尚国萍
(河南大学 法学院,河南 开封 475001)
在数据为王的信息时代,个人信息不仅为政府机关开展社会治理提供前提条件,而且成为信息经济快速发展的“基础原料”。通过法治方式规范个人信息处理活动,是实现自然人与信息处理者之间利益平衡的必然路径。《中华人民共和国民法典》(以下简称“《民法典》”)使用“处理”一词替代之前相关立法中“收集”“使用”等表述,使其成为《民法典》规范个人信息相关行为的基础概念。《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”,进一步规范个人信息处理活动,综合运用多元责任加强个人信息权益的保护力度。从立法目的看来,《个人信息保护法》第69条重在彰显侵害个人信息权益的私法救济功能,展现维护自然人人格尊严和人格权益的法力。但个人信息权益作为信息社会一种新生的人格权益,具有诸多不同于传统人格权客体的特性,进而催生学者们在有关个人信息权益侵权责任认定问题上的激烈论争,导致第69条在司法适用中面临困境。故而,文章围绕个人信息处理中侵权责任的认定问题进行探讨,希冀司法实践中正确适用第69条立法规范,统一裁判尺度。
(一)个人信息处理外延厘定的价值立场
概念乃是解决法律问题所必需的和必不可少的工具。[1]《个人信息保护法》第4条通过两个款项分别明定了个人信息和个人信息“处理”的内涵与外延。相较而言,《民法典》人格权编采“内涵+外延”的模式,而《个人信息保护法》仅对个人信息进行内涵概括,未进行外延列举,且将“识别”分为“已识别”或“可识别”两种类型。可见,《个人信息保护法》的个人信息范围比《民法典》的规定更宽泛。这反映了立法进程中对个人信息的认识进一步清晰和深刻,有利于对个人信息权益给予更全面保护。
关于“处理”的具体方式,《个人信息保护法》在《民法典》列举的收集、存储等七种方式基础上增加了“删除”类型,进一步拓展了“信息处理”的外延,折射出立法对个人信息处理方式和类型仍在不断扩展中。需注意的是,《个人信息保护法》在引入“个人信息处理”概念时仅列举了其外延,使得法律适用边界不够清晰。因此,利用处理行为的种属概念建立起清晰的个人信息处理规则,防范对个人权益的侵害,是个人信息保护法需要解决的基础问题。[2]文章认为,每个法律概念均是在理论和实践的发展中不断修正和完善的。“个人信息处理”属《个人信息保护法》中的核心概念,立法理应从内涵到外延予以回应,但现阶段对个人信息的处理行为认知存在限度,实难高度抽象出“处理”的核心要义。如法定概念不能明确其法律特征,则可能会阻碍个人信息的合理利用。“保护个人信息权益”并非《个人信息保护法》唯一立法目标,最终目的指向个人信息的“合理利用”,两个目的重在通过“规范个人信息处理活动”这一路径实现。故而,现行立法仅从外延列举个人信息处理类型,既可避免因“处理”概念模糊导致规范对象泛化,诱发立法过度干预甚或选择性执法的恶果,又通过“等”字为法律适用提供了延展空间,是一种较为可取的模式。
(二)个人信息处理的前设基础
综观《个人信息保护法》全文,如何规范个人信息处理是其主要内容。依其规定,除自然人因个人、家庭事务处理个人信息外,其他个人信息处理活动均纳入其调整范围。该法第13条确立了个人信息处理的“知情同意-同意例外”规则。除公共利益目的或法律、行政法规另有规定外,“告知-知情-同意”既是信息处理者依法处理个人信息的前提条件,也是侵害个人信息权益是否存在主观过错的判断基准,但并不当然构成民事侵权责任的抗辩事由。
个人信息处理的“知情同意-同意例外”前设架构模式,分别与个人私益保护和公共利益保护相呼应。一方面,个人信息权益本质上与隐私权相同,具有相对的人身专属性,对其保护应以知情权和同意权为根本,方显其人格权品格。另一方面,考虑到现代社会网络产业以数据信息为基本生产资料,根据《民法典》相关规定,并未将个人信息权益置于完全人格权地位,其人身专属性在维护社会公共利益条件下予以限缩,为降低治理成本,原则上毋需征得自然人同意。《个人信息保护法》第二章关于个人信息处理规则的规范架构总体上遵循了以上立法思想,在第一节一般情况下以“知情同意”为基本规则和第二节特定情形下以“单独或书面同意”为要件基础上,第三节对国家机关为维护公共利益或行使法定职责时可豁免征得“知情同意”义务,属于“同意例外”规则。整体而言,现行的个人信息处理规则架构为:知情同意(非敏感个人信息)-单独同意(敏感个人信息)-书面同意(法律法规特别规定)-同意例外(国家机关处理个人信息)。
依民法意思自治原则,将“同意”作为个人信息处理的根本性要件,凸显了立法赋予自然人对其个人信息享有人格权益的基本立场。在市场经济条件下,信息处理者主要表现为市场主体,对个人信息的处理须遵守市场交易的一般规则,维护市场秩序的安全稳定。个人信息是否进入市场领域从而成为数字经济的生产要素,取决于权利人在平等地位上的自愿性和自决性,也即私法自治的核心要义所在。一般而言,信息处理的正当性基础在于权利人是否知情信息处理目的,对自己做出的意思表示是否有明确的行为预期。从某种意义上说,“知情同意”规则设计充分彰显了私法所维护的平等和自由价值。但任何自由都是有边界的,自然人的个人信息自决自由也不例外。在个人权益和社会公共利益相冲突情形下,个人利益的保护需让位于公共秩序的维护,此时,信息处理所形成的法律关系从私权法律关系的双边性转向到公权法律关系的单边性,以“同意”所展现的意思自治将让位于社会治理秩序维护的公权力法定职责,法律关系将由“平行秩序关系”转为“上下秩序关系”。这也正是《个人信息保护法》规定国家机关为履行法定职责处理个人信息时毋需征得个人同意的原因所在。[3]
侵权法在维护行为自由的同时,更注重受害人的救济和赔偿。“损害”认定在民事救济中居于重要地位,构成侵权损害赔偿的关键要件。《个人信息保护法》第69条要求个人信息权益侵权以损害为前提[4],在立法上反映了个人信息权益保护的逻辑起点。但在司法实践中,个人信息权益损害的事实认定较为复杂,需引入动态系统论综合考量多元要素进行认定。
(一)侵害个人信息权益的损害样态
个人信息权益侵权认定是一个实务难题。从司法实践来看,因被侵权人在个人信息控制方面处于弱势地位,在诉讼中难以有效证明其遭受的个人信息损害事实,往往导致诉讼请求得不到法院的支持,助长了网络平台处理个人信息的逐利性。为扭转这一困境,部分法院灵活调适证据规则,通过减轻受害人证明责任等方式努力维护受害人的个人信息合法权益,但收效甚微。由于个人信息具有无形性、不确定性、难以定量等特征,个人信息权益侵权责任每一构成要件的认定均愈发复杂,其中“损害”事实的认定最为复杂和纷乱。特别是个人信息大规模侵权案件中,涉及的受害人人数规模庞大,法院必然要考量集体诉讼的可行性、证据认定的专业技术难度以及信息处理者的赔偿能力等多种因素,损害事实的认定较之于传统侵权损害认定变得举步维艰。在受害人主张信息处理者承担违约责任时,因其与信息处理者的格式合同中不存在违约金条款,受害人也必须证明存在损害才可能获得赔偿。[4]
侵害个人信息权益的损害事实主要表现为两种形态:精神损害和财产损失。个人信息权在性质上属于一种集人格利益和财产利益于一体的综合性权利。[5]《个人信息保护法》赋予自然人知情权、决定权、查阅权、复制权、更正补充权、删除权等权益。当个人信息权益受到不法行为侵害时,具体表现与其他人格权的损害结果大体一致,主要为精神利益损害。另外,《民法典》人格权编“一般规定”中允许民事主体可将自身的姓名、肖像等部分人格授权他人使用或商业化利用。根据目的解释或扩张解释,此处“等”可扩展到自然人可同意其个人信息由他人处理范围。当未经许可,他人擅自使用(处理)个人信息的,可造成权利人的财产损失。但实践中侵害个人信息权益的财产损失的认定和计算亦是一个较复杂的事实问题。
(二)动态系统的损害认定规则
动态系统论最早由奥地利学者威尔伯格(Walter.Wilburg)提出。基本观点认为:“调整特定领域法律关系的法律规范包含诸多构成因素,但在具体的法律关系中,相应规范所需因素的数量和强度有所不同”[6]。该理论呈现出法律效果形成中各要素的系统性动态作用过程。人格利益基于人身自由和人格尊严等一般人格权派生出物质性人格权和精神性人格权等具体人格权。《民法典》对每一项法定人格权的保护力度和位阶顺位,乃至具体责任承担方式方面,均存在着一定的差异。在个案适用时,需对各个考量因素进行综合比较和权衡。根据《民法典》第998条之规定,关于侵害精神性人格权的损害事实认定,应妥当权衡行为人和受害人的职业身份及社会知名度、加害人的过错程度、行为目的、行为方式、行为后果等因素。故而,侵害个人信息权益的事实证成,“应根据法定因素及其顺序,通过因素间的互动综合考量,摒弃全有全无的责任成立”。[6]
从比较法而言,人格权保护中多注重动态系统论之运用,从而摆脱僵硬的全有或者全无的束缚,实现对精神性人格权更具弹性的保护面向。动态系统论注重相关要素之间的逻辑层次,诸要素在价值位阶和相互联动关系上存在一定差别。具言之,损害评价要素的位阶具有法定性要求,法院应遵从双方当事人职业、损害影响范围、侵权行为危害性、个人信息的敏感性程度之顺序依次进行考量。关于要素间的联动关系,我国《民法典》并未规定,“其相互之间的联动关系有赖于个人信息保护法的规定或司法实践的经验总结。”[7]就个人信息类型而言,敏感信息与私密信息同归属于个人信息范畴,在实践中有一定的交集或重合,但其规范目的和功能价值不同。私密信息具有绝对防御性特点,未经权利人同意,不得公开,更不得利用;
而敏感信息原则上应当禁止处理,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理。[3]相对而言,非法处理敏感信息等侵权行为给被侵权人造成的精神损害更为严重。是故,诸多要素相结合共同构成多元化的损害评价要素。
损害事实认定的前提在于加害行为违法性之判断。关于信息处理者侵害个人信息权益的违法性认定,应从个人信息处理行为是否存在和处理行为是否具有违法性两个方面考量。首先,信息处理者客观上必须实施了处理个人信息活动;
其次,信息处理者的处理行为不符合法律规范,实践中主要表现为信息处理违反了法定义务。如未履行充分告知义务,或履行了告知义务未获得自然人的明确同意或书面同意。凡违反法定要求处理个人信息,则构成个人信息权益侵权责任中加害行为这一要件。
归责原则是侵权法的核心与灵魂。侵权责任的构成要件取决于适用何种归责原则,进而廓清侵权行为和行为自由之间的边界。欲明确个人信息权益的民法保护范围,须厘定侵害个人信息权益适用何种归责原则,才能正确适用《民法典》和《个人信息保护法》的相关规定,实现个人信息权益民事救济目标。
(一)侵害个人信息权益归责原则之论争
在侵害个人信息权益纠纷中,信息处理者所拥有的自动化决策技术优势、数据算法的保密性和单体信息的无价值性,在事实上造成了被侵权人在举证能力方面处于弱势地位,法院对侵权行为和损害事实厘定存在技术性短板。因此,从立法例和理论上探讨侵害个人信息权益适用何种归责原则能够实现双方当事人的利益平衡显得尤为重要。
1.侵害个人信息权益归责原则的立法例考察
根据欧盟《一般数据保护条例》(GDPR)第5条第2款①欧盟《一般数据保护条例》(GDPR)第5条第2款规定:“控制者有责任遵守以上第1段(‘合法性、合理性和透明性’‘目的限制’‘数据最小化’‘准确性’‘限期存储’‘数据的完整性与保密性’),并且有责任对此提供证明。”规定,在认定侵害个人数据责任时,适用过错责任原则,数据控制者应当就处理数据过程中不存在过错承担证明责任。2018年德国《联邦数据保护法》第83条规定,数据控制人违反本法或其他法律规定处理他人数据造成侵权损害的,数据控制人或其授权的人应承担损害赔偿责任。在非自动化的数据处理情形下,数据控制人能够证明其在数据处理过程中不存在主观过错,则不需要承担赔偿责任。可见,数据控制人只要违反“本法或其他法律规定”的事实存在,即可追究其侵权责任,实质上适用无过错责任原则。在非自动化数据处理场合,若损害不可归因于控制人的过错,则赔偿义务取消。[8]侵害个人信息(数据)权益适用何种归责原则,同在欧陆范围内,也持有不同的立法态度,德国法较之于欧盟法,更有利于保护信息主体权益。
2.个人信息权益侵权多元归责论说之检视
大数据技术和信息技术的高速发展使得侵害个人信息权益行为与技术、场域和行为主体密切相关。过错责任原则在应对利用网络手段侵害自然人个人信息时显得捉襟见肘,亟待根据处理场域的不同区别适用不同的归责原则。在大数据语境下,单个的个人信息是作为数据要素而存在的,如离开算法技术和自动化决策,个人信息对于数字经济将无利用价值。由上可知,侵害个人信息权益与信息处理者采用自动数据处理技术直接关联,这也应景了根据不同的处理场域和技术因素适用过错责任原则和非过错责任原则。在自动化处理情形下,公务机关以数据自动处理技术实施的信息侵权,应适用无过错责任。采用自动化处理系统的非公务机关,其信息侵权应适用过错推定责任。[12]理由在于非行政机关较之于行政机关,无公权力收集之便利优势,法定的注意义务标准也应相对调低。
个人信息侵权的复杂性归因于自动数据处理技术的广泛应用。自动数据处理技术处于大数据算法处理信息的核心位置,进而推动个人信息侵权归责原则从一元到多元的变革。对非利用自动化技术的信息处理者而言,其并未保有技术上的优势地位,举证能力基本对等,宜采过错责任原则。但大型网络科技企业在技术研发领域居于领先地位,其人才技术和经济规模优势往往是一般的公权力机关所不能比拟的。公权力机关之所以拥有大量个人信息关键在于其拥有法定职权和公共利益目的优势。故而,对于采取自动化处理技术的行为人,不应再区分是否以公益为目的,应当赋予相同的注意义务,统一适用相同的归责原则,但问题在于何种非过错归责原则更符合信息社会的发展需求?学界争论不一。
文章认为,虽然适用无过错责任能够最大限度上救济受害人的信息权益,但将课以信息处理者高度的注意义务,会大幅增加信息处理者的经营成本和管理成本,不利于信息产业的稳步发展与公共利益的有效维护。相对而言,在信息自动处理技术条件下,统一采过错推定责任原则能够强化信息处理者的举证责任,适度提高其注意义务,较好地平衡信息处理、权益保护和公共秩序之关系。
(二)《个人信息保护法》归责原则的立法抉择
我国《个人信息保护法》将因个人或家庭事务处理个人信息排除在外,相关侵权属于一般侵权行为,仍按照《民法典》第1185条适用过错责任原则。对于一般情形下的个人信息处理侵权,适用我国《个人信息保护法》第69条第1款规定,如造成损害,信息处理者不能证明自己没有过错的,应当承担侵权责任。该条在侵权归责原则设置上并未采用按侵权行为人主体类型和是否采用自动化处理技术区分适用归责原则,而是以统一适用过错推定责任为原则。其主要理由在于:一是侵权行为的主体特殊,限于信息处理者。实践中主要是商事经营者和履行个人信息保护职责的部门,而非普通的自然人。二是权益人是自然人,在以人为本的价值理念下其人格权益亟待保护。三是实践中被侵权人在侵权法律关系中往往处于不利地位,“个人信息处理者的地位强势,个人信息权人处于弱势,如果采用过错责任原则,不利于对个人信息权人的保护”[9]。
敏感个人信息,指涉及隐私的个人信息。[10]对此,《个人信息保护法》第28条将生物识别、宗教信仰、行踪轨迹等信息以及不满十四周岁未成年人的个人信息纳入敏感信息范围。有学者建议,包括侵害敏感信息在内的所有侵害个人信息的侵权责任,应当统一适用无过错责任。[11]对此建议,《个人信息保护法》并未采用,而是通过限定具有特定目的和充分的必要性,并采取严格保护措施以及“单独同意”,抑或“书面同意”“监护人同意”等特定条件予以保障,从而加大信息处理者的过错举证责任进行区别对待。①《个人信息保护法》第28条规定,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。第29条规定,基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。第30条规定,个人信息处理者处理敏感个人信息的,除本法第17条第1款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;
依照本法规定可以不向个人告知的除外。第32条规定,法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。这一立法设计同样可以达到强化对敏感信息处理的保护力度与效果。
个人信息权益受到侵害之虞,《民法典》赋予自然人人格权请求权和侵权请求权二元权益救济路径。在保护个人信息权益中,人格权请求权与侵权请求权保护的侧重点有所不同,两者共同形成全方位的个人信息权益民法保护机制。
(一)人格权请求权的行使
《民法典》人格权编将个人信息与隐私权放在同一位置,意味着个人信息权益具有鲜明的人格权属性。“作为人格权的个人信息权益,在民法领域不仅受到侵权责任的保护,也要受到《民法典》第995条规定的人格权请求权的保护”[9]。显然,人格权请求权保护优势在于:其一,停止侵害、排除妨碍、消除危险、赔礼道歉等责任方式更能实现对自然人精神性人格利益的救济,这是损害赔偿侵权责任所无法满足的。其二,因人格权具有专属性,故行使人格权请求权不以具备过错等要件,受害人的举证责任明显较轻。其三,人格权请求权行使不受诉讼时效的限制,不因诉讼时效期间届满而丧失请求权,对维护个人信息权益的完满性更为重要。
(二)侵权请求权的行使
侵权责任规范保护个人信息权益的最大优势在于损害赔偿之承担。个人信息权益当属于《民法典》第1164条规定的侵权责任救济的“民事权益”范围。个人信息权益受到侵害遭受损失时,当以侵权责任之认定责令信息处理者承担损害赔偿责任,力求通过损害填补方式使自然人个人信息权益最大限度得到恢复。侵权请求权所意旨的赔偿损失责任具有独特的损害填平功能,是其他民事责任方式无法替代的。需说明的是,人格权请求权与侵权请求权之关系迥异于违约责任和侵权责任之间的竞合关系,受害人可选择其一,也可两者并用之。
(三)侵害个人信息权益的赔偿额度
1.损害赔偿计算的考量因素
由于精神损害与财产损失之间具有不可通约性,导致司法实践中确定精神损害赔偿额是一个难题。司法实践中欠缺测量被侵权人精神损害程度的客观标准,“没有清晰的方法可用于将无形的非金钱损害转换为金钱赔偿”[12]。从理论上分析,损害范围的具体界定是受一定社会价值观念和法律秩序影响的。“人们认识损害的思维过程,绝不只是自然科学式的机械逻辑过程,价值判断不可避免”[13]。由此推之,损害构成(或程度)和损害赔偿额的确定在某种意义上同属于价值判断范畴。实践中,侵害个人信息权益的损害后果往往具有不可逆转性和可持续性,一旦个人信息权益遭受侵害,欲准确计算损失额度变得望尘莫及。可行的办法是,精神损害赔偿额应在确定损害事实的基础上,经弹性价值体系的过滤,得出应赔偿的损害,再经由损害的金钱评价而最终确定赔偿的数额[14]。从社会效果来看,行为人承担精神损害赔偿责任在一定限度上有利于遏制类似侵权行为再次发生,聚焦于损害赔偿制度的遏制和惩戒功能。另外,“德国法、法国法采取赔偿全部损害之制度,其所谓全部损害,实并非损害之全部,而只是其一部而已”[15]。侵权责任的认定在实践中具体通过侵权行为的违法性、损害程度、原因力等要素过滤工具,最大限度地寻求自然人个人信息权益和经济行为自由之间的利益平衡点。
2.损害赔偿额的具体确定
个人信息侵权中损害赔偿范围的科学合理确定,既关乎受害人权益的保护,又与网络产业的健康良性发展密切相关。关于具体赔偿标准,既要把握隐含于人格尊严中的精神利益,又要权衡行为人与受害人之间的利益平衡。至于赔偿数额的司法确认,除所支付为制止侵权行为的必要费用外,可根据行为人的过错类型,行为动机、手段或方式、侵权行为实施的次数和持续时间、社会危害程度、责任概率、因不法行为所获利益等综合因素进行数额确定。为充分发挥侵权责任的惩戒功能,可借鉴德国个人信息保护法模式,基于民事侵权行为发生的损害赔偿,应“实行全额赔偿,不设最高额限制,这也是民事主体地位平等所要求的”[16]。
从法经济学角度而言,因以损失填补为基础的侵权责任评价机制正面临着惩戒功能式微的风险,现代侵权法将因不法行为所获利益作为损害计算基数成为重要替代选择。《个人信息保护法》第69条第二款规定,损害赔偿数额按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;
前者两项数额难以确定的,根据实际情况确定赔偿数额。尽管立法将信息处理者所获利益作为损害赔偿额计算标准,但获益范围是否仅包括因侵权行为所得直接收益,立法上未予回应。对此,文章认为,考虑网络信息产业的长足发展和信息安全技术的有限性,应限定于直接收益范围。
司法实践中,《个人信息保护法》与《民法典》对个人信息权益的保护应统筹协调与互为补充。全面把握个人信息处理者、政府机关和其他社会组织之间利益平衡的立法理念,实现协调个人信息保护与促进信息自由流动的立法目标,建立公正有序的个人信息利用秩序,助推在强化个人信息权益保护的同时,引领网络产业和数字经济的良性发展。诚然,法院对《民法典》《个人信息保护法》中个人信息规范的正确适用,统一司法裁判尺度,将为个人信息权益保护与数字产业发展提供有力的司法保障。最高人民法院应根据审理个人信息权益纠纷案件的司法经验,尽快制定相关的司法解释,使得个人信息权益预防保护机制与损害赔偿救济制度落到实处。
猜你喜欢请求权人格权信息处理用法律维护人格权公民与法治(2022年7期)2022-07-22东营市智能信息处理实验室中国石油大学胜利学院学报(2022年1期)2022-04-21基于Revit和Dynamo的施工BIM信息处理建材发展导向(2021年13期)2021-07-28关于知识产权请求权内容构建的思考人大建设(2018年11期)2019-01-31地震烈度信息处理平台研究铁道通信信号(2018年11期)2019-01-19CTCS-3级列控系统RBC与ATP结合部异常信息处理铁道通信信号(2018年1期)2018-06-06论我国无独立请求权的第三人的现状及构建职工法律天地(2017年12期)2017-01-26我国民法典人格权编的立法研究政治与法律(2017年8期)2017-01-25论被遗忘权的法律保护——兼谈被遗忘权在人格权谱系中的地位学习与探索(2016年4期)2016-08-21新闻自由与人格权的冲突解读新闻传播(2016年13期)2016-07-19