侵害个人信息权益损害赔偿的规则与适用
——《个人信息保护法》第69条的关键词释评

2022-02-05 06:02杨立新
上海政法学院学报 2022年1期
关键词:信息处理保护法损害赔偿

杨立新

《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”这是对侵害个人信息权益的侵权责任以及损害赔偿数额确定方法的规定①参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第498页。,笔者在有关文章中对其进行过简单的说明。②参见杨立新:《个人信息处理者侵害个人信息权益的民事责任》,《国家检察官学院学报》2021年第5期。本文对该条文规定的几个关键词作出释评,借以全面理解和准确适用侵害个人信息权益损害赔偿规则。

一、“个人信息处理者”:侵害个人信息权益损害赔偿规则适用的主体范围

《个人信息保护法》第69条规定的内容,是侵害个人信息权益损害赔偿的具体规则。说其完善了侵害个人信息的民事责任配置,结束了个人信息侵权责任相对缺位或零散的状态①参见龙卫球:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第321页。,也未尝不可,但却并非十分准确。原因是,《个人信息保护法》规定的侵害个人信息权益损害赔偿规则的适用范围并不是全部侵害个人信息权益的侵权责任,其适用的主体范围是有限度的。

(一)个人信息权益损害赔偿的责任主体是个人信息处理者

笔者在以往的文章中说明,《个人信息保护法》第69条规范的是“个人信息处理者侵害个人信息权益的民事责任”“实施侵害个人信息权益行为的主体是个人信息处理者”②杨立新:《个人信息处理者侵害个人信息权益的民事责任》,《国家检察官学院学报》2021年第5期。,而非任何自然人、法人或者非法人组织,即一般义务主体。因此,《个人信息保护法》侵害个人信息权益损害赔偿规则适用的主体范围,只是个人信息处理者侵害自然人个人信息权益的侵权行为。

《个人信息保护法》第69条开宗明义使用了“个人信息处理者”的概念,确定了该条文规定的侵害个人信息权益损害赔偿规则只适用于个人信息处理者在处理个人信息活动中实施的侵害个人信息权益行为。因此,对于侵害个人信息权益的非个人信息处理者即一般义务主体,即使侵害他人的个人信息权益,确定侵权损害赔偿责任也不适用该条规定的侵害个人信息权益损害赔偿规则。

以“个人信息处理者”的概念规定,确认上述侵害个人信息权益损害赔偿规则主体范围的结论,还有以下根据。第一,《个人信息保护法》第1条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”在这一立法目的的规定中,称“规范个人信息处理活动”为立法目的之一,就界定了该法的调整范围,即规范个人信息处理活动是该法的适用范围。处理个人信息的行为主体是个人信息处理者,不是个人信息处理者即使涉及对个人信息的收集、使用等,也不是个人信息处理活动,并不在该法的适用范围之内。第二,《个人信息保护法》第3条第1款规定:“在中华人民共和国境内处理自然人个人信息的活动,适用本法。”这不仅确定《个人信息保护法》的效力范围限于境内,而且仅限于处理个人信息的活动。个人信息处理有特定的含义,即该法第4条第2款规定的“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”。对这一内容,《民法典》第1035条第2款也作了规定,即“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”。《个人信息保护法》第4条第2款的规定增加了“删除”,将其也作为个人信息处理活动的内容。按照这样的规定,《个人信息保护法》规范的是处理个人信息的活动,当然是指个人信息处理者处理自然人的个人信息。既然如此,该法第69条规定的侵害个人信息权益损害赔偿规则,规范的就是个人信息处理者处理个人信息的侵权行为,行为主体和义务主体都是个人信息处理者。

由此可见,基于《个人信息保护法》对调整范围的限定,第69条规定的侵害个人信息权益损害赔偿规则的适用范围,是个人信息处理者在处理个人信息活动中侵害自然人个人信息权益的侵权行为。

(二)“个人信息处理者”概念的内涵应当如何界定

对于个人信息处理者的概念,《个人信息保护法》第73条第1项专门作了定义,即:“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”这一定义,确定了个人信息处理者的主体权能和主体类型,主体权能是自主决定处理目的和处理方式,主体类型是组织、个人,具有这种主体权能和主体类型的组织、个人,就是个人信息处理者。

我国立法对个人信息处理者的界定,与欧盟将个人信息(个人数据)处理主体分为控制者与处理者的做法不同。在《中华人民共和国民法典》(以下简称“《民法典》”)之前,《全国人民代表大会常务委员会关于加强网络信息保护的决定》使用的是“收集、使用公民个人电子信息”,《网络安全法》和《电子商务法》也使用了“收集、使用个人信息”这样的表述,主体权能为“收集、使用”。《民法典(草案)》曾经使用过“信息收集人、持有人”,或者“信息收集者、持有者”“信息收集者、控制者”,似乎都有欧盟立法的影响。《民法典》正式使用“信息处理者”(第1037条、第1038条)的概念,《个人信息保护法》使用“个人信息处理者”概念,改变了以往对行为主体二分法的做法,实行一元化的概念,采取了与欧盟法不同的做法。

界定个人信息处理者的概念,从主体权能而言,只有能够自主决定个人信息处理目的和处理方式的组织或个人,才是个人信息处理者,如果是按照他人决定的个人信息处理目的和处理方式从事处理信息活动的组织或个人,不是个人信息处理者,而是受委托处理个人信息的受托人。①参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第549页。从主体类型而言,有学者认为,这里使用“组织、个人”的表述,而未使用民法领域的“自然人、法人、非法人组织”的特定概念,根本原因在于,《个人信息保护法》具有领域法的本质属性,而非《民法典》的特别法,其需要借助民法、行政法等多个部门法的规制手段,才能有效实现个人信息权益的全面保护。②参见龙卫球:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第340页。这不是否定《个人信息保护法》为民法特别法的理由,一是因为《民法典》并非只使用“自然人、法人、非法人组织”的概念,也大量使用“组织、个人”的表述,且二者的含义相同。③参见《民法典》第243条、第245条、第297条、第311条、第324条。二是因为《个人信息保护法》规定的个人信息权益和个人信息权益保护,就是《民法典》第11条规定的民法特别法的内容,《个人信息保护法》确实有公法规范,但是,其主要部分是《民法典》的特别法。

个人信息处理者的法律特征为:第一,是个人信息处理活动的主体;第二,是对个人信息具有自主决定处理目的、处理方式的主体;第三,是对个人信息权益人负有特别保护义务的主体;第四,其民事身份为自然人、法人、非法人组织,即组织、个人。

(三)“个人信息处理者”概念的外延应当如何界定

界定个人信息处理者概念的外延,需要界定的是个人信息处理者的范围究竟有多大,进而界定侵害个人信息权益损害赔偿规则的适用范围,其核心问题在于,究竟是个人信息权利人之外的所有“组织、个人”都是个人信息处理者,还是只有符合《个人信息保护法》第73条第1项规定的才是个人信息处理者。

有学者界定,个人信息处理的组织体既包含网络服务提供者、线下经营主体等常规的市场经济主体,也包括为履行法定职责处理个人信息的国家机关以及法律、法规授权的具有管理公共事务职能的组织。①参见姚佳:《论个人信息处理者的民事责任》,《清华法学》2021年第3期。这只说了“组织、个人”中的组织,对于个人即自然人,如果在个人信息处理活动中具有自主决定处理目的、处理方式的,也应当认定为个人信息处理者,例如,个体工商户在提供服务中需要处理个人信息,也是个人信息处理者。

有疑问的是以下两个问题。

第一,不具有自主决定处理目的、处理方式的组织、个人,是否为个人信息处理者。这涉及作为个人信息处理者的“组织、个人”究竟是全称还是特称。如果是前者,个人信息处理者就是个人信息权利人以外的所有主体,只要涉及处理个人信息,就是个人信息处理者。问题是,是否所有的民事主体都具有自主决定个人信息处理目的、处理方式的主体权能。如果是采肯定的回答,显然与《个人信息保护法》第73条第1项规定相左。

第二,非法处理个人信息的组织、个人,是否为个人信息处理者。《个人信息保护法》第10条规定,“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。这里规定的非法处理个人信息也是自主决定处理目的、处理方式,那么非法处理个人信息的组织、个人是否为个人信息处理者呢?应当确定,《个人信息保护法》第73条第1项规定的自主决定处理目的、处理方式,应当是合法的自主决定,非法的自主决定者不是个人信息处理者。

讨论这两个问题的目的,首先,是划清个人信息处理者概念外延的基础。可以确定,对全体民事主体即“组织、个人”应当分为三类:一是个人信息权利人;二是个人信息处理者;三是不具有合法自主决定处理目的、处理方式的其他组织、个人,即个人信息权利人与个人信息处理者之外的其他民事主体。其次,是确定了《个人信息保护法》第69条侵害个人信息权益损害赔偿规则适用的主体范围,只包括个人信息处理者侵害个人信息权益的损害赔偿,不包括个人信息处理者以外的其他“组织、个人”侵害个人信息权益损害赔偿。可以确定,与个人信息权益的权利主体对应的义务主体,一种是绝对权的义务主体即一般义务主体,另一种是个人信息处理者即个人信息权益的特别义务主体。

讨论“个人信息处理者”概念的结论是:个人信息权益的一般义务主体的民事责任由《民法典》调整;个人信息权益的特别义务主体的民事责任由《个人信息保护法》调整,不足部分适用《民法典》的一般规则。

二、“个人信息处理者不能证明自己没有过错”:个人信息处理者侵权损害赔偿责任适用过错推定原则

(一)个人信息处理者侵害个人信息权益损害赔偿适用特殊归责原则

毫无疑问,《个人信息保护法》第69条第1款关于“个人信息处理者不能证明自己没有过错的”规定,确定了个人信息处理者侵害个人信息造成损害的侵权赔偿责任,适用过错推定原则。①参见杨立新:《个人信息处理者侵害个人信息权益的民事责任》,《国家检察官学院学报》2021年第5期。对此,没有任何人提出异议,是一致的看法。

依照我国《民法典》的规定,对于侵害自然人享有的非物质性人格权即精神性人格权的侵权责任,适用第1165条第1款规定的过错责任原则,没有规定例外的、可以适用过错推定原则或者无过错责任原则的情形。例如,侵害肖像权、名誉权、隐私权等,都适用过错责任原则确定侵权损害赔偿责任。依此推论,个人信息权益属于精神性人格权,侵害个人信息权益造成损害也应当适用过错责任原则。这是因为,依照《民法典》第1165条和第1166条规定,侵权责任归责原则包括过错责任原则、过错推定原则和无过错责任原则。适用过错责任原则的是一般侵权责任;适用过错推定原则或者无过错责任原则的是特殊侵权责任,须依照特别的“法律规定”,即须另有“法律规定”的才可以适用。侵害非物质性人格权的侵权责任属于一般侵权行为,适用过错责任原则,不适用过错推定原则,更不适用无过错责任原则。《民法典》对侵害个人信息的侵权责任适用何种归责原则未作明文规定,因而应当适用第1165条第1款规定的过错责任原则。

《个人信息保护法(草案)》一审稿第65条规定的内容是:“因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”对此,认为“如果在个人信息处理者能够证明自己没有过错的情况下,仍然只是减轻或者免除责任,就意味着侵害个人信息权益的民事责任可能是无过错责任,也可能是过错推定责任”②程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第507页。的看法,是不正确的。能够证明自己没有过错而减责或者免责,其前提应当是过错责任,而不是过错推定责任或者无过错责任。这里规定的是过错责任,行为人证明自己没有过错可以减轻责任或者免除责任,是对免责、减责事由的规定,不是对归责原则的规定。

《个人信息保护法(草案)》二审稿第68条将一审稿第65条分为两款,第1款将归责原则由过错责任改为过错推定原则,即:“个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”从此,开始使用“个人信息处理者不能证明自己没有过错”的概念。

正式颁布的《个人信息保护法》第69条第1款对二审稿的第一句作了调整,改为“处理个人信息侵害个人信息权益造成损害”,将适用过错推定责任的侵权行为概括得更为准确。

《个人信息保护法》上述关于侵害个人信息权益损害赔偿归责原则的进展过程,体现的是为了保护个人信息权益的特别需要,对个人信息处理者侵权责任提出了更高的要求,违反法律规定的义务,处理个人信息侵害个人信息权益造成损害,适用过错推定原则确定侵权责任。“个人信息处理者不能证明自己没有过错”的前提,就是过错推定,推定过错之后,实行举证责任倒置,由个人信息处理者对自己没有过错负举证责任,能够证明自己没有过错的不构成侵权责任,不能证明自己没有过错的,推定成立,构成侵权责任。“个人信息处理者不能证明自己没有过错”,就是《民法典》第1165条第2款规定的“法律规定”,排除了个人信息处理者侵害个人信息权益损害赔偿对第1165条第1款关于过错责任原则规定的适用。

(二)对个人信息处理者侵害个人信息权益适用过错推定原则的原因

之所以确定个人信息处理者侵害个人信息权益损害赔偿适用过错推定原则,主要原因如下。

1.立法例的借鉴

各国和地区立法保护个人信息权益,对于归责原则的适用大体分为三种立法例。

(1)适用无过错责任。1995年《欧盟个人数据处理的个人保护以及此类数据自由流通的指令》(95/46/EC)明确规定了数据控制者的严格责任,数据控制者依据该指令承担的责任为无过错责任,免责事由为数据主体的过错以及不可抗力。2018年《欧盟一般数据保护条例》(GDPR)既规定了控制者的责任,也规定了处理者的责任,其第82条规定,数据的控制者和处理者都适用无过错责任,受害人在要求控制者或处理者承担责任时,无需证明其存在过错。

(2)区分处理个人数据的不同情形适用不同的归责原则。德国2002年《联邦数据保护法》区分一般的数据控制者侵权赔偿责任和公共机关自动处理数据的侵权赔偿责任。前者依据该法第7条适用过错推定责任,后者依据该法第8条适用无过错责任。2017年新的《联邦数据保护法》第83条第1款规定,在区分自动化数据处理与非自动化数据处理的基础上,分别规定了无过错责任与过错推定责任。

(3)区分不同的处理者适用不同的归责原则。我国台湾地区“个人资料保护法”第28条和第29条规定,对公务机关适用无过错责任,对非公务机关则采用过错推定原则。

上述立法例有一个共同点,就是不论区分或者不区分个人信息控制者还是处理者,不论是一般个人信息处理者还是公共机关,也不论是自动化处理还是非自动化处理个人信息,都分别适用过错推定责任或者无过错责任,都不适用过错责任原则,因而能更好地保护数据主体的权益。

2.社会发展实际需要

我国《个人信息保护法》第69条第1款规定个人信息处理者侵害个人信息权益损害赔偿适用过错推定原则,是根据我国社会发展的实际需要采取的做法,符合《民法典》第1165条第2款关于“依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任”的规定要求,是保护自然人的个人信息权益,规范个人信息处理活动,促进个人信息合理利用之必需。

第一,侵害个人信息权益的行为主体是个人信息处理者,而不是一般民事主体。侵害自然人精神性人格权的侵权行为,不论行为主体是自然人还是法人、非法人组织,都是一般主体,不具有特别之处。但是,个人信息处理者侵害个人信息的行为却不同,是个人信息处理者掌控着自然人的个人信息,具有处理个人信息的权能和特别能力,负有保护个人信息权益的法定义务,因而不适用过错责任原则,而适用过错推定原则,体现对行为主体的不同要求。

第二,个人信息权益的受害人是自然人,其享有的个人信息权益需要特别保护。这是因为,在当代网络技术、人工智能高度发达的时代,自然人不提供个人信息几乎无法进行民事活动,只有将个人信息交给个人信息处理者才能进行民事交往,行使民事权利,履行民事义务。自然人在将自己的个人信息交给个人信息处理者掌控后,个人信息处理者能够极其方便地利用个人信息达到自己的目的,使权利人的个人信息权益受到侵害造成损害。在这样的情况下,立法将个人信息处理者侵害个人信息权益损害赔偿由过错责任原则提高到过错推定原则,完全是为了更好地保护自然人的个人信息权益。

第三,个人信息处理者与个人信息权益人的地位不平等,须由归责原则作出必要调整。在个人信息处理活动中,个人信息处理者的地位处于强势,个人信息权利人处于弱势,如果适用过错责任原则,不利于对个人信息权益的保护;适用过错推定原则正是为调整双方不平等地位的利益关系所必须。在实践中,受害人举证困难已经成为个人信息保护面临的一大困境。在个人信息处理中,个人信息处理者距离证据较近,受害人距离证据较远,加之对于数据处理中过错证明的专业性较强,受害人举证成本高昂,存在“证据分布不均衡”现象。①参见王利明:《〈个人信息保护法〉的亮点与创新》,《重庆邮电大学学报(社会科学版)》2021年第5期。适用过错推定原则进行矫正,通过让个人信息处理者提出证据证明自己没有过错,就能够减轻受害人的举证负担,使双方不对称的强弱关系得到调整,平衡相互之间的利益关系。

第四,为促进个人信息合理利用,不适用无过错责任原则调整侵害个人信息损害赔偿责任。当代社会是数字经济时代,既要保护个人信息权利人的权益,又要促进个人信息合理利用,保持社会经济高速发展。如果对个人信息处理者侵害个人信息权益损害赔偿适用无过错责任,不论个人信息处理者有无过错都须承担赔偿责任,就会阻碍个人信息的合理利用,无法在数字经济的高科技时代保持社会经济高速发展,最终受到损害的是社会和人民。适用过错推定责任,能够协调好各方面关系,实现权利保护和社会经济发展之间的需求平衡。

(三)个人信息处理者侵害个人信息损害赔偿适用过错推定原则的优势

《民法典》第1165条规定的过错责任原则和过错推定原则,虽然都是以行为人的过错作为认定侵权责任的标准,却存在严格区别,突出了适用过错推定原则的优势。首先,两个归责原则的地位不同。过错责任原则是侵权责任的一般归责原则,过错推定原则是侵权责任的特殊归责原则,只有法律有特别规定的才可以适用。其次,两个归责原则的调整范围不同。过错责任原则调整一般侵权责任,只要具备违法行为、损害事实、因果关系和过错要件,就直接确定侵权责任。过错推定原则调整一部分特殊侵权责任,须有法律特别规定,没有特别规定不能适用。再次,两个归责原则的举证责任不同。对于过错要件的证明,适用过错责任原则的证明主体是受害人,须证明过错要件成立,否则不能得到损害赔偿责任的救济。适用过错推定原则的过错证明责任在侵权人,实行举证责任倒置,要举证证明自己没有过错才能使自己免于承担赔偿责任。最后,两个归责原则的利益着眼点不同。适用过错责任原则的利益着眼点是均衡、公允的,没有偏袒倾向。适用过错推定原则确定侵权责任,利益着眼点在于保护诉讼地位处于弱势的受害人,使其诉讼的弱势得到矫正,对侵权人索赔主张更容易成立。

《个人信息保护法》第69条第1款规定个人信息处理者侵害个人信息权益损害赔偿适用过错推定原则,正是为了有利于保护个人信息权益人的权利,督促个人信息处理者严格履行保护个人信息权益的法定义务,矫正其违法处理个人信息的行为,维护正常的个人信息处理秩序,促进个人信息的合理利用。

(四)个人信息处理者侵害个人信息权益损害赔偿适用过错推定原则的要点

在具体适用过错推定原则确定个人信息处理者侵害个人信息损害赔偿责任时,应当强调以下要点。

1.适用主体的限制

《个人信息保护法》第69条第1款适用于个人信息处理者在处理个人信息活动中侵害个人信息权益造成损害的侵权责任,不适用于一般义务主体的个人信息处理活动。这正是该法第72条关于“自然人因个人或者家庭事务处理个人信息的,不适用本法”规定的意旨所在。自然人因个人或者家庭事务处理个人信息的,即使侵害个人信息权益造成损害后果的,也不适用过错推定原则,而适用《民法典》第1165条第1款规定的过错责任原则。

2.区分侵权请求权与人格权请求权的界限

个人信息处理者侵害个人信息权已经造成损害的赔偿责任,性质属于侵权请求权的范畴。个人信息处理者侵害个人信息权益没有造成实际损害的,是人格权请求权保护的范围。《个人信息保护法》第69条明确规定,过错推定原则适用于“侵权责任”。依照《民法典》第995条规定,人格权请求权是固有权利,与侵权请求权不同,不存在构成要件的认定,只须具备行使要件即可行使,也不存在过错的证明和诉讼时效的适用。这与行使物权请求权、身份权请求权等固有请求权一样,只要行为人实施了侵害物权、人格权或者身份权的行为,就可以请求行为人承担停止侵害、排除妨碍(害)、返还原物、消除危险、消除影响、恢复名誉、赔礼道歉等责任。例如,个人信息权益人行使《个人信息保护法》第47条规定的删除权,就是个人信息权的人格权请求权的特有方式。

3.侵权责任承担方式

《个人信息保护法》第69条第1款规定的“损害赔偿等侵权责任”应当怎样理解,也值得研究。《民法典》确认侵权责任的基本方式是损害赔偿,也包含恢复原状和部分返还原物的责任方式。①参见杨立新:《侵权责任法》,高等教育出版社2021年版,第102-103页。在侵害个人信息权益的侵权行为中,基本上无法适用恢复原状和返还原物的责任方式,主要适用损害赔偿方式。因此,个人信息处理者侵害个人信息权益的侵权行为造成个人信息权益的损害,无论是财产权益的损害,还是精神利益的损害,都适用损害赔偿予以救济。

4.举证责任分担

由于个人信息处理者侵害个人信息权造成损害的赔偿责任适用过错推定原则,在诉讼中须依照过错推定原则的规定性对举证责任进行分担。首先,由原告对侵权责任构成要件中的违法行为、损害事实、因果关系三个要件承担举证责任;其次,原告举证证明成立者,法官推定被告有过错;再次,实行举证责任倒置,由被告举证证明自己对损害的发生没有过错,以推翻对被告有过错的推定;最后,被告能够证明自己没有过错的,不承担侵权责任,不能证明或者证明不足的,推定过错成立,应当承担侵权责任。

三、“受到的损失”“获得的利益”:侵害个人信息权益损害赔偿的计算依据

《个人信息保护法》第69条第2款规定的是侵害个人信息权益损害赔偿的计算方法,使用的计算依据是“受到的损失”和“获得的利益”。对此应当怎样理解,需要进一步研究。

(一)“受到的损失”“获得的利益”作为损害赔偿计算依据的侧重点

《个人信息保护法》第69条第2款规定,以“受到的损失”和“获得的利益”作为计算损害赔偿的依据。这表明,《个人信息保护法》的侵害个人信息权益损害赔偿规则侧重救济的是个人信息权益人因其权益被侵害而造成的财产损失,用学者的说法,是“个人对其个人信息”在“人身财产安全”方面利益②参见张新宝:《论个人信息权益的构造》,《中外法学》2021年第5期。的损害赔偿,不包括对个人信息权益人受到的精神损害的救济,因为受到的损失和获得的利益只能用财产性损失来解释。

这一规则的基础是《民法典》第1182条,溯源于原《侵权责任法》第20条规定。原《侵权责任法》第20条规定,侵害人身权益,无论是侵害物质性人格权还是精神性人格权,只要造成财产损失,就要对财产损失予以赔偿;对于侵害精神性人格权的财产损失难以计算,侵权人因此获得利益的,按照其获得的利益计算财产损失;对于侵害他人人身权益“损人不利己”的,没有财产损失和获得利益作为计算依据,双方应当协商,不能因为侵权人没有获利而不承担赔偿责任,由法院根据侵权人的过错程度、具体侵权行为和方式、造成的损害后果和影响等确定。③参见王胜明:《中华人民共和国侵权责任法释义》,法律出版社2013年版,第112-116页。《民法典》第1182条规定的内容与此基本相同,只是将受到的损失和获得的利益由《侵权责任法》第20条规定的先后顺序关系改为选择关系,被侵权人有权选择依照自己受到的损失或者侵权人获得的利益请求损害赔偿,将选择权赋予被侵权人,是侵害他人人身权益造成财产损失计算方法的选择权。①参见杨立新、李怡雯:《中国民法典新规则要点》,法律出版社2021年修订版,第614页。在立法理由上,与原《侵权责任法》第20条规定基本相同。②参见黄薇:《中华人民共和国民法典侵权责任编释义》,法律出版社2020年版,第64-66页。个人信息权益是人格权,个人信息处理者侵害个人信息权益造成财产利益损失,当然也是如此。

可见,《民法典》第1182条是《个人信息保护法》第69条第2款的上位法依据。后者规定的损害赔偿计算方法的侧重点和突出保护的,是个人信息权益的财产利益,个人信息权益中的人格尊严等精神利益不在该条款的保护之内。

(二)《个人信息保护法》第69条第2款与《民法典》第1182条之间的关系

《个人信息保护法》第69条第2款虽然与《民法典》第1182条规定一脉相承,内容还是有所不同,具体适用虽然没有原则区别,也还是有自己的特点。

1.相同之处

《个人信息保护法》第69条第2款规定与《民法典》第1182条规定的相同之处是:第一,损害赔偿的计算依据还是“受到的损失”或者“获得的利益”。这是计算侵害人身权益造成财产损失赔偿数额的基本依据。对此,没有采纳《商标法》《著作权法》等知识产权单行法中的另一个依据即“违法所得”,是侵害个人信息权益的特点所决定的。第二,对受到的损失或者获得的利益,仍然将选择权赋予受到损害的权利人,因为由被侵权人进行选择,被侵权人肯定会选择最能弥补其损害的计算方式,因此不违反填平原则。③同注②,第67页。将“获利返还原则”适用于侵害个人信息权益损害赔偿,进一步完善了《民法典》的规定。④参见王利明:《〈个人信息保护法〉的亮点与创新》,《重庆邮电大学学报(社会科学版)》2021年第5期。第三,对于“个人因此受到的损失和个人信息处理者因此获得的利益难以确定的”计算方法,仍然采取“根据实际情况确定赔偿数额”的方法,没有改变。

2.不同之处

《个人信息保护法》第69条第2款规定与《民法典》第1182条规定主要有以下几点不同:第一,侵权人和被侵权人的主体特定化,将个人信息权益人特定为“个人”,侵权人特定为“个人信息处理者”。第二,将一般规则具体化,对个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,没有规定“被侵权人和侵权人就赔偿数额协商不一致”的条件,说明协商不一致不是根据实际情况确定赔偿数额的前提条件,也不否定被侵权人和侵权人就损害赔偿数额可以进行协商,因为这是当事人自己的权利。第三,没有规定“向人民法院起诉”作为根据实际情况确定赔偿数额的条件,虽然这种损害赔偿方法基本上是法院适用,但是,也不排除其他有关部门在调解处理时可以具体适用,扩大了适用的范围。

可以说,《个人信息保护法》第69条第2款是《民法典》第1182条规定的特别法⑤参见石佳友:《个人信息保护的私法维度——兼论〈民法典〉与〈个人信息保护法〉的关系》,《比较法研究》2021年第5期。,依照《民法典》第11条规定,具有优先适用的效力。

(三)适用《个人信息保护法》第69条第2款规定的要点

1.适用范围不同

《个人信息保护法》第69条规定的侵权损害赔偿的责任主体是个人信息处理者,不是个人信息处理者,即使侵害个人信息权益造成损害,也不适用第69条第2款,而应当适用《民法典》规定的侵害精神性人格权的损害赔偿责任规则。其依据不仅是《个人信息保护法》关于调整范围的规定,还有《民法典》第111条关于个人信息权益的规定。个人信息权的义务主体,一是个人信息权作为绝对权,其义务主体是一般主体,即权利人以外的任何自然人、法人、非法人组织,都负有对个人信息权的不可侵义务,对自然人的个人信息负有不得非法收集、使用、加工、传输,不得非法买卖、提供或者向他人公开的法定义务。任何民事主体违反这样的不可侵义务,都应当承担侵害个人信息权的侵权责任。二是个人信息权的特殊义务主体是个人信息处理者,即依法获得个人信息、负有保护其处理的个人信息安全,保护好个人权信息权的特别义务主体,负有确保处理的自然人个人信息安全、防止信息泄露的义务,一旦发生或者可能发生个人信息泄露,负有立即采取补救措施、防止损害扩大的义务。

个人信息权的这两种义务主体并不相同。个人信息权利人的一般义务主体,对个人信息权利人的权利负有一般性的不可侵义务,即不作为义务,违反其不作为义务侵害个人信息权,构成侵权。个人信息权利人的特殊义务主体,是有权处理个人信息的个人信息处理者,他们享有处理个人信息的权利,负有的特别义务就是确保所处理的个人信息的安全,违反确保个人信息安全的义务,侵害了个人信息权人的权利,应当承担侵权责任。

《个人信息保护法》第69条规定的侵害个人信息权的损害赔偿责任,明确规定的是“个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”,不包括个人信息权的一般义务主体的侵权责任,即没有依法处理个人信息权利的任何自然人、法人或者非法人组织。确定个人信息权的一般义务主体侵害个人信息损害赔偿责任,不适用《个人信息保护法》第69条规定的方法。

2.赔偿性质不同

《个人信息保护法》第69条第2款规定的损害赔偿性质,是侵害个人信息权益造成财产损失的赔偿责任,与《民法典》第1182条规定的赔偿性质相同。不过,个人信息权是人格权,侵害人格权造成严重精神损害的赔偿责任,《民法典》第1183条第1款对其作了规定,《个人信息保护法》第69条规定的赔偿责任并不包括在其中。因此,即使个人信息处理者侵害个人信息造成财产利益损害的,依照该规定承担损害赔偿责任,也不能替代对个人信息权人造成严重精神损害的精神损害赔偿责任,被侵权人可以另行依照《民法典》第1183条第1款规定,请求侵害个人信息权的精神损害赔偿。

3.扩大确定赔偿责任机关的范围

根据实际情况确定赔偿数额的主体不局限于“人民法院”,是赔偿数额确定的一般计算方法,是非专属于法院的权限,有关职能部门、调解机构以及当事人相互之间,在个人因此受到的损失和个人信息处理者因此获得的利益难以确定的情况下,都可以根据实际情况确定赔偿数额。

4.受到的损失包括为制止侵权行为所支付的合理开支

被侵权人受到的损失,包括为制止侵权行为所支付的合理开支。对此,可以适用《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条的规定,将被侵权人为制止侵权行为所支付的合理开支,认定为《民法典》第1182条规定的财产损失。合理开支包括被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用。根据当事人的请求和具体案情,可以将符合国家有关部门规定的律师费用计算在赔偿范围内。

5.根据实际情况确定赔偿数额的适用

这里规定的“根据实际情况确定赔偿数额”,因为与《民法典》规定的方法一致,因此可以依照对《民法典》第1182条规定的解释进行解释,即“根据侵权人的过错程度、具体侵权行为和方式、造成的后果和影响等确定”①黄薇:《中华人民共和国民法典侵权责任编释义》,法律出版社2020年版,第57页。。对此,应当适用《民法典》第998条关于“认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任,应当考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素”的规定。有的学者也持这种见解。②参见程啸:《侵害个人信息权益的侵权责任》,《中国法律评论》2021年第5期。

6.不必适用相关的免责事由

《个人信息保护法》没有规定个人信息处理者侵害个人信息权益造成损害的免责事由,似乎是一个立法漏洞。有的国家的个人信息保护法规定公务机关的免责事由为不可抗力及天灾、事变或者其他不可抗力,非公务机关可以通过证明没有故意或过失而免责。其实这些都是没有必要规定的,因为我国《个人信息保护法》第69条确定个人信息处理者侵害个人信息权益损害赔偿的归责原则是过错推定原则,行为人在证明自己没有过错时,证明损害发生的原因是不可抗力,或者对损害的发生没有故意或者过失,都能够证明行为人没有过错,证明成立的,就推翻了过错推定,当然就不承担损害赔偿责任。

7.可以适用过失相抵规则

值得研究的倒是可否适用过失相抵原则。对此,《个人信息保护法》没有规定是否可以适用《民法典》第1173条实行过失相抵。由于个人信息处理者在个人信息处理活动中的强势地位,被侵权人对损害的发生或者扩大有重大过失的,可以过失相抵,一般过失不必过失相抵。

四、《个人信息保护法》没有规定的侵害个人信息权益损害赔偿的法律适用

《个人信息保护法》第69条规定只是解决了个人信息处理者侵害个人信息权益造成损害的赔偿规则,对于其他侵害个人信息权益造成损失的赔偿问题,应当依照《民法典》的规定确定损害赔偿责任。

(一)个人信息处理者侵害个人信息造成精神利益损害的赔偿

《个人信息保护法》没有规定侵害个人信息权益的精神损害赔偿。对此,有学者认为,《个人信息保护法》第69条第2款使用的是“损失”一词,而不是《民法典》第1182条使用的“财产损失”表述。因此,“损失”既包括财产损失或财产损害,也包括精神损失或精神损害。也就是说,依据《个人信息保护法》第69条第2款,只要侵害个人信息权益造成损害的,无论是财产损失还是精神损失,都可以按照这一规定确定损害赔偿责任。原因是侵害个人信息权益的精神损害通常只是某种心理上的焦虑或不安,或者生活上的些许不变,如骚扰电话或垃圾邮件。这种精神损害的程度显然没有达到民法典第1183条第1款要求的严重精神损害的程度,因此,在第69条第2款中规定的损失既包括财产损失也包括精神损害。①参见程啸:《侵害个人信息权益的侵权责任》,《中国法律评论》2021年第5期。这种意见是不对的,一是因为精神利益只有损害而没有损失;二是对于精神损害也不能用受到的损失和获得的利益作为计算依据。例如,非法出卖徐某某的个人信息,不仅使其遭受重大财产损失,而且引发受害人死亡的后果,精神损害后果岂能不谓之严重。

不能认为《个人信息保护法》没有规定,就不能适用精神损害赔偿救济个人信息权益损害。这是因为,个人信息权益是人格权,人格权受到侵害,即使没有造成财产利益的损害,仅就个人信息权益造成精神利益的严重损害,权利人也可以请求行为人承担精神损害赔偿责任。对此,应当依照《民法典》第1183条关于承担精神损害赔偿的规定,确定行为人的精神损害赔偿责任。

应当看到的是,《民法典》第1182条和第1183条规定的损害赔偿规则并不冲突,是并存关系,因而《个人信息保护法》第69条规定与《民法典》第1183条规定也是并存关系。这是因为,通过规范个人信息处理活动,在不限制个人信息自由流动和利用的前提下,确保个人信息处理不逾越人格尊严底线,是我国宪法和民法的共同要求。②参见王锡锌、郭錞:《个人信息保护法律体系的宪法基础》,《清华法学》2021年第3期。因此,当个人信息处理者侵害个人信息权益,必然会造成权利人人格尊严等精神利益的损害。当这种损害达到严重程度时,被侵权人可以依据《民法典》第1183条规定请求精神损害赔偿。

(二)一般义务主体侵害个人信息权造成损害的赔偿责任

侵害个人信息权益的侵权人除了个人信息处理者外,还有其他个人信息权的一般义务人。一般义务人侵害他人的个人信息权益造成损害的,不在《个人信息保护法》第69条规范的范围内。

个人信息权益的一般义务主体是指《个人信息保护法》第73条第1项规定的个人信息处理者以外的其他自然人、法人和非法人组织,他们相对于个人信息权益人,是一般义务主体,负有对个人信息权益的不可侵义务,违反该不可侵义务,就侵害了个人信息权益人的合法权益,造成损害的,应当依据《民法典》第1165条第1款规定,承担赔偿责任。这种损害赔偿责任适用过错责任原则,由主张侵权请求权的权利人承担举证责任,证明行为人具有违法行为、损害事实、因果关系和过错要件,证明成立者,侵权人承担损害赔偿责任。例如,《个人信息保护法》第10条规定的任何组织或者个人实施非法收集、使用、加工、传输他人个人信息,非法买卖、提供和公开他人个人信息的行为,以及实施危害国家安全、公共利益的个人信息处理活动的行为,造成个人信息权益损害的,都应当按照上述规定承担侵权损害赔偿责任。造成精神损害的,依照《民法典》第1183条第1款规定,承担精神损害赔偿责任,须达到严重精神损害的要求。侵害个人信息权益造成财产损失的,依照《民法典》第1182条规定,根据被侵权人受到的损失或者侵权人获得的利益承担损害赔偿;受到的损失和获得的利益难以确定的,可以协商确定,协商不成的,根据实际情况确定赔偿责任。

(三)侵害个人信息权益的小额损害赔偿

笔者一直主张,对于侵害个人信息权益造成损害数额较小的,应当实行最低限额赔偿标准。例如,侵权人将非法获取个人信息出卖,所获利益1元人民币,权利人所受损失难以确定,按照侵权人所获利益请求损害赔偿,不过获得1元的损害赔偿。这样的结果,不仅不能惩治侵权人的违法行为,而且难以调动权利人维权的积极性。这正是非法侵害个人信息权益难以遏制的民法上的原因,即侵权人通常会侵害众多权利人的权益,而民法确定侵权责任是以权利人受到侵害造成损害为准,每一个权利人的起诉只能就自己的损失或者侵权人所获利益请求赔偿。因此,实行小额损害的最低赔偿限额就十分必要。

我国台湾地区“个人资料保护法”规定了侵害个人信息的最高赔偿数额和最低赔偿额。对于依据造成的损失或者获得的利益赔偿,实行全部赔偿,损失多少就应当赔偿多少,不设上限。只有在实际损失和获得利益难以计算时,可以依照《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条关于“被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情,在50万元以下的范围内确定赔偿数额”的规定处理。最低赔偿额的做法对调动权利人维权的积极性有重要作用,《消费者权益保护法》《食品安全法》都规定了最低赔偿额标准,分别是500元和1000元,建议也采取这样的办法,确定侵害个人信息权益造成小额损害的最低赔偿限额。

五、结 语

《个人信息保护法》第69条规定个人信息处理者侵害个人信息权益损害赔偿规则,采用过错推定原则是很好的选择,有利于兼顾个人信息权益保护、个人信息处理者合理利用个人信息以及维护个人信息处理活动秩序,实现各方利益的平衡。对个人信息处理者侵害个人信息权益损害赔偿的计算方法的适当改进也是必要的,符合侵权损害赔偿的法理要求,能够适应数字经济发展的需要。对于该条没有规定的其他侵害个人信息权益损害赔偿的部分,基于《个人信息保护法》与《民法典》的特别法与基本法的关系,应当以《民法典》的相关规定作为补充,以更好地保护自然人的个人信息权益。

猜你喜欢
信息处理保护法损害赔偿
我国将加快制定耕地保护法
生态环境损害赔偿诉讼优先审理模式之反思
论比例原则在知识产权损害赔偿中的适用
东营市智能信息处理实验室
基于Revit和Dynamo的施工BIM信息处理
未成年人保护法 大幅修订亮点多
我为《英雄烈士保护法》尽了绵薄之力
地震烈度信息处理平台研究
CTCS-3级列控系统RBC与ATP结合部异常信息处理
违约损害赔偿之比较分析