|
(一)如何“证明自己没有过错”? 《个人信息保护法》规定,对于处理个人信息造成他人损害的,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。从这个法条来看,采取的举证责任倒置的表述,即是由个人信息处理者(通常是被告)来证明自己没有过错,类似的表述,我们在以前的侵权责任法和现在的民法典中都能找到。对于这个规定,我觉得审理时需要把握以下几点: 1、该条规定的仅仅是过错上的举证责任倒置,而不是侵权其他要件上的举证责任倒置。这样的案件通常是侵权案件,原告需要证明被告实施了不法行为、不法行为与损害后果之间的因果关系以及损害 事实。过错上的举证责任倒置,并不能免除信息主体(通常是原告)对于其他侵权构成要件的举证。不是原告只要随便找到一个信息处理者告到法院就万事大吉了,原告的举证负担仍然很重。单单就证明被告是侵权主体,被告实施了不法行为就是很重的举证负担。有的情形下,证明是被告实施了侵权行为可能容易得到法院的支持。例如,家长去给孩子报了学科培训,突然有其他培训机构给自己发培训信息;年轻父母去医院生娃,马上收到给孩子做胎毛笔的商业信息;刚刚买了汽车,就收到给汽车贴膜的商业广告。在这样的特定情况下,间隔时间短、广告推送的精准,也许会让一般人也相信就是某个特定机构泄露了商业信息。但是,现代社会信息流转的渠道不胜其举,在缺少特定联系点的情况下,要认定某个被告就是侵权主体则比较困难,而且越是普遍的不法行为越是难以证明。例如,我们的手机经常会收到各种垃圾短信、商业广告,某个消费者能够直接告移动或者联通吗?恐怕就比较困难,因为日常生活中登记手机信息的情况太多了,投递简历、网购、去医院就医、就学校就学都会留下个人的手机信息。因此,在这类案件中,信息主体仍应首先举证证明被泄漏的信息与信息处理者之家具有高度可能性,让法院相信大概率是被告实施了侵权行为。比如机票预订,除涉及姓名、联系方式等个人信息外,还涉及特定的航程信息,如果消费者举证泄漏的信息只是手机信息、个人住址等信息,不包括航程信息,则认定航空公司泄露了相关其手机信息、个人住址就比较困难。如何解决大量存在的、我们都已经麻木的侵权行为中的侵权主体,才是更棘手的问题,恐怕非引入刑事手段不能解决。 2、是否尽到合理注意义务需要结合信息处理者是否履行了法定职责,判断侵权行为的实施是否是其无从防范。 侵权责任法的发展趋势之一是过错的客观化,不是从单个行为人的主观状态认定其过失,而是依据行为人是否尽到合理的注意义务判断其有无过失。在实践中,个人信息处理者仅仅称其主观上不想侵害是难以免责的。未尽到合理的注意义务的,便可以认定其存在过错。 实践中,个人信息处理者的有的行为可以直接被认定为存在过错,因为其违反法定职责的特征太明显了,比如未经许可主动收集、主动使用、商业化运营,这明显违反了相关法律规定,实践中一般不会有争议。比较容易有争议的是“泄露”个人信息的情况。在涉及的是“泄露”个人信息的情形之下,被告要做的,首先是证明自己有严格的制度,而且严格遵守了法律规定和行业规范的制度。实践中很多公共运营企业是委托外包公司进行个人信息处理,或者经营中会和一些其他机构共享这些信息(例如订票网站、旅游网站),那么被告的举证负担就会更重,不但要证明自己有严格的制度,还要证明合作的外包方、相关信息公司也有严格的制度且遵守了这些制度。根据个保法第20条、第21条的规定,这些情形分别可以纳入委托他人处理个人信息或者共同处理个人信息、职务代表行为的范畴,相关被告仍然要承担侵权责任。这种举证尽管很难被法院采信,但是被告也必须要做,因为你不做,会更加减少法官的内心确信。 其次,被告要举证证明个人信息泄漏是该信息处理者无法控制或管理的第三方实施的,这是一种反向的直接证明的途径。通俗地说,这是要证明侵权行为是第三人侵权。例如,信息泄露是由黑客、犯罪分子或者其他人入侵系统而造成的,信息处理者已经采取了应有的技术能力范围内安全保障措施。被告已经采取了当今业内领先的防范技术,黑客是个超人,入侵的手段在现在的手段下难以防范(有的黑客手段高超到可以入侵军方数据库);再比如,政府因公共管理需要在使用处理这些个人信息时造成泄露,也可以免除处理者的责任。因为信息处理者有义务配合政府、服从政府的要求。有一个基本法谚,“法律不强人所难”,在认定过错上也是如此。因此,在第三人的侵权行为是被告无法预料、无法阻止的情形下,是可以免除被告的责任的。 (二)损失如何确定 个人信息保护法对此的表述是:损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;损失和利益难以确定的,根据实际情况确定赔偿数额。这样的表述,在以前的侵权责任法和民法典中不常见,在相关司法解释中可见。我认为可以参考知识产权、人脸识别司法解释及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件司法解释的相关规定来理解: 1、真正落实财产损害赔偿制度中的“填平原则”。要改变“十赔九不足”的情形,在确定损失范围时,不仅要包括直接损失,也要包括间接损失。比如实践中因个人信息被泄漏后,被他人盗用导致个人财产损失;个人信息被非法交易后,个人维权所产生的财产支出,包括调查取证费用、合理的律师费用计入赔偿范围。在确定侵权行为和损失之间存在因果关系时,应该适当从宽,只要具有相当的因果关系即可,不能对被害人过于严苛。 2、根据案情可以责令侵权人提交相关报表、账册,以此来帮助确定“获利”。“获利”包括了直接增加的收入和减少的成本。确定被告获利多少,都需要基本的账册。在知产案件中,人民法院为确定赔偿数额,在权利人已经尽力举证,而与侵权行为相关的报表、账册、资料主要由侵权人掌握的情况下,可以责令侵权人提供与侵权行为相关的资料;侵权人不提供或者提供虚假的账簿、资料的,人民法院可以参考权利人的主张和提供的证据判定赔偿数额。在审理涉及个人信息的案件中,法院可以参照知产案件中的做法,责令侵权人也要提交相关资料,声称自己没有的,就要承担不利后果,法院应该就更多采纳原告主张的计算方法。实践中,有的侵权企业会在没有案件的时候进行一些宣传,例如宣传自己利润、销售额、市场占有率等,这些数据可以作为利润、金额的一个参照。需要注意的是,个人信息案件不同于知产案件的地方。知产案件有合法、正常的市场,例如商标使用费、专利许可使用费等,都有比较成熟的市场,可以拿来参照。而个人信息案件中,似乎不大有这样的市场,有的也可能是“不合法”的市场,例如出售一个手机号、一个身份证多少钱,基本上是非法市场的价格。在实践中一般不会拿来参照。 3、建议赋予法官对于实际损失的自由裁量权。实践中,被侵权人往往难以证明财产损失,或者侵权人所获的的利益难以认定,此时由法官根据案件具体情况确定一个赔偿数额,就是一个合理的选择。具体考量的因素可以包括个人信息被侵权的类型、持续范围、侵权行为的时间、空间维度、侵权情节与方式、侵权人主观过错等。过去,知产案件中,侵犯著作权的酌定赔偿数额是50万,侵犯商标权是300万,现在已经调整到500万。 域外的经验:日本网络安全协会(简称“JNSA”) 安全损害调查工作组,出具过一份《关于信息安全事件的调查报告 附件》,提出了一个确定信息损失的公式。 (1)泄露信息的价值计算公式(P7) 泄露个人信息的价值=基础信息价值×敏感信息度×识别本人难易度 基础信息价值:无论信息种类如何,基础值一律按照500点计算。
【这里的X和Y是下图的“精神痛苦”和“经济损害”。其中泄露多种信息时,按照最大值计算。(P8)】
识别本人难易度:判断标准如下
(2)信息泄露原组织的社会责任度
(3)事后对应评价
拟定损害赔偿金额=泄露个人信息价值×泄露个人信息原组织的社会责任度×事后对应评价 4、对于情节恶劣的侵权,可以引入惩罚性赔偿机制。《个人信息保护法》以严格著称,但这种严格更多地体现在行政处罚责任,如营业额的5%的罚款。在民事责任层面,如前所述,个人信息泄露对于个人的损失在大多数情况下是很难衡量的,甚至很多情况下个人信息处理者没有获得利益。所以,有必要去探索对于侵犯个人信息的惩罚性赔偿制度。目前民法典对于惩罚性赔偿的适用有特定的范围,集中在欺诈消费者、环境侵权这方面。是否能够在将来合适的时候,引入侵犯信息权的惩罚性赔偿制度,大家需要共同努力。 (上海市长宁区人民法院副院长 王飞) |
|||||||||||||||||||||||||
|
|
