論侵害個人信息權益的損害賠償

龍松熊

(西南政法大學智能司法研究院,重慶 401120)

侵害個人信息權益的損害賠償一直是個人信息保護領域的重點和難點問題?！吨腥A人民共和國個人信息保護法》(簡稱《個人信息保護法》)第69條對侵害個人信息權益的歸責原則和損害賠償數額的確定進行了規定。在《個人信息保護法》頒布后,圍繞侵害個人信息權益的損害賠償依然存在以下三個疑難問題亟待解決:一是侵害個人信息權益但未造成嚴重精神損害或未產生實際財產損失的情況下,能否請求損害賠償?具體來說,侵害個人信息權益的損害賠償包括精神損害賠償和財產損害賠償兩種。(1)Sarah Ludington,Reining in the Data Traders: A Tort for the Misuse of Personal Information, Maryland Law Review, Vol. 66: 186, p.186-193(2006).《中華人民共和國民法典》(簡稱《民法典》)規定侵犯民事權益的精神損害賠償以“造成嚴重精神損害”為要件,財產損害賠償以發生實際損失為前提。而在侵害個人信息權益時,絕大多數的侵害個人信息權益的行為,盡管會給被侵權人造成不安,但難以達到嚴重精神損害的程度,也難以產生實際的財產損失。如果侵害個人信息權益需要造成嚴重精神損害和實際的財產損失,那么大量的侵害個人信息權益案件的被侵權人因沒有達到嚴重精神損害的程度而無法請求精神損害賠償。(2)參見陳蓉、楊玉華:《敏感個人信息精神損害賠償之檢視與制度建構——以〈個人信息保護法〉生效前45例已決樣本分析》,載《重慶郵電大學學報(社會科學版)》2023年第2期,第43頁。這不僅難以實現《個人信息保護法》保護個人信息權益的立法目的,也不符合公眾樸素的價值判斷。因而,在《個人信息保護法》出臺之后,不少權威學者開始質疑侵害個人信息權益的精神損害賠償以“造成嚴重精神損害”為要件的合理性。如張新寶教授從個人信息的特點和《個人信息保護法》的立法目的出發,認為侵害個人信息權益的精神損害賠償不應以“造成嚴重精神損害”為要件。(3)張新寶教授于2021年10月23日在中國法學會民法學研究會2021年年會上的主題發言中表達了此觀點。參見張新寶:《侵害個人信息的損害賠償(民法學研究會2021年年會會議簡報第九期)》,載微信公眾號“中國民商法律網”2021年11月17日,https://mp.weixin.qq.com/s/t6bqea22n4j7cT_zzfDT-A。謝鴻飛教授雖然承認現行法下侵害個人信息權益的精神損害賠償須以“造成嚴重精神損害”為要件,但為解決個人信息權益保護上的困難,他認為只要是敏感信息的泄露都應推定產生了嚴重精神損害,被侵權人可以請求精神損害賠償。(4)參見謝鴻飛:《個人信息泄露侵權責任構成中的“損害”——兼論風險社會中損害的觀念化》,載《國家檢察官學院學報》2021年第5期,第32頁。因而,《個人信息保護法》出臺之后,單純地依據《民法典》與《個人信息保護法》在個人信息保護上存在一般法與特別法的關系來論證侵害個人信息權益的損害賠償需要造成嚴重精神損害或者財產損失,實屬不足。(5)如張新寶教授認為,侵害個人信息的精神損害賠償是否需要適用《民法典》規定的以“造成嚴重精神損害”為前提存在肯定和否定兩種觀點。參見張新寶:《侵害個人信息的損害賠償(民法學研究會2021年年會會議簡報第九期)》,載微信公眾號“中國民商法律網”2021年11月17日,https://mp.weixin.qq.com/s/t6bqea22n4j7cT_zzfDT-A。還需要從理論上探討侵害個人信息權益但未造成嚴重精神損害或實際損失的情況下能否請求損害賠償。二是侵害個人信息權益的案件中,涉及到多數人侵權。對于多數人侵權特別是個人信息處理者控制的信息發生泄露,泄露的信息又被第三人進行積極的利用而造成他人損害時個人信息處理者應當承擔何種責任的問題,在理論上爭議不斷,需要進一步探討。三是《個人信息保護法》第69條確立了損害賠償的計算方法,但侵害個人信息權益損害賠償的數額具體如何計算卻未有明確的計算公式。因而,在《個人信息保護法》已然生效的情況下,對侵害個人信息權益損害賠償進行體系性的思考,具有極大的實踐意義。筆者將立足于中國現有立法和司法實踐,結合日本侵害個人信息權益損害賠償的理論與實踐經驗,對以上三個問題進行探討,以求教于方家,有益于司法實踐。

一、侵害個人信息權益損害賠償的成立前提

個人信息權益兼具人身利益和財產利益,侵害個人信息權益中被侵權人可能面臨的損害可以分為三種:一是個人信息泄露導致被侵權人基于個人信息所具有的財產利益而受到損害或者造成被侵權人的精神損害;二是個人信息泄露給自身帶來的風險;三是因個人信息泄露造成的其他財產損失,這種損失既包括個人信息泄露所造成的電信詐騙等下游損失,也包括為防止個人信息泄露所帶來的風險而支付的預防成本。在個人信息泄露造成其他財產損失的情況下,被侵權人請求財產損害賠償并無爭議。但在單純的侵害個人信息權益以及個人信息泄露帶來風險的情況下,被侵權人能否請求損害賠償?這是困擾理論與實踐的重大難題。(6)參見解正山:《數據泄露損害問題研究》,載《清華法學》2020年第4期,第141頁;田野:《風險作為損害:大數據時代侵權“損害”概念的革新》,載《政治與法律》2021年第10期,第27頁。這種困境產生的原因有兩點:一是通常情況下,侵害個人信息權益難以達到造成被侵權人嚴重精神損害的標準;二是個人信息的價值來源于信息的集合,單一的個人信息很難具有財產價值,這使得侵害個人信息權益難以滿足傳統侵權損害賠償構成要件的要求。而要解決單純的侵害個人信息以及個人信息泄露帶來風險的情況下被侵權人能否請求損害賠償的問題,其關鍵就在于如何構建侵害個人信息權益損害賠償中精神損害賠償和財產損害賠償的認定標準。對此,筆者認為,侵害個人信息權益的精神損害賠償應當以“造成嚴重精神損害”為要件;在未有實際財產損失發生的情況下,只有個人信息被商業化利用,被侵權人才能請求財產損害賠償。

(一)侵害個人信息權益的精神損害賠償應以“造成嚴重精神損害”為要件

盡管當前對于侵害個人信息權益的精神損害賠償是否應當以“造成嚴重精神損害”為前提依然存在爭議,但筆者認為:在《個人信息保護法》已頒布的背景下,侵害個人信息權益的精神損害賠償應當以“造成嚴重精神損害”為前提。這一論斷并非源于《民法典》與《個人信息保護法》在關系上是一般法與特別法的關系,而是以“造成嚴重精神損害”為前提符合《個人信息保護法》的立法目的和數據產業的特點。

首先,從權益的橫向對比來看,侵害個人信息權益的精神損害賠償應當以“造成嚴重精神損害”為條件。一是從個人信息與隱私權的關系來看,侵害個人信息權益所造成的精神損害賠償應當以“造成嚴重精神損害”為條件。個人信息可以分為私密信息和非私密信息,《民法典》第1034條第3款規定:“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定?！备鶕睹穹ǖ洹返募扔幸幏?在侵犯隱私權等具體人格權的情況下,被侵權人若請求精神損害賠償,需要以“造成嚴重精神損害”為條件。從權益保護的應然角度來說,隱私權中所包含的個人信息屬于私密信息,在保護的力度上,對個人信息中的非私密信息的保護應當弱于或至少是不強于對私密信息的保護,因而,對于個人信息的保護應當弱于或至少不強于對隱私權的保護。舉重以明輕,在侵害隱私權的精神損害賠償都需要以“造成嚴重精神損害”為條件的情況下,對侵害個人信息權益所造成的精神損害賠償自然應當以“造成嚴重精神損害”為條件。二是從個人信息與其他具體人格權的關系來看,侵害個人信息權益所造成的精神損害賠償也應當以“造成嚴重精神損害”為要件。個人信息屬于人格權益范疇,除隱私權外,個人信息還與姓名權、肖像權等具體人格權存在交叉,而侵害姓名權、肖像權等具體人格權都需要以“造成嚴重精神損害”為前提,以此類推,侵害個人信息權益也應當以“造成嚴重精神損害”為要件。

其次,從立法來看,對于精神損害賠償以“造成嚴重精神損害”為要件也是立法者深思熟慮的結果。立法上要求精神損害賠償以“造成嚴重精神損害”為要件出于三方面的考慮:一是遏制被侵權人濫用訴訟權利,謀取不法利益;二是遏制法官在精神損害是否成立的問題上不當行使自由裁量權;三是避免濫訴,避免無謂增加訴訟負擔。(7)參見唐德華主編:《最高人民法院〈關于確定民事侵權精神損害賠償責任若干問題的解釋〉的理解與適用》,人民法院出版社2001年版,第5頁;最高人民法院侵權責任法研究小組編:《〈中華人民共和國侵權責任法〉條文理解與適用》,人民法院出版社2016年版,第171頁。因而,“造成嚴重精神損害”這一要件涉及到侵權人、被侵權人以及法院三方面的利益平衡。侵權法是調整侵權人行為自由與被侵權人權益保護的法律,“造成嚴重精神損害”這一要件的增加,可以合理地平衡侵權人的行為自由與被侵權人的權益保護。尤其于法院而言,“造成嚴重精神損害”這一要件的增加,在防止當事人濫訴的同時也能為法官自身的價值判斷提供相應的衡量基準。因而,以實踐中侵害個人信息的案件無法達到“嚴重”的程度,就將這一條件豁免,難謂合理。況且,侵害人格權益難以獲得精神損害賠償,是人格權侵權請求精神損害賠償領域中的普遍現象,并非個人信息權益侵權請求精神損害賠償所特有。從精神損害的具體認定來看,精神損害的認定本身具有主觀性,是否造成嚴重的精神損害沒有具體的標準,對于“造成嚴重精神損害”的認定有賴于法官的判斷,屬于一種具有彈性的認定辦法,由法官進行具體把握。法官可以通過對精神損害案件的具體判斷來滿足社會發展的要求。(8)參見葉金強:《精神損害賠償制度的解釋論框架》,載《法學家》2011年第5期,第88頁。若將“造成嚴重精神損害”此一要件進行刪除,則一旦發生信息泄露事件就產生精神損害賠償,而信息泄露案件在實踐中發生的頻率又如此之高,這不僅會給數據企業造成極大的負擔,也會給司法機關帶來巨大的案件壓力。

最后,既有主張侵害個人信息權益的精神損害賠償不應以“造成嚴重精神損害”為要件的觀點缺乏理論支撐。從理論上來看,這一觀點主要理由在于《民法典》第1183條將侵害人身權益的精神損害賠償限定在“造成嚴重精神損害”的范疇,而《個人信息保護法》第69條第1款對侵害個人信息權益的損害賠償并沒有限定在“造成嚴重精神損害”的范疇,第2款對損害賠償的計算也沒有限定為純粹的財產損失。二者結合可以推定《個人信息保護法》第69條在個人信息權益的保護上,突破了《民法典》第1183條以“造成嚴重精神損害”為要件的規定。在侵害個人信息權益的精神損害賠償中,基于特別法優先于一般法的原理,應當優先適用《個人信息保護法》第69條的規定。(9)參見程嘯:《侵害個人信息權益的侵權責任》,載《中國法律評論》2021年第5期,第69頁;彭誠信、許素敏:《侵害個人信息權益精神損害賠償的制度建構》,載《南京社會科學》2022年第3期,第89頁。對此,筆者無法贊同,理由有三點:一是《個人信息保護法》第69條第1款并未將侵害個人信息權益的責任局限于損害賠償,在沒有達到“造成嚴重精神損害”的程度下,侵權人也可能承擔其他侵權責任,故而第69條第1款沒有限定“造成嚴重精神損失”具有合理性,但此并不能當然認定《個人信息保護法》第69條第1款規定了侵害個人信息權益的損害賠償不需要以“造成嚴重精神損失”為要件;二是通常來說,損失僅指財產損失,(10)參見楊立新:《侵害個人信息權益損害賠償的規則與適用》,載《上海政法學院學報》2022年第1期,第13頁。將《個人信息保護法》第69條中的損失解釋成既包括財產損失又包括精神損害,突破了對損失的一般理解,有強行解釋之嫌;三是條文中沒有規定需要“造成嚴重精神損害”并不能當然代表法律適用上的精神損害賠償不需要以“造成嚴重精神損害”為條件。一個明顯的例證是《日本民法典》第709條、第710條對于精神損害的賠償在法典中并未以“造成嚴重精神損害”為要件,但是在日本法院的實際判例(包括個人信息案件)中,依然采用超過社會一般觀念的容忍限度作為判斷要件。(11)參見大阪高等裁判所平成29(ネ)第2612號民事判決書、最高裁判所昭和61年(オ)第329號民事判決書。與此類似的是,中國主張侵害個人信息權益的精神損害賠償不應以“造成嚴重精神損害”為要件的學者,也認為并不是對所有的侵害個人信息權益的行為都能主張精神損害賠償。(12)參見彭誠信、許素敏:《侵害個人信息權益精神損害賠償的制度建構》,載《南京社會科學》2022年第3期,第91頁。

(二)侵害個人信息權益的財產損害賠償應以商業化利用為前提

損害賠償請求權的成立以被侵權人受有損害為前提。對于損害概念的界定,學界有差額說、組織說、規范說等不同的觀點,但差額說占據主流地位。(13)所謂差額說,即被害人的總財產狀況于有損害事故發生與無損害事故發生下所產生之差額,差額說以財產損失的實際發生為依據,在當事人受有損害但是并未實際產生財產損失的情況下,即認為被侵權人并未有損失的產生,在此情況下,對于當事人的侵權行為所產生的損害,被侵權人無法請求相應的損害賠償。具體可參見曾世雄:《損害賠償法原理》,中國政法大學出版社2001年版,第119頁;陳聰富:《人身侵害之損害概念》,載《臺大法學論叢》2005年第1期,第50頁;王澤鑒:《損害概念及損害分類》,載《月旦法學雜志》2005年第124期,第203-204頁;徐建剛:《〈民法典〉背景下損害概念淵流論》,載《財經法學》2021年第2期,第31頁。由于個人信息無形性、可復制的特點,單純的侵犯個人信息權益本身并不會導致個人財產的減少。因而,在差額說下,被侵權人很難獲得賠償。(14)參見丁宇翔:《個人信息民事司法保護的難點及破解路徑》,載《中國審判》2019年第19期,第94頁。但難以獲得賠償并不代表不需要賠償。傳統意義上的人格權損害也很難獲得賠償,但隨著科技的發展,某些人格權,如姓名、肖像、聲音的財產價值被不斷地發掘出來。為保護人格中的財產性權益,美國法創造了公開權以保護人格特征所體現的財產價值,日本繼受美國法上的公開權,創造了商品化權,德國則肯認人格權具有精神利益及財產利益兩種內容。(15)參見王澤鑒:《人格權法》,北京大學出版社2013年版,第452頁。中國法上,對于人格權侵害是否能夠請求財產損害賠償也存在爭議,但是《民法典》第1182條承認了人身權益的財產性。筆者認為,現有對于侵害個人信息權益損害賠償的爭議忽視了個人信息利用場景的多樣性,對于侵害個人信息權益的損害賠償應當根據具體的利用情形進行具體的判斷。因而,筆者主張判定侵害個人信息權益能否請求損害賠償時,應當從個人信息的商品化利用情況著手,若個人信息的損害是因為在未經過權利人允許的情況下被進行商業化利用,被侵權人可以請求損害賠償,反之,則不能請求損害賠償。具體理由如下。

首先,以商業化利用為基礎來判斷侵害個人信息權益的損害賠償符合人格權財產化的發展路徑。人格權中的經濟利益以及商業化利用權或公開權的創立的本質在于:科學技術的發展使得原本難以被記錄和傳播的人格信息具有了被大量商業化利用的可能,而在人格信息被大量商業化利用后,其所產生的巨大價值導致人格權的商業價值具有被保護的必要。人格權本身所包含的人格利益,使得人格權在被商業化利用之時需征得人格權人的同意,因而,此種財產權利的歸屬由人格權人享有。人格權財產化的此種發展路徑為侵害個人信息權益損害賠償提供了借鑒對象。且在人格權領域,盡管必須承認并非只有名人的人格權才有財產價值,但無法否認,名人人格權一般來說能產生更大的財產價值,也更加容易得到法院的支持。(16)參見劉金瑞:《個人信息與權利配置——個人信息自決權的反思和出路》,法律出版社2017年版,第185頁。名人人格權之所以更具價值的關鍵在于其商業化利用的概率更大,一旦涉及到侵權,便可能導致財產的損失。在人格權侵權中,對于當事人的損害賠償的支持,除實際支出的損失外,也一般以是否可商業化利用作為依據。同樣,個人信息權益屬于人格權益的范疇,與既有的人格權財產化路徑理應具有一致的基礎。且從個人信息權益的規定來看,雖然理論界對于個人信息能否商業化利用存在爭議,甚至有不少學者反對個人信息的商業化利用,(17)參見張新寶:《論個人信息權益的構造》,載《中外法學》2021年第5期,第1155-1156頁。但只要不違背法律規定和社會公序良俗,就不應限制個人信息的商業化利用。比較法上對個人信息的商業化利用也有先例。(18)參見王錫鋅:《個人信息權益的三層構造及保護機制》,載《現代法學》2021年第5期,第116頁。

其次,以商業化利用作為侵害個人信息權益損害賠償的基礎符合中國當前個人信息的保護現狀。從個人信息的保護現狀來說,現有情形下,個人信息的類型多樣且在不同的場景下,個人信息的保護呈現不同的狀況。完全根據個人信息類型來界定侵害個人信息權益損害賠償并不具備相應的基礎,且在多數情況下,對個人信息的侵犯也并不意味著經濟上的損失。因而需要以個人信息的商業化利用來判斷是否需要對侵害個人信息權益進行損害賠償,其理由主要有以下三點:一是以商業化利用作為個人信息的保護基礎,符合個人信息的特點。正如前述,個人信息是否具有價值,哪些個人信息具有價值,都處于一個飄忽不定的狀況。個人信息的價值并不由個人信息本身決定,而由個人信息的利用方式決定。個人信息具有經濟價值的基礎并不在于個人信息本身,而在于個人信息是否得到了商業化的利用,其本身具備的經濟價值只有通過商業化利用才能顯現出來。因此,以個人信息的商業化利用作為信息保護的基礎符合個人信息財產保護的原理。二是以商業化利用作為侵害個人信息權益損害賠償的基礎符合中國當前個人信息收集的現狀。盡管現有條件下對于個人信息的價值可能無法很好地用金錢進行評價,但在正常情況下,個人信息的主體并不會隨意地答應信息處理者收集其個人信息,個人信息主體允許信息處理者處理個人信息,必然存在著相應的理由。信息處理者也會付出相應的對價,如數據企業等個人信息處理者收集個人信息或數據需要支付一定的對價。(19)參見程嘯:《論大數據時代的個人數據權利》,載《中國社會科學》2018年第3期,第118頁。如果允許個人信息被以商業化利用為目的地收集,盡管從表面來看,個人信息主體可能暫時沒有受到損害,但從長遠來看,可能會導致眾多的個人信息處理者不再愿意支付對價來收集信息,個人信息主體會實實在在地受到損害。三是以商業化利用作為侵害個人信息權益損害賠償的基礎能在現行法上找到切實的依據。對于侵害人身權益的損害賠償,其理論基礎除被侵權人的損害外,還包括侵權人的不當得利。在侵害個人信息權益的案件中,對于侵害個人信息權益是否導致被侵權人受到損失存在證明上的難題,而在商業化利用的情形下,不僅當事人損失的證明難度會降低,侵權人的不當得利也能得到更加充分的展現。

最后,以商業化利用作為侵害個人信息權益損害賠償的基礎是個人信息多元利益價值的最佳平衡。個人信息不僅承載著經濟價值,也承載著社會價值,對于個人信息的保護不僅要保護被侵權人的合法權益,也要保護社會的言論自由。(20)Craig D. Tindall, Argus Rules: The Commercialization of Personal Information, University of Illinois Journal of Law, Technology &Policy, Vol. 2003: 181, p.191(2003).既要做到權益保護又要防止保護過度而阻礙信息的正常流通。(21)參見周漢華:《個人信息保護的法律定位》,載《法商研究》2020年第3期,第50頁。侵權損害賠償中,禁止得利是損害賠償法的基本原則。個人信息僅有在商業化利用的場景下才有獲利的可能,侵權人將個人信息進行商業化利用事實上是剝奪了被侵權人將個人信息進行商業化利用的可能。因而以商業化利用作為基礎,可以防止侵權人的不當得利。同時,也能允許不以商業化利用為目的的個人信息在社會中進行正常的流通,滿足社會對于信息流通的要求。

二、侵害個人信息權益的類型及損害賠償責任的承擔

侵害個人信息權益的損害賠償主要解決三個問題:一是如何認定個人信息侵權;二是責任的承擔,特別是在多數人侵權的情況下,侵權人之間如何分擔損害賠償責任;三是基于個人信息的無形性,如何計算具體的損害賠償數額。上文已經論證了如何認定個人信息侵權的問題,下文將在對現有侵害個人信息權益的類型進行分析的基礎上,探討侵害個人信息權益的損害賠償責任的承擔問題。

(一)侵害個人信息權益的類型

侵害個人信息權益的行為可分為作為的侵害個人信息權益的行為、不作為的侵害個人信息權益的行為以及作為與不作為相結合的侵害個人信息權益的行為。

在作為的侵害個人信息權益的行為中,作為的侵害個人信息權益的行為又可以細分為兩種。第一種是個人信息處理者通過非法收集等手段直接侵害自然人的個人信息權益。如對《個人信息保護法》第13條規定的需要取得個人同意才能處理的個人信息,個人信息處理者在未經過個人同意的情況下就進行處理。第二種是在個人信息處理者通過合法手段處理個人信息的情況下,侵權人通過非法侵入等手段,侵害個人信息處理者處理的個人信息。如侵入到他人的計算機系統獲取個人信息。另外,在作為的侵害個人信息權益的行為中,侵權人既可以是一人,也可以是數人。

在不作為的侵害個人信息權益的行為中,不作為的侵害個人信息權益的行為主要源于處理個人信息的信息處理者的疏忽或者其他過錯導致其處理的個人信息泄露。具體表現為單純的個人信息處理者處理的信息泄露。在不作為的侵害個人信息權益的場景下,因只涉及個人信息泄露,沒有涉及到個人信息的商業化利用,其賠償主要也是被侵權人的精神損害賠償。

在作為與不作為相結合的侵害個人信息權益的行為中,作為與不作為相結合侵害個人信息權益的情形則表現為個人信息處理者處理的信息泄露并被第三人積極利用的情形。此處的信息泄露,既可以是個人信息處理者因自己的疏忽或者其他過錯導致的個人信息泄露,也可以是個人信息處理者的過錯與第三人積極作為相結合而導致的個人信息泄露。在個人信息處理者處理的信息泄露并被第三人積極利用的情況下,涉及到個人信息處理者與第三人之間的責任分擔問題,特別是信息處理者應當承擔的責任形態問題。有學者主張,應當在信息的收集、持有和共享階段規定信息的收集人、持有人和共享人的信息安全保障義務。(22)參見王利明:《數據共享與個人信息保護》,載《現代法學》2019年第1期,第56頁。也有學者認為應當設置信息處理者的信息安全保障義務,一旦信息泄露,由信息泄露者承擔補充責任。(23)參見劉迎霜:《大數據時代個人信息保護再思考》,載《社會科學》2019年第3期,第108頁;解正山:《數據泄露損害問題研究》,載《清華法學》2020年第4期,第148頁。還有學者認為《民法典》第111條已經確立了數據控制者的安全保障義務。(24)參見葉名怡:《個人信息的侵權法保護》,載《法學研究》2018年第4期,第90頁。因而,在信息泄露情況下,如何認定侵權主體的責任問題至關重要。

(二)侵害個人信息權益損害賠償責任的承擔

在侵害個人信息權益的情形中,如果侵權主體只有一人,則由侵權人承擔侵權責任,其具體的責任形態根據具體的侵權行為進行判定,學界對此并無爭議;但涉及到多個侵權主體時,侵權主體之間如何分擔責任便成為一個難題。多數人侵權涉及到的責任形態有按份責任、連帶責任和補充責任三種。其中補充責任屬于一種特殊的責任形態,是在負有安全保障義務的責任主體未履行安全保障義務時承擔的責任。不少學者認為,應當將補充責任納入侵害個人信息權益的損害賠償的責任認定之中。筆者認為,在侵害個人信息權益中個人信息處理者承擔的保障信息安全的義務并不是民法上的安全保障義務,侵權人的損害賠償責任應當根據具體的情形進行判定。

1.侵害個人信息權益中補充責任之證偽

前已述及,眾多學者主張應當賦予信息處理者安全保障義務,當個人信息處理者未履行安全保障義務時,其承擔補充責任。此處的安全保障義務是否為《民法典》第1198條所涵蓋的安全保障義務?筆者對此持否定態度。如若個人信息處理者承擔民法上的安全保障義務則與安全保障義務的法律規定不符。

安全保障義務起源于德國的往來義務,最初是為了彌補德國法上不作為侵權不能歸責而產生的。在中國,因為“銀河賓館案”“五月花案”等案件的發生而對經營者的安全保障義務進行過深入的探討。最終,原《中華人民共和國侵權責任法》(簡稱《侵權責任法》)第37條確立了安全保障義務。在立法確立了安全保障義務后,對于安全保障義務的法律適用問題,理論界存在適用領域說、行為模式說、主觀過錯說等多種觀點。主張適用領域說的學者認為,《民法典》第1198條的安全保障義務的主體應當限制在經營性場所和公共活動的組織者。(25)參見梁慧星:《讀條文,學民法》,人民法院出版社2014年版,第369-370頁。主張行為模式說的學者認為對于安全保障義務的補充責任的適用應根據侵權行為人的行為進行相應的區分。安全保障義務人承擔安全保障義務的原因在于其實行的是不作為侵權。(26)參見張新寶、唐青林:《經營者對服務場所的安全保障義務》,載《法學研究》2003年第3期,第91頁;王竹:《侵權責任分擔論——侵權損害賠償責任數人分擔的一般理論》,中國人民大學出版社2009年版,第185頁;鄭志峰:《競合侵權行為理論的反思與重構——與楊立新教授商榷》,載《政治與法律》2015年第8期,第122頁。主張主觀過錯說的學者認為在第三人介入的情況下,應當根據當事人的主觀意志的不同,對當事人的法律責任進行相應的區分。(27)參見李中原:《論違反安全保障義務的補充責任制度》,載《中外法學》2014年第3期,第692-693頁;孫維飛:《論安全保障義務人相應的補充責任——以〈侵權責任法〉第12條和第37條第2款的關系為中心》,載《東方法學》2014年第3期,第45頁。但上述模式均存在問題。從安全保障義務的司法實踐來看,安全保障義務經由實踐中的不斷發展,最終不斷地本土化。盡管理論上對于安全保障義務的適用不無爭議,但實踐中已經由法官創造了一套獨立的適用規則,即安全保障義務人承擔補充責任的基礎在于其有過錯但不具備相當因果關系。此種適用方式也能調和《民法典》第1198條第2款與第1171條、第1172條、第1175條在法律適用上的沖突。(28)對于安全保障義務的法律適用問題,筆者曾有論文進行過專門論述。參見龍松熊:《比例原則視野下安全保障義務的法律適用——兼談兩起老虎吃人案的損害賠償問題》,載李曙光主編:《法大研究生(2017年第2輯)》,中國政法大學出版社2017年版,第411-412頁。個人信息處理者安全保障義務的適用場景是個人信息泄露又被第三人適用的情形。但在個人信息處理者泄露的信息被第三人利用并造成被侵權人相應損害的情況下,往往對信息來源存在證明困難,并不存在有聯系但不存在因果關系的情況。且根據《民法典》第1198條第2款的規定,安全保障義務的責任主體必須是經營場所、公共場所的經營者、管理者或者群眾性活動的組織者,而個人信息處理者通常并不具備此身份。(29)在司法實踐中,已有案例認為信息處理者承擔的是安全保障義務。如在“申瑾與支付寶(中國)網絡技術有限公司等侵權糾紛案”中,法院認為網絡空間可以被解釋為原《侵權責任法》第37條第2款中的公共場所,因而認為信息的收集者、控制者對于信息泄露應當承擔安全保障義務,參見北京市朝陽區人民法院(2018)京0105民初36658號民事判決書。但筆者認為,安全保障義務向網絡空間的擴展,不僅與立法者的立法目的不符,也與后續因果關系的判斷存在功能重復,且要求信息泄露者承擔絕對的安全保障義務,在網絡環境下,將會給信息處理者增加沉重的民事負擔,引發新的不公平。因而,安全保障義務的適用范圍不能也不應向網絡空間拓展。因而此處的安全保障義務應理解為是保障個人信息安全的義務,而并不是《民法典》所規定的安全保障義務。故在信息泄露中,信息泄露者所承擔的也自然不是安全保障義務所對應的補充責任。

2.侵害個人信息權益中連帶責任的適用情形

侵權責任的承擔受侵權人的主觀狀態和原因力的雙重影響。除政策性連帶外,只有在侵權人主觀上具有極大的可懲罰性或客觀上單一行為即可以引起損害發生的情況下,侵權人之間才需要承擔連帶責任。具體到中國,其請求權基礎為《民法典》第1168條、第1169條、第1170條和第1171條。在作為的侵害個人信息權益的情形中,如果存在多數人侵權的情況,且符合法律的規定,則應當根據侵權責任的具體形態確定侵權人的責任。在作為與不作為相結合的侵害個人信息權益的情形中,主要涉及《民法典》第1168條和第1171條。理論上,對于《民法典》第1168條中的“共同”存在著主客觀共同說和主觀共同說等多種觀點。但從《民法典》的體系來看,《民法典》第1168條規定的共同應當僅限于共同故意。(30)參見程嘯:《侵權責任法》(第3版),法律出版社2021年版,第384頁。因而,從主觀上看,只有在因個人信息處理者對于個人信息的泄露主觀上為故意的情況下,個人信息泄露者才需要承擔連帶責任?！睹穹ǖ洹返?171條對侵權人之間因原因力的原因承擔的侵權責任進行了相應的規定。根據學界通說,《民法典》第1171條中侵權人之間承擔連帶責任的基礎在于,每個人的行為都足以造成相應的損害。而在個人信息泄露中,單純的個人信息泄露并不足以導致侵權結果的發生。因而,對于侵害個人信息權益的損害賠償,從原因力的角度來說,無法令信息泄露者承擔連帶責任。

3.侵害個人信息權益中按份責任的適用情形

在連帶責任無法普遍適用的情況下,在侵害個人信息權益的情形中,對于按份責任主要能夠應用的請求權基礎是《民法典》第1172條?！睹穹ǖ洹返?172條規定:“二人以上分別實施侵權行為造成同一損害,能夠確定責任大小的,各自承擔相應的責任;難以確定責任大小的,平均承擔責任?！痹谧鳛榈那趾€人信息權益的情形中,如果侵權主體為多數且滿足第1172條的規定,則應當按照第1172條的規定承擔按份責任。在作為與不作為相結合的侵害個人信息權益的行為中,其主要表現為泄露的個人信息被第三人利用,給被侵權人造成相應的損害,從表面的效果上來看,似乎滿足《民法典》第1172條的構成要件。但是在個人信息泄露的情況下,信息泄露與損害發生之間的因果關系存在著相應的疑問。在被侵權人證明信息泄露來源于信息泄露者的情況下,信息泄露者是否就必然需要承擔相應的責任?這需要對信息泄露與損害發生之間是否存在因果關系進行相應的考量。當前,中國對于因果關系的判斷采取的是相當因果關系,但個人信息的泄露與損害的發生并不一定具備相當因果關系。(31)參見徐明:《大數據時代的隱私危機及其侵權法應對》,載《中國法學》2017年第1期,第147頁。如實踐中有法院認為,個人信息泄露案件中,被侵權人被詐騙的原因在于被侵權人自身安全防范意識問題。(32)參見“劉某某與昆明某某航空運輸服務有限公司、云南某某航空有限責任公司、北京某某信息技術有限公司財產損害賠償糾紛案”,云南省昆明市盤龍區人民法院(2015)盤法民初字第936號民事判決書。因此,對于信息泄露與損害發生之間是否存在因果關系不能一概而論,而應當在實踐中,根據泄露的信息的精確度和具體的環境來進行認定。

三、侵害個人信息權益損害賠償數額的計算

在確認侵權人應當承擔侵害個人信息權益的侵權責任后,涉及的另一個問題是侵權損害賠償數額的計算?！秱€人信息保護法》第69條第2款對侵害個人信息權益的損害賠償數額進行了規定。根據該條規定,在能夠確定被侵權人損失或者侵權人獲利的情況下,按照被侵權人的損失或者侵權人的獲利進行賠償;在被侵權人的損失或者侵權人的獲利難以確定的情況下,按照實際情況確定。但《個人信息保護法》第69條所確立的損害賠償計算規則在理論與實踐中備受爭議,需要進一步完善。

(一)當前中國侵害個人信息權益損害賠償計算規則的不足

對于物或人身的損害,盡管計算標準存在爭議,但是至少具備統一認定的可能。而對于非實體性的人格權益損害,在絕大多數情況下僅能依靠法官的自由裁量。在《個人信息保護法》頒布之前,對于侵害個人信息權益的損害賠償的計算,《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條第2款規定:“被侵權人因人身權益受侵害造成的財產損失以及侵權人因此獲得的利益難以確定的,人民法院可以根據具體案情在50萬元以下的范圍內確定賠償數額?！薄秱€人信息保護法》頒布后,從《個人信息保護法》第69條的規定來看,中國立法上對于侵害個人信息權益損害賠償中具體數額的計算,采取自由裁量的模式。但此種絕對自由裁量模式存在嚴重的不足。

一方面,《個人信息保護法》第69條采取的自由裁量模式賦予法官過大的裁量權,不利于產業發展和司法審判?！秱€人信息保護法》第69條在財產損害賠償的計算上,沒有統一的標準,而是試圖通過對被侵權人的損害、侵權人的獲利或者法院的估算三種方式來計算賠償數額。但此種自由裁量模式并不利于產業的發展和司法審判。對產業發展來說,個人信息處理者對于自身的風險需要有基本的預期。而在被侵權人損失和侵權人獲利無法明確的情況下,《個人信息保護法》第69條將損害賠償數額的計算交由法官,無法滿足個人信息處理者對侵權損害賠償的預期。對法官來說,《個人信息保護法》第69條確立的自由裁量模式導致法官只能憑借自身的經驗和感覺進行斷案,缺乏可依據的標準。而個人信息本身又具有無形性,容易導致同案不同判甚至差距懸殊。

另一方面,《個人信息保護法》第69條并未確立賠償的上限,一旦發生個人信息泄露等數據侵權案件,侵權人難以承受相應的損害賠償。在小規模侵權中,《個人信息保護法》第69條采用的計算模式因為涉及的損害賠償數額有限,通常不會對產業的發展產生太大影響。但個人信息具有無形性的特征,個人信息的價值在于信息的大量存儲,在大量存儲信息的情況下,可能發生大規模的個人信息泄露。一旦發生大規模個人信息泄露,在現有模式下將會產生數額巨大的賠償。與此相反,中國臺灣地區“個人資料保護法”第28條采用了三分的進路,先是規定了當事人無法證明自己損失時,法院裁量的損失在新臺幣500元以上至20 000元以下;然后規定同一事件造成多數人損害的,賠償總額以新臺幣2億元為限,但所涉利益超過新臺幣2億元者,以所涉金額為限;最后規定如果所涉利益超過新臺幣2億元者,單個人的最低賠償額可以不受新臺幣500元的限制。這些都可以說是采取限定賠償數額的模式。在《個人信息保護法》的立法過程中,曾經也有過限定賠償數額的立法建議,但最終未被采納。(33)參見程嘯:《個人信息保護法理解與適用》,中國法制出版社2021年版,第521-522頁。

綜上,為彌補《個人信息保護法》第69條存在的不足,需要解決侵害個人信息權益計算上的不確定性和損害賠償限額兩大問題。其中的難點又在于個人信息權益計算規則中的確定性問題。從比較法來看,為應對這一問題,日本對損害賠償數額的計算制定了相應的模式,對中國具有極大的借鑒意義。下文將在對日本侵害個人信息權益損害賠償計算模型進行介紹分析的基礎上,對中國侵害個人信息權益損害賠償的計算提出建議。

(二)日本侵害個人信息權益損害賠償計算模型之考察

為讓個人信息處理者更好地把握處理個人信息的風險,了解個人信息泄露損害賠償的數額,也為給保險機構的風險評估提供支持。日本網絡安全協會(Japan Network Security Association,簡稱JNSA)通過對日本侵害個人信息權益損害賠償案件的觀察、分析和總結,對個人信息泄露的損害賠償數額提出了一個基本的計算公式——JO模型。在JO模型中,個人信息權益的損害賠償數額由泄露的個人信息的價值、泄露信息主體的社會責任度以及事后應對措施的評價三個部分組成。用公式表示為:損害賠償數額=(個人信息的價值)×(泄露信息主體的社會責任度)×(事后應對措施的評價)

1.個人信息的價值

不同的個人信息的泄露所造成的經濟損失和精神痛苦存在區別,為此,JNSA將個人信息分成基本信息、經濟信息和隱私信息三類?；拘畔⒌男孤对斐傻慕洕鷵p失和精神痛苦處于最低的程度,而經濟信息的泄露會帶來更大的經濟損失,隱私信息的泄露會給被侵權人造成更大的精神痛苦。與此相對,個人信息的價值由基礎信息價值、細微信息度和本人特定容易度三個部分組成。用公式表示為:個人信息的價值=(基礎信息價值)×(細微信息度)×(本人特定容易度)

基礎信息的價值為固定的500日元,是一個不變的基數。(34)參見《2018年情報セキュリティインシデントに関する調査報告書》,載JNSA,https://www.jnsa.org/result/incident/data/2017incident_survey_sokuhou_attachment_ver1.0.pdf。而細微信息度是一個變化的標準,根據信息的不同類型,信息導致的經濟損失和精神痛苦也不同。對于可能被泄露的信息,JNSA在研究中將個人信息的類型進行了具體化的規定,其對應關系如表1所示。(35)此表格系筆者根據JNSA在《2018年情報セキュリティインシデントに関する調査報告書》中的表格翻譯而來。

針對表1所表示的不同信息,JNSA通過分析,得出了細微信息度的具體計算公式:細微信息度=(10X-1+5Y-1),其中X表示精神痛苦程度,Y表示經濟損失程度。(36)參見《2018年情報セキュリティインシデントに関する調査報告書》,載JNSA,https://www.jnsa.org/result/incident/data/2017incident_survey_sokuhou_attachment_ver1.0.pdf。如果一次信息泄露事故中存在多個信息泄露,則分別取X、Y的最大值。例如,在同一事件中,同時泄露了護照信息(1,2)和信仰(3,1),在損害賠償數額計算的時候,X、Y分別取3、2。

本人特定容易度主要是根據泄露的信息對于識別本人的難易程度來進行考量。具體來說分為簡單就可能特定個人、需要花費代價來特定個人以及上述信息以外的難以特定個人的信息,具體如表2所示。

表2 本人特定容易度計算表

2.信息泄露主體的社會責任

JNSA將信息泄露主體的社會責任分為一般社會責任和高度社會責任,而一般社會責任和高度社會責任在社會責任度的數值上存在差異?？傮w來說,醫療、金融·信用、信息通信等特定行業,政府機關等公共服務部門以及知名度高的大企業承擔高度社會責任,而其他普通的企業、團體和組織承擔一般社會責任,具體如表3所示。

表3 社會責任度計算表

3.事后應對措施的評價

事后應對措施分為采取了合理的應對措施、沒有采取合理的應對措施以及不明確是否采取了合理的應對措施三類,這三類分別對應不同的數值,具體如表4所示。其中值得說明的是,在評價的效果上,JNSA對采取了合理的應對措施和不明確是否采取了合理的應對措施進行同等的評價。

表4 事后應對措施的評價計算表

總體來說,通過不同的信息類型及其與個人之間的關系來判斷個人信息的價值,并確定具體的計算公式,計算出固定的賠償數額(簡稱固定賠償數額模式),這對于難以計算的信息損害賠償數額而言屬于一種非常有益的嘗試。日本固定賠償數額模式的優勢在于其賠償數額的固定性和可計算性,既能夠防止法官的恣意判斷,使得個人信息處理者在個人信息處理中預估自身風險,方便采取相應的風險預防措施和進行保險,且在受害主體范圍廣泛的情況下,固定賠償數額模式能夠大致統一賠償數額,對于維護社會穩定具有極大的裨益。同時,也為個人信息保險業務的開展提供了技術前提。但此種模式也存在不足。首先,日本固定賠償數額模式所依靠的JO模型本身存在不足。JO模型所依賴的數據來源于實踐,需要根據實踐的發展不斷完善。在部分案件中,依靠JO模型計算出來的損害賠償結果與法院的實際判決存在巨大差異,(37)石川朝久=櫻井幸一「個人情報漏洩補償に関するー検討」コンピュータセキュリティシンポジウム2014論文集2014巻2號(2014年)1189頁參照;山田道洋=菊池浩明=松山直樹=乾孝治「個人情報漏洩の損害額の新數理モデルの提案」情報処理學會論文誌60巻9號(2019年)4頁參照。在日本司法判決中也極少直接使用JO模型計算損害賠償數額。(38)筆者于2021年12月3日在日本裁判所網站上以“個人情報”為關鍵詞,搜索到745個案例,發現其中涉及到侵害個人信息權益損害賠償的案件,無一采用固定賠償數額模式的做法。其次,日本固定賠償數額模式沒有合理地實現個人與企業數據之間的平衡。JO模型采用的固定賠償數額模式隱含的一個大前提是所有的個人信息損害都需要賠償。而實踐中個人信息泄露涉及到的主體眾多,如果采用統一的計算模式,在信息泄露影響到的主體較多的情況下,數據企業特別是數據創新企業可能不堪重負。(39)在日本一旦發生信息泄露事件,大多數企業會選擇給予被泄露信息的當事人一定的優惠券,以達成相應的和解。中山布紗「個人識別情報の漏えいによる不法行為の成否——ベネッセコーポレーション個人情報漏えい損害賠償請求事件——(最高裁平成29年10月23日判決判タ1442號46頁)」,立命館法學X巻4號(2018年)279頁參照。最后,JO模型采取的固定賠償數額模式忽視了侵權人侵害個人信息權益的主觀狀態。由于個人所處的社會地位和社會環境的不同,對于侵害個人信息權益造成的損害,也應當因人而異,在侵害個人信息權益造成財產損失的情況下,其可以不考慮侵權人的主觀狀態,但是在精神損失的計算上,侵權人本身的主觀狀態應是一個重要的考量因素。JO模型采取的固定賠償數額模式對于精神損害賠償根據既有的公式進行統一計算,盡管在計算公式中加入了對事后應對措施的評價作為衡量標準,但侵權人在侵權時的主觀狀態卻無法在損害賠償的數額上得到體現。(40)盡管在《個人信息保護法》中引入了公法對個人信息處理者的規制,但是依然無法否認:在民事領域,特別是在個人信息泄露之時,個人信息處理者的主觀過錯存在不同。

(三)中國侵害個人信息權益損害賠償計算的應然路徑

如上所述,日本提出的固定賠償數額模式存在不足。但在大規模侵權中,因被侵權主體具有廣泛性,固定賠償數額模式統一、確定的賠償數額的合理性深值思考。在《個人信息保護法》第69條對損害賠償數額采取自由裁量的模式下,固定賠償數額模式在當前計算侵害個人信息權益損害賠償具體數額時依然具有極大的參考價值。值得注意的是,雖然侵害個人信息權益損害賠償屬于全世界共同面對的問題,且存在著一定的共性,但侵害個人信息權益損害賠償侵害數額的計算與本國的經濟發展水平和個人信息的保護實踐緊密相關,日本的JO模型只是在中國尚未建立自己的計算模型的情況下,提供一種對可能造成的損害賠償進行估算的方式,主要用于參考,并不能當然地適用于中國,對計算的結果需要進行調整。具體來說,對于JO模型計算的結果可以作如下調整。

一是調整損害賠償的基礎數額。JO模型建立的數據來源于日本的司法實踐,其基礎是日本的經濟社會發展水平和日本的司法裁判習慣。因而,在具體的賠償數額的計算上,其更多地適合于日本。在中國侵害個人信息權益損害賠償計算公式尚未建立的情況下,可以暫時借用日本的JO模型,但是在計算具體的賠償數額時,可以由法官根據中國當前的經濟發展水平進行調整,JO模型計算出來的結果可以成為一個參考依據,便于法官根據相關的計算結果對損害賠償數額進行裁量,防止類似案件中因為法官對于損害賠償數額的裁量權導致賠償數額差距過于懸殊。

二是根據案情適當區分不同主體的損害賠償的數額。在JO模型下,在泄露相同的個人信息的情況下,所產生的損害賠償的數額也是固定的。在大規模的信息泄露的情況下,通常損害賠償的數額是統一確定的,但并沒有排除在特殊情況下進行調整的可能性,特別是JO模型沒有區分泄露的個人信息的數量,因而,在具體的個案中完全具有調整的必要和合理性基礎。

三是設定侵害個人信息權益損害賠償的上限,正如上文所述,在侵害個人信息權益的情況下,如果采用固定賠償數額模式,若涉及數量主體巨大,可能會給泄露信息的企業造成巨大的壓力,特別是當下對于損害賠償的數額,很難有證據證明損害已經發生,因而設定一個損害賠償的上限具有充分的必要性。中國臺灣地區對于賠償數額的規定值得借鑒。

四、結語

《個人信息保護法》的出臺是中國個人信息保護的里程碑。但隨著人工智能和大數據的發展,圍繞個人信息保護所引發的民事案件,在可預見的將來依然會不斷增多。盡管與傳統人格權相比,個人信息權益存在特殊性,但仍應遵循民法的基本規則。具體到侵害個人信息權益損害賠償領域,侵害個人信息權益的精神損害賠償,在當下和將來都應當堅持以“造成嚴重精神損害”為要件;對于作為的侵害個人信息權益的財產損害賠償,應當以商業化利用為依據;對于不作為的侵害個人信息權益行為,信息處理者承擔的安全保障義務并非《民法典》的安全保障義務。信息處理者非故意的情況下,其是否承擔按份責任應當根據信息泄露的精確度和具體情況來判定。在損害賠償的數額上,日本的JO模型對中國具有參考意義。中國也應當根據自己的司法裁判實際,建立中國的損害賠償計算模型,這不僅可為中國的司法審判提供方便,也可為中國侵害個人信息權益損害賠償商業保險制度提供技術支持。