1. 引言
在当今信息化时代,随着互联网技术的不断发展,个人信息的泄露和滥用问题也越来越突出,侵犯个人信息权益所造成的精神损害赔偿问题也逐渐成为国内外学界和社会关注的焦点。在此背景下,有关大数据时代个人信息保护的研究成果不断涌现,研究的深度逐渐细化、研究方向趋于多样化。但现有研究中关于侵犯个人信息权益的精神损害赔偿制度研究并不充足。因此,为全面了解此制度的研究现状,本文对国内外理论界“个人信息侵权精神损害赔偿”及相近主题的研究成果进行整理,发现研究中尚存在的问题,并试图提出自己的见解,以期能够为学者和社会各界提供有益的参考和启示,推动个人信息保护领域的发展和完善。
2. 我国侵害个人信息权益中精神损害赔偿
2.1. 个人信息保护基本理论研究
2.1.1. 个人信息概念界定
在深入探讨个人信息保护途径之前,我们首先需要回顾一下个人信息的定义。这是一个历来备受争议的问题,不同的观点也是层出不穷。占据主流的学说观点以是否能辨别出主体身份为判断标准。该学术核心观点主张以直接或间接方式,能在众多的信息中把信息主体准确予以区分出来的信息,就是个人信息。如程啸(2018)提出:个人独具的面部肖像、个体基因序列、指纹信息等能够直接辨别信息个体等,为直接识别。无法通过单一信息,而需要结合身高、声音、个人经历等其他个人特征信息,进行组合用以刻画个人形象而辨别信息个体等为间接识别 [1] 。直至2021年我国《民法典》的第一千零三十四条1与之后公布的《个人信息保护法》(以下简称《个保法》)第四条第一款2以法律明文的方式对个人信息这一概念进行了界定,进一步加强了对个人信息的保护力度。
可见当前现行立法对法条文本都围绕“识别”一词来建立信息与主体之间的联系,倾向于通过对独立或单独的信息进行组合分辨身份,以确定信息主体的身份来定义个人信息。
2.1.2. 个人信息的分类
对个人信息概念的界定还需要探讨个人信息的分类,类别的划分不仅能使概念的外延更加清晰,同时影响法律保护方式、体例和程度。个人信息近几年的分类标准包括:1) 汤敏(2018)以是否具有敏感性为标准,将个人信息分为敏感个人信息与非敏感个人信息 [2] ;2) 叶名怡(2018)以个人信息的信息来源、内容所属领域为标准,将个人信息分为身份户籍信息、就业信息、金融信息、教育信息、医疗信息等 [3] ;3) 丁晓冬(2019)则认为个人信息的范围是动态变化的,可分为已识别的、可识别的与不可识别的个人信息 [4] 。关于个人信息分类问题的不同观点为本论文的撰写提供了理论基础和参考。
2.1.3. 个人信息的民法属性
将个人信息认定为一种民事权利或民事法益直接关系到民法对个人信息保护的强度,亦影响到侵害个人信息时精神损害赔偿法律适用的相关问题。因此明确个人信息的权益属性十分有必要,学者们对个人信息属性的讨论主要分为权利说与法益说。
1) 权利说。杨立新教授(2018)通过对《民法总则》第一百一十一条所规定的“个人信息”进行解读后认为,个人信息可以被认定为一种新型的人格权。因为自然人对其个人信息应当享有支配、自主决定的权利,自然也可以授权他人使用自己的个人信息,所以,将个人信息作为一项权利进行保护并无不当 [5] ;学者吕炳斌(2019)从知识产权的角度出发,通过对个人信息和知识产权客体之间的共性进行深入分析,可以得出二者在权利结构上存在相似之处的结论,因此个人信息也可以成为一种权利,并建议借鉴知识产权保护的框架来确定个人信息权利的具体内容 [6] 。张舒琳(2020)认为个人信息权应当属于一种独立的民事权利,是一种同时具备人格利益、财产利益的人格权 [7] 。
2) 法益说。金耀(2020)认为基于个人信息的利益场景性特征,将个人信息作为具有排他和支配效力的具体人格权是不当的,应将其定位为人格权中的一项法益 [8] ;王利明(2021)指出个人信息权益作为一项综合性权益,涵盖了精神和财产两个方面。并且对于其利用和保护,我们必须同等重视 [9] ;郑晓剑(2021)认为个人信息不仅蕴含个人属性,还具有一定的公共属性。如果将个人信息认定为一项独立的民事权利,则意味着个人信息权具有绝对性、排他性,不利于维护社会公共利益 [10] 。
上述学者的研究成果表明,目前学术界普遍认为个人信息应当受到民法保护,同时也认为行为人侵犯个人信息的行为应该承担侵权损害赔偿责任。然而,对于个人信息的权益属性以及个人信息保护的程度,不同学者存在不同的看法。
2.1.4. 个人信息侵权救济规则认定
1) 因果关系
侵害行为与损害后果之间的因果关系是个人信息侵权损害赔偿中的一道证明难题。阮神裕(2018)认为可以将所有行为人的行为视为一个整体,那么只要认定每个人的总体行为与所侵害的权益之间存在因果关系,就可以得出每个人的个别行为与所侵害的权益之间也存在因果关系的结论 [11] ;叶名怡(2018)介绍了针对因果关系证明难题,在结合信息处理者广泛运用大数据技术的背景下,借鉴欧盟和德国均采取因果关系推定分配举证责任,我国可尝试适用因果关系推定规则 [12] ;同时刘海安(2019)强调解决因果关系证明中受害人所面临的困难,需要从证明责任分配的角度出发,而非仅仅依赖于单一的证明标准 [13] ;田野、张耀文(2022)在介绍了条件说、类推说和相当因果关系说之后,主张相当因果关系说在个人信息侵权救济中能够实现最佳的效果。且只有当条件关系和相当性同时具备时,才能认定行为与损害之间存在因果关系。同时在证明标准方面,条件关系的认定需要达到合理盖然性标准,而相当性的认定则采用高度盖然性标准 [14] 。
2) 归责原则
关于侵害个人信息权益损害赔偿的归责原则,学者们的分歧聚焦在是采用过错责任原则还是无过错责任原则。叶名怡(2018)指出中国应采用三元归责体系。即当公务机关使用自动化技术侵权时,适用无过错原则;非公务机关运用自动化技术侵权时,适用过错推定原则;而在未使用自动化技术侵权时,则适用一般过错原则 [12] ;张菲菲(2020)提出,尽管在个人信息侵权损害赔偿责任中,适用一般侵权行为的过错责任原则会造成一定的现实困境,但若采用无过错责任势必会增加侵权人的责任负担。因此采用过错责任中的过错推定责任原则,才会更好的平衡侵权人和被侵权人之间的利益保护 [15] ;程啸(2021)也主张在《个保法》所规范的个人信息处理活动中,一旦出现侵犯个人信息权益和隐私权的行为,应当依据《个保法》第六十九条所规定的过错推定责任原则进行处理 [16] ;但蒋丽华(2022)认为,个人信息侵权行为属于一种特殊的侵权行为,若采用一般侵权行为的过错责任原则会增加被侵权主体的举证责任,未扭转受害者的弱势地位。相比之下,个人信息侵权损害赔偿采用无过错的严格责任原则会更能强化对个人信息的保护 [17] 。
2.1.5. 个人信息侵权救济渠道
学者在个人信息侵权救济渠道方面讨论存在诸多观点。如郑志峰(2018)指出个人信息保护规则体系的设计应当强调事先预防,以及在个人信息保护规范中加入针对个人信息商业利用的规则 [18] ;刁胜先、何琪(2019)提出为确保信息处理者信息处理过程中的安全性,除设立个人信息行政监督机构外,还应建立数据保护官制度,以增强对信息处理者行为的监管力度 [19] ;邓辉(2020)认为目前我国个人信息行政监管方面存在主体分散、程序模糊以及救济效率存在缺陷等问题,基于此,他提出应该建立一个独立且统一的监管机构,负责协调各程序之间的关系,以确保能够及时有效地为受害者提供救济 [20] ;另外,高争志(2020)提出需要为经营领域的个人信息处理者设定个人信息安全保障义务 [21] 。
因此在个人信息私法保护方面就产生了事前预防加强信息处理者义务的路径以及事后救济,通过对相关法律规范的展开和发完善,丰富侵权损害救济机制的路径。
2.2. 侵害个人信息权益中精神损害赔偿制度研究
2.2.1. 精神损害赔偿的正当性存疑
尽管我国于2021年11月1日实施的《个保法》第六十九条明确规定了对个人信息权益的损害赔偿,但该条款并未明确规定“损害”的具体范围,因此对于是否承认对个人信息权益进行精神损害赔偿的问题,学术界存在着广泛的争议,学者们也形成了两种相互对立的观点。
持具有正当性意见的学者,如张新宝(2020)提及损害是指他人的侵权或准侵权行为给受害人带来的人身、精神或财产方面的不利后果 [22] ;之后他(2021)补充说明,根据《个保法》第六十九条第二款仅使用“损失”一词,而未按照《民法典》第一千一百八十二条3所使用的“财产损失”这一限定表述,则意味着个人信息处理者在信息处理活动中若侵害个人信息权益,不管造成财产损失还是精神损害,都应当适用该条款进行损害赔偿救济 [23] 。
另一种意见则持反对态度,如杨立新(2021)直接指出,由于《个保法》没有规定侵害个人信息权益的精神利益的精神损害赔偿,则权利人应依据《民法典》第一千一百八十三条4主张精神损害赔偿责任 [24] ;杨教授之后(2022)补充此条的“损失”应当进行限缩解释,只能就财产损失提供救济,而无法对个人信息权益人所遭受的精神损害作出赔偿,因为这种损失和利益只能用财产损失来衡量 [25] 。
虽然目前我国对于个人信息精神损害赔偿的认定正处于从推定不支持到推定支持的过渡阶段,但我国侵害个人信息权益纠纷中精神损害赔偿案件,由于其自身的特殊性及其独特体系内容和一般的个人信息物质性损害案件较为不同,其正当性争议仍旧存在。
2.2.2. 精神损害赔偿的认定标准
如果承认《个保法》第六十九条所述的“损害”包括精神损害,那么需要解决的问题包括哪些种类的精神损害可以得到保护,以及如何进一步细化精神损害的法律规则。根据《民法典》第一千一百八十三条第一款的规定,只有当侵权行为造成“严重精神损害”时,受害人才能主张精神损害赔偿。然而,对于该规定,学术界并未达成共识,并主要围绕“损害的严重程度”是否成为主张精神损害赔偿的前提条件进行讨论。
主流观点认为以“损害的严重程度”不是成为主张精神损害赔偿的前提。如叶名怡(2018)提出法院在司法审判中可适当放宽“严重程度”的标准,充分运用自由裁量权并结合实际情况进行判决 [12] 。程啸(2021)以严格按照民法典第一千一百八十三条的规定难以为信息主体的精神损害提供充分救济为由,认为因《个保法》第六十九条第二款在损害赔偿的计算方法上将所有损害均囊括在内,便意味着没有对精神损害的“严重性”加以要求 [26] ;田野(2021)指出《民法典》第1183条在“精神损害”前加上“严重”二字,显得有些画蛇添足,可能会导致无法赔偿损害的结果,与侵权法填补损害的宗旨相悖 [27] ;同时,彭诚信,许素敏(2022)借鉴域外个人信息保护经验,基于个人信息保护制度较为健全的欧盟和美国等国或机构正逐渐放宽个人信息精神损害“严重性”的限制倾向,建议因《个保法》第六十九条没有确立严重精神损害程度的要求,则我国精神损害赔偿亦应淡化对“严重性”的要求 [28] 。
但也有部分学者持有不同观点。如郭北南(2021)主张将个人信息权益侵权视为一种精神损害,并将其严重程度的重要考量因素定为违反公序良俗 [29] ;刘云(2021)认为非物质性损害必须要能达到法律上所要求的损害标准,且该损害较为显著与客观,以防止滥诉的出现 [30] 。
2.2.3. 精神损害赔偿数额计算标准
尽管《个保法》第六十九条第二款和《民法典》第一千一百八十二条规定的损害赔偿计算标准基本相同,但都没有规定具体的赔偿数额。因此,我国许多学者认为,应该确立侵害个人信息权益的精神损害赔偿的最低标准。
例如刘云(2021)主张若个人损失或个人信息处理者所得利益难以确定,则以每人每起事件500元至1000元的标准进行确定 [30] ;此外,杨显滨,王秉昌(2022)认为针对《个保法》第六十九条第二款确立的前两种损害赔偿计算规则,基于精神损害的无形性和不可用金钱估量性,无法通过“个人因此受到的损失”加以准确界定,则造成精神损害的只能选择第二种计算规则,即按照“个人信息处理者因此获得的利益”进行确定 [31] 。
3. 国外侵害个人信息权益中精神损害赔偿
随着大数据时代的到来,人们对信息资料的收集、存储、利用和流转使得个人信息无处遁形,个人信息保护愈发困难,这也成为诸多国家所面临的共同难题,各国纷纷投入到个人信息保护行列。相较于国内而言,外国对于个人信息保护的研究起步比较早,对世界其他国家和地区有着较大的影响力。
3.1. 侵害个人信息权益精神损害赔偿的正当性
关于个人信息侵权能否得到精神损害赔偿,各国学者有不同解读。例如[韩] 홍남회 (2015)认为在《日本民法典》中不仅生命健康等受到侵害可以提出精神损害赔偿,包括自由、名誉等被侵害也可以提出精神损害赔偿,进一步确定了赔偿范围 [32] ;[法]菲利普·雷米(2016)认为《法国民法典》第一千三百八十二条与一千三百八十三条5该保护机制能够灵活应对各种潜在的风险,确保受害人免受任何形式的损害,无论是技术发展所带来的新型风险还是已知的风险。然而,法国这种侵权责任的一般条款有三大缺陷:无视受保护利益的等级化;对损害赔偿请求无抵抗力;倾向于侵入纯粹属于合同利益的领域 [33] 。所以,法律上认可的损害在大多数国家并没有法国这般宽泛,非物质性损害都有相应的限制性要求;对于欧盟来说,[荷] Manon Oostveen (2018)从实践例证出发,指出《欧洲人权公约》和《欧盟基本权利宪章》难以在大数据环境下对个人数据、个人隐私提供有效的保护,具有一定的局限性 [34] ;Reichel,Jane,and J. Chamberlain (2020)提出有一些欧洲国家(如瑞典)认为《欧盟数据保护指令》第23条第1款规定的“损害”不仅包括物质损害,还包括非物质损害 [35] 。通过上述文献,可得出国外学者主流观点认为侵害个人信息权益精神损害赔偿具有正当性,应受到支持。
3.2. 其他相关理论研究
对于侵害个人信息权益精神损害赔偿的认定标准,[美] Martin Thelen (2018)指出在侵权损害赔偿责任制度中,必须设置筛选机制,以防止诉讼出现滥用的行为 [36] ;Jonas Knetsch (2020)表示德国在《通用数据保护条例》(General Data Protection Regulation,简称GDPR)生效前,就表示只有那些“严重侵犯人格权”的个人信息违法行为才能申请赔偿,将损害的显著性或者严重性作为可赔偿性的必备条件 [37] 。
针对个人信息监督救济机制,[美] Shawn Boyne (2017)指出,美国设立联邦贸易委员会(FTC)作为隐私执法机构,有权采取执法行动制止违法行为,迫使企业采取积极行动纠正违法行为。同时联邦贸易委员会对于侵犯隐私的行为可以采取损害赔偿、禁令救济等形式加以规制,这些法令要求企业必须在长达几十年的时间内服从监管 [38] 。
4. 分析与展望
4.1. 现有研究小结
通过上述现有的研究成果,可得出国内外在个人信息保护方面的相关研究成果均达到多层次的研究。国内学者对个人信息私法保护的重要性均予以认可,也都探讨了个人信息权益的概念分类、民法属性、救济途径,尤其重点分析了侵害个人信息权益中的财产损害赔偿制度,这些国内优秀的研究成果实为我国个人信息保护制度提供了基础和理论支撑。至于在国外法学界中,侵害个人信息权益的精神损害赔偿情形在其相关领域的司法实践丰富多样,因此国外学者的研究成果势必能为我国个人信息法益精神损害赔偿的法律适用提供丰富的司法实践经验,进而完善我国个人信息侵权损害赔偿责任制度。
但仔细查阅资料后发现,现有文献大多数只写个人信息保护或精神损害赔偿,将两者结合起来详细研究的文献相对来说较少。至于有所结合的学者更偏向于从理论层面展开研究,简单提及个人信息精神赔偿制度适用的必要性或适用范围应扩大的观点,并未结合实务对个人信息精神损害赔偿制度在个人信息侵权中应如何适用及其可行性进行分析和论述。显而易见,我国在个人信息权益受到侵害时,对精神损害赔偿的研究明显不足,专门深入研究这一法律制度的成果也十分有限。
4.2. 研究展望
个人信息安全的一大痛点就是损害赔偿问题。个人信息滥用行为的不断升级与现行的损害赔偿制度不完善有关。根据《个保法》第六十九条,个人信息侵权的损害赔偿责任采用过错推定原则,这一规定在一定程度上减轻了个人信息主体的举证负担。然而,如何确定侵害个人信息权益所造成的精神损害,仍然存在不少困难。因此,我们需要对个人信息侵权精神损害赔偿的法律适用困境进行深入分析,并探讨侵害个人信息权益精神损害赔偿的正当性、认定标准与数额计算等问题,以促进有效的个人信息权益保护。
同时,我国现有立法和司法缺乏应用大样本量的案例分析及定量研究,造成侵害个人信息权益纠纷中精神损害赔偿有关数量等方面法律规定大多不明确,这导致不同地区的法院,甚至同一法院内部都没有达成统一的裁判标准,裁量的结果差异较大,甚至有的司法实施的最终效果与立法的目的相去甚远。因此,可通过应用统计分析,以近三年大量侵害个人信息权益纠纷的精神损害赔偿案例为样本,进行一次法学案例定量研究的体验和探索,借鉴国外相关研究成果,以加强此领域的系统性和可操作性,回应实践的创新及多元利益平衡的需求。
NOTES
1《中华人民共和国民法典》第一千零三十四条:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
2《中华人民共和国个人信息保护法》第四条第一款:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
3《中华人民共和国民法典》第一千一百八十二条规定:“侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿;被侵权人因此受到的损失以及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。”
4《中华人民共和国民法典》第一千一百八十三条规定:“侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿。因故意或者重大过失侵害自然人具有人身意义的特定物造成严重精神损害的,被侵权人有权请求精神损害赔偿。”
5《法国民法典》第1382条规定的“故意地造成损害的不法行为”(fait dommageable intentionnel),即“故意侵权行为”。该条译文如下:“人的任何行为给他人造成损害时,因过错致其发生之人有义务赔偿损害”。第1383条规定的“过失侵权行为”。该条译文如下:“任何人不仅对其行为造成的损害负赔偿责任,而且对因其懈怠(négligence)或疏忽大意(imprudence)造成的损害负赔偿责任”。