张璐
摘 要:我国民法典确立了人格权请求权与侵权损害赔偿请求权相分离的保护模式。在个人信息权益保护的规范体系中,首先引发包括停止侵害、排除妨碍、消除危险等消极防御性请求权,人格权编的各种制度均适用于个人信息权益的保护。通过民法典和个人信息保护法对信息主体权利体系的构建,人格权请求权下发展出未构成侵权行为的多种形式请求权,达到维护个人信息权益的圆满状态。个人信息权益受到侵害且造成损害时,产生侵权损害赔偿请求权。这种损害包括财产上的损害和非财产上的损害,财产损失数额的确定标准依照《民法典》第1182条的规定,非财产损害主要体现为对当下和未来可能遭受风险的焦虑和精神负担,在过错推定责任下,结合动态系统论综合认定侵害个人信息权益的民事责任。
关键词:人格权;个人信息;人格权请求权;损害赔偿;民事责任
中图分类号:D 912 文献标志码:A 文章编号:2096⁃9783(2022)02⁃0078⁃10
引 言
民事纠纷以给付之诉为典型,请求权基础是支持原告诉请被告为或不为一定行为的规范依据。根据民法典编章安排体系解释和司法机关关于民事案件案由规定,人格权请求权在适用上优先于侵权请求权[1]。在请求权基础的视角下,人格侵害首先引发包括停止侵害、排除妨碍、消除危险等消极防御性请求权,如果发生损害,则进一步产生侵权损害赔偿请求权。涉及合同缔结的需要,还会相应产生合同上的请求权,包括缔约过失责任请求权、合同履行请求权、违约金请求权等。《中华人民共和国民法典》(以下简称《民法典》)将人格权请求权与侵权损害赔偿请求权分离,确立了人格权编权利确认与侵权责任编归责条款相结合的保护模式,适应了人格权制度的发展趋势,在解决人格权保护的新问题中发挥着重要作用。
数字经济时代,个人信息流通频繁、保护意识增强、司法实践问题突出,涉及个人信息权益的纠纷日益增多。个人信息保护制度成为人格权保护中的重要内容,《民法典》人格权编第1034条至1038条分别对个人信息的定义、类型、确权、解释、收集、使用边界等内容作出专门规定,开创了世界范围内民法典中特别规定个人信息保护的先河。2021年11月生效的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)已成为我国第一部专门规范个人信息处理的法律,将为未来个人信息保护制度中最为重要的法律依据。根据《最高人民法院关于印发修改后的〈民事案件案由规定〉的通知》(法〔2020〕346号),在新变更的第三级案由“8.隱私权、个人信息保护纠纷”下增加“(1)隐私权纠纷”“(2)个人信息保护纠纷”,确立了“个人信息保护纠纷”独立的诉由地位。在我国个人信息保护制度日趋完善的背景下,对民法典与个人信息保护法等法律中对个人信息保护的适用关系、个人信息保护规范体系的梳理和研究具有重要意义。
一、个人信息的性质与人格权编的适用问题
对个人信息性质的认定一直存在争议,但确定其为一项人格权益而非具体人格权更符合既有的法律规定。我国民法区分民事权利和利益,在权利化模式与行为规制模式的区别之下,前者被给予全面更高强度的保护,后者保护力度相对较弱。一直以来,关于个人信息的性质存在着争议,在民法典的编撰过程中,曾使用“个人信息权”术语,但是最终民法典并未明确使用“个人信息权”的表述。尽管如此,关于个人信息性质的争议仍没有停止,一种观点认为个人信息本质上与人格紧密相连,依附于人格主体,是体现人格利益的人格要素和特征,应属于一种人格权,将个人信息权利化能使其具备确定的权利内容,确定性能为信息主体提供更大的保护力度,将有利于加强个人信息保护目的的实现1;另一种观点则强调,民法总则并没有设定“个人信息权”,而是以行为规制的方式为个人信息提供一定程度的保护[2]。个人信息在性质上仅为一种综合性的人格权益,同时包含精神利益和财产利益,对其利用和保护应当并重[3]。反对赋权的主要理由,是认为个人信息赋权会阻碍信息共享的本质,使获取信息的成本变高,阻碍数字经济的发展。在个人信息性质的问题上,本文认为,应遵循已有的民法典和个人信息保护法的规定,《民法典》没有明确“个人信息权”,第990条具体列举的人格权包括生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权,个人信息权益不属于明确列举的人格权类型,这或许是立法者有意为之,从文义解释的角度很难将其定位为一种具体人格权,其只能是属于第990条第2款规定的自然人享有基于人身自由、人格尊严而产生的其他人格权益。《个人信息保护法》第1条也再次强调“保护个人信息权益”,因此,将个人信息定位了一种民事权益更为合理。当前,我国个人信息保护进入后个人信息保护法阶段,从解释论角度出发的研究和结论将更有利于维护法律的稳定性。此外,很难预料在数字经济发展的未来,与个人信息有关的权益会发展出什么新的内涵,个人信息权益的表述更为灵活,能为今后不断出现的新权益留下发展和适用空间。
作为一种人格权益,个人信息在适用人格权编的有关规定中存在争议。我国民法典人格权编调整因人格权的享有和保护所产生的民事关系,第990条对具体人格权作出例示性的“列举”和对基于人身自由、人格尊严的一般人格权益作出“兜底”规定,确立了具体人格权和一般人格权的区分理论[4]。民法典并没有明确人格权和人格权益的区别,也没有对具体人格权和一般人格权益做出界定,而是将两者都规定于人格编之下,但是人格权编其他条款使用的都是“人格权”的表述。问题在于,对于个人信息这类尚未上升为有名“权利”的民事权益,是否也能够使用人格权编的一般性人格权保护规则存在争议。一种观点认为,《民法典》第990条第1款列举了人格权的具体类型,第2款规定了人格权益的一般条款,因此人格权编第1章关于人格权的一般规定中所出现的“人格权”包括了具体列举的人格权,也包括基于人身自由、人格尊严产生的其他人格权益[5]。王利明教授指出,无论是人格权还是人格权益,除了法律明确规定不宜适用某种权益的规则之外(比如《民法典》第993条关于许可使用并没有明确规定隐私),应当统一适用人格权编中的一般性保护规则2。另一种观点则认为,不应直接将人格权禁令适用于那些保护强度较弱的人格利益(比如个人信息权益、死者的人格权益),因为从文义解释出发,“人格权”不等于“人格权益”,且如果将人格权禁令的适用范围扩大到个人信息、死者的人格利益等其他人格权益,会抹杀人格权与受保护的人格权益的区分,过分强化人格利益的法律保护强度,可能对人们的行为自由构成不当限制[6]。
本文认为,个人信息权益应适用人格权编的规范,包括人格权请求权、人格权禁令制度等。因为从人格权编第1条,即989条的规定来看,因人格权的享有和保护产生的民事关系都受到本编的调整。人格指人的尊严及价值,即以体现人的尊严价值的精神利益为其保护客体。从目的解释出发,人格权的客体是人格利益,人格权编保护的是人的人身和行为自由、安全及精神自由等利益。既包括人身自由和人格尊严的一般人格利益,又包括生命、身体、健康、姓名、名誉、隐私、肖像等特别人格利益。第990条对生命权、身体权、健康权等明确列举只是因为他们是具有自身独立名称、独立内容并且以独立的主观权利存在的人格权[3]。个人信息权益等一般人格权益同样体现了人的尊严价值的精神利益,并不能因为其无法具有独立的名称而影响人格权编相关制度对其的适用。另外,根据《民法典》第998条的规定,生命权、身体权和健康权是最强人身专属性的物质性人格权益,实行最严格保护,是人格权乃至所有民事权利中居于最重要位阶的权利3。除此之外,法律对其他各种人格权益的保护并没有明显区别的层次,至少不能从现有的法律规定中看出名誉、隐私、肖像、个人信息等权益的位阶。因此,如果人格权编的各种制度适用于隐私权、名誉权、肖像权等人格权益的保护,又有什么理由可以排除其在个人信息权益保护中的适用呢?
二、人格权请求权规范体系
通过专章规定人格权,对人格权予以具体详细的规定,成为我国民法典编纂的最大亮点之一。我国民法典确立了人格权编权利确认与侵权责任编归责条款相结合的保护模式,这种保护模式也适用于个人信息权益的保护。
(一)人格权请求权与侵权损害赔偿请求权的“分离模式”
比较法上,最早规定人格权一般保护规则的是《瑞士民法典》,开创了人格权请求权的先河,并确定了防御性诉讼与损害赔偿诉讼并列的二元诉讼模式[7]。我国《民法典》总则编第120条规定了侵权请求权,“民事权益受到侵害的,被侵权人有权请求侵权人承担侵权责任。”人格权编第995条规定人格权请求权,“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。”侵权责任编调整因侵害民事权益产生的民事关系,该编规定的归责原则、连带责任、损害赔偿等有关规定,均适用于人格权保护。由此,我国民法典确立了人格权请求权与侵权损害赔偿请求权的“分离模式”。
民法典人格权编既确认了人格权的内容,也规定了由人格权所产生的绝对权请求权。《民法典》第995条规定,人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。该法第1167条同时规定,侵权行为危及他人人身、财产安全的,被侵权人有权请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。《民法典》第1167条可以视为消极防御性请求权的请求权基础,构成要件包括“人格权+正在进行或即将发生的侵害或妨害+不法性阻却抗辩”[8]。第995条人格权请求权为规范基础,在明文规定了绝对权请求权的情况下,绝对权请求权优先于侵权责任请求权的适用。
人格权属于绝对权,具有排他效力、对世效力,权利人之外的任何人都负有不得侵害、妨害权利人享有和行使人格权的义务。根据《民法典》第995条规定,当人格权之圆满状态面临被妨害或妨害的危险时,基于人格权的排他权能,权利人享有基于绝对权的请求权。人格权请求权使人格权主体能够排除行为人的不法侵害行为,以恢复人格权的圆满状态[9]。这种请求权属于展望性的侵权预防责任体系,针对不当行为和损害危险,归责依据是行为人带来的侵扰或危险,实现损害和妨害的预防,其正当性依据在于实用主义考量和伦理性基础[10]。与回顾性的损害赔偿责任体系不同,后者主要机能在于填补损害,核心是解决在权利受到侵害的情况下应该如何救济的问题。因此,人格权请求权和物权请求权一样,属于绝对权的请求权,其主要功能不在于对损害进行补救,而在于恢复遭受侵害的权利和预防可能发生的损害。其并非以损害赔偿为责任形式,而以停止侵害、恢复原状等为责任形式[11]。概而言之,人格权受到妨害(或持续的侵害)或可能受到妨害时,应当适用人格权请求权;而人格权受到侵害并且造成了损害时,就应当适用侵权损害赔偿请求权。
(二)人格权请求权的行使要件
根据《民法典》第995条的规定,在他人的人格权受到侵犯时,他人能够依照“本法”提起侵权请求权,也可以依照民法典之外的“其他法律规定”主张侵权请求权。根据第1167条的规定,在人格权遭受侵害或者有遭受侵害的危险时,赋予权利人人格权请求权,并且不考虑行为人是否具有过错,有利于防止损害发生或扩大,更有利于人格权的保护。据此,该请求权的行使要件有三个要素:第一,“侵权行为”,意味着妨害的不法性,至于妨害人对于妨害是否具有过错,在所不问4。第二,“危及他人人身、财产安全的”,指妨害已然存在,或存在着妨害权利支配状态的危险。比如个人信息处理者收集、公开、使用的个人信息不准确,信息主体可以请求及时更正,并不需要證明信息处理者构成侵权。第三,“被侵权人有权请求侵权人”,表明请求权存在于“被侵权人”与“侵权人”之间5。
在请求权基础视角下,人格权编的规范主要为辅助规范。个人信息权益以自决为中心,与信息流通、信息自由常存在法益冲突,信息处理在个案中是否遵循相关原则,需借助法益衡量判断(《民法典》第1035条)。在信息处理者违反信息安全保护义务导致信息泄露、丢失等典型侵害行为(《民法典》第1038条、1039条),可以推定侵害行为具有不法性。个人信息处理者在收集、存储、使用、加工、传输、删除等活动中都可能会存在侵害个人信息的行为,关于处理个人信息行为的不法性判断上,《民法典》和相关个人信息保护法律通过规范个人信息处理规则作出指引。《民法典》第1035条规定,处理个人信息应当遵循合法、正当、必要原则,不得过度处理,并符合相应的条件,包括征得自然人同意、公开处理规则、不违反法律法规和合同的该约定等。第1038条同时规定了泄露、篡改其收集、存储的个人信息等违法行为。如果违反个人信息处理相关规定,典型的侵害个人信息行为包括不当收集行为、不当使用行为、泄露个人信息的行为,还包括价格歧视、大数据杀熟等可能对人格权益或财产权益造成侵害的行为。个人信息保护法进一步明确了个人信息处理的合法、正当、必要和诚信原则,最小必要原则、公开透明原则、数据质量原则等,并在第2章“个人信息处理规则”中细化个人信息处理的合法性基础,征得主体同意的规则,敏感个人信息的处理规则等,对于判断个人信息的侵权行为的不法性提供了具体指引和法律依据。
(三)人格权禁令制度
《民法典》设置人格权请求权,除停止侵害、排除妨碍、消除危险等责任承担方式外,还有诉前禁令、更正删除权等非责任形式,这些都是人格权效力的体现,可满足人格权事前预防保护之需[12]。其中人格权禁令制度被视为人格权编的又一亮点,对于及时制止侵害人格权的行为、有效预防侵害人格权损害后果的发生具有重要意义。根据《民法典》第997条的规定,如果他人能够证明“行为人正在实施或者即将实施侵害其人格权的违法行为”,则在一定条件下,他人就能够主张停止侵害请求权。之所以对人格权领域的停止侵害请求权作出一般性的规定,目的在于通过这一侵权请求权实现损害的事先预防和阻止损害持续扩大。人格权禁令制度被认为是一项制度创新,是属于人格权请求权的独立实现程序,可以增强人格权编的预防功能,是适应互联网、高科技时代的重要制度。
人格权禁令的适用条件包括:行为人正在实施或者即将实施侵害其人格权的违法行为;不及时制止将使权利人的合法权益受到难以弥补的损害;民事主体有证据证明6。禁令的适用不考虑行为人的主观状态,因为禁令的实体法依据是人格权请求权,受害人申请禁令并不要求行为人的行为具有不法性,也不要求行为人具有过错,只要有证据证明行为人的行为可能对自身的人格权造成现实的危险或威胁即可7。正在实施或即将实施侵害人格权的行为是否必须构成侵权?王利明教授认为,在行为人有侵害之虞的情形,申请人很难证明行为人构成侵权,损害后果并未发生,因此是否造成损害或造成多大损害难以判断,因此不宜要求申请人证明行为人构成侵权[13]。当前,对于人格权禁令是否应当设置一个独立程序、如何设置等,如何兼顾程序效率与程序公正,是摆在民法学者和民诉学者面前的问题[14]。
(四)人格权请求权的多种形式
人格权请求权的作用在于恢复人格权的圆满状态,而不是为了填补权利人的实际损害。侵害人格权的特殊民事责任承担方式,主要包括停止侵害、排除妨害、消除危险等防御性的责任。因为仅仅通过金钱支付难以实现有效救济,而恢复名誉、消除影响、赔礼道歉等方式,在救济精神损害方面可能比金钱赔偿更有效果。人格权请求权具有多种表现形式,如更正、撤回、删除、回应等,都具有预防损害发生的功能和作用,可以适应现代社会发展对侵害人格权行为进行预防的特殊需求[7]。智能时代、数字时代使得侵害人格权的行为具有易发性和损害后果的不可逆性,个人信息保护的防范重点应是一种因个人信息被滥用而可能产生的抽象的危险,这一危险可能现实化为隐私受侵害、名誉受损或者财产受损,遵守个人信息保护规则有助于避免这种危险[15]。人格权请求权在积极保护人格权、及时制止侵害人格权、预防损害后果中将发挥重要作用。
在个人信息权益的保护中,人格权请求权发展出了未构成侵权行为的多种形式请求权,通过《民法典》和《个人信息保护法》对信息主体权利体系构建,维护了个人信息权益的圆满状态。《民法典》规定了查询权、复制权、异议权、更正权和删除权等,这几种权利也是以人格权请求权的方式而出现的,并在《个人信息保护法》中被进一步细化[16]。知情权(right to be informed)是指信息处理者在收集个人信息时应告知信息处理者的基本信息、处理的目的、储存时间等内容。《民法典》第1035条要求对个人信息采用公开处理信息的规则,明示处理信息的目的、方式和范围。虽然没有明确使用“知情权”“有权知悉”等术语,但本条是处理个人信息公开透明原则的体现,可以被认为是确保信息主体享有知情权[17]。知情权在《个人信息保护法》中被进一步明确,除了第44条规定知情权外,第2章“个人信息处理规则”第14条、第17条等都可以理解为信息主体知情权的具体内容。
查阅权,也可以称为信息获取权(right to access),保证信息主体了解信息处理的实际情况,也能为其后续正常行使更正权和删除权创造条件。《民法典》和《个人信息保护法》将查阅权和复制权一起规定,第1035条第1款第1句规定“自然人可以依法向信息处理者查阅或者复制其个人信息”,《个人信息保护法》第45条前两款有更为具体的规定。查阅权、复制权的对象不仅仅限于个人信息本身,还应包括信息的使用方法、存储环境、使用情境、传输对象等,因为信息处理都是在具体场景中发生,不了解信息处理的具体环境无法准确判断信息处理是否符合信息主体的权益。
更正权(right of correction),是指信息主体有权请求信息处理主体对不正确、不全面的个人信息进行改正与补充的权利8。《民法典》对更正权的规定是第1037条第1款后半句,“(自然人)发现信息有错误的,有权提出异议并请求及时采取更正等必要措施”。《个人信息保护法》第46条将“错误信息”细化为“信息不准确或不完善”,一旦在查阅个人信息中发现记载的信息有误,信息主体有权提出异议并请求及时采取更正等必要措施。从信息处理者的角度,应当对提出更正、補充的个人信息予以核实,并及时更正、补充。
拒绝权(也可以称之为反对权right to object),欧盟GDPR规定第21条规定,当数据控制者基于某些法定理由合法地进行数据处理,而信息主体却根据某些特定情况要求数据控制者停止使用其个人信息的时候,其可以行使的权利[18]。《民法典》没有明确规定拒绝权,但是第1036条规定处理个人信息的免责事由例外中有“自然人明确拒绝”的条款,即使相关个人信息已经公开,但是如果信息主体明确拒绝他人使用的,则行为人也不得处理该个人信息,这可以视为拒绝权能的一种效果。《个人信息保护法》第44条明确信息主体有权限制或拒绝他人对其个人信息进行处理。同时,第15条规定了信息主体的撤回同意,也是行使拒绝权的一种形式。
删除权(right to erasure),是指个人信息的处理已经违反法律规定,超过了当事人约定的范围,或权利人认为信息处理行为继续下去会有损本人的利益时,信息主体要求信息处理者及时停止对个人信息的处理并删除相关个人信息的权利9。在欧盟,这一权利被称为“被遗忘权”(the right to be forgotten)。《民法典》将删除权规定在1037条中。《个人信息保护法》第47条在《民法典》的基础上,对删除权做出了更为具体的规定,第1款明确了适用情形也扩张至5种,第5款“法律法规规定的其他情形”成为删除权的兜底条款,进一步扩大了删除权的适用空间,扩展了我国个人信息删除权的适用条件,体现出与欧盟法上“被遗忘权”很高的相似度。
侵害个人信息主体上述权利的救济,具体而言,包括停止侵害、删除个人信息等。对于查询权、复制权的救济,个人信息处理者应承担查询、复制等行为义务;对于删除权,则应停止侵害、删除个人信息等。如果当事人能够证明自己受到精神损害或经济损失,还可以请求侵权的个人信息处理者承担消除影响、赔礼道歉、损害赔偿等民事责任。
三、损害赔偿请求权
一般说来,人格权受到妨害(或持续的侵害)或可能受到妨害时,应当适用人格权请求权;而人格权受到侵害并且造成了损害时,就应当适用侵权损害赔偿请求权。
(一)损害赔偿请求权基础
侵权责任是一种事后救济的法律,不主动介入到某种社会关系中,是权益遭受到侵害之后所形成的社会关系,其核心是解决受到侵害的情况下如何救济的问题[19]。作为权利的救济规则,以损害赔偿为主要责任形式,产生损害赔偿责任,也称损害赔偿请求权,是指侵权人请求被侵权人赔偿因侵权行为给其造成的损害(财产损失与精神损害)的请求权,其中恢复原状、赔偿损失最为典型。从本质上来说,侵权责任编首先是救济法,通过责任的承担来填平损害以达到保护权利的目的10。
《侵权责任编》第1164条明确指出,本编调整因侵害民事权益产生的民事关系,其中民事权益包括民事权利和民事利益。个人信息权益受到侵害适用《民法典》第1165条第1款规定,行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。本款在逻辑构成上满足行为模式与法律后果的基本要求,属于兼具行为规则功能和裁判规则功能的完全法条,个人信息权益遭受侵害的受害人有权以该条为请求权基础向法院提出诉讼请求。在一般过错责任原则下,侵权责任的成立必须具备违法行为、损害事实、因果关系和主观过错四个要件。
(二)侵害个人信息权益造成损害的认定
损害作为一种事实状态,是指因一定的行为或时间使某人受侵权法保护的权利和利益遭受某种不利益的影响[20]。既包括人身伤害,也包括财产损害及精神痛苦。损害被认为具有要件与效果双重色彩,既是构成要件,也属于法律效果[21]。
1.侵害个人信息权益的具体赔偿规则
一般而言,损害可以分为财产上损害和非财产上损害,财产之损害,着重于财产价值之减少,而非财产上之损害,着重于痛苦之感受[22]。其中财产性损害的认定上,侵害人身权益造成财产损失与直接侵害财产权益不同,财产权益具有客观性、可评估性,故可依据公认的计算方法对财产损失加以确定。而侵害人身权益造成财产利益损失,却不具有这种客观性、可评估性。在正常的商业利用中,它往往是交易双方通过契约约定的主观价值;但侵权行为本身只是非法利用,并无主观价值的约定,给司法上确定被侵权人的财产利益损失造成困难[23]。对于因个人信息权益被侵害造成的财产损失可以分为直接损失、间接损失和纯粹经济损失。直接损失是已得利益的丧失,间接损失是一种未来可得利益的减少,“该得而未得”。纯粹经济损失是指受害人直接遭受财产上的不利益,仅为单纯的经济损失。这种损失在侵害个人信息权益的案件中很常见。比如,信用报告需要很长时间才能修复,因此在清理信用报告时,该人可能无法找到可出租的房屋是合理的,因为该报告对于获得租赁协议至关重要,鉴于这些重大风险,一个人可能会推迟购买新房,而遭受房价上涨带来的损失[24]。同时,因个人信息侵害会造成未来损害的风险损失,原告也可以提出面向外部风险提出的纯粹经济损失损害赔偿请求。这种损失可以追溯到德国在扩张财产损害方式方面的“沮丧理论”和“商品化理论”11。美国学者也提出了类似的机会丧失理论,即受害人原本可能获得一个较为理想的结果(获得某种利益或避免某种损害),而加害人的加害行为使得这种机会丧失或减少,这种机会的丧失就应由加害人予以赔偿[25]。
《民法典》第1182条同时规定了侵害他人人身权益造成财产损失的赔偿数额的确定标准,《个人信息保护法》第69条的规定与此一致,即按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。由于《民法典》第 1182 條实际上具有损害填补、损害预防与惩罚不法行为人等多重功能,因此法院在酌定赔偿数额时的参考因素区分为损害填补类的参考因素(经济价值的减损)、损害预防类的参考因素(行为人的获利、许可使用费等),以及惩罚性的参考因素(过错程度、侵权行为等)[26]。
2.侵害个人信息权益的非财产性损害
非物质性损害是个人信息权益侵害中最常见的损害类型,主要体现为一种因个人信息的不当利用而造成的内心焦虑。焦虑是情绪困扰的一种形式,作为一个笼统的术语,涵盖了广泛的负面和破坏性情绪,比如悲伤、尴尬等[27]。在沃伦和布兰戴斯最初提出隐私权的时候,就花了很大篇幅在论证情绪困扰是一种可补偿的伤害,强调侵犯隐私是侵害一个人发展其“不可侵犯”人格的能力,通过干扰一个人决定其个人信息向他人披露、共享和披露程度的能力而造成伤害[28]。欧盟基本权利机构(European Union Agency for Fundamental Rights, FRA)在2013年一份关于数据保护法实施情况的调查中表明,通过数据保护法求补救最常倾向于在心理或社会层面而非物质形式的伤害,比如“他们专注于自己的情绪”“关于其他人的意见或对他们与其他人关系的影响”“不同程度的情绪困扰、冒犯、不安全感(包括感觉被迫害或被监视)、无助等”12。
非物质性损害的逻辑在于,人们因担心个人信息的不当处理而对当下或未来可能遭受的风险具有心理负担和精神损害。虽然由此带来的非物质性损害的计算是难以精确衡量的,但是花费时间和精力去降低伤害的可能性或者弥补由此造成机会损失的行动和支出却是真实存在的。因此,各国法律均重视非财产损害的赔偿,比如GDPR第82条规定,任何因为违反本条例而受到物质或非物质性伤害的人都有权从控制者或数据者那里获得对损害的赔偿,强调非物质性损害的可赔偿性。实践中越来越多的案例支持非财产损失的赔偿,在“Armoniene v Litbuania”案中,一名护士感染HIV的数据被其一名同事发现,导致这名护士被辞退。法院在民事诉讼中认为原告无法证明访问医疗记录和传播她医疗信息间存在因果关系而败诉。欧洲人权法院认为,医院使用的管理系统违反了芬兰的国家数据保护法和《欧洲人权公约》第8条,因为国家未能充分保护这名护士的患者记录免受未经授权访问的风险(the risk of unauthorized access)13。英国法院2015年判决的“Google Inc. v Vidal-Hall”案14,首次承认滥用私人信息的侵权行为并认可因违反数据保护法而造成的非物质损失。法院认为,数据保护法旨在保护的是隐私和数据权益,而非经济利益,如果仅将其限制于金钱损害,无法补偿个人因数据控制者侵害数据隐私而导致的精神痛苦(emotional distress),将严重损害数据保护的宗旨。
我国司法实践中对于因个人信息权益遭受侵害而承受的精神负担的认定上经历了一个发展过程。在2014年的“朱烨诉百度”案中,两审法院呈现不同的态度。一审法院认为,百度的定向广告给朱烨的精神安宁和生活安宁带来了一定影响,但是原告未能证明严重的后果,所以不足以支付精神损害赔偿金,仅判决被告赔礼道歉。而二审法院则认为,原告提出的因个性化推荐服务而感到恐惧、精神高度紧张,仅为原告个人主观感受,不属于事实上的实质性损害,用户对互联网应持有包容性,被告不构成隐私权侵犯15。当前,我国越来越多的法院在审理中认可非物质性损害并向原告提供救济。在2019年的“微信读书”案中,法院认可收集微信好友列表信息自动关注好友并向其展示原告读书信息的行为,确会给原告造成精神上的负担,认定对原告造成一定损害,被告应该承担侵权责任。但是损害结果较为轻微,书面道歉形式较为适宜16。在“抖音”案中,法院也明确指出,被告未征得同意处理原告个人信息的行为构成对个人信息权益的侵害,且信息主体要求删除违法收集的个人信息的,不需以构成实际损害为前提。至于原告主张的精神损害抚慰金请求,法院认为侵权行为仅带来困扰,且没有证据证明造成严重后果,因此不予支持17。
上述司法实践表明,即使承认非物质性损害,也并非意味着每一种利益均需赔偿,而是通过相互间因果关系和所侵害规范的保护目的等综合来确定归责的边界。正如某些学者主张的,应区分事实上的损害和法律上的损害。在个案中,事实上的损害经由价值判断的过滤,走向法律上的损害,即个案中应予赔偿的损害18。而在其中充当过滤器的则是由各项价值判断构成的弹性评价体系,《民法典》第998条将动态系统论的思路应用到认定行为人承担侵害人格权的民事责任中,即应当考量行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素,法院在个案中应根据实际出现的要素数量及其强度进行综合考量后得出结论。同时,虽然风险和焦虑可能难以精确衡量,但存在可以衡量和量化的因素。法院应确定一个理性的人是否会采取预防措施,如果是,则根据此类措施的合理成本评估损害。风险的评估主要包括未来伤害的可能性和严重程度、数据敏感性和数据公开范围、是否可以通过其他措施合理地减轻风险、预防措施的合理性等。
(三)侵害个人信息权益的归责原则
个人信息侵权责任中,由于信息处理者和信息主体之间的力量悬殊及技术差异,各国都对信息处理者提出了更为严格的要求。比如欧盟GDPR第82条规定,数据处理者如果能证明其无论如何都不应对造成损害的事件负责时,才能免除第2款的责任[29]。根据我国民法典侵权责任编,过错责任是最基本的损害赔偿责任的归责原则,而过错推定责任或无过错则都必须以法律有明确规定为前提(第1165和1166条)。《个人信息保护法》第69条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。本条确立了我国个人信息侵权中的“过错推定责任”。
由于个人信息保护法是保护个人信息领域的专门立法,应优先于民法典予以适用,因此,在判断个人信息权益侵权的案件中,应适用过错推定责任。所谓过错推定,是指在损害事实发生后,基于某种客观事实或条件而推定行为人具有过错,从而减轻或免除受害人对过失的证明责任,并由被推定者证明自己没有过错[30]。从过错责任产生的历史和发展来看,多涉及高深的科学知识与专业领域,要求受害人证明被告具有过错,不仅费时,而且极其困难,转由被告来证明自己没有过错时,既能维持过错责任原则,又可以有效保护受害者。个人信息侵权中的过错推定責任与隐私权的传统过错责任原则相比,受害人无须证明信息处理者存在过错,如果信息处理者不能推翻该过错之证明,即证明自己没有过错,则需承担侵权责任。这是将原本由原告负担的证明被告具有过错的证明责任,被移转给了被告,即由被告证明自己没有过错。
结 语
人类在经历了农业社会、工业社会后,现在进入了信息社会、智能时代,个人信息保护成为人格发展中最为常见的问题,引发了世界范围内的广泛关注,各国对个人信息的保护都是公法和私法并重。从民法典到个人信息保护法,规定了个人信息主体的查询权、复制权、更正权和删除权等人格权请求权,同时规定了过错推定责任下的侵权损害赔偿请求权对个人信息权益的救济途径,搭建了多维度保护个人信息权益的体系,促进数字时代和智能时代人格的发展和社会进步。虽然本文主要聚焦个人信息处理者的民事责任,但事实上,对于个人信息处理者而言,不仅包括民事责任,还涉及行政责任和刑事责任。《个人信息保护法》专章对个人信息处理者的义务作出规范,制定个人信息保护负责人、处理个人信息的合规审计、个人信息影响评估、个人信息泄露通知制度等,协力实现保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用的立法目的。
参考文献:
[1] 王利明. 论人格权保护的全面性和方法独特性——以《民法典》人格权编为分析对象[J]. 财经法学,2020(4): 9.
[2] 叶金强. 《民法总则》“民事权利章”的得与失[J]. 中外法学,2017(3): 650.
[3] 王利明. 和而不同: 隐私权与个人信息的规则界分和适用[J]. 法学评论,2021(2): 13⁃17.
[4] 陈甦,谢鸿飞. 民法典评注 人格权编[M]. 北京: 中国法制出版社,2020: 6.
[5] 黄薇. 中华人民共和国民法典人格权编解读[M]. 北京: 中国法制出版社,2020: 18.
[6] 程啸. 论我国民法典中的人格权禁令制度[J]. 比较法研究,2021(3).
[7] 王利明. 论人格权请求权与侵权损害赔偿请求权的分离[J]. 中国法学,2019(1): 225.
[8] 吴香香. 请求权基础视角下《民法典》人格权的规范体系[J]. 中国高校社会科学,2021(4): 130.
[9] 卡爾·拉伦茨. 德国民法通论(上册)[M]. 谢怀栻,等译. 北京: 法律出版社,2004: 326⁃328.
[10] 叶名怡. 论侵权预防责任对传统侵权法的挑战[J]. 法律科学,2013(2): 124.
[11] 王利明. 我国侵权责任法的体系构建——以救济法为中心的思考[J]. 中国法学,2008(4): 10.
[12] 张红. 民法典(人格权编)一般规定的体系构建[J]. 武汉大学学报(哲学社会科学版),2020(5): 163.
[13] 王利明. 论侵害人格权的诉前禁令制度[J]. 财经法学,2019(4): 11.
[14] 张卫平. 民法典的实施与民事诉讼法的协调和对接[J]. 中外法学,2020(4): 943⁃944.
[15] 杨芳. 个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体[J]. 比较法研究,2015(6): 32.
[16] 姚佳. 论个人信息处理者的民事责任[J]. 清华法学,2021(2): 53.
[17] 申卫星. 论个人信息权的构建及其体系化[J]. 比较法研究,2015(5): 1-13.
[18] KUNER C, BYGRAVE A L, DOCKSEY C. The EU general data protection regulation: a commentary[M]. Oxford: Oxford University Press, 2020: 477.
[19] 王利明. 侵权责任法研究[M]. 北京: 中国人民大学出版社,2016: 315⁃318.
[20] 王利明,杨立新. 侵权行为法[M]. 北京: 法律出版社,1996: 55.
[21] 叶金强. 论侵权损害赔偿范围的确定[J]. 中外法学,2012(1): 168.
[22] 曾世雄. 损害赔偿法原理[M]. 北京: 中国政法大学出版社,2001: 295.
[23] 邹海林,朱广新. 民法典评注 侵权责任编(1)[M]. 北京: 中国法制出版社,2020: 194.
[24] SOLOVE J D, CITRON K D. Risk and anxiety: a theory of data-breach harms[J]. Texas Law Review, 2018(96): 758⁃759.
[25] KING J. Causation, valuation, and change in personal injury torts involving preexisting conditionals and future consequences[J]. Y. T,1981(90): 138.
[26] 王叶刚. 论侵害人格权益财产损失赔偿中的法院酌定[J]. 法学家,2021(3): 112.
[27] CITRON K D, SOLOVE J D. Privacy harm[J]. Boston University Law Review, 2022(102): 816-818.
[28] WARREN D S, BRANDEIS D L. The right to privacy[J]. HARV. L. RE V, 1890(4): 196⁃198.
[29] 程啸. 论侵害个人信息的民事责任[J]. 暨南学报,2020(2): 42.
[30] 程啸. 侵权责任法[M]. 第3版.北京: 法律出版社,2020: 119.
The Norms System of Personal Information Interest Based of Legal Claims
Zhang Lu
(School of Law, Tsinghua University, Beijing 100190, China)
Abstract: The Chinese Civil Code establishes a protection pattern that separates the claims for right of personality and compensation for infringement damages. In the normative system for protecting personal information interests, it first triggers passive defensiveness including stopping infringement, eliminating obstacles, and eliminating dangers. The various systems of personality rights are applicable to the protection of personal information rights. The Chinese Civil Code and Personal Information Protection Law construct the information subject's rights system to maintain personal information interests. When the interests of personal information are infringed and damage occurs, the right to claim compensation for infringement damages is created. This kind of damage includes property damage and non-property damage. The standard for determining the amount of property loss is in accordance with Civil Code Article 1182. Non-property damage is mainly embodied in anxiety and mental burden about possible risks at present and in the future. Under the presumption of fault liability, the civil liability for infringement of personal information rights should be determined associated with the dynamic system theory.
Keywords: personality right; personal information; right to claim personality right; compensation for damage; civil liability