根除的现代社会,我们有必 要重新反思损害的概念范畴,信息主体是否可以 对风险性损害主张侵权损害赔偿?若可以,则需 要满足何种条件以及如何将风险性损害转变为可 获得合理赔偿数额的法律上的损害。
三、认可风险性损害的正当性
( 一)逻辑前提:损害赔偿的预防功能
损害填补是传统侵权法的重要原则,也是侵 权救济的功能所在,自人类进入大数据时代以来, 信息主体处于风险的中心地位,侵权法的预防功 能越来越受到学界重视。针对个人信息侵权预防, 《 民法典》规定了更正、删除个人信息和匿名化处 理措施,在自然人的个人信息权益遭到侵害或有 侵害之虞时可作为侵权责任的承担方式[2]。但是 我国在个人信息侵权损害赔偿领域,以补偿原则 和得利禁止原则为基础,着眼于过去实际发生的 个体损害、个体责任,而忽视了那些可以更为有 效预防潜在损害的制度设计,减损了法律增进社 会福祉的功能[3]。因此,基于损害预防理论,将 外部性风险损害纳入损害赔偿,不仅能够通过财 产损失的标准对损害进行量化,也会增强信息主 体对损害数额的可预测性,从而事先采取预防措 施 ,避免因信息泄露造成更大的损害。
( 二 )现实基础:风险社会背景下的风险控制与分配
大数据时代下现代社会已然成为风险社会, 计算机、互联网、社会生活的信息化给人类的生 活带来了新的危害,使现代社会的损害具有规模性、严重性及难以预测性,事先不易预防,事后难 以承担。因此,风险控制和风险分配在信息社会 起着举足轻重的作用,将满足一定条件的风险视 为可赔偿的损害,实质是风险分配的具体实现方 式[4]。正所谓“ 利益之所在,风险之所归 ”, 大 规模信息泄露、非法利用及买卖事件层出不穷表 明个人信息侵害风险并非单独的、个体的,而是 数字经济时代的社会整体性风险。相较于拥有海 量个人信息、以此获得经济利益、享有对个人信 息进行收集处理权利的信息处理者来说,信息主 体处于无法控制、难以防范的劣势地位。因此,对 于此种非偶然性、非个体性的人为风险,亟需法 律的干预,在风险控制的基础上引入风险分配路 径,将满足特定条件的风险性损害视为法律上的 损害,以平衡信息主体与信息处理者不对等的风 险地位。
(三 )国际趋势:损害概念的扩张
数字经济时代损害的认定几乎是各国面临的 共同难题。个人信息风险性损害无形性、抽象性、 不确定性,导致传统侵权法“ 差额说 ”的判定方 法捉襟见肘,国内外的司法实践中,对侵权行为 的认定均有一定的难度。由于症结在于新型损害 形态与传统损害观念不适配性,对“ 损害 ”概念 加以革新是解决个人信息侵权损害认定难的应对 之策。比较法上,多个国家都持扩张损害赔偿概 念的立场,例如,《德国联邦数据保护法》第八条 也放松了精神损害的严重性要求,以加大对信息 主体的个人信息保护。总而言之,传统侵权法的 损害认定在个人信息侵权领域显得力不从心,对 侵权损害要件作灵活宽松的解释,已经是数字经 济时代的一种趋势。
四、风险性损害认定路径
( 一)差额说的修正
损害赔偿制度的实质是立法机关如何分配损 失,在这一制度的背后是各方价值利益的权衡与 取舍。差额说虽是损害认定的基础理论,但不能 将损害直接等同于差额,用差额的有无来判定损 害的存在[5]。在个人信息侵权领域中,信息泄露 导致的一系列风险虽不能通过财产差额来体现, 但是在特定情形下,当事人的利益状态已发生了 翻天覆地的变化,例如,隐私信息被雇主获取后 出现的社会性歧视,导致在就业市场上失去竞争 力,或者个人信息被窃取后导致不良个人信用记 录等。当这些状态具有确定性时,说明信息主体 受法律保护的状态已遭受不利益,应当肯定损害 的存在,有必要通过其他修正差额说的方法来认 定损害。即便没有人身或财产总量上的价值减 损,只要权利主体受到法律保护的地位受到侵 害,或者有被纳入法律规范评价范围的损害,都属于侵权法上的可赔损害。因此,损害作为一种 规范性评价,其有无及大小的算定,应当根据个 案及案例类型做法律上的评价。
( 二)建立统一的风险性损害认定规则
法官判决的背后承载着相应的价值判断和利 益衡量,一方面我们不能不考虑愈演愈烈的个人 信息侵权,而信息主体难以获得损害赔偿的司法 现状,以及放松损害认定条件、缓和精神损害赔 偿严重性标准的国际趋势;另一方面,又不能将 所有风险认定为风险性损害,一定的风险包容度 也是信息社会运行的前提,规制成本高收益小的 剩余风险理应被允许。因此,对于何种风险能够 构成法律上的损害而获赔偿不能采取“ 全有或全 无 ”的判断方式,而应当根据个人信息侵权损害 的特点,建立动态系统的评价标准,在具体案件 中,应根据案件的实际情况,结合规范性目的进 行具体评判。
1.风险性损害的参考因素
(1)被侵害的个人信息类型。《个人信息保护 法》对敏感信息作了特别界定,由于敏感信息承 载着一定人格利益,故其被侵害后对当事人的利 益状态和地位影响更大。立足于信息开发利用和 数字经济发展的角度,自然人对于一般信息的处 理具有更高的容忍义务,而私密信息和敏感信息 等的泄露容易给个人带来负面影响,造成人格上 的不利益,所以相对于一般信息,应该对敏感信 息和私密信息给予更多更高层级的保护。将私密 信息和敏感信息的暴露即认定为损害,而一般个 人信息的风险不宜认定为损害,以此平衡个人信 息保护和数据利用的关系。(2)行为的目的、方 式及后果。个人信息被处理的目的和方式对损害 的认定十分重要。从行为目的来看,若信息泄露 源于黑客攻击,一般观念认为,黑客攻击的目的 就是获取数据本身,因此应当对该情形下信息泄 露产生的风险予以认可。从行为方式来看,当信 息处理超出了公众的合理期望时,就会产生更高 的危害可能性。例如,使用高空监视、人肉搜索 等手段,显然已经超越了人们的理性预期和容忍 度,天然地对个人信息存在威胁。因此法官应当 根据特定的信息处理方式认定损害的发生。从行 为后果来看,侵害行为所造成的后果越严重,信 息主体人身、财产权益遭受侵害的风险越大,就 越容易证成损害的发生。(3)影响范围。个人信 息侵权行为造成的影响范围越大,表明对信息主 体的侵害越严重,在利用网络技术实施的侵害行 为案件中,影响范围可以根据点击量、转载量、阅 读量、持续时间和传播范围等因素综合确定。若 个人信息传播范围较广泛,则应认可其风险性损害的存在。
2 .明确应对风险性损害的预防性支出属于财产损害
当个人信息泄露后,身份窃用以及被诈骗的 风险升高,信息主体为避免损害进一步发生而 自愿采取措施来防控风险,为此付出的时间、精 力、金钱,例如,购买风险监控的商业保险、信用 状况监督等,可被视为防范损害发生的预防性支 出,其本质为一种财产支出,容易通过利益差额 来计算。但根本上该预防性支出是否构成损害, 还需要判断风险是否属于风险性损害,若通过动 态系统的判断认定构成风险性损害,则为此发生 的预防性支出应认定为财产损失予以赔偿。
3.缓和精神损害赔偿的严重性标准
根据《民法典》第一千一百八十三条第一款, 受害人因人身权益被侵害而遭受的精神损害只有 满足“ 严重性 ”要件时才可获得赔偿。司法实践 中,“ 严重性 ”标准成为受害人主张精神损害赔偿 的最大阻碍。由于严重一词具有极大的模糊性, 理论界也缺乏对其认定的共识,司法实践中常出 现同案不同判的情形。
在个人信息侵权案件中,认可信息泄露引发 的风险可成立精神损害,意味着信息主体可以通 过损害赔偿来缓解焦虑和精神痛苦。从民事权利 的位阶理论来看,人身权高于财产权,在财产侵 权领域,侵权损害的赔偿不以“ 严重性 ”为前 提条件,奉行全部赔偿的原则,根据举轻以明重 的原则,更不应对精神性人格权限制“ 严重性 ” 条件。
五 、结语
数字经济时代下个人信息侵权损害与传统 损害认定的不适配性,使得通过侵权私法救济显 得力不从心。在风险社会的背景下,不仅要注重 对损失的分配,更要从损害预防的角度对风险予 以分配,认可风险性损害就是风险分配的具体方 式。诚然,承认风险作为损害无疑会对法律适用 的稳定性产生一定程度的冲击,因此,本文通过 对损害概念的修正、风险性损害的认定进一步完 善了个人信息损害赔偿规则,保障大数据时代自 然人的个人信息权益。
参考文献
[1] 张涛.探寻个人信息保护的风险控制路径之维[J]. 法学,2022(6):57-71 .
[2] 张建文,时诚.个人信息的新型侵权形态及其救济 [J].法学杂志,2021,42(4):39-52 .
[3] 瓦格纳.损害赔偿法的未来[M].王程芳,译.北 京:中国法制出版社,2012 .
[4] 田野.风险作为损害:大数据时代侵权“损害”概念 的革新[J].政治与法律,2021(10):25-39 .
[5] 朱晓峰,夏爽.论个人信息侵权中的损害[J].财经 法学,2022(4):51-66 .
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
第一种意见认为,刘某的行为构成贪污罪。全国... 详细>>
如何设计有效的环境治理政策, 是学术界和政策... 详细>>
