丁晓东:中国人民大学法学院教授、未来法治研究院副院长
本文来源于《国家检察官学院学报》2022年第5期
个人信息的侵权救济与司法保护存在众多难题。曾几何时,侵权法在隐私权保护中扮演了毫无争议的关键角色。无论是美国普通法体系下的隐私保护,还是大陆法系以人格权为基础的隐私保护,都依赖法院进行侵权法保护。但到了个人信息保护,一系列争议性问题开始出现。
其一,如何理解和适用基于个人信息权利的诉讼?在我国《个人信息保护法》的立法过程中,一二审稿并未规定个人可以基于知情权、决定权、查阅复制权、转移权、更正补充权、删除权、解释说明权、死者亲属信息权等权利而提起个人信息诉讼。但终稿第50条第2款增加规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼”,这打开了个体向法院寻求信息权利救济的大门。如何理解这类权利诉讼的性质与诉讼规则?这类诉讼是否为人格权的侵权诉讼,可以适用人格权禁令,还是一般侵权诉讼,适用一般过错原则,抑或因拒绝个人行使权利而造成了“损害”,从而应当适用《个人信息保护法》第69条规定的过错推定原则?又或者,此类信息权利诉讼是一种具有公益性质的私人诉讼,因此其适用原则应更类似向监管机构提起的举报与申诉?
其二,如何理解和适用造成损害的个人信息侵权之诉?我国《个人信息保护法》第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。在个人信息处理所导致的损害中,这一规定面临若干挑战。首先,如何界定损害?一方面,损害可以做非常宽泛的界定,将违反法定个人信息权利与信息处理者义务的各种行为均视为损害,例如当信息处理者没有设置隐私政策,未提供查阅复制权、转移权、更正补充权、删除权等各项权利均视为损害;另一方面,损害也可以做狭义界定,仅仅认可具体损害,而将各类违规行为、风险与焦虑排除在侵权损害之外。不同界定将导致个人信息侵权救济的范围不同。其次,如何理解与适用归责原则?《个人信息保护法》第69条确立了过错推定原则,但在规制与侵权交错的背景下,如何理解过错仍是一个难题:信息处理者违法违规,是否就意味着存在过错?反之,信息处理者合法合规,是否等同于不存在过错,或者可以作为免责抗辩?再次,由个人信息引发的侵权案件中,常常存在因果关系复杂的特征,法律应当如何确定侵权与损害之间的关系?最后,如何确定个人获得的救济与赔偿?在人身财产损失中,个人的损失额度相对容易确定,但大量案件给个人造成的损害都属于微型侵权或个人信息泄漏造成的风险性损害。
这些问题环环相扣,密切交融,例如不存在明确损害的个人信息权利之诉与存在明确损害的个人信息侵权之诉的关系,就与“损害”的界定密切相关。如果损害做宽泛界定,则二者就可能合二为一;相反,则二者可能应适用完全不同的制度。同时,上述问题也与不同国家和地区的法律制度密切相关,例如在美国背景下,个人信息侵权的司法救济门槛较高,其立法只赋予了个人有限的诉权,同时法院又进一步限缩了个人的诉权;欧盟则设置了独立监管机构与法院的二元救济途径。我国在实体法层面更接近欧盟模式,但在机构设置上并未仿效欧盟设立独立监管机构,反而与美国的多元救济模式有一定相似性。
基于这一主题的重要性与复杂性,本文对侵害个人信息的司法救济进行整体性思考。首先从比较法的视野分析侵害个人信息的司法救济,借此厘清域外和我国个人信息司法救济的整体图景。其后,依次分析不存在明确损害的个人信息权利之诉与存在明确损害的个人信息侵权之诉。本文认为,二者的重心都应从个体补偿救济转向公共治理。其中,个人信息权利具有程序性与工具性特征,个人信息权利之诉应当被视为一种申诉与举报,法院应当在此类诉讼中发挥独立监管机构的角色;而个人信息侵权之诉的制度目标则应从个体损害赔偿救济转向合理威慑。在两种诉讼制度下,法院也都应该和行政机关、检察机关协调互动。综合而言,侵害个人信息的司法救济应当服务于个人信息治理的总体目标,侵权法与司法制度都应根据这一目标而进行制度升级与功能定位。
一、比较法视野下的个人信息司法保护
(一)欧盟
在比较法上,欧盟的个人信息司法保护采取了权利救济与侵权赔偿的二元模式。就权利救济而言,《一般数据保护条例》第79条规定了“针对控制者或处理者的有效司法救济权”,该条第(1)款规定:“任何数据主体认为,由于违反本条例而处理其个人数据,导致其被本条例所赋予的权利被侵犯,在这些情形下其都有获取司法救济的权利”。从性质上看,这一条款并非传统侵权救济,而是提供了对个人信息被保护权这一基本权利救济,具有私人触发公共执法的特征。
这是因为,欧盟将个人数据被保护权视为一种源自《欧盟基本权利宪章》的宪法性权利,正如《一般数据保护条例》第1条第2款所言:“本条例保护自然人的基本权利和自由,特别是其个人数据被保护的权利”。在这种个人信息权利定位下,数据主体向法院提起权利请求,本质上是请求法院对个人信息权利进行确认与执法,而非对传统侵权法意义上的“损害”进行赔偿。
也正因为如此,《一般数据保护条例》在第79条之前设置了个人向监管机构提起个人信息权利申诉的规定。第77条规定:“在不影响任何其他行政或司法救济的前提下,每个数据主体都有向监管机构进行申诉的权利”。如果个人信息权利之诉为传统侵权损害之诉,则监管机构不应具有此类权力,因为传统侵权损害之诉一般只能为法院救济,监管机构不应对此类侵权进行救济。
此外,也正是因为个人信息权利之诉是一种私人执法机制,《一般数据保护条例》引入了“数据主体代表制度”,第80条第2款规定:“不论数据主体是否委托”,符合条件的“任何机构、组织或协会如果认为本条例所规定的数据主体的权利已经因为处理而受到侵犯,都有权在成员国向第77条规定的有权监管机构提起申诉,行使第78条和第79条规定的权利”。如果个人信息权利之诉为传统侵权损害之诉,此类申诉或诉讼将无权提起。
个人信息权利之诉还有若干问题需要注意。其一,个人信息权利并非绝对性权利,而是一种工具性权利或程序性权利。正如《一般数据保护条例》“重述”所言:“个人数据保护权不是一项绝对权利;必须结合其在社会中的作用加以考虑,并与其他基本权利相平衡”。这就意味着监管机构或法院在确定个人信息权利边界时,必须考虑与言论自由、信息自由、商业自由等多种价值相平衡。其二,在个人信息权利之诉中,欧盟法院实际上扮演独立监管机构的角色,发挥和欧洲数据保护监管局类似的功能。在此类诉讼中,法院不仅需要理解技术类专业知识,而且其适用的规则也不同于传统侵权诉讼。
就造成损害的侵权赔偿之诉而言,欧盟法院采取了传统的侵权法模式。第82条规定了“获取赔偿的权利与责任”,该条第(1)款规定:“任何因为违反本条例而受到物质或非物质性伤害的人都有权从控制者或数据者那里获得对损害的赔偿”。第(2)款和第(3)款进一步规定:“任何涉及到处理的控制者都应当对因为违反本条例的处理而受到的损害承担责任。对于处理者,当其没有遵守本条例明确规定的对处理者的要求,或者当其违反控制者的合法指示时,其应当对处理所造成的损失负责”“控制者或处理者如果证明自己对引起损失的事件没有任何责任,那么其第2段所规定的责任可以免除”。
欧盟的侵权损害之诉也有若干要点值得关注。其一,其对损害赔偿的界定仍然较为狭窄,违法并不等于损害。《一般数据保护条例》的“重述”规定:“损害的概念应根据法院的判例法进行广义解释”,这一规定曾经引起疑惑,是否违反《一般数据保护条例》,即构成对个人的损害?欧盟委员会对此给出了明确否定的回答,要求必须提供额外证明来证明损害的存在。在司法实践中,欧盟各国法院也作出判决,对于没有造成损害的违法行为,原告无法获得赔偿。区别主要在于对于非物质性损害的解释,有的欧洲国家对损害采取了较为宽泛的解释,将个人尊严、自主权丧失、焦虑和痛苦都视为损害,而有的国家则解释较窄,只承认引起精神疾病的损害。其二,在归责原则方面,《一般数据保护条例》留下了解释空间与紧张关系,一方面第82条第(2)款将“违反本条例”作为侵权的前提;但另一方面第82条第(3)款又引入了证明自己“没有任何责任”的抗辩,这就可能导致合规与侵权的紧张:例如当信息处理者进行了完全合规的操作,但却导致了本应可预见的损害,此时信息处理者是否可以以合规作为不存在责任的抗辩?反之,当信息处理者存在违规之处,是否这必然意味着其对侵权损害存在责任?
(二)美国
美国对于个人信息的司法救济较为有限。在已进行联邦层面个人信息立法的领域和若干已经进行消费者隐私法立法的州,美国法院对个人信息仅提供侵权法保护,但不提供类似欧盟的纯粹基于个人信息权利的诉讼。在立法上,美国法对于诉讼权利的规定就较为谨慎,从联邦层面的《健康保险可携性和责任法案》(HIPPA)《儿童在线隐私法案》(COPPA)到州层面的《加州消费者隐私法案》(CCPA),美国的个人信息保护法并不允许个人针对信息权利向法院寻求救济,救济的权利主要被赋予了监管机构或州检察长。只有在涉及个人信息泄漏等情形下,个人才可以像法院提起诉讼,寻求司法救济。
使得司法救济更为困难的是,即使某些个人信息立法赋予了个人向法院寻求救济的权利,法院也不予支持。美国法院从《美国宪法》第3条出发,认为个人不能仅仅依据法定权利而提起诉讼,法院只能受理“案例”(cases)或“争议”(controversies),且必须以损害作为前提。在2013年的Clapper v. Amnesty International案中,美国最高法院认为,针对美国国家安全局的大规模监视,原告仅推测可能存在监视,未能证明存在“实质性风险(substantial risk)”的伤害,因此不具有诉权。在2016年的Spokeo,Inc. v. Robins案中,一家提供个人信用与背景调查的网站Spokeo收集了当事人Robins的信息,但其信息存在错误,误将当事人的资料填为富有、已婚以及具有专业背景的人员,当事人依据美国的《联邦公平信用报告法案》提起更正请求,但遭到了网站的拒绝。当事人于是向法院提起诉讼,认为网站的错误信息损害了其就业机会,使得一般企业不敢雇佣当事人。但在此案中,美国最高法院认为,侵权法的救济要求损害必须是“具体的(concrete)”,“无形的伤害(intangible harm)”只有在满足“真实的损害风险(real risk of harm)”的情形下,才可能得到救济,法院据此将案件发回下级法院重审。其后,在2021年的TransUnion LLC v. Ramirez案中,美国联邦最高法院又再次确认,企业没有向消费者披露其收集的个人信息或个人信息收集存在错误,并不构成对个人的“具体伤害”(concrete harm)。
当然,美国法院仍然允许对少部分个人信息违规行为进行侵权救济。其一为造成具体伤害或一定预期伤害的信息处理行为。这类侵害行为可能是身体或经济伤害,例如信息处理者将个人信息贩卖给犯罪分子,用以伤害个人或盗取存款,也可能是名誉伤害、歧视伤害等人格性伤害。其二,对于可能造成实质性风险的数据泄露或数据违规披露等行为,美国法院也允许提起侵权之诉。美国在州层面大都制定了数据泄露法,并且允许提起侵权之诉。例如《加州消费者隐私法案》规定,企业违反安全程序,而致使消费者的个人信息受到未经授权的“访问和泄漏、盗窃,或披露的”,消费者可以提起民事诉讼。上文提到的2021年的Ramirez案,美国最高法院虽然否定了一部分群体基于个人信息知情权与更正权而提起诉讼的资格,但认为未经当事人同意向第三方提供信息构成了具体伤害,因而这部分群体仍然具备诉权。
美国的个人信息司法救济也有若干点需要注意。其一,美国收紧侵权法司法救济的做法受到了很多隐私法学者的批判。例如在Spokeo案的法庭之友意见中,多位著名的信息隐私法学者指出,国会制定《公平信用法案》明确授予了个人以访问权、更正权等消费者权利,违反这些权利并“不意味着没有伤害”,恰巧相反,这说明“国会认识到记录这种伤害的难度”,因此以一种法定损害和赔偿的方式在成文法里进行规定。其二,虽然美国联邦层面的侵权法救济门槛较高,但美国规制机构在个人信息执法中扮演了重要角色;特别是联邦贸易委员会(FTC),在个人信息保护中发挥了关键性作用。美国的个人信息保护整体上采取市场规制的路径,联邦贸易委员会对“不正当与欺诈性贸易行为”进行监管。此类监管的目的在于确保市场秩序的公平竞争,并对个体进行损害救济。其三,联邦贸易委员会虽然在性质上为规制机构,但这类规制机构也具有典型的司法特征,包括联邦贸易委员会在内的很多机构在执法时,实际上采取了基于案例的执法,并且赋予被执法者抗辩、和解、诉讼等诸多权利,而非通过发布规制或命令进行执法。也因此,美国联邦贸易委员会的执法有时也被称为普通法(common law)保护。
二、迈向治理的个人信息权利之诉
在实体法规定方面,我国《个人信息保护法》采取了与欧盟《一般数据保护条例》近似的立法模式。二者都将个人信息权利的渊源追溯到宪法层面,同时二者都规定了知情同意权、决定权、查阅复制权、转移权、更正补充权、删除权、解释说明权等个人信息权利。只不过我国《个人信息保护法》的表述略有区别,例如我国采用了“决定权”“更正补充权”“转移权”的表述,这与欧盟中的相关信息权利构成细微区别。如果仅从《个人信息保护法》看,则我国的个人信息权利诉讼应该与欧盟类似,也应该是一种公法基本权利在民事领域的直接适用。
但《民法典》对于个人信息权益的相关规定使问题较为复杂。在制定《个人信息保护法》之前,《民法典》人格权编第1035-1039条就规定,自然人可以向信息处理者查询复制、更正、删除信息。在这一背景下,个人信息权利之诉到底是民事权利之诉,还是公法基本权利之诉?如果是民事权利之诉,是否可以说,个人信息权利是一种人格权,因此适用人格权侵权的一般规定,甚至可以适用人格权禁令制度?又或者,当个人依据《民法典》相关规定提起个人信息权利诉讼时为人格权侵权之诉,而依据《个人信息保护法》时为公法基本权利之诉?
首先,无论个人依据《民法典》个人信息条款还是《个人信息保护法》提起的诉讼,都应当被视为同一性质的法律行为。如果个人依据这两部法律所进行的同一行为性质不同,将造成司法适用的混乱与法律体系的冲突。其次,我国的个人信息权利之诉应当被定位为公私法高度融合的权利之诉。原因在于,无论是《民法典》个人信息条款还是《个人信息保护法》,实际上都以“处理关系”为核心,都不是传统意义上针对国家的诉讼或针对平等主体的民事诉讼。《个人信息保护法》自不必说,其所有规定都围绕“处理关系”展开;需要强调的是,即使是《民法典》个人信息保护条款,在其条款里也明确将“处理关系”作为前提。就此而言,《民法典》中的个人信息保护条款,从性质上应理解为一种融合了公法价值的新民事权利。如此,《民法典》中的个人信息保护条款将和《个人信息保护法》高度协调,为个人信息权利诉讼提供融贯一致的法律基础。
在救济方式上,个人信息权利之诉也应进行相应设计。无论是依据《民法典》个人信息条款还是依据《个人信息保护法》提起诉讼,都应将其视为类似像独立监管机构提起的申诉,而非传统民事侵权之诉。传统民事侵权之诉要么建立在损害的基础上,要么建立在财产权、人格权等绝对性权利的基础上,但个人信息权利是一种国家赋予的积极性权利,在个人信息权利之诉中,个体在民事上所受的损害,如果剔除隐私权、名誉权等传统人格权,并没有其他明显损害。例如企业不提供隐私政策,不支持个体的访问权、更正权、删除权等权利请求,很难说个体就受到了明确“损害”,或者个体人格权益受到了重大侵害。只有当个人信息泄漏,或者信息处理者利用个人信息实施了其他侵犯个人权益的行为,此时“损害”才较为明显。
值得注意的是西方学界对个人信息诉讼中“损害”的讨论。正如上文所述,很多西方学者曾经对“损害”作扩大解释,例如西特鲁恩(Danielle Citron)和索洛夫(Daniel Solove)两位学者在最近发表的《隐私伤害》一文中,二位学者一口气列举侵害个人信息可能造成的十四种伤害:身体伤害、经济伤害、名誉损害、情感伤害、关系伤害、寒蝉效应伤害、歧视伤害、期望挫败伤害、控制伤害、数据质量伤害、知情选择伤害、脆弱性伤害、干扰伤害、自主性伤害。但这类研究主要针对美国背景下个人信息救济不足的问题。这些学者对损害做扩大化论述,其原因是如果对损害做狭窄界定,那么美国司法将在很大程度上缺席个人信息保护。例如克雷默(Seth Kreimer)认为,诉讼资格的限定将导致“在网络化、系统化、基于信息的伤害时代,司法系统将变得越来越无关紧要”。科恩(Julie Cohen)教授则更是从政治经济学的角度,认定法院不愿对个人信息保护中的风险进行救济,是一种经济与社会技术支配的结果,会让法院无力应对社会问题。
反观我国,由于直接赋予个人信息权利的诉权,并不存在美国背景下的司法救济门槛过高的问题。相反,我国的问题在于如何使法院具备与个人信息诉讼相应的制度功能。上文已经提到,个人信息权利并非绝对性权利,这一权利与信息自由、公众知情权、企业经营自主权等很多基本权利存在冲突。进一步分析,可以发现很多权利的行使还可能面临侵犯隐私、技术不可行等难题。例如查询复制权的行使,在效果上会倒逼企业收集更多个人信息,以满足个体行使访问权的请求;删除权的行使,除非对硬盘进行物理毁灭,在技术上几乎不可能实现永久性删除;携带权的行使,则更受限于技术与场景。在这样的背景下,法院就必须从治理的角度对相关权利进行分析:个人信息权利之诉并不是寻求对个体损害的补偿,也并非对具有绝对权性质的人格权的确认,而是在具体场景中分析不同信息权利是否有利于信息处理关系的治理。法院不仅需要衡量不同信息权利所期望达到的功能与目标,而且需要具备技术与专业化知识对此进行判断。
综合而言,我国个人信息权利之诉是合作治理下的一种制度,其个体救济与公益保护密切融合;合作治理的研究常常将此类诉讼中的个体称为“私人总检察长”(private general attorney)。1943年,杰罗姆·弗兰克(Jerome Frank)法官首先使用了这一术语,其后,法院不时利用这一术语来表明私人诉讼的公益性质。例如在伊利诺伊州最高法院在罗森巴赫诉六旗娱乐公司案(Rosenbach v. Six Flags Entertainment Corporation)中,法院指出,立法机关制定《伊利诺伊州生物识别信息隐私法》(BIPA)并赋予个体诉权,其目的不仅是为了对原告进行救济,而且是为了发挥个体“私人总检察长”的功能,威慑与阻止相关违法行为。我国《个人信息保护法》在终审稿中纳入了个人信息诉权,这一诉权也应同样被视为具有触发公益执法性质的诉讼。
在这一背景下,我国法院也应进行公益监管的制度定位。这种定位首先契合我国《个人信息保护法》的成文法规定,既然第50条纳入了个人信息权利之诉,法院就不得不承担这一责任。法院可以在个人起诉时告知,劝导其向有关机关进行个人信息违法举报,但无法拒绝对此类诉讼进行受理和裁判,实现事后的有限监管。其次也更重要的是,由法院来承担执法监管功能,在我国具有重要制度意义。如上所述,美欧等国家和地区的监管机构具有显著的司法特征,其执法往往具有听证、控辩等准司法程序,这些特征使得其对个人信息的监管可以最大限度地避免恣意与武断。目前,我国由于考虑避免政府扩编而未设立独立的个人信息专业监管机构,而个人信息的行政执法部门往往业务繁多,而且在执法中常常采取“命令—控制”(command-control)模式。此时由法院来承担我国个人信息的监管功能,就可以发挥其制度上的比较优势,为个人信息权利的落地提供基于程序与抗辩的执法机制。当然,在专业能力上,我国法院和法官也应强化学习,不断增强专业性知识。近几十年来,西方法院出现了行政监管化的部分特征,我国法院也在环境、金融等诸多领域进行积极探索,在个人信息保护领域也应对法院与法官作此类要求,以满足司法的监管职责。
三、个人信息侵权之诉的损害赔偿困境
基于损害的个人信息侵权与基于个人信息权利的诉讼不同,在性质与制度设计上更接近传统侵权法。但出于个人信息侵权诉讼的特征,传统侵权法制度也应进行重构。简单而言,其目标应当从损害赔偿之诉转变为威慑预防的治理之诉。因为以损害赔偿为目标,不仅很难实现,而且没有意义。
(一)可行性困境
首先,损害赔偿面临损害不确定性的难题。在个人信息所引起的损害类型中,有的人身财产损害较为明显和确定,例如个人信息泄漏导致用户的账户被盗窃和财产损失。但在更为普遍的侵害个人信息案例中,损害并不明显。有的情形中,侵害带来的是骚扰,例如个人信息泄漏可能导致很多广告推销,给个人邮箱发送邮件,给个人打电话推销广告。有的情形可能带来的是风险,例如个人信息泄漏可能暂时没有引起任何损害,但长期来看却可能存在危险,个人在知晓后,也可能会因为感到威胁而取消很多活动,或采取额外的安保措施。其他有的情形则可能带来纯粹的焦虑,例如企业可能进行完全合法合规的个性化推荐,但个人可能因为相关个性化推荐和自身信息具有高度巧合,因而产生高度焦虑。在上述的各类情形中,从严与从宽界定损害的标准相差很大。
如果对损害过宽界定,那么结果将是大量案件涌入法院,造成司法系统的崩溃;相反,如果损害界定过窄,则结果可能是大量案件得不到救济。也正是由于这个原因,很多国家都引入了法定赔偿的方案。例如《加州消费者隐私法案》规定,因企业违反合理安全程序而致使个人信息泄漏的,消费者可以提起“100美元到750美元的损害赔偿金或实际损害赔偿金”的民事诉讼。法定赔偿金的引入,就说明了其不再以实际损害作为唯一界定标准。
其次,侵害个人信息常常具有复杂的因果关系。个人信息违规所导致的相关损害链条往往非常长,一条信息泄露所导致的诈骗,往往不知道源头是在哪里泄露,期间经过了多少主体的转卖。侵害主体可能非常多,对个人造成伤害的主体不仅包括违规处理或泄露个人信息的处理者,也不仅包括实施具体伤害行为的终端加害者,而且包括各类与侵害行为相关的主体和个人。例如有的数据经纪商可能倒卖个人信息,有的大型平台可能并未完全尽到《个人信息保护法》第57条规定的安全保障义务,在很多情形下,损害还可能由周围的亲戚朋友疏忽造成,例如某人在社交平台分享其图片与信息,但此类信息可能被用于分析他人信息。此外,导致侵害发生的风险常常是累积的。索洛夫教授曾将个人信息侵权的这种特征概括为“聚合效应”(aggregation effeect),无论是个人信息的识别、还是个人信息泄露所导致的各类侵害,常常都由信息的汇聚与相关风险累积而成。
如果个人信息侵权之诉定位于损害赔偿,那么法院将面临因果关系确认与归责的难题。面对复杂的因果关系,法院将很难确定哪个主体具有“过错”,应当对造成的损害负责。如果说传统侵权像“雷击”所造成的损害,那么很多导致个人信息的损害就更像“雪崩”所造成的损害,很难说是哪一片雪花是无辜的,哪一片雪花具有“过错”。
(二)可欲性困境
如果个人信息侵权的目标定位于损害赔偿,其意义也可能丧失。首先,《个人信息保护法》之前的相关制度已经足够对这一类型的损害进行救济,没有必要在《个人信息保护法》中再规定相关侵权制度。对于信息处理者自身造成的损害,完全可以依靠隐私权与一般侵权法进行救济。对个人信息泄漏造成的第三人侵权,则可以依靠安全保障义务条款进行救济。
其次,基于损害赔偿的侵权法难以有效回应个人信息侵权中的“大规模微型”侵权的特征。一方面,侵害个人信息的用户数量往往是海量的,个人信息侵权并不是对单个个体或少数个体的侵害。另一方面,在大量案件中,用户都无法感受即时性的伤害,或者可能根本没有意识到自己的相关权益被侵犯,或者即使注意到相关事件的发生,可能也会选择息事宁人,将侵权法救济束之高阁。侵害个人信息的这一现象被归纳为“隐私悖论”(privacy paradox):人们常常嘴上关心个人信息或信息隐私的保护,但实际上却未必如此在意。这一理论不管是否完全正确,但至少可以说明个体难以完全通过“隐私的自我管理”而进行救济。在“告知—同意”这一极为简便的制度工具中,个体尚且如此;在侵权法制度中,个体需要付出很高的成本与精力,所能发挥的空间就更为有限。在这样的背景下,即使极少数个体能够通过侵权法而获得微型损害的赔偿,这一赔偿对于解决大规模微型侵权的问题也无济于事。基于赔偿而设计个人信息侵权制度,将造成侵权法制度在个人信息保护中被进一步边缘化。
四、迈向预防治理的个人信息侵权之诉
在个人信息保护制度中,对个体权利损害的补偿是其目标之一,但并非唯一目标或主要目标。从个人信息保护的风险性特征与群体保护出发,个人信息侵权制度的重心应当从损害赔偿转向合理威慑,以实现对相关风险的预防治理。
在传统侵权法制度中,损害赔偿具有核心地位。正如爱德华·怀特教授所言,对于侵权法的首要功能到底是赔偿还是威慑,美国法曾经一度将前者视为共识。我国在《民法典》制定之前,也将损害赔偿作为优先选项,《侵权责任法》规定侵害他人人身权益造成财产损失的,“按照被侵权人因此受到的损失赔偿”;在被侵权人的损失难以确定,侵权人因此获得利益的情形中,被侵权人才能“按照其获得的利益赔偿”。只有到了《民法典》,被侵权人受到的损失和侵权人获得的利益才成为并列关系。《民法典》的这一规定,使得损害赔偿的地位相对下降。
将损害赔偿置于传统侵权的核心,并让过错方承担责任,这符合传统社会的侵权形态与特征。传统社会的侵权形态主要发生在社会民事主体之间,此类侵权中的损害相对容易辨认,因果关系也相对简单。要求过错方进行赔偿,不仅有利于对个体进行有效救济,也可以对社会道德进行判断,对未来潜在的侵权者进行有效威慑。但到了现代工业社会,各类产品与事故侵权成为更为主要的类型。在此类侵权中,责任主体越来越难辨认:产品制造商等主体往往仅存在过失,不像传统侵权那样仅存在故意或放任,而消费者也往往存在过错或过失,很难说到底哪个主体存在“过错”。此外,此类案件的因果关系也更为复杂,因果关系逐渐与责任归属问题合而为一,判断因果关系,很大程度上就是判断责任归属。
在这一背景下,侵权法的损害赔偿与确认过错功能逐渐下降,而其威慑与预防功能日渐出现。以卡拉布雷西、波斯纳为代表的一大批学者兼法官指出,在产品与事故侵权中,侵权法不应完全采取向后看、个体主义的进路,不应定位于寻找具有过错的责任方并进行损害赔偿。相反,侵权法应当采取向前看、具有公共预防功能的进路。在责任主体上,侵权法应当找到付出最小成本即可避免侵害发生的主体(cheapest cost avoider)来承担责任,而非徒劳无益地确认谁存在过错。在归责原则与救济措施方面,侵权法应当对侵权方进行合理威慑,以发挥侵权法的公共治理功能。
在个人信息侵权中,侵权法制度应更注重其威慑与治理功能。正如本文所述,个人信息侵权具有大规模微型侵权的特征,对于这一特征,侵权法的威慑功能更为重要。通过合理威慑,侵权法可以对侵害个人信息的社会风险进行有效预防,而不必再纠结于上文提到的损害赔偿这一难以完成的任务。此外,威慑与治理定位也将使得侵权法的制度定位与个人信息保护的整体制度保持一致。个人信息保护奠基于“公平信息实践”,本身就采取了多主体合作治理的制度,特别是通过个体赋权而实现信息治理。当侵权法将威慑与治理作为其首要目标,既可以避免上文所提到的损害赔偿难以确定、缺乏意义等困境,也可以发挥个体的“私人总检察长”功能。面对行政监管与自我规制的失灵与漏洞,个人可以扮演相关风险的发现者与执法的触发者。
五、个人信息侵权之诉的制度重构
从侵权法的威慑与治理功能出发,现代侵权法在产品责任等侵权制度的设计上已经发生了很大变化。在个人信息侵权之诉中,损害界定、归责原则、因果关系、救济措施等制度也应进行重构。
(一)损害界定
首先,就损害界定而言,其界定不宜太宽,但也不宜太严。如上所述,个人信息处理可能带来明确损害,也可能带来风险与焦虑。我国法院在受理此类案件中,一方面应拒绝将焦虑和非实质性风险认定为损害。如果对损害做过宽限定,将一般性风险也纳入侵权损害范围,则不仅可能引发滥诉,导致法院应对不暇,而且可能给信息处理者施加不合理责任,无法合理威慑信息处理者。另一方面,除了造成人身财产等实质性损害,我国法院也应将个人信息泄漏等可能造成实质性风险的案件视为存在损害。此类风险虽然未必一定会带来即时性伤害,但从威慑的角度看,将其纳入侵权法框架有利于对风险进行预防和治理。
在我国诉讼制度下,比较复杂的在于我国的立案制度。由于我国立案制度采取宽口径的登记制,绝大多数案件都可以进入诉讼程序,这就带来了一个问题:对于没有造成明确损害的个人信息侵权之诉,法院应当如何进行处理?例如当个人针对个性化推荐提起诉讼,认为此类推荐对其造成了困扰和伤害,此时法院是否应当按照侵权法的逻辑对于此类案件进行审理?结合上文分析,此类案件应当按照个人信息权利之诉的原理进行审判,即这些不能证明具有明确损害或实质性风险的案件应视为一种执法请求或申诉举报。在此类案件中,如果法院发现信息处理者存在违规行为,法院可以有不同的处理方案:法院既可以以损害不存在为由而驳回原告的诉讼请求,也可以借鉴国外有关司法实践,对信息处理者的违规行为作出宣告性判决(declaratory judgment)。无论何种方案,法院都应当扮演执法监管者的角色,重点审查信息处理者是否具有违规行为,而非按侵权法的原理进行审判。
(二)归责原则与违法性
在存在明确损害或实质性风险的案件中,则应当采取侵权法的框架进行审判,但此类案件中的归责原则首先应当探讨过错与违法性的关系问题。在《个人信息保护法》生效前,关于个人信息侵权的归责原则就存在很多争议,例如有学者认为应当根据公务机关、采用自动化处理系统的非公务机关、未采用自动数据处理系统的数据处理者的“三元归责原则体系”,有学者认为应当采取无过错责任,还有学者认为“应以是否采取自动化处理技术为标准,采取过错推定/一般过错二元归责体系”。但在《个人信息保护法》制定后,信息处理者广泛采取合规举措的背景下,首先需要分析:是否信息处理者违法违规即可以认定为存在过错?以及在信息处理者合法合规的前提下,是否可以认定信息处理者对造成的损害不存在过错,或者可以以合法合规作为免责事由?
违法性与过错的关系,是规制法与侵权法关系的一个经典问题。支持规制法优先的理由包括:行政规制具有制度比较优势,可以在由技术引起的风险规制领域进行更专业的判断;《个人信息保护法》是领域法与特殊法,应当优先于一般侵权法。而支持一般侵权法适用的理由包括:行政规制未必总是能对专业问题进行更优判断,侵权者是否应当承担责任,仍然应当在个案中进行判断;《个人信息保护法》虽然是领域法与特殊法,但侵权问题仍应按侵权法原则进行分析。当然还有其他中间立场,例如欧盟将违法性作为个人信息侵权的前提,但违法性并不必然等于存在过错;还有观点认为,违法违规即等同于过错或过失,但合法合规并不等于不存在过错,不能自然免除信息处理者的侵权责任。
结合上文原理分析和我国法律体系,个人信息侵权的归责原则可以采取过错推定原则,但将违法性作为重要参考。其原因有若干。其一,我国《个人信息保护法》第69条明文规定了过错推定原则,这一归责原则介于过错与无过错之间,表明了立法者既希望对信息处理者进行合理威慑,又不至于施加过严责任的立场。其二,我国《个人信息保护法》虽然对个人信息进行了严格规制,甚至被认为是“全球最严”的信息隐私法,但这一立法与欧盟立法类似,都采取了具有一定弹性的治理框架,将规则细节留给执法与司法确定。在此背景下,就不应假定立法者在所有问题上都进行了非常具体的判断。法院借助过错推定原则在个案中对侵权行为进行判断,既符合《个人信息保护法》的立法意图,也更符合个人信息保护依赖具体场景的特征。由法院在个案中对信息处理者是否具备相关注意义务进行判断,有利于相关风险的更精细化防范与治理。其三,在《个人信息保护法》 《信息安全技术个人信息安全规范》等法律与技术标准广泛适用的背景下,法院也理应将是否合规作为信息处理者是否存在过错的重要证据。如果信息处理者不合规,法院可以先推定其存在过错,但应允许信息处理者进行反证;如果信息处理者完全合规,法院则可以推定其不存在过错,但允许被侵权者进行反证。
(三)因果关系
从威慑的目标出发,个人信息侵权的因果难题也能有效破解。因果关系历来是侵权法中的一大难题,试图通过因果关系而确认责任人,即使在传统农业社会的侵权也常常面临争议。到了工业化时代,伴随着产品大规模生产带来的风险问题,因果关系进一步不确定性化,逐渐引发了因果关系这一制度工具的边缘化,通过风险分配而确认责任归属,成为了产品侵权等事故侵权的主流模式。在个人信息侵权中,损害与侵权之间的因果关系更为复杂。在这一背景下,法院可以在修辞层面保留因果关系推理,但在工具应用层面,不应在个人信息侵权中过多依赖因果关系这一制度与思维工具。法院应当从因果关系分析转向何种责任分配有利于有效威慑和预防风险。
从我国和域外的司法实践与学术研究来看,这一转变已经逐渐成为共识。例如在庞某与北京趣拿信息技术有限公司等隐私权纠纷案中,庞某在趣拿公司下辖网站“去哪儿网”购买东航机票,其后收到诈骗短信。此案的二审法院采取了举证责任倒置,引入高度可能性的理论而认定趣拿公司存在责任问题。在这一案件中,法院虽然在修辞上仍然采取因果关系,但事实上已经采取了威慑预防与责任分配的理念,让最可能导致风险的主体承担责任。在国外,也有不少学者主张,应当引入概率理论、市场份额理论来解决个人信息侵权之诉中的因果关系。概率理论、市场份额理论在药品等复杂侵权中被应用,其核心也是根据不同企业导致损害的可能性和避免风险的能力而分配责任。
总之,因果关系既非寻求个人信息侵权中责任主体的合适工具,也不符合实现个人信息保护的制度目标。法院在个人信息侵权中要做的并非寻找唯一的“肇事者”,而是威慑可能的过失方。在产品责任法中,现代侵权法已经发展出了很多方案来实现这一制度目标,例如有的法院以可预见性的概念来判断侵权方是否应当承担责任,认为在合理期待或合理预期的标准下,企业未对相关风险采取措施应当承担责任。还有的法院以产品设计替代的方法来判断企业责任,当行业领域存在产品设计安全更为合理的替代方案,而企业却未能采用时,此时应当承担责任。在个人信息侵权中,法院可以借鉴此类方案,判断相关主体是否应当承担责任。
(四)救济方式
我国《个人信息保护法》对个人信息侵权中的救济仅进行了原则性规定:“损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。” 而《民法典》对于民事责任的承担方式也具有多样性,例如总则中第179条规定了“停止侵害;排除妨碍;消除危险;返还财产;恢复原状;修理、重作、更换;继续履行;赔偿损失;支付违约金;消除影响、恢复名誉;赔礼道歉”等多种方式,第1182条作出了《个人信息保护法》类似的规定,但仅限定于“财产损失”。当个人信息遭受明确损害,或者存在个人信息泄漏等实质性风险,此时个人信息的救济方式也应当按照合理威慑的原则进行建构。
首先,个人信息侵权救济应适用停止侵害、排除妨碍、消除危险的救济方式。此类救济方式不仅有利于对个体进行救济,防止个人信息泄漏或不当处理所造成的损害与风险进一步扩大,而且有利于保护更广泛的群体,实现个人信息处理关系的有效治理。事实上,域外的很多法律都把停止侵害、排除妨碍、消除危险作为免予个人信息之诉的条件。例如《加州消费者隐私法案》规定,如果企业在接到消费者投诉的“30天内实际补救了所发现的违规行为,并向消费者提供了一份明确的书面声明,说明违规行为已得到补救,不再发生违规行为,那就不得对企业提起个人或集体的法定损害赔偿诉讼”。美国新近制定的《数据隐私保护法案》(ADPPA)也作出了类似规定。
其次,在损害较为明确而且损害数额较大的情形中,损害赔偿的数额可以按照实际损失确定。在此类案件中,由于赔偿数额较大,按此方案既对受害者进行补偿,也可以对相关主体产生足够威慑。在责任分配方面,如果损害为信息处理者单独造成,其责任归属也比较简单,应由信息处理者承担全部责任。比较常见和比较复杂的是由第三人造成的损害,例如当信息处理者泄漏个人信息,引起了巨额财产损失或人身损害,此时应当如何确定各方责任?根据本文合理威慑与风险责任分配的原理,可以借鉴产品责任法的相关原理与实践,要求信息处理者对某些可预见性的下游风险承担合理注意义务。
最后,在损害数额较小或信息泄漏等实质性风险损害中,如果行政机关未进行罚款或执法,此时被侵权者除了可以获得诉讼费用赔偿之外,其损害赔偿的数额也可以在损失额度或信息处理者所获利益的基础上进一步提高。其原因在于,此类案件的损失额度或所获利益往往非常微小,难以触发个人提起相关诉讼;但此类微型侵害不仅最为普遍、影响海量群体,而且极易逃脱监管,将问题留给社会。通过侵权法对此类违法行为进行合理威慑,具有重要意义。在赔偿额度上,如果行政机关没有进行执法,法院可以参考理想的行政罚款额度除以潜在诉讼人数的方案进行赔偿。例如某一企业故意泄漏信息,理想情况下应对其处以10万元罚款,设置赔偿额度为2000元可能引发50人提起诉讼,则此时的理想赔偿额应设置在2000元。如此,个体侵权诉讼就能有效威慑风险与发挥执法功能,同时又不至于对信息处理者产生过重的责任。
六、结语:领域法与侵权法
个人信息侵权法保护的难题,反映了领域法与侵权法的复杂关系。有学者指出,个人信息保护法和环境法一样,都源自传统侵权法的失败。在个人信息侵权与环境侵权中,都存在大规模微型不确定性侵权的难题,面对这种难题,基于合作治理的个人信息保护制度开始兴起。这一制度引入了大量的公法监管制度,并且高度依赖“告知—同意”这一具有合同法特点的制度。反观侵权法,其扮演的制度功能面临边缘化的风险。
侵权法要在个人信息保护中发挥其治理功能,就必须进行有效变革,并与其他制度协调配合。一方面,侵权法本身就是一种特定历史条件下产生的制度工具,在农业社会、工业社会的形态与作用就不相同。例如侵权法在传统社会更多发挥过错认定与个体损害赔偿的功能,但在工业社会则更多承担责任分配与公共规制的功能。侵害个人信息的风险性特征与公共性特征更为明显,侵权法更应注重从个体赔偿迈向风险治理,其制度工具也应重新设计。另一方面,侵权法还应当和其他制度进行协调。上文对于过错责任与违法性的分析已经说明,侵权法必须注重与规制法的关系。除此之外,侵权法还应当与公益诉讼等制度进行协调。例如在法院判决个体胜诉后,应考虑设立自动触发公益诉讼机制,检察机关在个人信息侵权案件胜诉后,应立即评估是否提起公益诉讼。一旦设立此类制度,基于个体的侵权之诉就能转变为对受害群体的救济,弥补“私人总检察长”的不足。
总之,个人信息侵权之诉应当回到个人信息治理的框架中进行理解,而不是按照传统侵权法的逻辑来“切割”个人信息保护研究。在网络法的学术史上,曾经爆发过著名的“马法”之争:网络法研究是否就像研究马的法律,仅仅是宪法、行政法、合同法、侵权法、刑法等部门法的拼盘?经过学界多年的争论,学者们的最低共识是:部门法本身就是相互交融的领域,在传统部门法面临争议的领域,更需要传统部门法的深度融合。个人信息侵权的研究再次告诉我们,应以制度演化与制度协同的进路实现领域法的有效治理。
《数字法治》专题由华东政法大学数字法治研究院供稿。专题统筹:秦前松
责任编辑:秦正