陈蓉 杨玉华
摘 要:
《个人信息保护法》对敏感个人信息首次予以立法规定,并专节规定敏感个人信息处理原则,确立了更为严格的过错推定责任,关于精神损害赔偿未置可否而引发学界的审视与思考。以检索到2018-2021年侵犯敏感个人信息的45例已决样本为分析对象,发现司法实践中优先采取《民法典》私密信息隐私权的保护路径,并导致敏感个人信息的精神损害赔偿支持率低、赔偿标准适用及赔偿金额确定随意等问题。这反映出《个人信息保护法》与《民法典》隐私权保护路径的竞合与冲突,敏感个人信息精神损害赔偿条款缺位,设定损害后果须“严重”的赔偿门槛较高以及赔偿金额的自由裁量权失范等困境。对敏感个人信息受侵的案件,应优先适用《个人信息保护法》的保护路径,应设定敏感个人信息精神损害条款,将精神损害赔偿损害门槛从“严重”降为“一般”,并通过司法解释设置赔偿数额区间和引入新的衡量因素以限缩法官的自由裁量权。
关键词:
敏感个人信息;
精神损害赔偿;
个人信息保护法;
私密信息
中图分类号:D913
文献标识码:A
文章编号:1673-8268(2023)02-0039-14
嵌入理论认为,我们正置身于技术急剧进步的时代,人类社会正在被科技以绝对强势地位嵌入、颠覆乃至重塑[1]。公民个人信息伴随着互联网的发展,特别是以人脸识别为核心的人脸、指纹等敏感个人信息已被广泛收集并应用于各类生活场景,甚至成为信息化时代的通行证,对信息主体的人身和财产安全带来前所未有之挑战。2020年,中国信息通信研究院发布的《“互联网+行业”个人信息保护研究报告》提出,敏感个人信息在“数字中国”建设过程中被过度收集和使用,非法侵害敏感个人信息接踵而至[2]。我国人脸识别第一案【参见(2019)浙0111民初6971号、(2020)浙01民终10940号。】的出现,再次证实此种隐忧之合理性。
2021年11月生效的《个人信息保护法》确立了敏感个人信息范围,专节规定了信息处理者应当遵守单独同意、特意告知等规则,但对信息主体能否主张精神损害赔偿,却未置可否。以敏感个人信息类型为检索词,收集到2018-2021年侵犯敏感个人信息的45例生效判决,对此实证分析了敏感个人信息精神损害的司法支持率、赔偿数额、判决依据后,发现存在私密信息和个人信息的保护路径混同、精神损害赔偿条款缺位、精神损害赔偿门槛较高和赔偿金额确定难等制度困境。下文拟论述在《个人信息保护法》中增加精神损害赔偿条款、降低精神损害赔偿的保护门槛,并通过司法解释限缩法官的自由裁量权,合理确定敏感个人信息的赔偿数额,以期强化敏感个人信息的法律保护。
一、穷源溯流:敏感个人信息精神损害赔偿的理论证成
早在20世纪80年代,“精神损害”就成为一个饶有争议的话题,随后学界逐渐达成应对受害人精神痛苦、精神利益损失给予赔偿之共识,精神损害赔偿制度遂被立法吸纳。德国学者Mommsen提出的差额说系侵权损害的通说理论,即损害是受害人对特定损害事故的利害关系,受害人因该事故产生利益损失,该损失为侵权行为发生前后的财产差额[3]。差额说在非财产领域亦逐渐被认可,即因侵权行为所产生的一切损失,都应予以弥补。据此差额说,敏感个人信息受到侵犯导致精神损害已满足获得赔偿的补救之必要性、可补救性和确定性等三个条件,并在我国现有立法框架下具备兼容性和可行性。
(一)敏感个人信息精神损害补救之必要性
差额说认为,有必要补救的“损害”应具备客观性,即为现实客观损害且依据社会一般观念应予救济的利益差额。根据梅里亚姆-韦伯斯特词典的解释,所谓“敏感”,是指个人信息对特定因素具有高反应度或易受影响,是对信息主体造成伤害或影响的程度。由于敏感数据是个人数据中风险因素较大的部分,其所包含的人格自由、人格尊严等人格属性较一般信息更为显著。即便是被合法收集的个人信息,处理者在大数据基础上通過算法等技术进行社会分选、歧视性对待以及完全的自动化决策,也可能会损害信息主体的人格尊严和人格自由[4]。即使部分敏感个人信息泄露并不会立刻产生现实的损害,但信息主体因面临隐私窥探、身份盗用、财产窃取等风险而产生焦虑与不安等心理。美国学者Daniel J. Solove和Danielle Keats Citron称此种情绪为“焦虑”,即侵权行为导致信息主体丧失精神欢愉及精神利益,处于长期担忧其财产、名誉遭受侵害之状态,时间亦无法治愈此种痛苦,长期焦虑相当于一种慢性疾病[5]。是故,敏感个人信息侵权的损害结果并不局限于狭义的隐私权领域,除人身伤害和名誉声誉等人格权损害之外,还表现为歧视性待遇、羞耻或其他强烈不适感带来的精神损害,该“损害”是依据社会一般观念应予救济的现实客观损害,满足差额说之补救必要性。
(二)敏感个人信息精神损害之可补救性
差额说认为损害的可补救性是指通过给付受害人一定数额金钱,从而弥补或者缓解受害主体产生的精神痛苦,即所遭受的精神损害可以借由金钱给付获得补偿,且受害人愿意接受金钱补救方式。
数字时代的个人信息数据承载了诸多价值。大陆法系学者认为,信息主体对个人信息商业价值享有权益之基础源于对个人信息享有人格法益,并将包含财产属性的人格权称为“新型人格权”[6]。敏感个人信息权益因其具备财产属性而富有潜在的商业价值,信息处理者可通过商业方式将所含财产价值转化为现实的经济效益,信息处理者可将其从中获取的经济效益作为对敏感个人信息主体造成精神损害后果的赔偿[7]。
尽管精神损害是基于受害人主观痛苦,且因其无法完全衡量而导致完全填补绝无可能,但应当承认,金钱具有使被害人收获心理满足之功能,受害人可使用金钱消费为身体创造便利或实现精神舒畅和愉悦等享受目的。日本学者四宫和夫认为,用金钱买入的享乐是平衡的,它使人暂时抛弃痛苦,广义上视为填补了损害[8]。法国学者Rodière认为金钱赔偿虽不能消除精神痛苦本身,但因其有所替代而使受害人获得心理满足,考量个案不同因素确定具有差异的赔偿数额,使信息主体因获得金钱而满足,并因信息处理者遭受财产损失而进一步得到精神上的抚慰,从而实现精神损害赔偿的填补和抚慰功能。
(三)敏感个人信息精神损害之确定性
差额说中的确定性,意味着损害可通过某种方式量化,如侵权行为造成财产的减少或支出的增加。敏感个人信息精神损害虽不同于物质损害,但其仍可以一定标准而加以量化,确定精神损害赔偿数额的常见方法有六种。第一,数值上限式,即设置损害赔偿封顶数额。第二,数值下限式,与数值上限式相对,设置赔偿的最低数额,即赔偿数额的起点。一般该起点较低,由法院酌情加重。第三,数值范围式,即确定一个精神损害赔偿数额区间,法官依据自由裁量权在区间内确定合理的数额。第四,数值分级式,即依据精神损害后果的严重程度分级,各级别设置不同赔偿限额。第五,给定公式式,即给出计算公式,法官依据公式直接进行计算确定赔偿数额。第六,各因素共同确定式,即指既未设置赔偿数额上下限,亦无可参照的基数或计算公式,仅规定确定赔偿数额应考虑的相关因素,由法官依各因素酌定赔偿数额。
(四)敏感个人信息精神损害与现存体系之兼容性
虽然各国历史发展、文化背景和意识形态互不相同,决定了不同国家立法对个人信息敏感度的界定宽严有别,但由于法律保护个人信息的根本目的建立在维护人格尊严和人格自由基础之上,信息主体人格尊严和自由价值是个人信息保护立法的首要考量因素;
而敏感个人信息与人格尊严之间的联系更为紧密,越来越多的国家(地区)在区分敏感个人信息和一般个人信息的基础上,对事关个人尊严且易引发歧视的个人信息贴上敏感的预警标签,在私法上从实体和程序上要求信息处理者采取更为严格和安全的保护措施。我国《民法典》为私密信息规定了隐私权的保护路径,但敏感个人信息无法被现有的人格权等民事权利所涵盖,私密信息与敏感个人信息两者范围不尽相同,二者侵权损害的表现形式亦不尽相同,套用《民法典》中平等主体私密信息的隐私权保护路径显然力不从心,无法有效维护信息主体在网络信息社会和大数据时代中的人格尊严。特别是在网络社会和数字时代下,相对于个人信息处理者来说,个人作为信息主体处于弱势的地位,难以适用平等主体间传统侵权法的侵权规则。相较之下,《个人信息保护法》为敏感个人信息提供包括精神损害赔偿在内的侵权救济更具专业性,更能为信息主体构筑一道坚实而立体的保护屏障,使之免于遭受敏感个人信息的危险现实化后所带来的损害[9]。
二、实证考察:基于45例样本中精神损害赔偿的司法检视
侵犯敏感个人信息主张精神损害赔偿具有差额说的理论支持,但司法实践中精神损害赔偿与理论之应然状态相脱节,对此,通过考察45例敏感个人信息样本判决结果,总结如下。
(一)样本描述
《个人信息保护法》生效前,关于个人敏感信息的概念在《信息安全技术 个人信息安全规范》(以下简称《规范》)【根据《信息安全技术 个人信息安全规范》3.2,个人敏感信息(personal sensitive information)是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
其中,注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等;
注2:关于个人敏感信息的判定方法和类型参见附录B;
注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。】中予以提出。《个人信息保护法》与《规范》中划定的敏感个人信息范围不尽相同。以《个人信息保护法》中敏感个人信息为检索依据,共收集到2018-2021年的51例侵犯敏感个人信息样本,其中6例未主张精神损害赔偿,故以45例样本作为研究对象。因部分信息敏感度较高,考虑到裁判文书公开易给信息主体造成二次伤害,法院认为部分案件属于不宜公开的情形,故样本集合有限。
1.时间、案由及案源地分布
从2018-2021年生效判决数量分析来看(见图1),敏感个人信息侵权纠纷呈现逐年上升的趋势,2019年相较于2018年案件数量增长57%,2020年相较于2019年增长18%,2021年相较于2020年增长7.7%。其中,大部分侵权行为发生在网络环境中,可见,在互联网时代,商业主体利用互联网等新技术对敏感个人信息的收集、使用、处理愈加频繁,故此类纠纷逐年上升。
汇总45例样本案由(见图2)后发现,案由为隐私权纠纷的样本共22例,占比49%;
案由为个人信息保护纠纷的样本共6例,占比13%,该6例样本全部来自2021年;
案由为一般人格权纠纷的样本为5例,占比11%;
案由为侵权责任纠纷、网络侵权责任纠纷的样本各4例,占比9%;
案由为合同糾纷的样本共3例,占比7%;
案由为名誉权纠纷的样本1例,占比2%。尽管该45例样本的生效判决均形成于《个人信息保护法》未生效之时,法院多以《民法典》确立的私密信息保护路径审理案件,但随着个人信息领域纠纷的激增和《个人信息保护法》的颁布,个人信息的独立地位逐渐被司法实践所认可。
汇总所选样本的地域来源(见表1)可知,侵犯敏感个人信息案件主要集中分布在北京、广东、江苏、四川等地;
其中,北京案源数量最多,共10例,且以互联网为媒介实施侵权行为的案件由北京互联网法院审理;
其次为广东,案件数量为9例;
江苏、四川并列第三,均为4例。
2.侵犯敏感个人信息类型分布
《个人信息保护法》以“概括+列举”的方式划定了敏感个人信息的范围,以其对敏感个人信息的分类为依据【《个人信息保护法》第28条:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”】,可对所收集的45例已决案例涉及的信息类型进行汇总(见图3)。
侵犯特定身份信息案件数量最多,共28例,占比62%,侵权行为具体表现为披露身份证号码等足以识别特定个人的信息。其次为侵犯个人行踪信息,共7例,占比16%,部分案件为公民个人起诉航空公司和订票平台,因泄露信息主体航班信息致其被诈骗遭受财产损失。再次为侵犯医疗信息,共5例,占比11%,表现为侵权人记录错误的医疗信息不可更改,或泄露公民病情信息。从次为侵犯金融信息,共4例,占比为9%,表现为泄露银行卡账户等信息。最后为侵犯未成年人个人信息,共1例,具体表现为被告利用其村委主任身份将原告家庭信息及两未成年人出生证明张贴于村部大门,其中一名未成年人为未满14周岁的儿童;
由于原告未能提供法院认定的有效证据表明造成何种精神损害,遂以未造成严重精神损害后果为由被法院驳回精神损害赔偿主张。
(二)样本中精神损害赔偿的实证分析
1.敏感个人信息损害赔偿之司法支持
第一,敏感个人信息精神损害诉求的司法支持率。在45例侵犯敏感个人信息的样本中,法院支持精神损害的判决为10例,驳回35例(见图4)。显而易见,司法实践对于敏感个人信息精神损害赔偿的支持率较低,只有不足三成的案件得到法院的支持。
第二,普遍以《侵权责任法》《民法典》中隐私权的相关规范为裁判依据。司法解释【《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》(2020)第1条:“因人身权益或者具有人身意义的特定物受到侵害,自然人或者其近亲属向人民法院提起诉讼请求精神损害赔偿的,人民法院应当依法予以受理。”第2条:“非法使被监护人脱离监护,导致亲子关系或者近亲属间的亲属关系遭受严重损害,监护人向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。”第3条:“死者的姓名、肖像、名誉、荣誉、隐私、遗体、遗骨等受到侵害,其近亲属向人民法院提起诉讼请求精神损害赔偿的,人民法院应当依法予以支持。”】中规定必要补救的精神损害范围包括:(1)侵害自然人人身权益;
(2)具有人身意义的特定物受到侵害;
(3)损害亲子、亲属关系;
(4)侵害死者人格利益。由于45例样本的生效判决形成于《个人信息保护法》生效之前,故近50%的案例适用隐私权保护路径,支持精神损害赔偿的案件仅为10件,其中8例以侵犯隐私权为由支持精神损害赔偿。
考察支持的10例样本(见表2),其中6例适用《侵权责任法》第2条【《侵权责任法》第2条:“侵害民事权益,应当依照本法承担侵权责任。
本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”】、2例适用《民法典》第1032条【《民法典》第1032条:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”】规定,共8例以侵犯隐私权造成精神损害后果为由支持原告损害赔偿请求。有3例适用《民法总则》第111条【《民法总则》第111条:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”】,其中刘某某案【参见(2020)京0113民初16062号。】与倪某某案【参见(2019)鲁0212民初3207号。】中均涉及侵犯个人身份证信息,后案还涉及姓名、信用卡卡号、手机号,两案法院均以侵犯个人信息权益造成精神损害为由支持原告损害赔偿请求。代某与王某某【参见(2020)川0182民初2606号。】一案中侵权信息涉及年龄、身高、文化程度、家庭住址、身份证号、手机号、微信号、车牌号、工作单位,还涉及原告衣服尺码、鞋码、体貌性格特征、开房、流产信息等隐私,法院以被告同时侵犯隐私权和个人信息权益为由支持原告损害赔偿请求。3例案件中,法院均将个人身份证信息认定为个人信息,进而以侵犯个人信息权益为由支持精神損害赔偿,而在其他案件中法院将个人身份证信息认定为私密信息进而以侵犯隐私权支持精神损害赔偿。可见,法院针对私密信息和一般信息的区分标准不清。
尽管司法实践对侵犯敏感个人信息的精神损害赔偿呈现出有限认可的司法态度,但无论法院认定为侵犯隐私权抑或个人信息权益,信息主体遭受的精神损害均须达到法院认可的严重后果,如夜不能寐、无故失眠、精神备受折磨、精神崩溃、恍惚等,信息主体的精神损害赔偿请求方可得到法院支持。
2.损害赔偿之构成要件
支持精神损害赔偿10例样本中,法院裁判敏感个人信息精神损害之构成要件可从四个方面分析。
第一,侵权人具有主观过错。在10例支持的样本中,归责原则均适用《侵权责任法》规定的过错责任原则,即由信息主体证明信息处理者主观上存在过错。如在党某与李某2【参见(2021)川0822民初783号。】和代某与王某某两案中,原告证明:针对两被告泄露信息行为,原告多次报警制止侵权行为未果,由此证明两案被告存在主观过错。
第二,侵权手段具有违法性。如李某1【参见(2020)湘1202民初1697号。】案中,四被告采用恶意串通非法获取并使用原告账户信息的违法方式实施侵权;
在霍某某【参见(2021)豫0221民初27号。】案与余某、汪某2等【参见(2017)粤0604民初7682号、(2018)粤06民终3936号。】案中,被告随意张贴未经遮盖原告身份信息的法律文书;
在黄某某【参见(2021)赣1026民初422号。】一案中,被告未经同意利用原告身份信息办理新的电话号码。
第三,造成精神损害后果。造成损害后果是精神损害赔偿的先决条件,但在10例支持精神损害赔偿的样本中,并非所有法院均要求精神损害后果须达到严重标准,有6例支持精神损害赔偿的样本援引了《侵权责任法》第22条或司法解释中规定的精神损害严重条款(见表3),其余4例法院并未援引精神损害应达到严重后果的条款,判决书对精神损害是否达到“严重”程度采用模棱两可的模糊立场。比如,在刘某某一案中,法院认定被告的行为造成了原告的精神困扰;
在倪某某一案中,法院认为被告侵权行为在客观上使原告的工作生活及精力遭受一定影响;
在陈某与陈某某【参见(2021)赣1104民初1258号。】一案中,法院认为被告给原告造成较为严重的精神痛苦;
在党某与李某2一案中,法院未说明精神损害后果达到何种标准,仅依据被告过错程度、侵权行为时间、范围、影响等因素,酌定赔偿数额。可见,关于侵犯敏感个人信息精神损害后果作为损害赔偿的先决条件,是否须达到“严重”程度,司法裁决中并未做到严格统一适用。
第四,损害后果与行为具有因果关系。在党某与李某2一案中,被告实施侵权行为,泄露原告隐私信息,原告两次报警,但被告仍继续实施侵权行为,直接导致原告产生精神损害;
在代某与王某某一案中,原告先后向派出所多次报警,被告并未停止实施侮辱诽谤、张贴告示、泄露信息等行为,导致多人驻足查看,给原告工作生活造成影响,背负社会舆论压力和较大精神压力;
在王某某与于某某【参见(2020)京0491民初24927号。】一案中,被告在网络上发布原告个人信息并进行诽谤,直接侵害原告的社会形象,对其精神造成严重损害。
3.赔偿数额确定之实践考察
支持赔偿请求的10例样本中,个案损害赔偿数额存在较大差距,这至少反映出两个问题。
第一,损害赔偿数额与侵权程度不成正比。以余某、汪某2等案和霍某某案为例,两例样本侵权行为方式具有相似性,表现为被告将含有原告个人身份信息的内容张贴于公共场所。在余某一案中,被告在公告栏、电梯间等多处公共区域进行张贴,原告在几小时后清理,侵权持续时间短,侵权范围仅限于居住小区,法院最终酌定精神损害赔偿2 000元;
但在霍某某一案中,被告同样在原告居住小区到处复印、张贴涵盖原告个人信息的未生效判决,致使原告在小区里行走时受人指指点点、精神恍惚、血压升高,法院最终酌定精神损害赔偿1 000元。
相比之下,余某一案侵权时间仅为一天,霍某某一案中侵权时间持续数月之久。依据通常标准,霍某某一案中原告所遭受的精神损害后果更为严重。但在判定精神损害赔偿数额时,尽管侵权行为手段具有相似性,两家法院亦考虑到侵权时长这一具体情节,但最终两案的判决结果却大不一样,前案的精神损害赔偿数额高出后案一倍。
第二,损害赔偿数额与损害后果不成正比。以党某与李某2和代某与王某某两案为例,原被告之前均系恋人关系,分手后被告将原告的敏感个人信息公之于众,且存在侵犯名誉权行为,两案原告得知侵权行为后,均多次采取报警方式制止侵权行为。
党某与李某2一案中,被告通过抖音发布原告身份信息,法院未认定精神损害后果是否达到“严重”程度,直接结合个案侵权行为表现而酌定损害赔偿数额1 000元。在代某与王某某一案中,法院认为造成了严重精神损害,并结合被告主观动机、侵权影响范围,最终确定精神损害赔偿为30 000元。两案相比,可明显发现赔偿数额差异达30倍。两案原告均多次采取措施制止侵权行为,但没有结果,这证明了两案被告主观过错均较大。虽然后案中被告披露的敏感个人信息更多、侵权范围更大,对此依据一般观念可以理性判断后案中造成的精神损害比前案中更为严重,但相较于前案30倍的精神损害赔偿似乎过于悬殊,法院的自由裁量权似乎过于随意。
三、症结显现:敏感个人信息精神损害赔偿的制度困境
尽管敏感个人信息精神损害得到差额说的有力支撑,但司法实践中敏感个人信息精神损害赔偿获得率仍不足3成,在仅有得到法院支持的10例样本中,赔偿数额确定难且赔偿数额偏低,敏感个人信息精神损害赔偿的法律适用尚存在以下制度困境。
(一)敏感个人信息与私密信息的关系界定与法律适用难题
《民法典》在第1032条第2款和第1034条第2款将隐私和个人信息分设,宣誓了隐私权与个人信息权益的独立性。《个人信息保护法》生效后又规定了一种新的分类方法,即将个人信息分为敏感个人信息与一般个人信息,但其全文既未提及隐私权的概念,亦未明确规定私密信息的法律适用而引发新的难题:一是敏感个人信息与私密信息的关系,二是敏感个人信息的保护究竟应适用《民法典》第1033条抑或《个人信息保护法》第二章第二节之规定。
1.敏感个人信息与私密信息的关系不清
如前所述,所谓“敏感”,是个人信息对外部环境的高度反应,一旦被泄露或非法使用则对特定主体的人格尊严或者人身、财产安全造成损害。因此,区分敏感个人信息和私密信息并对前者給予强化保护,具有充分的正当性,即信息处理者处理敏感个人信息应提高注意义务,遵循更多的行为限制,积极履行其义务[10]。欧盟《通用数据保护条例》(以下简称“GDPR”)将个人信息明确划分为一般信息、个人敏感数据和高度私密信息三个不同层次[11],并对三类信息实行区分保护。该条例序言部分开篇将个人数据受保护的权利上升为一种基本的人权和自由,甚至赋予其宪法意义。在我国理论界,绝大多数的学者将隐私权与个人信息权益视为两项独立的具体人格权益,二者既非相互替代又不能互相包涵,二者的法律属性和适用范围仍存在诸多差异[12]。尽管《个人信息保护法》颁布实施后,我国现行立法已明确地将隐私权与个人信息权益分设,但并未准确区分敏感个人信息、私密信息、一般信息之间的关系,这在司法实践中引发了司法救济路径的适用难题。
2.适用《民法典》隐私权保护路径增加侵权责任认定难度
GDPR规定了信息控制者和处理者适用过错推定责任,即要求信息控制者和处理者证明对引起损失的事件没有任何责任,方可免除损害赔偿责任[13]。但由于我国敏感个人信息和私密信息的内涵、外延及其相互关系的混同,二者不可避免地产生法律保护上的交叉重合(见图5)。由此,当敏感个人信息被视为隐私权遭受侵害而寻求事后救济时,要援引《民法典》第1165条第1款规定的过错原则认定侵权责任构成,信息主体须证明对方有过错方能构成侵权责任,进而追究其精神损害赔偿。若适用《个人信息保护法》第69条第1款,以个人信息权益遭受侵害为由主张侵权责任则适用过错推定原则,信息主体无须证明信息处理者有过错,由法律直接推定其存在过错。二者相较,隐私权的保护路径给信息主体施加的证明责任显然更重,对敏感个人信息的保护力度相对较低。
通过对45例已决判决进行实证分析后可知,司法实践更倾向于对敏感个人信息优先适用《民法典》隐私权保护路径。将敏感个人信息与私密信息混同,采用“谁主张谁举证”的过错责任证明要求使信息主体不堪重负,这是敏感个人信息精神损害赔偿的司法支持率仅为22%的重要原因之一。可见,《民法典》和《个人信息保护法》对个人信息权益保护规则的竞合与冲突导致了两种规则对敏感个人信息保护的失衡,增加了信息主体获得精神损害赔偿的难度,甚至可能使其敏感个人信息陷入更大的受害风险,因而值得更高程度的法律保护。但是,现实中信息主体因证明责任较重而难以获赔。对此悖论,我国相关立法应当在区分敏感个人信息与私密信息的基础上,通过完善《个人信息保护法》为敏感个人信息提供更具专业性的侵权救济和精准保护。
(二)损害结果须“严重”的赔偿门槛过高
在支持敏感个人信息精神损害赔偿的10例生效判决中,由于优先适用《民法典》隐私权保护模式,法院关于精神损害结果认定援引的法律依据为《侵权责任法》第22条或相关司法解释,即精神损害须达到后果“严重”的程度。然而,各国针对数据信息的精神损害“严重”的限制均已淡化。GDPR第82条规定【GDPR第82条第1款:“任何因违反本条例而遭受物质损害或者非物质损害的人都有权从数据控制者或者处理者那里获得赔偿。”】非物质损害赔偿并未以“严重精神损害”为适用前提。2009年的《德国联邦数据保护法》规定【《德国联邦数据保护法》(2009)第8条第2款:“在严重侵犯隐私的情况下,数据主体应当获得对其受到的非物质损害的充足的金钱赔偿。”】严重侵犯隐私可获得赔偿;
GDPR出台后,2019年的《德国联邦数据保护法》规定【《德国联邦数据保护法》(2019)第83条第2款:“数据主体可以就非物质损害请求适当的经济赔偿。”】数据主体可以就非物质损害主张赔偿,删除了2009年规定的“严重侵犯隐私”条件[14]。因为,仍固守敏感个人信息精神损害赔偿须后果“严重”这一机械标准的做法与高度科技化、信息化、无形化收集敏感个人信息的时代格格不入[15]。
1.损害结果须“严重”与高位阶权益保护之法理相悖
从权利位阶的角度分析来看,人身权益应优于财产权益,人身权益的损害赔偿门槛应低于或至少等同于财产权的損害赔偿门槛,特别是敏感个人信息比一般信息承载更多与人身利益和财产利益相关的价值。但从侵权法的填补功能分析,财产权奉行损害填补原则,损害赔偿责任承担并未规定以造成严重损害为先决条件,而是秉承完全赔偿原则,即有损必赔,轻微财产损害也可主张赔偿;
而精神损害赔偿却须达到严重标准,即采用“忽略轻微损害规则”,对一般程度的精神损害视而不见,这不仅与侵权法填补功能的法理相悖,且不利于保护高权利位阶的人身权益。
2.损害结果须“严重”滞后于信息时代要求
在主张精神损害赔偿的45例样本中,35例精神损害赔偿主张被司法机关驳回,其中20例以损害后果未达到“严重”标准而被驳回,敏感个人信息精神损害赔偿门槛之高使司法机关将绝大部分精神损害赔偿拒之门外。尽管损害后果须“严重”的设定初衷旨在对滥诉现象施加限制,但是在以网络为媒介的敏感个人信息侵权场域下,除造成人格尊严受损和遭受歧视外,针对未来风险产生的焦虑、担忧等心理损害,相比人身痛苦造成的精神损害似乎微不足道,严格恪守损害结果须“严重”不利于保护信息主体因敏感个人信息被侵害而遭受的合理心理损害。
(三)确定赔偿数额的自由裁量权失范
关于确定精神损害赔偿数额,司法解释采用多因素共同确定式,并允许各省依据本地区社会经济发展制定差异化的精神损害赔偿标准,但各省确定精神损害赔偿数额的方法和因素存在较大差异。如陕西省【参见陕西省交通事故精神损害抚慰金赔偿标准《审判委员会审判工作会议纪要》(2014)。】采用数值分级式,将精神损害抚慰金分为四个等级;
浙江省【参见浙江省高级人民法院民事审判第一庭关于人身损害赔偿费用项目有关问题的解答(2013)。】采用数值上限式,将精神损害抚慰金限定在50 000元以内,原则上不超过100 000;
河南省【参见河南省高级人民法院民事审判第一庭关于当前民事审判若干问题的指导意见(2003)。】针对侵犯隐私权造成的精神损害以20 000元为限。尽管部分省针对侵犯身体权和健康权的精神损害抚慰金设置分级赔偿,但并未明确侵犯隐私权造成精神损害赔偿数额的确定方法。在45例样本中,不同法院针对同一因素对损害结果的认定标准参差不齐,认定的赔偿数额的差异普遍较大。究其原因,是精神损害侵权赔偿数额确定的原则性和笼统性导致法官裁量权的行使缺乏操作性强的标准。
1.确定赔偿数额缺乏统一尺度和衡量因素
关于赔偿数额的考量因素,2018年的《加州消费者隐私法案》关于确定损害赔偿数额作出的规定【参见《加州消费者隐私法案》第1798.150条的规定:法院在评估法定损害赔偿额时,应考虑案件任何一方提出的任何一种或多种相关情况,包括但不限于不当行为的性质和严重性、违法行为数量,持续存在的不当行为,发生不当行为的时间长短,被告不当行为的故意以及被告的资产、负债和净值。】,涵盖多重考量因素,如不当行为的性质、违法行为持续的时间等因素。美国伊利诺伊州的《生物识别信息隐私法案》对处罚作出规定,要求法院对信息处理者的主观性进行考察,并设置了不同等级的赔偿数额。美国乔治敦法律隐私与技术中心起草的《人脸识别示范法》规定,任何人如果被人脸识别系统监视,有权提起民事诉讼,获得赔偿:法院应当在(ⅰ)受害人的实际损失或违法者的获益和(ⅱ)每天500美元乘以违法天数或50 000美金法定赔偿中选择较大数额支持起诉人[16]。日本规定,对个人信息的侵害可以主张精神损害赔偿,具体损害赔偿数额的考量因素是个人信息侵权人的非法获益。尽管我国相关司法解释【即《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》(2020年修正)第5条:“精神损害的赔偿数额根据以下因素确定:(一)侵权人的过错程度,但是法律另有规定的除外;(二)侵权行为的目的、方式、场合等具体情节;(三)侵权行为所造成的后果;(四)侵权人的获利情况;(五)侵权人承担责任的经济能力;(六)受理诉讼法院所在地的平均生活水平。”】有六种损害赔偿数额的衡量因素,但司法实践中并未做到适用统一,给法官自由裁量留下较大空间,精神损害的后果和数额大都由法官依据自己的“良心”和“理性”自由心证。在前文提及的10例支持精神损害赔偿请求的样本中,对其中3例样本,法院并未依据司法解释规定的相关因素进行综合裁量,而是完全由法官个人自由裁量确定数额,使得司法实践中呈现出损害数额参差不齐、畸轻畸重等同案、类案不同判的乱象。这严重削弱了司法机关的威严和法律的严谨,不利于数字化时代下为信息主体提供周延的法律保护。对此,宜进一步细化对敏感个人信息精神损害赔偿数额的考量因素。
2.确定赔偿数额的自由裁量权过于宽泛
尽管我国《民法典》对私密信息主张精神损害赔偿具有明确的法律依据,但关于赔偿数额的确定,并无操作性强的参考区间,如损害数额的起始值和封顶值。我国相关司法解释【即《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2020〕17号)第12条(第2款):“被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”】采用数值上限式确定侵权行为造成的物质损害,但难以确定精神损害等非物质损害的赔偿数额,且损害赔偿数额上限五十万过于宽泛,并未对司法实践产生实质性指导,针对同一违法情节,不同法院认定的严重程度不一,致使损害赔偿数额与侵权行为的严重程度不成正比[17]。反观域外立法经验,美国规定了个人信息权益的法定赔偿数额,如《加州消费者隐私法案》针对个人信息权益损害规定【《加州消费者隐私法案》第1798.150条第a款:“个人信息权益侵害的损害赔偿数额为每人每事件100美元至750美元之间或者实际损害,以较大者为准。”】100~750美元的损害赔偿数额区间;
伊利诺伊州《生物识别信息隐私法案》区分故意和过失,如因过失造成损害需在1 000美元或实际损害中选择较大值赔偿,如因故意造成损害则需在赔偿5 000美元和实际损害中选择较大值。我国台湾地区《个人资料保护法》规定,每人每事件損害赔偿数额在新台币500元以上、20 000元以下计算。
四、制度建构:敏感个人信息精神损害赔偿的优化进路
敏感个人信息侵权行为优先适用《个人信息保护法》路径、设置精神损害赔偿专门条款,降低精神损害“严重”门槛及限缩法官自由裁量权,有助于改善敏感个人信息精神损害赔偿的法律适用困境。
(一)优先适用《个人信息保护法》保护路径
个人信息权益是在传统隐私权基础上发展而来,是隐私权保护在数字化时代的延伸,其保护规则构成隐私权保护制度的特别规则,因为《个人信息保护法》与《民法典》属于特别法与一般法关系。《个人信息保护法》第二章第二节针对敏感个人信息规定了处理规则,如单独同意、特意告知等,这些规则针对信息处理者设置了程序性或手段性义务。《个人信息保护法》对敏感个人信息的事前保护手段更为全面,且事后保护中确立了更有利于信息主体的过错推定原则,明显比《民法典》对隐私权的保护更加有力。根据特别法优先于一般法的法理,可对私密信息与敏感个人信息采用区分保护方法。对构成敏感个人信息的,应优先适用《个人信息保护法》对敏感个人信息的严格处理规则。无论该敏感信息私密与否,均允许信息主体对侵权行为所造成的物质损害和精神损害提出赔偿请求。对于非敏感的私密信息,则适用《民法典》关于隐私权保护的规定[18]。依据敏感程度不同而对个人信息构建差别化的保护机制,不仅能有效减少保护成本,还能促进自然人两种权益法律保护体系的平衡,避免理论或实践中的混乱。
2020年最高人民法院发布的《最高人民法院关于印发修改后的〈民事案件案由规定〉的通知(2020)》将原来的第6条“隐私权纠纷”修改为第8条“隐私权、个人信息保护纠纷”,表明司法实践已经深刻认识到隐私权与个人信息权益在规范意义上的差别,已具备对隐私权与个人私密信息、敏感个人信息实施区分保护的实践基础。
(二)在《个人信息保护法》中设置精神损害赔偿专门条款
侵犯敏感个人信息造成的精神损害应获得赔偿是民事救济的应有之义,但《个人信息保护法》中精神损害赔偿条款缺位导致信息主体缺乏请求权基础,致使敏感个人信息主体的合法权益难以得到有效保护。
我国《民法典》已明确将私密信息和一般信息加以区分,故对敏感个人信息设置精神损害赔偿单独条款并非另起炉灶,而是延续《民法典》区分保护的法律意图。是故,应依据解释论将精神损害纳入《个人信息保护法》事后救济的损害范畴,在《个人信息保护法》中设置敏感个人信息精神损害赔偿专门条款,在信息主体遭受侵害时优先适用《个人信息保护法》,从而为敏感个人信息提供精准的法律保护,亦可从根本上化解在侵权法律保护上高位阶的人身权益低于财产权益之悖论[19]。
(三)将精神损害赔偿标准从“严重”降至“一般”
在海量数据时代,敏感个人信息更应获得关注和保护。实践中侵犯敏感个人信息的乱象频发,造成直接财产损失的概率和数额不高,损害后果通常表现为精神损害,如遭受歧视、生活安宁受到打扰,信息主体对未来风险产生焦虑、痛苦等。针对现实的精神损害,理应通过损害赔偿加以救济。但在2018-2021年驳回原告精神损害主张的35例样本中,57%(20例)的样本因损害后果未达到“严重”程度而被驳回,这不利于全面保护敏感个人信息主体的人格权益。
从强化保护人格权益角度出发,针对侵犯敏感个人信息权益的精神损害赔偿,应取消造成“严重”后果的法律限制,精神损害是否达到“严重”程度仅影响赔偿数额,而不能作为判断信息主体能否主张精神损害赔偿的依据。因此,在《个人信息保护法》中设置精神损害赔偿专门条款时,应将“严重”标准降低至“一般”。适用“一般”标准可降低信息主体的举证责任和负担,激发信息主体利用公力救济方式维护个人信息合法权益的积极性。对10例支持精神损害赔偿样本中的4例,法院并未援引精神损害应达到“严重”标准的条款,可见精神损害须达“严重”程度的标准在司法实践中已有所缓和,故降为“一般”标准具有可行性和现实基础。
诚然,“一般”程度的精神损害仍需受害人对其产生的实际精神损害承担举证责任。若受害人主张未来风险具有显著性和客观性,则可认定担忧、不安、焦虑等情绪为现实的精神损害,进而由法官根据其精神损害程度确定赔偿数额,否则不得请求侵权人承担赔偿责任,由此在避免滥诉的同时实现保护高位阶法益之目的。
(四)在司法解释中限制自由裁量权
确定敏感个人信息精神损害赔偿数额时,应针对个案具体情节“量体裁衣”和考量不同因素来确定合理的赔偿数额,以实现精神损害赔偿的填补、抚慰和惩罚功能。
1.引入赔偿数额的浮动区间
由于敏感个人信息受侵害而产生的精神损害表现形式较为单一,主要表现为人格尊严受损、歧视等,或出现焦虑、不安等心理,不易造成人身伤害等极其严重的侵权后果,故敏感个人信息的精神损害后果无需采用人身伤害适用的数值分级式确定方法,可采用数值范围式和各因素共同确定式来确定赔偿数额。即在全国设置数值范围和赔偿数额区间,允许法院根据地方社会经济的实际状况,在上、下限的区间内对赔偿数额自由裁量,并适用敏感个人信息领域的特定考量因素,从而限缩法官过大的自由裁量权。
在2019年内部征求意见的《个人信息保护法(草案)》曾规定,损害赔偿数额按照每人每事件500~1 000元来确定。但遗憾的是,在2020年的公开征求意见稿中删除了此项规定,对此可在司法解释中恢复敏感个人信息精神损害赔偿数额范围。关于赔偿数额区间,基于敏感个人信息现有行业发展态势,1 000元精神损害尚不足以有效阻止信息处理者“铤而走险”,故可以每人每事件500~10 000元的精神损害赔偿区间作为参考范围。若信息主体有充足证据证明侵权人造成的精神损害后果超过10 000元的,赔偿数额可以不受此限制。
2.创新考量因素
包括敏感个人信息在内的各类新型数据纠纷是法院审判面临的新挑战[20]。除我国司法解释已确定精神损害赔偿数额的六种衡量标准之外,敏感个人信息侵权场域还应考虑其他特定因素;
司法实践应将下列因素纳入确定敏感个人信息精神损害赔偿数额时的衡量范围。
第一,受侵害的敏感个人信息类型。敏感个人信息涵盖六种信息类型以及未成年人信息,其中部分信息的财产属性比人身属性更强;
侵犯此类信息产生的精神损害与一般精神损害不尽相同,主要表现为对未来风险的担忧和焦虑,故有必要将敏感个人信息具体类型纳入衡量因素,可依据敏感个人信息的不同属性而作出区分。一般认为,人身权属性更强的敏感个人信息更易成立现实的精神损害,如医疗信息、特定情形下的身份信息;
财产权属性更强的信息多表现为风险性精神损害,如金融信息。因此,针对前者,可酌情提高损害赔偿数额。针对未成年人个人信息,司法机关应树立特殊保护理念,强化保护力度。此种区分方法仅供参考,在实践中仍需综合案件事实来判断信息属性,在未来有待提炼出更具共识的区分标准来确定数额。
第二,信息处理者的认错态度。此即考量侵权人能否事后主动赔礼道歉,尽力恢复原状,消除对受害人产生的损害后果。若侵权人存在悔过行为,造成后果轻微,获得受害人原谅并经其同意后,则可减轻或免除赔偿。反之,若侵权人不思悔过,则应当提高赔偿数额,以突出惩罚功能。
五、结 语
在数据时代,敏感个人信息具有卓然地位。随着信息技术的广泛应用,侵害敏感个人信息权益问题层出不穷,故传统侵权法规则应予以回应,以使敏感个人信息得到更高级的保护。《个人信息保护法》与《民法典》隐私权保护路径的竞合与冲突,敏感个人信息精神损害赔偿条款缺位,设定“严重”后果的赔偿门槛较高以及赔偿数额自由裁量权失范等困境,已成为敏感个人信息权益精神损害赔偿的主要障碍。有鉴于此,应明确优先适用《个人信息保护法》的保护路径,设定敏感个人信息精神损害赔偿条款,将精神损害赔偿门槛从“严重”降为“一般”,并设置赔偿数额浮动区间和引入新的衡量因素以限缩自由裁量权。当然,上述建议仅针对敏感个人信息遭受侵害后的事后救济。为全面保护敏感个人信息,事前预防、事中规制、事后救济三个环节缺一不可,需要合理划定信息流通中各方主体的责任,如此才能全方位保护敏感个人信息,以回应大数据时代对敏感个人信息保护的基础价值需求。
参考文献:
[1] 姚佳.论个人信息处理者的民事责任[J].清华法学,2021(3):41-54.
[2] 潘林青.面部特征信息法律保护的技术诱因、理论基础及其规范构造[J].西北民族大学学报(哲学社会科学版),2020(6):75-85.
[3] 田野.风险作为损害:大数据时代侵权“损害”概念的革新[J].政治与法律,2021(10):25-39.
[4] 程啸.论个人信息权益与隐私权的关系[J].当代法学,2022(4):59-71.
[5] 谢鸿飞.个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化[J].国家检察官学院学报,2021(5):21-37.
[6] 李媛.大数据时代个人信息保护研究[M].武汉:华中科技大学出版社,2019:78.
[7] 张建文,赵梓羽.个人生物识别信息保护的立法模式与制度构建[J].重庆邮电大学学报(社会科学版),2022(1):37-47.
[8] 董惠江,严城.论我国精神损害赔偿的功能[J].甘肃政法学院学报,2012(1):18-25.
[9] 屈茂辉,王中.精神损害赔偿惩罚性功能探析——基于医疗侵权精神损害赔偿的实证研究[J].山东大学学报(哲学社会科学版),2020(5):31-41.
[10]王利明.敏感個人信息保护的基本问题——以《民法典》和《个人信息保护法》的解释为背景[J].当代法学,2022(1):3-14.
[11]姬蕾蕾.大数据时代个人敏感信息的法律保护[J].图书馆,2021(1):99-106.
[12]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4):62-72.
[13]罗斌,李卓雄.个人生物识别信息民事法律保护比较研究——我国“人脸识别第一案”的启示[J].当代传播,2021(1):77-81.
[14]彭诚信,许素敏.侵害个人信息权益精神损害赔偿的制度建构[J].南京社会科学,2022(3):84-95.
[15]孙道锐.人脸识别技术的社会风险及其法律规制[J].科学学研究,2021(1):12-20+32.
[16]邢会强.人脸识别的法律规制[J].比较法研究,2020(5):51-63.
[17]刘云.论个人信息非物质性损害的认定规则[J].经贸法律评论,2021(1):60-72.
[18]王利明.《个人信息保护法》的亮点与创新[J].重庆邮电大学学报(社会科学版),2021(6):1-13.
[19]刁胜先,姜音.论人脸识别信息的法律保护——兼评我国“人脸识别第一案”[J].重庆科技学院学报(社会科学版),2022(6):19-31.
[20]周坤琳,李悦.回应型理论下人脸数据运用法律规制研究[J].西南金融,2019(12):78-87.
Inspection and Improvement of Mental Damage Compensation
for Sensitive Personal Information:
A Case Analysis of 45 Settled Cases
CHEN Rong, YANG Yuhua
(School of Humanities and Social Science, Changan University, Xian 710064, China)
Abstract:
The “Personal Information Protection Law” stipulates sensitive personal information for the first time, specifically for the processing of sensitive personal information, and establishes stricter presumption of fault liability. There is unsettled compensation for mental damage, which triggers academic review and thinking. Taking 45 samples of violation of sensitive personal information from 2018 to 2021 as the analysis object, it is found that in judicial practice, priority was given to the protection path of the privacy right of private information in the Civil Law, which leads to low support rate of mental damage compensation for sensitive personal information, application of compensation standards and arbitrary determination of compensation amount. It showed that there are some dilemmas, such as the concurrence and conflict of privacy protection paths between the Personal Information Protection Law and the Civil Law, the absence of mental damage compensation provisions for sensitive personal information, the high threshold of damages set by the “serious” standard and anomie of discretion in the amount of compensation. If sensitive personal information is infringed, priority should be given to the protection path of the “Personal Information Protection Law”, the mental damage clause of sensitive personal information should be added, the damage threshold of mental damage compensation should be reduced from “serious” to “general”, the compensation amount range should be set and new measurement factors should be introduced in the judicial interpretation to limit the discretion of judges.
Keywords:
sensitive personal information; compensation for mental damage; personal information protection law; private information
(編辑:刁胜先)
收稿日期:2022-07-08
基金项目:陕西省文化与旅游厅基金项目:新技术对网络文化市场执法的挑战与对策研究(SWHHLYKT202027)
作者简介:
陈蓉,教授,法学博士,硕士生导师,主要从事经济法学研究,E-mail:396993470@qq.com;
杨玉华,硕士研究生,主要从事民商法学、经济法学研究,E-mail:1358479443@qq.com。