我国消费者数据权益保护私力救济路径之重构

曲君宇

内容提要： 大数据技术的进步为人类构建美丽新世界以有力的支持，但也催生出信息不对称加剧等非正义现象，进而导致数据侵权普遍且消费者索赔无门。对此，私力救济受制于制度缺陷难以发挥作用，但以公力救济为替代将有损于法律指引功能的实现，也非良策。我国有必要完成从公私分治到公私融合的思路嬗变，进而以损害填补为目的，主体关系为依据，灵活干预为手段，通过扩大经营者与消费者主体范围、减轻多数项构成要件证明难度、形成含多层次结构的赔偿标准、促进司法与执法间的联动实施，重构消费者数据权益保护之私力救济制度，进而助力数字红利在全社会的公平分享。

关键词： 数据权益保护;消费者;私力救济;公力救济;公私融合

中图分类号：DF41  文献标识码：A  文章编号：1001-148X（2021）05-0140-13

一、问题提出：我国消费者在普遍的数据侵权中面临索赔无门窘况

随着数字经济成为全球投资增长和发展的主要动力，数据的市场价值已愈加凸显。数据可以提升所有行业的竞争力，为商业和创业活动提供新机会，帮助企业进入海外市场和参与全球电子价值链，也为解决可持续发展问题提供了新工具。然而部分学者所期望地通过数据帮助人类构建美丽新世界[1]的乌托邦式美好愿景短期内似乎难以实现，因为对数据的充分利用需要以大数据技术作为支撑，但每一种技术都是利弊同在的产物，大数据也不例外[2]。目前大数据技术产生的积极影响多体现于生产正义层面，但其广泛使用导致经营者与消费者间的信息不对称现象显著加剧。技术对分配正义的实现不仅无能为力，甚至还会成为“强者”加速剥削和掠夺“弱者”的帮凶[3]。“你的信息就是他人获得巨额利益的源头，但付出代价的人却是你，一旦信息被人滥用，你必将损失惨重”[4]。具有绝对信息优势的经营者，为了谋求高额利润，不仅会利用自身的信息主导权进行“价格杀熟”“误导性广告推荐”，甚至还可能将消费者个人数据直接泄露给他人。

上述论断并非危言耸听，因为当今社会中几乎每位消费者都遭遇过数据侵权。法谚有云，“无救济，即无权利”。权利（权益）与救济本是相伴相生，但在频发的数据侵权背后，大众所期待的救济却并未如约而至。例如“中信银行数据泄露事件”①中违法者虽然受到了应有的制裁，但王越池所受损害如何弥补却未在处理结果中有所论及，这不禁让大众对其能否产生良好救济效果产生质疑。毕竟，对消费者所受损害进行弥补进而使之权益恢复至被侵害前的狀态是实现权益保护最合理也是最直接的方式，而上述处理意见却对此有所回避。而且更糟糕的是其并非孤例，经笔者梳爬与整理后发现，我国近期爆出的消费者数据侵权事件虽处理结果各异，但均未对消费者所受损害做出弥补②。而据张新宝教授和张平教授统计，我国消费者在数据侵权中获得损害赔偿的情形少之又少[5-6]。这些相互印证的统计结论不仅说明我国消费者在数据侵权中面临索赔无门的窘况，更从深层次反映出私力救济路径在我国消费者数据权益保护领域的适用存在严重不足。因此，反思目前私力救济的制度缺陷，并以此为依据寻找更符合社会需要的解决方案，是我国在消费者数据权益保护中所必须回应的严峻挑战，这不仅牵涉到消费者尊严的维护、市场秩序的稳定，更关乎到分配正义在大数据时代的实现。

二、路径反思：我国消费者数据权益保护桎梏于私力救济制度缺陷

由于科技水平所限，数据侵权最初在我国社会生活中不仅数量少，且形式单一，因而以私力救济作为主要救济路径已游刃有余。况且数据侵权作为私主体间的纠纷，通过私力救济加以解决也更符合侵权责任法的基本原理[7]。然而随着大数据技术的进步与普及，数据侵权呈现主体分化、频发涉众、认定困难等特征，导致私力救济在应对时捉襟见肘。为此，我国分别在《中华人民共和国民法典》（以下简称《民法典》）《中华人民共和国消费者权益保护法》（以下简称《消费者权益保护法》）《中华人民共和国个人信息保护法（草案）》（以下简称为《个人信息保护法》）等多部法律中对其作了针对性规定。但即便如此，现有私力救济制度面对数据侵权时仍存在诸多缺陷，也正是这些制度缺陷对我国消费者数据权益保护形成了桎梏。

（一）消费者与经营者范围不再契合时代发展

我国目前已注意到数据侵权多发生于经营者与消费者这对不平等主体之间，并在《消费者权益保护法》中为经营者增设了相关义务和责任。然而，《消费者权益保护法》的适用前提在于明确其适用对象，即何者是消费者和经营者。对此我国虽然早有规定，但遗憾的是，该规定是依据前数字经济时代市场的特征所做出的，而当时社会对市场的某些特征如“消费”“对价”等的认知还停留在较为粗浅的阶段，故导致对消费者与经营者范围的界定都过于保守。而随着数字经济时代的到来，市场在诸多方面展现出了全新的样态，这使得实然法所规定的消费者与经营者范围已无法契合时代发展之潮流。

一方面，网络用户是否纳入消费者范畴亟待厘清。我国《消费者权益保护法》将消费者界定为：“为生活消费需要购买、使用商品或者接受服务的自然人”。但数据侵权大多发生在互联网领域，而互联网领域商业模式的最大特色在于“免费”，即经营者首先会以免费的产品或服务吸引网络用户进入以形成一定市场规模，进而借此为依凭通过广告推送亦或增值服务等方式达致营利之目的[8]。在这种“免费”的商业模式中，广大网络用户虽然是经营者利润的最终来源，但其中大多数网络用户并不具形式上的消费行为。此时，若仅将付费网络用户视为消费者，而不将享受“免费”产品或服务的网络用户认定为消费者，则消费者数据权益保护之私力救济制度将因保护对象的范围大幅收窄而无法充分发挥作用。而若将享受“免费”产品或服务的网络用户认定为消费者，则又会与我国传统法律认知产生冲突，故我国对此正面临两难抉择。

另一方面，经营者范围仍需继续拓展。根据我国《消费者权益保护法》规定，经营者是指为消费者提供其生产、销售的商品或者提供服务的市场主体。该规定将经营者限定在其产品或服务与消费者发生直接“联系”的市场主体中，既在一定程度上拓展了经营者的范围，又有利于防止消费者权益保护的泛化与滥用，故在当时较为合理。但在数字经济时代，与产品与服务的“正向传递”不同，消费者的个人数据会在其与经营者间“逆向支付”，并最终为经营者所实际控制。故在此情况下，侵权行为并不必然由控制者所完成，而可能由与其存在特定关系的其他市场主体完成。因而若不在消费者数据权益保护之私力救济制度中将其划定为经营者，则可能会使其逃脱法律制裁。

（二）严格的构成要件证明不能满足切实需要

在一般的侵权案件中，被侵权人必须依据“谁提出，谁举证”的证明原则，对侵权行为、损害结果、因果关系和主观过错分别加以证明以形成完整的证据链，才能获得损害赔偿。但在大数据时代，由于消费者与经营者之间的信息不对称现象愈加严重，继续要求消费者在数据侵权中对上述四个构成要件加以严格证明已无法满足社会的切实需要。事实上，除了侵权行为外，对于其他构成要件，消费者都难以有效证明其是否成立③。

在数据侵权中，消费者证明侵权行为的存在可以分两步进行。第一步是证明自己有数据“权益”。数据虽然因独特属性所限而难以被人格权、物权及知识产权所完全涵摄，又因内蕴关涉多方主体的巨大利益而面临严峻的利益衡平考验，故在我国立法中尚未设置权利。但“权益”不仅指权利，也指虽未设置“权利”但受法律保护之合法利益[9]。而我国《民法典》在个人信息保护专章中巧妙地将数据利益归入了后者，故消费者可以轻易证明数据权益属于自己。第二步则是证明“处理行为”存在。对此，《民法典》将其界定为收集、存储、使用、加工、传输、提供、公开等，进而使“处理行为”的范围趋于明确，证明也随之变得可行。综上，消费者只需证明经营者之数据处理行为指向自身的数据权益且不具法定或意定授权[10]，即可证明其存在数据侵权行为。

除此之外，数据侵权的损害结果、因果关系与主观过错均难以被消费者所证明。第一，数据侵权的损害结果与传统侵权的损害结果不同，其大多并不以“有形损失”之形式直观体现在众人眼前，而是以“无形风险”之形式长期伴随被侵害者[11]。况且，这种“无形风险”既可能是物质层面的，也可能是精神层面的。因此，消费者难以证明其存在。第二，在数据侵权之中，数据侵权行为与损害结果之间往往呈现多因一果的关系[12]。对于消费者而言，让其确定“多因”中的一个“因”并不难，但若让其在“多因”中准确寻找到引致损害结果的“近因”却几乎不可能实现[13]。第三，与一般侵权中仅依靠生活常识即可推断侵权人客观行为所表达的主观意思不同，数据侵权中对客观行为所表达主观意思的推断大多需要依靠相应的专业知识，而这是消费者所不具备的，所以让其证明经营者具有主观过错也存在一定困难。综上，目前我国消费者数据权益保护之私力救济制度对消费者设置的证明标准过于严格，可能会使其因证明门槛太高而对数据維权望而却步。

（三）模糊散乱的赔偿标准无法提供法律预测

一旦数据侵权的各构成要件均被证明成立，下一步即是根据相应赔偿标准确定赔偿数额。然而目前通用的赔偿标准形式并不唯一，而有诸如实际损失标准、非法获益标准、法定赔偿标准、约定赔偿标准、酌定赔偿标准以及综合赔偿标准等多种多样的形式[14]。想要实现公平正义，就必须对这些各异标准善加选择以使赔偿数额符合社会整体之预期。然而由于“无形风险”的特殊性，使确认数据侵权损害结果的有无都十分困难，更毋论判断损害结果的大小了。因此，设计科学的赔偿标准对于消费者数据权益保护的实现而言尤为重要。然而，我国现有数据侵权赔偿标准模糊散乱，难以为社会提供统一的法律指引。

目前我国关于数据侵权赔偿标准的最新规定见于《个人信息保护法》第六十五条之规定：“因个人信息处理活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任; 个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，由人民法院根据实际情况确定赔偿数额”。从该规定可以看出，目前我国采用的是以酌定赔偿为主，以综合赔偿为补充的赔偿标准确定数据侵权的赔偿数额。即当消费者所受侵权损失和经营者侵权行为所得非法获益可以确定时，由法官对二者作斟酌以得出赔偿数额。而当侵权损失和非法获益无法确定时，则由法官综合考量其他各类因素以得出赔偿数额。

显而易见的是，该赔偿标准更类似于抽象化的理论原则，而不像具有可操作性的实践方案。易言之，该赔偿标准具有高度不确定性。因此，若将其直接应用于司法实践，将会导致赔偿金额的确定太过依赖于法官的主观判断。而这样不仅会使自由裁量权快速膨胀的法官面临严峻的能力挑战与道德风险，更会造成法律预测功能的丧失，进而使消费者和经营者无法对数据侵权后果做出理性预判[15]。如此一来，赔偿标准将失去引导、约束各方主体行为之作用，对数据侵权损害赔偿金额的认定将成为裁决者一人上演的“独角戏”，而消费者和经营者则只能沦为其中的“看客”，被动接受裁决者的一切决定，社会共治将无从谈起。综上，目前我国消费者数据权益保护之私力救济制度所规定的赔偿标准模糊散乱，因而不具法律预测功能，可能导致消费者即便维权成功，损失仍旧无法得到合理弥补。

（四） “双轨制”的程序设计难以推动制度实施

在传统法律认知中，私力救济应通过司法程序推动，而公力救济则应通过执法程序实现，二者之间互不干涉，平行运作。我国《个人信息保护法》也延续了该传统，其第六十二条、六十四条分别规定了数据侵权的行政处罚由履行个人信息保护职责的相关部门做出、损害赔偿则由消费者向法院提起。然而“法律的生命力在于实施”，由于这种作为西方舶来品的“双轨制”程序设计与我国基本国情不符，因此其会妨碍我国消费者通过私力救济保护自己的数据权益。

在现行制度下，我国消费者既“无意”也“无力”通过司法程序解决数据侵权问题。因为一方面，我国消费者普遍具有“厌诉”情结，特别是当损害结果不明或不大时更甚。为此《消费者权益保护法》还专门设计了惩罚性赔偿制度以激励消费者维权，但由于诉讼程序过于繁琐因而收效甚微④。而在数据侵权中，消费者不仅遭受的损害不明显，而且也没有相应制度对其予以维权激励，故多数消费者会抱着“息事宁人”的态度，选择放弃主张权益[16]。另一方面，即便少数消费者愿意付出诉讼成本向法院寻求救济，但由于法律素养所限，其又往往不能提供有力的证据，特别是数据侵权的复杂性又进一步增加了举证的难度。故其即便主张权益，胜算也并不高。而与此对应的是，受传统“大政府”观念的影响，我国消费者在维权时通常会对行政机关存在一定依赖心理。因此，若将执法程序嵌入私力救济中，则对于我国消费者数据权益保护可能会产生事半功倍之效果。

事实上，我国已在《个人信息保护法》中对该问题有所“回应”——即通过第六十六条确立了消费者公益诉讼程序。然而消费者公益诉讼雖然能在一定程度上解决个别消费者数据维权成本高、收益小的问题，进而避免“公地悲剧”现象产生。但其一来耗时日久，二来只适用于涉众案件因而不具形式公平，三来在是否需经消费者同意以及损害赔偿款作何用途等方面仍存在争议[17]，故治标不治本，不能从根本上解决我国私力救济程序单一的问题。况且，消费者公益诉讼被引入我国的时间并不长，之前更未被应用于损害赔偿之诉中[18]，故其能否发挥预期效果还有待观察。综上，仅采用消费者公益诉讼的方式对“双轨制”的程序设计加以“小修小补”，仍旧不能推动消费者数据权益保护之私力救济制度的顺利实施，进而无法给予我国消费者数据维权以实际助力。

三、方案批判：寄望公力救济实现我国消费者数据权益保护之证伪

鉴于目前私力救济存在诸多难以化解的制度缺陷，故部分学者提出我国应当以公力救济替代私力救济作为消费者数据权益保护的主要救济路径⑤，换言之，即主要通过行政处罚而非损害赔偿解决数据侵权问题（以下简称“以罚代赔”）。该方案是由欧盟⑥及美国⑦率先发起，其理由是因为在大数据时代，通过私力救济维护消费者数据权益会付出巨大的社会成本，因而不具备广泛实施的基础。而公力救济由于具有程序便捷、判断专业等优势，故用以维护消费者数据权益时消耗的社会成本要少得多。因此，以社会整体利益视角为考量，公力救济更契合时代发展之需要。然而事实并非如此，以罚代赔虽然看似通过节约制度成本增进了社会整体利益，但对其过分依赖不仅不利于发挥法律的正向激励作用，反而可能会对消费者、经营者以及政府形成错误的引导，进而造成社会整体利益的更大减损。

（一）以罚代赔抑制消费者公民意识的培育

消费者作为社会生活中的重要主体，须具备较强的公民意识以为社会进步和发展承担责任，但公民意识的培育需要高度的社会认同感作为前提支撑。这种高度认同感并非与生俱来，而是从一桩桩个案的圆满处理中建立起来的。然而以罚代赔既未能满足消费者在数据权益被侵害后获得应有补偿的合理期望，更未能使这种合理期望以一种看得见的方式实现，所以其剥夺了消费者数据维权时的公平感与参与感，可能导致消费者对所生活的外在社会产生质疑与疏离，进而抑制其公民意识的培育。

一方面，以罚代赔未能给予消费者以公平的补偿。毕竟，在数据侵权中，消费者作为被侵权人，所受损害理应获得“实质、完整、迅速地填补”。然而，以罚代赔虽然剥夺了经营者所获之非法利益，但消费者遭受的损失仍无人替其承担，反而是作为第三方的政府可能会因此而取得行政罚款收入，这显然有违公平。当然，对该方案的可能解释是政府的财政收入“取之于民而用于民”，故行政罚款最终仍会通过其他渠道回馈给消费者。在此，暂且不论此解释是否符合我国现实情况，单从逻辑上推断其也不能成立。因为数据侵权所“侵害的均为各个消费者的个体性权利，众多消费者权利的累加也并不会引发个体权利向公共利益的转化”[19]。 故将消费者受损之补偿利益无条件惠及于整个社会群体，其实是对消费者应得利益的强制剥夺。消费者不仅不会因此而获得满足感，还可能会抱怨分配的不公，进而导致对社会的不认同。

另一方面，以罚代赔弱化了消费者参与维权的积极性与自主性。因为当公力救济替代私力救济成为消费者数据权益保护的主要救济路径后，数据市场秩序维护的重任将交由行政机关负责，消费者在其中充其量也只是起到辅助作用。然而，正如耶林所说，“世界上一切权利都是通过斗争而来的”[20]，如果不让消费者充分参与数据维权，其很难珍视自己的数据权益。试想一下，相比亲身经历维权过程而言，听任行政机关做出行政处罚而自身不加参与是否会使消费者更像数据治理中的“旁观者”？以欧盟为例，自GDPR实施以来，欧盟地区由行政机关推动的行政案件总量已达27万件，而由消费者推动的民事案件却凤毛麟角[21]。这说明，即便在公民意识较强的欧盟，消费者也已经不再积极、主动地参与数据维权，更何况是公民意识尚未完全树立的我国。所以，无论从公平感还是参与感的角度看，以罚代赔不仅难以引导消费者积极维护自身数据权益，还可能造成消费者在社会生活中缺乏“主人翁”精神，而后者给社会整体利益带来的减损是难以估量的。

（二）以罚代赔诱发经营者潜在的作恶冲动

对于作为“理性经济人”的经营者而言，选择守法经营或违法经营更多取决于成本收益分析而非道德良知驱动。因为正如马克思所言，“人们奋斗和争取的一切，都同他们的利益有关”[22]。一旦经营者发现违法经营的收益远超风险时，其难免会怀揣侥幸心理作违法尝试。而以罚代赔从客观上降低了经营者从事数据侵权活动的成本和风险，使其谋得非法利益的可能大大增加，因而可能会诱导经营者释放隐藏的主观恶念并付诸实践。

一方面，以罚代赔会降低经营者数据侵权的成本。因为目前我国行政处罚多以“过罚相当”为标准，而该标准适用于消费者数据权益保护领域时，往往会由于缺乏对过错和/或损失的正确认知而得出较低的行政罚款数额[23]，故难以实现遏制数据侵权的目的。事实上，《中华人民共和国数据安全法（草案）》也证实了这一点，该草案中规定的行政罚款金额最高上限仅为一百万元⑧。然而据统计，2019年我国互联网百强企业的业务收入总额已高达2.75万亿元[24]。对于这些实力雄厚的经营者而言，些许行政罚款不过是九牛一毛，根本不会因此而吸取教训，而这也是为什么工信部在推进APP侵害用户数据权益专项整治活动中发现头部企业存在问题反复现象的原因[25]。相较之下，损害赔偿虽然在个案中的赔偿金额较低，但在海量消费者的加持下却会产生叠加效应，故更为经营者所畏惧⑨。退一步而言，即便我国以GDPR为借鉴，在《个人信息保护法》中设置巨额行政罚款⑩， 以提高经营者的侵权成本并实现对其的阻吓B11。但效果可能仍不如损害赔偿显著。因为损害赔偿会使消费者更具体验感，故更可能产生“客户流失成本”，而该成本显然对经营者来说更为致命。

另一方面，以罚代赔会减少经营者数据侵权被查处的风险。上文提到，由于在以罚代赔的救济路径之下消费者缺乏正向激励，因而可能導致其怠于维护自身的数据权益，而这无形中会为不法经营者从事数据侵权活动创造更加宽松的环境。毕竟，行政机关虽然专业素养较高，但精力有限。若广大消费者不积极参与数据维权，而想仅凭行政机关一己之力缓解甚至消灭数据治理乱象，还消费者一个良好的市场环境，这无异于痴人说梦。事实上，无论行政机关如何严格执法，仍会有大量“漏网之鱼”存在。相较而言，反而是损害赔偿更能调动消费者数据维权之热情，使全民监督成为可能，进而让经营者的数据侵权行为无处遁形。所以，无论从成本还是风险的角度看， 以罚代赔都难以对经营者产生有效的法律威慑，而若由此引发数据侵权的激增，将使社会整体利益蒙受更大损失。

（三）以罚代赔导致政府对权力的不当滥用

威·皮特曾说过，“无限的权力会毁掉它的占有者”。权力在行使过程中必须有所制约，缺乏制约的权力会使其拥有者失去敬畏，最终走向腐败。而以罚代赔不仅扩张了政府的行政权能，还从侧面减少了政府的公共压力，导致政府在权力运用的过程中缺乏有效的监督和约束，进而为其滥用权力谋求自利或怠用权力造成懒政提供了温床。

一方面，以罚代赔会纵容政府滥用权力谋求自利。因为从以往的经验看，每当我国将行政处罚的权力交由某个行政机关时，该行政处罚的目的很快就会发生异化，即由最初的消除违法、预防风险转变为后来的开源增收乃至监管套利[26]。而当执法目的都发生异化时，也就注定了最终的执法效果会偏离市场需求与公共利益。从表面看，执法目的异化往往被归咎于行政机关工作人员法治精神与道德素质的匮乏，并被认为可以通过思想教育和制度监督加以矫正。然而实际上，执法目的异化的根本原因是政府理性有限，而该原因根植于人性之上，故难以彻底化解[27]。因此，在消费者数据权益保护领域适用以罚代赔的结果很容易演变为经营者与政府间的默契分利。相比之下，损害赔偿虽然效率低下，但所得尽数归于消费者，因而从根本上杜绝了政府逐利的可能。

另一方面，以罚代赔会放任政府怠用权力造成懒政。因为根据资源限制理论可知，人的注意力是有限的[28]。所以，即便消费者数据权益受到了不法侵害，但若没有持续刺激，大脑中的信息过滤机制仍会促使消费者迅速转移注意力。而在以罚代赔中，维权使命近乎完全的转移恰恰会使消费者丧失持续专注的动力。其在现实中体现为当消费者遭遇数据侵权后，大概率会“自认倒霉”。而即便在个别情况下，消费者基于义愤向有关部门进行了举报，但其也极少会长时间关注事件的最终处理结果，这就从侧面减少了政府的公共监督的压力，为政府的懒政提供了可能。相比之下，损害赔偿则不同，对消费者而言它是一个持续的过程，故更易于保持专注，消费者在行使损害赔偿请求权的过程中会想尽各种办法主张自己的权益，其中就包括向有关部门投诉或诉诸媒体等，而这自然会带给政府以公共监督压力，进而督促其认真执法。所以，无论是从权力滥用还是权力怠用的角度看，以罚代赔都难以对政府实施强力的约束和监督，而由此导致的政府失灵同样会严重损害社会整体利益。

四、思路嬗变：我国消费者数据权益保护有赖于通过公私融合实现

在消费者数据权益保护领域，私力救济与公力救济已被证实双双失效。这是因为上述两种救济路径虽然侧重点不同，但都是公私分治思路下的产物。公私分治思路的逻辑起点在于公法与私法对国家干预的认知存在差异B12，故需要分化不同的救济路径分别应用于实践。其失败之处在于忽视了双重失灵的存在。毕竟，在有限理性的制约下，消费者和政府其实都无力独自担负数据维权的重任。因此，为实现消费者数据权益的有效保护，我国应打破公法与私法的门户之见，而转采用公私融合思路为救济路径的重构提供指引。从理论演进的角度看，公私融合是对公私分治的扬弃，其逻辑内核在于既承认国家干预的合理性，也强调国家干预的有限性，并在此基础上得出新的论断，即国家干预的适度性[29]。而国家适度干预在公私融合思路中的贯彻，需要从干预目的、干预力度、干预方式三个维度具体加以把握。

（一）损害填补与风险防控间须主次分明

干预目的正当是实现国家适度干预的首要前提。根据国家干预理论可知，国家对市场进行干预的核心目的有二，一方面，其目的是为了对已失序的市场行为进行矫正，并进而具现为对被侵害之利益的损害填补。另一方面，其目的则是为了避免存在失序可能的市场行为造成实质破坏，并进而具现为对有侵害利益威胁之行为的风险预防。一般而言，损害填补与风险防控作为国家干预的两大目的是相互依存且互为补充的，但这并不意味着二者之间不存在第一性的问题。事实上，在数据侵权中，二者的主次定位与救济路径的选择息息相关。因此，在以公私融合思路指导消费者数据权益保护的救济实践时，我国必须分清二者之间的主次关系。

显而易见的是，当消费者数据权益已经遭受侵害时，在二者之中，对已失序的市场行为进行矫正之目的应更具优先性[30]。理由有三：第一，损害填补主要是从维护私人利益的角度出发，因而更注重私权之神圣性。风险预防则主要是从维护公共利益的角度出发，故更多强调的是如何降低社会整体效益之减损。但事实上，公共利益正是由无数私人利益所共同组成的，若私权侵害已成普遍现象却始终未能得到及时救济，此时又何谈社会整体效益之提升？第二，损害填补立足当下，重视对原市场秩序的即时恢复，风险防范则着眼未来，希冀于通过调整与规制消除市场秩序被破坏的可能性。然而疑问在于，若现实已经发生的损害尚且未能得到合理填补，政府又如何取信于民——使公众相信其能预防尚未发生之未来风险？第三，根据理性经济人假设可知，人都有趋利避害之天性。当损害填补得以实现时，侵权人将因无利可图而选择放弃侵权，从而附带产生风险预防之效果[31]。但反之，风险预防之实现却只能使后续损害不再发生，而不能对已发生之损害产生相应的损害填补效果。

综上，在数据侵权中，只有将损害填补作为首要目的，并在此基础上尽量兼顾风险预防目的，才能使国家干预的目的更加契合消费者之理性预期，进而更具正当性。而这也意味着，在选择消费者数据权益保护的救济路径时，我国不能用以风险防控为主要目的的公力救济代替以损害填补为主要目的的私力救济，而应继续坚持以私力救济作为主要的救济路径，同时以公力救济为辅助。因为只有这样才能使消费者在数据侵权个案中得到自己所预期之应有弥补，进而使数据侵权损害后果得以在经营者与消费者之间的公平承担，使数字经济中的实质正义得以实现。

（二）按照各主体间地位关系作分类规制

干预力度适宜是实现国家适度干预的根本要求。如今，国家干预具有应然性的论断已在学术界基本达成了共识。因为即便是对国家干预持最保守态度的古典经济学家，也不得不承认需要通过最低限度的国家干预维持市场的基本秩序[32]。毕竟，自由放任的市场只是神话。在经济人假设前提的制约下，依靠自生自发绝无可能形成与社会期望高度一致的市场秩序，所以必须借助国家干预以实现对市场秩序的构建、调整与维护[33]。因此，在以公私融合思路指导消费者数据权益保护的救济实践时，着重考察的问题不在于是否需要国家干预，而在于国家干预究竟该保持多大力度。

之所以要对国家干预的力度作探究是因为，若其过小则不能发挥调节市场秩序之作用，若其过大则会抑制市场主体之生产积极性。而控制国家干预力度的最好方法在于分类规制，即针对各异的市场施加不同程度的国家干预。对于秩序较合理，各主体间利益分配较均衡的市场，国家应保持较小的干预力度，以促进市场自发的生长与完善。而对于秩序较混乱，各主体间利益分配显著失衡的市场，国家则需加大干预力度，以实现对市场的矫正与重铸。而随着大数据时代的来临，在现代市场中，经营者与消费者间的地位落差愈加变大。因为经营者同时又成为了大数据技术的掌握者、数据资源的控制者，消费者同时又成为了不具数据处理能力的数据资源的提供者。正因如此，在消费者之间，其实少有数据侵权出现，即便偶尔出现，也可通过较低程度的国家干预加以妥善解决。在经营者之间，虽然数据侵权较为多发，但仍存在相对合理的市场秩序，故也可以通过程度一般的国家干预加以解决。只有经营者与消费者间，才更易于发生规模大、频率高的数据侵权，因而需要通过强力的国家干预对其加以矫正[34]。

有鉴于此，我国需要摒弃过去对各类数据侵权行为加以统一规制的思路，而是基于时代特征，对各市场主体的现实地位及相互关系作针对性考量，并以此为依据，通过分类规制施加不同程度的干预。对于发生在平等主体间的数据侵权行为，我国可以仍采用传统的、干预力度较弱的私力救济路径加以规制。而对于发生在经营者与消费者这对不平等主体间的数据侵权行为，我国则应当基于弱者保护之考虑，通过为消费者设计特有的、干预力度更强的私力救济路径加以规制，以尽量拉平其与经营者之间的市场地位落差，进而实现数据市场中的利益共享与合作共赢。

（三）主动参与与被动介入间相灵活协调

合理的干预方式是实现国家适度干预的重要保证。在传统法律观念中，私力救济一般要仰仗司法机关来完成，司法机关对市场的干预多呈现出被动、消极的姿态。故在私力救济中，国家干预是通过被动介入的方式加以实现的。而公力救济通常则是依靠行政机关来完成，行政机关对市场的干预多呈现出主动、积极的姿态。故在公力救济中，国家干预是通过主动参与的方式加以实现的。而当下，我国若想以公私融合思路指导消费者数据权益保护的救济实践，就势必不能非此即彼地对主动参与或被动介入两种国家干预方式做出选择，而是要达致二者间的默契配合。

经比较可知，被动介入优势在于消费者可自由决定维权行为的发起、变更乃至终止，这不仅体现了对消费者意思自治的充分尊重，也更易于对消费者产生激励。但弊端在于容易使社会付出与侵权损失不成比例的维权成本。因为其不仅会耗费消费者的大量时间和金钱成本，还会导致维权诉求过于分散，使司法机关无法对相关案件作集中高效处理，进而造成司法资源的浪费。相反，主动参与优势在于通过赋予行政机关以相关职权，将本由消费者承担的维权成本转嫁给行政机关，同时又使行政机关得以通過集中处理维权诉求压缩维权成本，最终实现社会整体维权成本的降低。而弊端在于难以照顾到消费者的个人意愿，有可能会“出力不讨好”。毕竟私权具有自治性，一般可由消费者自主支配。因而若消费者与经营者达成“受害人允诺”，在“自愿者无损害”的推导下，国家干预可能会成为无源之水，不再具有合法性[35]。故在被动介入与主动参与各有利弊的情况下，我国应结合本国之基本国情，在消费者数据权益保护中对二者作综合协调及灵活运用。

结合上文可知，在消费者数据权益保护中，我国会以具备更强力度的私力救济作为主要救济路径，故与此相对应，我国应以司法机关被动介入作为主要干预方式。因为“任何公权在施政时应该有它的边界或底线，这边界或底线就是公民应享有的合法权益”[36]数据权益作为私益，由消费者自身意志为主导更能确保国家干预的谦抑性。但考虑到由于单个数据价值微小及数据侵权案件多如牛毛等原因，被动介入在消费者数据权益保护中的确存在较多弊病[37]。因此，行政机关也需主动参与，辅助消费者完成数据维权任务，以形成消费者为主导、司法机关与行政机关相互配合的数据维权新格局，而这也是我国打造共建共治共享数据治理体系的应有之义。

五、规则补缺：我国消费者数据权益保护之私力救济制度重构对策

在确立以公私融合思路作为重构我国消费者数据权益保护救济路径的指引后，通过审视和分析可知， 首先，为维护国家干预目的的正当性，我国要继续坚持以私力救济作为主要救济路径，故需将主要精力用于弥补过往私力救济的制度缺陷上。其次，为满足国家干预力度的适宜性，我国应根据不同主体间的地位关系对数据侵权作分类规制，并侧重于通过加强国家干预对消费者作倾斜性保护。最后，为确保国家干预方式的合理性，我国在以被动介入作为主要干预方式的同时，有必要嵌入更多的主动参与元素。易言之，我国应以损害填补为目的，以主体地位为依据，以灵活干预为手段，结合人之理性、时代背景、基本国情，对消费者数据权益保护之私力救济制度进行重构， 以使之进一步完善，进而助力数字红利在全社会的公平分享。

（一）拓展经营者与消费者主体范围

为应对消费者数据权益保护之私力救济制度适用对象范围狭窄的实然缺陷，我国有必要通过经济学与法学的双重分析，形成对大数据时代市场特征的新认知，进而对消费者与经营者的主体范围加以扩大，以使消费者数据权益获得更广泛的保护。具体而言：

一方面，我国应当明确认定享受“免费”产品或服务的网络用户属于消费者。通过分析可以发现，所谓的“免费”产品或服务是否真的“免费”本身值得商榷。因为随着数字经济的发展，个人数据的用途正日趋广泛。在此情况下，个人数据的价值虽然仍不能以价格的方式准确衡量，但没有人敢于无视其存在。而对于网络用户来说，其在所谓“免费”的商业模式中虽未对自身享受的产品或服务支付货币，但却被采集了个人数据亦或者说“支付”了个人数据。而根据对价原则可知，交易对价毋须实质性要求[38]。换言之，交易对价并不被要求必须以货币形式支付。既然个人数据有价值，其自然也可以构成交易对价，故所谓的享受“免费”产品或服务本身并不成立[39]。

即便退一步讲，数据的价值未得到世人所公认，因而尚不足以构成交易对价，但以“双边市场理论”为考察，仍可得出同样之结论。所谓双边市场，是指经营者同时面对两个乃至多个市场主体，且其他市场主体间存在较大关联性的一种市场结构[40]。在双边市场中，经营者所提供的产品或服务必须能同时满足不同市场主体的需求，若其中任意一方对经营者无需求，则经营者的价值也就不复存在了。正因如此，经营者必须通过低价、免费等成本转移的方式吸引正外部性较强的市场主体参与交易。而享受“免费”产品或服务的网络用户正是双边市场中具有较强正外部性的一方。因为其在交易中会付出无论是对经营者还是双边市场中的其他市场主体都有巨大价值的个人数据，此时若不能获得足额补偿，其将丧失提供个人数据之动力。故经营者对网络用户提供“免费”产品或服务并非良心发现，而是以此作为激励吸引其提供自己的个人数据。从该角度看，网络用户享受“免费”产品或服务只是对双边交易中原本分配极不均衡的利益关系作适当调整，而并非对经营者利益的无偿享用，因而将其认定为消费者具有正当性。

另一方面，我国应当明确将以营利为目的，直接参与处理消费者个人数据的市场主体认定为经营者。因为通过对作为交易对价“逆向支付”给经营者的个人数据的分析可知，由于其基于消费者之特定身份及行为产生，因而虽然具有一定的财产性，但更多蕴含的是人格性，且与消费者之人格尊严密不可分[41]。而人格尊严作为人之所以为人的根本性特质，是不能也不应当被转让的[42]。因此，“逆向支付”并未转让消费者对个人数据的所有权，而是仅转让了附着于个人数据之上的财产价值，即基于双方合意（用户授权）而对个人数据的特定处理权。而根据合同的相对性可知，若消费者与经营者之合意牵涉到参与处理消费者个人数据的第三方市场主体，那么该第三方市场主体与消费者之间就存在了直接的交易，自然应当被认定为经营者。

而若该合意未牵涉到参与处理消费者个人数据的第三方市場主体，根据意思表示理论可知，此时该第三方主体即便未与消费者之间形成默示的“数据处理”合意，但至少也可以通过已经发生的数据处理行为推定其默示表达了希望与消费者之间达成此种合意的意思表示。因为数据处理行为的存在意味着其已在事实上取得了“数据处理”的对价——附着于消费者个人数据之上的财产价值。故无论某一市场主体是否直接向消费者提供了产品或服务，只要其以营利为目的，直接参与处理了消费者的个人数据，即与消费者之间构成了消费关系。总之，只有紧抓时代脉搏，将享受“免费”产品或服务的网络用户及以营利为目的直接参与处理消费者个人数据的其他市场主体纳入消费者与经营者之范畴以拓消费者数据权益保护之私力救济制度的适用对象，才能使该制度在实施后不至于沦为“纸面上的法律”，进而使消费者数据权益保护之美好初衷得以实现。

（二）减轻多数项构成要件证明难度

为应对消费者数据权益保护之私力救济制度构成要件证明严苛的实然缺陷，我国应在坚持四构成要件的基础上，维持现有侵权行为证明难度不变，同时对损害结果、因果关系和主观过错的证明难度作适度减轻，以降低消费者数据维权之证明成本，进而满足其数据权益保护之切实需要。具体而言：

第一，我国应将“无形风险”纳入数据侵权损害结果的认定中。因为“从机体哲学视角看，随着技术的不断增强，人类社会在享受各种红利的同时，各类机体内部和外部关系也面临着愈来愈高的失调、失稳甚至失控的风险”[43]。易言之，技术进步使人类迈入了“风险社会”。在此情况下，改变过去仅承认“有形损失”的认知而将“无形风险”纳入损害结果之范畴不仅有助于降低消费者的个人数据维权压力，更有利于提升社会对大数据技术引致风险的预防能力。毕竟，大数据技术所引致的风险大多是人为造成的，因而只要对引致风险的主体施加相应成本，即足以确保风险可防可控。当然，由于“无形风险”背后所体现的更多是相关性而非因果性，故导致其涵盖范围很广。 因此，对“无形风险”作为损害结果的认定不能一概而论，只有其高度“真实”，即具有高度可能性，才有被认定为损害结果的必要[44]。实际上，欧盟的《一般数据保护条例》已经规定，数据侵权的损害结果并不限于有形的身体或财产损失，也包括因该行为引起的具有高度盖然性的“无形风险”，如身份欺诈、隐私扩散、名誉受损等。说明该观点契合时代特征，因而正在被世界各国所采纳。

第二，我国应以共同危险行为论淡化近因论之负面效果。在数据侵权中，损害结果多是由数个侵权人的侵权行为所共同作用而造成的。若以近因论确定单一侵权人并使其承担全部责任，既是对该侵权人责任的加重，也是对其他侵权人的袒护与纵容，同时还会使被侵权人承受无谓的举证负担。因此，我国有必要采纳共同危险行为理论，将数个侵权人认定为共同侵权，并要求其共同承担不真正连带责任[45]。一方面，将导致同一损害结果的所有侵权人认定为共同侵权人会促进其与被侵权人之间的利益均衡[46]。毕竟在弱者保护理念下，具有天然弱势地位的消费者更需要予以倾斜保护以使其在市场交易中得到公平对待。另一方面，要求所有侵权人共同承担不真正连带责任有助于实现其内部之间的利益均衡。因为即便在共同侵权中不同侵权人之间的责任也分大小，其中通常是直接造成损害结果发生的侵权人之侵权行为（近因）所负责任最大。故对主要责任人做出识别并对各侵权人间的责任作具体划分可以使其内部达致公平，同时方便下一步的追偿。

第三，我国应当以过错推定责任代替过错责任。因为，根据危险开启理论可知，“从危险中获取经济利益者也经常被视为具有制止危险义务的人”[47]。经营者既然希望通过处理消费者的个人数据营利，自然需要承担保障消费者数据权益的伦理义务并加以证明。况且通过经济分析可知，经营者防免数据侵权风险的成本是最小的[48]。故从应然层面看，推定作为“最低廉成本的风险防控者”[49]的经营者存在过错更有助于刺激其主动行动以尽力确保数据安全。另外，由于经营者与消费者间的信息不对称现象已经因大数据技术的进步和普及而加剧，此时再要求消费者证明经营者在数据侵权中存在过错根本不具备现实操作性。反言之，经营者既是市场关系中的主导者也是消费者数据的控制者，故拥有绝对的能力证明自己的数据处理行为是否正当及是否履行了消费者数据权益保护之义务。故从现实情况看，由经营者承担过错推定责任更为可行。上述论证说明，在数据侵权中，过错推定责任相比过错责任实为更优选择。正因如此，过错推定责任已被欧盟、台湾等地区的相关立法所采纳B13。其实我国《个人信息保护法》中也做了类似规定，只是表述相对模糊，后续还应予以明确B14。总之，只有对消费者数据权益保护之私力救济制度的构成要件证明难度作合理放宽，才能让消费者敢于数据维权、乐于数据维权，进而使消费者数据权益得到切实维护。

（三）形成含多层次结构的赔偿标准

为应对消费者数据权益保护之私力救济制度赔偿标准模糊的实然缺陷，我国有必要以维护法律的确定性为目标，对现有数据侵权赔偿标准加以细化和补充，进而形成具有多层次结构的赔偿标准，使其在应用于新制度后更具可预测性和可操作性。具体而言：

第一，我国应当在酌定赔偿中嵌入“就高适用”。 在实践中，由于数据侵权给消费者带来的侵权损失以及给经营者带来的非法获益之间往往存在着巨大的数额差距，同时二者间孰高孰低又不具统一性，而需具体情况具体分析。例如，在数据泄露类侵权中，经营者倒卖消费者个人数据的非法收益可能很小，但对消费者造成的损害卻很大。而在某些非法使用类的数据侵权中结果可能恰恰相反——经营者因此而收益颇丰，但消费者却未遭受明显损失。这样一来，无论采用实际损失标准还是非法获益标准，都可能会在个案中显失公平。因此，采用酌定赔偿标准是有必要的。但为了避免自由裁量权之滥用，在制定该标准时须增加一个前提，即明确规定该“就高”适用还是“就低”适用该标准。如果“就高”适用，则以侵权损失和非法获益中数额高者为确定赔偿数额之主要参考;如果“就低”适用，则以二者中数额低者为确定赔偿数额之主要参考。而显然在现实中，作为强势主体的经营者在数据侵权时更具评估侵权损失和非法获益的能力，若“就低”适用则无法发挥其惩罚功能，进而难以起到风险预防之作用，因此，酌定赔偿标准必须与“就高”适用相配合才能发挥良好效果。

第二，我国应当在对酌定赔偿与综合赔偿的适用之间加入法定赔偿。所谓法定赔偿，是指当实际损失和非法获益无法确定时，由法律拟定一个数额或数额范围作为损害赔偿的数额标准。之所以要在适用综合赔偿之前选择先适用法定赔偿，是因为由法官综合考量各类因素以得出赔偿数额的综合赔偿标准，其实已不再具有任何硬性的法律约束，而全赖于法官的自由心证，故但凡有其他可能，都不应当选择适用该标准。相比之下，立法机关制定的法定赔偿标准虽然也有自由心证的成分，但从常理推断，立法机关掌握更多的社会资料，因此在判断时会更具科学性。而且即便依据法定赔偿标准所得出的赔偿金额与依据综合赔偿标准所得出的一样不科学，但至少也保证了法的统一性，避免了同案不同判，因而具有形式公平之价值。更何况，具有惩罚效果的法定赔偿标准用于消费者权益维护中既有理论依据又有实践基础。因此，对其的引入具有天然的合理性。但应注意的是，在确定法定赔偿标准的具体数额时要根据经营者的主观过错加以区分，以使其与《消费者权益保护法》之立法精神保持一致。

第三，综合赔偿应当作为“例外中的例外”加以适用。因为正如前述所说，综合赔偿标准太过缺乏稳定性，不能保证法律的形式公平，故不应当得到普遍的适用。但在实践中，也的确可能会发生各种立法者所预想不到的突发情况，而综合赔偿标准此时更能发挥裁决者的主观能动性，使个案正义得到维护。因此，若以综合赔偿标准为兜底并无不可。只是对该标准的适用应严格加以限定，即以参照前述标准会导致个案显失公平为前提。

除上述三种之外，我国还应当将约定赔偿纳入以作为补充。所谓约定赔偿是指在确定数据侵权损害赔偿数额时，允许消费者与经营者双方通过协商确定损害赔偿数额。之所以鼓励约定赔偿标的适用，是因为其不仅充分尊重了消费者与经营者的意思自治，有利于二者间消费关系的存续与整体市场良好氛围的培养。还减轻了裁决者的工作负担，有利于缓解日趋沉重的数据治理压力。当然，鉴于消费者与经营者之间存在信息不对称现象，因此约定赔偿的适用应当在裁决者的监督下进行，以确保所约定赔偿数额的合理性。总之，只有对消费者数据权益保护之私力救济制度的赔偿标准作科学设计，才能使消费者得以通过数据维权真正弥补所受之损失，同时让经营者因忌惮于赔偿而抑制数据侵权的作恶冲动，进而从矫正与预防两个层面实现消费者数据权益的有效维护。

（四）促进司法与执法间的联动实施

为应对消费者数据权益保护之私力救济制度程序设计缺乏衔接的实然缺陷，我国应当在坚持以司法为主要救济程序，以执法为辅助补充的同时，加强二者间的联动实施，进而在尊重消费者意思自治的同时，提高消费者数据权益保护的效率。具体而言：

一方面，行政机关应通过行政建议、证据供给和公益诉讼三种方式在司法程序中给予消费者以帮助。首先，行政建议并非向司法机关，而是向违法经营者提出。即当消费者还未以数据侵权为由提起诉讼时，行政机关应根据消费者之投诉反馈或自己日常监管中获知的线索主动参与数据维权，并及时查明事实，继而替消费者向违法经营者提出合理的赔偿建议。该赔偿建议以柔性规劝的方式做出，因而不具强制执行力。但行政机关可借此判断违法经营者的整改态度，并在后续行政处罚中作为重要因素予以考量。若违法经营者接受行政建议或基于行政建议积极与消费者协商赔偿事宜并达成一致，则行政处罚应酌情减轻乃至减免，而若其对行政建议不予理睬，则行政处罚应从重从严。这样不仅能让消费者更具维权举报动力，还可以为司法机关减轻诉讼压力，同时也能使行政处罚更为公正合理。其次，证据供给也并非面向司法机关，而是向消费者提供。即当消费者自力提起数据侵权诉讼时，有权要求行政机关提供在日常监管过程中已获取的相关证据。因为在司法程序中，消费者与经营者法律地位的平等不等同于诉讼能力的平等，消费者的诉讼能力有限，只有通过行政机关的帮助，才能拉平与经营者之间的差距，进而在数据维权诉讼中获得实质正义。最后，消费者公益诉讼仍应予以保留，但需要适度改革。即明确消费者公益诉讼的提出不需要经过消费者同意，但内容仅限于确认数据侵权的行为有无、波及范围、损害结果，而不涉及具体赔偿金额。因为在大规模数据侵权中，消费者数量是不特定的，故无论是由行政机关一一取得其授权，还是让司法机关一一甄别其被侵权人身份，经济成本都过于沉重。不若通过无须授权的公益诉讼衡定数据侵权大致的波及范围，再由消费者核实自己是否身处其中并提起私益诉讼更加经济可行。 况且，在后一种情形中，经营者极有可能迫于行政机关和社会的压力，依据法院判决直接对消费者做出适当补偿，进而取得超出预期的良好社会效果B15。

另一方面，司法机关应通过司法建议、和解审查和错案监督三种方式确保执法程序的公平正义。首先，此处的司法建议面向的是行政机关。即司法机关应当以个案裁判为依据，向行政机关提出相应建议以督促其执法。因为司法程序虽然相对公正，但毕竟属于个别性救济，远不及执法程序对社会的影响广泛。 故只有通过司法建议的方式将二者相联通，才能更充分地发挥个案正义对社会整体正义实现的带动效果。其次，和解审查是指司法机关对大规模数据侵权的和解约定所做的司法审查。设计该程序是因为消费者在数据侵权和解中可能会因信息不对称而被经营者所误导，进而做出不利决策[50]。且此时即便请行政机关介入也意义不大。毕竟行政机关以执法效率为主要追求，故可能更倾向于促成快速和解而非公平和解。因此，需要借助司法审查程序查明消费者与经营者间的和解约定是否显失公平，以避免造成意思自治对法律秩序的逾越。最后，错案监督是指司法机关通过行政诉讼等方式对行政机关所做的错误的执法行为予以监督和纠正。嵌入错案监督程序的目的是为了加强司法对执法的制约，以防止行政机关通过过度执法或怠于执法侵害消费者乃至经营者的合法权益。总之，只有参照我国的基本国情，合理设计消费者数据权益保护之私力救济制度的实施程序，实现司法与执法程序的有效衔接，才能使消费者通过政府的主动参与在数据维权中获得有力臂助，进而实现与经营者关系的衡平，同时又不至于使消费者与经营者因政府的主动干预而丧失市场自主性，继而保证市场的充分活力，并最终助推市场的良性发展。

六、结语

未来，随着大数据技术的进步以及信息不对称现象的加剧，不同市场主体间的地位差异将愈加悬殊，社会共治的基础共识可能会因此被抹除，技术垄断将乘虚而入，而这并非我们所期望之美好世界。因为“技术应该是企业创新和社会进步的推动力，而不应当是削弱公民权益和社会民主的障碍”[51]。故在两极分化的数据世界里，政府应当有所行动。回归主题，本文认为，虽然私力救济受制于制度缺陷难以发挥消费者数据权益保护之作用，但以公力救济为替代将有损于法律指引功能的实现，因而也非良策。故我国有必要完成从公私分治到公私融合的救济思路转变，并以损害填补为目的，主体关系为依据，灵活干预为手段，通过扩大经营者与消费者主体范围、减轻多数项构成要件证明难度、形成含多层次结构的赔偿标准、促进司法与执法间的联动实施，重构消费者数据权益保护之私力救济制度，使其与人之理性、时代背景和基本国情相契合，进而助力数字红利在全社会的公平分享。

注释：

①  在该事件中，中信银行擅自将金融消费者王越池的个人数据提供给了“笑果文化”，进而导致王越池在与“笑果文化”的诉讼中陷入被动局面。该事件一经曝光立即引发热议，为此，中信银行不得不向王越池道歉，并对相关员工予以处分，而银保监会也以立案调查作为回应。参见新浪财经.中信银行泄露客户交易流水引众怒 上海银保监局已介入[EB/OL].[2020-10-27].http：//finance.sina.com.cn/chanjing/gsnews/2020-05-08/doc-iirczymk0450577.shtml.

② 我国较为热门的数据侵权事件如“华住集团个人信息泄露事件”“携程大数据杀熟事件”“微博数据泄露事件”的最终处理结果也都是以各类处罚收尾，而未对消费者予以损害弥补。

③ In re DoubleClick，154 F.Supp 2d at 526.

④ 2019年上半年全国消协组织共受理消费者投诉421373件，解决332885件，投诉解决率79%，为消费者挽回经济损失57384万元。其中，因经营者有欺诈行为得到加倍赔偿的投诉1794件，加倍赔偿金额979万元。

⑤  吴伟光、宁立志等学者均支持该观点。参见吴伟光.大数据技术下个人数据信息私权保护论批判[J].政治与法律，2016（7）：116-132.;宁立志，傅显扬.论数据的法律规制模式选择[J].知识产权，2019（12）：27-35.

⑥  欧盟在《通用数据保护条例》（以下简称“GDPR”）中未对数据侵权设定统一的民事赔偿标准，但却设计了巨额行政罚款，以强化行政执法的作用。參见京东法律研究院.欧盟数据宪章——《一般数据保护条例》GDPR评述及实务指引[M].北京：中信出版社，2019：32.

⑦ 美国加州《消费者隐私法》规定，在各类数据侵权中，仅允许消费者就数据泄露提出民事赔偿，而不及于其他，同时规定，加州总检察长有权对数据侵权处以行政罚款，以强化其监管权能。See California Consumer Privacy Act（CCPA） Fines and Consumer Damages[EB/OL].[2020-10-27].https：//www.clarip.com/data-privacy/california-consumer-privacy-act-fines/.

⑧ 参见《数据安全法》第四十三条、四十四条。

⑨ 例如，在“GAO诉谷歌案”中，正是由于消费者集体诉索赔，谷歌最终支付了850万美元的和解金。See In re Google Referrer Header Privacy Litig.，87 F. Supp. 3d 1122（2015）.

⑩ 参见《个人信息保护法》第六十二条。

B11 GDPR主要是通过高额罚款预防和阻吓经营者的数据侵权行为。参见梅夏英.在分享和控制之间 数据保护的私法局限和公共秩序构建[J].中外法学，2019（4）：845-870.

B12 公法强调国家权力对社会生活的合法干预，私法强调平等主体间的意思自治。参见李昌麒.经济法理念研究[M].北京：法律出版社，2009：36.

B13  GDPR第五条第二款规定，数据控制者有责任对自身数据处理行为符合“合法性、合理性和透明性”“目的限制”“数据最小化”“准确性”“限期存储”“数据的完整性与保密性”的要求提供证明。台湾地区《个人资料保护法》第二十九条规定，公务机关以外的其他主体违反本法规定造成信息主体损害的，负担过错推定责任。

B14 《个人信息保护法》第六十五条规定，在数据侵权中，数据处理者能够证明自己没有过错的，可以减轻或者免除责任。但该规定究竟为过错推定条款还是免责抗辩条款并不明确，若为过错推定条款，则应由经营者证明自己无过错，否则视为存在过错。但若为免责抗辩条款，则仍须由消费者证明经营者有过错，而经营者可通过证明自己无过错而提起免责抗辩。

B15 美国在实践中采用这种方式取得了良好效果，其数据侵权执法案件大部分都是以和解收尾。网址是：https：//www.ftc.gov/tips-advice/business-center/legal-resources？title=&type=case&field_consumer_protection_topics_tid=245&field_industry_tid=All&field_date_value%5Bmin%5D%5Bdate%5D=&field_date_value%5Bmax%5D%5Bdate%5D=&sort_by=field_date_value.

参考文献：

[1]  [美]埃里克·西格尔.大数据预测[M].周大昕，译.北京：中信出版社，2017：331.

[2] [美]尼尔·波斯曼.技术垄断 文化向技术投降[M].何道宽，译.北京：中信出版社，2019：3.

[3]  BIG DATA：SEIZING OPPORTUNITIES，  PRESERVING VALUES， Executive O ffice of the President， May 2014[EB/OL].[2020-12-06].https：//www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_m ay_1_2014.

[4] [美]弗蘭克·帕斯奎尔.黑箱社会[M].赵亚男，译.北京：中信出版社，2015：30.

[5] 张新宝.《民法总则》个人信息保护条文研究[J].中外法学，2019（1）：54-75.

[6] 张平.大数据时代个人信息保护的立法选择[J].北京大学学报（哲学社会科学版），2017（3）：143-151.

[7] 刘士国，段匡，龚赛红，等.侵权责任法的理论和实践[J].政治与法律，2005（4）：3-8.

[8] 陈耿华.论竞争法保障消费者利益的模式重构[J].法律科学（西北政法大学学报），2020（6）：114-127.

[9] 李晓宇.权利与利益区分视点下数据权益的类型化保护[J].知识产权，2019（3）：50-63.

[10] 高富平，李群涛.个人信息主体权利的性质和行使规范——《民法典》第1037条的解释论展开[J].上海政法学院学报（法治论丛），2020（6）：40-51.

[11] 付微明.个人生物识别信息民事权利诉讼救济问题研究[J].法学杂志，2020（3）：73-81.

[12] 刘丹.个人信息网络侵权的认定及其司法救济[J].学习与实践，2020（1）：47-54.

[13] Ignacio N.Cofone，The Dynamic Effect of Information Privacy Law，18 Minn.J.L.Sci.& Tech.552（2017）.

[14] 曹新明.我国知识产权侵权损害赔偿计算标准新设计[J].现代法学，2019（1）：110-124.

[15] 付子堂.法理学初阶[M].北京：法律出版社，2015：99.

[16] 王怀勇，常宇豪.个人信息保护的理念嬗变与制度变革[J].法制与社会发展，2020（6）：140-159.

[17] 颜卉.消费公益诉讼惩罚赔偿金归属研究[J].兰州大学学报（社会科学版），2020（3）：76-83.

[18] 黄忠顺.中国民事公益诉讼年度观察报告（2016）[J].当代法学，2017（6）：126-137.

[19] 熊跃敏.消费者群体性损害赔偿诉讼的类型化分析[J].中国法学，2014（1）：196-210.

[20] [德]鲁道夫·冯·耶林.为权利而斗争[M].刘权，译.北京：法律出版社，2019：2.

[21] 王融.迈向行政规制的个人信息保护：GDPR与CCPA处罚制度比较[EB/OL].[2020-10-27].https：//m.sohu.com/a/381134650_455313.

[22] 马克思恩格斯全集（第1卷）[M].北京：人民出版社，1972：82.

[23] 许传玺.行政罚款的确定标准：寻求一种新的思路[J].中国法学，2003（4）：1-10.

[24] 人民网.中国互联网百强企业2019年收入达2.75万亿元[EB/OL].[2020-10-27].http：//sh.people.com.cn/n2/2019/0815/c176738-33253367.html.

[25] 人民网.工信部：已完成44万款APP技术检测 头部企业APP存在问题反复现象[EB/OL].[2020-11-30].http：//bbs1.people.com.cn/post/2/1/2/177144809.html.

[26] 陈太清.对行政罚款限度的追问[J].江苏社会科学，2016（1）：100-108.

[27] 薛克鹏.经济法基本范畴研究[J].北京：北京大学出版社，2013：146.

[28] [德]丹尼尔·卡尼曼.思考，快与慢[M].胡晓姣，等译.北京：中信出版社，2012：7.

[29] 卢代富.经济法中的国家干预解读[J].现代法学，2019（4）：116-122.

[30] 王泽鉴.侵权行为法[M].北京：中国政法大学出版社，2001：7.

[31] 罗婉华. 现代社会风险预防及损害救济[N].民主与法制时报，2019-04-25（008）.

[32] 蔡万焕，袁辉.在市场和政府之间——马克思主义经济学与西方经济学各流派关于市场与政府关系的讨论[J].湖南社会科学，2010（1）：113-118.

[33] 刘大洪，廖建求.论市场规制法的价值[J].中国法学，2004（2）：92-102.

[34] Report to the President Big Data and Privacy： A Technological Perspective， Executive Office of the President， Presidents Council of Advisors on Science and Technology， May 2014[EB/OL].[2020-12-06].https：//bigdatawg.nist.gov/pdf/pcast_big_data_and_privacy_-_may_2014.pdf.

[35] 李延舜.个人信息权保护的法经济学分析及其限制[J].法学论坛，2015（3）：43-53.

[36] [英]约翰·斯图亚特·密尔.论自由[M].严复，译.北京：中华书局，2016.

[37] 钱玉文.消费者权的经济法表达——兼论对《民法典》编纂的启示[J].法商研究，2017（1）：143-152.

[38] 刘承韪.英美合同法中对价原则之功能分析[J].中外法学，2006（5）：564-596.

[39] 程啸.论大数据时代的个人数据权利[J].中国社会科学，2018（3）：102-122，207-208.

[40] 陈林，张家才.数字时代中的相关市场理论：从单边市场到双边市场[J].财经研究，2020（3）：109-123.

[41] 鞠晔，王平.云计算背景下欧盟消费者个人敏感数据的法律保护[J].法学杂志，2014（8）：84.

[42] 王叶刚.人格权中经济价值“可让与性”之反思——以人格尊严的保护为视角[J].广东社会科学，2014（2）：236-244.

[43] 唐跃洺，王前.从机体哲学视角看人类增强技术的社会风险[J].科学技术哲学研究，2020（5）：74-79.

[44] 解正山.数据泄露损害问题研究[J].清华法学，2020（4）：140-158.

[45] 阮神裕.民法典视角下个人信息的侵权法保护——以事实不确定性及其解决为中心[J].法学家，2020（4）：29-39，192.

[46] 徐明.大数据时代的隐私危机及其侵权法应对[J].中国法学，2017（1）：130-149.

[47]  [德]斯科斯蒂安·冯巴尔.欧洲比较侵权行为法（下册）[M].张新宝，译.北京：法律出版社，2001：271.

[48] Klinger， Die Produkt beobachtungspflicht bezuglich Fremdzubehrteilen[D].Diss. Tubingen 1995.

[49]  Guido Calabresi，Jon T.Hirschoff.Toward a Test for Strict Liability in Torts[J].Yale Law Journal，1972（81）.

[50] 吴秀尧.消费者权益保护立法中信息规制运用之困境及其破解[J].法商研究，2019（3）：115-126.

[51] [美]托马斯·哈乔诺，大卫·舍瑞尔，阿莱克斯·彭特兰.信任与数据 身份與数据共享的创新框架[M].陈浩，译.北京：经济科学出版社，2018：92.

Reconstruction of the Private Relief Path for the Protection of Consumer Data Rights

in China：From Public-Private Division to Public-Private Integration

QU Jun-yu

（School of Economic Law， Southwest University of Political Science and Law， Chongqing 401120， China）

Abstract： The progress of big data technology provides strong support for human beings to build a beautiful new world， but it also gives birth to unjust phenomena such as the intensification of information asymmetry， which leads to widespread data infringement and no way for consumers to claim.In this regard， private relief is subject to institutional defects and is difficult to play a role， but taking public relief as an alternative will undermine the realization of the function of legal guidance， and it is not a good policy.It is necessary for China to complete the evolution of the idea from the separation of public and private governance to the integration of public and private， and then take the damage filling as the purpose， the subject relationship as the basis， and flexible intervention as the means to reconstruct the private relief system for the protection of consumers′ data rights and interests， so as to help the fair sharing of digital dividends in the whole society，by expanding the subject scope of operators and consumers， reducing the difficulty of proving most constituent elements， forming a compensation standard with multi-level structure， and promoting the linkage implementation between justice and law enforcement.

Key words： data rights protection; consumers; private relief; public relief; public-private integration

（责任编辑：李江）