【摘要】 《民法典》和《个人信息保护法》的出台革新了个人信息保护的制度设计,然而信息处理的发展形成了个人信息风险。面对个人信息遭遇的非法侵害,传统的司法救济途径存在风险损害结果难以认定、因果关系难以证明以及侵权赔偿与信息处理多元价值之间难以平衡等窘境。因此应当通过完善识别和证明损害的方式、细化举证责任的分配模式以及完善侵权赔偿责任的认定等路径,以期构建符合大数据时代下有效保护个人信息的侵权责任制度。
【关键词】 个人信息风险;个人信息侵权;侵权责任
一、大数据时代个人信息权益侵害的新面向
大数据时代的信息处理活动深深嵌入了个人信息领域,面对信息处理技术在变革与发展过程所生发出的新价值,个人信息保护的民法思路开始革新,及时回应个人信息权益保护的新需求。《民法典》第一百一十一条明确提出“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,该条文不仅首次汇总了《民法总则》以来散落在各单行法的个人信息保护民事规定,并且结合“隐私权和个人信息保护”章节,初步构建起信息主体与包括公权力机关在内的信息处理者之间的基本权利义务关系。《个人信息保护法》的出台不仅承继了《民法典》的个人信息保护思路,而且确立了个人信息保护领域公私合作之格局,为个人信息保护法制添上了公法私法相交融的现代性色彩。
面对大数据时代个人信息保护的新背景,《民法典》和《个人信息保护法》的共同出台革新了个人信息保护的制度设计,呼应了个人信息处理实践的新需求。首先,《民法典》的出台确认了个人信息权益的独立受保护地位,丰富了个人信息权益的保护维度。《民法典》第一千零三十四条将个人信息权益与隐私权一并置于“人格权编”中,将个人信息权益独立作为人格权益提供法律保护,缓和了隐私权保护路径下的排他性和对抗性,为个人信息保护实践提供了更为丰富的价值指向。其次,《民法典》与《个人信息保护法》紧密联系,面向信息处理实践平衡多元民事主体间的利益关系。《民法典》放弃了对个人信息权益的“权利化处理”,合理衔接《个人信息保护法》对“保护个人信息权益”与“促进个人信息合理利用”双重价值的兼顾,充分关照了大数据时代下个人信息的社会价值。最后,《民法典》与《个人信息保护法》的平行适用关系,厘清了以往个人信息保护制度中公法与私法制度缺乏协调、互为冲突的部门法壁垒。《个人信息保护法》与《民法典》共同形成了大数据时代下《个人信息保护法》作为基本法的个人信息保护制度,将《民法典》的事后救济制度纳入个人信息保护的结构,构筑了个人信息保护领域公私协调的制度合力。
然而,个人信息固有“人格性”“隐私性”以及“财产性”等多种特点,自个人信息保护问题提出伊始,无论是在理论探讨或在立法实践中,个人信息权益长期被视为可以绝对保护的个人法益。若信息处理的过程中出现了可能的侵害风险,由于过去信息收集的有限性和信息流通的低效性,均为阻止风险外溢构筑了天然屏障,借助侵权责任组成的事后救济制度完全能够实现对个人信息权益的保护,即通过追究责任修复和填补信息主体因个人信息侵害所受的损害,使法律关系恢复到原有状态。在很长时间内,既有的侵权赔偿责任在个人信息保护领域发挥了积极作用,有效简化了个人信息处理形成的复杂法律关系,构筑了不受恣意侵害的个人信息安全领域。这是一种将公共风险“私有化”的进路,即通过识别划定侵权责任,让风险制造者对风险所造成的后果负责,通过成本的内化实现降低风险后果、补偿信息法益的目的。《民法典》第一千零三十四条确认了对个人信息的法律保护,侵犯个人信息的应当根据第一千一百六十五条承担侵权责任,仍保留了侵权责任路径作为个人信息民法保护之核心。但是面对大数据时代所产生的系统化、组织化个人信息风险时,此种机制适用条件将面临十分苛刻的挑战,难以直接发挥个人信息权益的保护功能。
二、大数据时代下信息侵权赔偿的功能局限
大数据时代下,个人信息的收集与处理相互交织、相互重叠,构建起的个人信息的处理系统导致过去局部的、有限的私人风险外溢形成了系统的公共风险。有研究认为,信息社会并非居于风险社会之外而是处于其中,是风险社会的“新版本”,信息技术的发展为社会带来了新的公共风险。申言之,大数据时代下信息技术风险更新了对个人信息权益的侵害形态。
首先,个人信息风险造成的权益损害难以认定。侵权法的首要功能即在于填补损害,“若无损害,自无填补之必要”,“确定性”标准是认定损害的最关键要素。然而个人信息风险并非对法益产生直接的损害,而是对个人信息控制状态的无形影响,是未来损害之虞在当下呈现出的一种不利益状态,是泄露的个人信息在未来对信息主体产生持续、继发的损害后果,制约了对个人信息风险性损害“确定性”的证明。更何况在司法案例中,法院将个人信息之侵害视为人格侵权责任,当事人往往需要证明自身所受精神损害,而“精神损害赔偿的适用以精神损害的‘严重’为先决条件”,以至于个人信息侵权案件中获得精神损害赔偿极其困难。是故,个人信息风险之损害认定已成为为个人信息权益提供司法救济的主要障碍之一。
其次,信息风险损害个人信息权益的因果关系难以证明。因为个人信息风险造成的损害具有无形性之特点,其对个人的不利影响往往脱离了自然人根据经验知识即可证明的范畴。一方面,在个人信息处理实践中,无论是以电子形式或是其他方式存储的个人信息,其影响后果往往隐蔽且难以觉察。另一方面,从个人信息风险到转为现实损害,期间往往横跨较长的时间跨度,信息主体作为个体,对风险性损害进行预测、评估、控制的能力较弱,对于信息主体而言个人信息风险被隐藏在个人信息处理活动的黑箱之中。有学者曾统计,在司法实践中,个人信息案件中超过四成受害人无法获得救济,原因在于受害人无法证明被告的归因性和归责性。
最后,侵权赔偿难以发挥平衡信息处理产生的社会价值及其社会成本。责任认定本质上是“模仿市场的潜在预设”,是以“经济理性的法理基础替代自然人侵权责任中的伦理基础”。如果风险制造者需要为其提供的产品承担责任,这就意味着信息处理作为一项为社会创造大量价值的活动,其活动的制造者却要为该种活动承担所有的不利后果,其结果往往是,此类不利后果会转化为经济成本分摊至广泛受益的社会以及各消费者身上。同时在实践中,侵权赔偿多为对人格侵害的精神赔偿,与“大规模、持续性、累积性”的个人信息处理风险不成比例,难以充分地填补风险性损害。可见传统的侵权赔偿不仅忽略了对信息处理者利益的适当考虑,也难以彻底实现对信息主体的补偿正义和矫正正义。
总之,上述困境提升了个人信息侵权案件的诉讼成本,造成了诉讼成本与诉讼收益之间不成比例,限制了当事人对诉讼方式的理性选择,以至于当事人往往会抱持“搭便车”心态,等待观望其他受害者率先提起诉讼,其结果往往是“集体行动的困境”,使得个人信息的民法保护形式化、空洞化,最终制约了个人信息保护目标的实现,有必要通过多条路径进行完善。
三、大数据时代下信息侵权责任的完善路径
《个人信息保护法》第五十条的起诉制度以及第七十条的公益诉讼制度,共同构成了个人信息保护制度中民事责任追究的多元路径设计。根据《个人信息保护法》第六十九条之规定,信息处理者的处理活动造成个人信息权益受损的,除非证明自己没有过错,否则承担相应的侵权责任。结合《民法典》第一千一百六十五条第二款之规定,该条文在此适用了举证责任倒置,将过错构成要件的证明责任转移至处理者承担,基本“符合个人信息保护中风险防范的宗旨”。但关键问题是,信息主体在此之前首先要证明信息风险、损害后果及其因果联系,才有讨论后续举证责任之必要。因此有必要通过下述三个方面对个人信息侵权责任加以完善,不仅有助于提升信息处理者对信息风险的注意义务,同时也有助于通过适当转移风险性损害,消解信息处理行为产生的负外部性,实现社会层面的整体正义。
首先,完善信息风险损害的证明标准。许多学者对此提出了不同观点,例如有学者认为,风险损害可以通过“精神损害”和“预防费用”进行证成;有观点认为,失去对个人信息的控制本身足以使原告获得赔偿,违法行为的严重程度无关紧要,强调赔偿的威慑功能;有研究认为,应当根据风险升高、合理支出以及精神焦虑多个方面进行证成。但一方面,个人信息权益本身涵摄了包括隐私、财产、尊严等多种法益,将精神损害作为个人信息权益所受损害之证明条件,不仅有失偏颇,并且在操作上也面临证明困境;另一方面,风险性损害赔偿责任应适当超越一般的侵权损害赔偿,毕竟风险性损害赔偿责任源于信息处理者消极履行保护义务之结果,是通过合理分配风险负担弥合信息处理者和信息主体之间不平等关系,并非平等主体间因积极侵权而产生的赔偿责任。故此,笔者认为,从风险升高后的预防性支出这一角度识别和证明风险性损害,不仅具有实践上的可操作性,同时也有助于填补信息主体在面对风险性损害时的不利益。
其次,在举证责任上,细化《个人信息保护法》第六十九条第一款的举证责任倒置规定。个人信息风险在时间结构的未来性和科学层面的不确定性,限制了信息主体举证证明之能力,鉴于其认知能力和证明能力的式微,有必要适当细化举证原则之分配以期合理分配之结果。首先在启动方式上,信息主体仅承担初步的证明责任,不需要确证危害后果存在的因果关系链条,仅需依据科学上的潜在后果,便可向法院提起诉讼。在诉讼程序启动后,信息处理者则负担“绝对的”证明责任,通过说明风险评估结果以排除信息主体的风险忧虑与合理怀疑。一方面,信息处理者在经济资源、信息资源等方面占有极大优势,赋予信息处理者排除可能因果关系之责任,可以增强信息处理者将经济资源转化为科技知识之动力,驱动其及时更新信息保护措施;另一方面,赋予信息处理者承担高标准证明责任,可以提升信息处理者进行风险评估的积极性。
最后,在责任认定上,正确处理信息处理者的违法性与过错之间的关系,完善侵权赔偿责任的认定方法。如果信息处理者因不履行《个人信息保护法》上的行政义务,造成对信息主体的风险性损害,信息处理者当然具有行政法上的违法性,但行政法上的违法性是否当然构成责任认定上的过错性?笔者认为,《个人信息保护法》是宪法上个人信息权益的具体化,《个人信息保护法》围绕“保护个人信息权益”这一立法根本目的,科予了信息处理者所承担的风险控制职责,形成了约束信息处理者的保护性规范。因此,当信息处理者违反了保护性规范中的风险控制职责时,既具有行政法上的违法性,同时也构成“个人信息权益受损”这一结果的过失。是故,信息处理者在履行职责上的违法性当然构成责任认定上的过错性,而信息处理者只有通过证明自己已尽合理保护义务,才可证明自己没有过错,才能免除民事上的赔偿责任。如此,通过衔接行政责任的违法性与民事责任的过错性,不仅有助于司法机关判断和认定处理者消极履行保护义务与信息主体承担风险性损害之间的关系,同时也有助于修复个人信息权益的受保护状态,最终落实“保护个人信息权益”这一基本目标。
结语
随着信息社会以及数字经济的发展,个人信息作为市场要素之一被赋予了更为丰富的意义,不仅承载了个人尊严、自由、财产等个体法益,同时也指向了与社会生活息息相关的公共法益。面对信息时代下的个人信息风险,个人信息侵权责任制度无法及时应对现实需求,我国如何构建更为合理的个人信息侵权责任制度,还需要继续从本土经验出发,在推动大数据时代的过程中不断调整司法实践,从而既包容富有活力的传统民法元素,又吸纳灵活精致的大数据时代要素,以期构建符合大数据时代基本旨趣的个人信息侵权责任制度。