摘要:个人信息上承载了不同主体的各种法益,自然人的个人信息权益宜界定为利益,以限缩其对个人信息的支配和排他权能,调适法益冲突。个人信息侵权也应界定为违反保护性法规的侵权类型,以引入个人信息保护专门立法对个人信息保护目的和保护范围的限制,实现诸法域体系的融贯性。私密信息泄露适用隐私权侵权规则,若发生下游损害的,泄露者按照一般侵权规则承担责任;敏感信息泄露时,未发生下游损害的,受害人也可请求赔偿因焦虑产生的精神损害和风险损害,即为预防损害支付的费用。在个人信息、环境生态等领域,有条件承认预期侵权制度,肯定未来被侵权的风险构成法律上的损害,并基于精算规则予以赔偿,能使侵权责任法动态适应现代风险社会和复杂社会的需求。
作者简介:谢鸿飞,中国社会科学院法学所民法室主任、私法研究中心研究员,中国法学会民法学研究会副会长,中国社会科学院大学法学院教授、博士生导师。
出处:《国家检察官学院学报》2021年第5期(引用请参照正式刊物)
一、问题的提出
(一)个人信息侵权救济中损害认定的难题
法谚“无损害,无救济”彰显了损害在救济制度中的核心地位。任何损害赔偿法的共同目的和基础也都是填平受害人的全部损害(total reparation),在责任发生阶段,无论损害发生的原因和归责基础如何,损害的有无都是损害赔偿法的出发点。《民法典》侵权责任编把损害赔偿作为侵权责任的核心功能,将“损害赔偿”单独成章,意味着侵权责任法回归传统债法,也补强了《民法典》将传统债法分为合同与侵权两编的正当性。个人信息权益侵权领域也莫能外,《个人信息保护法》第69条就将损失作为个人信息权益侵权的前提。
然而,个人信息侵权实践存在一个饶有趣味的矛盾:一方面,个人信息权益侵权特别是信息泄露侵权频发。中国消费者协会2018年发布的《app个人信息泄露情况调查报告》显示,我国个人信息被泄露过的人数高达85.2%。发达国家个人信息的泄露情况也同样严重,如2005-2018年,美国个人数据泄露事件超过9600起,2014年更被称“个人信息泄露年”。另一方面,司法实践中,40%的裁判结果都不支持个人信息权益受害人的请求,一个重要原因是其无法证明其所遭受的损害,即使在损害较为清晰的个人信息泄露侵权中也如此。为矫此弊,法院通过变通适用证明责任规则、降低证明标准等手段尽量救济受害人,但效果甚微。事实上,在大数据年代,个人信息侵权构成要件的认定难度都较大,其中,损害的认定最为疑难,因为它具有无形性、不确定性、难以定量等特征,尤其在大规模个人信息泄露时,裁判者往往会全面斟酌集体诉讼的难度和社会稳定、高额赔偿对信息处理者生存利益的影响等因素,使损害认定及其赔偿都变得困难重重。不独侵权责任以损害为首要构成要件,在受害人主张信息处理者承担违约责任时,因其与信息处理者的格式合同中不存在违约金条款,受害人也必须证明存在损害才可能获得赔偿。
(二)本文的问题和结构
本文分析的问题是:在个人信息泄露时,受害人主张信息处理者承担侵权责任时,其可得主张的损害是什么?选择个人信息泄露作为主题的原因是,个人信息泄露较其他侵权行为对受害人的损害更大,且损害类型复杂。个人信息处理者处理信息的各环节都可能会发生侵害个人信息的行为,个人信息泄露也发生在个人信息处理的各环节。依据波耐蒙研究所的报告,个人信息泄露的三个源头是:第三人恶意攻击、信息处理者的系统故障和人为错误(如存储个人信息的电脑或硬盘被盗)。其中,第三人恶意攻击占一半。与个人信息其他侵权行为相比,数据泄露侵权责任的构成要件和责任承担都存在一定的特殊性。如与违法收集个人信息相比,前者更容易取证,计算机专家只要查看服务器访问日志,即可轻松确定个人信息是否被访问以及访问的程度,但后者却难以取证;一旦发生数据泄露,被泄露的个人信息将永远无法再得到保护,但收集个人信息的违法行为只要停止,已收集的个人信息被删除,损害即可消除;在数据泄露时,数据获得者往往是恶意的,目的是利用个人信息获得非法利益;而个人信息违法收集者的动机往往是良性的,主要是为了商业营销等目的。
在个人信息泄露时,个人不仅遭受了人格权益的损害,还可能因下游侵害(如欺诈等)而遭受财产损失。在下游损害已发生时,受害人因个人信息泄露遭受了财产损失,可主张信息处理者承担相应的赔偿责任;但在下游侵害未发生时,受害人因信息泄露有无遭受损失以及损失的类型是什么,则存在很大争议。其中,争议最大的两个问题是:其一,受害人因个人信息被泄露而遭受的可能被侵权的风险,可否构成法律上的损害?其二,受害人因信息泄露,担心和惧怕未来被侵权的“焦虑”本身可否构成侵权损害?尤其是在身份证等难以更改的信息被泄露时,第三人在未来很多年都可能实施欺诈行为的情形。由此引申的问题是,在人类行为的风险已经无法根除的现代社会,传统侵权法对损害客观性、确定性的要求应否发生变化,以适应风险社会和复杂社会对侵权行为的调整?
个人信息泄露之所以引起如此普遍和广泛的社会关切,主要是因为对个人至关重要的两种信息可能被泄露:一是敏感个人信息。《个人信息保护法》第28条第1款将敏感个人信息界定为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。美国因个人信息泄露而引起的诉讼也基本涉及“个人身份信息”(personally identifiable information,简称pii),如社会保障号码等,与敏感信息的范围相若。二是私密信息。按《民法典》第1032条第2款和1034条第3款,这类信息为隐私范畴,优先适用隐私权规则。因此,本文讨论的个人信息主要是敏感信息。
本文的结构为:首先讨论个人信息权益的性质及其受侵害时的侵权行为类型,这决定了个人信息权益的保护水准,对损害的有无和类型的确定有直接影响;其次讨论个人信息泄露时,下游损害出现和未出现时的损害类型;最后拓展到与个人信息泄露类似的环境、医疗领域,讨论风险社会和复杂社会中损害观念的变革。
二、个人信息权益的法益定位及其侵权的构成类型
(一)个人信息权益的法益定位
1、个人信息作为权益标的的特殊性
法律调控个人信息面临的最大难题是如何处理一个根本矛盾:个人信息由一个民事主体产生,但却被另外一个民事主体使用。而且,信息的生产者和处理者的权益都殊值法律特别保护,但按法理,权益的标的上只能设定一种排他性权利。申言之,一方面,个人信息上首先承载了产生它的主体的权益,这符合“权益归创造者”的普遍原理;另一方面,在信息化、网络化和智能化的年代,个人信息之于当代经济,堪比石油之于工业革命。它是大数据和人工智能的原料和基础,对推动其他行业的发展也居功至伟,如帮扶经营者精准甄别目标受众、提升消费者忠诚度、提供更优质的服务等。党的十九届四中全会公报将数据与劳动、资本和土地、人力资源等并列,共同作为生产要素,亦足见个人信息在市场和产业中的基础地位。除民事主体之外,在现代“监控社会”,个人信息的处理使国家通过数字分析即可提升公共品供给水平,实现个体化的精准治理(尤其是在社会非常态化时期)。可见,与其他权益的标的相比,个人信息上普遍承载了公共利益和其他主体应予承认的利益,可谓多元利益和价值的聚合体。
在民法领域,对个人信息赋权的出发点是权衡个人与个人信息处理者的利益。个人信息源于个人,且构成个人人格、自我认同和生活的一部分,个人对其当然享有以自决为中心的各项权能,以实现其在现时代的尊严。然而,单个个体的信息几乎不存在经济价值,唯有企业集腋成裘,将海量的个人信息转化为数据,才能实现对个人信息最充分的经济利用。这种信息处理不止裨益企业,也促进生活便利、经济发展甚或社会进化,最终提升公共福祉。然而,个人信息上各主体的利益显然为“鱼与熊掌”,不可能同时最大化。以个人信息中至关重要的私密信息为例。私密信息应比一般个人信息更值得法律保护,殆无争议,但若从社会整体的成本与收益考量,即使法律强有力地保护私密信息,也非无可议之处。如上个世纪70年代开始,美国一些著名法经济学者开始抨击隐私权:爱泼斯坦道出了个人数据披露对降低交易成本的作用——充分的信息披露将减少交易主体的搜索成本,使欺诈无从发生,如保险公司可基于医疗数据筛选优质客户。斯蒂格勒进一步指出,若交易主体无法掌握相对方的信息,则无法区分违约风险程度不同的客户,而只能对不同客户统一定价。其最终结果是,低风险客户因支付高价而退出,高风险的客户也因最终不得不承受高价,同样可能退出。波斯纳则更为极端,力陈保护隐私将阻止他人发现真相的愿望,隐私不是最终的利益而只是中间利益,建设声誉市场将使人们能够决定与谁打交道,无论是在商业交易、友谊还是婚姻领域。
在个人信息立法领域,学界普遍认为存在大陆法系和英美法系两种模式。其核心差异为:一是形式上,应否尽可能通过一部整全的、普适的专门法来调整个人信息;二是实质上,到底是个人信息产生者的人格尊严、人格自由受更多保护,还是个人信息处理者的商业利益和经济发展更应受关注。事实上,在行政监管领域,这种道德立场与商业立场的对立多有体现,但在民事领域,任何国家或地区的个人信息保护规则都不可能全然选择一种立场,而不受另一种立场的任何干扰,而且同一国家或地区在不同时期的价值决断也可能发生变化。如我国与个人信息有关的立法都纳入了相互抵牾的价值。一位域外观察者据此认为,我国最初走的是一条类似美国的道路,最近却改变了方向,与欧盟逐渐趋同,其未来的的新方向可能是比美国对个人信息的保护更严格,但弱于欧盟,显然认为我国个人信息立法走的是“第三条道路”。
2、个人信息权益的法律属性
基于前文对个人信息承载的法益分析,个人信息权益的定位主要关涉如下三个重要问题。
(1)个人信息权益为宪法上的权利还是民法上的权益
在公法和私法互动、宪法基本权利对第三人的效力、国家保障宪法权利的积极义务深入讨论的理论背景中,可以肯定,国家应践履保护个人信息权益的宪法义务。这包括两个层次:一是国家承担尊重、不侵犯个人信息权益的消极义务;二是国家通过立法权、司法权和行政权的综合运用,提供制度、组织与程序保障,支持和捍卫公民在个人信息处理中的尊严,承担积极保障义务。然而,即使将个人信息权上升为宪法上的“个人信息受保护权”,也不能否定个人信息权益完全可以同时成为一种民事权益,因为两者的规范目的、义务人等均存在根本差异。
当下,个人与数据企业对信息处理的知识和控制能力判若云泥,两者之间存在巨大的“数据鸿沟”,后者已享有数据权力,已成不争之实:个人对数据的知情同意权因个人陷入同意谬误、自主陷阱等,实际上被虚化了。此际,国家对个人信息的保护义务观的启发意义就体现在如何对“巨无霸”数据企业赋予权利和设定义务,这涉及两个关键问题:一是价值权衡应否偏向个人自治和自决,而非数据企业的数据利用,甚至使这类企业承担类似国家的个人信息保护义务?二是是否区分实力不同的数据企业承担的个人信息保护义务?
(2)个人信息权益是权利还是利益
《民法典》未明确个人信息权益的性质为权利还是利益,作为个人信息保护综合立法的《个人信息保护法》同样未予明确,可以预见,在解释论上,这一争议还将持续。
个人信息包括固定的静态信息(如身份证信息等)和流动的动态信息(如位置信息等),无论何种信息,个人都无法控制它不被他人收集和使用,尤其是在其授权他人处理后,个人信息通过数据形式来表征,而数据在现代经济中的基础地位又催生了数据固有的流通性和共享性,这就使个人几乎完全失去了对信息的控制和管领,数据的实际控制者其实是数据处理者。可见,在物理上,个人信息权益并不符合绝对权和支配权的一般特征,但据此认定个人信息权益不能界定为权利,显然忽视了法律的规范价值。此外,权利的标的特定、具体,个人信息却类型繁丰,数量众多,也难成为反对个人信息上可成立具体权利的理由。因为法律完全可以创设主体对无形财产的权利,也可承认观念上的控制,隐私权即为著例——它显然表明个人享有排除他人获得自己信息的控制能力。
依据《民法典》和《个人信息保护法》的体系解释,个人信息权益应认定为利益而非权利。其理由如次:
其一,在内在体系上,个人信息涵蕴了多种价值,这决定了它承载了不同主体的排他性利益,个人无法对其享有排他性权利。权利说的核心理由是,唯有权利定位才能为个人信息提供充分保护,诚然,在侵权责任法中,权利比利益受保护的程度更高,如利益通常只有在违反保护性法规或加害人故意采用违反公序良俗的手段时才能得到保护,而权利保护并不受这些限制。而且,按照侵权责任的一般思路,个人信息的辨识度高,对其强化保护通常不至于损害行为人的行动自由,因此,个人信息权益完全可界定为权利。但如前所述,个人信息在转化为企业数据后,企业对数据的权利构成绝对权。若个人信息权益为绝对权,即使在个人数据经过去标识化或匿名处理后,个人也可以排除企业处理数据,这将导致企业数据权荡然无存,更遑论数据流通,国家机关为完成公共治理或实现公益目标而收集个人信息的行为也难以为继,至少也要像财产征收一样受严格限制。可见,一旦承认个人信息承载了不同主体均值得保护的权益,就不可能界定个人信息权益为绝对权。《民法典》未采“个人信息权”而采“个人信息保护”的措辞,其意也在平衡信息主体与数据共享利用主体的利益。
其二,在外部体系上,《民法典》和《个人信息保护法》主要通过约束信息处理者的行为对个人信息权益进行保护。
《民法典》和《个人信息保护法》建构的个人信息权益很少被表述为统一的、单一的个人信息权益,反而被表述为各种具体的权利,如被遗忘权、查询权、更正权和删除权等。准确地说,这些“权利”与其说是个人信息权益的具体内容,毋宁说是企业数据权上的法定负担,其约束的是信息处理者。《民法典》和《个人信息保护法》的众多规范都是个人信息处理者的行为规范,其目的并非维持个人的积极控制权,而是防免侵害个人的不利后果。此外,《民法典》第1034条第3款将个人私密信息优先纳入隐私权保护,表明立法者显然意识到隐私权的效力强于一般个人信息,若个人信息权益为绝对权,则立法者完全没必要如此规定。
(3)个人信息权益为单一的人格法益还是兼具人格利益和财产利益的综合法益
个人信息以企业数据为表征后,因数据本身是一种财产法益,这就很容易让人认为个人信息具有财产价值。在司法实务中,部分法院也认为,“个人信息可以给公民带来经济价值”,似对个人信息权益的性质有所误解。
个人信息权益应为纯粹的人格法益。个人信息是与“已识别或者可识别的自然人有关的各种信息”(《个人信息保护法》第4条第1款),因而个人信息的数字化使个人形成了“数字人格”,个人信息构成个人人格和自我认同的一部分,至少与其紧密联系。尽管欧陆与美国的个人信息保护观念看似迥异,其根基却殊途同归。在欧陆,个人信息权益和其他人格权都诉诸更高的个人自由和自决观,即源于康德的两条著名道德律令:其一,“每个理性存在者,都必须通过它意志的全部准则把自己看做普遍立法者”;其二,人是目的而非手段,违反这一律令是对人类尊严的侮辱。美国学界阐述的隐私基础同样是自决和尊严。如认为隐私权的功能是保障个性、内心空间和精神的完整性,正是隐私权的存在使个人信息不被泄露,个人可自由尝试多元化的生活方式,尝试全新的社会安排,而个人信息泄露意味着个人的自决权受外力损害,其参与规划和决策方面的地位将有所下降。在我国,个人信息的范围大于隐私,但个人对其全部个人信息享有权益的目的都是为使其基于“宁静和成熟的情感”的个人主义(托克维尔语),实现理性自决和个体尊严,而无关财产利益。
毋容置疑,个人在不违反公序良俗时,可以从其人格要素中获得利益,这种权能亦被称之为商品化权,如姓名商品化权。在企业数据中,单个个体的个人信息价值甚微,但也不排除特定人可能通过商业方式从中获利。即或如此,个人信息中蕴含的经济利益也都可纳入人格权益保护,无需主张个人信息权益兼具人格权益和财产权益。
(二)个人信息权益侵权构成的类型
一旦将个人信息权益界定为利益,在判定个人信息权益侵权类型时,就难以简单适用《民法典》有关侵权责任一般类型的规则。因为实体权利都有其明确的边界,但利益的范围多大、可得主张的相对人的范围、损害的类型等,均需进一步明确。德国学者因此认为,《德国联邦数据法》第83条规定的侵害个人信息的责任基础是违反保护性法规(schutznorm)。在我国,判定个人信息权益侵权也必须同时适用《民法典》和《个人信息保护法》、《数据安全法》和《网络安全法》等保护性法规。与德国不同的是,我国《民法典》将人格权编独立,其个人信息权益保护规则也主要是从信息处理者的义务着眼,与《个人信息保护法》存在部分规则重叠,可谓个人信息权益侵权领域适用保护性法规的一大特色。
哪些保护性法规应被转介?这通常可以保护权益为判断标准,但《个人信息保护法》兼顾个人信息权益保护和促进个人信息合理利用(第1条),其应该被转介的规范既包括保护个人权益的规范,也包括对权益的限制。
《个人信息保护法》可被转介的规范主要包括:一是对保护主体与保护范围的认定。保护性法规最重要的特征是保护特定的人群,而非保护所有主体。个人信息保护的主体是自然人,而不包括法人、非法人组织等其他民事主体。其保护的范围,包括知情权、决定权(第44条)、查阅、复制权(第45条)、更正、补充权(第46条)和删除权(第47条)等。其第四章虽以“个人在个人信息处理活动中的权利”为名,但在侵权责任法中,这些“权利”应界定为利益。二是对违法性(过错)的判定。这主要见于第二章“个人信息处理规则”和第五章“个人信息处理者的义务”。在一般侵权行为中,造成或维持危险源、开启或建立交往场域的主体,均应承担法定的安全保障义务,但在网络领域,安全保障义务有无及其强度的认定还必须兼顾数据产业的形成和公共治理的要求,如个人信息处理者能有效避免信息泄露造成损害的,可以不通知个人(第57条第2款),且在解释上不应承担责任。三是归责基础。个人信息处理者承担过错推定责任(第69条第1款),而不承担无过错责任,显然也是对权益保护与产业发展的平衡。
然而,《个人信息保护法》并没有规定损害类型,其第69条第2款只规定了确定损害赔偿额的三种方法(损失、违法收益和酌定),故对个人信息泄露等侵权行为发生时的损害认定,依然需要回归《民法典》的具体规则。
三、个人信息泄露中损害的确定及其类型
(一)个人信息泄露的下游损害已出现
在个人私密信息被泄露时,按《民法典》第1034条第3款,隐私权规则应优先适用,因为隐私比一般个人信息蕴含的人格自由和尊严成分更多,其受保护程度比后者更强,在价值位阶上,人格尊严高于私法自治,即使法律行为也不能不当减损或剥夺隐私权,否则将因违反公序良俗而无效。
个人敏感信息泄露可能会产生下游损害,主要包括:其一,第三人通过欺诈等行为侵害个人的财产权,这在实务中最为普遍;其二,第三人侵害自然人的人格权,尤其是通过发送垃圾信息损害个人的生活安宁;其三,第三人通过算法等技术针对个人特征进行各种分选和歧视对待。下游损害的赔偿可按照因果关系、过错确定责任主体和责任承担。信息主体对下游损害的发生与有过失的,也应分担责任。如在“周裕婵诉广东快客电子商务有限公司、东莞市易得网络科技有限公司网络侵权责任纠纷案”中,法院认为,个人信息处理者违反了《网络安全法》第40条,应承担赔偿责任;受害人疏于防范导致财产受损,应自行承担部分损失。
当下游损害发生时,信息泄露本身造成的权益损害往往被司法实践忽视,它往往被下游损害所吸收。但是,若泄露的信息包括私密信息的,受害人可单独起诉隐私权损害赔偿。
(二)个人信息泄露的下游损害未出现
1、损害是否存在的争议
个人数据泄露若未发生下游损害时,数据泄露本身是否造成损害?若泄露的数据包括私密信息的,自然可适用隐私权侵权规则,受害人可请求精神损害赔偿。
未加密的敏感信息因第三人的攻击被泄露后,受害人往往会遭受两种损失:一是因担心未来遭受财产等损害而支付预防损害发生的费用;二是因为担忧和恐惧未来遭受损害的“焦虑”。前者能否界定为财产损害,后者能否构成精神损害?这是最为疑难的问题。
《个人信息保护法》第69条要求个人信息权益侵权以损害为前提,但未规定损害的类型。有学者指出,在侵害个人数据权利时,只有导致个人的其他民事权利被侵害,才产生侵权责任,这就根本上否认了数据泄露本身会造成损害。在司法实践中,信息处理者违法收集和利用信息的,法院可能以个人信息具有财产价值而认定受害人受有损害,并酌定损害赔偿额。如在“凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”中,法院酌定赔偿数额为1000元,酌定的前提自然是存在损害。但在个人信息泄露领域,我国尚未出现类似案例,故本文以美国司法实践为例进行讨论。
美国司法实践对这一问题存在激烈争议。焦点是在个人信息泄露案件中如何适用《美国宪法》第3条第2款,其内容是启动司法权的前提是存在个案纠纷或争议,具备这一条件时,当事人也才有起诉资格(standing)。其政治哲学基础是分权与制衡观念,即在横向分权层面,司法权不能僭越立法权,只能裁决具体案件;纵向层面则涉及联邦和州的司法分权。美国联邦最高法院在lujan v. defs.of wildlife案阐释了司法管辖权的三个要素:其一,原告必须遭受了事实上的损害,且损害必须是特定的、具体的,前者要求某种权益受到损害,后者要求损害必须是个人而非不特定人遭受的不利后果。其二,损害必须是实际的或即将发生的,而不是推测的。其三,损害与加害行为之间必须存在因果关系。在这三要素中,事实上的损害最为重要。
在个人信息泄露时,个人能否就其财产权益未来被侵害的风险本身(通常诉请为其为预防风险支付的费用)和其遭受的焦虑(精神损害)提起赔偿,美国联邦最高法院并未确立清晰的裁判基准,巡回法院之间的分歧也较大:第六、第七、第九和哥伦比亚特区巡回法院倾向肯定说,第三、第四和第八巡回法院则对事实上的损害设定了很高门槛,倾向于否定说。
(1)肯定说
在法院肯定原告可以获得赔偿的案例中,原告通常有初步证据表明其未来遭受损害风险的概率相当高,大致包括如下两种类型。
其一,在大规模数据侵权中,已有其他受害人遭受了财产损害。如在remijas v. neiman marcus grp. llc案中,黑客窃取了被告大约35万张信用卡的信息,并将9000张用于欺诈。原告提起了集体诉讼,但绝大多数原告并没有遭受现实的欺诈损害。第七巡回法院认定原告有起诉资格,因为这一侵权事件客观上会导致损害的发生:黑客要不是为了冒充受害人实施欺诈行为,何以会攻击被告的数据库,窃取消费者的私人信息?在lewert v. p.f. chang's china bistro, inc.案中,黑客窃取了被告一家门店的消费者数据,两名原告都用借记卡付款,原告之一已被指控四项欺诈行为,其随后注销了借记卡。另一名原告并未受到任何欺诈指控,也没有注销借记卡。虽然原告没有在数据泄露的门店用餐,两位原告都费时费力监控其账户,法院支持了原告的诉请。
其二,已有针对原告的未遂犯罪行为发生。在krottner v. starbucks corp.案中,在原告的个人信息被泄露后,第三人利用其被盗信息已开立银行账户,原告尚未遭受实际损失,但法院认定,原告有资格提起诉讼并获得赔偿。
(2)否定说
在美国司法实践中,否定说是主流。否定说的核心理由是损害未来并非必然发生,或者迫近发生,或不存在未来发生损害的实质风险。否定说最为经典的判例是clapper v. amnesty international usa.案:律师、记者等质疑美国《外国情报监视法》(foreign intelligence surveillance act,fisa)第702条的合宪性,该条款允许政府为获得恐怖活动等信息,监控境外的非美国公民。原告因怀疑其与境外个人的通信可能受到监控,采用了出国面谈等方式沟通,增加了成本,因此主张第702条损害了其寻找证人、获取信息和向客户传达机密信息等能力。美国联邦最高法院拒绝承认肯定说采取的“客观合理可能性”标准,而采纳了原告遭受“实质性风险”标准,即未来损害必将发生或迫近发生,才构成损害,否则“损害”就是臆想的、假设的。
这一判决对美国法院影响深远,很多法院均以未来的损害不确定为由,驳回原告的请求。在key v. dsw inc.案中,黑客攻击了被告的计算机系统,获取了96000名顾客的财务数据,法院认为损害并没发生,因为原告并不能确定其在不确定的未来将成为受害者。beck v. mcdonald案的第三人盗窃了一家医院的一台笔记本电脑,其存储了7400名患者的未加密个人信息。原告诉称其必须监控信用报告、银行对账单、健康保险报告和其他信息,并购买信用观察服务、转移资金,因此遭受了损失。第四巡回法院认为,信息被泄露者数量众多,而第三人不可能对全部信息被泄露者都实施欺诈行为,故原告无法证明其必将成为受害人。
即使在个人信息泄露后,已经发生了欺诈行为,美国一些法院也不承认未遭受欺诈损害的原告可获得赔偿。在spokeo inc. v. robins案中,第三方在被告的系统中搜索了原告的姓名、年龄、婚姻状况、教育和财务等不准确信息,美国联邦最高法院认为,损害虽然可以无形,但必须客观、真实。尚未发生的无形“损害”能否成立,是国会的任务而非法院的任务。in re science applications international corp案更直接裁定,在数据泄露后,损害风险的程度再怎么增加也无关紧要,因为没有表明损害肯定即将发生。forbes v. wells fargo bank案甚至认为,原告的敏感财务数据虽被黑客访问,但原告的信用信息和银行账户和泄露之前一样,故原告没有受到损害。法院还指出,数据泄露后一年原告未遭受损害,今后也不太可能遭受损害。
2、数据泄露时未发生下游损害时的损害类型
个人信息权益并非绝对权,难以适用“权利被侵害即存在损害”规则,但被泄露的个人信息往往涉及敏感信息,发生下游损害的风险相当明显。即使不承认这种风险本身构成一种损害,但如下两种损害也是客观的、确定的。
(1)精神损害
大多数个人信息保护的立法例均许可,个人在其信息权益被侵害时可请求赔偿精神损害赔偿。如欧盟《通用数据保护条例》第82条第1款规定,个人信息权益的受害人可请求信息处理者赔偿财产损害和非财产损害。按照德国学者的解释,非财产损害的赔偿金额必须根据侵权的严重性和持续时间评估;且确定赔偿金额需要防免两个不良倾向:一是通过高额损害赔偿额达致惩罚性赔偿的实际效果;二是象征性赔偿,不足以落实欧盟的保护要求。在私密个人信息被泄露时,个人遭受的最明显损害是精神损害,但在敏感信息被侵害时,受害人因担忧未来可能遭受实际的权利损害,而受各种负面的、破坏性的情绪困扰,能否构成精神损害?
美国有学者将这种情绪称为“焦虑”(anxiety),受害人在其身份信息被盗窃后,可能长期担忧和恐惧其财务、就业、名誉等遭受损失,时间的流逝往往无法驱散这种焦虑,焦虑相当于一种慢性疾病,故足可构成一种精神损害。然而,精神损害的两种基本形态是疼痛和痛苦,疼痛针对的是身体受损,痛苦指精神受损,但限于特定侵权情形,如本人身体受损、隐私被侵害、丧亲之痛等。可见,焦虑只能归于“痛苦”,但从精神损害认定的一般规则出发,这一定性存在如下障碍。
一是精神损害的“严重性”要件。
各国通常都要求精神损害必须达到“严重”程度才能获得赔偿。在个人信息权益侵权领域,德国、英国和奥地利的法院都认为,受害人因存在未来发生实际损害的风险而产生的焦虑情绪,并不构成精神损害。
按《民法典》第1183条第1款,受害人也只有在其人身权益被侵害遭受“严重精神损害”时,才能请求赔偿精神损害。学界也多主张限定个人信息权益侵权的精神损害,如以违反公序良俗为严重的重要考量标准。我国司法实践也秉持了这一要求,在个人信息侵权案中往往以精神损害不存在或者不严重为由,驳回原告的赔偿请求。如在“孙某某诉中国联合网络通信有限公司上海市分公司侵犯隐私权纠纷案”中,法院认为,加害人虽侵犯了原告的隐私,但并未造成原告生活上严重的不安宁,且被告采取了保密措施,原告的信息仅在有限的范围内被知悉,故原告的精神未受到严重损害,但法院支持了向原告赔礼道歉的诉求。“黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案”认定,案涉行为侵害个人信息权益的具体损害后果,仅发生在原告与其微信好友之间,只是造成原告的“精神负担”,故不支持公开赔礼道歉的请求。“张淑珍与宜信普惠信息咨询(北京)有限公司一般人格权纠纷案”以被告并无通过使用原告个人信息创设、变更、消灭某种法律关系的故意,客观上亦未实施非法加工、传输、公开等侵权行为,驳回了原告的全部诉请。
“严重”要件的古老渊源是“忽略轻微损害”规则(a de minimis-rule),其深层原因是身心二元论。尽管心理学、社会学、生物学、医学和精神药理学已充分证实了身心二元论的谬误,但在侵权法中,这一理论迄今余绪未灭。其实质是认为情感受损并不如身体受损严重,前者可以自我修复,无需假借外力。此外,它还隐含了这样一种观念——正如19世纪末和20世纪初拒斥精神损害赔偿的理由——每个人都应当自己负责自己的心理健康,这是自我责任的重要内容。在精神损害普遍被承认的今天,“严重”其实是被推定的,即只要出现了严重的人格权侵权行为,就必然产生精神损害。如在隐私权被侵害时,精神损害往往被认可为唯一的损害。这就表明,情感的安宁和平静、无怨无恨、正常社交、不受干扰和胁迫是值得保护的法益,既如此,在敏感信息被泄露时,精神损害也很难不被认可。前述“孙某某诉中国联合网络通信有限公司上海市分公司侵犯隐私权纠纷案”一方面不承认精神损害赔偿,一方面又承认赔礼道歉,其逻辑断裂至为明显:在财产损害和精神损害都被否定时,被告为何要承担赔礼道歉这种民事责任?难道赔礼道歉的责任一定比赔偿抚慰金轻?
其二,精神损害容易被伪造。
情绪活动虽然可以外显,但也容易被作假和被夸大,既难被证实也难被证伪,这是否定精神损害赔偿的重要理由。如在美国的in re barnes & noble pin pad litig案中,法院就认为,除非存在第三人以恶意方式使用个人信息的紧迫危险,原告的焦虑不足以构成损害。问题恰好是这种紧迫性认定的弹性过大。如前所述,精神损害在司法实践中往往是被推定的,不同原告的个体差异(如性情达观与悲观)全然不在考虑之列。个人信息泄露作为一种严重的侵权行为,普遍承认原告因此遭受无需伴随其他民事权利受损的“纯粹精神损害”,应无违权益保护与产业发展的平衡。
(2)预防费用
为避免个人信息泄露后风险的现实化,受害人往往会支付一些费用或花费时间,如购买软件加密服务,或更换银行卡等。在比较法上,很多国家都承认侵权法的预防功能,如奥地利、法国、比利时和南非等,但各国都不允许支持单以预防为目的而支出的费用构成损害。在损害已发生时,为避免损害扩大而支付的费用固可认定为损害,但为预防损害发生而支付的费用,能否认定为损害,则存在损害确定性和因果关系等难题。如在美国司法实践中,一些法院认为,预防损害的费用容易被“制造”,受害人可能是基于“被害幻想”而支出费用,或者认为支出与防免损害不存在因果关系,据此驳回诉请,如polanco v. omnicell, inc.案。
从《侵权责任法》开始,我国就重视侵权责任的预防功能。有关个人信息侵权的司法解释也明确规定,为制止侵权行为所支付的合理开支构成人身侵权时的财产损失,如《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条和《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第8条。虽然两者都只列举了调查、取证和律师费用,但在解释上,受害人为防免未来损害而支出的必要费用也应作为财产损失。此外,依《民法典》第995条规定的消除危险等人格权请求权,若受害人未采取相应措施的,可请求个人信息处理者承担消除危险等责任。
(3)精神损害与预防费用的关联
精神损害与预防费用分别为非财产损害和财产损害,受害人可合并请求。但若个人采取注销旧卡申办新卡等措施时,还必然产生时间损失。它是否构成损害以及何种损害,理论上存有争议。有学者认为人的时间都有价值,虽然其价值因人而异,但不太可能是零,似将其纳入了财产损失。从实务角度看,无论对其做何种界定,时间损失只能请求赔偿一次,以免受害人双重受偿。
四、风险时代损害观念的变革
(一)正统损害的两个核心观念
侵权法上的损害只能是立法者认为值得通过矫正正义予以填补的损害,故全部赔偿永远只能是相对的,法律不可能让受害人完全回到被侵权之前的状态。正统损害观念具有如下两个密切相关的硬核。
一是通过“差额说”判断损害的有无。差额说的基础是,判定受害人的总括财产在侵权行为发生的前后是否存在利益差额,若存在,则损害成立。蒙森提出的这一理论在英美法也为通说,英美法也认为,唯主体在侵权行为发生后其状况变糟,损害才存在,不过差额说主要针对财产利益,英美法中的“状况”显然包括精神利益。
二是损害必然是真实的。最初,损害的真实性要求有形、可见或可辨别,仅见于财产损害。历史上,英国只赔偿对人身或财产造成的直接的、有形的损害,直到19世纪,英国侵权法依然要求受害人必须提供其身体或财产实际受损的证据。即便1890年沃伦和布兰代斯提出隐私权的概念后,美国也经过了漫长的过程才承认精神损害:1934年《侵权行为重述》第46条甚至不承认故意侵权行为造成的精神损害,只将其作为精神“困扰”,1948年版第46条才正式确认故意侵权行为造成的精神损害。但即使在承认精神损害后,正统的损害观依然要求损害必须实际发生。如法国法虽承认未发生实际损害时,也可获得赔偿,但却尽量避免使用“象征性赔偿”之类的词语,否则会造成损害赔偿与损害之间的逻辑断裂。
(二)现代损害观念的变革
1、正统损害观念变革的必要性
20世纪至今,科技经历了多次革命性飞跃,其最为重要的影响是科技深度嵌入到社会领域与个人生活,制造了无数风险。如工业化时期,医疗、能源、交通和基因技术的全面创新带来的环境污染、医源性疾病等巨大风险。信息化年代也制造了个人信息泄露等巨大风险。吉登斯将现代社会的风险称为外部风险,是人类制造出来的风险,也是科技的固有后果。这些风险具有潜伏性、扩散性和不可逆性,一旦现实化,其后果相当严重。
风险的不可消除性对现代侵权法产生了两大影响:一是损害的确定。科技发展不仅未解决不确定性的问题,反而增加了更多的不确定性。20世纪80年代以降,社会科学和人文学科的一大努力方向就是解释、测量、利用、操纵和控制不确定性。侵权领域也如此,如特高压带来的电磁辐射是否有害健康等,一直是法律致力于解决的难题。二是损害与行为的因果关系。在现代社会中,科学及其代言人——专家成为最抽象的权威,在科学无法证明损害及其因果关系时,受害人就无法得到赔偿,这无疑有违法学作为规范学科的特质,为矫此弊,现代侵权法创设了因果关系的若干新理论。
在风险社会和复杂社会中,固守正统侵权损害观念,反而会动摇侵权法的功能。理由是:其一,弱化侵权法的预防功能。固有损害观的践行结果必然是全有全无局面:要么被告全部赔偿,要么丝毫不赔偿,看似正当合理,但在一些案型中,它是以牺牲预防功能为前提的,而预防更大的损害符合帕累托改进,值得追求。如某人长期接触必然导致特定疾病的物质,但疾病在20年后才会发生,若等到疾病发生后才对其进行赔偿,不仅受害人可能因无资力而难以预防疾病,而且对其也相当不公(如受害人在罹患疾病之前过世)。其二,弱化侵权法的震慑功能。侵权法的重要功能是,通过将侵权成本内部化,迫使行为人以符合社会合理期望的、考虑他人利益的方式行事。因此,对个别侵权类型(如侵入他人土地),即使侵害他人权益未造成实际损害,传统侵权法也承认权益侵害本身构成违法,受害人无需证明损害即可获得象征性赔偿。这种做法强调法益的独立地位,其目的既在于宣告行为不法,也在于通过确认侵权来确认和延续受害人的权利。强调救济和安全的现代侵权法有必要强调权益侵害即构成损害这一观念。
2、现代侵权法损害观念的变革
与现代所有权观念相同,现代侵权法损害观念最大的变化即损害的观念化和抽象化,这意味着对损害的确定性要求大为降低。这一变化首先发生在环境领域:“环境法的主要创新之一是用风险的概念代替损害。”在医疗领域,侵权法承认对未来罹患疾病的风险增加和避免疾病的机会丧失都构成损害。机会损失也扩大适用于行为人造成损害风险,但不确定损害是否已发生或将来会发生的所有案件。美国有学者将侵权法的这种发展概括为“空灵侵权”(etherea torts),因为它创设并保护了诸多以往不被承认的无形权益。
依循这种变革,未来损害可区分两种情形:其一,若未来损害必然发生,受害人可提前主张赔偿未来发生的损害,其实质是承认类似于预期违约制度的“预期侵权”制度。其二,若损害未必发生,则可将其界定为风险。
风险的赔偿可以考虑两种模式:一是“预防费用 精神损害”赔偿模式,前述个人信息泄露的赔偿即为这种模式。又如对长期接触石棉的行为人,美国法院也承认其对未来罹患癌症的恐惧构成精神损害,应予赔偿。二是将风险直接作为损害。可依据风险投保的成本来评估,并结合个案权衡,如在个人数据泄露中,考虑未来损害发生的可能性和后果、数据敏感度和数据暴露承担、预防措施的可能性等。这意味着法院必须接受统计学、精算学的证据,在这一过程中,社会科学对裁决的影响将大为提升,这就引证了霍姆斯的名言——“未来属于统计学家和经济学家。”
五、未尽问题
19 世纪中期,摩斯第一次通过电报将“上帝做了什么?”这一信息传递出去,吉登斯认为,他开创了世界史的新阶段。在大数据时代,社会生活和个人生活都由信息推动,没人能不留痕迹地生活,不断积累的信息足可为每个人描述一副生动的、动态的画像,个体的很多信息,他/她可能自己都已遗忘,在云中他/她还有另一个自我,所以“只有云知道”。然而,在信息的生产者和处理者为不同主体,且个人信息成为一种新资源、甚至被迫公共化时,个人信息的失控和个人权益保护就成为侵权法的新问题。本文讨论的主题至少有两个问题依然处于不断变化中。
一是个人权益保护中的价值权衡。个人信息权益保护同样存在权益保护和行动自由的固有冲突,无非权益保护具体化为新社会情势中的人格自由和尊严,行动自由的内容被特定化为数据产业的发展利益。这一领域的价值权衡最终将通过精细的司法作业来实现。我国的裁判实践表明,法官已经充分体察到个人信息权益保护与企业数据利用的冲突,但无论如何裁决,都会引发个人信息的尊严性和资源性之争,目前,这一法域还处于不断调适过程中,实现个案中的情景正义尚属不易,普遍价值位阶的确立更有待时日。
二是《民法典》的边界。个人信息权益对传统民法最大的挑战在于,其保护不可能为民法垄断,而必然涉及多个不同法域。如因个人信息侵权无法适用民法上的惩罚性赔偿,为遏制大规模个人信息侵权,有学者建议对侵权人课以高额行政罚款。这表明,在个人信息和环境保护等领域,若不配合公法的预先监控,私法的事后救济手段将越来越捉襟见肘。事实上,在社会的每一个重大转折点上,侵权法都会存在相应的调整,至今逐渐建构了一套适应社会发展的、动态化的责任体系,“侵权法唯一不变的特征是其永久的变化倾向。”侵权法中的损害观念也需要更多现代变化,以回应个人信息权益保护等领域的新问题。
维亚克尔曾感慨,在其生活的年代,“在关涉经济依附者福祸(wohl und wehe)的所有生活领域,民法都让位于社会法,其法理想都已生效。”个人信息权益保护对民法的启发恰好是:一部民法不可能充分实现国家对基本权利的保障义务,个人信息保护领域如此,其他领域也如此。