郭凯
近年来,个人信息侵权案件频发。中共中央发布了《关于新时代加快完善社会主义市场经济体制的意见》《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020—2025年)》《制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》等文件。2020年,第十三届全国人大常委会第二十二次会议对《个人信息保护法(草案)》进行了审议并公开征求意见。《民法典》中人格权编,对个人信息加以规定但还未生效。以上种种情况表明,中共中央对个人信息予以高度重视,不断推动保护个人信息的顶层设计。“个人信息保护法”的制定已箭在弦上,而研究《民法总则》生效以来个人信息条文的司法适用效果,是检验当前个人信息保护成效的现实衡量标准,以此可为“个人信息保护法”提供实践经验和构建建议。
一、个人信息的司法治理困境
从《民法总则》生效之日至《个人信息保护法(草案)》公开之日,笔者在“北大法宝案例库”,以“个人信息”为关键词搜索到262份民事裁判文书。经研读与梳理,排除重复案例,筛查出56份与研究对象相关的文书,分别从裁判者和信息主体的角度出发,厘清個人信息司法适用的症结所在。
(一)个人信息裁判适用不统一
当前涉及个人信息的侵权案件需间接论证,增加了裁判的不确定性。通过裁判文书统计分析,个人信息侵权案件被归类在不同的案由。其中“名誉权纠纷”共29件、“隐私权纠纷”共4件、“姓名权纠纷”共18件、“一般人格权纠纷”共5件。显然,司法实践未将“个人信息纠纷”作为一类独立的案由,而是转而寻求将个人信息置于其他人格权案由项下裁判的路径。此时,判断个人信息是否被侵害,裁判需要借助“一般人格权”“人格利益”“名誉权”“姓名权”“隐私权”等进行迂回说理,这无疑增加了法院的论证负担和裁判的不确定性。[1]
与此同时,通过裁判内容发现:亦有法官突破案由的外在限制,在文书说理部分使用“个人信息权”的表述,比如:浙江省杭州互联网法院(2019)浙0192民初2435号民事判决书、福建省安溪县人民法院(2020)闽0524刑初228号刑事判决书。值得肯定的是,此种方式不同于借助于其他人格权的间接论证,而是将个人信息直接作为独立的权利进行释法说理。但由于此种直接论证和上述间接论证的作法同时存在,就更显当前个人信息裁判适用的混乱局面。
(二)信息主体司法维权不畅通
《2019个人信息安全报告》显示,95%受访者曾遭遇个人信息泄露,超过一半受访者在注册APP后收到骚扰或推销电话。[2]可以窥见,利用个人信息实施商业推销、精准诈骗等侵权事件众多,信息主体更是惊讶于APP推送的个性化广告,完全将个人内心所想透明化。对此,社会公众对违法收集个人信息的行为已怨声载道,保护自身个人信息权益的意愿也随之上升。
然而,信息主体通过司法途径维权的数量却相对较少。通过裁判文书分析发现,我国内地真正涉及个人信息侵权的案件总共才56件,对比上述个人信息众多的侵权事实和社会公众维权的普遍诉求,信息主体选择司法途径救济的数量就相形见绌,而且其中被全部驳回的案件数量高达21件。《民法总则》生效已三年有余,个人信息维权案件数量依然较少且原告胜诉率较低,这显然与社会生活中广泛存在的大量个人信息侵权事实不相符合。
二、个人信息司法治理成效欠佳的原因
(一)个人信息法律属性的规定不明确
司法实践中,对个人信息裁判适用的不统一,其深层次缘由是我国法律规则关于个人信息法律属性的界定比较模糊。其一,个人信息保护进入“民法典”视野之前的规定,包括《消费者权益保护法》《网络安全法》《电子商务法》等。历经几部法律的修正,普遍认可将“可识别”作为个人信息保护的起点。但以上规则的内容囿于特定部门或行业的范围,不具有普遍约束力。其二,《民法总则》生效之后,仍主要是通过名誉权和隐私权等具体人格权的方式迂回保护,该法第111条未给予信息主体维权和司法裁判清晰的路径。而《民法典》人格权编规则延续了《民法总则》第111条的精神所在,但仍未对其法律属性表达明确的态度。其三,《个人信息保护法(草案)》将个人信息表述为“权益”,但个人信息权益具体是何种权益类型,到底是权利还是利益仍未有涉及。
(二)归责原则标准的规定单一
在我国现行法律框架之下,适用过错推定责任和无过错责任都必须严格以法律的明确规定为前提。《个人信息保护法(草案)》第65条规定较为模糊,基于《民法典》人格权编建构的个人信息体系,则建议结合《侵权责任法》的规定适用。但由于其没有对个人信息侵权归责原则的具体规定,故通常被解释为一般侵权行为,进而采取过错责任。然而,在大数据和人工智能时代下的个人信息侵权,信息主体想要举证证明信息处理者有“过错”显得相当困难。究其缘由,一方面,是由于信息处理者对个人信息的控制力较强。信息处理者利用强大的大数据与人工智能技术,对个人信息进行深层次的挖掘,通过技术加工将个人信息广泛兜售传播,导致个人信息被多方信息处理者控制。另一方面,信息主体对于个人信息的控制较弱。在大数据时代下,个人信息何时被收集,具体用在哪些领域,保存的时长是多久,信息主体显然无从得知。基本上是在发生个人信息侵权后,才始之得以知晓个人信息被泄露,以至于信息主体难以举证。对此,若继续坚持单一的过错归责原则,势必会导致信息主体追求个人信息权益救济的目的落空。
(三)传统诉讼救济功能弱化
当个人信息违法达到刑事犯罪的标准,自然可得到兜底性的保护,但若仅仅基于民事法律寻求损害赔偿,在只有一个人的信息被出售或者非法利用且结果未达到严重程度时,基于当前司法治理所依赖的传统诉讼模式难以完全实现救济。
不仅如此,个人信息并非仅是针对特定个人的单个信息侵权,而是呈现大规模信息侵权的倾向,动辄涉及上亿的个人信息泄露。调查数据显示,截至2020年6月,我国网民规模达9.40亿,超20%网民遭遇过个人信息泄露。[3]对此,若继续采取单个主体起诉的传统模式,具体到每一个当事人的损害往往较小,可能会因达不到赔偿的标准而败诉。此外,即便单个信息主体所受损害达到赔偿的标准,所可能获得的损害赔偿一般难以完全补偿损失。换言之,信息处理者侵害个人信息权益的违法成本非常低,在庞大的数据诱惑之下,不惜付出一定的代价,选择继续违法处理个人信息。显然,损害赔偿规则以及传统的诉讼模式难以起到震慑违法处理者的作用。
三、个人信息司法治理的对策建议
(一)明确个人信息的性质,重塑裁判适用标准
个人信息,应当是一项具体人格权。从根本上对个人信息的法律属性定分止争,继而统一裁判适用的前提,明晰信息主体的维权路径。一是个人信息具有其独特的内在属性,作为具体人格权是合乎情理的。信息主体通过司法途径救济个人信息權益,主要目的是维护其个人的人格尊严,使自己的人格免受不法侵害。将其作为具体人格权,保护力度上弱于所有权但强于纯粹的利益保护模式,可谓正处于一个适当的位置。[4]二是个人信息作为具体人格权可实现多途径救济。个人信息权作为具体人格权,在遭受个人信息侵权时,可基于人格权请求权主张排除妨害、消除危险等防御性权利,亦可基于侵权请求权要求承担损害赔偿的救济性权利。
(二)合理分配举证责任,实现归责原则多元化
个人信息侵权的归责原则,需根据不同的场景合理分配举证责任,以平衡信息主体与信息处理者之间对个人信息控制力的差距。一是纯粹私生活领域的信息侵权适用过错责任。借鉴欧盟《一般数据保护条例》第2条第2款(c)项关于自然人在纯粹个人或家庭活动中所进行的个人数据处理的规定,[5]我国《个人信息保护法(草案)》第68条也明确排除了自然人因个人或者家庭事务而处理个人信息的适用。然而,在自然人存在一定故意或过失的情况下,也应当延续《民法典》人格权编基准下确立的过错归责原则,此时虽不应过分苛责一般自然人的注意义务,但也绝非就应完全排除自然人民事责任的适用。
二是商业领域的信息侵权适用过错推定责任。商业领域下的信息处理者拥有强大的数据处理与算法黑箱技术,其获取个人信息通常是为了追求经济利益,显然应负有较高的注意义务。但又不宜适用无过错责任,因在保障信息个人权益的同时亦需兼顾数据流通,以避免对责任人施加过重的压力。
三是公共领域的信息侵权适用无过错责任。政府是最大的数据控制者和管理者,而大数据实际上强化了政府和个体既有的力量强弱差序格局。[6]在公共领域的信息处理者基于公共利益处理个人信息,若反过来造成个人信息侵权或损害了公共利益,这显然违背了公共机关处理个人信息的初衷,对此理应负有最高的注意义务。
(三)构建惩罚性赔偿制度,助力信息主体维权
对于恶意程度较高且造成严重后果的个人信息侵权行为,在承担受害人所受损失之外,可考虑对其额外适用惩罚性赔偿规则。通过提高侵权人实施侵权行为的违法成本,加重侵害人的赔偿负担。一是明确个人信息惩罚性赔偿制度的适用范围。个人信息权益兼具人格利益和财产利益,但并非不区分财产损害和人身损害均可适用惩罚性赔偿规则,而是需严格规范适用惩罚性赔偿制度的范围。在只有因个人信息侵权遭受财产利益损失的情况下,才可适用惩罚性赔偿制度,来扩大受害人所能获得的赔偿数额。二是确立惩罚性赔偿规则的具体标准。一方面,当受害人的损害达到一般赔偿标准时,可确定惩罚性赔偿的标准为一般不超过所受损失的一到三倍。另一方面,当损害达不到一般赔偿标准时,但是处理信息却达到一定数量的,可考虑按照处理个人信息的条数计算惩罚性赔偿的数额。而对于其中处理个人信息数量较少,类似只处理一两条个人信息的,亦可适用小额损害赔偿规则,比如,按照赔偿500元或者1000元的标准直接补足。
(四)探索信息公益诉讼,推动多维度司法保护
在此次新冠疫情中,重庆市公布了多个区县新型冠状病毒感染的肺炎确诊病例活动轨迹,[7]表明利用个人信息进行大数据分析,可以服务于社会公共利益。与之相对,信息处理者也可运用大数据技术侵犯公共利益。
对此,《个人信息保护法(草案)》正在积极探索信息公益诉讼,但却未涉及具体规则的建构。故建议聚焦到检察机关范畴完善以下举措:一是明确起诉期限。《民事诉讼法》未规定公益诉讼的起诉期限,而《行政诉讼法》规定公益诉讼的起诉期限为六个月。考虑到两部法律规定的起诉期限不一致易造成适用混乱,并且诉前程序需要花费较多时间斡旋的情况,因此,建议将信息公益诉讼的起诉期限统一规定为二年。二是优化诉前程序。检察机关可以通过诉前圆桌会议、听证、公开宣告等,增强“可视性”“对抗性”和“仪式化”,[8]不断增进诉前程序的多元化。三是创新调查取证。检察机关拥有法定的证据调查权,可委托专业第三方获取藏匿于算法黑箱之下的证据材料,以扭转私益诉讼中原告的举证劣势。
参考文献:
[1]王成.个人信息民法保护的模式选择[J].中国社会科学,2019(6):124-146.
[2]袁勇.个人信息安全年度报告(2019)显示APP专项治理成效明显[N].经济日报,2019-12-18(15)
[3]中国互联网络信息中心.中国互联网络发展状况统计报告[EB/OL].http://www.cnnic.net.cn/gywm/xwzx/rdxw/202009/t20200929_71255.htm.2020-9-29.
[4]吕炳斌.个人信息权作为民事权利之证成:以知识产权为参照[J].中国法学,2019(4):44-64.
[5]丁晓东.欧洲一般数据保护条例[EB/OL].http://calaw.cn/article/default.asp?id=12864,2020-7-13.
[6]叶名怡.个人信息的侵权法保护[J].法学研究,2018(4):83-102.
[7]重庆发布.重庆多个区县公布新型冠状病毒感染的肺炎确诊病例活动轨迹[EB/OL].http://www.thepaper.cn/baidu.jsp?contid=5752286.2020-2-2.
[8]马方飞.优化制度设计完善行政公益诉讼诉前程序[N].检察日报,2019-07-07(03).