作者:时诚,中国社会科学院法学研究所博士后研究人员、助理研究员,法学博士。
个人信息权益作为自然人享有的重要人格权益,为数字社会中的每个人构筑起一道坚实的保护屏障,使之免受因泄露或非法处理个人信息所带来的人身、财产安全的损害威胁。个人信息泄露是实践中最常见的个人信息侵权行为,其侵害后果通常不以即时的人身伤害、财产减损等传统损害形式表现出来,而更多地体现在三个方面:一是第三人实际滥用被泄露的个人信息,导致受害人遭受歧视、身份盗窃或欺诈、信誉受损等次生或下游损害;二是尽管个人信息泄露尚未造成次生损害,但致使受害人在未来受到上述损害的风险陡增,显著提高身份盗窃或欺诈等的发生概率;三是受害人对个人信息的用途去向概不知情,因而陷于恐惧、焦虑、不安等负面情绪之中。在前述三种情形中,受害人能否以及如何主张损害赔偿?《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第69条虽确立了侵害个人信息权益损害赔偿的请求权基础,但并未明确上述后果是否属于应予救济的损害之列。从既有理论和实践来看,因个人信息泄露所生之次生损害,无论是财产损害抑或精神损害,人民法院通常都会支持赔偿;而在尚未发生次生损害的场合,个人信息泄露的侵害后果具有无形性、风险导向性、扩散性,人们对于是否存在原生损害、赔偿对象为何、如何予以救济等存在明显争议,其制度设计颇值深究。
有鉴于此,本文以构建个人信息泄露原生损害赔偿责任制度为目标,试图回答:当个人信息泄露并未导致次生损害时,是否还存在某种应予救济的原生损害?个人信息泄露引发的风险能否成为损害?如何评价损害是否发生?又应如何计算赔偿数额?
一、传统损害理论与个人信息泄露原生损害的不兼容性
在传统理论上,统一损害概念是观察和认识损害的逻辑起点。个人信息泄露的侵害后果能否以及如何成为损害,取决于统一损害概念的评价结论。
(一)差额说
差额说将损害界定为受害人的实际财产状况与假设致害事件未曾发生时相比较之差额。根据该说,个人信息泄露事件发生后,损害主要产生于两种情形:一是受害人实际遭受歧视、身份盗窃或欺诈等次生侵害,由此造成计算上的差额;二是尽管次生侵害后果尚未发生,但个人信息泄露导致的损害风险已然迫在眉睫,且受害人为规避风险而支出了必要费用,由此造成财产差额。至于受害人遭受的个人信息控制状态之丧失,以及尚不构成迫在眉睫的损害风险,则因无法体现于计算差额而不成立损害。
由于差额说长期占据通说地位,国内外司法实践均倾向于认可个人信息泄露导致的次生、有形、现实损害,而忽视原生、无形、风险损害。在德国,当数据泄露造成信用卡欺诈等次生损害时,法院认为损害赔偿是合理的;但如果仅仅是账号封锁或数据丢失,只要不存在计算差额,通常就不承认损害的存在。在劳埃德诉谷歌案(Lloyd v. Google)中,英国最高法院认为,用户对个人信息失去控制权本身不足以构成损害,只有其实际遭受经济损失或精神痛苦时,才有权请求赔偿。我国也有人民法院以“对于其个人信息因可能泄露给他人而造成的损害事实,包括损害的范围、程度,未能明确举证证明”为由,不支持个人信息泄露原生损害赔偿请求权。
差额说完全不考虑泄露事件对个人自决权的影响,难免令人疑窦:其一,将损害本体与损害计算完全混同,忽视了在确定赔偿数额前应先评价是否存在损害,从而容易遗漏无法体现于财产差额的个人信息泄露原生损害。其二,要求损害风险在已经或将要转化为现实时才能赔偿,不合理地否认了风险本身成为损害的可能性,因为泄露事件的发生时间与个人信息被滥用的时间可能存在较长间隔,即便受害人届时能够证实次生损害,通常也难以证明其与泄露行为的因果关系,这显然不利于为受害人提供周全保护。其三,虽认可受害人为规避风险所支出的必要费用赔偿请求权,但其须以次生损害即将发生和实际支付费用为要件,徒增求偿难度。试想,同样是规避风险,为何受害人在采取更换账户等措施实际产生必要费用时,有权主张损害赔偿;而花费时间和精力定期监测账户的,就不存在损害?
(二)客观损害说
该说将损害界定为被侵害权益在客观状态上的不利变化。依此见解,个人信息泄露损害赔偿对象不在于计算差额,而在于个人自决权或控制权的状态恶化,且须通过个人信息的金钱价值予以客观衡量。该说将损害的概念一分为二,其中依附于个人信息权益受侵害的损害(如原生损害)为直接损害,构成了损害赔偿的最低数额;而作为个人信息权益附加侵害后果的损害(如次生损害)为间接损害,当次生损害数额高于原生损害时,超出的部分也应予以救济。
司法实践中,部分人民法院将个人信息财产权理论与客观损害说相结合,将个人信息的价值剥夺作为确定原生损害的依据。例如,有的人民法院通过对个人信息的市场价值或生产成本进行估价,支持了个人信息价值减损的赔偿。还有人民法院从个人信息的资源价值出发,认为“个人信息同时体现着人格利益和财产价值,对个人信息的侵害必然带来承担相应经济赔偿责任的后果”,其论证也带有客观损害说的印记。
客观损害说在个人信息泄露中的应用障碍主要包括:一是个人信息具有规模聚集效应,如将信息集合的整体价值分散于个体层面,单个信息的价值将会被严重稀释,其原生损害几乎可忽略不计。二是客观损害说依赖于权益客体在交易市场上的客观评价,但目前实践中尚缺乏合法的个人信息交易市场。“除非原告有能力出售个人信息,而这些信息却被被告出售,否则,根据该理论提出的索赔是不成立的。”三是个人信息具有非竞争性,即便未来出现信息交易市场,被告的泄露行为也不会阻止原告以相同价格出售信息,因此,个人信息泄露并不构成价值剥夺。
之所以客观损害说存在上述不足,根源于其将个人信息纯化为财产。而个人信息权益是一种人格权益,其目的不在于防止个人信息市场价值减损,而在于避免因个人信息泄露或非法处理而对自然人的人身、财产安全造成威胁。
(三)规范说
规范说意在于损害概念中掺杂规范目的,将损害界定为受法律保护权益遭受的侵害。依此见解,个人信息泄露原生损害取决于规范目的是否为受害人创设了某种应受保护的权利,其允许法院进行价值衡量,能够涵盖受害人为抵御风险而花费的时间和精力等无形损害,从而实现个案妥当性。
鉴于差额说和客观损害说存在弊端,有的法院又转采规范说评价原生损害。德国劳工法院认为,损害须以完全符合欧盟《通用数据保护条例》(GDPR)目标的方式进行宽泛解释,其不仅产生于违反数据保护导致歧视、机密性丧失、声誉受损或其他社会损害的严重情形中,而且发生在数据主体被剥夺权利和自由或被阻止控制其个人数据等场合。我国有的人民法院根据《中华人民共和国民法典》(以下简称《民法典》)第1034条第3款的规范目的,区分侵害私密信息与非私密信息的损害评价标准。“某些特定阅读信息落入了共识的私密信息范畴”,或“信息组合可以达到对信息主体人格刻画的程度,则一经泄露可能造成其人格利益损害。”“而非私密信息的个人信息,仅在被过度处理的情形下才可能使信息主体受到人格或财产损害。”
规范说的不足:一是该说过分倚重个案公平衡量,无法为原生损害提供系统抽象的评价标准,导致其难以成为与差额说、客观损害说相抗衡的学说。二是该说试图根据规范目的化解纷繁复杂的损害评价难题,但规范目的具有较高程度的不确定性,从而无法保障裁判结论的统一性。三是为克服该说的不确定性,遂有学者提出应从狭义视角理解规范损害,将其限定于“起初导致的损害已转移至第三人,但根据规范评价应忽略此种转移” 的场景。然而,除受害人近亲属花费时间和精力代其监测账户等特殊情形外,个人信息泄露并不涉及损害的转移,狭义规范说难以适用于原生损害评价。
(四)传统损害理论无法完全涵盖个人信息泄露原生损害
之所以个人信息泄露原生损害与统一损害概念难以兼容,既与原生损害的特点密切相关,又是统一损害概念固有的局限性所致。
1.原生损害的特点与评价难题
与一般类型的损害相比,个人信息泄露原生损害后果具有以下特点,这些特点造成了损害的评价难题。一是无形性。作为对个人自主权的侵害,个人信息泄露原生损害具备无形性,不如人身伤害、财产损失那样直观或明显,难以被观察和测量。二是风险导向性。在次生损害发生前,个人信息泄露侵害后果通常不会立刻显现,而是带有强烈的风险色彩,体现为对人身、财产安全的损害威胁。三是不确定性。一旦个人信息发生泄露,后续是否导致次生损害、损害数额有多大、损害会何时显现等,将远超受害人的合理预期。基于上述特点,在传统理论强调损害有形、现实、确定的框架内,个人信息泄露原生损害更像是对损害的假设或猜测,从而致使其救济困难重重。
2.统一损害概念的局限性
统一损害概念的初衷是通过归纳直接和间接、普通和特别、积极和消极等具体损害的共性,构建各种损害项目的上位概念,进而通过演绎推理确定损害的有无及大小。但损害赔偿的本质在于损失分担,“其背后涉及的是对不同价值利益的保护;不同价值之间取舍的立场可能因个案的情况不同而发生变化。”个人信息承载着个人人格权益、信息处理者利益和公共利益等多方利益,受害人在具体场景中是否遭受原生损害,并非纯粹的逻辑演绎问题,而是与个人信息泄露导致的风险现实化的概率及严重程度密切相关,取决于个人信息保护与数字产业发展的动态平衡。统一损害概念难以全面涵盖不同价值之间取舍的立场,也就无力解决原生损害的评价难题。
3.重构原生损害概念的必要性
为挣脱统一损害概念的桎梏,有必要根据个人信息泄露原生损害的特点,重构原生损害概念。重构原生损害概念并非是对统一损害概念的完全否认,而是在整体损害观的基础上进行的个别化补充或修正。统一损害概念与个别化损害的关系是:前者着眼于损害本体论,主要回答损害是什么,其目的是统领具体损害项目并为符合标准的新型损害奠定教义学基础;而后者立足于损害认识论,其针对统一损害概念难以涵盖,而不予赔偿却又有违公平正义的损害类型,通过重构损害概念将其固定下来。因此,个别化损害不仅需要回答损害是什么,更重要的是通过建立个性化的损害评价或计量方法确定损害的有无及大小。损害的无形性、不确定性越高,越有建立个别化损害评价体系之必要。对于个人信息泄露造成的损害类型而言,身份盗窃或欺诈等次生损害的不确定性明显低于原生损害,人们只需要根据统一损害概念确定损害本体,通常就足以为损害赔偿奠定基础;而原生损害具有极强的不确定性,离开法律评价就不足以确定其发生或存在,只有重构原生损害概念,才能更好地确定损害赔偿对象、损害是否存在以及损害数额计算等问题。
二、个人信息泄露风险损害概念的提出
个人信息泄露原生损害概念的重构,首先应探索损害赔偿对象为何。对此,将个人信息泄露引发的实质性风险确认为可赔偿性损害是一条切实可行的路径,既符合个人信息安全风险分配理念,又有法教义学上的正当性基础。
(一)大数据时代个人信息安全风险分配
损害概念无法仅凭其内在体系自给自足,而须依存于特定的技术和社会环境并回应其变化。作为损害界定的经典学说,统一损害概念发轫于19世纪中期,已经或即将发生的损害是威胁人类活动的主要来源。侵权法的目标在于填补确定发生的现实损害,以实现矫正正义。20世纪以来,电子、医学、交通、能源等技术的创新使人类进入风险社会,许多侵害后果化身于对人身、财产安全的“潜在副作用”,体现为虽未发生但已初具威胁的风险。以矫正“过去”为原型的统一损害概念难以决定面向未来的风险分配,现代侵权法率先在生态破坏、毒物致害等领域突破现实损害的限制,发展出以面向未来的风险为赔偿对象的新型损害概念。
21世纪以来,大数据、人工智能、区块链等新兴技术迅速发展,个人信息处理日趋常态化、复杂化。如何在尽可能地满足个人信息处理需求的同时,将信息安全风险控制在合理范围,是追求信息安全秩序价值的应有之义。风险控制的原理是:个人信息保护不应以阻止处理活动的全部不利后果为目标,而须重点观测不利后果的发生概率与社会影响。风险控制理论既催生了个人信息安全风险的事前规制,又影响了个人信息泄露的事后救济。对于前者而言,风险控制表现为基于风险的合规管理,要求个人信息处理者将风险管理和评估作为合规的重要手段,识别一系列针对个人信息权益的风险。对于后者而言,风险控制表现为基于风险的损害分配,其将风险作为侵权法的核心概念,个人信息泄露侵权责任不仅需要“向后看”,填补已经发生的损害,还应“向前看”,主动参与到风险控制与消解之中,将个人信息泄露导致的潜在风险纳入分配范围。
问题是,因个人信息泄露导致的风险应由受害人还是个人信息处理者承担?一般认为,风险分配以实现正义为目标,须遵循与生产风险的责任、获取风险的收益、抵御风险的能力相适应的原则。在信息处理关系中,个人与个人信息处理者具有信息能力的不平等性,后者在知识、信息、技术等方面占据绝对优势地位,其既是安全风险的制造者,又是处理活动的获益者,拥有更强的风险抵御和规避能力。因此,在个人信息泄露侵害后果转化为现实的身份盗窃或欺诈等次生损害之前,令个人信息处理者而非受害人承担潜在风险,有利于将侵权成本内部化,迫使个人信息处理者形成注重风险合规的行事方式,从而使风险对公众的总体伤害最小化,实现利益共同体的最大善。
(二)从风险到损害的争议与澄清
风险分配只是在法政策上大致划定责任关系,至于个人信息泄露导致的风险能否成为损害,则尚需探寻从风险到损害的法教义学基础。在理论上,有观点否认风险损害的存在,其理由包括:一是与现实损害相比,个人信息泄露导致的潜在风险或多或少地带有猜测性意蕴,具有不真实性。“现实的隐私损害是实实在在的损害,而潜在的隐私泄露损害仅为损害发生的可能性。如果仅仅因为有人认为自己在信息泄露中更易受损而认可隐私损害,就如同某人因担心可能遭受人身攻击而认可人身损害一样,是极其不合理的。”二是损害与风险在底层逻辑上存在差异,只有当个人信息泄露的危害后果迫在眉睫或造成实际损失时,损害才应交由民法上的私人执行;而纯粹的风险应围绕公法上的公共执行机制展开。三是在民法上,风险可通过消除危险等预防性责任起到预防效果,而无须诉诸损害赔偿。
个人信息泄露损害风险的产生,纵然掺杂推测性因素,但这并不意味着风险损害是虚假或不真实的,更不意味着公法保护或预防性责任能够代替风险损害赔偿。
其一,风险损害具有真实性。真实性要求损害须为真实或实际存在的,而不能是主观臆想或假设性的。尽管并非所有个人信息泄露导致的风险都会转化为现实,但受害人面临的损害威胁却是真实、具体、持续性的:一是“每个人都遭受了精算(保险计算)意义的损失,因为他们避免损害的机会已然减少”;二是为人身、财产安全埋下隐患,受害人普遍担心泄露的个人信息会遭滥用,并花费时间和金钱保护自己免受影响;三是实质性地增加了次生损害的发生概率,损害风险最终会在部分受害人中转化为现实。可见,风险损害绝非主观臆想或假设性的。
其二,公法保护不能代替民事救济。面对与日俱增的个人信息泄露事件,以《中华人民共和国刑法》第253条之一规定的侵犯公民个人信息罪和《个人信息保护法》第66条规定的行政处罚制度为代表的公法保护的确发挥着重要作用。但一概依赖公法对风险进行管控难免存在反应迟缓、资源匮乏、执行僵化等弊端,而且即便对个人信息处理者进行刑事制裁或高额罚款,也不能彻底消除个人信息在未来可能遭到滥用的风险,更无法培养人们积极保护个人信息的权利意识。因此,公法与私法的协同治理是个人信息泄露风险规制的重要趋势。我国司法实践也不排斥风险构成具体、真实的损害。例如,有的人民法院将“被他人议论、登门打扰的可能性增加”作为确定个人信息泄露原生损害的依据,足以说明将风险界定为损害具备现实可行性。
其三,预防性责任难以取代损害赔偿。根据《个人信息保护法》第57条,个人信息处理者在信息泄露后负有补救和通知义务,此义务可谓消除危险责任在个人信息泄露中的具体应用,有利于预防未来发生次生损害的风险。然而,正如车辆经修理后仍可能存在价值贬损一样,个人信息一经泄露,即便个人信息处理者采取断开链接等补救措施,个人信息权益也难以恢复到泄露事件未曾发生时的状态,因此,仍可能存在技术上无法消除的剩余风险。当该剩余风险在未来转化为现实的概率较高或一旦现实化便具有较强的严重性时,就有必要通过损害赔偿消解剩余风险,保护受害人的个人信息权益。
(三)风险损害的判断标准
认可风险具有转化为损害的可能性并不意味着风险在任何场合都能获得救济,通常只有构成紧迫性的风险才能构成法律上的损害。在克拉珀诉国际特赦组织·美国案(Clapper v. Amnesty Intern. USA)中,美国联邦最高法院确立了风险损害紧迫性判断的确实迫在眉睫(certainly impending)标准。原告主张其境外通信在未来具有被截获的客观合理可能性,但法院认为此风险建立在高度猜测性的恐惧之上,未能证明其确实迫在眉睫。
之所以将确实迫在眉睫作为风险损害的判断标准,其无非是限制风险损害赔偿的手段运用。然而,这一要求不仅会令受害人难以举证,还会进一步强化对风险现实化的要求。在大数据时代,个人信息泄露往往涉及数以万计的受害人,即便受害人尚未遭受身份盗窃或欺诈,这些次生损害也会伴随时间推移而在相当比例的人群中实际发生。而且个人信息泄露的发生时点与风险现实化的时点可能存在较长时间间隔,一旦受害人错过请求风险损害赔偿的最佳时机,例如,未能获赔信贷监控或防盗保险的费用等,就很可能会在未来遭受巨额损失。鉴于为防止风险现实化的总成本通常低于次生损害实现后的救济费用,一概强调损害须确实迫在眉睫既不利于维护个人信息权益,又提高了信息安全维护成本。有鉴于此,有学者主张采纳客观合理可能性标准从宽认定风险损害。但几乎任何个人信息侵害事件都具有引发次生损害的可能性,该标准无法剔除潜在风险不够紧迫或过分倚重猜测的损害索赔。
为实现个人信息保护与数字产业发展的平衡,应在客观合理可能性与确实迫在眉睫之间探寻折中路线,将实质性风险(substantial risk)作为风险损害的判断标准。实质性风险标准不仅具有坚实的理论基础,而且也被部分判决所采纳。美国联邦第六巡回上诉法院认为,当个人信息已掌握在恶意的犯罪分子手中时,未来损害的实质性风险足以确立诉讼资格。我国也有人民法院将“个人生命健康、人格尊严或经济利益可能遭受严重损害或极易遭受损害”作为风险损害的判断依据,与实质性风险异曲同工。实质性风险的要义是:当个人信息泄露导致的风险在未来转化为现实损害的概率较高,或者一旦被泄露的个人信息遭非法处理,就容易对受害人的人身、财产权益造成严重后果时,承认风险损害的存在。实质性意味着风险的紧迫性或确定性程度要高于损害发生的可能性,但又不要求风险达到确实迫在眉睫的程度。如此,具有较高发生概率或严重程度的风险在次生损害发生前就能得到预防或管控,这样,既有利于救济个人信息权益,又可及时纠正个人信息泄露行为,从而在整体上减少诉讼成本。
三、个人信息泄露风险损害的评价方法
在确定个人信息泄露原生损害赔偿对象为实质性风险后,采用何种评价方法将满足实质性风险的损害从个案中筛选出来,便成为构建其赔偿责任的关键。实践中个人信息泄露场景千差万别,风险损害无法依据“全有或全无”的要件评价简明得出结论,而须考量个人信息保护与利用的动态平衡。这就决定了构筑实质性风险的内在价值体系,并非支离破碎的要素叠加,而是由数个基础原理相互协调构成的动态体系。风险损害的评价结论取决于不同场景中评价要素的形态差异和相互作用。
(一)评价要素的选取
风险损害评价的核心原理是风险现实化的概率及严重程度,取决于未经授权访问信息的第三人是否具有滥用个人信息的主观意图和客观条件,前者体现为第三人访问个人信息的动机和信息滥用证据,而后者则包括信息敏感性和安全技术措施。
1. 第三人动机
动机反映了第三人访问个人信息的心理倾向和内部驱力,第三人通过访问个人信息实施身份盗窃等侵权行为的动机越明确,就越容易推断风险损害的成立。
第三人动机具有主观性、难以确证性,须借助客观标准化的技术予以推定,具体考量以下因素:(1)信息泄露原因。外部入侵和内部因素是泄露事件的主要原因。外部入侵是黑客精心组织设计的攻击活动,其瞄准对象即为个人信息本身,可以合理地推测黑客访问个人信息的目的“迟早是要实施欺诈或冒用消费者的身份”。而在因员工操作失误等内部因素造成的信息泄露事件中,须借助额外证据才能推断个人信息访问是第三人蓄谋已久还是偶然点击的结果,风险损害的紧迫性明显低于外部入侵的情形。(2)信息扩散范围。个人信息的扩散范围越广,越容易推断潜在访问者具有滥用信息的意图,风险损害的紧迫性也就越高。如果个人信息尚未向不特定的人群传播,则只要有限的访问者不具有滥用动机,就不存在风险损害。(3)信息存储载体。信息存储载体包括电子设备、数据库、纸质文档等。在电子设备(如笔记本电脑)被盗导致的泄露中,个人信息仅为盗窃行为的间接对象,在缺乏充分证据的情况下,人民法院不愿接受盗窃电子设备的动机在于滥用存储于其中的个人信息这一推论,风险的推测性较为明显。而在窃取纸质文档和入侵数据库的场合,由于这两种信息载体不像电子设备那样自带高昂价值,能够合理地推断盗窃者的目标是个人信息本身,其滥用信息的动机比较明确,因此,更容易造成风险损害。
2. 信息敏感性
个人信息敏感性程度越高,一旦泄露被他人滥用的可能性和危害性就越大,也就越容易被认定风险损害存在。
根据《个人信息保护法》第28条第1款,敏感个人信息一经泄露,就容易导致受害人的人身、财产安全受到威胁,发生次生损害的风险相当明显。例如,在银行卡、健康信息和行踪信息泄露案中,人民法院认为:“六被告实施的侵权行为,既造成受害人的财产安全陷入巨大风险,也造成受害人因丧失对个人信息的控制力而陷入不安,精神遭受损害。”而同样是敏感个人信息,其泄露后的风险程度也不尽相同。生物识别和医疗健康信息兼具可识别性与私密性,一经泄露就打破了受害人的合理隐私期待,风险损害的紧迫性程度极高。而在金融账户信息泄露后,受害人可通过更换、注销信用卡的方式切断个人信息与身份盗窃的关联。除非有证据表明受害人采取上述措施后仍存在剩余风险,否则,只要个人信息处理者支付注销、更换信用卡的费用就足以消除个人信息泄露的潜在影响,而无须另行赔偿风险损害。
对于非敏感个人信息,有学者认为,“针对一般个人信息的风险暂不宜认可其成立损害。”诚然,单独泄露非敏感个人信息引发的风险较小,原则上不应认可构成风险损害。但个人信息并非孤立存在。第三人在未经授权访问非敏感个人信息后,可能会将其与已掌握的其他信息相结合,以揭示或推断未知信息,从而对受害人的人身、财产安全造成实质性威胁。例如,泄露兴趣爱好、出生时期等,孤立来看是琐碎无害的,但如果这些信息被受害人用于设置密保,则第三人很可能会借此破解账户密码,危及财产安全。因此,如果有证据证明第三人有意聚合不同来源的个人信息以形成用户画像,则应例外地认可非敏感个人信息泄露的风险损害。
3. 安全技术措施
个人信息处理者采取的信息安全技术措施越严密,未经授权访问的第三人就越难解密个人信息,风险损害也就越不易获得认可。当个人信息处理者泄露未加密、未去标识的个人信息时,未经授权访问的第三人无须解密环节即可读取信息内容,法院容易认可风险损害的存在。有疑问的是,当个人信息处理者泄露已加密或去标识化的个人信息时,是否还存在风险损害?美国加利福尼亚州《消费者隐私法案》(CCPA)将私人诉讼的保护对象限定于“未加密和未编校的个人信息”。本文不赞同此观点。尽管安全技术措施能够在一定程度上确保个人信息的机密性和完整性,却无法阻止去标识化信息的重新标识。如果第三人窃取了加密信息的密钥或安全凭证,或者精通去标识化信息的解密技术,则受害人仍可能面临实质性风险。
4. 滥用证据
同一泄露事件中,第三人利用被泄露的个人信息实施侵权行为的频次越高,个人信息滥用证据或迹象越明显,越容易发现并证成风险损害。
滥用证据主要包括两类:其一,受害人遭受侵权未遂,即第三人未经授权访问受害人的个人信息并已着手实施滥用行为,只是由于意志以外的原因未得逞。此时除非当前技术条件下被泄露的个人信息不具备单独或结合其他信息威胁人身、财产安全的可能性,否则,能够合理地推断第三人在未来还会实施类似行为,此时,风险损害已然迫在眉睫。例如,庞某在个人信息泄露后多次收到诈骗短信,只是由于其防诈意识较强导致诈骗未得逞,人民法院支持了其个人信息泄露的侵权救济请求。
其二,大规模泄露事件中,第三人已滥用部分受害人的个人信息造成次生损害的,对于其他尚未遭受次生损害的受害人而言,可以合理地推断其在未来有相当大的概率也会遭受类似损害。例如,在35万条信用卡信息泄露案中,其中9200条信息已被黑客用于实施欺诈活动,人民法院推断其他信息迟早会被滥用,受害人已然遭受欺诈的实质性风险。如果大规模泄露事件发生后,几乎没有受害人遭受现实损害或侵权未遂,那么随着时间推移,个人信息被滥用的概率就会越来越低,风险损害也就越难获得支持。
(二)评价要素的协动
风险损害的评价要素不是零散无序的,而是相互之间具备位阶权重和协动作用,如此动态体系的综合权衡方能开展。
1. 评价要素的位阶权重
风险损害的评价要素具有价值上的先后次序,从高到低依次是“滥用证据——信息敏感性、安全技术措施——第三人动机”。首先,滥用证据是最具决定性的评价要素,甚至可以单独决定风险损害的成立。无论其他要素的充足度如何,同一泄露事件中其他受害人的个人信息遭滥用的证据就足以支持风险损害赔偿。其次,信息敏感性和安全技术措施集中反映了第三人在客观上实施信息滥用的难易程度,其中任一要素的低充足度都会降低风险的紧迫性,须借助其他要素进行补充。最后,之所以动机要素位居权重末位,是因为如果第三人仅有滥用个人信息的动机,而缺乏阅读、复制和理解信息内容的客观条件,则不足以制造实质性风险。
2. 评价要素的协动作用
协动意味着不同要素之间具备相互制约、互为补充的功能,其能够将不同强度或力量的评价要素组合起来,共同决定风险损害的评价结论。风险损害评价要素的协动大致可分为三类:一是基础性或决定性。个人信息滥用证据在评价要素中具备基础性或决定性地位,一旦该要素充足度较高,例如,受害人数次遭受欺诈未遂或大规模泄露事件中其他数名受害人的个人信息遭滥用,则很容易证成或补足其他要素的充足度,而其他要素则难以反向补充滥用证据要素。二是双向互补性。信息敏感性和安全技术措施具备双向互补性,如果其中某个要素的充足度很高,而另一要素的充足度低于平均基准的,二者在综合权衡中可以实现互补,风险损害仍可能成立。三是单向补充性。信息敏感性和安全技术措施作为第三人实施信息滥用的客观条件,能够在综合权衡中补充第三人动机要素的短板;而第三人动机却难以对信息敏感性或安全技术措施要素的低充足度进行补足,从而容易使风险损害在评价中趋于失败。
(三)评价示例的引入
既然风险损害评价由四个要素的协动作用所决定,那么只有引入“当要素A的充足度为a1,要素B的充足度为b1时,就应导出法律效果R1”的示例,才能演绎富含动态品质的评价效果。
1.认可风险损害的评价示例
(1)受害人数次遭受侵权未遂,或者大规模泄露事件中其他数名受害人的个人信息遭滥用。其协动公式是:当具备决定性作用的滥用证据要素具有较高充足度时,即便其他要素的充足度较低,也足以发现并证成风险损害。例如,在记录员工信息的电脑盗窃案中,盗窃者曾试图利用员工信息开设银行账户,其滥用个人信息的前景足以构成风险损害。(2)未加密的敏感个人信息遭泄露。当信息敏感性和安全技术措施的充足度较高时,尽管第三人访问个人信息的动机不得而知,发生次生损害的风险也会相当明显。“李某清将吴某红的清晰身份证照片发布于自己的朋友圈,客观上会增加吴某红的个人信息被窃取、盗用或者被他人滋扰的风险”,故应承担侵权责任。(3)因黑客入侵或纸质文档失窃,致使加密的敏感个人信息或未加密的非敏感个人信息遭泄露。当第三人动机具有较高充足度时,只要信息敏感性和安全技术措施中任一要素的充足度较高,即可在后两个要素的互补作用下成立风险损害。例如,尽管公司已采取个人信息加密处理,但既有证据表明黑客入侵服务器的目标在于利用零售商的解密软件破解用户信用卡号,这足以证明风险损害的紧迫性。
2.否定风险损害的评价示例
(1)大规模泄露事件中,在很长时间内没有受害人的个人信息遭滥用。当滥用证据要素的充足度很低时,即便其他要素具有较高充足度,经综合权衡后也不构成风险损害。例如,在黑客入侵导致用户敏感个人信息泄露的三年内,没有任何个人信息滥用的迹象,由此导致的身份盗窃风险不足以构成损害。(2)加密的非敏感个人信息遭泄露。当信息敏感性和安全技术措施同时具有较低充足度时,除非个人信息滥用证据或迹象较为明显,否则不发生风险损害。例如,教育平台泄露的学生信息是加密的非敏感个人信息,其难以被用于实施欺诈交易,不足以显著增加身份盗窃的风险。(3)加密的敏感个人信息或未加密的非敏感个人信息遭泄露,且第三人访问信息的动机不甚明确。第三人动机要素充足度较低的,尽管信息敏感性和安全技术措施中某一要素的充足度较高,在综合权衡中也不发生风险损害。例如,在数据磁盘盗窃案中,倘若发生身份盗窃,须假设盗窃者采取一系列行动:识别数据磁盘真伪;找到读取器和软件访问磁盘;解密加密数据;滥用特定个人的姓名和社会保障号码。可见,本案原告的身份盗窃风险极具推测性。
四、个人信息泄露风险损害赔偿的计算
在筛选出应予救济的风险损害后,应如何计算个人信息泄露风险损害赔偿数额?
(一)风险损害赔偿的范围
1. 风险预防费用
风险预防费用是为防止潜在风险现实化而采取预防措施所支出的费用,包括购买信用监测产品和防盗保险、关闭或注销金融账户、更换银行卡或服务提供商、实施或解除信贷冻结、购买和审查信用报告或银行财务报表的费用等。风险预防费用并非个人信息泄露造成的现实损害,而是对尚未发生的损害之预防。有的人民法院担忧,预防费用的支出源于用户对未来损害的感知风险,是原告为获得赔偿或转移风险而故意制造的损害。
事实上,风险预防费用作为具体地理解和计算风险损害的指南,能够帮助受害人管控风险并及时发现信息滥用迹象,属于个人信息泄露导致的当然结果。在受害人明知可能遭受欺诈、身份盗窃等次生损害的情况下,可以合理地预见其会采取购买保险、更换信用卡等风险预防措施。鉴于规避风险的总成本通常低于次生损害实现后的救济费用,认可风险预防费用将有利于发挥侵权法的预防功能,实现帕累托最优。如果受害人并未因抵御风险实际支付费用而仅仅是花费时间和精力的,是否还有权请求赔偿?实务上大多持否定态度,认为除非时间损失能直观反映于收入机会的丧失,否则,不应予以救济。但这既会使个人信息处理者因受害人的额外努力而获益,又会剥夺受害人对损害赔偿金的处置权,不符合损害赔偿的规范目的。为保障公平合理,风险预防费用应以理性人在此情形下通常支付的费用为基准进行计算。当受害人并未实际支付风险预防费用或支出的费用不合理时,人民法院可依据理性人标准酌定赔偿数额。
2. 使用利益丧失
在受害人为抵御风险而采取预防措施的过程中,其可能还会因无法使用相关产品或服务而遭受使用利益丧失。例如,在账户冻结期间导致生活成本提高;因网络服务中断造成经济损失或生活不便;更换账户致使服务费增加或奖励积分丧失;更换银行卡导致定期存款利息损失等。
与风险预防费用不同,使用利益丧失不是对个人信息权益直接造成的损害,而是作为附加侵害后果的间接损害,不少人民法院以此为由拒绝赔偿。然而,直接损害与间接损害的区分实意不在于限制赔偿范围,而仅仅意味着后者与个人信息权益受侵害的因果关系结合度较远,两种损害原则上都应予以赔偿。据此,使用利益丧失赔偿应回归相当性理论,判断其能否被理性人所预见。个人信息泄露事件发生后,采取预防措施属于理性人试图规避风险的通常反应,而此过程将不可避免地产生成本或不便,这是金融服务业的市场规律使然,并未超出理性人的预见能力。可见,尽管使用利益丧失与个人信息权益受侵害之间存在介入因素,但其仍处于相当性射程之内,应纳入风险损害赔偿范围。
3. 内心焦虑损害
一旦个人信息失去控制,受害人常担心个人信息未来被他人利用,进而遭受焦虑、恐惧、尴尬、失去信任、羞辱、紧张、担心、失眠等内心焦虑损害。
与传统精神损害相比,个人信息泄露导致的内心焦虑不以具体人格权的现实侵害为基础,而仅仅源于对将来不确定事件的担忧,有的人民法院据此否认其真实性。然而,正如财产损害包括现实损害和即将发生的损害,是否产生现实侵害后果并非评价精神损害的唯一基准,具有实质性风险的损害威胁也可能成为内心焦虑的源头。据调查,个人信息泄露造成的焦虑程度要比静息态焦虑更严重,可能致使受害人的心理和躯体出现不良症状,甚至身患抑郁症、焦虑症和创伤后应激障碍。因此,只要理性人在个人信息泄露的相同处境下能够感受到内心焦虑或痛苦,就应认可损害的真实性。
在明确内心焦虑损害的真实性后,根据《民法典》第1183条第1款,其赔偿还须满足精神损害严重性要件。实践中,除个人信息泄露“可能导致原告无法以应届毕业生身份择业”等特殊情形外,在受害人受到生活困扰、感到忧虑和心情紧张等案例中,人民法院均以内心焦虑未达到法定严重程度为由拒绝赔偿。
之所以强调精神损害的严重性,主要是为了贯彻微害不予救济原则,以防止将其扩张至纯粹主观感知上的不便。然令人疑惑的是,同样应遵守微害不予救济,法律并未限制财产损害赔偿的严重程度,却为具有兜底功能且更难举证的精神损害增设救济门槛,这不仅在价值上有失均衡,而且可能造成受害人受有内心焦虑却无法获得救济的不公平结果。为实现价值平衡,一方面应根据内心焦虑损害的微型特点,适当降低其赔偿门槛;另一方面又应排除影响方式及频率尚属轻微的风险,避免个人信息处理者陷于动辄赔偿的境地。对此,人民法院可以从宽解释《个人信息保护法》第69条第2款中的“损失”,使之包含财产损害和精神损害,两种损害的赔偿都无须满足严重要件;而即便认为“损失”不包括精神损害,人民法院也可以将《民法典》第1183条第1款中的严重要件视为微害不予救济的具体规定,只要个人信息泄露足以使受害人遭受非轻微性的内心焦虑即可获得赔偿。例如,在“史某、贾某个人信息保护纠纷”案中,人民法院认定“史某英未提供严重后果的相关证据,但考虑给史某英造成的内在精神损害,故酌定贾某应赔偿史某英精神损害抚慰金300元。”
4.维权合理开支
为制止个人信息泄露侵权行为,受害人在维护其合法权益的过程中还可能产生相关开支或成本。通常情况下,因民事纠纷产生的维权开支,属于法治国家中的一般生活风险,不得转嫁他人。但由于个人信息泄露造成的损失数额普遍偏低而维权开支较高,如不赔偿将导致维权费用与侵权成本陷于不平衡状态。为此,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号)第8条第2款例外地承认了个人信息侵权中“为制止侵权行为所支付的合理开支”之赔偿,并列举了调查、取证费和律师费等赔偿项目。不限于此,受害人的维权开支还包括交通费、差旅费、误工费、打印费、公证费、保全费、通知费、申诉费等。只要这些开支符合国家有关部门规定的合理标准,无论是否发生次生损害,都应纳入赔偿范围。例如,在网上发帖泄露信息案中,人民法院支持了原告为制止侵权行为而支付的公证费4100元、律师费6000元和交通费300元的损害赔偿。
(二)风险损害赔偿的酌定
基于风险损害的无形性、不确定性,实践中经常出现受害人已证明产生上述赔偿项目却无法证明具体数值的情形,此时应根据《个人信息保护法》第69条第2款由法官依职权酌定。为确保裁量结果的公平正义,应构建风险损害赔偿的酌定因素与区间。
1. 风险损害赔偿的酌定因素
酌定因素是决定风险损害数额大小的原因或条件,其通过设置多元化的变量要素,简明反应了风险损害赔偿的内在逻辑结构。为统一裁判尺度、实现赔偿标准的客观化,实务上应全面列举风险损害赔偿的酌定因素。这主要包括:(1)泄露行为的性质、程度和持续时间;(2)个人信息的敏感性和数量;(3)损害风险提高的概率;(4)其他个案因素。第(1)和(2)项是数额计算的基准因素,与风险损害赔偿呈正相关,二者共同决定了一旦风险转化为现实后的损害程度。第(3)项因素可通过鉴定评估或数据统计进行量化,与第三人的侵权动机呈正相关,与个人身份识别的难易程度呈负相关,单以“损害风险提高的概率”足以涵盖其他两种因素的参数作用。以上三个因素具有客观性、确定性,法官在评定中不享有过高的裁量权,具体权重可通过实务经验积累达到标准化确定。而第(4)项则是个案中影响风险损害赔偿的其他因素。例如,当受害人遭受内心焦虑损害时,个人信息处理者的过错程度应成为酌定其赔偿数额的重要因素。可见,其他个案因素具备主观性、不确定性,法官享有一定的裁量权,须结合个案场景审慎认定。
2.风险损害赔偿的酌定区间
在建立风险损害赔偿的酌定因素后,还应划定赔偿数额的酌定区间,从而形成科学系统的酌定公式。为合理限制法官裁量权,同时兼顾个人信息处理者的成本预期,风险损害赔偿的酌定区间应采用双重限制结构:第一重限制为每人每事件的酌定区间,包括酌定下限和上限,前者构成了酌定赔偿的最小值,为受害人提供了无法证明损害数额时的兜底方案,有利于降低其举证成本;而后者则为酌定赔偿的最大值,意在于将个人信息处理风险控制在合理预期的范围,适当限制个人信息处理者的赔偿责任。至于酌定区间的具体数值,则应综合考虑每个事件平均造成的损失、受害人行使请求权的意愿、防止虚假诉讼等因素确定。第二重限制为大规模泄露事件的最高酌定限额。同一泄露事件可能导致众多受害人遭受风险损害,尽管每名受害人的损害数额较低,但累计却可能达到相当高的程度。为避免赔偿数额过巨,应设置同一事件中全部受害人累计可获赔偿的最高限额。当依酌定计算的风险损害总额溢出最高限额时,其赔偿应适用最高限额标准,同时对每名受害人的赔偿将不再受限于每人每事件的酌定下限。
五、余论
正如财产权客体正在经历从有体物到无形财产的扩张,现代社会的损害观也呈现无形化、抽象化的演变趋势,因此,亟需构筑无形、风险损害的概念体系和赔偿责任。不限于个人信息泄露,风险损害在现代社会具有普遍意义:在医疗侵权领域,当医生误诊导致病人患肠梗阻病的概率提高时,损害表现为患病风险的显著增加;在毒物致害领域,施工方在铁路维修中大量使用多氯联苯致使受害人长期暴露于危险物质之中,损害体现为对人身健康的潜在威胁;在生态破坏领域,当土壤、空气、水体等环境要素受损时,损害表现为因污染物的扩散迁移而对公众健康或生态环境造成的侵害风险。实践中有必要全面接纳面向未来的实质性风险损害,并针对不同类型的风险损害建立差别化的评价机理,从而动态地适应受害人的权利救济需求。
原文刊载于《现代法学》
《数字法治》专题由上海市法学会数字法学研究会特约供稿,专题统筹:秦前松。