從個(gè)體救濟(jì)到公共治理：論侵害個(gè)人信息的司法應(yīng)對(duì)

丁曉東

個(gè)人信息的侵權(quán)救濟(jì)與司法保護(hù)存在眾多難題。曾幾何時(shí)，侵權(quán)法在隱私權(quán)保護(hù)中扮演了毫無(wú)爭(zhēng)議的關(guān)鍵角色。無(wú)論是美國(guó)普通法體系下的隱私保護(hù)，〔1〕隱私法的權(quán)威學(xué)者威廉姆 · 普羅斯所總結(jié)的四類隱私侵權(quán)成為了美國(guó)隱私保護(hù)的共識(shí)，普羅斯同時(shí)是侵權(quán)法的權(quán)威學(xué)者，是《美國(guó)侵權(quán)法重述》（第2版）的報(bào)告人，see William L. Prosser，Privacy，California Law Review Vol.48 （1960）.還是大陸法系以人格權(quán)為基礎(chǔ)的隱私保護(hù)，〔2〕Paul M. Schwartz & Karl-Nikolaus Peifer，Prosser’s Privacy and the German Right of Personality：Are Four Privacy Torts Better than One Unitary Concept?，California Law Review，Vol.98 （2010）.都依賴法院進(jìn)行侵權(quán)法保護(hù)。但到了個(gè)人信息保護(hù)，一系列爭(zhēng)議性問(wèn)題開(kāi)始出現(xiàn)。

其一，如何理解和適用基于個(gè)人信息權(quán)利的訴訟？在我國(guó)《個(gè)人信息保護(hù)法》的立法過(guò)程中，一二審稿并未規(guī)定個(gè)人可以基于知情權(quán)、決定權(quán)、查閱復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、解釋說(shuō)明權(quán)、死者親屬信息權(quán)等權(quán)利而提起個(gè)人信息訴訟。但終稿第50條第2款增加規(guī)定：“個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求的，個(gè)人可以依法向人民法院提起訴訟”，這打開(kāi)了個(gè)體向法院尋求信息權(quán)利救濟(jì)的大門。如何理解這類權(quán)利訴訟的性質(zhì)與訴訟規(guī)則？這類訴訟是否為人格權(quán)的侵權(quán)訴訟，可以適用人格權(quán)禁令，還是一般侵權(quán)訴訟，適用一般過(guò)錯(cuò)原則，抑或因拒絕個(gè)人行使權(quán)利而造成了“損害”，從而應(yīng)當(dāng)適用《個(gè)人信息保護(hù)法》第69條規(guī)定的過(guò)錯(cuò)推定原則？又或者，此類信息權(quán)利訴訟是一種具有公益性質(zhì)的私人訴訟，因此其適用原則應(yīng)更類似向監(jiān)管機(jī)構(gòu)提起的舉報(bào)與申訴？

其二，如何理解和適用造成損害的個(gè)人信息侵權(quán)之訴？我國(guó)《個(gè)人信息保護(hù)法》第69條規(guī)定：“處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”。在個(gè)人信息處理所導(dǎo)致的損害中，這一規(guī)定面臨若干挑戰(zhàn)。首先，如何界定損害？一方面，損害可以做非常寬泛的界定，將違反法定個(gè)人信息權(quán)利與信息處理者義務(wù)的各種行為均視為損害，例如當(dāng)信息處理者沒(méi)有設(shè)置隱私政策，未提供查閱復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)等各項(xiàng)權(quán)利均視為損害；另一方面，損害也可以做狹義界定，僅僅認(rèn)可具體損害，而將各類違規(guī)行為、風(fēng)險(xiǎn)與焦慮排除在侵權(quán)損害之外。不同界定將導(dǎo)致個(gè)人信息侵權(quán)救濟(jì)的范圍不同。其次，如何理解與適用歸責(zé)原則？《個(gè)人信息保護(hù)法》第69條確立了過(guò)錯(cuò)推定原則，但在規(guī)制與侵權(quán)交錯(cuò)的背景下，如何理解過(guò)錯(cuò)仍是一個(gè)難題：信息處理者違法違規(guī)，是否就意味著存在過(guò)錯(cuò)？反之，信息處理者合法合規(guī)，是否等同于不存在過(guò)錯(cuò)，或者可以作為免責(zé)抗辯？再次，由個(gè)人信息引發(fā)的侵權(quán)案件中，常常存在因果關(guān)系復(fù)雜的特征，法律應(yīng)當(dāng)如何確定侵權(quán)與損害之間的關(guān)系？ 最后，如何確定個(gè)人獲得的救濟(jì)與賠償？在人身財(cái)產(chǎn)損失中，個(gè)人的損失額度相對(duì)容易確定，但大量案件給個(gè)人造成的損害都屬于微型侵權(quán)或個(gè)人信息泄漏造成的風(fēng)險(xiǎn)性損害。

這些問(wèn)題環(huán)環(huán)相扣，密切交融，例如不存在明確損害的個(gè)人信息權(quán)利之訴與存在明確損害的個(gè)人信息侵權(quán)之訴的關(guān)系，就與“損害”的界定密切相關(guān)。如果損害做寬泛界定，則二者就可能合二為一；相反，則二者可能應(yīng)適用完全不同的制度。同時(shí)，上述問(wèn)題也與不同國(guó)家和地區(qū)的法律制度密切相關(guān)，例如在美國(guó)背景下，個(gè)人信息侵權(quán)的司法救濟(jì)門檻較高，其立法只賦予了個(gè)人有限的訴權(quán)，同時(shí)法院又進(jìn)一步限縮了個(gè)人的訴權(quán)；歐盟則設(shè)置了獨(dú)立監(jiān)管機(jī)構(gòu)與法院的二元救濟(jì)途徑。我國(guó)在實(shí)體法層面更接近歐盟模式，但在機(jī)構(gòu)設(shè)置上并未仿效歐盟設(shè)立獨(dú)立監(jiān)管機(jī)構(gòu)，反而與美國(guó)的多元救濟(jì)模式有一定相似性。

基于這一主題的重要性與復(fù)雜性，本文對(duì)侵害個(gè)人信息的司法救濟(jì)進(jìn)行整體性思考。首先從比較法的視野分析侵害個(gè)人信息的司法救濟(jì)，借此厘清域外和我國(guó)個(gè)人信息司法救濟(jì)的整體圖景。其后，依次分析不存在明確損害的個(gè)人信息權(quán)利之訴與存在明確損害的個(gè)人信息侵權(quán)之訴。本文認(rèn)為，二者的重心都應(yīng)從個(gè)體補(bǔ)償救濟(jì)轉(zhuǎn)向公共治理。其中，個(gè)人信息權(quán)利具有程序性與工具性特征，個(gè)人信息權(quán)利之訴應(yīng)當(dāng)被視為一種申訴與舉報(bào)，法院應(yīng)當(dāng)在此類訴訟中發(fā)揮獨(dú)立監(jiān)管機(jī)構(gòu)的角色；而個(gè)人信息侵權(quán)之訴的制度目標(biāo)則應(yīng)從個(gè)體損害賠償救濟(jì)轉(zhuǎn)向合理威懾。在兩種訴訟制度下，法院也都應(yīng)該和行政機(jī)關(guān)、檢察機(jī)關(guān)協(xié)調(diào)互動(dòng)。綜合而言，侵害個(gè)人信息的司法救濟(jì)應(yīng)當(dāng)服務(wù)于個(gè)人信息治理的總體目標(biāo)，侵權(quán)法與司法制度都應(yīng)根據(jù)這一目標(biāo)而進(jìn)行制度升級(jí)與功能定位。

一、比較法視野下的個(gè)人信息司法保護(hù)

（一）歐盟

在比較法上，歐盟的個(gè)人信息司法保護(hù)采取了權(quán)利救濟(jì)與侵權(quán)賠償?shù)亩Ｊ?。就?quán)利救濟(jì)而言，《一般數(shù)據(jù)保護(hù)條例》第79條規(guī)定了“針對(duì)控制者或處理者的有效司法救濟(jì)權(quán)”，該條第（1）款規(guī)定：“任何數(shù)據(jù)主體認(rèn)為，由于違反本條例而處理其個(gè)人數(shù)據(jù)，導(dǎo)致其被本條例所賦予的權(quán)利被侵犯，在這些情形下其都有獲取司法救濟(jì)的權(quán)利”。從性質(zhì)上看，這一條款并非傳統(tǒng)侵權(quán)救濟(jì)，而是提供了對(duì)個(gè)人信息被保護(hù)權(quán)這一基本權(quán)利救濟(jì)，具有私人觸發(fā)公共執(zhí)法的特征。〔3〕Margot E. Kaminski，Binary Governance：Lessons from the GDPR’s Approach to Algorithmic Accountability，Southern California Law Review，Vol.92，p.1529 （2019）.

這是因?yàn)?，歐盟將個(gè)人數(shù)據(jù)被保護(hù)權(quán)視為一種源自《歐盟基本權(quán)利憲章》的憲法性權(quán)利，〔4〕《歐盟基本權(quán)利憲章》第 8 條第 1 款規(guī)定：“每個(gè)人都有權(quán)保護(hù)與其有關(guān)的個(gè)人數(shù)據(jù)。”正如《一般數(shù)據(jù)保護(hù)條例》第1條第2款所言：“本條例保護(hù)自然人的基本權(quán)利和自由，特別是其個(gè)人數(shù)據(jù)被保護(hù)的權(quán)利”。在這種個(gè)人信息權(quán)利定位下，數(shù)據(jù)主體向法院提起權(quán)利請(qǐng)求，本質(zhì)上是請(qǐng)求法院對(duì)個(gè)人信息權(quán)利進(jìn)行確認(rèn)與執(zhí)法，而非對(duì)傳統(tǒng)侵權(quán)法意義上的“損害”進(jìn)行賠償。

也正因?yàn)槿绱?，《一般?shù)據(jù)保護(hù)條例》在第79條之前設(shè)置了個(gè)人向監(jiān)管機(jī)構(gòu)提起個(gè)人信息權(quán)利申訴的規(guī)定。第77條規(guī)定：“在不影響任何其他行政或司法救濟(jì)的前提下，每個(gè)數(shù)據(jù)主體都有向監(jiān)管機(jī)構(gòu)進(jìn)行申訴的權(quán)利”。如果個(gè)人信息權(quán)利之訴為傳統(tǒng)侵權(quán)損害之訴，則監(jiān)管機(jī)構(gòu)不應(yīng)具有此類權(quán)力，因?yàn)閭鹘y(tǒng)侵權(quán)損害之訴一般只能為法院救濟(jì)，監(jiān)管機(jī)構(gòu)不應(yīng)對(duì)此類侵權(quán)進(jìn)行救濟(jì)。

此外，也正是因?yàn)閭€(gè)人信息權(quán)利之訴是一種私人執(zhí)法機(jī)制，《一般數(shù)據(jù)保護(hù)條例》引入了“數(shù)據(jù)主體代表制度”，第80條第2款規(guī)定：“不論數(shù)據(jù)主體是否委托”，符合條件的“任何機(jī)構(gòu)、組織或協(xié)會(huì)如果認(rèn)為本條例所規(guī)定的數(shù)據(jù)主體的權(quán)利已經(jīng)因?yàn)樘幚矶艿角址?，都有?quán)在成員國(guó)向第77條規(guī)定的有權(quán)監(jiān)管機(jī)構(gòu)提起申訴，行使第78條和第79條規(guī)定的權(quán)利”。如果個(gè)人信息權(quán)利之訴為傳統(tǒng)侵權(quán)損害之訴，此類申訴或訴訟將無(wú)權(quán)提起。

個(gè)人信息權(quán)利之訴還有若干問(wèn)題需要注意。其一，個(gè)人信息權(quán)利并非絕對(duì)性權(quán)利，而是一種工具性權(quán)利或程序性權(quán)利。正如《一般數(shù)據(jù)保護(hù)條例》“重述”所言：“個(gè)人數(shù)據(jù)保護(hù)權(quán)不是一項(xiàng)絕對(duì)權(quán)利；必須結(jié)合其在社會(huì)中的作用加以考慮，并與其他基本權(quán)利相平衡”。這就意味著監(jiān)管機(jī)構(gòu)或法院在確定個(gè)人信息權(quán)利邊界時(shí)，必須考慮與言論自由、信息自由、商業(yè)自由等多種價(jià)值相平衡?！?〕《一般數(shù)據(jù)保護(hù)條例》“重述”第4條。其二，在個(gè)人信息權(quán)利之訴中，歐盟法院實(shí)際上扮演獨(dú)立監(jiān)管機(jī)構(gòu)的角色，發(fā)揮和歐洲數(shù)據(jù)保護(hù)監(jiān)管局（European Data Protection Supervisor）類似的功能。在此類訴訟中，法院不僅需要理解技術(shù)類專業(yè)知識(shí)，而且其適用的規(guī)則也不同于傳統(tǒng)侵權(quán)訴訟。

就造成損害的侵權(quán)賠償之訴而言，歐盟法院采取了傳統(tǒng)的侵權(quán)法模式。第82條規(guī)定了“獲取賠償?shù)臋?quán)利與責(zé)任”，該條第（1）款規(guī)定：“任何因?yàn)檫`反本條例而受到物質(zhì)或非物質(zhì)性傷害的人都有權(quán)從控制者或數(shù)據(jù)者那里獲得對(duì)損害的賠償”。第（2）款和第（3）款進(jìn)一步規(guī)定：“任何涉及到處理的控制者都應(yīng)當(dāng)對(duì)因?yàn)檫`反本條例的處理而受到的損害承擔(dān)責(zé)任。對(duì)于處理者，當(dāng)其沒(méi)有遵守本條例明確規(guī)定的對(duì)處理者的要求，或者當(dāng)其違反控制者的合法指示時(shí)，其應(yīng)當(dāng)對(duì)處理所造成的損失負(fù)責(zé)”“控制者或處理者如果證明自己對(duì)引起損失的事件沒(méi)有任何責(zé)任，那么其第2段所規(guī)定的責(zé)任可以免除”。

歐盟的侵權(quán)損害之訴也有若干要點(diǎn)值得關(guān)注。其一，其對(duì)損害賠償?shù)慕缍ㄈ匀惠^為狹窄，違法并不等于損害?！兑话銛?shù)據(jù)保護(hù)條例》的“重述”規(guī)定：“損害的概念應(yīng)根據(jù)法院的判例法進(jìn)行廣義解釋”，〔6〕《一般數(shù)據(jù)保護(hù)條例》“重述”第136條。這一規(guī)定曾經(jīng)引起疑惑，是否違反《一般數(shù)據(jù)保護(hù)條例》，即構(gòu)成對(duì)個(gè)人的損害？歐盟委員會(huì)對(duì)此給出了明確否定的回答，要求必須提供額外證明來(lái)證明損害的存在?！?〕GDPR Breach，Compensation Claims，https：//claimsauthority.ie/gdpr-breach-compensation-claims/.在司法實(shí)踐中，歐盟各國(guó)法院也作出判決，對(duì)于沒(méi)有造成損害的違法行為，原告無(wú)法獲得賠償?！?〕See Amtsgericht Diez，07-11-2018，8 C 130/18；Amtsgericht Bochum，11-03-2019，65 C 485/18；Oberslandesgericht Dresden，4 Zivilsenat，Beschluss vom 11-06-2019，Az.：4 U 760/19 and Landgericht Karlsruhe；02-08-2019；8 O 26/19；Rechtbank Overijssel；28-05-2019；AK 18 2047，Rechtbank Amsterdam；02-09-2019；7560515CV EXPL 19-4611，and Rechtbank Noord-Nedeland；15-01-2020；C/18/189406/HAZA 19-6.區(qū)別主要在于對(duì)于非物質(zhì)性損害的解釋，有的歐洲國(guó)家對(duì)損害采取了較為寬泛的解釋，將個(gè)人尊嚴(yán)、自主權(quán)喪失、焦慮和痛苦都視為損害，〔9〕例如英國(guó)的相關(guān)判決，see Google Inc v Vidal-Hall，Hann and Bradshaw ［2015］EWCA Civ 311.而有的國(guó)家則解釋較窄，只承認(rèn)引起精神疾病的損害?！?0〕例如愛(ài)爾蘭的相關(guān)判決，see Kelly v Hennessy ［1995］3 I.R. 253.其二，在歸責(zé)原則方面，《一般數(shù)據(jù)保護(hù)條例》留下了解釋空間與緊張關(guān)系，一方面第82條第（2）款將“違反本條例”作為侵權(quán)的前提；但另一方面第82條第（3）款又引入了證明自己“沒(méi)有任何責(zé)任”的抗辯，這就可能導(dǎo)致合規(guī)與侵權(quán)的緊張：例如當(dāng)信息處理者進(jìn)行了完全合規(guī)的操作，但卻導(dǎo)致了本應(yīng)可預(yù)見(jiàn)的損害，此時(shí)信息處理者是否可以以合規(guī)作為不存在責(zé)任的抗辯？反之，當(dāng)信息處理者存在違規(guī)之處，是否這必然意味著其對(duì)侵權(quán)損害存在責(zé)任？

（二）美國(guó)

美國(guó)對(duì)于個(gè)人信息的司法救濟(jì)較為有限。在已進(jìn)行聯(lián)邦層面?zhèn)€人信息立法的領(lǐng)域和若干已經(jīng)進(jìn)行消費(fèi)者隱私法立法的州，〔11〕截止2022年7月1日，美國(guó)有加州、康涅狄格州、科羅拉多州、弗吉尼亞州、猶他州進(jìn)行了州層面的消費(fèi)者數(shù)據(jù)隱私立法。美國(guó)法院對(duì)個(gè)人信息僅提供侵權(quán)法保護(hù)，但不提供類似歐盟的純粹基于個(gè)人信息權(quán)利的訴訟。在立法上，美國(guó)法對(duì)于訴訟權(quán)利的規(guī)定就較為謹(jǐn)慎，從聯(lián)邦層面的《健康保險(xiǎn)可攜性和責(zé)任法案》（HIPPA）《兒童在線隱私法案》（COPPA）到州層面的《加州消費(fèi)者隱私法案》（CCPA），美國(guó)的個(gè)人信息保護(hù)法并不允許個(gè)人針對(duì)信息權(quán)利向法院尋求救濟(jì)，救濟(jì)的權(quán)利主要被賦予了監(jiān)管機(jī)構(gòu)或州檢察長(zhǎng)?！?2〕See Anupam Chander，Margot E. Kaminski & William McGeveran，Catalyzing Privacy Law，Minnesota Law Review，Vol.105（2021）.只有在涉及個(gè)人信息泄漏等情形下，個(gè)人才可以像法院提起訴訟，尋求司法救濟(jì)?！?3〕美國(guó)所有的州都制定了個(gè)人信息泄漏的法律，并且賦予了個(gè)體訴權(quán)，see Security Breach Notification Laws，Nat'l Conference of State Legislatures，https：//www.ncsl.org/research/telecommunications-andinformation-technology/security-breach-notification-laws.aspx.

使得司法救濟(jì)更為困難的是，即使某些個(gè)人信息立法賦予了個(gè)人向法院尋求救濟(jì)的權(quán)利，法院也不予支持。美國(guó)法院從《美國(guó)憲法》第3條出發(fā)，認(rèn)為個(gè)人不能僅僅依據(jù)法定權(quán)利而提起訴訟，法院只能受理“案例”（cases）或“爭(zhēng)議”（controversies），且必須以損害作為前提?！?4〕See Lujan v. Defenders of Wildlife，504 U.S. 555（1992）；Antonin Scalia，The Doctrine of Standing as an Essential Element of the Separation of Powers，Suffolk University Law Review，Vol.17，p. 890-91 （1983）.在2013年的Clapper v. Amnesty International案中，美國(guó)最高法院認(rèn)為，針對(duì)美國(guó)國(guó)家安全局的大規(guī)模監(jiān)視，原告僅推測(cè)可能存在監(jiān)視，未能證明存在“實(shí)質(zhì)性風(fēng)險(xiǎn)（substantial risk）”的傷害，因此不具有訴權(quán)。〔15〕Clapper v. Amnesty International，133 S. Ct. 1138（2013）；更早之前的案例，see Doe v. Chao，540 U.S.614（2004）；Federal Aviation Administration v. Cooper，132 S. Ct. 1441（2012）.在2016年的Spokeo，Inc. v. Robins案中，一家提供個(gè)人信用與背景調(diào)查的網(wǎng)站Spokeo收集了當(dāng)事人Robins的信息，但其信息存在錯(cuò)誤，誤將當(dāng)事人的資料填為富有、已婚以及具有專業(yè)背景的人員，當(dāng)事人依據(jù)美國(guó)的《聯(lián)邦公平信用報(bào)告法案》提起更正請(qǐng)求，但遭到了網(wǎng)站的拒絕。當(dāng)事人于是向法院提起訴訟，認(rèn)為網(wǎng)站的錯(cuò)誤信息損害了其就業(yè)機(jī)會(huì)，使得一般企業(yè)不敢雇傭當(dāng)事人。但在此案中，美國(guó)最高法院認(rèn)為，侵權(quán)法的救濟(jì)要求損害必須是“具體的（concrete）”，“無(wú)形的傷害（intangible harm）”只有在滿足“真實(shí)的損害風(fēng)險(xiǎn)（real risk of harm）”的情形下，才可能得到救濟(jì)，法院據(jù)此將案件發(fā)回下級(jí)法院重審?！?6〕Spokeo，Inc. v. Robins，136 S. Ct. 1540，1549（2016）.其后，在2021年的TransUnion LLC v. Ramirez案中，美國(guó)聯(lián)邦最高法院又再次確認(rèn)，企業(yè)沒(méi)有向消費(fèi)者披露其收集的個(gè)人信息或個(gè)人信息收集存在錯(cuò)誤，并不構(gòu)成對(duì)個(gè)人的“具體傷害”（concrete harm）?！?7〕See TransUnion LLC v. Ramirez，141 S. Ct. 2190（2021）.

當(dāng)然，美國(guó)法院仍然允許對(duì)少部分個(gè)人信息違規(guī)行為進(jìn)行侵權(quán)救濟(jì)。其一為造成具體傷害或一定預(yù)期傷害的信息處理行為。這類侵害行為可能是身體或經(jīng)濟(jì)傷害，例如信息處理者將個(gè)人信息販賣給犯罪分子，用以傷害個(gè)人或盜取存款，也可能是名譽(yù)傷害、歧視傷害等人格性傷害。其二，對(duì)于可能造成實(shí)質(zhì)性風(fēng)險(xiǎn)的數(shù)據(jù)泄露或數(shù)據(jù)違規(guī)披露等行為，美國(guó)法院也允許提起侵權(quán)之訴。美國(guó)在州層面大都制定了數(shù)據(jù)泄露法，并且允許提起侵權(quán)之訴?！?8〕See Danielle K. Citron，The Privacy Policymaking of State Attorneys General，Notre Dame Law Review，Vol.92，p.747 （2017）.例如《加州消費(fèi)者隱私法案》規(guī)定，企業(yè)違反安全程序，而致使消費(fèi)者的個(gè)人信息受到未經(jīng)授權(quán)的“訪問(wèn)和泄漏、盜竊，或披露的”，消費(fèi)者可以提起民事訴訟?！?9〕《加州民法典》第1798.150節(jié)。上文提到的2021年的Ramirez案，美國(guó)最高法院雖然否定了一部分群體基于個(gè)人信息知情權(quán)與更正權(quán)而提起訴訟的資格，但認(rèn)為未經(jīng)當(dāng)事人同意向第三方提供信息構(gòu)成了具體傷害，因而這部分群體仍然具備訴權(quán)。〔20〕See TransUnion LLC v. Ramirez，141 S. Ct. 2190（2021），at 2200.

美國(guó)的個(gè)人信息司法救濟(jì)也有若干點(diǎn)需要注意。其一，美國(guó)收緊侵權(quán)法司法救濟(jì)的做法受到了很多隱私法學(xué)者的批判。例如在Spokeo案的法庭之友意見(jiàn)中，多位著名的信息隱私法學(xué)者指出，國(guó)會(huì)制定《公平信用法案》明確授予了個(gè)人以訪問(wèn)權(quán)、更正權(quán)等消費(fèi)者權(quán)利，違反這些權(quán)利并“不意味著沒(méi)有傷害”，恰巧相反，這說(shuō)明“國(guó)會(huì)認(rèn)識(shí)到記錄這種傷害的難度”，因此以一種法定損害和賠償?shù)姆绞皆诔晌姆ɡ镞M(jìn)行規(guī)定?！?1〕Julia Cohen et al.，Information Privacy Law Scholars' Brief in Spokeo，Inc. v. Robins （September 4，2015），p.12，https：//ssrn.com/abstract=2656482.其二，雖然美國(guó)聯(lián)邦層面的侵權(quán)法救濟(jì)門檻較高，但美國(guó)規(guī)制機(jī)構(gòu)在個(gè)人信息執(zhí)法中扮演了重要角色；特別是聯(lián)邦貿(mào)易委員會(huì)（FTC），在個(gè)人信息保護(hù)中發(fā)揮了關(guān)鍵性作用。美國(guó)的個(gè)人信息保護(hù)整體上采取市場(chǎng)規(guī)制的路徑，聯(lián)邦貿(mào)易委員會(huì)對(duì)“不正當(dāng)與欺詐性貿(mào)易行為”（unfair and deceptive trade practices）進(jìn)行監(jiān)管。此類監(jiān)管的目的在于確保市場(chǎng)秩序的公平競(jìng)爭(zhēng)，并對(duì)個(gè)體進(jìn)行損害救濟(jì)?！?2〕See 15 U.S.C. § 45（a）（1）（2012）.其三，聯(lián)邦貿(mào)易委員會(huì)雖然在性質(zhì)上為規(guī)制機(jī)構(gòu)，但這類規(guī)制機(jī)構(gòu)也具有典型的司法特征，包括聯(lián)邦貿(mào)易委員會(huì)在內(nèi)的很多機(jī)構(gòu)在執(zhí)法時(shí)，實(shí)際上采取了基于案例的執(zhí)法，并且賦予被執(zhí)法者抗辯、和解、訴訟等諸多權(quán)利，而非通過(guò)發(fā)布規(guī)制或命令進(jìn)行執(zhí)法。也因此，美國(guó)聯(lián)邦貿(mào)易委員會(huì)的執(zhí)法有時(shí)也被稱為普通法（common law）保護(hù)?！?3〕See Daniel J. Solove & Woodrow Hartzog，The FTC and the New Common Law of Privacy，Columbia Law Review，Vol.114，p.583 （2014）.

二、邁向治理的個(gè)人信息權(quán)利之訴

在實(shí)體法規(guī)定方面，我國(guó)《個(gè)人信息保護(hù)法》采取了與歐盟《一般數(shù)據(jù)保護(hù)條例》近似的立法模式。二者都將個(gè)人信息權(quán)利的淵源追溯到憲法層面，同時(shí)二者都規(guī)定了知情同意權(quán)、決定權(quán)、查閱復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、解釋說(shuō)明權(quán)等個(gè)人信息權(quán)利。只不過(guò)我國(guó)《個(gè)人信息保護(hù)法》的表述略有區(qū)別，例如我國(guó)采用了“決定權(quán)”“更正補(bǔ)充權(quán)”“轉(zhuǎn)移權(quán)”的表述，這與歐盟中的相關(guān)信息權(quán)利構(gòu)成細(xì)微區(qū)別?！?4〕另一較大區(qū)別是《個(gè)人信息保護(hù)法》引入了死者親屬的信息權(quán)利，歐盟并不存在此類權(quán)利。如果僅從《個(gè)人信息保護(hù)法》看，則我國(guó)的個(gè)人信息權(quán)利訴訟應(yīng)該與歐盟類似，也應(yīng)該是一種公法基本權(quán)利在民事領(lǐng)域的直接適用?！?5〕參見(jiàn)張翔：《個(gè)人信息權(quán)的憲法（學(xué)）證成——基于對(duì)區(qū)分保護(hù)論和支配權(quán)論的反思》，《環(huán)球法律評(píng)論》2022年第1期。

但《民法典》對(duì)于個(gè)人信息權(quán)益的相關(guān)規(guī)定使問(wèn)題較為復(fù)雜。在制定《個(gè)人信息保護(hù)法》之前，《民法典》人格權(quán)編第1035-1039條就規(guī)定，自然人可以向信息處理者查詢復(fù)制、更正、刪除信息。在這一背景下，個(gè)人信息權(quán)利之訴到底是民事權(quán)利之訴，還是公法基本權(quán)利之訴？如果是民事權(quán)利之訴，是否可以說(shuō)，個(gè)人信息權(quán)利是一種人格權(quán)，因此適用人格權(quán)侵權(quán)的一般規(guī)定，甚至可以適用人格權(quán)禁令制度？〔26〕參見(jiàn)程嘯：《民法典編纂視野下的個(gè)人信息保護(hù)》，《中國(guó)法學(xué)》2019年第4期。又或者，當(dāng)個(gè)人依據(jù)《民法典》相關(guān)規(guī)定提起個(gè)人信息權(quán)利訴訟時(shí)為人格權(quán)侵權(quán)之訴，而依據(jù)《個(gè)人信息保護(hù)法》時(shí)為公法基本權(quán)利之訴？〔27〕這一爭(zhēng)論有大量文獻(xiàn)，代表性論述有王利明：《和而不同：隱私權(quán)與個(gè)人信息的規(guī)則界分和適用》，《法學(xué)評(píng)論》2021 年第 2 期；張新寶：《〈民法總則〉個(gè)人信息保護(hù)條文研究》，《中外法學(xué)》2019年第1期；等等。

首先，無(wú)論個(gè)人依據(jù)《民法典》個(gè)人信息條款還是《個(gè)人信息保護(hù)法》提起的訴訟，都應(yīng)當(dāng)被視為同一性質(zhì)的法律行為。如果個(gè)人依據(jù)這兩部法律所進(jìn)行的同一行為性質(zhì)不同，將造成司法適用的混亂與法律體系的沖突。其次，我國(guó)的個(gè)人信息權(quán)利之訴應(yīng)當(dāng)被定位為公私法高度融合的權(quán)利之訴。原因在于，無(wú)論是《民法典》個(gè)人信息條款還是《個(gè)人信息保護(hù)法》，實(shí)際上都以“處理關(guān)系”為核心，都不是傳統(tǒng)意義上針對(duì)國(guó)家的訴訟或針對(duì)平等主體的民事訴訟?！?8〕王錫鋅：《個(gè)人信息國(guó)家保護(hù)義務(wù)及展開(kāi)》，《中國(guó)法學(xué)》2021年第1期?！秱€(gè)人信息保護(hù)法》自不必說(shuō)，其所有規(guī)定都圍繞“處理關(guān)系”展開(kāi)；需要強(qiáng)調(diào)的是，即使是《民法典》個(gè)人信息保護(hù)條款，在其條款里也明確將“處理關(guān)系”作為前提。就此而言，《民法典》中的個(gè)人信息保護(hù)條款，從性質(zhì)上應(yīng)理解為一種融合了公法價(jià)值的新民事權(quán)利。如此，《民法典》中的個(gè)人信息保護(hù)條款將和《個(gè)人信息保護(hù)法》高度協(xié)調(diào)，為個(gè)人信息權(quán)利訴訟提供融貫一致的法律基礎(chǔ)?！?9〕參見(jiàn)丁曉東：《〈個(gè)人信息保護(hù)法〉的比較法重思：中國(guó)道路與解釋原理》，《華東政法大學(xué)學(xué)報(bào)》2022年第2期。

在救濟(jì)方式上，個(gè)人信息權(quán)利之訴也應(yīng)進(jìn)行相應(yīng)設(shè)計(jì)。無(wú)論是依據(jù)《民法典》個(gè)人信息條款還是依據(jù)《個(gè)人信息保護(hù)法》提起訴訟，都應(yīng)將其視為類似像獨(dú)立監(jiān)管機(jī)構(gòu)提起的申訴，而非傳統(tǒng)民事侵權(quán)之訴。傳統(tǒng)民事侵權(quán)之訴要么建立在損害的基礎(chǔ)上，要么建立在財(cái)產(chǎn)權(quán)、人格權(quán)等絕對(duì)性權(quán)利的基礎(chǔ)上，但個(gè)人信息權(quán)利是一種國(guó)家賦予的積極性權(quán)利，〔30〕參見(jiàn)王錫鋅：《個(gè)人信息權(quán)益的三層構(gòu)造及保護(hù)機(jī)制》，《現(xiàn)代法學(xué)》2021年第5期。在個(gè)人信息權(quán)利之訴中，個(gè)體在民事上所受的損害，如果剔除隱私權(quán)、名譽(yù)權(quán)等傳統(tǒng)人格權(quán)，并沒(méi)有其他明顯損害。例如企業(yè)不提供隱私政策，不支持個(gè)體的訪問(wèn)權(quán)、更正權(quán)、刪除權(quán)等權(quán)利請(qǐng)求，很難說(shuō)個(gè)體就受到了明確“損害”，或者個(gè)體人格權(quán)益受到了重大侵害?！?1〕張新寶教授由此區(qū)分了“本權(quán)權(quán)益”與保護(hù)“本權(quán)權(quán)益”的權(quán)利，參見(jiàn)張新寶：《論個(gè)人信息權(quán)益的構(gòu)造》，《中外法學(xué)》2021年第5期。只有當(dāng)個(gè)人信息泄漏，或者信息處理者利用個(gè)人信息實(shí)施了其他侵犯?jìng)€(gè)人權(quán)益的行為，此時(shí)“損害”才較為明顯。

值得注意的是西方學(xué)界對(duì)個(gè)人信息訴訟中“損害”的討論。正如上文所述，很多西方學(xué)者曾經(jīng)對(duì)“損害”作擴(kuò)大解釋，例如西特魯恩（Danielle Citron）和索洛夫（Daniel Solove）兩位學(xué)者在最近發(fā)表的《隱私傷害》一文中，二位學(xué)者一口氣列舉侵害個(gè)人信息可能造成的十四種傷害：身體傷害、經(jīng)濟(jì)傷害、名譽(yù)損害、情感傷害、關(guān)系傷害、寒蟬效應(yīng)傷害、歧視傷害、期望挫敗傷害、控制傷害、數(shù)據(jù)質(zhì)量傷害、知情選擇傷害、脆弱性傷害、干擾傷害、自主性傷害。〔32〕See Danielle Keats Citron & Daniel J. Solove，Privacy Harm，2022，https：//ssrn.com/abstract=3782222，p.18-41；Danielle Keats Citron，Risk and Anxiety：A Theory of Data-Breach Harms，Texas Law Review，Vol. 96，p.737，743-44，756-73 （2018）.但這類研究主要針對(duì)美國(guó)背景下個(gè)人信息救濟(jì)不足的問(wèn)題。這些學(xué)者對(duì)損害做擴(kuò)大化論述，其原因是如果對(duì)損害做狹窄界定，那么美國(guó)司法將在很大程度上缺席個(gè)人信息保護(hù)。例如克雷默（Seth Kreimer）認(rèn)為，訴訟資格的限定將導(dǎo)致“在網(wǎng)絡(luò)化、系統(tǒng)化、基于信息的傷害時(shí)代，司法系統(tǒng)將變得越來(lái)越無(wú)關(guān)緊要”?！?3〕Seth F. Kreimer，Spooky Action at a Distance：Intangible Injury in Fact in the Information Age，University of Pennsylvania Journal of Constitutional Law，Vol.18，p.745 （2016）.科恩（Julie Cohen）教授則更是從政治經(jīng)濟(jì)學(xué)的角度，認(rèn)定法院不愿對(duì)個(gè)人信息保護(hù)中的風(fēng)險(xiǎn)進(jìn)行救濟(jì)，是一種經(jīng)濟(jì)與社會(huì)技術(shù)支配的結(jié)果，會(huì)讓法院無(wú)力應(yīng)對(duì)社會(huì)問(wèn)題?！?4〕See Julie E. Cohen，The Regulatory State in the Information Age，Theoretical Inquiries in Law，Vol.17，p.369，371 （2016）.

反觀我國(guó)，由于直接賦予個(gè)人信息權(quán)利的訴權(quán)，并不存在美國(guó)背景下的司法救濟(jì)門檻過(guò)高的問(wèn)題。相反，我國(guó)的問(wèn)題在于如何使法院具備與個(gè)人信息訴訟相應(yīng)的制度功能。上文已經(jīng)提到，個(gè)人信息權(quán)利并非絕對(duì)性權(quán)利，這一權(quán)利與信息自由、公眾知情權(quán)、企業(yè)經(jīng)營(yíng)自主權(quán)等很多基本權(quán)利存在沖突。進(jìn)一步分析，可以發(fā)現(xiàn)很多權(quán)利的行使還可能面臨侵犯隱私、技術(shù)不可行等難題。例如查詢復(fù)制權(quán)的行使，在效果上會(huì)倒逼企業(yè)收集更多個(gè)人信息，以滿足個(gè)體行使訪問(wèn)權(quán)的請(qǐng)求；刪除權(quán)的行使，除非對(duì)硬盤進(jìn)行物理毀滅，在技術(shù)上幾乎不可能實(shí)現(xiàn)永久性刪除；攜帶權(quán)的行使，則更受限于技術(shù)與場(chǎng)景?！?5〕參見(jiàn)王錫鋅：《國(guó)家保護(hù)視野中的個(gè)人信息權(quán)利束》，《中國(guó)社會(huì)科學(xué)》2021年第11期。在這樣的背景下，法院就必須從治理的角度對(duì)相關(guān)權(quán)利進(jìn)行分析：個(gè)人信息權(quán)利之訴并不是尋求對(duì)個(gè)體損害的補(bǔ)償，也并非對(duì)具有絕對(duì)權(quán)性質(zhì)的人格權(quán)的確認(rèn)，而是在具體場(chǎng)景中分析不同信息權(quán)利是否有利于信息處理關(guān)系的治理?！?6〕丁曉東：《個(gè)人信息公私法融合保護(hù)的多維解讀》，《法治研究》2022年第5期。法院不僅需要衡量不同信息權(quán)利所期望達(dá)到的功能與目標(biāo)，而且需要具備技術(shù)與專業(yè)化知識(shí)對(duì)此進(jìn)行判斷。

綜合而言，我國(guó)個(gè)人信息權(quán)利之訴是合作治理下的一種制度，其個(gè)體救濟(jì)與公益保護(hù)密切融合；合作治理的研究常常將此類訴訟中的個(gè)體稱為“私人總檢察長(zhǎng)”（private general attorney）。1943年，杰羅姆 · 弗蘭克（Jerome Frank）法官首先使用了這一術(shù)語(yǔ)，其后，法院不時(shí)利用這一術(shù)語(yǔ)來(lái)表明私人訴訟的公益性質(zhì)。例如在伊利諾伊州最高法院在羅森巴赫訴六旗娛樂(lè)公司案（Rosenbach v. Six Flags Entertainment Corporation）中，法院指出，立法機(jī)關(guān)制定《伊利諾伊州生物識(shí)別信息隱私法》（BIPA）并賦予個(gè)體訴權(quán)，其目的不僅是為了對(duì)原告進(jìn)行救濟(jì)，而且是為了發(fā)揮個(gè)體“私人總檢察長(zhǎng)”的功能，威懾與阻止相關(guān)違法行為。〔37〕Rosenbach v. Six Flags Entertainment Corp.，2019 IL 123186 （2019）.我國(guó)《個(gè)人信息保護(hù)法》在終審稿中納入了個(gè)人信息訴權(quán)，這一訴權(quán)也應(yīng)同樣被視為具有觸發(fā)公益執(zhí)法性質(zhì)的訴訟。

在這一背景下，我國(guó)法院也應(yīng)進(jìn)行公益監(jiān)管的制度定位。這種定位首先契合我國(guó)《個(gè)人信息保護(hù)法》的成文法規(guī)定，既然第50條納入了個(gè)人信息權(quán)利之訴，法院就不得不承擔(dān)這一責(zé)任。法院可以在個(gè)人起訴時(shí)告知，勸導(dǎo)其向有關(guān)機(jī)關(guān)進(jìn)行個(gè)人信息違法舉報(bào)，但無(wú)法拒絕對(duì)此類訴訟進(jìn)行受理和裁判，實(shí)現(xiàn)事后的有限監(jiān)管。其次也更重要的是，由法院來(lái)承擔(dān)執(zhí)法監(jiān)管功能，在我國(guó)具有重要制度意義。如上所述，美歐等國(guó)家和地區(qū)的監(jiān)管機(jī)構(gòu)具有顯著的司法特征，其執(zhí)法往往具有聽(tīng)證、控辯等準(zhǔn)司法程序，這些特征使得其對(duì)個(gè)人信息的監(jiān)管可以最大限度地避免恣意與武斷。目前，我國(guó)由于考慮避免政府?dāng)U編而未設(shè)立獨(dú)立的個(gè)人信息專業(yè)監(jiān)管機(jī)構(gòu)，而個(gè)人信息的行政執(zhí)法部門往往業(yè)務(wù)繁多，而且在執(zhí)法中常常采取“命令—控制”（command-control）模式。此時(shí)由法院來(lái)承擔(dān)我國(guó)個(gè)人信息的監(jiān)管功能，就可以發(fā)揮其制度上的比較優(yōu)勢(shì)，為個(gè)人信息權(quán)利的落地提供基于程序與抗辯的執(zhí)法機(jī)制。當(dāng)然，在專業(yè)能力上，我國(guó)法院和法官也應(yīng)強(qiáng)化學(xué)習(xí)，不斷增強(qiáng)專業(yè)性知識(shí)。近幾十年來(lái)，西方法院出現(xiàn)了行政監(jiān)管化的部分特征，〔38〕法院司法功能與監(jiān)管功能之間的模糊化，是現(xiàn)代司法的一個(gè)重要特征，See Judith Resnik，Managerial Judges，Harvard Law Review，Vol.96，p.374 （1982）.我國(guó)法院也在環(huán)境、金融等諸多領(lǐng)域進(jìn)行積極探索，在個(gè)人信息保護(hù)領(lǐng)域也應(yīng)對(duì)法院與法官作此類要求，以滿足司法的監(jiān)管職責(zé)。

三、個(gè)人信息侵權(quán)之訴的損害賠償困境

基于損害的個(gè)人信息侵權(quán)與基于個(gè)人信息權(quán)利的訴訟不同，〔39〕參見(jiàn)商希雪：《侵害公民個(gè)人信息民事歸責(zé)路徑的類型化分析——以信息安全與信息權(quán)利的“二分法”規(guī)范體系為視角》，《法學(xué)論壇》2021年第4期。在性質(zhì)與制度設(shè)計(jì)上更接近傳統(tǒng)侵權(quán)法。但出于個(gè)人信息侵權(quán)訴訟的特征，傳統(tǒng)侵權(quán)法制度也應(yīng)進(jìn)行重構(gòu)。簡(jiǎn)單而言，其目標(biāo)應(yīng)當(dāng)從損害賠償之訴轉(zhuǎn)變?yōu)橥仡A(yù)防的治理之訴。因?yàn)橐該p害賠償為目標(biāo)，不僅很難實(shí)現(xiàn)，而且沒(méi)有意義。

（一）可行性困境

首先，損害賠償面臨損害不確定性的難題。在個(gè)人信息所引起的損害類型中，有的人身財(cái)產(chǎn)損害較為明顯和確定，例如個(gè)人信息泄漏導(dǎo)致用戶的賬戶被盜竊和財(cái)產(chǎn)損失。但在更為普遍的侵害個(gè)人信息案例中，損害并不明顯。有的情形中，侵害帶來(lái)的是騷擾，例如個(gè)人信息泄漏可能導(dǎo)致很多廣告推銷，給個(gè)人郵箱發(fā)送郵件，給個(gè)人打電話推銷廣告。有的情形可能帶來(lái)的是風(fēng)險(xiǎn)，例如個(gè)人信息泄漏可能暫時(shí)沒(méi)有引起任何損害，但長(zhǎng)期來(lái)看卻可能存在危險(xiǎn)，個(gè)人在知曉后，也可能會(huì)因?yàn)楦械酵{而取消很多活動(dòng)，或采取額外的安保措施。其他有的情形則可能帶來(lái)純粹的焦慮，例如企業(yè)可能進(jìn)行完全合法合規(guī)的個(gè)性化推薦，但個(gè)人可能因?yàn)橄嚓P(guān)個(gè)性化推薦和自身信息具有高度巧合，因而產(chǎn)生高度焦慮。在上述的各類情形中，從嚴(yán)與從寬界定損害的標(biāo)準(zhǔn)相差很大。〔40〕例如有學(xué)者不僅將風(fēng)險(xiǎn)納入損害的范疇，而且將焦慮也納入其中，See Daniel J. Solove & Danielle Keats Citron，Risk and Anxiety：A Theory of Data Breach Harms，Texas Law Review，Vol.96，p.737 （2018）.

如果對(duì)損害過(guò)寬界定，那么結(jié)果將是大量案件涌入法院，造成司法系統(tǒng)的崩潰；相反，如果損害界定過(guò)窄，則結(jié)果可能是大量案件得不到救濟(jì)。也正是由于這個(gè)原因，很多國(guó)家都引入了法定賠償?shù)姆桨?。例如《加州消費(fèi)者隱私法案》規(guī)定，因企業(yè)違反合理安全程序而致使個(gè)人信息泄漏的，消費(fèi)者可以提起“100美元到750美元的損害賠償金或?qū)嶋H損害賠償金”的民事訴訟?！?1〕參見(jiàn)《加州民法典》第 1798.150 節(jié)（a）。法定賠償金的引入，就說(shuō)明了其不再以實(shí)際損害作為唯一界定標(biāo)準(zhǔn)。

其次，侵害個(gè)人信息常常具有復(fù)雜的因果關(guān)系。個(gè)人信息違規(guī)所導(dǎo)致的相關(guān)損害鏈條往往非常長(zhǎng)，一條信息泄露所導(dǎo)致的詐騙，往往不知道源頭是在哪里泄露，期間經(jīng)過(guò)了多少主體的轉(zhuǎn)賣。侵害主體可能非常多，對(duì)個(gè)人造成傷害的主體不僅包括違規(guī)處理或泄露個(gè)人信息的處理者，也不僅包括實(shí)施具體傷害行為的終端加害者，而且包括各類與侵害行為相關(guān)的主體和個(gè)人。例如有的數(shù)據(jù)經(jīng)紀(jì)商可能倒賣個(gè)人信息，有的大型平臺(tái)可能并未完全盡到《個(gè)人信息保護(hù)法》第57條規(guī)定的安全保障義務(wù)，〔42〕張新寶：《互聯(lián)網(wǎng)生態(tài)“守門人”個(gè)人信息保護(hù)特別義務(wù)設(shè)置研究》，《比較法研究》2021年第3期。在很多情形下，損害還可能由周圍的親戚朋友疏忽造成，例如某人在社交平臺(tái)分享其圖片與信息，但此類信息可能被用于分析他人信息。此外，導(dǎo)致侵害發(fā)生的風(fēng)險(xiǎn)常常是累積的。索洛夫教授曾將個(gè)人信息侵權(quán)的這種特征概括為“聚合效應(yīng)”（aggregation effeect），無(wú)論是個(gè)人信息的識(shí)別、還是個(gè)人信息泄露所導(dǎo)致的各類侵害，常常都由信息的匯聚與相關(guān)風(fēng)險(xiǎn)累積而成?！?3〕See Daniel Solove，The Digital Person：Technology and Privacy in the Information Age，New York University Press，2004，p.44-47.

如果個(gè)人信息侵權(quán)之訴定位于損害賠償，那么法院將面臨因果關(guān)系確認(rèn)與歸責(zé)的難題。面對(duì)復(fù)雜的因果關(guān)系，法院將很難確定哪個(gè)主體具有“過(guò)錯(cuò)”，應(yīng)當(dāng)對(duì)造成的損害負(fù)責(zé)。如果說(shuō)傳統(tǒng)侵權(quán)像“雷擊”所造成的損害，那么很多導(dǎo)致個(gè)人信息的損害就更像“雪崩”所造成的損害，很難說(shuō)是哪一片雪花是無(wú)辜的，哪一片雪花具有“過(guò)錯(cuò)”。

（二）可欲性困境

如果個(gè)人信息侵權(quán)的目標(biāo)定位于損害賠償，其意義也可能喪失。首先，《個(gè)人信息保護(hù)法》之前的相關(guān)制度已經(jīng)足夠?qū)@一類型的損害進(jìn)行救濟(jì)，沒(méi)有必要在《個(gè)人信息保護(hù)法》中再規(guī)定相關(guān)侵權(quán)制度。對(duì)于信息處理者自身造成的損害，完全可以依靠隱私權(quán)與一般侵權(quán)法進(jìn)行救濟(jì)。對(duì)個(gè)人信息泄漏造成的第三人侵權(quán)，則可以依靠安全保障義務(wù)條款進(jìn)行救濟(jì)。〔44〕采取這一邏輯的方案，參見(jiàn)徐明：《大數(shù)據(jù)時(shí)代的隱私危機(jī)及其侵權(quán)法應(yīng)對(duì)》，《中國(guó)法學(xué)》2017年第1期。

其次，基于損害賠償?shù)那謾?quán)法難以有效回應(yīng)個(gè)人信息侵權(quán)中的“大規(guī)模微型”侵權(quán)的特征。〔45〕王利明、丁曉東：《論〈個(gè)人信息保護(hù)法〉的特色、亮點(diǎn)與適用》，《法學(xué)家》2021年第6期。一方面，侵害個(gè)人信息的用戶數(shù)量往往是海量的，個(gè)人信息侵權(quán)并不是對(duì)單個(gè)個(gè)體或少數(shù)個(gè)體的侵害。另一方面，在大量案件中，用戶都無(wú)法感受即時(shí)性的傷害，或者可能根本沒(méi)有意識(shí)到自己的相關(guān)權(quán)益被侵犯，或者即使注意到相關(guān)事件的發(fā)生，可能也會(huì)選擇息事寧人，將侵權(quán)法救濟(jì)束之高閣。侵害個(gè)人信息的這一現(xiàn)象被歸納為“隱私悖論”（privacy paradox）：人們常常嘴上關(guān)心個(gè)人信息或信息隱私的保護(hù)，但實(shí)際上卻未必如此在意?！?6〕See Patricia A. Norberg，Daniel R. Horne & David A. Horne，The Privacy Paradox：Personal Information Disclosure Intentions Versus Behaviors，Journal of Consumer Affairs，Vol.41，p.100-101 （2007）.這一理論不管是否完全正確，〔47〕對(duì)隱私悖論的批判，see Daniel J. Solove，The Myth of the Privacy Paradox，George Washington Law Review，Vol.89，p.1 （2021），但索洛夫教授的批判并不影響本文的論證。但至少可以說(shuō)明個(gè)體難以完全通過(guò)“隱私的自我管理”而進(jìn)行救濟(jì)?！?8〕See Daniel Solove，Privacy Self-Management Consent Dilemma，126 Harvard Law Review，Vol.126，p.1880（2013）.在“告知—同意”這一極為簡(jiǎn)便的制度工具中，個(gè)體尚且如此；在侵權(quán)法制度中，個(gè)體需要付出很高的成本與精力，所能發(fā)揮的空間就更為有限。在這樣的背景下，即使極少數(shù)個(gè)體能夠通過(guò)侵權(quán)法而獲得微型損害的賠償，這一賠償對(duì)于解決大規(guī)模微型侵權(quán)的問(wèn)題也無(wú)濟(jì)于事?；谫r償而設(shè)計(jì)個(gè)人信息侵權(quán)制度，將造成侵權(quán)法制度在個(gè)人信息保護(hù)中被進(jìn)一步邊緣化。

四、邁向預(yù)防治理的個(gè)人信息侵權(quán)之訴

在個(gè)人信息保護(hù)制度中，對(duì)個(gè)體權(quán)利損害的補(bǔ)償是其目標(biāo)之一，但并非唯一目標(biāo)或主要目標(biāo)。從個(gè)人信息保護(hù)的風(fēng)險(xiǎn)性特征與群體保護(hù)出發(fā)，〔49〕丁曉東：《法律如何調(diào)整不平等關(guān)系？論傾斜保護(hù)型法的法理基礎(chǔ)與制度框架》，《中外法學(xué)》2022年第2期。個(gè)人信息侵權(quán)制度的重心應(yīng)當(dāng)從損害賠償轉(zhuǎn)向合理威懾，以實(shí)現(xiàn)對(duì)相關(guān)風(fēng)險(xiǎn)的預(yù)防治理。

在傳統(tǒng)侵權(quán)法制度中，損害賠償具有核心地位。正如愛(ài)德華· 懷特教授所言，對(duì)于侵權(quán)法的首要功能到底是賠償還是威懾，美國(guó)法曾經(jīng)一度將前者視為共識(shí)。〔50〕Edward White，Tort Law in America：An Intellectual History，Oxford University Press，1980，p.146-47，178.我國(guó)在《民法典》制定之前，也將損害賠償作為優(yōu)先選項(xiàng)，《侵權(quán)責(zé)任法》規(guī)定侵害他人人身權(quán)益造成財(cái)產(chǎn)損失的，“按照被侵權(quán)人因此受到的損失賠償”；在被侵權(quán)人的損失難以確定，侵權(quán)人因此獲得利益的情形中，被侵權(quán)人才能“按照其獲得的利益賠償”。〔51〕《侵權(quán)責(zé)任法》第20條。只有到了《民法典》，被侵權(quán)人受到的損失和侵權(quán)人獲得的利益才成為并列關(guān)系?！?2〕《民法典》第1182條?！睹穹ǖ洹返倪@一規(guī)定，使得損害賠償?shù)牡匚幌鄬?duì)下降。

將損害賠償置于傳統(tǒng)侵權(quán)的核心，并讓過(guò)錯(cuò)方承擔(dān)責(zé)任，這符合傳統(tǒng)社會(huì)的侵權(quán)形態(tài)與特征。傳統(tǒng)社會(huì)的侵權(quán)形態(tài)主要發(fā)生在社會(huì)民事主體之間，此類侵權(quán)中的損害相對(duì)容易辨認(rèn)，因果關(guān)系也相對(duì)簡(jiǎn)單。要求過(guò)錯(cuò)方進(jìn)行賠償，不僅有利于對(duì)個(gè)體進(jìn)行有效救濟(jì)，也可以對(duì)社會(huì)道德進(jìn)行判斷，〔53〕有學(xué)者的侵權(quán)法理論即以此類侵權(quán)為模型，see John C. P. Goldberg & Benjamin C. Zipursky，Recognizing Wrongs，Harvard University Press，2020，p.4，28.對(duì)未來(lái)潛在的侵權(quán)者進(jìn)行有效威懾。但到了現(xiàn)代工業(yè)社會(huì)，各類產(chǎn)品與事故侵權(quán)成為更為主要的類型。在此類侵權(quán)中，責(zé)任主體越來(lái)越難辨認(rèn)：產(chǎn)品制造商等主體往往僅存在過(guò)失，不像傳統(tǒng)侵權(quán)那樣僅存在故意或放任，而消費(fèi)者也往往存在過(guò)錯(cuò)或過(guò)失，很難說(shuō)到底哪個(gè)主體存在“過(guò)錯(cuò)”。此外，此類案件的因果關(guān)系也更為復(fù)雜，因果關(guān)系逐漸與責(zé)任歸屬問(wèn)題合而為一，判斷因果關(guān)系，很大程度上就是判斷責(zé)任歸屬。

在這一背景下，侵權(quán)法的損害賠償與確認(rèn)過(guò)錯(cuò)功能逐漸下降，而其威懾與預(yù)防功能日漸出現(xiàn)。以卡拉布雷西、波斯納為代表的一大批學(xué)者兼法官指出，在產(chǎn)品與事故侵權(quán)中，侵權(quán)法不應(yīng)完全采取向后看、個(gè)體主義的進(jìn)路，不應(yīng)定位于尋找具有過(guò)錯(cuò)的責(zé)任方并進(jìn)行損害賠償。相反，侵權(quán)法應(yīng)當(dāng)采取向前看、具有公共預(yù)防功能的進(jìn)路?！?4〕See Guido Calabresi，Civil Recourse Theory’s Reductionism，Indiana Law Journal，Vol.88，p.449 （2013）；Richard A. Posner，Instrumental and Noninstrumental Theories of Tort Law，Indiana Law Journal，Vol.88，p.473 （2013）.在責(zé)任主體上，侵權(quán)法應(yīng)當(dāng)找到付出最小成本即可避免侵害發(fā)生的主體（cheapest cost avoider）來(lái)承擔(dān)責(zé)任，〔55〕See Guido Calabresi，The Costs of Accidents：A Legal and Economic Analysis，Yale University Press，1970，p.155.而非徒勞無(wú)益地確認(rèn)誰(shuí)存在過(guò)錯(cuò)。在歸責(zé)原則與救濟(jì)措施方面，侵權(quán)法應(yīng)當(dāng)對(duì)侵權(quán)方進(jìn)行合理威懾，以發(fā)揮侵權(quán)法的公共治理功能?！?6〕對(duì)于侵權(quán)法的公共治理功能或侵權(quán)法的公法之維，See Mark A. Geistfeld，Tort Law in the Age of Statutes，Lowa Law Review，Vol.99，p.957 （2014）；Catherine M. Sharkey，The Administrative State and the Common Law：Regulatory Substitutes or Complements? Emory Law Journal，Vol.65，p.1705 （2016）.

在個(gè)人信息侵權(quán)中，侵權(quán)法制度應(yīng)更注重其威懾與治理功能?！?7〕這并不是說(shuō)基于過(guò)錯(cuò)與賠償?shù)膫鹘y(tǒng)侵權(quán)法功能就不存在，而是說(shuō)現(xiàn)代工業(yè)社會(huì)中的風(fēng)險(xiǎn)侵權(quán)，特別是個(gè)人信息侵權(quán)應(yīng)當(dāng)注重威懾與預(yù)防。在過(guò)去幾十年中，侵權(quán)法的這兩種功能一直并存，卡拉布雷西將其稱為“侵權(quán)法的二重變奏”（tort law’s dualism）。See Guido Calabresi & Spencer Smith，On Tort Law's Dualism，Harvard Law Review，Vol. 135，p. 184-193 （2022）.正如本文所述，個(gè)人信息侵權(quán)具有大規(guī)模微型侵權(quán)的特征，對(duì)于這一特征，侵權(quán)法的威懾功能更為重要。通過(guò)合理威懾，侵權(quán)法可以對(duì)侵害個(gè)人信息的社會(huì)風(fēng)險(xiǎn)進(jìn)行有效預(yù)防，而不必再糾結(jié)于上文提到的損害賠償這一難以完成的任務(wù)。此外，威懾與治理定位也將使得侵權(quán)法的制度定位與個(gè)人信息保護(hù)的整體制度保持一致。個(gè)人信息保護(hù)奠基于“公平信息實(shí)踐”，本身就采取了多主體合作治理的制度，特別是通過(guò)個(gè)體賦權(quán)而實(shí)現(xiàn)信息治理。當(dāng)侵權(quán)法將威懾與治理作為其首要目標(biāo)，既可以避免上文所提到的損害賠償難以確定、缺乏意義等困境，也可以發(fā)揮個(gè)體的“私人總檢察長(zhǎng)”功能。面對(duì)行政監(jiān)管與自我規(guī)制的失靈與漏洞，個(gè)人可以扮演相關(guān)風(fēng)險(xiǎn)的發(fā)現(xiàn)者與執(zhí)法的觸發(fā)者。

五、個(gè)人信息侵權(quán)之訴的制度重構(gòu)

從侵權(quán)法的威懾與治理功能出發(fā)，現(xiàn)代侵權(quán)法在產(chǎn)品責(zé)任等侵權(quán)制度的設(shè)計(jì)上已經(jīng)發(fā)生了很大變化?！?8〕See Carl T. Bogus，War on the Common Law：The Struggle at the Center of Products Liability，Missouri Law Review Vol.80，p.1，17 （1995）.在個(gè)人信息侵權(quán)之訴中，損害界定、歸責(zé)原則、因果關(guān)系、救濟(jì)措施等制度也應(yīng)進(jìn)行重構(gòu)。

（一）損害界定

首先，就損害界定而言，其界定不宜太寬，但也不宜太嚴(yán)。如上所述，個(gè)人信息處理可能帶來(lái)明確損害，也可能帶來(lái)風(fēng)險(xiǎn)與焦慮。我國(guó)法院在受理此類案件中，一方面應(yīng)拒絕將焦慮和非實(shí)質(zhì)性風(fēng)險(xiǎn)認(rèn)定為損害。如果對(duì)損害做過(guò)寬限定，將一般性風(fēng)險(xiǎn)也納入侵權(quán)損害范圍，則不僅可能引發(fā)濫訴，導(dǎo)致法院應(yīng)對(duì)不暇，而且可能給信息處理者施加不合理責(zé)任，無(wú)法合理威懾信息處理者。另一方面，除了造成人身財(cái)產(chǎn)等實(shí)質(zhì)性損害，我國(guó)法院也應(yīng)將個(gè)人信息泄漏等可能造成實(shí)質(zhì)性風(fēng)險(xiǎn)的案件視為存在損害。此類風(fēng)險(xiǎn)雖然未必一定會(huì)帶來(lái)即時(shí)性傷害，但從威懾的角度看，將其納入侵權(quán)法框架有利于對(duì)風(fēng)險(xiǎn)進(jìn)行預(yù)防和治理。

在我國(guó)訴訟制度下，比較復(fù)雜的在于我國(guó)的立案制度。由于我國(guó)立案制度采取寬口徑的登記制，絕大多數(shù)案件都可以進(jìn)入訴訟程序，這就帶來(lái)了一個(gè)問(wèn)題：對(duì)于沒(méi)有造成明確損害的個(gè)人信息侵權(quán)之訴，法院應(yīng)當(dāng)如何進(jìn)行處理？例如當(dāng)個(gè)人針對(duì)個(gè)性化推薦提起訴訟，認(rèn)為此類推薦對(duì)其造成了困擾和傷害，此時(shí)法院是否應(yīng)當(dāng)按照侵權(quán)法的邏輯對(duì)于此類案件進(jìn)行審理？結(jié)合上文分析，此類案件應(yīng)當(dāng)按照個(gè)人信息權(quán)利之訴的原理進(jìn)行審判，即這些不能證明具有明確損害或?qū)嵸|(zhì)性風(fēng)險(xiǎn)的案件應(yīng)視為一種執(zhí)法請(qǐng)求或申訴舉報(bào)。在此類案件中，如果法院發(fā)現(xiàn)信息處理者存在違規(guī)行為，法院可以有不同的處理方案：法院既可以以損害不存在為由而駁回原告的訴訟請(qǐng)求，也可以借鑒國(guó)外有關(guān)司法實(shí)踐，對(duì)信息處理者的違規(guī)行為作出宣告性判決（declaratory judgment）。無(wú)論何種方案，法院都應(yīng)當(dāng)扮演執(zhí)法監(jiān)管者的角色，重點(diǎn)審查信息處理者是否具有違規(guī)行為，而非按侵權(quán)法的原理進(jìn)行審判。

（二）歸責(zé)原則與違法性

在存在明確損害或?qū)嵸|(zhì)性風(fēng)險(xiǎn)的案件中，則應(yīng)當(dāng)采取侵權(quán)法的框架進(jìn)行審判，但此類案件中的歸責(zé)原則首先應(yīng)當(dāng)探討過(guò)錯(cuò)與違法性的關(guān)系問(wèn)題。〔59〕參見(jiàn)周漢華：《平行還是交叉 個(gè)人信息保護(hù)與隱私權(quán)的關(guān)系》，《中外法學(xué)》2021年第5期。在《個(gè)人信息保護(hù)法》生效前，關(guān)于個(gè)人信息侵權(quán)的歸責(zé)原則就存在很多爭(zhēng)議，例如有學(xué)者認(rèn)為應(yīng)當(dāng)根據(jù)公務(wù)機(jī)關(guān)、采用自動(dòng)化處理系統(tǒng)的非公務(wù)機(jī)關(guān)、未采用自動(dòng)數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)處理者的“三元?dú)w責(zé)原則體系”，〔60〕葉名怡：《個(gè)人信息的侵權(quán)法保護(hù)》，《法學(xué)研究》2018年第4期。有學(xué)者認(rèn)為應(yīng)當(dāng)采取無(wú)過(guò)錯(cuò)責(zé)任，〔61〕程嘯：《論侵害個(gè)人信息的民事責(zé)任》，《暨南學(xué)報(bào)》（哲學(xué)社會(huì)科學(xué)版）2020 年第2期。還有學(xué)者認(rèn)為“應(yīng)以是否采取自動(dòng)化處理技術(shù)為標(biāo)準(zhǔn)，采取過(guò)錯(cuò)推定/一般過(guò)錯(cuò)二元?dú)w責(zé)體系”。〔62〕陳吉棟：《個(gè)人信息的侵權(quán)救濟(jì)》，《交大法學(xué)》2019年第4期。但在《個(gè)人信息保護(hù)法》制定后，信息處理者廣泛采取合規(guī)舉措的背景下，首先需要分析：是否信息處理者違法違規(guī)即可以認(rèn)定為存在過(guò)錯(cuò)？以及在信息處理者合法合規(guī)的前提下，是否可以認(rèn)定信息處理者對(duì)造成的損害不存在過(guò)錯(cuò)，或者可以以合法合規(guī)作為免責(zé)事由？

違法性與過(guò)錯(cuò)的關(guān)系，是規(guī)制法與侵權(quán)法關(guān)系的一個(gè)經(jīng)典問(wèn)題?！?3〕民法學(xué)界的經(jīng)典分析，參見(jiàn)王利明：《我國(guó)〈侵權(quán)責(zé)任法〉采納了違法性要件嗎?》，《中外法學(xué)》2012 年第1 期；楊立新：《個(gè)人信息處理者侵害個(gè)人信息權(quán)益的民事責(zé)任》，《國(guó)家檢察官學(xué)院學(xué)報(bào)》2021 年第5期。支持規(guī)制法優(yōu)先的理由包括：行政規(guī)制具有制度比較優(yōu)勢(shì)，可以在由技術(shù)引起的風(fēng)險(xiǎn)規(guī)制領(lǐng)域進(jìn)行更專業(yè)的判斷；〔64〕See Richard B. Stewart，Regulatory Compliance Preclusion of Tort Liability：Limiting the Dual-Track System，The Georgetown Law Journal，Vol.88，p. 2167 （2000）.《個(gè)人信息保護(hù)法》是領(lǐng)域法與特殊法，應(yīng)當(dāng)優(yōu)先于一般侵權(quán)法。而支持一般侵權(quán)法適用的理由包括：行政規(guī)制未必總是能對(duì)專業(yè)問(wèn)題進(jìn)行更優(yōu)判斷，侵權(quán)者是否應(yīng)當(dāng)承擔(dān)責(zé)任，仍然應(yīng)當(dāng)在個(gè)案中進(jìn)行判斷；〔65〕See Robert L. Rabin，Reassessing Regulatory Compliance，The Georgetown Law Journal，Vol.88，p.2049（2000）.《個(gè)人信息保護(hù)法》雖然是領(lǐng)域法與特殊法，但侵權(quán)問(wèn)題仍應(yīng)按侵權(quán)法原則進(jìn)行分析。當(dāng)然還有其他中間立場(chǎng)，例如歐盟將違法性作為個(gè)人信息侵權(quán)的前提，但違法性并不必然等于存在過(guò)錯(cuò)；〔66〕《一般數(shù)據(jù)保護(hù)條例》第82條。還有觀點(diǎn)認(rèn)為，違法違規(guī)即等同于過(guò)錯(cuò)或過(guò)失，〔67〕例如《美國(guó)侵權(quán)法》“重述”規(guī)定，“如果行為人無(wú)故違反了旨在防止行為人所導(dǎo)致事故類型的法規(guī)，并且如果事故受害者屬于該法規(guī)旨在保護(hù)的人員類別，則應(yīng)認(rèn)定行為人具有過(guò)失?！盨ee Restatement （third） of Torts：Liability for Physical & Emotional Harm § 14.但合法合規(guī)并不等于不存在過(guò)錯(cuò)，不能自然免除信息處理者的侵權(quán)責(zé)任?！?8〕Lars Noah，Rewarding Regulatory Compliance：The Pursuit of Symmetry in Products Liability，The Georgetown Law Journal，Vol.88，p.2147-2152（ 2000）.

結(jié)合上文原理分析和我國(guó)法律體系，個(gè)人信息侵權(quán)的歸責(zé)原則可以采取過(guò)錯(cuò)推定原則，但將違法性作為重要參考。其原因有若干。其一，我國(guó)《個(gè)人信息保護(hù)法》第69條明文規(guī)定了過(guò)錯(cuò)推定原則，這一歸責(zé)原則介于過(guò)錯(cuò)與無(wú)過(guò)錯(cuò)之間，表明了立法者既希望對(duì)信息處理者進(jìn)行合理威懾，又不至于施加過(guò)嚴(yán)責(zé)任的立場(chǎng)。其二，我國(guó)《個(gè)人信息保護(hù)法》雖然對(duì)個(gè)人信息進(jìn)行了嚴(yán)格規(guī)制，甚至被認(rèn)為是“全球最嚴(yán)”的信息隱私法，但這一立法與歐盟立法類似，都采取了具有一定彈性的治理框架，將規(guī)則細(xì)節(jié)留給執(zhí)法與司法確定。在此背景下，就不應(yīng)假定立法者在所有問(wèn)題上都進(jìn)行了非常具體的判斷。法院借助過(guò)錯(cuò)推定原則在個(gè)案中對(duì)侵權(quán)行為進(jìn)行判斷，既符合《個(gè)人信息保護(hù)法》的立法意圖，也更符合個(gè)人信息保護(hù)依賴具體場(chǎng)景的特征。由法院在個(gè)案中對(duì)信息處理者是否具備相關(guān)注意義務(wù)進(jìn)行判斷，有利于相關(guān)風(fēng)險(xiǎn)的更精細(xì)化防范與治理。其三，在《個(gè)人信息保護(hù)法》 《信息安全技術(shù)個(gè)人信息安全規(guī)范》等法律與技術(shù)標(biāo)準(zhǔn)廣泛適用的背景下，法院也理應(yīng)將是否合規(guī)作為信息處理者是否存在過(guò)錯(cuò)的重要證據(jù)。如果信息處理者不合規(guī)，法院可以先推定其存在過(guò)錯(cuò)，但應(yīng)允許信息處理者進(jìn)行反證；如果信息處理者完全合規(guī)，法院則可以推定其不存在過(guò)錯(cuò)，但允許被侵權(quán)者進(jìn)行反證。

（三）因果關(guān)系

從威懾的目標(biāo)出發(fā)，個(gè)人信息侵權(quán)的因果難題也能有效破解。因果關(guān)系歷來(lái)是侵權(quán)法中的一大難題，試圖通過(guò)因果關(guān)系而確認(rèn)責(zé)任人，即使在傳統(tǒng)農(nóng)業(yè)社會(huì)的侵權(quán)也常常面臨爭(zhēng)議。到了工業(yè)化時(shí)代，伴隨著產(chǎn)品大規(guī)模生產(chǎn)帶來(lái)的風(fēng)險(xiǎn)問(wèn)題，因果關(guān)系進(jìn)一步不確定性化，逐漸引發(fā)了因果關(guān)系這一制度工具的邊緣化，〔69〕See William M. Landes & Richard A. Posner，The Economic Structure of Tort Law，Harvard University Press，1987，p.229.通過(guò)風(fēng)險(xiǎn)分配而確認(rèn)責(zé)任歸屬，成為了產(chǎn)品侵權(quán)等事故侵權(quán)的主流模式。在個(gè)人信息侵權(quán)中，損害與侵權(quán)之間的因果關(guān)系更為復(fù)雜。在這一背景下，法院可以在修辭層面保留因果關(guān)系推理，但在工具應(yīng)用層面，不應(yīng)在個(gè)人信息侵權(quán)中過(guò)多依賴因果關(guān)系這一制度與思維工具。法院應(yīng)當(dāng)從因果關(guān)系分析轉(zhuǎn)向何種責(zé)任分配有利于有效威懾和預(yù)防風(fēng)險(xiǎn)?！?0〕從法哲學(xué)與法理學(xué)的角度看，完全確定性的因果關(guān)系并不存在，因?yàn)榧词乖谑聦?shí)層面，引起一項(xiàng)事物變化的原因也是無(wú)數(shù)的。作為一種思維工具，因果關(guān)系可以在合適的場(chǎng)景下幫助人們快速找到最容易解決問(wèn)題的方案。但在復(fù)雜問(wèn)題中，摒棄因果關(guān)系而直接進(jìn)行責(zé)任分配更有利于問(wèn)題的分析，See John Borgo，Causal Paradigms in Tort Law，The Journal of Legal Studies Vol.8，p.419 （1979）.

從我國(guó)和域外的司法實(shí)踐與學(xué)術(shù)研究來(lái)看，這一轉(zhuǎn)變已經(jīng)逐漸成為共識(shí)。例如在龐某與北京趣拿信息技術(shù)有限公司等隱私權(quán)糾紛案中，龐某在趣拿公司下轄網(wǎng)站“去哪兒網(wǎng)”購(gòu)買東航機(jī)票，其后收到詐騙短信。此案的二審法院采取了舉證責(zé)任倒置，引入高度可能性的理論而認(rèn)定趣拿公司存在責(zé)任問(wèn)題?！?1〕參見(jiàn)北京市第一中級(jí)人民法院民事判決書(shū)，（2017）京01民終509號(hào)。在這一案件中，法院雖然在修辭上仍然采取因果關(guān)系，但事實(shí)上已經(jīng)采取了威懾預(yù)防與責(zé)任分配的理念，讓最可能導(dǎo)致風(fēng)險(xiǎn)的主體承擔(dān)責(zé)任。在國(guó)外，也有不少學(xué)者主張，應(yīng)當(dāng)引入概率理論、市場(chǎng)份額理論來(lái)解決個(gè)人信息侵權(quán)之訴中的因果關(guān)系?！?2〕See Aaron D. Twerski，Market Share—A Tale of Two Centuries，Brooklyn Law Review，Vol.55，p. 869（1989）；George L. Priest，Market Share Liability in Personal Injury and Public Nuisance Litigation：An Economic Analysis，Supreme Court Economic Review，Vol.18，p.109 （2010）.概率理論、市場(chǎng)份額理論在藥品等復(fù)雜侵權(quán)中被應(yīng)用，其核心也是根據(jù)不同企業(yè)導(dǎo)致?lián)p害的可能性和避免風(fēng)險(xiǎn)的能力而分配責(zé)任。

總之，因果關(guān)系既非尋求個(gè)人信息侵權(quán)中責(zé)任主體的合適工具，也不符合實(shí)現(xiàn)個(gè)人信息保護(hù)的制度目標(biāo)。法院在個(gè)人信息侵權(quán)中要做的并非尋找唯一的“肇事者”，而是威懾可能的過(guò)失方。在產(chǎn)品責(zé)任法中，現(xiàn)代侵權(quán)法已經(jīng)發(fā)展出了很多方案來(lái)實(shí)現(xiàn)這一制度目標(biāo)，例如有的法院以可預(yù)見(jiàn)性的概念來(lái)判斷侵權(quán)方是否應(yīng)當(dāng)承擔(dān)責(zé)任，認(rèn)為在合理期待或合理預(yù)期的標(biāo)準(zhǔn)下，企業(yè)未對(duì)相關(guān)風(fēng)險(xiǎn)采取措施應(yīng)當(dāng)承擔(dān)責(zé)任?！?3〕我國(guó)的司法實(shí)踐，參見(jiàn)北京市第三中級(jí)人民法院民事判決書(shū)，（2015）三中民終07742號(hào)；廣東省佛山市中級(jí)人民法院民事判決書(shū)，（2017）粵 06 民終 7670 號(hào)；江蘇省揚(yáng)州市中級(jí)人民法院民事判決書(shū)，（2017）蘇10 民終 131 號(hào)。學(xué)理上的探討，See Alani Golanski，A New Look at Duty in Tort Law：Rehabilitating Foreseeability and Related Themes，Albany Law Review，Vol.75，p.265 （2012）.還有的法院以產(chǎn)品設(shè)計(jì)替代的方法來(lái)判斷企業(yè)責(zé)任，當(dāng)行業(yè)領(lǐng)域存在產(chǎn)品設(shè)計(jì)安全更為合理的替代方案，而企業(yè)卻未能采用時(shí)，此時(shí)應(yīng)當(dāng)承擔(dān)責(zé)任?！?4〕我國(guó)法院較少采取這一標(biāo)準(zhǔn)，但在國(guó)外采用較為普遍。See Restatement （third） of Torts：Product Liability §2（a）-（b） （1998）.在個(gè)人信息侵權(quán)中，法院可以借鑒此類方案，判斷相關(guān)主體是否應(yīng)當(dāng)承擔(dān)責(zé)任。

（四）救濟(jì)方式

我國(guó)《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息侵權(quán)中的救濟(jì)僅進(jìn)行了原則性規(guī)定：“損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定；個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額。” 而《民法典》對(duì)于民事責(zé)任的承擔(dān)方式也具有多樣性，例如總則中第179條規(guī)定了“停止侵害；排除妨礙；消除危險(xiǎn)；返還財(cái)產(chǎn)；恢復(fù)原狀；修理、重作、更換；繼續(xù)履行；賠償損失；支付違約金；消除影響、恢復(fù)名譽(yù)；賠禮道歉”等多種方式，第1182條作出了《個(gè)人信息保護(hù)法》類似的規(guī)定，但僅限定于“財(cái)產(chǎn)損失”。當(dāng)個(gè)人信息遭受明確損害，或者存在個(gè)人信息泄漏等實(shí)質(zhì)性風(fēng)險(xiǎn)，此時(shí)個(gè)人信息的救濟(jì)方式也應(yīng)當(dāng)按照合理威懾的原則進(jìn)行建構(gòu)。

首先，個(gè)人信息侵權(quán)救濟(jì)應(yīng)適用停止侵害、排除妨礙、消除危險(xiǎn)的救濟(jì)方式。此類救濟(jì)方式不僅有利于對(duì)個(gè)體進(jìn)行救濟(jì)，防止個(gè)人信息泄漏或不當(dāng)處理所造成的損害與風(fēng)險(xiǎn)進(jìn)一步擴(kuò)大，而且有利于保護(hù)更廣泛的群體，實(shí)現(xiàn)個(gè)人信息處理關(guān)系的有效治理。事實(shí)上，域外的很多法律都把停止侵害、排除妨礙、消除危險(xiǎn)作為免予個(gè)人信息之訴的條件。例如《加州消費(fèi)者隱私法案》規(guī)定，如果企業(yè)在接到消費(fèi)者投訴的“30天內(nèi)實(shí)際補(bǔ)救了所發(fā)現(xiàn)的違規(guī)行為，并向消費(fèi)者提供了一份明確的書(shū)面聲明，說(shuō)明違規(guī)行為已得到補(bǔ)救，不再發(fā)生違規(guī)行為，那就不得對(duì)企業(yè)提起個(gè)人或集體的法定損害賠償訴訟”?！?5〕《加州民法典》第1798.150節(jié)b.美國(guó)新近制定的《數(shù)據(jù)隱私保護(hù)法案》（ADPPA）也作出了類似規(guī)定?！?6〕美國(guó)《數(shù)據(jù)隱私保護(hù)法案》第403款（c）（2）。

其次，在損害較為明確而且損害數(shù)額較大的情形中，損害賠償?shù)臄?shù)額可以按照實(shí)際損失確定。在此類案件中，由于賠償數(shù)額較大，按此方案既對(duì)受害者進(jìn)行補(bǔ)償，也可以對(duì)相關(guān)主體產(chǎn)生足夠威懾。在責(zé)任分配方面，如果損害為信息處理者單獨(dú)造成，其責(zé)任歸屬也比較簡(jiǎn)單，應(yīng)由信息處理者承擔(dān)全部責(zé)任。比較常見(jiàn)和比較復(fù)雜的是由第三人造成的損害，例如當(dāng)信息處理者泄漏個(gè)人信息，引起了巨額財(cái)產(chǎn)損失或人身?yè)p害，此時(shí)應(yīng)當(dāng)如何確定各方責(zé)任？根據(jù)本文合理威懾與風(fēng)險(xiǎn)責(zé)任分配的原理，可以借鑒產(chǎn)品責(zé)任法的相關(guān)原理與實(shí)踐，要求信息處理者對(duì)某些可預(yù)見(jiàn)性的下游風(fēng)險(xiǎn)承擔(dān)合理注意義務(wù)?！?7〕對(duì)這一問(wèn)題的全面分析，參見(jiàn)謝鴻飛：《個(gè)人信息處理者對(duì)信息侵權(quán)下游損害的侵權(quán)責(zé)任》，《法律適用》2022年第1期。

最后，在損害數(shù)額較小或信息泄漏等實(shí)質(zhì)性風(fēng)險(xiǎn)損害中，如果行政機(jī)關(guān)未進(jìn)行罰款或執(zhí)法，〔78〕如果行政機(jī)關(guān)已經(jīng)進(jìn)行執(zhí)法和罰款，則此類案件的個(gè)體將不能受到威懾性賠償，只能受到宣告性判決，以避免侵權(quán)威懾與執(zhí)法威懾疊加所造成的過(guò)度威懾。域外不少法案都對(duì)此進(jìn)行了規(guī)定。例如美國(guó)新近制定的《數(shù)據(jù)隱私保護(hù)法案》第403款（a）（3）A部分規(guī)定，在個(gè)人或集體提起民事訴訟之前，該個(gè)人或集體必須首先以書(shū)面形式通知FTC和所在州的總檢察長(zhǎng)，說(shuō)明他們希望提起民事訴訟。在收到該通知后，F(xiàn)TC和州總檢察長(zhǎng)應(yīng)在收到該通知后60天內(nèi)確定并答復(fù)該人或該類人是否將獨(dú)立尋求采取行動(dòng)。此時(shí)被侵權(quán)者除了可以獲得訴訟費(fèi)用賠償之外，其損害賠償?shù)臄?shù)額也可以在損失額度或信息處理者所獲利益的基礎(chǔ)上進(jìn)一步提高。 其原因在于，此類案件的損失額度或所獲利益往往非常微小，難以觸發(fā)個(gè)人提起相關(guān)訴訟；但此類微型侵害不僅最為普遍、影響海量群體，而且極易逃脫監(jiān)管，將問(wèn)題留給社會(huì)。通過(guò)侵權(quán)法對(duì)此類違法行為進(jìn)行合理威懾，具有重要意義。在賠償額度上，如果行政機(jī)關(guān)沒(méi)有進(jìn)行執(zhí)法，法院可以參考理想的行政罰款額度除以潛在訴訟人數(shù)的方案進(jìn)行賠償。例如某一企業(yè)故意泄漏信息，理想情況下應(yīng)對(duì)其處以10萬(wàn)元罰款，設(shè)置賠償額度為2000元可能引發(fā)50人提起訴訟，則此時(shí)的理想賠償額應(yīng)設(shè)置在2000元?！?9〕當(dāng)然，此類侵權(quán)責(zé)任也應(yīng)當(dāng)像行政處罰一樣，考慮個(gè)人信息處理的性質(zhì)、違法的嚴(yán)重性、補(bǔ)救措施、個(gè)人信息類型等多種因素，以實(shí)現(xiàn)合比例的威懾。對(duì)于行政處罰應(yīng)當(dāng)考慮的因素，歐盟《一般數(shù)據(jù)保護(hù)條例》第83條第2款進(jìn)行了詳細(xì)列舉。對(duì)這一問(wèn)題的分析，參見(jiàn)孫瑩：《大規(guī)模侵害個(gè)人信息高額罰款研究》，《中國(guó)法學(xué)》2020年第5期。如此，個(gè)體侵權(quán)訴訟就能有效威懾風(fēng)險(xiǎn)與發(fā)揮執(zhí)法功能，同時(shí)又不至于對(duì)信息處理者產(chǎn)生過(guò)重的責(zé)任。

六、結(jié)語(yǔ)：領(lǐng)域法與侵權(quán)法

個(gè)人信息侵權(quán)法保護(hù)的難題，反映了領(lǐng)域法與侵權(quán)法的復(fù)雜關(guān)系。有學(xué)者指出，個(gè)人信息保護(hù)法和環(huán)境法一樣，都源自傳統(tǒng)侵權(quán)法的失敗?！?0〕將環(huán)境法與個(gè)人信息保護(hù)對(duì)比與結(jié)合的研究，See Dennis Hirsch，Protecting the Inner Environment：What Privacy Regulation Can Learn from Environmental Law，Georgia Law Review，Vol.41，p.1 （2006）.在個(gè)人信息侵權(quán)與環(huán)境侵權(quán)中，都存在大規(guī)模微型不確定性侵權(quán)的難題，面對(duì)這種難題，基于合作治理的個(gè)人信息保護(hù)制度開(kāi)始興起。這一制度引入了大量的公法監(jiān)管制度，并且高度依賴“告知—同意”這一具有合同法特點(diǎn)的制度。反觀侵權(quán)法，其扮演的制度功能面臨邊緣化的風(fēng)險(xiǎn)。

侵權(quán)法要在個(gè)人信息保護(hù)中發(fā)揮其治理功能，就必須進(jìn)行有效變革，并與其他制度協(xié)調(diào)配合。一方面，侵權(quán)法本身就是一種特定歷史條件下產(chǎn)生的制度工具，在農(nóng)業(yè)社會(huì)、工業(yè)社會(huì)的形態(tài)與作用就不相同?！?1〕維特教授曾對(duì)侵權(quán)法的興起進(jìn)行過(guò)歷史描述，See John Fabian Witt，The Accidental Republic：Crippled Working Men，Destitute Widows，and the Remaking of American Law，Harvard University Press，2004，p.1-11.例如侵權(quán)法在傳統(tǒng)社會(huì)更多發(fā)揮過(guò)錯(cuò)認(rèn)定與個(gè)體損害賠償?shù)墓δ?，但在工業(yè)社會(huì)則更多承擔(dān)責(zé)任分配與公共規(guī)制的功能。侵害個(gè)人信息的風(fēng)險(xiǎn)性特征與公共性特征更為明顯，〔82〕參見(jiàn)梅夏英：《社會(huì)風(fēng)險(xiǎn)控制抑或個(gè)人權(quán)益保護(hù)——理解個(gè)人信息保護(hù)法的兩個(gè)維度》，《環(huán)球法律評(píng)論》2022年第1期。侵權(quán)法更應(yīng)注重從個(gè)體賠償邁向風(fēng)險(xiǎn)治理，其制度工具也應(yīng)重新設(shè)計(jì)。另一方面，侵權(quán)法還應(yīng)當(dāng)和其他制度進(jìn)行協(xié)調(diào)。上文對(duì)于過(guò)錯(cuò)責(zé)任與違法性的分析已經(jīng)說(shuō)明，侵權(quán)法必須注重與規(guī)制法的關(guān)系。除此之外，侵權(quán)法還應(yīng)當(dāng)與公益訴訟等制度進(jìn)行協(xié)調(diào)。例如在法院判決個(gè)體勝訴后，應(yīng)考慮設(shè)立自動(dòng)觸發(fā)公益訴訟機(jī)制，檢察機(jī)關(guān)在個(gè)人信息侵權(quán)案件勝訴后，應(yīng)立即評(píng)估是否提起公益訴訟。一旦設(shè)立此類制度，基于個(gè)體的侵權(quán)之訴就能轉(zhuǎn)變?yōu)閷?duì)受害群體的救濟(jì)，〔83〕參見(jiàn)張新寶、賴成宇：《個(gè)人信息保護(hù)公益訴訟制度的理解與適用》，《國(guó)家檢察官學(xué)院學(xué)報(bào)》2021年第5期。彌補(bǔ)“私人總檢察長(zhǎng)”的不足。

總之，個(gè)人信息侵權(quán)之訴應(yīng)當(dāng)回到個(gè)人信息治理的框架中進(jìn)行理解，而不是按照傳統(tǒng)侵權(quán)法的邏輯來(lái)“切割”個(gè)人信息保護(hù)研究。在網(wǎng)絡(luò)法的學(xué)術(shù)史上，曾經(jīng)爆發(fā)過(guò)著名的“馬法”之爭(zhēng)：網(wǎng)絡(luò)法研究是否就像研究馬的法律，僅僅是憲法、行政法、合同法、侵權(quán)法、刑法等部門法的拼盤？〔84〕Frank H. Easterbrook，Cyberspace and the Law of the Horse，The University of Chicago Legal Forum，Vol.1996，p.207 （1996）；Lawrence Lessig，The Law of the Horse：What Cyberlaw Might Teach，Harvard Law Review，Vol.113，p.501-549 （1999）.經(jīng)過(guò)學(xué)界多年的爭(zhēng)論，學(xué)者們的最低共識(shí)是：部門法本身就是相互交融的領(lǐng)域，在傳統(tǒng)部門法面臨爭(zhēng)議的領(lǐng)域，更需要傳統(tǒng)部門法的深度融合。個(gè)人信息侵權(quán)的研究再次告訴我們，應(yīng)以制度演化與制度協(xié)同的進(jìn)路實(shí)現(xiàn)領(lǐng)域法的有效治理。