大數(shù)據(jù)時代個人信息侵權(quán)損害認定

□ 文 程汝雪

0 引言

大數(shù)據(jù)時代，數(shù)據(jù)已經(jīng)成為了數(shù)據(jù)交易的客體，個人信息作為大數(shù)據(jù)交易客體的主要內(nèi)容，處在安全風險之中，因此對個人信息的保護成為當前司法實踐和法律研究的重點。與個人信息侵權(quán)相伴的通常是損害，損害是侵權(quán)責任歸責體系的組成部分，是認定侵權(quán)的重要前提，也是公民主張個人信息保護的前提條件。沒有損害，也就無法獲得相應的損害賠償，但目前對于大數(shù)據(jù)時代的個人信息侵權(quán)損害認定，存在一定的滯后性和架空性，難以有效適用于大數(shù)據(jù)時代個人信息侵權(quán)領(lǐng)域。對此有必要完善個人信息侵權(quán)的損害認定規(guī)則，以此確保公民的個人信息安全。

1 大數(shù)據(jù)時代個人信息保護模式

目前我國立法上采取的是雙元保護模式，即將隱私權(quán)和個人信息置于同一章，《民法典》對個人隱私的規(guī)定，著重強調(diào)個人隱私的不為人知性，而個人信息并不僅限于私密的信息，其涉及信息主體的方方面面，包括已經(jīng)公開的信息和尚未公開的信息。由此可見二者存在交叉部分即個人私密信息，但是不能因此認為二者是交叉關(guān)系，二者是獨立的法律概念，其有各自的保護模式和保護目的。在大數(shù)據(jù)背景之下，數(shù)據(jù)逐漸成為交易的客體，此時的個人信息作為數(shù)據(jù)交易的主要客體兼具人格權(quán)和財產(chǎn)權(quán)屬性，從而導致個人信息和個人隱私所保護的重點也有所不同，個人隱私通常僅注重保護個人的隱私，仍處于人格權(quán)的范疇，而個人信息保護既強調(diào)保護個人的隱私，也強調(diào)保護個人信息中的財產(chǎn)權(quán)，這也是個人信息保護的獨具特色之處。

2 傳統(tǒng)侵權(quán)責任法意義上的損害認定

《民法典》第1165條和1166條將“造成他人民事權(quán)益損害”作為侵權(quán)責任規(guī)責體系的構(gòu)成要件，明確了損害對于認定侵權(quán)和確定損害賠償責任的基礎(chǔ)性地位。

那么究竟何為損害，在學界存在多種學說，以利益說（差額說）為代表，簡單來說就是指被害人未受到侵權(quán)和受到侵權(quán)的個人財產(chǎn)狀況的差額。我國當前在立法上并沒有明確作出界定，但張新寶教授在《侵權(quán)責任法原理》一書中，對其作出了明確定義并指出了其特征，其中一項特征就是“損害后果應當具有客觀真實性和確定性”。此外中國臺灣學者王澤鑒教授認為：“實際損害是侵權(quán)損害賠償請求權(quán)的成立要件，如果沒有無損害就沒有無賠償”。對此在我國受害人要想獲得損害賠償，必須證明損害的發(fā)生，即需要證明損害是客觀存在的，而這與大數(shù)據(jù)時代，個人信息所遭受的新型損害不相適應，進一步提出了完善大數(shù)據(jù)時代個人信息侵權(quán)損害認定規(guī)則的要求。

3 新型損害致使傳統(tǒng)差額說的損害認定方法面臨困境

在信息社會，個人信息具有較大的商業(yè)價值，其本身具有無形性的特點。與客觀存在的物、債權(quán)等民事客體不同，傳統(tǒng)的民事客體受到侵害時，往往會產(chǎn)生現(xiàn)實的損害；而個人信息受到侵害時，除了造成他人財產(chǎn)損害或者精神損害等現(xiàn)實損害可以依據(jù)傳統(tǒng)法中的差額說認定損害之外，個人信息侵權(quán)更多的表現(xiàn)為無形性和潛伏性的特點，給權(quán)利人帶來了潛在危險，這種潛在危險隨著大數(shù)據(jù)技術(shù)的分析和處理，極易在將來的某一時間對特定的個人造成損害。如果依據(jù)傳統(tǒng)法意義上的損害認定，這種新型的未來性損害（風險性損害）則無法獲得損害賠償，那么就會導致大量的個人侵權(quán)案件難以得到有效保護，這在當前的司法實踐中并不罕見。因而從一定意義上表明了我國當前司法實踐對個人信息侵權(quán)的損害認定仍囿于傳統(tǒng)侵權(quán)責任法意義上的“確定性和真實性”的困境，難以應對大數(shù)據(jù)時代瞬息萬變的個人信息侵權(quán)損害認定的挑戰(zhàn)。

4 將風險性損害引入個人信息損害認定范疇中

風險性損害，顧名思義即處在風險之中的損害，此種損害突破了傳統(tǒng)損害的確定性標準，具有不確定性和未來性的特點，將其引入大數(shù)據(jù)背景之下的個人信息侵權(quán)損害的認定范疇中存在以下合理性：

4.1 個人信息的類型化

當前學術(shù)界對個人信息進行了類型化分類，其分類目的，從法學的角度來說，通常是為了根據(jù)個人信息的類型來確定其保護方式和保護程度，這對于本文所探討的個人信息侵權(quán)損害的認定具有重要意義。學理上一般根據(jù)識別度和敏感度將個人信息分為直接個人信息和間接個人信息、敏感個人信息和瑣細個人信息。對于敏感個人信息，其如果被公開，便會給公民造成直接或者間接的傷害，傷害可以是身體上的、財產(chǎn)上的，也可以是精神上的，可以是即時的，也可以具有一定的滯后性。綜上可知，對于直接個人信息和敏感個人信息，其對于公民來說具有較高的識別度和敏感度，在損害的認定上就應當采取較為寬泛的損害認定規(guī)則，即將尚處于風險之后的損害引入這類個人信息的侵權(quán)損害的認定范疇之中，對其給予較高程度的保護。

4.2 風險社會的現(xiàn)實需要

風險社會是著名的德國社會學家Ulrich Beck首次提出的。根據(jù)風險社會的理論，問題處理的關(guān)鍵在于風險如何分配，即在信息主體和信息處理者之間如何進行利益衡量。答案可以是肯定的，即由信息處理者承擔更多的風險，原因在于信息處理者本身就是風險的制造者，尤其承擔更多的風險有利于其加強對于個人信息的保護，從而在源頭預防個人信息侵權(quán)。且其是獲益者，根據(jù)公平責任的原理，理應由其承擔更多的風險，信息處理者作為大數(shù)據(jù)交易的中心主體，其有能力通過其他方式去分配風險。大數(shù)據(jù)時代，對風險進行合理分配不僅存在于數(shù)據(jù)交易的環(huán)節(jié)之中，也應當存在于具體的個人信息侵權(quán)案件中，即將風險性損害引入個人信息侵權(quán)損害的認定之中，通過法律解釋論的方法，擴大大數(shù)據(jù)背景之下的損害認定范圍，對個人信息的風險性損害進行適當保護，以避免風險的現(xiàn)實化，給信息主體帶來難以彌補的傷害。

風險性損害雖然對于全面保護個人信息具有重大現(xiàn)實意義，但是也不能盲目擴大傳統(tǒng)侵權(quán)責任法意義上的損害范圍，任意突破損害的“確定性”標準。我們需要在現(xiàn)有的法律框架和法理基礎(chǔ)上結(jié)合當前的時代發(fā)展需求作出變通，尋求較為穩(wěn)定的個人信息侵權(quán)損害的認定標準，維護法律的安定性和權(quán)威性。

5 個人信息侵權(quán)損害的認定規(guī)則

現(xiàn)行《個人信息保護法》第六十九條第二款規(guī)定了“損失”和“利益”作為損害賠償?shù)囊罁?jù)，與我國傳統(tǒng)侵權(quán)法意義上的損害賠償?shù)恼J定標準具有一致性，即要求信息主體舉證證明自己遭受的實質(zhì)性損害。然而如前所述，個人信息侵權(quán)具有較強的不確定性和未來性，一方面有些危險尚未現(xiàn)實化為確定性損害，另一方面由受害人舉證證明實質(zhì)性損害，因欠缺算法技術(shù)的相關(guān)能力，因此難以進行有效舉證，從而導致當前普遍存在的個人信息侵權(quán)損害認定難的問題。對此我們需要結(jié)合個人信息的特點和個人信息侵權(quán)的未來性和不確定性，對個人信息侵權(quán)損害進行科學認定。

5.1 個人信息的類型化處理

如前所述個人信息的類型在相當程度上利于個人信息的保護方式和強度的確定，《個人信息保護法》中將“敏感信息處理規(guī)則”專門設(shè)置為一節(jié)，可見我國法律已經(jīng)承認了個人信息類型化處理的方式。據(jù)此在侵權(quán)損害認定時，我們也可以引入類型化處理的方式，根據(jù)個人信息的類型，設(shè)置實踐中具有較高可行性的損害認定規(guī)則。以敏感個人信息和一般個人信息為例：對于敏感個人信息，因其泄露或者濫用給信息主體帶來的傷害較大且可能難以恢復，對此在認定損害時，可以結(jié)合上述的風險性損害原理，確立較為寬泛的損害認定標準，對信息主體進行較高的保護，從而抑制信息處理者對于個人信息的濫用；對于一般個人信息，因為其敏感度較低，可以采取較為嚴格的損害認定標準，即可以遵循傳統(tǒng)侵權(quán)法意義上的“確定性”損害的認定標準，以避免信息主體隨意主張侵權(quán)，導致信息處理者降低數(shù)據(jù)交易的積極性和主動性，從而促進大數(shù)據(jù)交易，實現(xiàn)信息高速有效地傳遞和運用。

5.2 個人信息的要素化分析

《民法典》將“個人信息”置于人格權(quán)一篇，但是并沒有將其命名為“個人信息權(quán)”，表明了個人信息雖然不屬于具體人格權(quán)的范疇，但是具有相應的人格權(quán)內(nèi)容，受我國立法保護?！睹穹ǖ洹返?98條的規(guī)定在立法上明確了人格權(quán)侵權(quán)責任認定需要考慮的相關(guān)因素，這對于確定個人信息侵權(quán)損害的認定具有較強的借鑒意義，即可以通過對這幾個要素的分析，來確定相應的損害賠償范圍。

首先考慮行為人的職業(yè)。在個人信息侵權(quán)案件中主要存在兩類主體，即信息主體和信息處理者，根據(jù)先前所述的風險社會理論，信息處理者理應分擔更多的風險，那么可以從信息處理者的職業(yè)進行區(qū)分：對于單純從事市場交易的信息處理者，介于其目的是為了獲利，那么在認定侵權(quán)損害時，可以不必過于嚴格，采用稍加寬泛的損害認定標準，可以更好的保護個人信息；對于與公共利益相關(guān)的信息處理者，因其公布信息的目的，是出于公共目的，因此在認定損害時，可以采取較為嚴格的標準，以平衡公共利益和個人利益。

其次需要考慮影響范圍。無論是已經(jīng)現(xiàn)實化的損害還是尚未現(xiàn)實化的風險性損害，都要考慮相應的影響范圍。影響范圍大的，應當適當增加損害賠償數(shù)額和靈活運用風險性損害，對于影響性小的，可以適用較輕的損害賠償責任。

再次需要考慮行為人的過錯程度。如果信息處理者主觀上帶有明顯的惡意，此時個人信息面臨著巨大的危險，如果不加以嚴格控制，極易造成較為嚴重的后果。此時可以直接引入風險性損害，對信息處理者進行較為嚴厲的規(guī)責，即并不要求其造成現(xiàn)實化的結(jié)果，而只要達到相應的程度，即可以要求其采取相應的措施，并且承擔相應的責任。同時，在認定損害賠償數(shù)額時，也可以將風險性損害的評估數(shù)額納入其中，以此來全面保護個人信息。

最后需要考慮行為的方式和后果。行為的方式可以反映行為人的主觀目的和可能造成的損害后果，行為的后果則直接表明了行為的危害程度，《個人信息保護法》中也明確規(guī)定了要根據(jù)實際損害或者獲利來確定損害賠償數(shù)額，對此在認定損害的程度和范圍時，必須僅僅依靠行為的方式和后果。

6 結(jié)束語

在人的逐利性的本質(zhì)之下，個人信息的濫用成為了大數(shù)據(jù)時代較為突出的治理問題，對此我國也一直在致力于通過完善相關(guān)立法來對自然人的個人信息進行有效保護。伴隨著我國首部針對個人信息保護的立法——《個人信息保護法》的出臺，對相關(guān)焦點問題已經(jīng)作出了回應并作出了相應的規(guī)定。例如其明確規(guī)定采取過錯推定的規(guī)責原則，這極大提高了個人信息的保護力度，同時促進了大數(shù)據(jù)交易的持續(xù)健康發(fā)展。但是針對侵權(quán)損害的認定，還有待完善。根據(jù)近年來的司法審判結(jié)果，原告無法舉證的司法裁判案例比比皆是，信息主體作為原告敗訴的案件時常發(fā)生。究其原因，在于作為侵權(quán)損害賠償基礎(chǔ)的損害無法進行科學認定，通常表現(xiàn)為原告無法證明自己遭受到了實際損害。因此結(jié)合本文前述，需要對傳統(tǒng)的侵權(quán)損害認定的“確定性”標準進行革新，以當前的實際為出發(fā)點，將風險性損害引入個人信息的侵權(quán)損害認定范疇中，根據(jù)個人信息的類型，以及《民法典》第998條規(guī)定的認定人格權(quán)民事責任的各項要素，結(jié)合風險性損害，以此來確立一套實踐性較強的個人信息侵權(quán)損害認定規(guī)則?！?/p>