個人信息私法救濟中的“損害賠償”困境與應對路徑

趙貝貝

內(nèi)容提要:作為救濟個人信息權益損害的民事責任之一，損害賠償責任在侵權責任承擔方式體系中具有核心地位。然而，實證數(shù)據(jù)和案例分析表明，司法實踐對侵害個人信息損害賠償責任的適用多持嚴苛態(tài)度，其中損害的認定已成為其中的首要障礙。從風險規(guī)制理論的視角來看，將信息風險性損害納入法律上的損害范疇是一種高效的風險分配路徑，更是化解私法保護困境的有效出路。此外，為確保信息侵權損害賠償責任的落實，應憑借“差額說”將信息風險性損害具體化為附帶財產(chǎn)損失和焦慮引起的精神損害等樣態(tài)；適當緩和精神損害的嚴重程度要求；明確財產(chǎn)損失、精神損害、懲罰性賠償?shù)馁r償數(shù)額之計算規(guī)則，以更好地發(fā)揮損害賠償填補損失的功能。

一、問題的提出

我國公法對個人信息權益保護的立法回應雖早于私法，但因刑事責任或行政責任的著眼點在于向國家承擔責任，對私權利的救濟仍需仰賴具有財產(chǎn)性質(zhì)的民事責任。正因如此，《個人信息保護法》第69條第1款規(guī)定：“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍！边@使得損害賠償成為信息侵權民事責任的“代名詞”。但在個人信息侵權領域，單純侵害個人信息極少伴隨著信息主體財產(chǎn)、身體實際受損等直接物質(zhì)性損害，通常帶來的是風險或焦慮不安等非物質(zhì)性損害。對此，信息主體主張的損害類型較為多元：一是實際發(fā)生了詐騙等侵權行為并造成現(xiàn)實經(jīng)濟或精神損害；二是個人信息的孤立經(jīng)濟價值減損；三是個人信息泄露帶來的未來損害風險及內(nèi)心焦慮不安；四是因信息侵權行為而增加的預防風險費、訴訟費、交通費等附帶財產(chǎn)支出。然而，由于外部風險或內(nèi)心焦慮等損害難以被傳統(tǒng)侵權法損害概念所接納，法院常以信息主體無法證明其已遭受實質(zhì)性損害或無法律依據(jù)為由否定第三、四種情形下的損害。在個人信息被過度收集、濫用等侵權行為不斷見諸報端、而人的行為風險又無法根除的現(xiàn)代社會，為使處于風險中心的信息主體獲得司法的有效救濟，我們必須反思：信息主體可主張的損害是否應當包括外部風險或內(nèi)心焦慮；若包括，需滿足的條件要求是什么以及如何憑借“差額說”將風險性損害予以具體化；在信息損害確定后，又如何使事實上的損害真正轉變?yōu)榭色@合理賠償數(shù)額的法律上的損害。上述問題正是社會生活高度信息化帶來的挑戰(zhàn)，而及時應對這些挑戰(zhàn)對積累裁判經(jīng)驗和消除實務分歧不無益處。

二、實務視角下的個人信息損害賠償責任

損害賠償是侵權法的核心功能,《民法典》侵權責任編將原《侵權責任法》第二章“責任構成和責任方式”修改為“損害賠償”,進一步明確了以損害賠償為中心的侵權責任承擔方式體系。(1)參見王利明：《我國〈民法典〉侵權責任編損害賠償制度的亮點——以損害賠償為中心的侵權責任形式》，載《政法論叢》2021年第5期。為系統(tǒng)展現(xiàn)個人信息保護的損害賠償責任現(xiàn)狀，本部分以《民法典》施行后的個人信息保護糾紛案件作為分析樣本，又慮及規(guī)范層面隱私權與個人信息權益在適用規(guī)則與案由上存在交叉之現(xiàn)實，筆者分別以“個人信息保護糾紛”“隱私權、個人信息保護糾紛”為案由在“聚法案例網(wǎng)”中做民事案件的檢索，共獲得裁判文書359份(截至2022年2月8日)。在排除撤訴、重復等無效樣本的基礎上，可將有效個人信息保護糾紛裁判文書進一步限縮為176份，圍繞主要民事責任方式及審理程序而展開的實證統(tǒng)計結果如表1、表2：

表1 主要民事責任方式

如表1所示，信息主體尋求法律救濟時，其所主張的停止侵害、賠禮道歉等非賠償性民事責任訴求一般可通過訴訟程序實現(xiàn)，但對于財產(chǎn)損失賠償和精神損害賠償而言，司法實踐多持嚴苛態(tài)度。其中法院對精神損害賠償?shù)牟门兄С致蕛H為26.41%，呈現(xiàn)出信息主體對損害賠償?shù)募毙枧c人民法院的微量供給之間的緊張關系。如表2所示，損害賠償責任不僅成為一審和二審爭論的問題，連再審率都達到了4.79%。這在一定程度上說明實務對個人信息損害賠償責任的認定爭議較大，進一步說明以個案為切入點立體剖析賠償性民事責任之價值。

表2 審理程序

微觀視之，司法實務中的個人信息損害賠償責任主要有以下幾方面的問題需要解決：

(一)信息泄露等侵權行為本身是否造成財產(chǎn)損失認定不一

個人信息受侵害時可能會導致或促成下游侵害的發(fā)生，并產(chǎn)生相應的財產(chǎn)損失，如不法分子利用被泄露的個人信息實施金融詐騙、偽造證件等行為，(2)參見商希雪：《侵害公民個人信息民事歸責路徑的類型化分析——以信息安全與信息權利的“二分法”規(guī)范體系為視角》，載《法學論壇》2021年第4期。當引發(fā)明顯財產(chǎn)性損失時，信息主體主張財產(chǎn)損失賠償自不待言。問題在于，若下游侵害未現(xiàn)實發(fā)生，信息泄露或濫用等侵權行為本身是否造成財產(chǎn)損失呢？侵權法以填補損害為主要目的，若無損害則無填補之必要，(3)參見王澤鑒：《侵權行為》，北京大學出版社2009年版，第175-176頁。個人信息權益侵權領域也莫能外。實務中，針對信息被侵害而未造成現(xiàn)實的人身或財產(chǎn)損失時，信息主體主張的財產(chǎn)損失類型通常有兩類，即個人信息自身經(jīng)濟價值減損和財產(chǎn)權益未來被侵害的風險。

就個人信息自身的經(jīng)濟價值而言，其以企業(yè)數(shù)據(jù)為表征后無疑蘊含經(jīng)濟利益，部分法院也對此予以了認可。(4)參見廣東省深圳市中級人民法院(2019)粵03民終字第20512號民事判決書。但孤立個人數(shù)據(jù)的經(jīng)濟價值并不高，據(jù)相關計算，單個普通人貢獻的數(shù)據(jù)價值為0.007美元，而經(jīng)常出差的富人價值為1.78美元。(5)參見申衛(wèi)星：《論數(shù)據(jù)用益權》，載《中國社會科學》2020年第11期。在“俞某訴北京樂某達康科技有限公司等網(wǎng)絡侵權責任糾紛案”(6)參見北京市海淀區(qū)人民法院(2018)京0108民初字第13661號民事判決書。中，當事人也僅是根據(jù)個人信息的經(jīng)濟價值象征意義的主張1元或2元賠償。因個人信息侵權呈現(xiàn)出損害輕微的特點，實務中也并無多少人花費一審、二審甚至再審的高額訴訟成本去追求幾元賠償，法院也常忽視個人信息本身的經(jīng)濟價值。事實上，個人信息的非法交易有著龐大的買家需求，信息泄露的源頭行為容易成為其他網(wǎng)絡犯罪的“抓手”，因此，人們對于信息泄露等侵權行為的恐懼不在于個人信息自身的價值，而是擔憂下游侵害發(fā)生的可能性，亦即侵害風險增加或某種機會喪失等。誠然，相對于財產(chǎn)損失或人身傷害易于評估、量化而言，風險多少顯得不那么真實。也正是風險與損害確定性標準之間的鴻溝，使得風險能否被損害概念所容并具有賠償性面臨著實踐中的挑戰(zhàn)。在“孫國燕與被告移動濱州分公司、山東移動公司隱私權、個人信息保護糾紛案”(7)參見山東省濱州市濱城區(qū)人民法院(2021)魯1602民初字第83號民事判決書。中，法院認為被告的電話推銷行為直接侵犯了信息主體的知情權與拒絕處理權等信息權利，但對信息主體以未來損害風險為由所主張的財產(chǎn)損失賠償請求未予支持。而在“孫某某訴沈陽某某家居有限公司隱私權糾紛案”(8)參見沈陽市大東區(qū)人民法院(2020)遼0104民初字第6814號民事判決書。中，法院雖然認為被告將個人信息發(fā)送到微信群中的侵權行為未造成現(xiàn)實財產(chǎn)損失，但仍認可了信息泄露行為本身造成了財產(chǎn)損失而酌定賠償800元。在個人信息侵權領域，不乏因信息受到侵害而積極維權的當事人，而司法實踐對未來風險是否屬于侵權損害問題并未形成統(tǒng)一的認識，這無疑將對個人信息的私法保護實踐產(chǎn)生消極影響。

(二)附帶財產(chǎn)損失是否屬于“合理費用”存在理解分歧

發(fā)生個人信息侵權行為后，信息主體在個人信息本身損害之外，還存在因利用國家審判制度以實現(xiàn)救濟而產(chǎn)生的一些無法避免的律師費、打印費、誤工費、交通費等維權成本，以及為避免身份盜用或欺詐風險升高而采取的預防風險支出，上述費用可被統(tǒng)稱為附帶財產(chǎn)損失，那么信息主體能夠以此費用支出訴請賠償嗎？針對侵權損害賠償范圍的劃定，我國《民法典》采納了合理性標準，(9)參見王磊：《侵權損害賠償范圍的確定機制》，載《法學》2021年第4期。在第1179條和第1181條第2款列舉了交通費、誤工費等法定賠償項目，并以“合理費用”作為判斷其他損害項目是否屬于“等”范圍之內(nèi)的標準?！蹲罡呷嗣穹ㄔ宏P于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》(以下簡稱《網(wǎng)絡侵權司法解釋》)第12條第1款也明確將被侵權人為制止侵權行為所支付的調(diào)查費用以及律師費用視為合理費用。由此可見，預防風險支出、部分維權成本等附帶財產(chǎn)損失并不屬于現(xiàn)行規(guī)范明確列舉的法定賠償項目，那么，是否可以歸入具有經(jīng)濟賠償性的“合理費用”范圍呢？對此，司法實踐中也存在不同的認識。在“戴森、李玉梅與敖馨月隱私權糾紛案”(10)參見四川省攀枝花市仁和區(qū)人民法院(2021)川0411民初字第717號民事判決書。中法院認為，原告為維護合法權益委托其丈夫出庭參加訴訟，必然會產(chǎn)生誤工損失，因此對其主張的誤工費(法定賠償項目)予以支持。而在“黃茂安與中國移動宜黃縣分公司、中國移動撫州分公司等個人信息保護糾紛案”(11)參見江西省宜黃縣人民法院(2021)贛1026民初字第422號民事判決書。中，對原告主張的打印費、交通費、咨詢律師費，法院均以沒有法律依據(jù)為由不予支持。就該案而言，法官在未對交通費、律師費等法定明確賠償項目予以支持的情況下，反而對并非法定明確賠償項目的鑒定費予以支持，令人費解。在司法實踐中，諸如此類的問題并不在少數(shù)，且因為孤立個人信息本身的經(jīng)濟價值微小，受害人主張財產(chǎn)損失賠償?shù)闹饕罁?jù)又通常是附帶財產(chǎn)損失，所以，明確附帶財產(chǎn)損失的性質(zhì)以遏制脫離合理性的裁判分歧現(xiàn)象，是個人信息侵權裁判中無法繞開的話題。

(三)精神損害賠償認定艱難

個人信息損害通常具有無形性，法院常以信息主體無法證明其已遭受實質(zhì)損害為由，不支持其財產(chǎn)損失賠償主張，這幾乎挫敗了所有基于未來侵害風險提出的財產(chǎn)損失賠償請求，信息主體對信息侵權損害的救濟也轉而寄希望于被納入精神損害賠償。從個人信息的類型視之，私密信息具有隱私權與個人信息的雙重特點。當個人私密信息因被泄露而直接或間接導致明顯侵犯隱私權的侵害時，信息主體常通過隱私權保護邏輯主張精神損害賠償。但在個人信息侵權案件中，精神損害賠償?shù)闹С致蕛H為26.41%，而焦慮不安難以被認定為精神損害的子類型，是個人信息精神損害賠償認定艱難的原因之一。由于個人信息具有數(shù)據(jù)屬性，在個人信息被惡意電子化存儲后，不法分子可能會永久獲得個人信息數(shù)據(jù)，受害者因擔憂未來被侵害也可能一直處于焦慮不安的精神狀態(tài)中，(12)See Justin Dion & Nicholas M.Smith,Consumer Protection—Exploring Private Causes of Action for Victims of Data Breaches,41 Western New England Law Review 253,260(2019).此種焦慮不安能否被解釋為精神損害的子類型呢？與眾多裁判文書否定未來風險性焦慮具有損害賠償性相反，在“劉云超與被告北京順豐速運有限公司，第三人嚴顏個人信息保護糾紛案”(13)參見北京市順義區(qū)人民法院(2020)京0113民初字第16062號民事判決書。中，法院不僅支持了原告的賠禮道歉請求，還將原告因個人信息失控產(chǎn)生的可能被用于違法事宜的焦慮不安情緒認定為損害，并部分支持了其主張的精神損害撫慰金。盡管在該案中法院認可了內(nèi)心焦慮成立損害，但總體而言，法院在審判實踐中對內(nèi)心焦慮的認定持謹慎態(tài)度。

此外，即使此類內(nèi)心焦慮能納入精神損害的范疇，其也受《民法典》第1183條第1款規(guī)定的“嚴重”要件限制。實踐中，法院在大量案件中以損害未達到嚴重程度為由，拒絕支持信息主體主張的精神損害訴求。例如，在“蔡小燕與趙延安隱私權、個人信息保護糾紛案”(14)參見湖南省益陽市赫山區(qū)人民法院(2021)湘0903民初字第1506號民事判決書。中，被告未經(jīng)原告同意將原告及其兩子的戶籍信息張貼在公開場合，法院支持了原告公開賠禮道歉的請求，但以精神損害未構成嚴重為由駁回了原告主張僅1元的精神損害賠償請求。甚至在部分信息主體因個人信息泄露而導致被原公司解雇或遭遇詐騙等行為時，法院仍然認為其精神痛苦不夠嚴重。(15)參見北京市第三中級人民法院(2020)京03民終字第2049號民事判決書；北京互聯(lián)網(wǎng)法院(2018)京0491民初字第1905號民事判決書。由此可見，法院在審判實踐中是普遍默認賠禮道歉責任輕于精神損害賠償?shù)?，即使該精神損害賠償額為1元也傾向于作出賠禮道歉等非賠償性民事責任，信息主體若想獲得精神損害賠償絕非易事。

三、對“損害”的界定應與風險規(guī)制理論相契合

從以上個人信息侵權案例反映的情況來看，審判實務中的問題主要圍繞損害類型展開。按照損害賠償?shù)幕驹?，受害人主張損害賠償責任時需要證明自身遭受了法律上可補救的損害，(16)參見王葉剛：《論侵害人格權益財產(chǎn)損失賠償中的法院酌定》，載《法學家》2021年第3期。而信息風險性損害能否被納入法律上的損害范疇，已成為信息主體尋求私法救濟的阻礙。《民法典》第1165條第1款作為侵權責任的一般條款，僅提及“損害”一詞而未否定風險成立損害的可能性，因此，本部分將從風險規(guī)制視角出發(fā)，探討信息風險構成損害的正當性。

(一)風險規(guī)制路徑：風險控制和風險分配

自20世紀伊始，伴隨科技的多次革命性飛躍，愈益頻繁爆發(fā)的風險致害造成的大規(guī)模損害引發(fā)人們對工業(yè)社會法律思維模式的批判，在此背景下，德國思想家烏爾里?！へ惪耸壮帮L險社會”理論。風險社會中的“風險”是與自然風險(如各種自然災害)相對應的風險，其內(nèi)在于科學技術，“可被定義為以系統(tǒng)的方式應對由現(xiàn)代化自身引發(fā)的危險和不安”(17)〔德〕烏爾里?！へ惪耍骸讹L險社會：新的現(xiàn)代化之路》，張文杰、何博聞譯，譯林出版社2018年版，第7頁。。隨著科學技術的廣泛應用，人類面對和遭受的風險數(shù)量和級別大大提高。就風險分布而言，盡管有權勢和財富的社會階級也不能逃脫風險的危害，但若不通過法律、政策對風險進行控制或分配，那么將形成風險與財富呈反比分配的不公狀態(tài)。(18)參見何國強：《風險社會、風險分配與侵權責任法的變革》，載《廣東社會科學》2018年第3期?；诖耍瑖业娜蝿辙D向“以未來為目標的對科技發(fā)展可能給社會造成的危險進行預防”(19)〔德〕烏爾里?！ぐ退固兀骸兜聡姓ㄗx本》，于安等譯，高等教育出版社2006年版，第53頁。，即如何規(guī)制風險成為現(xiàn)代國家的一項重要任務。根據(jù)公共性程度可將風險分為公共風險和個體風險兩類，(20)參見侯東德、周莉欣：《風險理論視角下智能投顧投資者的保護路徑》，載《華東政法大學學報》2021年第4期。兩類風險的特點決定了規(guī)制方式的差異。個體風險是指“那些分散制造的，地方化的，可受個人控制或者是來自本體的風險”(21)Peter Huber，Safety and The Second Best:The Hazards of Risk Management in the Courts，85 Columbia Law Review 277，278(1985)．，由于該風險的主體關系單一且損失相對固定，法律能夠做到通過個案判斷對個體風險進行分配與化解。因此，規(guī)制個體風險的路徑是風險分配，重心在于對被害人的風險損害予以賠償。而公共風險其實是個體風險擴散的結果，具有廣泛的擴散性、蔓延性，顯然難以簡單依靠傳統(tǒng)的私人自治或市場機制來防控。相較于個體風險而言，在公共風險的規(guī)制上，應注重從整體上控制風險的蔓延和擴張，即通常采取以追求秩序為價值取向的風險控制路徑。風險控制路徑和風險分配路徑之間存在互補性的特點，前者是一種事前的規(guī)制思維，后者是一種事后的規(guī)制思維。鑒于此，在將風險作為規(guī)制目標時，常規(guī)的風險規(guī)制做法是并行適用上述兩種路徑，進而發(fā)揮出兩種路徑融合規(guī)制風險的優(yōu)勢。

(二)引入風險分配路徑的方式：認可信息風險性損害

在大數(shù)據(jù)背景下，人們對數(shù)據(jù)、信息的依賴導致風險不可避免地裹挾而至，信息流轉共享本身即是一種典型的社會風險活動，這可從《個人信息保護法》多次使用“風險”概念中得到證實。因此，法律對個人信息的規(guī)范面臨著如何有效平衡信息安全保障與信息流轉共享之間的關系，即在最大程度地滿足信息處理者對信息需求的情況下，通過設置合理的風險控制或者風險分配路徑，避免信息主體在信息處理活動中承受不合理的風險。

個人信息具有典型的復合法益性質(zhì)，信息之上不僅匯集了各方主體不同類型和性質(zhì)的利益訴求，各類風險也相應伴生于各方主體的活動之中。就公共風險而言，我國現(xiàn)行規(guī)范規(guī)定的風險控制路徑較為多元，不僅通過《刑法》《治安管理處罰法》等公法來達到風險控制的效果，更是在《個人信息保護法》中明確規(guī)定了國家網(wǎng)信部門承擔的監(jiān)督管理義務，個人信息處理者承擔的風險評估、告知同意等義務，來應對個人信息領域的公共風險。但受社會認知的限制，在采取風險控制措施的情況下仍存在剩余風險的可能，這就涉及風險分配的問題。

鑒于“從危險中獲取經(jīng)濟利益者也經(jīng)常被視為具有制止危險義務的人”(22)〔德〕克雷斯蒂安·馮·巴爾：《歐洲比較侵權行為法》(下冊)，張新寶譯，法律出版社2001年版，第271頁。，剩余風險理應由作為信息風險之源與主要獲益者的信息處理者承擔。按照法經(jīng)濟學理論，“純粹的風險分配與損害分配是重合的”(23)前引〔18〕,何國強文，第233頁。，亦即在剩余風險轉化為現(xiàn)實的詐騙、身份竊取等損害之前，信息處理者所承擔的風險在資本邏輯中可通過賠償?shù)姆绞竭M行轉移。然而，信息風險性損害與傳統(tǒng)侵權損害概念的抵牾阻斷了風險性損害的轉移，這使得信息主體以私法手段特別是侵權責任手段尋求損害賠償?shù)恼w效果不盡人意。歸結而言，信息風險分配路徑的缺位導致司法實務中頻現(xiàn)信息損害認定難的問題，因此，在風險控制的基礎上引入風險分配路徑成為必要，而將滿足特定條件的信息風險性損害視為法律上承認的損害，無疑是一種高效的風險分配路徑。

(三)認可信息風險性損害的正當性：符合風險分配正義

風險分配實質(zhì)上是“風險成本、風險責任、風險損失在主體間的承擔”(24)徐鈍：《社會風險分配失衡的社會資本矯正——以法理型社會資本培育為中心》，載《學術論壇》2013年第7期，第70頁。，由于風險具有不利益，為確保數(shù)字經(jīng)濟的健康發(fā)展，風險分配必須把實現(xiàn)正義作為最重要的目標追求。在個人信息保護的問題上，認可信息風險性損害不僅阻斷了不公平分配風險現(xiàn)象的擴展，又能包容性地促進新興信息產(chǎn)業(yè)的發(fā)展。具體而言：其一，認可信息風險性損害意味著讓真正制造風險且獲取收益的主體承擔風險。個人信息侵權損害極少伴隨著信息主體財產(chǎn)、人身受損等直接物質(zhì)性損害，通常帶來的是外部風險或焦慮不安等非物質(zhì)性損害，該類損害具有不確定性、無限性和難以計量等特點。由于風險性損害與侵權法框架下的多數(shù)損害特征以及人們對損害的一般認識存在差異，法院常以損害不存在為由駁回受害人的損害賠償請求，這等于縱容了信息處理者肆無忌憚地使用信息，并將風險轉嫁給無辜且缺乏預防能力的信息主體。認可信息風險成立損害，并將損害分配給風險預防能力較高的信息處理者，客觀上遏制了風險分配的不公現(xiàn)象，有助于保障處于弱勢地位的信息主體的權益。其二，認可信息風險性損害具有預防風險的功能，有利于保障社會整體利益。風險分配正義以實現(xiàn)多數(shù)人的合法利益為目的，即通過合理的制度安排使風險對公眾的總體損害降至最低。(25)參見張曬：《風險分配何以公正？——基于新冠肺炎疫情的哲學審思》，載《北京理工大學學報(社會科學版)》2020年第3期。相較于個人信息主體，信息處理者掌握更多資源和技術，在風險預防方面處于能力更強的位置，可以通過采取提高產(chǎn)品質(zhì)量或采購風險防控設備等方式分散風險。而認可信息風險性損害相當于一種事后的懲戒機制，能夠倒逼個人信息處理者積極采取上述措施，從而達到預防信息風險的目的。

事實上，司法實踐中，風險性損害在環(huán)境污染、醫(yī)療損害賠償、毒物侵害等領域已經(jīng)得到認可與適用。在比較法上，歐盟立法也采用了抽象的損害概念，信息主體因數(shù)據(jù)泄露而導致身份盜竊或欺詐、聲譽受損等非物質(zhì)性損害，都有權要求信息處理者承擔損害賠償責任，(26)參見解正山：《數(shù)據(jù)泄露損害問題研究》,載《清華法學》2020年第4期?！兜聡?lián)邦數(shù)據(jù)保護法》第83條第2款與《印度個人數(shù)據(jù)保護法案》第3條第20項同樣也認可了個人信息風險性損害。

四、以信息損害為中心續(xù)造損害賠償規(guī)則

損害與賠償如影隨形，是開啟損害賠償?shù)摹拌€匙”。鑒于個人信息風險性損害的特點及既有損害賠償規(guī)范的不足，為使事實上的信息損害真正轉變?yōu)榭色@合理賠償?shù)姆缮系膿p害，仍需回應信息風險性損害的具體樣態(tài)、精神損害賠償?shù)臈l件以及損害賠償數(shù)額的計算規(guī)則等問題。

(一)明確信息風險性損害的樣態(tài)和識別因素

1.風險性損害的具體樣態(tài)

損害是權利或利益被侵害的后果，我國現(xiàn)有法律規(guī)范并未就損害這一概念進行正面界定。在損害賠償法的歷史上，“差額說”一直占據(jù)著重要地位，(27)參見徐建剛：《〈民法典〉背景下?lián)p害概念淵流論》，載《財經(jīng)法學》2021年第2期。認為對損害的界定起決定性作用的并非具體法益遭受的侵害，而是受害人在侵權行為發(fā)生后實際享有的利益狀態(tài)(減數(shù))與若侵權行為未發(fā)生時的假設利益狀態(tài)(被減數(shù))之差額。因此，在判斷信息風險性損害的樣態(tài)時，可憑借“差額說”將信息風險性損害具體化為信息主體遭受的各種損害。

(1)外部風險性損害：附帶財產(chǎn)損失

個人信息具有“可識別性”，且基因信息、生物識別信息等敏感信息又是不可更改和刪除的，一旦暴露，將給信息主體帶來身份被竊取或欺詐的風險。而個人信息在網(wǎng)絡空間中又具有傳播的即時性和復刻的便利性等特征，這使得信息主體面臨未來遭受損害的風險升高。為避免未來損害的發(fā)生，信息主體通常會采取預防措施來應對風險，如購買風險監(jiān)控服務、更換手機號等，以及因個人信息侵權行為而增加訴訟費、誤工費等合理訴訟支出，這些實質(zhì)上可被視為信息風險性損害。預防費用、訴訟成本支出等附帶財產(chǎn)損失在性質(zhì)上雖為“自愿的支出”，但這些費用在個人信息被侵權之前是無需支出的，在侵權行為發(fā)生之后則成為必要，且其中有些訴訟成本支出具有風險預防性質(zhì)，實質(zhì)上可被擴大解釋為《網(wǎng)絡侵權司法解釋》第12條第1款規(guī)定中所稱的“被侵權人為制止侵權行為所支付的合理開支”。(28)參見楊立新：《侵害個人信息權益損害賠償?shù)囊?guī)則與適用——〈個人信息保護法〉第69條的關鍵詞釋評》，載《上海政法學院學報》2022年第1期；田野：《風險作為損害：大數(shù)據(jù)時代侵權“損害”概念的革新》，載《政治與法律》2021年第10期。事實上，依《民法典》第995條規(guī)定的消除危險等人格權請求權，信息主體本就可向信息處理者主張消除危險等責任，若受害人已經(jīng)采取相應措施，支出的合理預防費用和具有風險預防性質(zhì)的訴訟成本支出當然構成事實上的損害。外部風險性損害直觀傳達的是一種面向未來的可能性，而將上述附帶財產(chǎn)損失視為外部風險性損害，除了能夠按照合理財產(chǎn)損失的標準對外部風險進行量化外，亦能增強信息主體界定信息損害賠償范圍的可預期性，從而調(diào)動個人采取預防措施的積極性，有助于避免更大損害的發(fā)生。

(2)風險引發(fā)的內(nèi)心焦慮：精神損害

“精神損害是指受害人在人格權或其他權利受到侵害后，而遭受的生理痛苦、精神痛苦以及其他不良情緒?！?29)張新寶：《精神損害賠償制度研究》，法律出版社2012年版，第17頁。循此定義及《民法典》第1183條的規(guī)定可知，精神損害賠償救濟的對象是人格權、身份權和人格利益、身份利益等人身權，基本形態(tài)包括身體疼痛和精神痛苦。盡管《民法典》《個人信息保護法》等規(guī)范將個人信息的保護層級界定為法益而非權利，但因個人信息權益屬于人格利益而可通過精神損害賠償獲得救濟，且其損害形態(tài)往往歸于精神痛苦。實務中，通過隱私權保護邏輯獲得精神損害賠償自無爭議，法律適用的最大瓶頸在于焦慮不安等精神狀態(tài)能否構成精神損害。信息主體因信息泄露而使身份或財產(chǎn)處于風險之中的常態(tài)反應，通常是無法言明的擔憂或焦慮等消極精神狀態(tài)，與確定的身體疼痛和因侵犯隱私權或名譽權引起的精神痛苦相比，并不那么直觀而不易被認可。其實，在個人信息特別是生物識別信息、行蹤信息等敏感信息因泄露而發(fā)生現(xiàn)實損害之前實為一顆“不定時炸彈”，涉及此類信息的侵權行為無疑破壞了個人生活安寧和安全穩(wěn)定預期。由此產(chǎn)生的焦慮隨著時間的流逝，足以造成精神損害。(30)See DJ.Solove，DK Citron，Risk and Anxiety：A Theory of Data Breach Harms，96 Texas Law Review 737，765(2018).此外，在信息侵權領域，因大規(guī)模數(shù)據(jù)泄露而頻繁發(fā)生的受害者遭受財物或其他嚴重財產(chǎn)損失的事件表明，(31)參見湖南省張家界市中級人民法院(2021)湘08刑終字第112號刑事裁定書；云南省楚雄彝族自治州中級人民法院(2021)云23刑終字第229號刑事裁定書。還未遭受現(xiàn)實損害的信息主體對風險的擔憂并非憑空產(chǎn)生的心理壓力，損害后果不言而喻，因此，認可內(nèi)心焦慮屬于精神損害并具有可賠償性無疑是大數(shù)據(jù)時代的大勢所趨。

2.確定風險性損害的參考因素

承認信息風險性損害具有正當性，但風險性損害是否確定發(fā)生應建立在合理可靠的未來風險預測基礎之上。法官對個案中風險性損害的預判取決于未來的信息流通過程，應由法官參考相關因素裁量確定。具體而言，對風險性損害的認定有影響的因素主要包括如下幾項：(1)個人信息的種類。個人信息被侵害后成立風險損害的可能性與信息的性質(zhì)相關，一般而言，私密或敏感信息相較于一般信息更具重要性，故其被侵權后造成的風險更容易成立損害。因此，在我國信息風險性損害的認定普遍艱難的現(xiàn)狀下，基于現(xiàn)行立法在私密或敏感信息的處理上以禁止為原則，以有條件允許為例外的立場之考量，(32)參見《民法典》第1033條，《個人信息保護法》第28條。對個人信息保護采取分而治之的策略極有必要，即私密或敏感信息的暴露本身即視為“現(xiàn)實損害”，對一般個人信息風險需滿足特定條件才予以認可成立損害。(2)信息處理者的主觀目的。在無形的網(wǎng)絡空間中，信息處理者實施侵害行為時的主觀狀態(tài)對損害的判斷至關重要，該主觀狀態(tài)一般可通過間接的方式推知。例如，在黑客攻擊導致的數(shù)據(jù)泄露事件以及因平臺收集數(shù)據(jù)產(chǎn)生的消費操控或歧視等侵權案件中，侵權人惡意獲取或違法使用個人數(shù)據(jù)的主觀故意是非常明顯的，即使未立即利用獲取的信息開展欺詐或歧視等下游侵權行為，違法使用信息是遲早的事，認可該種情形下的風險成立損害具有合理性。(3)信息侵權損害的跡象。風險性損害具有伴隨時間的推移逐漸顯現(xiàn)的特點，若在同一信息泄露活動中已有部分信息主體遭受身份竊取或欺詐，這表明尚未遭受現(xiàn)實侵害的信息主體在未來也有受到類似損害的風險，這可成為法官裁量的重要參考因素。當然，現(xiàn)實中個人信息風險的情形千差萬別，法院裁定參考因素的類型無法一一列舉，司法實踐中還需由法官根據(jù)個案的具體場景綜合判斷。

(二)適當緩和可獲賠償?shù)木駬p害程度要求

精神損害賠償意味著受害人能夠通過金錢來緩解精神痛苦，更為關鍵的是實現(xiàn)了身體與靈魂在法律上的平等對待。(33)參見謝鴻飛：《精神損害賠償?shù)娜齻€關鍵詞》，載《法商研究》2010年第6期。認可信息風險引發(fā)的內(nèi)心焦慮成立精神損害，意味著信息主體可通過內(nèi)心焦慮損害及隱私權損害兩種途徑主張精神損害賠償，而以“嚴重”作為獲取精神損害賠償?shù)臈l件，無疑將造成損害賠償與精神損害之間的邏輯斷裂。從理論視角觀之，“嚴重”要件的基礎主要是侵權法上的“忽略輕微損害”規(guī)則和現(xiàn)代侵權法中的“水閘理論”，兩者都以協(xié)調(diào)權利保護與行動自由為目的。(34)參見李昊：《純經(jīng)濟上損失賠償制度研究》，北京大學出版社2004年版，第53頁。然而，隨著人們對人格尊嚴的逐漸重視，該限制條件的正當性正在受到挑戰(zhàn)。其一，有違精神性人格權高于財產(chǎn)權利的民事權益位階理論。精神層面的權益保護映射出人類文明的發(fā)展程度，從《民法典》人格權編的規(guī)定可推知，“與其他法益，尤其是物質(zhì)性的利益相比，人的生命和人格尊嚴處于更高的位階”(35)〔德〕卡爾·拉倫茨：《法學方法論》(第六版)，黃家鎮(zhèn)譯，商務印書館2020年版，第421頁。，亦即精神性人格權因屬高于財產(chǎn)權利的民事權益理應獲得優(yōu)先保護。(36)參見王利明：《論民事權益位階：以〈民法典〉為中心》，載《中國法學》2022年第1期。但現(xiàn)實是被侵權人主張財產(chǎn)損失賠償并不以“嚴重”為限制條件，而是奉行全部賠償原則(包括輕微損害)，且在人身傷害案件中的精神損害賠償請求通常都會被支持。與之相反，盡管當事人所受的精神痛苦在非物質(zhì)性人身權益的損害中有可能處于唯一地位，立法仍以“嚴重”這一高門檻作為獲得精神損害賠償?shù)那疤釛l件，這不僅使得介于微小與嚴重之間的精神損害無法獲得賠償，更會變相助長侵權人侵權的動力。其二，非以“嚴重”作為限制條件并不會引發(fā)大量精神損害賠償請求如洪水般涌向法院。從實證層面考察，對于真正受到精神痛苦的受害人而言，其堅持訴訟并不以賠償金的數(shù)額為主要目的，而是“有”或者“沒有”獲得賠償金。惡意訴訟主體雖以追求高額損害賠償為目的，但賠償金數(shù)額普遍并不高的現(xiàn)實會使其喪失訴訟的動力，所以無需過度擔憂訴權被濫用。

此外，從比較法視角觀之，《德國民法典》第253條未將“嚴重”作為適用精神損害賠償?shù)姆ǘl件，歐盟《一般數(shù)據(jù)保護條例》第82條第1款與德國《聯(lián)邦數(shù)據(jù)保護法》第83條第2款，也體現(xiàn)了取消精神損害嚴重性要求、降低精神損害賠償門檻的趨勢。(37)參見張建文、時誠：《個人信息的新型侵權形態(tài)及其救濟》，載《法學雜志》2021年第4期。就我國而言,可獲賠償?shù)木駬p害的適用范圍呈逐步擴大的趨勢,如《民法典》肯定了違約精神損害賠償、侵害“具有人身意義的特定物”的精神損害賠償?shù)?凸顯了立法對人格尊嚴的重視。因此，為確保個人信息處理不逾越人格尊嚴底線，降低精神損害賠償?shù)臈l件實屬必要。當然，適當降低精神損害嚴重性的條件并不意味著對精神損害的一概承認，而使信息處理者動輒因顯著輕微的權益損害行為對信息主體賠償精神損害，被侵權人因個人信息侵權而主張精神損害賠償請求時，仍應向法院提供其遭受精神壓力或痛苦的初步證據(jù)。

(三)厘清信息損害賠償數(shù)額的計算規(guī)則

1.損害賠償數(shù)額的計算依據(jù)

損害賠償責任的落實依賴于損害賠償數(shù)額的計算依據(jù)。《個人信息保護法》第69條第2款借鑒了《民法典》第1182條規(guī)定的計算方法，將信息主體“受到的損失”和信息處理者“獲得的利益”在適用順位上合并為同一層次，賦予受害人在損害賠償與返還獲利之間進行選擇的權利以實現(xiàn)保護的最大化，當根據(jù)以上兩種計算方法難以確定賠償數(shù)額時，則由法院“根據(jù)實際情況確定”。當個人信息因權益被侵害而遭受財產(chǎn)損失時，依據(jù)該計算規(guī)則主張損害賠償數(shù)額自不待言，問題在于，《民法典》第1182條規(guī)定的損害賠償性質(zhì)是侵害他人人身權益造成的財產(chǎn)損失而非精神損害，那么，《個人信息保護法》第69條規(guī)定的損害賠償性質(zhì)如何呢？這涉及精神損害賠償數(shù)額的計算依據(jù)。

上已述及，在個人信息侵權領域，風險引發(fā)的內(nèi)心焦慮能夠成立精神損害，這表明《個人信息保護法》第69條第1款中的“損害賠償”應當包括精神損害，而第2款規(guī)定的計算方法又是針對第1款中的損害賠償責任設計的，因此，無論是財產(chǎn)損失還是精神損害，都可以按照第2款的規(guī)定確定賠償數(shù)額。但由于“受到的損失”和“獲得的利益”這兩種計算方法的側重點不同，財產(chǎn)損失和精神損害在具體計算規(guī)則的適用上存在差異。通說認為，“受到的損失”應被解釋為財產(chǎn)損失，不宜擴張至精神損害，(38)參見王利明：《民法》(下冊)，中國人民大學出版社2020年版，第532頁。這意味著“受到的損失”這一計算方法側重救濟的是個人信息權益人受到的財產(chǎn)損失，排除了精神損害賠償責任通過該計算方法得以落實的可能。就“獲得的利益”而言，利益是指個人信息處理者侵害個人信息權益獲得的財產(chǎn)利益，而精神損害賠償責任的最終體現(xiàn)方式是支付精神損害撫慰金，因此，將“獲得的利益”作為落實精神損害賠償責任的計算方法更為妥當，有助于解決精神損害難以量化之難題。所謂“根據(jù)實際情況確定賠償數(shù)額”，其實是指由法院依職權酌定賠償數(shù)額，財產(chǎn)損失和精神損害均是法官酌定的對象。需要注意的是，法官在酌定時的考量基礎除了信息主體“受到的損失”和信息處理者“獲得的利益”外，還需要“根據(jù)侵權人的過錯程度、具體侵權行為和方式、造成的后果和影響等確定”(39)黃薇：《中華人民共和國民法典侵權責任編釋義》，法律出版社2020年版，第57頁。。

2.懲罰性賠償數(shù)額的確定

就個人信息侵權損害賠償責任而言，除部分案件中存在能夠按照合理財產(chǎn)損失的標準進行量化的預防風險支出和維權成本等實際損害外，多數(shù)案件中的信息損害具有個體損失數(shù)額較小的特點。在個人信息侵權行為發(fā)生后，若僅以單個個人信息的實際價值來計算賠償數(shù)額，每筆賠償1元或2元，這樣的結果不僅不能懲治信息處理者利用個人信息非法獲利的行為，也難以調(diào)動權利人維權的積極性，因此，有必要在個人信息侵權損害賠償責任中規(guī)定懲罰性賠償責任。“懲罰性賠償又稱報復性賠償，是指由法院判決作出的賠償數(shù)額超出實際損害數(shù)額，對侵權人具有懲罰功能的損害賠償責任?！?40)楊立新：《〈民法典〉懲罰性賠償規(guī)則的具體適用》，載《荊楚法學》2022年第1期，第65頁。相較于《侵權責任法》，《民法典》將懲罰性賠償?shù)倪m用范圍擴展至知識產(chǎn)權和破壞生態(tài)領域，表明《民法典》注重對惡意侵權行為進行懲罰的態(tài)度。事實上，歐盟《一般數(shù)據(jù)保護條例》第83條已就高額罰款作出了規(guī)定，在英國的司法實踐中，也存在因航空公司泄露乘客信息而被開出1.839億英鎊罰款的案例。(41)參見孫瑩：《大規(guī)模侵害個人信息高額罰款研究》，載《中國法學》2020年第5期。一旦明確應當在個人信息侵權領域設置懲罰性賠償責任，就涉及懲罰性賠償數(shù)額的確定問題。對此，應當從計算基數(shù)和倍數(shù)兩方面著手。計算基數(shù)的一般規(guī)則應當是依照侵權行為造成的實際損失計算，(42)參見前引〔40〕， 楊立新文。根據(jù)《個人信息保護法》第69條第2款的規(guī)定，在個人信息侵權領域，懲罰性賠償?shù)挠嬎慊鶖?shù)應當是信息主體“受到的損失”和信息處理者“獲得的利益”。關于計算倍數(shù)，在已成熟適用懲罰性賠償?shù)闹R產(chǎn)權、消費者權益保護等領域，并未形成統(tǒng)一的標準，但基本處于1～5倍之間，因此，信息侵權懲罰性賠償中的計算倍數(shù)可由法官在1～5倍的范圍內(nèi)自由裁量。

綜上可知，在個人信息侵權行為發(fā)生后，個人信息處理者需要對財產(chǎn)損失、精神損害、懲罰性賠償承擔責任。但由于多數(shù)信息侵權案件中被侵權人受到的損失較微小，按照計算依據(jù)得出的上述三種賠償數(shù)額的總和通常也不能達到懲罰惡意侵權人的目的，因此，實行損害賠償最低賠償標準就十分必要。我國臺灣地區(qū)“個人資料保護法”規(guī)定，每人每事件新臺幣500元以上2萬元以下計算，美國《加州消費者隱私法案》所認定的賠償范圍是100美元至750美元之間。(43)參見劉云：《論個人信息非物質(zhì)性損害的認定規(guī)則》，載《經(jīng)貿(mào)法律評論》2021年第1期。其實，我國《消費者權益保護法》《食品安全法》也早已規(guī)定了損害最低賠償標準，分別是500元和1000元。就侵害個人信息的微額損害而言，因個人信息可被進一步分為普通和敏感兩類，結合現(xiàn)行法在產(chǎn)品、食品領域的微額損害賠償標準的規(guī)定，侵害普通信息時可以按照每人每事件500元，侵害敏感信息時可以按照每人每事件1000元，如此方能確保被侵權人的維權成本和勝訴利益之間的平衡。

五、結 語

在大數(shù)據(jù)時代，被轉化為數(shù)據(jù)的海量個人信息是云計算、區(qū)塊鏈等尖端科技的“燃料”，如何實現(xiàn)個人對自身信息的“脫控”而不“失控”，所受損害得到充分救濟是法律適用最為關注之點。對此，《個人信息保護法》在以往信息保護規(guī)范的基礎上全面規(guī)定了個人信息保護規(guī)則，但因個人信息侵權損害與傳統(tǒng)侵權法上的損害認定標準間的不匹配性，通過私法保護個人信息的司法實踐力有不逮。在風險社會背景下，立法者不應僅將著眼點置于非賠償性民事責任，還應當在潛在損害風險轉化為詐騙等現(xiàn)實損害之前對風險進行分配，即通過損害賠償責任對信息主體承擔的風險損害進行補償。誠然，對風險性損害的認可無疑將對法律適用的穩(wěn)定性造成一定程度的沖擊，因此，筆者又從信息風險性損害的具體樣態(tài)、精神損害賠償?shù)臈l件以及損害賠償數(shù)額的計算依據(jù)等方面進一步完善了信息損害賠償規(guī)則，以期能夠破解個人信息權益保護之司法難題。