 个人信息侵权的损害赔偿责任  程啸 清华大学法学院副院长、教授、博士生导师  曾俊刚 清华大学法学博士研究生 摘要 侵害个人信息权益造成的损害包括财产损失与精神损害,因个人信息泄露而增加的未来遭受不法侵害的风险不属于损害,但个人为了避免因个人信息泄露而遭受电信网络诈骗或者其他侵权行为而支出的费用属于应当赔偿的财产损失。因个人信息权益被侵害而造成的财产损害,既包括合理的维权成本与下游损害,也包括因侵权行为导致信息主体丧失了对个人信息进行商业化利用的损失。侵害个人信息权益造成的精神损害分为两类:一是同时侵害姓名权、名誉权、隐私权等其他人格权而造成的精神损害,二是单纯地因侵害个人信息权益而给自然人造成的精神损害。对于后一种损害,即便没有达到严重的程度,也可以适用《个人信息保护法》第69条第2款。在《国家赔偿法》没有作出特别规定前,国家机关侵害个人信息权益的侵权赔偿责任性质上属于民事责任。 一、引言 在《中华人民共和国个人信息保护法》(以下简称《个保法》)颁行后,理论界与实务界对于侵害个人信息权益的损害赔偿责任已有一些研究,但尚不深入系统。有鉴于此,本文将重点围绕《个保法》第69条以及《民法典》的侵权赔偿责任规范,就侵害个人信息权益的损害赔偿责任做一个系统研究。本文主要研究以下问题:首先,侵害个人信息权益的损害应当如何界定?传统的适用于财产损害的差额说能否适用于侵害个人信息权益的损害赔偿责任?有无必要将风险的增加和单纯的焦虑等不良情绪认定为损害?其次,侵害个人信息权益财产损害的类型有哪些?因个人信息权益被侵害而导致信息主体丧失了对个人信息进行商业化利用的损失,是否属于侵害个人信息权益的财产损失?再次,侵害个人信息权益造成的精神损害赔偿是否必须以严重精神损害为要件?《个保法》第69条第2款的规定能否适用于精神损害赔偿金的确定?最后,《个保法》第69条侵害个人信息权益的赔偿责任是否仅限于民事赔偿责任?能否包括国家赔偿责任? 二、个人信息侵权中损害的界定与扩张 (一)传统民法中损害的含义 《民法典》上没有对损害的界定。民法学界通说认为,损害就是指因他人的加害行为使得受害人遭受的人身或者财产上的不利后果,既包括财产损失也包括精神损害。损害应当是客观存在的,具有一定的确定性,即可以通过一定方式如差额说予以计算的。这是所谓客观上的损害。而法律上的损害仅限于那些具有可赔偿性的损害,并且作为损害赔偿责任构成要件的损害必须是具有可救济性的损害。申言之,为了协调权益保护与行为自由之间的关系,不是任何客观的损害都能获得法律上的救济,法律必须在考虑(自由、安全、公平等)各种价值的关系并作出权衡后,才能决定哪些损害是法律上可以赔偿或可以补救的损害。 依据损害能否通过金钱加以计算,可以将损害分为财产损害与非财产损害。凡是具有财产价值,能够以金钱加以计算的损害都是财产损害。非财产性损害,是指无法以金钱计算,也无法基于真实的市场交易将其物化为具体财产类型的损害。严格来说,非财产性损失的涵义要广于精神损害。因为,除了精神损害是无法参考市场通过客观的经济方法以金钱加以计算的损失,还有其他一些损害如自由的丧失、休假日的落空、时间的无端浪费、失去物的使用等,都存在无法以金钱计算的问题,故此也可归为非财产性损害。《民法典》第1179、1182、1184条规定了对财产损害的赔偿,第1183条规定了对精神损害的赔偿。 (二)风险的增加及焦虑能否被认定为侵害个人信息权益的损害 在中国民法上,个人信息权益性质上属于人格权益。因此,侵害个人信息权益会给作为信息主体的自然人造成财产损害与精神损害。前者包括因为个人信息被非法处理,为维护权益而支出的诉讼费、律师费、公证费、交通费等费用的支出,以及因为个人信息泄露而被第三人实施电信网络诈骗或其他侵权行为所遭受的财产损失;后者包括个人信息中的私密信息等被泄露导致的内心的痛苦、愤怒等。值得研究的是,如果个人信息处理者并未因非法处理个人信息的行为而给个人造成确定的财产损害或精神损害,能否将因为个人信息泄露而增加的安全风险或者因为担心将来会遭受欺诈的焦虑不安等认定为法律上可赔偿的损害呢? 个人信息被泄露或未经授权的访问的确在客观上增加了个人未来遭受第三人侵权的风险,然而,这种风险以及对风险的焦虑过于不确定,与个人信息权益被侵害之间的因果关系过于遥远。因为在个人信息泄露后会被哪些第三人非法使用,使用人会有多强的意图来进行非法利用,非法利用的行为究竟会选择哪些个人信息被泄露的主体,会侵害个人的何种民事权益,等等,都难以确定。换言之,受害人因为个人信息泄露而被侵害的风险性质上属于在未来的不确定期限内遭受不特定的人实施不特定的侵害行为的风险。毫无疑问,此种风险与个人信息泄露即个人信息权益被侵害之间的因果关系实在过于遥远,不仅具有很强的推测性,而且中间可能有太多的介入因素或行为在起作用(如第三方黑客的各种技能和意图)。因此,将这种风险以及对这种风险的焦虑作为确定的、法律上可救济的损害,对于传统确定财产损害的差额说构成太大的冲击,而在我国法上也不能将单纯风险的增加纳入到精神损害当中。此外,在没有损害的情形下,强行扩张损害的概念并判决个人信息处理者承担巨额的赔偿责任,等于变相承认了惩罚性赔偿责任,这也与中国《民法典》第179条第2款关于惩罚性赔偿必须由法律加以规定的要求不符。 需要说明的是,在个人信息泄露的情形下,个人为了避免因个人信息泄露而遭受电信网络诈骗或者其他侵权行为,采取了相应的预防措施而支出的成本与费用,如更换银行密码、购买防止身份盗窃的保护和信用监控服务等,这些损失属于现实的、确定的,并且与个人信息权益被侵害存在相当因果关系。故此,只要没有超出合理的范围,侵权人当然应当承担赔偿责任。   三、侵害个人信息权益的财产损害赔偿 (一)侵害个人信息权益造成的两类财产损害 侵害个人信息权益的财产损害指个人因其个人信息权益被侵害而遭受的能够通过金钱加以计算的损害。从中国司法实践来看,最常见的侵害个人信息权益的财产损害就是自然人的个人信息因个人信息处理者没有履行安全保护义务而被泄露,使得自然人遭受了犯罪分子的电信网络诈骗。在这些案件中,受害人不仅是个人信息权益遭受了侵害(个人信息被泄露),其他民事权益如财产权益、生命权、健康权等也遭受了侵害。所以,由此产生的财产损失与个人信息权益被侵害之间的因果联系相对而言较为遥远,也有学者将此种损害称之为“个人信息侵权下游损害”。对于这种损害的赔偿,理论界和司法解释基本上都予以认可,存在争议的只是个人信息处理者与第三人之间究竟如何承担责任。个人信息处理者侵害个人信息权益造成的另一类财产损失,就是非法处理行为直接给信息主体造成的财产损害。这些损害在实践中往往表现为受害人为了维护其个人信息权益而支出的合理维权成本,如为保全证据支出的公证费、向法院起诉的诉讼费、支付的律师费、交通费等。 (二)个人信息权益的商业化利用与财产损害 因个人信息权益被侵害而导致个人信息主体丧失了对个人信息进行商业化利用的损失,此种情形是否属于侵害个人信息权益的财产损失,应否予以赔偿?这涉及个人信息权益的商业化利用问题。从中国《民法典》第993条的规定观察,人格权主体可以许可他人使用的人格要素包括“姓名、名称、肖像”,其中并未明确个人信息。笔者认为,个人信息可以被商业化利用。从《民法典》与《个保法》对个人信息的界定来看,肖像、姓名以及声音等即属于个人信息,它们皆是可以被商业化利用的对象。个人信息中的私密信息属于隐私,私密信息在不违反法律和公序良俗的原则时,也是可以被商业化利用,剩下的非私密信息就更没有问题。因此,侵害个人信息权益也会给直接给信息主体造成财产损害,只不过个人信息存在定价的困难,而通过授权他人处理个人信息而取得相应报酬或费用的实践尚不充分。 四、侵害个人信息权益的精神损害赔偿 (一)侵害个人信息权益造成的两类精神损害 个人信息权益与其他人格权重叠时,侵害个人信息权益也往往侵害了姓名权、肖像权、隐私权、名誉权等具体人格权。此时,可以说自然人遭受的精神损害是因为侵害这些具体人格权所致,比较容易认定。 另外一类侵害个人信息权益所造成的精神损害赔偿,是指单纯的因侵害个人信息权益并未同时侵害其他具体人格权而给自然人造成的精神损害。在此种情形下,由于侵害个人信息权益的同时并未给信息主体的名誉权、隐私权等具体人格权造成侵害,因此,如何认定个人是否遭受精神痛苦存在很大的困难。因为精神损害并不如财产损害那样,可以通过差额说加以确定,受害人是否遭受精神或心理上的痛苦,痛苦或不安的程度,往往难以确认。 (二)精神损害赔偿数额的确定方法 如果按照《民法典》第1183 条第1 款的要求,单纯的侵害个人信息权益案件(即不构成同时侵害隐私权、名誉权等其他人格权)中,受害人要证明自己遭受了严重的精神损害后,才能要求个人信息处理者承担精神损害赔偿责任,这往往非常困难。有的学者认为,《民法典》第1182条的规定和《个保法》第69条第2款的规定在性质上是相同的,都只是对财产损害赔偿的规定,侵害个人信息权益的精神损害赔偿仍然要适用《民法典》第1183条第1款,即以严重精神损害为要件。 笔者不赞同上述观点。事实上,正是考虑到对侵害个人信息权益适用《民法典》第1183条第1款,以严重精神损害作为要件所存在的弊端,《个保法》第69条第2款才做出了改变,即对《民法典》第1182条的适用范围进行扩张,将该条确立的规则适用于侵害个人信息权益造成的财产损害和精神损害。从《个保法》第69条第2款的规定观察可知,这一规定来自《民法典》第1182条,而《民法典》该条是对侵害生命权、身体权和健康权这三类人格权之外的人身权益造成的财产损失的赔偿,主要也是为了解决人格权主体的经济利益被侵权人侵占的问题。但是,《个保法》第69条第2款的不同之处在于,其使用的表述是“前款规定的损害赔偿责任”而非《民法典》第1182条规定的“侵害他人人身权益造成财产损失”。所谓损害赔偿责任当然包括了财产损害赔偿责任以及精神损害赔偿责任。只要侵害个人信息权益造成损害的,无论财产损害还是精神损害所导致的赔偿责任,都可以适用《个保法》第69条第2款提供的三种方法确定损害赔偿数额,即按照个人因此受到的损失或是个人信息处理者因此获得的利益确定,如若这二者都仍难以确定,则由法院根据实际情况酌定赔偿数额。这样的规范不论是出自立法机关的有意或是无心,都正好解决了侵害个人信息权益造成精神损害往往很难被认定为严重精神损害的问题,从而使得法官可以根据实际情况来确定精神损害赔偿的数额。 五、侵害个人信息权益的国家赔偿责任 (一)国家机关处理个人信息的规范模式 对于国家机关处理个人信息的活动是否为个人信息保护法或数据保护法所调整,在比较法上有两种类型,即统一立法模式与分别立法模式。中国始终采取的都是统一立法模式,没有区分国家机关与非国家机关的个人信息处理行为分别立法,而是统一加以规范。《民法典》在规定个人信息保护的过程中,特别在第1039条针对国家机关、承担行政职能的法定机构及其工作人员对于隐私和个人信息的保密义务作出了规定。《个保法》继续采取了统一立法模式,即处理者不限于非国家机关,也包括国家机关等组织,即不论任何组织或个人,只要从事了个人信息的收集、存储、加工或使用等处理活动,就应适用《个保法》。《个保法》第33条第1句明确规定“国家机关处理个人信息的活动,适用本法”,这就明确了该法采取的是统一立法模式。然而,考虑到国家机关与非国家机关个人信息处理行为存在一定的差异,立法者在《个保法》第2章个人信息处理规则中,专门设立了第3节“国家机关处理个人信息的特别规定”加以规范。 (二)国家机关等处理个人信息侵害个人信息权益的赔偿责任 中国个人信息保护规范采取了统一立法模式后,随之产生的一个重要问题就是,《个保法》第69条所规定的侵害个人信息权益的损害赔偿责任的性质问题。如果是国家机关、承担行政职能的法定机构处理个人信息时侵害个人信息权益造成损害的,究竟是民事赔偿责任还是国家赔偿责任,值得研究。 依据《中华人民共和国国家赔偿法》(以下简称《国赔法》)第2条第1款规定,国家机关与国家机关工作人员行使职权,有《国赔法》明文规定的侵犯公民、法人和其他组织合法权益的情形,并且造成损害的,受害人有权依《国赔法》请求国家赔偿。换言之,哪些情形下才会产生国家赔偿责任必须严格依据《国赔法》的规定。个人信息权益属于自然人的人身权益,而对照着该法第3条和第17条的规定,显然没有包括在内。因为这两条仅仅适用于限制、剥夺公民的人身自由,或者造成公民身体伤害或者死亡的情形。 这就意味着,除非对《国赔法》加以修订,否则无论是行政机关及其工作人员在行使行政职权时,还是行使侦查、检察、审判职权的机关以及看守所、监狱管理机关及其工作人员在行使职权时,侵害个人信息权益造成损害的,都应当依据《个保法》第69条的规定承担民事赔偿责任,而不适用国家赔偿责任。如果《国赔法》修订,将上述情形纳入国家赔偿的范围,依然会存在国家机关因处理个人信息侵害个人信息权益而承担民事赔偿责任的情形。因为并非国家机关处理个人信息的行为皆属于行使职权的行为。事实上,即便是依据《个保法》第13条第1款第3项,个人信息处理者为履行法定职责而处理个人信息的,也并非都是行使职权的行为。 六、结语 个人信息保护法是一个融汇公法与私法的领域法,要实现既充分保护个人信息权益,又促进个人信息的合理利用的立法目的,就必须兼采公法和私法的调整方法。 科学合理的个人信息侵权责任制度既有利于充分调动私人的积极性,针对侵害个人信息权益的各类侵权人提起民事诉讼,也能更好地明确个人信息处理规则,使得个人信息处理者采取措施侵权责任的发生,依据合法、正当、必要、诚信、目的限制原则等基本原则处理个人信息,协调个人信息权益保护与个人信息合理利用的关系。 本文经过作者授权许可,精选自作者发表于《云南社会科学》2023年第2期的论文《个人信息侵权的损害赔偿责任》。 编辑 | 张毅铖 排版 | 李璟任 校对 | 孙鸿亮 “人工智能与网络法前沿”公众平台 |
|
|
