尚國(guó)萍
(河南大學(xué) 法學(xué)院,河南 開(kāi)封 475001)
在數(shù)據(jù)為王的信息時(shí)代,個(gè)人信息不僅為政府機(jī)關(guān)開(kāi)展社會(huì)治理提供前提條件,而且成為信息經(jīng)濟(jì)快速發(fā)展的“基礎(chǔ)原料”。通過(guò)法治方式規(guī)范個(gè)人信息處理活動(dòng),是實(shí)現(xiàn)自然人與信息處理者之間利益平衡的必然路徑?!吨腥A人民共和國(guó)民法典》(以下簡(jiǎn)稱“《民法典》”)使用“處理”一詞替代之前相關(guān)立法中“收集”“使用”等表述,使其成為《民法典》規(guī)范個(gè)人信息相關(guān)行為的基礎(chǔ)概念?!吨腥A人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱“《個(gè)人信息保護(hù)法》”,進(jìn)一步規(guī)范個(gè)人信息處理活動(dòng),綜合運(yùn)用多元責(zé)任加強(qiáng)個(gè)人信息權(quán)益的保護(hù)力度。從立法目的看來(lái),《個(gè)人信息保護(hù)法》第69條重在彰顯侵害個(gè)人信息權(quán)益的私法救濟(jì)功能,展現(xiàn)維護(hù)自然人人格尊嚴(yán)和人格權(quán)益的法力。但個(gè)人信息權(quán)益作為信息社會(huì)一種新生的人格權(quán)益,具有諸多不同于傳統(tǒng)人格權(quán)客體的特性,進(jìn)而催生學(xué)者們?cè)谟嘘P(guān)個(gè)人信息權(quán)益侵權(quán)責(zé)任認(rèn)定問(wèn)題上的激烈論爭(zhēng),導(dǎo)致第69條在司法適用中面臨困境。故而,文章圍繞個(gè)人信息處理中侵權(quán)責(zé)任的認(rèn)定問(wèn)題進(jìn)行探討,希冀司法實(shí)踐中正確適用第69條立法規(guī)范,統(tǒng)一裁判尺度。
概念乃是解決法律問(wèn)題所必需的和必不可少的工具。[1]《個(gè)人信息保護(hù)法》第4條通過(guò)兩個(gè)款項(xiàng)分別明定了個(gè)人信息和個(gè)人信息“處理”的內(nèi)涵與外延。相較而言,《民法典》人格權(quán)編采“內(nèi)涵+外延”的模式,而《個(gè)人信息保護(hù)法》僅對(duì)個(gè)人信息進(jìn)行內(nèi)涵概括,未進(jìn)行外延列舉,且將“識(shí)別”分為“已識(shí)別”或“可識(shí)別”兩種類型??梢?jiàn),《個(gè)人信息保護(hù)法》的個(gè)人信息范圍比《民法典》的規(guī)定更寬泛。這反映了立法進(jìn)程中對(duì)個(gè)人信息的認(rèn)識(shí)進(jìn)一步清晰和深刻,有利于對(duì)個(gè)人信息權(quán)益給予更全面保護(hù)。
關(guān)于“處理”的具體方式,《個(gè)人信息保護(hù)法》在《民法典》列舉的收集、存儲(chǔ)等七種方式基礎(chǔ)上增加了“刪除”類型,進(jìn)一步拓展了“信息處理”的外延,折射出立法對(duì)個(gè)人信息處理方式和類型仍在不斷擴(kuò)展中。需注意的是,《個(gè)人信息保護(hù)法》在引入“個(gè)人信息處理”概念時(shí)僅列舉了其外延,使得法律適用邊界不夠清晰。因此,利用處理行為的種屬概念建立起清晰的個(gè)人信息處理規(guī)則,防范對(duì)個(gè)人權(quán)益的侵害,是個(gè)人信息保護(hù)法需要解決的基礎(chǔ)問(wèn)題。[2]文章認(rèn)為,每個(gè)法律概念均是在理論和實(shí)踐的發(fā)展中不斷修正和完善的?!皞€(gè)人信息處理”屬《個(gè)人信息保護(hù)法》中的核心概念,立法理應(yīng)從內(nèi)涵到外延予以回應(yīng),但現(xiàn)階段對(duì)個(gè)人信息的處理行為認(rèn)知存在限度,實(shí)難高度抽象出“處理”的核心要義。如法定概念不能明確其法律特征,則可能會(huì)阻礙個(gè)人信息的合理利用?!氨Wo(hù)個(gè)人信息權(quán)益”并非《個(gè)人信息保護(hù)法》唯一立法目標(biāo),最終目的指向個(gè)人信息的“合理利用”,兩個(gè)目的重在通過(guò)“規(guī)范個(gè)人信息處理活動(dòng)”這一路徑實(shí)現(xiàn)。故而,現(xiàn)行立法僅從外延列舉個(gè)人信息處理類型,既可避免因“處理”概念模糊導(dǎo)致規(guī)范對(duì)象泛化,誘發(fā)立法過(guò)度干預(yù)甚或選擇性執(zhí)法的惡果,又通過(guò)“等”字為法律適用提供了延展空間,是一種較為可取的模式。
綜觀《個(gè)人信息保護(hù)法》全文,如何規(guī)范個(gè)人信息處理是其主要內(nèi)容。依其規(guī)定,除自然人因個(gè)人、家庭事務(wù)處理個(gè)人信息外,其他個(gè)人信息處理活動(dòng)均納入其調(diào)整范圍。該法第13條確立了個(gè)人信息處理的“知情同意-同意例外”規(guī)則。除公共利益目的或法律、行政法規(guī)另有規(guī)定外,“告知-知情-同意”既是信息處理者依法處理個(gè)人信息的前提條件,也是侵害個(gè)人信息權(quán)益是否存在主觀過(guò)錯(cuò)的判斷基準(zhǔn),但并不當(dāng)然構(gòu)成民事侵權(quán)責(zé)任的抗辯事由。
個(gè)人信息處理的“知情同意-同意例外”前設(shè)架構(gòu)模式,分別與個(gè)人私益保護(hù)和公共利益保護(hù)相呼應(yīng)。一方面,個(gè)人信息權(quán)益本質(zhì)上與隱私權(quán)相同,具有相對(duì)的人身專屬性,對(duì)其保護(hù)應(yīng)以知情權(quán)和同意權(quán)為根本,方顯其人格權(quán)品格。另一方面,考慮到現(xiàn)代社會(huì)網(wǎng)絡(luò)產(chǎn)業(yè)以數(shù)據(jù)信息為基本生產(chǎn)資料,根據(jù)《民法典》相關(guān)規(guī)定,并未將個(gè)人信息權(quán)益置于完全人格權(quán)地位,其人身專屬性在維護(hù)社會(huì)公共利益條件下予以限縮,為降低治理成本,原則上毋需征得自然人同意?!秱€(gè)人信息保護(hù)法》第二章關(guān)于個(gè)人信息處理規(guī)則的規(guī)范架構(gòu)總體上遵循了以上立法思想,在第一節(jié)一般情況下以“知情同意”為基本規(guī)則和第二節(jié)特定情形下以“單獨(dú)或書(shū)面同意”為要件基礎(chǔ)上,第三節(jié)對(duì)國(guó)家機(jī)關(guān)為維護(hù)公共利益或行使法定職責(zé)時(shí)可豁免征得“知情同意”義務(wù),屬于“同意例外”規(guī)則。整體而言,現(xiàn)行的個(gè)人信息處理規(guī)則架構(gòu)為:知情同意(非敏感個(gè)人信息)-單獨(dú)同意(敏感個(gè)人信息)-書(shū)面同意(法律法規(guī)特別規(guī)定)-同意例外(國(guó)家機(jī)關(guān)處理個(gè)人信息)。
依民法意思自治原則,將“同意”作為個(gè)人信息處理的根本性要件,凸顯了立法賦予自然人對(duì)其個(gè)人信息享有人格權(quán)益的基本立場(chǎng)。在市場(chǎng)經(jīng)濟(jì)條件下,信息處理者主要表現(xiàn)為市場(chǎng)主體,對(duì)個(gè)人信息的處理須遵守市場(chǎng)交易的一般規(guī)則,維護(hù)市場(chǎng)秩序的安全穩(wěn)定。個(gè)人信息是否進(jìn)入市場(chǎng)領(lǐng)域從而成為數(shù)字經(jīng)濟(jì)的生產(chǎn)要素,取決于權(quán)利人在平等地位上的自愿性和自決性,也即私法自治的核心要義所在。一般而言,信息處理的正當(dāng)性基礎(chǔ)在于權(quán)利人是否知情信息處理目的,對(duì)自己做出的意思表示是否有明確的行為預(yù)期。從某種意義上說(shuō),“知情同意”規(guī)則設(shè)計(jì)充分彰顯了私法所維護(hù)的平等和自由價(jià)值。但任何自由都是有邊界的,自然人的個(gè)人信息自決自由也不例外。在個(gè)人權(quán)益和社會(huì)公共利益相沖突情形下,個(gè)人利益的保護(hù)需讓位于公共秩序的維護(hù),此時(shí),信息處理所形成的法律關(guān)系從私權(quán)法律關(guān)系的雙邊性轉(zhuǎn)向到公權(quán)法律關(guān)系的單邊性,以“同意”所展現(xiàn)的意思自治將讓位于社會(huì)治理秩序維護(hù)的公權(quán)力法定職責(zé),法律關(guān)系將由“平行秩序關(guān)系”轉(zhuǎn)為“上下秩序關(guān)系”。這也正是《個(gè)人信息保護(hù)法》規(guī)定國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息時(shí)毋需征得個(gè)人同意的原因所在。[3]
侵權(quán)法在維護(hù)行為自由的同時(shí),更注重受害人的救濟(jì)和賠償?!皳p害”認(rèn)定在民事救濟(jì)中居于重要地位,構(gòu)成侵權(quán)損害賠償?shù)年P(guān)鍵要件?!秱€(gè)人信息保護(hù)法》第69條要求個(gè)人信息權(quán)益侵權(quán)以損害為前提[4],在立法上反映了個(gè)人信息權(quán)益保護(hù)的邏輯起點(diǎn)。但在司法實(shí)踐中,個(gè)人信息權(quán)益損害的事實(shí)認(rèn)定較為復(fù)雜,需引入動(dòng)態(tài)系統(tǒng)論綜合考量多元要素進(jìn)行認(rèn)定。
個(gè)人信息權(quán)益侵權(quán)認(rèn)定是一個(gè)實(shí)務(wù)難題。從司法實(shí)踐來(lái)看,因被侵權(quán)人在個(gè)人信息控制方面處于弱勢(shì)地位,在訴訟中難以有效證明其遭受的個(gè)人信息損害事實(shí),往往導(dǎo)致訴訟請(qǐng)求得不到法院的支持,助長(zhǎng)了網(wǎng)絡(luò)平臺(tái)處理個(gè)人信息的逐利性。為扭轉(zhuǎn)這一困境,部分法院靈活調(diào)適證據(jù)規(guī)則,通過(guò)減輕受害人證明責(zé)任等方式努力維護(hù)受害人的個(gè)人信息合法權(quán)益,但收效甚微。由于個(gè)人信息具有無(wú)形性、不確定性、難以定量等特征,個(gè)人信息權(quán)益侵權(quán)責(zé)任每一構(gòu)成要件的認(rèn)定均愈發(fā)復(fù)雜,其中“損害”事實(shí)的認(rèn)定最為復(fù)雜和紛亂。特別是個(gè)人信息大規(guī)模侵權(quán)案件中,涉及的受害人人數(shù)規(guī)模龐大,法院必然要考量集體訴訟的可行性、證據(jù)認(rèn)定的專業(yè)技術(shù)難度以及信息處理者的賠償能力等多種因素,損害事實(shí)的認(rèn)定較之于傳統(tǒng)侵權(quán)損害認(rèn)定變得舉步維艱。在受害人主張信息處理者承擔(dān)違約責(zé)任時(shí),因其與信息處理者的格式合同中不存在違約金條款,受害人也必須證明存在損害才可能獲得賠償。[4]
侵害個(gè)人信息權(quán)益的損害事實(shí)主要表現(xiàn)為兩種形態(tài):精神損害和財(cái)產(chǎn)損失。個(gè)人信息權(quán)在性質(zhì)上屬于一種集人格利益和財(cái)產(chǎn)利益于一體的綜合性權(quán)利。[5]《個(gè)人信息保護(hù)法》賦予自然人知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)等權(quán)益。當(dāng)個(gè)人信息權(quán)益受到不法行為侵害時(shí),具體表現(xiàn)與其他人格權(quán)的損害結(jié)果大體一致,主要為精神利益損害。另外,《民法典》人格權(quán)編“一般規(guī)定”中允許民事主體可將自身的姓名、肖像等部分人格授權(quán)他人使用或商業(yè)化利用。根據(jù)目的解釋或擴(kuò)張解釋,此處“等”可擴(kuò)展到自然人可同意其個(gè)人信息由他人處理范圍。當(dāng)未經(jīng)許可,他人擅自使用(處理)個(gè)人信息的,可造成權(quán)利人的財(cái)產(chǎn)損失。但實(shí)踐中侵害個(gè)人信息權(quán)益的財(cái)產(chǎn)損失的認(rèn)定和計(jì)算亦是一個(gè)較復(fù)雜的事實(shí)問(wèn)題。
動(dòng)態(tài)系統(tǒng)論最早由奧地利學(xué)者威爾伯格(Walter.Wilburg)提出?;居^點(diǎn)認(rèn)為:“調(diào)整特定領(lǐng)域法律關(guān)系的法律規(guī)范包含諸多構(gòu)成因素,但在具體的法律關(guān)系中,相應(yīng)規(guī)范所需因素的數(shù)量和強(qiáng)度有所不同”[6]。該理論呈現(xiàn)出法律效果形成中各要素的系統(tǒng)性動(dòng)態(tài)作用過(guò)程。人格利益基于人身自由和人格尊嚴(yán)等一般人格權(quán)派生出物質(zhì)性人格權(quán)和精神性人格權(quán)等具體人格權(quán)。《民法典》對(duì)每一項(xiàng)法定人格權(quán)的保護(hù)力度和位階順位,乃至具體責(zé)任承擔(dān)方式方面,均存在著一定的差異。在個(gè)案適用時(shí),需對(duì)各個(gè)考量因素進(jìn)行綜合比較和權(quán)衡。根據(jù)《民法典》第998條之規(guī)定,關(guān)于侵害精神性人格權(quán)的損害事實(shí)認(rèn)定,應(yīng)妥當(dāng)權(quán)衡行為人和受害人的職業(yè)身份及社會(huì)知名度、加害人的過(guò)錯(cuò)程度、行為目的、行為方式、行為后果等因素。故而,侵害個(gè)人信息權(quán)益的事實(shí)證成,“應(yīng)根據(jù)法定因素及其順序,通過(guò)因素間的互動(dòng)綜合考量,摒棄全有全無(wú)的責(zé)任成立”。[6]
從比較法而言,人格權(quán)保護(hù)中多注重動(dòng)態(tài)系統(tǒng)論之運(yùn)用,從而擺脫僵硬的全有或者全無(wú)的束縛,實(shí)現(xiàn)對(duì)精神性人格權(quán)更具彈性的保護(hù)面向。動(dòng)態(tài)系統(tǒng)論注重相關(guān)要素之間的邏輯層次,諸要素在價(jià)值位階和相互聯(lián)動(dòng)關(guān)系上存在一定差別。具言之,損害評(píng)價(jià)要素的位階具有法定性要求,法院應(yīng)遵從雙方當(dāng)事人職業(yè)、損害影響范圍、侵權(quán)行為危害性、個(gè)人信息的敏感性程度之順序依次進(jìn)行考量。關(guān)于要素間的聯(lián)動(dòng)關(guān)系,我國(guó)《民法典》并未規(guī)定,“其相互之間的聯(lián)動(dòng)關(guān)系有賴于個(gè)人信息保護(hù)法的規(guī)定或司法實(shí)踐的經(jīng)驗(yàn)總結(jié)。”[7]就個(gè)人信息類型而言,敏感信息與私密信息同歸屬于個(gè)人信息范疇,在實(shí)踐中有一定的交集或重合,但其規(guī)范目的和功能價(jià)值不同。私密信息具有絕對(duì)防御性特點(diǎn),未經(jīng)權(quán)利人同意,不得公開(kāi),更不得利用;而敏感信息原則上應(yīng)當(dāng)禁止處理,只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,個(gè)人信息處理者方可處理。[3]相對(duì)而言,非法處理敏感信息等侵權(quán)行為給被侵權(quán)人造成的精神損害更為嚴(yán)重。是故,諸多要素相結(jié)合共同構(gòu)成多元化的損害評(píng)價(jià)要素。
損害事實(shí)認(rèn)定的前提在于加害行為違法性之判斷。關(guān)于信息處理者侵害個(gè)人信息權(quán)益的違法性認(rèn)定,應(yīng)從個(gè)人信息處理行為是否存在和處理行為是否具有違法性兩個(gè)方面考量。首先,信息處理者客觀上必須實(shí)施了處理個(gè)人信息活動(dòng);其次,信息處理者的處理行為不符合法律規(guī)范,實(shí)踐中主要表現(xiàn)為信息處理違反了法定義務(wù)。如未履行充分告知義務(wù),或履行了告知義務(wù)未獲得自然人的明確同意或書(shū)面同意。凡違反法定要求處理個(gè)人信息,則構(gòu)成個(gè)人信息權(quán)益侵權(quán)責(zé)任中加害行為這一要件。
歸責(zé)原則是侵權(quán)法的核心與靈魂。侵權(quán)責(zé)任的構(gòu)成要件取決于適用何種歸責(zé)原則,進(jìn)而廓清侵權(quán)行為和行為自由之間的邊界。欲明確個(gè)人信息權(quán)益的民法保護(hù)范圍,須厘定侵害個(gè)人信息權(quán)益適用何種歸責(zé)原則,才能正確適用《民法典》和《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定,實(shí)現(xiàn)個(gè)人信息權(quán)益民事救濟(jì)目標(biāo)。
在侵害個(gè)人信息權(quán)益糾紛中,信息處理者所擁有的自動(dòng)化決策技術(shù)優(yōu)勢(shì)、數(shù)據(jù)算法的保密性和單體信息的無(wú)價(jià)值性,在事實(shí)上造成了被侵權(quán)人在舉證能力方面處于弱勢(shì)地位,法院對(duì)侵權(quán)行為和損害事實(shí)厘定存在技術(shù)性短板。因此,從立法例和理論上探討侵害個(gè)人信息權(quán)益適用何種歸責(zé)原則能夠?qū)崿F(xiàn)雙方當(dāng)事人的利益平衡顯得尤為重要。
1.侵害個(gè)人信息權(quán)益歸責(zé)原則的立法例考察
根據(jù)歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)第5條第2款①歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)第5條第2款規(guī)定:“控制者有責(zé)任遵守以上第1段(‘合法性、合理性和透明性’‘目的限制’‘?dāng)?shù)據(jù)最小化’‘準(zhǔn)確性’‘限期存儲(chǔ)’‘?dāng)?shù)據(jù)的完整性與保密性’),并且有責(zé)任對(duì)此提供證明?!币?guī)定,在認(rèn)定侵害個(gè)人數(shù)據(jù)責(zé)任時(shí),適用過(guò)錯(cuò)責(zé)任原則,數(shù)據(jù)控制者應(yīng)當(dāng)就處理數(shù)據(jù)過(guò)程中不存在過(guò)錯(cuò)承擔(dān)證明責(zé)任。2018年德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第83條規(guī)定,數(shù)據(jù)控制人違反本法或其他法律規(guī)定處理他人數(shù)據(jù)造成侵權(quán)損害的,數(shù)據(jù)控制人或其授權(quán)的人應(yīng)承擔(dān)損害賠償責(zé)任。在非自動(dòng)化的數(shù)據(jù)處理情形下,數(shù)據(jù)控制人能夠證明其在數(shù)據(jù)處理過(guò)程中不存在主觀過(guò)錯(cuò),則不需要承擔(dān)賠償責(zé)任??梢?jiàn),數(shù)據(jù)控制人只要違反“本法或其他法律規(guī)定”的事實(shí)存在,即可追究其侵權(quán)責(zé)任,實(shí)質(zhì)上適用無(wú)過(guò)錯(cuò)責(zé)任原則。在非自動(dòng)化數(shù)據(jù)處理場(chǎng)合,若損害不可歸因于控制人的過(guò)錯(cuò),則賠償義務(wù)取消。[8]侵害個(gè)人信息(數(shù)據(jù))權(quán)益適用何種歸責(zé)原則,同在歐陸范圍內(nèi),也持有不同的立法態(tài)度,德國(guó)法較之于歐盟法,更有利于保護(hù)信息主體權(quán)益。
2.個(gè)人信息權(quán)益侵權(quán)多元?dú)w責(zé)論說(shuō)之檢視
大數(shù)據(jù)技術(shù)和信息技術(shù)的高速發(fā)展使得侵害個(gè)人信息權(quán)益行為與技術(shù)、場(chǎng)域和行為主體密切相關(guān)。過(guò)錯(cuò)責(zé)任原則在應(yīng)對(duì)利用網(wǎng)絡(luò)手段侵害自然人個(gè)人信息時(shí)顯得捉襟見(jiàn)肘,亟待根據(jù)處理場(chǎng)域的不同區(qū)別適用不同的歸責(zé)原則。在大數(shù)據(jù)語(yǔ)境下,單個(gè)的個(gè)人信息是作為數(shù)據(jù)要素而存在的,如離開(kāi)算法技術(shù)和自動(dòng)化決策,個(gè)人信息對(duì)于數(shù)字經(jīng)濟(jì)將無(wú)利用價(jià)值。由上可知,侵害個(gè)人信息權(quán)益與信息處理者采用自動(dòng)數(shù)據(jù)處理技術(shù)直接關(guān)聯(lián),這也應(yīng)景了根據(jù)不同的處理場(chǎng)域和技術(shù)因素適用過(guò)錯(cuò)責(zé)任原則和非過(guò)錯(cuò)責(zé)任原則。在自動(dòng)化處理情形下,公務(wù)機(jī)關(guān)以數(shù)據(jù)自動(dòng)處理技術(shù)實(shí)施的信息侵權(quán),應(yīng)適用無(wú)過(guò)錯(cuò)責(zé)任。采用自動(dòng)化處理系統(tǒng)的非公務(wù)機(jī)關(guān),其信息侵權(quán)應(yīng)適用過(guò)錯(cuò)推定責(zé)任。[12]理由在于非行政機(jī)關(guān)較之于行政機(jī)關(guān),無(wú)公權(quán)力收集之便利優(yōu)勢(shì),法定的注意義務(wù)標(biāo)準(zhǔn)也應(yīng)相對(duì)調(diào)低。
個(gè)人信息侵權(quán)的復(fù)雜性歸因于自動(dòng)數(shù)據(jù)處理技術(shù)的廣泛應(yīng)用。自動(dòng)數(shù)據(jù)處理技術(shù)處于大數(shù)據(jù)算法處理信息的核心位置,進(jìn)而推動(dòng)個(gè)人信息侵權(quán)歸責(zé)原則從一元到多元的變革。對(duì)非利用自動(dòng)化技術(shù)的信息處理者而言,其并未保有技術(shù)上的優(yōu)勢(shì)地位,舉證能力基本對(duì)等,宜采過(guò)錯(cuò)責(zé)任原則。但大型網(wǎng)絡(luò)科技企業(yè)在技術(shù)研發(fā)領(lǐng)域居于領(lǐng)先地位,其人才技術(shù)和經(jīng)濟(jì)規(guī)模優(yōu)勢(shì)往往是一般的公權(quán)力機(jī)關(guān)所不能比擬的。公權(quán)力機(jī)關(guān)之所以擁有大量個(gè)人信息關(guān)鍵在于其擁有法定職權(quán)和公共利益目的優(yōu)勢(shì)。故而,對(duì)于采取自動(dòng)化處理技術(shù)的行為人,不應(yīng)再區(qū)分是否以公益為目的,應(yīng)當(dāng)賦予相同的注意義務(wù),統(tǒng)一適用相同的歸責(zé)原則,但問(wèn)題在于何種非過(guò)錯(cuò)歸責(zé)原則更符合信息社會(huì)的發(fā)展需求?學(xué)界爭(zhēng)論不一。
文章認(rèn)為,雖然適用無(wú)過(guò)錯(cuò)責(zé)任能夠最大限度上救濟(jì)受害人的信息權(quán)益,但將課以信息處理者高度的注意義務(wù),會(huì)大幅增加信息處理者的經(jīng)營(yíng)成本和管理成本,不利于信息產(chǎn)業(yè)的穩(wěn)步發(fā)展與公共利益的有效維護(hù)。相對(duì)而言,在信息自動(dòng)處理技術(shù)條件下,統(tǒng)一采過(guò)錯(cuò)推定責(zé)任原則能夠強(qiáng)化信息處理者的舉證責(zé)任,適度提高其注意義務(wù),較好地平衡信息處理、權(quán)益保護(hù)和公共秩序之關(guān)系。
我國(guó)《個(gè)人信息保護(hù)法》將因個(gè)人或家庭事務(wù)處理個(gè)人信息排除在外,相關(guān)侵權(quán)屬于一般侵權(quán)行為,仍按照《民法典》第1185條適用過(guò)錯(cuò)責(zé)任原則。對(duì)于一般情形下的個(gè)人信息處理侵權(quán),適用我國(guó)《個(gè)人信息保護(hù)法》第69條第1款規(guī)定,如造成損害,信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的,應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。該條在侵權(quán)歸責(zé)原則設(shè)置上并未采用按侵權(quán)行為人主體類型和是否采用自動(dòng)化處理技術(shù)區(qū)分適用歸責(zé)原則,而是以統(tǒng)一適用過(guò)錯(cuò)推定責(zé)任為原則。其主要理由在于:一是侵權(quán)行為的主體特殊,限于信息處理者。實(shí)踐中主要是商事經(jīng)營(yíng)者和履行個(gè)人信息保護(hù)職責(zé)的部門,而非普通的自然人。二是權(quán)益人是自然人,在以人為本的價(jià)值理念下其人格權(quán)益亟待保護(hù)。三是實(shí)踐中被侵權(quán)人在侵權(quán)法律關(guān)系中往往處于不利地位,“個(gè)人信息處理者的地位強(qiáng)勢(shì),個(gè)人信息權(quán)人處于弱勢(shì),如果采用過(guò)錯(cuò)責(zé)任原則,不利于對(duì)個(gè)人信息權(quán)人的保護(hù)”[9]。
敏感個(gè)人信息,指涉及隱私的個(gè)人信息。[10]對(duì)此,《個(gè)人信息保護(hù)法》第28條將生物識(shí)別、宗教信仰、行蹤軌跡等信息以及不滿十四周歲未成年人的個(gè)人信息納入敏感信息范圍。有學(xué)者建議,包括侵害敏感信息在內(nèi)的所有侵害個(gè)人信息的侵權(quán)責(zé)任,應(yīng)當(dāng)統(tǒng)一適用無(wú)過(guò)錯(cuò)責(zé)任。[11]對(duì)此建議,《個(gè)人信息保護(hù)法》并未采用,而是通過(guò)限定具有特定目的和充分的必要性,并采取嚴(yán)格保護(hù)措施以及“單獨(dú)同意”,抑或“書(shū)面同意”“監(jiān)護(hù)人同意”等特定條件予以保障,從而加大信息處理者的過(guò)錯(cuò)舉證責(zé)任進(jìn)行區(qū)別對(duì)待。①《個(gè)人信息保護(hù)法》第28條規(guī)定,個(gè)人信息處理者具有特定的目的和充分的必要性,方可處理敏感個(gè)人信息。第29條規(guī)定,基于個(gè)人同意處理敏感個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書(shū)面同意的,從其規(guī)定。第30條規(guī)定,個(gè)人信息處理者處理敏感個(gè)人信息的,除本法第17條第1款規(guī)定的事項(xiàng)外,還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響;依照本法規(guī)定可以不向個(gè)人告知的除外。第32條規(guī)定,法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得相關(guān)行政許可或者作出更嚴(yán)格限制的,從其規(guī)定。這一立法設(shè)計(jì)同樣可以達(dá)到強(qiáng)化對(duì)敏感信息處理的保護(hù)力度與效果。
個(gè)人信息權(quán)益受到侵害之虞,《民法典》賦予自然人人格權(quán)請(qǐng)求權(quán)和侵權(quán)請(qǐng)求權(quán)二元權(quán)益救濟(jì)路徑。在保護(hù)個(gè)人信息權(quán)益中,人格權(quán)請(qǐng)求權(quán)與侵權(quán)請(qǐng)求權(quán)保護(hù)的側(cè)重點(diǎn)有所不同,兩者共同形成全方位的個(gè)人信息權(quán)益民法保護(hù)機(jī)制。
《民法典》人格權(quán)編將個(gè)人信息與隱私權(quán)放在同一位置,意味著個(gè)人信息權(quán)益具有鮮明的人格權(quán)屬性?!白鳛槿烁駲?quán)的個(gè)人信息權(quán)益,在民法領(lǐng)域不僅受到侵權(quán)責(zé)任的保護(hù),也要受到《民法典》第995條規(guī)定的人格權(quán)請(qǐng)求權(quán)的保護(hù)”[9]。顯然,人格權(quán)請(qǐng)求權(quán)保護(hù)優(yōu)勢(shì)在于:其一,停止侵害、排除妨礙、消除危險(xiǎn)、賠禮道歉等責(zé)任方式更能實(shí)現(xiàn)對(duì)自然人精神性人格利益的救濟(jì),這是損害賠償侵權(quán)責(zé)任所無(wú)法滿足的。其二,因人格權(quán)具有專屬性,故行使人格權(quán)請(qǐng)求權(quán)不以具備過(guò)錯(cuò)等要件,受害人的舉證責(zé)任明顯較輕。其三,人格權(quán)請(qǐng)求權(quán)行使不受訴訟時(shí)效的限制,不因訴訟時(shí)效期間屆滿而喪失請(qǐng)求權(quán),對(duì)維護(hù)個(gè)人信息權(quán)益的完滿性更為重要。
侵權(quán)責(zé)任規(guī)范保護(hù)個(gè)人信息權(quán)益的最大優(yōu)勢(shì)在于損害賠償之承擔(dān)。個(gè)人信息權(quán)益當(dāng)屬于《民法典》第1164條規(guī)定的侵權(quán)責(zé)任救濟(jì)的“民事權(quán)益”范圍。個(gè)人信息權(quán)益受到侵害遭受損失時(shí),當(dāng)以侵權(quán)責(zé)任之認(rèn)定責(zé)令信息處理者承擔(dān)損害賠償責(zé)任,力求通過(guò)損害填補(bǔ)方式使自然人個(gè)人信息權(quán)益最大限度得到恢復(fù)。侵權(quán)請(qǐng)求權(quán)所意旨的賠償損失責(zé)任具有獨(dú)特的損害填平功能,是其他民事責(zé)任方式無(wú)法替代的。需說(shuō)明的是,人格權(quán)請(qǐng)求權(quán)與侵權(quán)請(qǐng)求權(quán)之關(guān)系迥異于違約責(zé)任和侵權(quán)責(zé)任之間的競(jìng)合關(guān)系,受害人可選擇其一,也可兩者并用之。
1.損害賠償計(jì)算的考量因素
由于精神損害與財(cái)產(chǎn)損失之間具有不可通約性,導(dǎo)致司法實(shí)踐中確定精神損害賠償額是一個(gè)難題。司法實(shí)踐中欠缺測(cè)量被侵權(quán)人精神損害程度的客觀標(biāo)準(zhǔn),“沒(méi)有清晰的方法可用于將無(wú)形的非金錢損害轉(zhuǎn)換為金錢賠償”[12]。從理論上分析,損害范圍的具體界定是受一定社會(huì)價(jià)值觀念和法律秩序影響的?!叭藗冋J(rèn)識(shí)損害的思維過(guò)程,絕不只是自然科學(xué)式的機(jī)械邏輯過(guò)程,價(jià)值判斷不可避免”[13]。由此推之,損害構(gòu)成(或程度)和損害賠償額的確定在某種意義上同屬于價(jià)值判斷范疇。實(shí)踐中,侵害個(gè)人信息權(quán)益的損害后果往往具有不可逆轉(zhuǎn)性和可持續(xù)性,一旦個(gè)人信息權(quán)益遭受侵害,欲準(zhǔn)確計(jì)算損失額度變得望塵莫及??尚械霓k法是,精神損害賠償額應(yīng)在確定損害事實(shí)的基礎(chǔ)上,經(jīng)彈性價(jià)值體系的過(guò)濾,得出應(yīng)賠償?shù)膿p害,再經(jīng)由損害的金錢評(píng)價(jià)而最終確定賠償?shù)臄?shù)額[14]。從社會(huì)效果來(lái)看,行為人承擔(dān)精神損害賠償責(zé)任在一定限度上有利于遏制類似侵權(quán)行為再次發(fā)生,聚焦于損害賠償制度的遏制和懲戒功能。另外,“德國(guó)法、法國(guó)法采取賠償全部損害之制度,其所謂全部損害,實(shí)并非損害之全部,而只是其一部而已”[15]。侵權(quán)責(zé)任的認(rèn)定在實(shí)踐中具體通過(guò)侵權(quán)行為的違法性、損害程度、原因力等要素過(guò)濾工具,最大限度地尋求自然人個(gè)人信息權(quán)益和經(jīng)濟(jì)行為自由之間的利益平衡點(diǎn)。
2.損害賠償額的具體確定
個(gè)人信息侵權(quán)中損害賠償范圍的科學(xué)合理確定,既關(guān)乎受害人權(quán)益的保護(hù),又與網(wǎng)絡(luò)產(chǎn)業(yè)的健康良性發(fā)展密切相關(guān)。關(guān)于具體賠償標(biāo)準(zhǔn),既要把握隱含于人格尊嚴(yán)中的精神利益,又要權(quán)衡行為人與受害人之間的利益平衡。至于賠償數(shù)額的司法確認(rèn),除所支付為制止侵權(quán)行為的必要費(fèi)用外,可根據(jù)行為人的過(guò)錯(cuò)類型,行為動(dòng)機(jī)、手段或方式、侵權(quán)行為實(shí)施的次數(shù)和持續(xù)時(shí)間、社會(huì)危害程度、責(zé)任概率、因不法行為所獲利益等綜合因素進(jìn)行數(shù)額確定。為充分發(fā)揮侵權(quán)責(zé)任的懲戒功能,可借鑒德國(guó)個(gè)人信息保護(hù)法模式,基于民事侵權(quán)行為發(fā)生的損害賠償,應(yīng)“實(shí)行全額賠償,不設(shè)最高額限制,這也是民事主體地位平等所要求的”[16]。
從法經(jīng)濟(jì)學(xué)角度而言,因以損失填補(bǔ)為基礎(chǔ)的侵權(quán)責(zé)任評(píng)價(jià)機(jī)制正面臨著懲戒功能式微的風(fēng)險(xiǎn),現(xiàn)代侵權(quán)法將因不法行為所獲利益作為損害計(jì)算基數(shù)成為重要替代選擇?!秱€(gè)人信息保護(hù)法》第69條第二款規(guī)定,損害賠償數(shù)額按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定;前者兩項(xiàng)數(shù)額難以確定的,根據(jù)實(shí)際情況確定賠償數(shù)額。盡管立法將信息處理者所獲利益作為損害賠償額計(jì)算標(biāo)準(zhǔn),但獲益范圍是否僅包括因侵權(quán)行為所得直接收益,立法上未予回應(yīng)。對(duì)此,文章認(rèn)為,考慮網(wǎng)絡(luò)信息產(chǎn)業(yè)的長(zhǎng)足發(fā)展和信息安全技術(shù)的有限性,應(yīng)限定于直接收益范圍。
司法實(shí)踐中,《個(gè)人信息保護(hù)法》與《民法典》對(duì)個(gè)人信息權(quán)益的保護(hù)應(yīng)統(tǒng)籌協(xié)調(diào)與互為補(bǔ)充。全面把握個(gè)人信息處理者、政府機(jī)關(guān)和其他社會(huì)組織之間利益平衡的立法理念,實(shí)現(xiàn)協(xié)調(diào)個(gè)人信息保護(hù)與促進(jìn)信息自由流動(dòng)的立法目標(biāo),建立公正有序的個(gè)人信息利用秩序,助推在強(qiáng)化個(gè)人信息權(quán)益保護(hù)的同時(shí),引領(lǐng)網(wǎng)絡(luò)產(chǎn)業(yè)和數(shù)字經(jīng)濟(jì)的良性發(fā)展。誠(chéng)然,法院對(duì)《民法典》《個(gè)人信息保護(hù)法》中個(gè)人信息規(guī)范的正確適用,統(tǒng)一司法裁判尺度,將為個(gè)人信息權(quán)益保護(hù)與數(shù)字產(chǎn)業(yè)發(fā)展提供有力的司法保障。最高人民法院應(yīng)根據(jù)審理個(gè)人信息權(quán)益糾紛案件的司法經(jīng)驗(yàn),盡快制定相關(guān)的司法解釋,使得個(gè)人信息權(quán)益預(yù)防保護(hù)機(jī)制與損害賠償救濟(jì)制度落到實(shí)處。