论个人信息侵权中的“损害”

杜乐其,李焕勃

(江苏大学 法学院,江苏 镇江 212001)

一、问题的提出

随着互联网信息技术的高速发展,计算机网络所具有的强大信息处理能力使网络社会中个人信息的收集与交换出现了爆炸性增长的趋势,现代社会已经进入信息和大数据时代[1]。海量个人信息蕴含着巨大的商业价值,在利益驱动下,收集、交易、盗窃等非法个人信息处理活动层出不穷,使得个人信息权益被侵害的风险飙升。一旦侵害风险变为现实,则权利人必将遭受损害。

当个人信息权益被侵害时,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第69条即成为个人信息主体主张侵权责任的直接请求权基础。根据该条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任;其中,损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定,个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。在规范构造上,侵害个人信息的行为是否造成损害,成为信息主体主张侵权责任的前提要件之一。从个人信息权益在规范体系中的位置来看,其被置于《中华人民共和国民法典》(以下简称《民法典》)人格权编之中,因此在解释论上,《个人信息保护法》第69条中的损害应包括财产损害与非财产损害。针对财产损害,个人信息主体可基于第69条主张并计算损害赔偿;而对非财产损害,则只有具备《民法典》第1183条规定的严重精神损害要件,才可主张精神损害赔偿。但从侵害个人信息权益司法实践来看,信息处理者违法处理个人信息的行为,或许并未产生即时实际财产损害,更遑论严重精神损害。司法实践中,个人信息侵权几乎不存在财产损害。例如,在孙长宝诉北京百度网讯科技有限公司案中,被告仅向原告赔付了1元人民币的经济损失参见北京互联网法院(2019)京0491民初10989号民事判决书。,这显然与原告所遭受的损害不等值,且很难对被告的侵权行为产生威慑效果。此外,在大量司法实践中,法院常以信息主体没有遭受现实的损害为由驳回诉讼请求,学界对此也颇有争议[2]。但是,不可否认的是,基于信息客体的无形性,虽然侵害个人信息并不必然产生即时实际财产损害,但仍存在被非法利用以实现其商业价值的风险;同时,即便侵害个人信息行为并未产生严重的精神损害,但也会存在非严重精神损害。在此情形下,存有疑问的是,损害风险与非严重精神损害,是否可被涵摄于传统“损害”范畴之中?若答案是否定的,则在大量个人信息权益被侵害的事实面前,保护个人信息权益的规范意旨恐将落空;若答案是肯定的,则进一步的问题是,此类损害如何经由解释学路径融入“损害”概念体系之中?侵权人承担的损害赔偿责任该如何确定?

以前述问题为逻辑起点与归宿,本文的写作思路如下。首先,梳理理论与实务界有关个人信息侵权损害界定的学术争议与实务阐释,以凸显本文研究的必要性;其次,在廓清数字经济时代“损害”概念及其范畴扩张之理论基础上,经由解释学进路讨论风险损害和非严重精神损害融入“损害”体系的可能;最后,尝试提出解决路径,以应对损害扩张对传统民法赔偿责任带来的挑战,消弭损害扩张的理论证明与实践操作之间的鸿沟。本文相信,对前述问题的圆满回答,必然有助于探寻传统法律因应数字经济时代的可能路径,以维系法律的安定性与包容性。

二、私法视域中“损害”的经典解释及其局限

(一)传统私法中“损害”的类型与认定

在传统侵权逻辑中,“损害”是侵权责任认定不可或缺的一部分,是认定侵权责任与进行损害赔偿的前提性要件。《民法典》第1165条第1款规定:“行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。”该条文与已被废止的《中华人民共和国侵权责任法》的内容相比,增加了损害这一前提性要件。这为司法实践中认定侵权责任的构成提供了指引,补充了侵权责任构成要件的完整性[3]。

传统私法根据损害的性质,在学理上将其分为财产上损害及非财产上损害,但无论何种损害,均以恢复原状为其首要救济规则。财产上损害在无法恢复原状时可请求金钱赔偿,但非财产上损害则需要有法律上特别规定才可请求相当金额的赔偿[4]。例如,在我国台湾地区针对非财产损害的相关规定中,仅允许有限的例外情形可以请求赔偿,只有人格权、生命权受到不法侵害及解除婚约时产生的非财产上损害可获准许,其余情形均须由法院审定[5]。随着现代社会的发展,笔者认为非财产上损害的金钱赔偿请求权基础也应得到相应的扩大。

在我国现有立法中,并没有法律规范从正面对损害的概念进行界定。在学界内关于损害的本质这一问题上,存在着差额说和组织说两种学说,其中差额说是学界公认的主流学说。差额说认为,损害是指在侵权行为没有发生的假想情况下原告本应当享有的利益状态(被减数)和在侵权行为已经发生的情况下原告实际上享有的利益状态(减数)之差额[4]。该学说得到了学界的广泛认同,并且在财产损害与非财产损害的实务上得到了认可与应用。有学者认为,构成损害需要满足合法民事权益被侵害、损害具有可补救性、损害具有确定性三个条件[2]。而笔者认为,“确定性”是传统侵权逻辑下认定损害的核心要素,因为认定损害应当是已经发生了的事实或者是有充足的证据证明损害即将发生,而不是无根据的、捕风捉影的主观臆测。

确定性标准不仅只有大陆法系适用,英美法系国家同样适用。例如,美国联邦宪法规定:具有起诉资格的基本要求为遭受到了“事实上的损害”、损害与被告的行为有因果关系,以及该损害有司法程序上的可救济性(1)U.S.Const.art.III,§2cl.1.。对“事实上的损害”进行认定的重要性不言而喻,而这和大陆法系下损害“确定性”的认定是相通的。例如,在Lujan.v.Defenders of Wildlife案中,联邦最高法院斯卡利亚大法官认为原告并没有证明其遭受足够迫在眉睫的损害,不符合确定性标准,不具有起诉资格Lujan.v.Defenders of Wildlife,112 S.Ct.2130(1997).。在Owner-Operator Independent Drivers Association Inc.v.United States Department of Transportation案中,纵使原告认为被告行为导致的信息不准确对其造成了损害,但原告没有证明足以支持其诉讼资格的损害存在,并未进一步解释这些违法行为如何引起或可能引起损害,故哥伦比亚特区联邦地区法院驳回了原告的诉讼请求Owner-Operator Independent Drivers Association Inc v United States Department of Transportation, 211 F.Supp.3d 252(2018).。据此我们可以得出,在认定个人信息侵权损害时,仍应沿用“确定性”标准,但是由于个人信息在大数据时代传播的透明性与特殊性,其损害的确定性往往难以认定。

(二)损害经典解释与个人信息损害间的龃龉

上文提到,差额说不仅得到了学界的广泛认同,而且在财产损害与非财产损害领域得到了认可与应用。而本文所研究的个人信息侵权中的损害是否可以参照差额说予以界定?该学说的适用前提是已经发生了可以估值的实际损害,所以根据确定性标准,损害风险与非严重精神损害很难适用该学说进行损害认定。此外,在损害类型、特征及责任适用上,个人信息属性仍和传统损害概念存在不匹配性。

1.个人信息属性与传统损害类型间的不匹配性

有学者认为,个人信息所保护的法益具有公私法融合的属性,即个人信息所保护的法益可能是个体的自主利益,但同时也可以成为一种具有社会价值的公益。例如,从比较法上看,欧盟更注重突出个人信息法益的公法属性[6]。这在一定程度上决定了个人信息侵权的损害救济也呈现了公私法融合的趋势。在个人信息违约的案件中,原告很难证明其受到了实际的具体的伤害,大多数原告仅能证明其面临着未来风险或遭受着非严重性的精神损害。此类新型的损害和传统私法上损害,即无论是需要证明实际损害存在的财产损害,还是需要有法律规定特别情形的非财产损害,都是不匹配的。此外,从我国《个人信息保护法》所规定的救济方式呈现多元化的趋向来看[7],个体诉讼、举报和公益诉讼等多种救济方式呈现了公私法相融合的特点,也与传统损害类型适用的赔礼道歉、恢复原状等纯私力救济方式是不匹配的。

2.个人信息属性与传统损害特征间的不匹配性

个人信息权益是消极性、抵御性的人格法益。在大数据时代,为了维持正常的生活秩序,个人信息无时无刻不在被收集、整理、存储、转让与利用。当前立法赋予自然人对个人信息的权益,笔者认为是自然人对其个人信息被他人收集、存储、转让、整理与使用的过程中可以自主决定的利益,具体可以分为有权知悉使用目的、有权同意与拒绝、有权要求改正错漏等权益。由于个人信息被转让与使用的趋势不可逆转,相应的风险也就增加。据此,笔者认为该利益在本质上属于抵御或预防风险的防御性、消极性的民事利益;此外,个人信息权益应当是纯粹的人格法益[8]。《个人信息保护法》第4条第1款规定:“个人信息是已识别或者可识别的自然人有关的各种信息”,这说明个人信息已经与我们的人身、人格紧密相连、息息相关,体现了个人信息权益属性的特殊性。

根据前文所述,传统侵权法上的损害概念使用“确定性”标准,即要求信息主体遭受了现实的、确定的损害;而个人信息权益的消极性、人格法益性决定了其遭受的损害与“确定性”标准并不匹配,信息主体在信息泄露后面临着个人信息权益被滥用升高的风险,而这些所谓的风险却难以取证。换言之,在现代社会,个人信息权益泄露后升高的风险已经难以避免,传统私法上对损害认定的确定性、实质性标准是否也应当适时革新以适应数字经济时代的变化?

3.个人信息侵权“损害”认定与损害赔偿责任适用的困难

与传统的侵权行为造成的损害相比,个人信息侵权造成的损害不仅是无形的,而且损害的后果是潜在的、非即时的,具体表现为个人信息泄露之后存在被他人非法使用的潜在危险,而潜在的威胁能否作为损害仍存在疑问[9]。此外,按照差额说进行损害认定,需要确定损害发生过后的具体利益状态数值,否则便无法与损害发生之前的利益状态相减。但是个人信息侵权损害是无形的、潜在的,很难对其进行精确的评估与计算,这比传统人格权侵权的差额计算要模糊且复杂得多,故个人信息侵权“损害”的认定在司法实践中困难重重。另外,由于未来将会遭受的潜在性风险很容易被法官当作是主观推测的结果而不是损害本身,“确定性”标准的适用问题也亟待解决。

若类推适用传统私法中的侵权责任,个人信息泄露的风险当然可以适用赔礼道歉、排除妨碍、消除危险的非赔偿性的责任承担方式,但赔偿性的责任承担方式能否进一步适用,学界也对此争论不一。具体分为两种对立的观点:一方认为应当对“损害”进行灵活的扩张解释,认定即将发生的风险也具有可赔偿性;另一方认为仍应按照“确定性”标准认定可赔偿性,即将发生的风险属于主观臆测。赔偿性的责任承担在司法实践中的处理结果也不尽相同。

笔者认为,我们可以从美国有关个人信息侵权损害的典型案例中得到启示。在Spokeo,Inc.v.Robins案(以下简称Spokeo案)(2)Spokeo, Inc. v. Robins,136 S. Ct. 1540 (2016).中,美国联邦最高法院认为,损害除了应当特别,还应当具体,两个要素必须同时具备;第九巡回上诉法院未能对“具体的损害”的要件进行论证,仅仅是认定侵害法定权利的行为并不一定存在具体损害,而“具体”要求损害必须真实而不能抽象。此外,美国最高联邦法院认为无形的损害在一定情形下也可以是具体的,但单纯的程序违法除外。在Clapper.v.Amnesty International案(以下简称Clapper案)(3)Clapper v.Amnesty International,568 U.S.398(2013).中,联邦最高法院认为,风险成立损害必须具有“确定性迫近”的可能,原告未能证明其所担忧的未来损害即将迫近,认为原告的主张具有高度揣测性难以成立从而进行了否定;但是联邦最高法院并没有从正面否定风险成为损害的可能性。联邦最高法院法官运用了“实质性风险”这一概念,从而我们可以认为,在特定的场景中,如果个人信息被侵害的风险及损害即将迫近,满足了实质性标准,也有可能成立损害,只是本案不符合实质性标准而已。

上述Spokeo案和Clapper案在个人信息侵权损害赔偿这一问题上具有重要意义,美国联邦最高法院试图通过它们来确定个人信息侵权“损害”的认定标准:Spokeo案侧重于“特别性”和“具体性”标准,Clapper案侧重于“迫近性”标准。虽然两个案件都没有表明信息泄露的未来风险是否可以构成损害,但是并不排除其他的特定场景下风险可以构成损害的可能。而2019年的AFGE.v.OPM案(4)AFGE(American Federation of Government Employees).v.OPM(The Office of Personnel Management),928 F.3d 42(2019).中,美国华盛顿特区巡回法院肯定了未来风险在升高的情况下构成损害;此外,在本案中,被窃取的个人信息的敏感性同样是影响法院判决的重要因素。

在我国,个人信息侵权损害的赔偿责任问题同样陷入困境。在我国的司法实践中,法院在大量的案件中往往以原告没有遭受到实质性的损害为由驳回原告的诉讼请求。我国法院很少直接对未来风险是否构成损害进行解释说明,并且在是否适用精神损害赔偿这一问题上举步维艰。因为我国民事立法为了防止精神损害赔偿的滥用,在认定精神损害赔偿上始终以“严重”为构成要件。在很多案件中,纵使信息主体遭遇了诈骗或者失去了工作(5)参见北京互联网法院(2018)京0491民初1905号民事判决书、北京市第三中级人民法院(2020)京03民终2049号民事判决书。,法院仍未认定为“严重”,可见我国个人信息侵权损害赔偿案件中精神损害获赔的艰巨性。问题在于,若仅存在非严重精神损害,在其他侵权情形下,固然不能请求精神损害赔偿,但在信息侵权领域,由于其可能同时缺乏财产损害与非严重精神损害,那么此时若仅限于赔礼道歉、停止侵害等责任,是否可以对个人信息提供充分保护和对被告予以充分威慑?

从美国法院在未来风险是否构成损害这一问题上举棋不定,我国法院在个人信息侵权精神损害赔偿的问题上一直采取保守立场来看,大数据时代认定“损害”困难重重。沿用确定性与实质性标准的传统侵权法上的损害是司法实践中审判者认为值得予以填补的损害,其赔偿是相对的,难以使受害者完全回到侵权发生之前的状态。而在风险社会中,若固守传统侵权法上的损害概念反而会弱化侵权法的功能[8]。故笔者认为,为应对数字经济的发展和保护个人信息权益的要求,传统侵权损害概念需要更新与扩张。

三、侵害个人信息权益所致损害的类型讨论

前文提到,个人信息侵权在司法实践中几乎不存在财产损害。由于我国《个人信息保护法》第69条对“损害”的解释尚不明确,对精神损害的赔偿仍然需要援引《民法典》第1183条,但是该条款为了防止精神损害赔偿制度被滥用,规定了精神损害要达到“严重性”的程度才可以进行赔偿。从体系解释角度来看,第69条中的损害若满足严重条件,则权利人必然可主张精神损害赔偿,那非严重性精神损害是否可以适用于个人信息侵权?此外,升高的未来风险是否可以作为个人信息侵权之损害?下文中,以第69条的法律适用与解释为出发点,笔者将对非严重精神损害与升高的未来风险融入“损害”体系的可能性进行论证与展望。

(一)非严重精神损害赔偿适用于个人信息侵权的正当性

1.理论基础:个人信息侵权实质是对人格利益的损害

有学者认为,与传统人格要素相比,数字社会中的个人信息关乎信息主体的人格自由与人格尊严,其人格属性更为显著[10],即非严重性精神损害赔偿适用于个人信息侵权是其人格属性使然。信息主体所享有的个人信息权益与其人格尊严、人格自由密切相关。具体而言,信息处理者通过对个人信息进行收集和个性化分析,根据其喜好进行广告等个性化推送,这在一定程度上会影响信息主体的决策与选择的自由;此外,通过收集个人信息推测信息主体的喜好在一定程度上也可能构成对其隐私的侵犯,而隐私是人格尊严不可或缺的一部分,这可能会造成私人信息的泄露。随着数据泄露风险的显著增加,信息主体也会产生焦虑与不安的心情。从个人信息被非法收集开始,信息主体就会因为对信息的用途不知情而陷入恐慌中,精神遭受痛苦,当个人信息被非法利用后,这种痛苦会进一步加重。由此可见,在个人信息侵权的每一个阶段都可能会给个人信息主体带来精神损害,而且这种损害可能会逐渐加剧。纵使无法满足“严重性”要件,对个人信息权益进行非严重精神损害赔偿救济,也是现代社会保护人格自由与人格尊严法治要义所在,同时也可对违法者产生一定的威慑效果。正因如此,在立法或司法解释中对侵害个人信息的非严重精神损害赔偿需要予以明确。

2.确定性与实质性:因风险产生的不安与担忧

如果信息主体因为其个人信息被泄露产生了不安与担忧,这种精神状态的变化与创伤纵使不能构成《民法典》1183条中的“严重精神损害”,是否可以作为非严重精神损害予以赔偿?需要判断和解决的问题是,因风险产生的不安与担忧若不属于精神损害赔偿的范畴,是否可以因其具有确定性与实质性而构成损害并获得赔偿。

笔者认为,担忧与不安是否构成损害,同应对风险的预防性支出的认定相似,即它们的基础——未来风险是否是确定与实质的。因为在司法实践中,因个人信息被侵犯所产生的焦虑不安与担忧并不容易被法院认可[11],判断是否构成损害的关键在于这些担忧与不安是有理有据,还是主观臆测。在美国Attias .v.CareFirst,Inc.一案(6)Attias.v.CareFirst,Inc.,865 F.3d 620,627(2017).中,美国华盛顿特区巡回法院认为在黑客攻击已经发生的情况下,消费者对信息泄露的担忧就不只是主观臆测,而是具有相当的确定性。因为若已经有遭受损害的信息主体,那么尚未遭受损害的主体的不安与担忧便有理有据,应当认定为真实的损害。

然而,“严重”是我国民法适用精神损害赔偿的重要限制条件。该限制的立法本意是防止精神损害赔偿滥用,但是随着大数据时代的发展,越来越多的学者认为该限制应当适当地放开,抑或将其作为认定标准的组成部分,而不是一种限制。笔者认为,可以通过法律解释的方式对“严重”进行扩张解释,以减少“严重性”这一条件在精神损害赔偿认定上的阻碍。

3.比较法解释:精神损害赔偿制度的域外适用

比较法上在有关个人信息侵权精神损害赔偿的认定上并没有以“严重性”为构成要件,非严重精神损害在一定条件与情形下同样可以获得赔偿。《欧盟一般数据保护条例》(GDPR)序言部分第146段,以及第82条都规定了信息主体可以因非物质损害获得充分有效的赔偿,且并没有强调非物质损害的严重性。立法者在法律条文中明确非物质性损害可依据法律规定得到支持。根据前文所述,在美国有大量法院援引Clapper案去否定原告的诉讼主体资格。在该案中原告是因为无法证明自身受到监视被否认诉讼主体资格,但是许多案件中原告的个人信息被泄露是显而易见的[12]。所以,很多法院对Clapper案的援引属于误用,但对该案的错误引用也逐渐得到了缓和。例如,在美国联邦最高法院审理的Spokeo案中,法官认为当风险达到一定程度时可以对其进行个人信息损害赔偿。Spokeo案没有否定Clapper案的司法观点与结论,这得到了部分法院的理解与支持,同时也在学界内产生了激烈的争论。例如,联邦第七巡回上诉法院支持对个人信息权益进行非物质性损害赔偿。在Remijas v.Neiman Marcus案中,联邦第七巡回上诉法院认为不能对Clapper案的重要性做过度解读,原告主张的损害符合“客观上合理的可能性”即可以对其进行赔偿(7)Remijas.v.Neiman Marcus Group,LLC,No.14 3122(2015).。这也是不违背美国联邦宪法第3条的规定的。

通过对域外精神损害赔偿适用的扩张进行梳理,我们不难发现美国的司法实践中对精神损害赔偿存在争议的原因,其在于立法中并没有对个人信息侵权适用精神损害赔偿进行明确;纵使GDPR对非物质性损害赔偿在立法上进行了肯定,但对非物质性损害赔偿的认定上仍然任重道远。《个人信息保护法》第69条并未对精神损害赔偿进行规定,应当借鉴比较法的立法与司法实践趋势,在司法解释上对侵犯个人信息权益的非严重精神损害赔偿进行肯定,以使信息主体的非严重精神损害赔偿诉求有法可依。

(二)“风险”作为个人信息侵权之损害的展望

随着互联网使用的继续激增,信息伤害将变得越来越普遍。国外学者认为,在美国联邦最高法院和美国联邦巡回上诉法院分歧加深产生冲突的背景下,个人信息侵权问题不会在短期内消失[13],而在我国该问题的解决同样任重道远。前文已提到个人信息侵权中损害认定面临的困境,需要探寻新的解决路径。

笔者认为,应当认可未来风险成立损害,即将满足一定条件的未来风险视为可以赔偿的损害;但是应当对风险构成损害的适用加以较为严格的限制。因为并不是所有的风险都可以构成损害,需要将非迫近性的未来风险加以排除。而实质性风险损害的认定有赖于司法解释的完善和法官的判断与解释。参考当前学界观点,个人信息侵权中的“损害”认定可以从两个方面进行扩展:一是遵循差额说,寻找个人信息侵权中的利益差额;二是通过法律解释的方法去阐明确定性和实质性要求的判断标准。上述两种途径都遵循了传统侵权逻辑的损害分析方法,具有一定的合理性。

1.甄别利益差额

差额说认为,认定损害时应当比较损害发生前后的利益状态。个人信息侵权风险性损害的认定也应当遵循差额说的观点,寻找利益差额去认定损害。而个人信息泄露带来的风险是无形的,不容易通过直观的方式进行差额计算。笔者认为,可以将风险进行类型化的区分来进行认定,以精确对利益差额的计算。

(1)个人信息泄露后升高的风险。在个人信息遭到泄露前,信息主体基本没有面临风险或者风险较少;而个人信息遭到泄露后信息主体面临的风险骤升。从中不难看出升高后的风险与泄露前的低风险或零风险相比存在着利益差额。而这些风险与我们的生活息息相关,例如,身份信息的窃取和诈骗案件时有发生;并且考虑到个人信息的主体特定性、不可更改性、风险爆发的广泛性,这些风险造成的后果是难以补救的。故将这样升高的风险认定为损害是有必要的。

(2)预防风险的成本支出。个人信息被泄露之后面临的被非法处理与利用、欺诈和身份盗窃的风险升高,因此信息主体需要采取预防措施来抵御风险,为抵御风险支出的时间、精力、金钱,可视为一种特殊类型的损害[2]。因为在个人信息泄露前这些成本无须支出,在泄露之后才有支出的必要,所以存在着明显的利益差额。而学界目前对此类利益差额的争议是预防性的成本支出是否以可靠的对未来风险的预测为基础。所以对预防个人信息侵权损害的支出成本的认定,仍要基于未来可能遭受的风险是否具有实质性、确定性。而在未来风险满足实质性标准时,此类损害赔偿的主张可以得到支持。

2.阐明确定性和实质性要求的判断标准

我们在认可未来风险成立损害的同时也要考虑到并不是所有的风险都可以成立损害,应当排除那些非迫近性的、主观臆测的风险,只有“实质性”“确定性”风险才应当被认为成立损害。由于实质性标准难以统一界定,因此需要将其置于具体的场景中进行分析,而法官的裁量与解释就成为关键。参考国外学界观点,有学者认为美国联邦最高法院似乎将不得不再次处理一个问题,即究竟是什么构成了足以赋予其符合美国宪法第三条地位的具体伤害[13]。有学者建议国会颁布一项全面的法规来规范数据泄露,例如,规定拥有个人信息的公司对其存储个人信息的人负有责任,违反这一义务将构成“实际的”“具体的”和“特殊的”损害,符合美国联邦最高法院第三条128项判例中关于事实损害的要求[14]。

有学者认为,个人信息应当实行分级处理的方法,一般信息偏重于利用,私密信息偏重于保护[15]。在很多案件中,侵害私密敏感的个人信息产生的风险更容易被认定为损害。例如,在Rosenbach.v.Six Flags Entertainment Corporation案(8)Rosenbach v.Six Flags Entertainment Corporation.,2017 IL App.2d 170317(2017),rev’d, 129 N.E.3d 1197(2019).中,因为指纹属于生物识别信息,具有高度敏感性,被告未经原告同意就收集指纹的行为违反了当地法律,所以足以构成损害。因此笔者认为,可以从个人信息的敏感性这一视角去认定实质性标准,从而去排除一般信息的风险不成立损害。

四、基于损害类型的赔偿责任体系的构建

(一)精神损害赔偿认定标准的淡化

有学者认为,在数字社会个人信息侵权的精神损害赔偿也包含着对个人信息主体财产权益的保护,为了保护个人的相关利益,需要降低对损害的要求[16]。关于精神损害赔偿“严重性”的认定,国内学界也存在不同的看法。有学者认为应当通过被侵害的权益的阶位来分情况确定精神损害是否达到“严重性”的程度。对物质性人格权和精神性人格权遭受精神损害的证明标准依次降低,前者可以直接认定,后者需要综合考虑多种因素[17]。但是也有学者认为应当采取容忍限度理论,即如果精神损害超出了一般社会人的容忍限度,就应当被认为具有“严重性”[3]。但实际上,即便采取第二种观点来认定精神损害,也还是要进行具体的综合考量,这两种严重性认定标准是存在一定的共性的。

GDPR第82条并没有强调非物质损害的严重性要件。在精神损害赔偿上,笔者认为可以放宽对精神损害“严重性”的限制,或者是将其作为认定的组成要素而不是限制条件,适当降低个人信息侵权精神损害认定的门槛;法官应当将个人信息的敏感性、受害者的精神损害严重性、信息处理者的主观恶性等多种因素综合考量,而这能使受害者通过证明自身遭受足够的精神压力或者痛苦就可以获得司法救济[11]。在淡化“严重精神损害”的标准后,法定赔偿数额的确定也很有必要。由于《个人信息保护法》并未规定法定赔偿数额,可以借鉴人身权益遭受侵害的财产损失法定数额确定方式,由最高人民法院通过司法解释予以规定[10]。

需要提醒的是,淡化精神损害认定的“严重性”标准并不等同于所有个人信息侵权案件中的精神损害都可以得到赔偿,也不意味着信息主体证明责任的免除。信息主体仍需要承担一定程度上的证明责任,只不过无须再证明严重精神损害而已。

(二)惩罚性赔偿制度的设想

鉴于大数据时代下的个人信息受侵害的结果具有无形性、潜伏性、持续波及性的特点,仅仅适用预防与填补损失的责任承担方式是远远不够的。有学者认为未来个人信息保护法的适用有必要引进惩罚性赔偿制度[18]。在比较法上,美国《公平信用报告法案》(Fari Credit Report Act,简称FCRA)规定了法院允许侵权者赔偿信息主体一定数额的惩罚性赔偿金(9)FCRA,§1681n. Civil liability for willful noncompliance(2022).。笔者认为,出于填补损害漏洞和震慑个人信息侵权犯罪行为的需要,我们可以参照美国法的相关规定引入惩罚性赔偿制度以完善个人信息保护法的法律适用。首先,惩罚性赔偿制度能够填补受害人未能获得的损失漏洞。因为司法实践中个人信息受到侵犯后的损害难以认定,信息主体收集证据更是困难重重,最终的获赔额可能会不尽如人意。惩罚性赔偿制度可以让非法信息处理者付出相应的代价,去填补信息主体未能获赔的损失漏洞。其次,惩罚性赔偿制度能够有效减少信息处理者非法利用个人信息的牟利行为。通过对违法的信息处理者进行惩罚性赔偿,能够在大范围内起到震慑作用与抑制效果,从而在大数据时代下更好地保护个人信息,发挥其应有的价值。再次,惩罚性赔偿制度能够调动信息主体维权的积极性。由于个人信息侵权现象有增无减,而信息主体为了维权需要支出的成本过高,很多受害者在遭受侵权后并不会主动维权。惩罚性赔偿制度的建立旨在改善此类现象。面对可获得的损害性赔偿,信息主体可以打消成本大于所获赔偿的顾虑,积极维护自身合法权益,打击个人信息侵权现象,进而维护数字经济市场和网络环境的稳定秩序。

(三)确定侵害个人信息权益的小额损害最低赔偿限额

根据《个人信息保护法》第69条的规定,遭受侵害的信息主体可获得的损害赔偿额为受到的损失或侵权人获得的利益。但是该计算方式很难具有实际可操作性。在李志刚与上海商数信息科技有限公司的个人信息侵权纠纷案(10)参见河北省石家庄市中级人民法院(2019)冀01民终10531号民事判决书。中,被告未经原告同意就使用被告的淘宝账户信息;法院依据侵权人获得的利益为标准,判决被告向原告支付一元人民币的精神损害赔偿。上文中提到的孙长宝诉北京百度网讯科技有限公司案中,被告也仅向原告赔付了一元人民币的经济损失。这样的判决显然不能惩治被告的违法行为,同时会让更多维权者失去维护合法权益的积极性。在无法认定实际损害的情况下,损害赔偿数额多是由法院酌情确定的。学界内有学者主张应当确立侵害个人信息权益损害赔偿的最低标准[19]。就此而言,FCRA中的相关规定,或许可以为我们提供一个借鉴的参照。根据FCRA相关规定,消费者信用报告机构负责收集与评估消费者信用及其他信息。在处理信息过程中,信用报告机构需要秉持公平、公正与尊重消费者隐私权的原则。若信用报告机构违反该法规定处理消费者信息,则将根据消费者遭受的损害予以赔偿,若损害无法确定,则需支付100美元以上1000美元以下的法定赔偿(11)FCRA,§1681n. Civil liability for willful noncompliance(2022).。由此可见,FCRA中的法定赔偿对于提高信息处理者违法成本,补偿信息主体无形损害,具有积极意义。在比较法上引入法定数额的赔偿方法救济个人信息侵权中的损害,对此有学者认为,实行小额损害最低赔偿限额具有一定的合理性与必要性[20],因为最低赔偿限额能够在充分调动权利人维权的积极性的同时打击侵犯个人信息权益的行为。

五、结语

随着科技创新的进步和数字经济的纵深发展,个人信息的交换性日益增强,个人信息处理的无形性、普遍性也愈发明显。这也意味着其受到侵害的风险日渐升高。个人信息侵权问题的研究短期内可能不会得到解决,这一问题将会长期、持续地存在。

本文在沿袭学界传统侵权损害赔偿逻辑的基础上,意图转换视角,从非严重精神损害与升高的未来风险是否可以作为损害赔偿内容等新角度进行研究。在个人信息侵权“损害”的认定陷入困境的情况下,认可风险成立损害,对风险实质性、确定性标准进行必要限制以防止滥用。在数字社会中,个人信息权益与我们的人格自由与尊严密切相关,个人信息的保护要以人格尊严与自由不受侵犯为底线。回顾侵权责任法的发展历程,侵权责任的学理规则随着社会的发展处于动态的变化之中以适应时代的要求。同样,在大数据时代个人信息权益受到的侵害和传统侵权逻辑比起来有了更多的不同,这对传统损害概念提出了挑战。因此,应当革新传统的“损害”概念,以应对数字经济的发展趋势和更全面地保护个人信息权益的要求。