久久人妻无码aⅴ毛片花絮,久久国产精品成人影院,九九精品国产亚洲av日韩,久久婷婷人人澡人人喊人人爽,妓院一钑片免看黄大片

中國人權領域唯一專業(yè)網(wǎng)站
首頁>出版物>《人權》雜志

個人信息權益侵權法保護的動態(tài)體系論

來源:《人權》2024年第1期作者:莫楊燊
字號:默認超大| 打印|

個人信息權益侵權法保護的動態(tài)體系論

莫楊燊

內容提要:大數(shù)據(jù)時代的到來給個人信息侵權救濟在損害認定、因果關系證明、違法性判斷、過錯判定以及責任承擔等方面均帶來了前所未有的挑戰(zhàn),傳統(tǒng)侵權法無法對此作出有力的回應,這嚴重有礙于數(shù)字社會的人權保障。動態(tài)體系論是介于固定構成要件和一般條款之間的第三條道路,既克服了“要件效果”模式“全有全無”式法律效果評價機制的僵硬呆滯,也避免了一般條款模式的不確定性,能夠切實提升法律系統(tǒng)應對社會變遷的靈活性。鑒此,應在動態(tài)體系論的指導之下,構建個人信息侵權的動態(tài)基礎性評價框架,依靠各個基礎評價要素的動態(tài)協(xié)動作用,實現(xiàn)對個人信息侵權的責任構成與責任承擔法律效果的彈性化評價,借此化解大數(shù)據(jù)時代的個人信息侵權危機,促進作為數(shù)字人權的個人信息權益的實現(xiàn)。

關鍵詞:個人信息 數(shù)字人權 動態(tài)體系論 侵權構成 責任承擔

一、引言

互聯(lián)網(wǎng)、大數(shù)據(jù)以及人工智能等信息網(wǎng)絡技術的運用徹底重塑了人們的生產(chǎn)方式和生活樣態(tài),有力地推動了經(jīng)濟發(fā)展和社會進步。但與此同時,信息科技的廣泛應用也使身份盜竊、算法歧視、深度偽造以及大數(shù)據(jù)殺熟等新型侵權現(xiàn)象不斷涌現(xiàn),給建構在物理世界基礎上的傳統(tǒng)人權保護機制帶來了巨大的沖擊和影響,“數(shù)字人權”理念在此背景之下應運而生并愈顯重要。數(shù)字社會之下,人們的社會關系建構、人格尊嚴維護以及個人價值實現(xiàn)均仰賴于信息、數(shù)據(jù)與代碼的描繪與表達。個人信息保護是在數(shù)字社會之中促進和實現(xiàn)自然人的人格尊嚴與人格自由、確保自然人身份建構的自主性和完整性不被大數(shù)據(jù)技術所侵蝕的關鍵之所在。準此以言,個人信息權益堪稱為數(shù)字人權范疇中具有引領性的一項新興人權。但同時,個人信息權益也是數(shù)字人權之中遭受威脅與侵害最為頻繁與嚴重的一項人權。近年來,山東徐玉玉遭受電信詐騙案等個人信息侵權案件層出疊見,引發(fā)了社會公眾對自身個人信息安全的深刻憂慮。建構完善的個人信息侵權法保護規(guī)范體系,是強化個人信息保護、維護和發(fā)展作為第四代人權的數(shù)字人權的基本要求。然而傳統(tǒng)侵權法框架在應對個人信息侵權方面顯得捉襟見肘,不敷適用之勢甚為明顯。《民法典》與《個人信息保護法》又均未對個人信息侵權的損害認定、因果關系證明、違法性判斷、非物質性損害判定等迥異于一般過錯侵權之處作出特別規(guī)定,未能構建起完善的個人信息侵權法律規(guī)制體系。以上種種致使民事主體在個人信息權益受侵害之后難以獲得救濟,阻礙了完善的民事權利保護機制的形成,也妨礙了智慧社會之中數(shù)字人權的保障與發(fā)展。有鑒于此,本文擬在深入分析大數(shù)據(jù)技術對個人信息侵權救濟的重重挑戰(zhàn)的基礎上,闡明動態(tài)體系論對于應對上述挑戰(zhàn)的指導意義,并提出運用動態(tài)體系論構建個人信息侵權動態(tài)基礎性評價框架并以之破解個人信息侵權救濟困境的具體操作步驟及方法,以期能對個人信息侵權法保護的完善有所裨益,促進以個人信息權益為引領的數(shù)字人權的實現(xiàn)。

二、大數(shù)據(jù)時代的個人信息侵權危機及方法論應對

在大數(shù)據(jù)時代的背景下,物聯(lián)網(wǎng)、云計算、人工智能等信息技術的應用深刻地改變了個人信息收集、使用、傳輸和分析的方式。個人信息收集的規(guī)模日趨龐大且方式更為隱秘,個人信息處理的速度呈指數(shù)級增長且流程愈發(fā)復雜,對個人信息的分析、挖掘在結果上具有不可預測性且在過程上具有不透明性,這給個人信息侵權救濟帶來了嚴峻挑戰(zhàn),嚴重阻礙了個人信息權益這一具有代表性和引領性的數(shù)字人權的保障與發(fā)展。

(一)大數(shù)據(jù)時代對個人信息侵權救濟形成的嚴峻挑戰(zhàn)

1. 對損害認定形成的挑戰(zhàn)。就財產(chǎn)損害而言,傳統(tǒng)侵權法理論傾向于以“差額說”判斷其是否存在,“組織說”及“規(guī)范的損害”(Normativer Schaden)理論等為消除“差額說”的弊病而興起的解釋損害觀念的學說,均不過是立足在“差額說”的基礎上對后者進行的修補,未能在根本上動搖“差額說”的統(tǒng)治地位。就非財產(chǎn)損害而言,“通說認為其唯有在法律予以特別規(guī)定的情形方可請求損害賠償”,在我國法上限于侵害自然人人身權益和因故意或者重大過失侵害自然人具有人身意義的特定物這兩種情形(《民法典》第1183條),這兩種情形對精神損害均在程度上提出了嚴重性要求。此外,無論是財產(chǎn)損害抑或非財產(chǎn)損害,理論上均要求它們是確實存在的,即已經(jīng)實際發(fā)生或者有充分的證據(jù)證明在未來即將發(fā)生,而不能是過于遙遠的、不確定的。在個人信息侵權案件中,用傳統(tǒng)的侵權法理論認定損害的存在顯得步履維艱。因為個人信息侵權中的損害通常并不是即時的、物理上的人身傷害或者物之毀損,而是個人信息遭到泄露、篡改或者丟失之后的未來風險和精神上的焦慮、恐懼。個人信息受侵害之后可能遭遇的身份盜用、算法歧視、關系控制甚至敲詐勒索等未來的風險,其是否發(fā)生以及如何發(fā)生具有無窮的可能性和高度的不確定性,能否被界定為損害在理論上和實務上均聚訟盈庭。即使可將這種未來的風險認定為損害,由于它本身所具有的無形性、潛伏性和未知性等特征,也很難以“差額說”加以評估和計算。自然人因個人信息權益受侵害而遭受的緊張、焦慮、不安等精神痛苦,通常僅與未來風險相交織,而不和物理上的人身傷害或者財產(chǎn)損失相牽連,呈現(xiàn)出純粹的主觀性、抽象性和無形性。而且,單個、零散的個人信息并不具有高度的經(jīng)濟價值,信息泄露常常只會給受害人帶來垃圾短信、騷擾電話等對私生活的輕微干擾,一般不會達到嚴重影響正常生活的程度。再加上我國法對精神損害賠償有嚴重性的程度要求,法院為避免個人信息濫訴,通常會以信息泄露的持續(xù)時間短和影響范圍小為由,斷定受害人聲稱的精神痛苦是其自身臆測的主觀感受,進而否定其主張精神損害賠償?shù)脑V訟請求。

2. 對因果關系證明形成的挑戰(zhàn)。通說認為,侵權法上的因果關系之判斷系采相當因果關系說,在判定責任成立的因果關系與責任范圍的因果關系時,均應先審究行為與權益侵害(損害)之間的條件關系,再認定該條件的相當性。在證明責任的分配上,通常由受害人負責證明條件關系的存在,再由侵權人承擔證明該條件不具有相當性的舉證責任。由于條件關系是一種自然科學意義上的事實,經(jīng)常涉及科技和證據(jù)距離等專業(yè)性問題,需要借助專業(yè)鑒定報告、經(jīng)驗法則、科學實證資料等加以綜合判斷,所以受害人在證明個人信息侵權的條件關系時通常會遭遇如下困難:某個自然人的同一個人信息可能同時被多個信息控制者通過不同的渠道進行采集。即使該自然人的某一項個人信息為某一特定的信息控制者所收集的事實是確鑿無疑的,為實現(xiàn)信息開發(fā)和利用效益的最大化,該信息控制者通常會通過數(shù)據(jù)共享(data sharing)等方式將采集到的個人信息分享給不同的平臺或者機構。當個人信息泄露、篡改或者丟失等侵權行為侵害時,信息主體常常難以證明究竟是哪一個或者哪幾個信息控制者實施了侵權行為。而且,個人信息處理涉及的環(huán)節(jié)眾多,即使可以鎖定具體的侵權行為人,后續(xù)亦難以證明是在其所實施的信息收集、存儲、加工或者傳輸?shù)拳h(huán)節(jié)中的哪一個環(huán)節(jié)發(fā)生了侵權行為,以及該侵權行為與信息主體所遭受的損害是否存在因果關聯(lián)。

3. 對違法性判斷形成的挑戰(zhàn)。違法性的功能在于界定侵權法保護的權益之范圍,以在權益維護和行為自由之間勾勒出清晰的邊界。《民法典》人格權編規(guī)定的個人信息權益,并不是侵權法視角下的絕對權,而是一項框架性權益。因此,侵害個人信息權益的行為,無法如侵害絕對權的行為一般,采用“結果不法說”來判定不法,即根據(jù)權益侵害的事實構成符合性直接征引違法性。而且,雖然個人信息的民法保護模式采用的是行為規(guī)制模式,該模式依靠《民法典》《個人信息保護法》《網(wǎng)絡安全法》等法律法規(guī),構筑起一個涵蓋個人信息收集、存儲、使用、傳輸以及銷毀等全生命流程的個人信息處理規(guī)范體系,但我們不能通過處理行為違反個人信息保護法律規(guī)范這一事實即推定該行為存在違法性。因為個人信息之上附載著信息主體的個人信息權益、信息控制者的合理使用利益以及公共利益等三重利益,體現(xiàn)著個人信息權益維護和信息自由流通兩大價值理念的對峙。為妥當?shù)貐f(xié)調上述三方利益,實現(xiàn)個人信息權益保障和信息自由流動的二元平衡,《民法典》第998條、第999條及第1036條和《個人信息保護法》第13條規(guī)定了一系列個人信息處理的合法性基礎。在判定信息處理行為是否具有違法性時,需要堅持個案考察的立場,在詳盡地考察該行為是否具備個人信息處理的合法性基礎并經(jīng)過比較復雜的法益衡量之后方能得出妥當?shù)慕Y論。以上情況使得個人信息侵權的違法性判斷尤為復雜。

4. 對過錯判定形成的挑戰(zhàn)。個人信息處理的流程復雜而且環(huán)節(jié)眾多,信息傳輸和擴散的渠道呈現(xiàn)出多元化的趨勢,自動化信息處理技術的運行也常具有不透明性和不可解釋性。這致使信息主體一般并不知曉其個人信息被處理的具體流程,也不理解相關信息處理技術的運作機理,甚至無法確定個人信息被泄露、篡改或丟失的具體環(huán)節(jié)。相反,通常作為數(shù)據(jù)企業(yè)的信息控制者較能充分掌握個人信息流轉的軌跡、個人信息處理的技術原理以及合規(guī)情況。信息控制者和信息主體之間所存在的嚴重的信息不對稱使得前者具備遠勝于后者的證明能力。為緩解個人信息侵權中過錯證明的困難,《個人信息保護法》第69條規(guī)定個人信息侵權采用過錯推定責任。但是,即使采行過錯推定責任,信息主體仍須就信息控制者具有過錯承擔一個初步的證明責任。而且,在證據(jù)偏在狀態(tài)之下,信息控制者可以用多種方式證明其采取了符合法律法規(guī)以及強制性標準的保障個人信息安全的必要措施。此時,證明責任轉移到了信息主體一方,若信息主體一方提出的反證無法達到足以模糊法官心證的程度,其仍將承受敗訴的風險。職是之故,在個人信息侵權方面采行過錯推定責任依然無法在根本上改善對受害人救濟不周的局面,難以實現(xiàn)加強保障受害人個人信息權益這一數(shù)字人權的目的。

5. 對損害賠償形成的挑戰(zhàn)。就財產(chǎn)損害賠償而言,由于個人信息的價值密度與信息總量之間成正比,單個個人信息的經(jīng)濟價值并不高,而且個人信息無形無質,不會因為被反復使用而有所磨損、消耗,因此評估信息主體因個人信息權益遭受侵害之后的實際財產(chǎn)損失較為困難。再者,數(shù)據(jù)企業(yè)通常運用大數(shù)據(jù)技術將采集、存儲的大量個人信息作為一個整體進行分析、挖掘,然后把分析、統(tǒng)計的結果用于精準廣告推送等商業(yè)用途,借此謀取商業(yè)利潤。單個、零散的個人信息產(chǎn)生的經(jīng)濟利潤無法被精確地析分出來,故而信息處理者非法使用個人信息所獲得的利益也常常無法確定。個人信息侵權的財產(chǎn)損害賠償數(shù)額一般需要法院根據(jù)實際情況酌定。就精神損害而言,個人信息被泄露、篡改或者丟失之后,信息主體往往會產(chǎn)生緊張、焦慮、恐懼等精神痛苦。這些精神痛苦通常是因擔心自己未來可能會遭受身份盜用、算法歧視或者敲詐勒索等風險而產(chǎn)生的,不依附于任何人身傷害和精神性人格權受損而存在,具有極強的主觀性和抽象性,較之一般的精神損害更難被直觀地感知,也更不易計量。就非金錢賠償而言,個人信息泄露是個人信息侵權中最普遍也最典型的一類案型,此類案型多由個人敏感信息、個人隱私信息被外泄而引發(fā),此時若判決侵權人承擔消除影響、恢復名譽、賠禮道歉等非金錢賠償責任,需要在綜合考量侵權情節(jié)、受侵害的個人信息類型等多種因素的基礎上審慎地確定責任實現(xiàn)的具體形式及實施的范圍,否則可能造成損害結果的不當擴大。

(二)動態(tài)體系論對個人信息侵權救濟的指導意義

動態(tài)體系論旨在確定在一定的法律領域內發(fā)揮作用力的要素,并通過這些要素的動態(tài)協(xié)動作用來闡釋法律規(guī)范的變遷并正當化其法律效果。動態(tài)體系論將隱藏在法律規(guī)則背后的法原理予以顯形化,賦予法官在抽象層面依靠要素的協(xié)動作用而判定法律效果之發(fā)生與否以及程度之高低的評價權限。動態(tài)協(xié)動機能的發(fā)揮以要素之間的互補性和可交換性為前置性條件,在個案中并不要求全部要素均已齊備,或者每一個要素在程度上均已得到充分實現(xiàn),而是將各要素在位階上予以編排形成所謂的價值序列,通過同質性要素之間的相互補強和異質性要素之間的相互制約,促使法律效果能夠在與要素數(shù)量和強度對應的協(xié)動作用之下得以彈性地實現(xiàn)。同時,為避免彈性評價框架賦予法官過大的自由裁量權而可能對法秩序的安定性造成戕害,動態(tài)體系論一方面限定了據(jù)以評價的要素的數(shù)量,且利用基礎評價及原則性示例確定了它們彼此之間的權重,為自由裁量權的行使劃定了邊界;另一方面將據(jù)以作為裁量基準的法原理以要素的形式予以外在化及確定化,為裁判者在個案中的論證推理提供了方向上的指引。借此,動態(tài)體系論一方面避免了固定構成要件模式的機械涵攝對多元生活事實的割裂;另一方面克服了一般條款模式的空靈寬泛對實定法拘束力的消解,實現(xiàn)了法秩序的安定性和開放性的二元衡平。有鑒于此,筆者認為,將動態(tài)體系論充分運用到個人信息侵權救濟之中,可有助于應對大數(shù)據(jù)時代對個人信息侵權救濟提出的諸多挑戰(zhàn),進而完善對自然人的個人信息權益這一數(shù)字人權的私法保障機制,理由如下。

首先,運用動態(tài)體系論可破解個人信息侵權成立判定所面臨的困境。在個人信息侵權成立判定上運用動態(tài)體系論,揭示出隱藏在法律條文背后實質性決定侵權責任構成的法原理,通過諸原理的相互協(xié)力、相互補足來彈性地判定侵權責任的成立,能夠避免要求逐一評判各個侵權構成要件的固定構成要件模式的僵化呆滯,破解個人信息侵權成立判定所面臨的困境。

其次,運用動態(tài)體系論可實現(xiàn)對個人信息侵權中非物質性損害的充分救濟。個人信息遭泄露、篡改或丟失之后可能引發(fā)的未來風險和受害人因之承受的緊張、焦慮、恐懼等精神痛苦這兩種非物質性損害是個人信息侵權中最難救濟的損害類型。非物質性損害無形無相也不可計量,無法用差額說進行估算并以完全賠償原則施加救濟。運用動態(tài)體系論可有助于構建一個彈性的、聯(lián)通責任基礎和責任效果的侵權損害賠償基礎性評價框架,打破責任基礎和責任效果之間的隔絕狀態(tài),使法官可在此框架之下綜合考量過錯、違法性、因果關系等各個責任構成要素,妥當?shù)卮_定個人信息侵權的未來風險與精神痛苦等非物質性損害的賠償范圍,進而實現(xiàn)對非物質性損害的充分救濟。

最后,運用動態(tài)體系論可為個人信息侵權案件中法官的綜合考量提供明確的指引。如前所述,個人信息侵權案件中,未來風險與精神焦慮等新型損害的認定、違法性的判斷、侵權責任具體實現(xiàn)形式及實施范圍的確定等方面均嚴重依賴法官在個案中的綜合衡量。這一方面給法官科加了極大的論證成本和思維負擔,另一方面賦予了法官廣闊的自由裁量余地,可能會造成恣意裁判。以動態(tài)體系論指導個人信息侵權案件的司法裁量,一方面限定了法官據(jù)以權衡的要素及框架,限制了自由裁量權的行使;另一方面可給予法官一定的指引,可以有效地減輕法官的論證負擔。

綜上,動態(tài)體系論對于化解大數(shù)據(jù)時代的個人信息侵權危機具有重要的指導作用,有助于強化對個人信息權益這一具有引領性的數(shù)字人權的保障。

三、個人信息侵權的動態(tài)基礎性評價框架之構建

2021年通過的《個人信息保護法》是我國首部系統(tǒng)、全面地保護自然人個人信息權益的專門性法律,堪稱維護個人數(shù)字人權的標志性法律。《個人信息保護法》第69條第1款規(guī)定在個人信息侵權上采行過錯推定責任。但是,過錯推定責任并非獨立的歸責原則,原則上仍屬于過錯責任的范疇。因此,運用動態(tài)體系論構建個人信息侵權的動態(tài)基礎性評價框架,第一步宜先明確一般過錯侵權的動態(tài)基礎性評價框架,第二步再在此基礎上根據(jù)個人信息侵權的特點予以具體化。

(一)一般過錯侵權的動態(tài)基礎性評價框架

《民法典》頒布之后,學理研究上有觀點認為,《民法典》第998條在侵害非物質性人格權民事責任認定方面運用了動態(tài)體系論,在判定非物質性人格權侵權責任是否成立時,不能根據(jù)一般的過錯侵權固定構成要件進行判斷,而是要依照該條列舉的諸多考量因素作出一種綜合的、動態(tài)的評價?!睹穹ǖ洹肥┬兄蟮乃痉ú门幸渤霈F(xiàn)了相同的見解。鑒于個人信息權益亦屬非物質性人格權的范疇,若前述論點成立,則個人信息侵權的動態(tài)基礎性評價框架應在《民法典》第998條所列舉諸要素的基礎上構建,而非在一般過錯侵權責任動態(tài)基礎性評價框架的基礎上細化而成。反對觀點則認為,《民法典》第998條是《民法典》第1165條的輔助性規(guī)定,侵害非物質性人格權是否構成侵權仍須依照一般侵權的構成要件進行判斷。筆者贊同后一觀點,理由如下。首先,《民法典》第998條僅規(guī)定了行為模式,而未規(guī)定與之相對應的法律效果,在法律規(guī)則的邏輯構成上不完整,并非是兼具構成要件與法律效果的完全法條,無法單獨作為請求權基礎使用,尚需和其他法律規(guī)范相配合方能發(fā)揮作用。其次,《民法典》第998條羅列的各個要素除過錯程度之外,均主要指向行為的違法性判斷。如果僅依靠對過錯和違法性這兩個要件的綜合考量即得出侵權與否的結論,顯然會對一般的侵權構成原理造成過大的沖擊,也不利于合理地控制侵權責任的泛化。最后,在司法實踐中,《民法典》第998條更多地被運用在責任承擔層面而不是責任構成層面,即使該條被用于責任構成的判斷上,通常也是在堅守一般過錯侵權構成要件的基礎上,作為過錯與違法性要件更為精細、更具體化的判斷標準來使用。由此可見,該條作為《民法典》第1165條輔助條款的觀點更符合實踐狀況和裁判思維。綜上,侵害包括個人信息權益在內的非物質性人格權的侵權責任是否成立,仍要根據(jù)一般過錯侵權構成加以判斷。因此,明確過錯侵權責任的動態(tài)基礎性評價框架應為構建個人信息侵權動態(tài)基礎性評價框架的基礎和前提。

我國的過錯責任一般條款在解釋論走向上應當以實現(xiàn)動態(tài)體系化為依歸,構建一般過錯侵權的動態(tài)基礎性評價框架。雖然學界歷來有觀點認為,應將過錯責任一般條款解釋為導向德國式的區(qū)分保護權利和利益的三個小一般條款的模式,但是,權利和利益在本質上是相同的,兩者相互對照、相互流動,應在侵權法上予以平等保護。摒棄對利益保護不周的德國模式,以動態(tài)體系論為方法論基礎,將侵權責任的各構成要件予以要素化,打破各要件之間相互隔絕的狀態(tài),使各個要件可以相互流動、相互補足、相互制約;與之相對應,在法律效果上“全有全無”式的“要件—效果”模式亦不再被沿用,取而代之的是“或多或少”式的彈性化評價模式,可以更妥當?shù)睾Y選出應受保護的社會生活利益,更合理地限制加害人承擔的損害賠償責任,進而使過錯侵權一般條款能夠用更柔軟的姿態(tài)應對變動不居的社會生活。

要件的要素化是動態(tài)基礎性評價框架構建的關鍵,審究一般侵權構成的四要件,其中損害要件和因果關系要件中的條件性部分均欠缺動態(tài)的性格特征,不適合作為要素。詳言之,就損害而言,侵權法上的損害兼具要件和效果雙重色彩,由事實上的損害在經(jīng)過錯、違法性及因果關系等要件從價值判斷的視角予以裁減之后所形成,因此作為被塑造對象本身的損害不可能再反作用于塑造其之諸要件。就因果關系的條件性而言,其考察的是加害行為在實際上是否對損害發(fā)生具有原因力,是否構成損害發(fā)生必不可少的條件,是較為純粹的事實性問題,摻雜的主觀判斷色彩極少。這一特性使其在成立上僅可作有或無的二元邏輯判斷,而不可作多或少的程度判斷,也使其與其他諸要件在成立判斷上呈現(xiàn)出互不干涉、互不影響的關系。綜上,可要素化的侵權構成要件經(jīng)刪減之后剩下了過錯、違法性和因果關系中的相當性部分,三者之間相互補足、相互制約的動態(tài)關系可展開闡釋如下:

過錯與違法性之間呈現(xiàn)出緊密的交融互動關系。行為人實施侵權行為時在主觀上的過錯程度會影響對行為的違法性判斷,兩者是正相關的關系,亦即過錯程度越高,行為的違法性越強。現(xiàn)代侵權法在過錯判定上采客觀化標準之后,過錯與違法性的判斷標準也經(jīng)常是一致的,甚至會有過錯吸收了違法性的論斷。

過錯與因果關系的相當性可以相互觀照、相互借鑒,彼此為各自的成立判定提供支持和補充。因為過錯概念的建構以可預見性為核心,而因果關系的相當性與過錯的可預見性均以事物的通常發(fā)展進程為參照,兩者在本質上具有相似性,經(jīng)常相互交錯,所以兩者在成立判斷上可以相互借鑒、相互補充。

違法性與因果關系的相當性展現(xiàn)出相互影響、相互制約的關系。侵害民事權益的行為所具有的違法性越強,在侵權構成上對該行為與損害之間的因果關系相當性要求便可放得越低,反之亦然。例如,分別就侵害具有蛋殼腦袋等特殊體質的受害人與侵害本身具有脆弱易碎性質物品而言,前者的違法性極強而后者的違法性較弱,在前一情形中侵權行為與損害的因果關系相當性常被承認,而在后一情形中則常遭到否定。

在確定過錯、違法性和因果關系相當性等侵權責任構成要件的可要素化的基礎上,可將其等再予以細化,分解出更為具體化的要素,藉以構筑更精細化的動態(tài)基礎性評價框架。過錯包括故意和過失,過失由重至輕又可分為重大過失、具體輕過失和抽象輕過失。從抽象輕過失到故意之間是一種延綿不絕的、持續(xù)上升的線性狀態(tài),而不是被命名為不同高度的、相互之間不存在牽連的數(shù)個點。故而,過錯可以用過錯程度這一更為精細化的要素來度量。侵害行為的違法性是通過綜合考量被侵害民事權益受法律保護的力度與侵害行為樣態(tài)的相互關聯(lián)進而推導出來的,可將違法性要件細化分解為民事權益受法律保護的力度和侵害行為的樣態(tài)(包括行為的正當性和違法性兩個相對立的面向)兩個要素。因果關系相當性的判斷基準是,侵害行為提高了損害發(fā)生的可能性,而且損害的發(fā)生符合一般事件的通常發(fā)展進程。侵害行為的危險性程度越高,對損害發(fā)生可能性的提升程度就越高,也越能抵御其他外來獨立原因的介入,侵害行為和損害結果發(fā)生之間的因果歷程越通暢和自然。因此,可將因果關系相當性要件具體化為侵害行為的危險性程度這一要素。綜上,筆者認為動態(tài)基礎性評價框架可由過錯程度、民事權益受法律保護的力度、侵害行為的正當化(違法性)程度、侵害行為的危險性程度等四個要素構成。過錯程度、民事權益受法律保護的力度、侵害行為的危險性程度以及當侵害行為的樣態(tài)展現(xiàn)為違法性面向時,諸要素在功能上是同質的,可以相互支持、相互補足,共同合力證成侵權責任的成立。當侵害行為的樣態(tài)展現(xiàn)為正當化面向時,其與其他三個要素在功能上是異質的,是相互背離、相互制約的關系,侵權責任是否成立取決于它們之間相互角力的結果。這一動態(tài)基礎性評價框架相較于傳統(tǒng)的侵權判斷模式,可以一種更靈活的姿態(tài)妥當?shù)亟缍ㄇ謾嘭熑?,進而為提高民事權利的侵權法救濟力度、完善人權的私法保障機制提供強勁的法律技術支撐。

(二)個人信息侵權的動態(tài)基礎性評價框架

在已確定一般侵權構成的動態(tài)基礎性評價框架之后,將前述評價框架依據(jù)個人信息侵權的特點進行相應的調適,可勾勒出個人信息侵權的動態(tài)基礎性評價框架(以下簡稱動態(tài)評價框架)。循此思路,可將形構動態(tài)評價框架的諸要素臚列如下:

1. 個人信息處理者的過錯程度。此要素是過錯程度在個人信息侵權領域的具體化。是否判令行為人承擔侵權責任是在對行為自由和權益保障這兩個相對峙的價值理念進行權衡之后得出的結果。行為人的主觀過錯一方面為限制其行為自由提供理據(jù),另一方面為把受害人的權益損害向其轉移提供歸責基礎。不止于此,過錯還和違法性、因果關系兩要件相勾連,與它們在功能上具有同質性,可以相互補足。在加害人的過錯程度極高時,即使加害行為的違法性較小,行為與損害的因果關系關聯(lián)性較弱,亦有可能成立侵權。因此,個人信息處理者的過錯程度越高,其蔑視受害人基于人權所享有的作為人之價值的程度或者預見并避免損害發(fā)生的可能性就更高;在倫理道德層面的可譴責性就越強,對其行為自由進行限制而令其承擔侵權責任的正當性也越充分。例如,在個人信息泄露導致信息主體遭受算法歧視、電信詐騙等下游損害的事件中,如果信息泄露是由非法出售等故意行為所引發(fā)的,則克服損害的潛伏性、因果關系的不確定性等阻礙,將損害后果歸責于致使信息泄露的信息處理者的法律可能性就越高。而若信息泄露是由于信息處理者未善盡安全保障義務,未采取充分的安全技術措施保障收集的個人信息安全等過失行為而引發(fā),則下游損害與信息處理者過失行為之間的因果關系相當性以及信息處理者行為的違法性等均比故意侵權的情形更難認定。而且,信息處理者的過失越輕微,在侵權構成上將下游損害歸責于其就越艱難。個人信息處理者的過錯程度從高到低可以分為故意、重大過失、具體輕過失和抽象輕過失等。判斷個人信息處理者的過錯等級應當在考量信息處理行為的目的及方式、信息處理者的違法記錄歷史、信息處理行為對于法律法規(guī)以及國家標準確立的行為標準的偏離程度、信息處理系統(tǒng)存在的安全漏洞數(shù)量以及總體風險大小等客觀因素的基礎上進行綜合權衡。

2. 受侵害個人信息的敏感程度。此要素是民事權益受保護程度在個人信息侵權領域的具體化。敏感個人信息相對于一般個人信息的最主要區(qū)別在于,敏感個人信息一旦泄露或者被非法使用,容易引發(fā)對自然人的歧視和不平等對待,妨害自然人的人格尊嚴,也極可能對自然人的人身、財產(chǎn)安全造成嚴重威脅,將嚴重危及自然人基本人權的實現(xiàn)。而一般個人信息在法律上要更側重于充分發(fā)揮其自由流動價值和經(jīng)濟效用。但個人信息并非可截然二分為一般個人信息和敏感個人信息,兩者之間存在著模糊地帶。況且,即使同為敏感個人信息,在敏感程度上也會存在差別。例如,在現(xiàn)代社會中,同為個人生物識別信息的指紋、虹膜、面部特征等比之聲紋、耳廓等在泄露之后更容易使自然人的人身、財產(chǎn)安全受到嚴重負面影響。因此,用程度的考量而不是類型的劃分來評測個人信息的敏感性無疑更為合理。前已述及,被侵害民事權益受保護的程度越高,越容易推導出侵權行為的違法性。而個人信息的敏感程度則與該信息應受法律保護的程度呈正相關關系。因為個人信息的敏感程度越高,其一旦泄露或被非法使用對自然人的人格尊嚴以及人身、財產(chǎn)安全可能肇致的損害后果就越嚴重,故而越是敏感的個人信息應受法律保護的程度就越高。也因此,信息處理行為侵害的個人信息敏感程度越高,該行為的違法性便越高,對于促成侵權責任成立的作用力也就越大。個人信息的敏感程度應依據(jù)以下衡量標準進行判定:一是個人信息泄露或者被非法使用可能造成的損害后果嚴重程度;二是個人信息泄露或者被非法使用導致?lián)p害發(fā)生的可能性,這一標準主要受通過該信息識別信息主體的技術難度、該信息是否存在于特殊信任關系之間、該信息被犯罪利用的可能性等三個要素影響;三是在文化觀念和社會心理中對個人信息敏感度的認知。

3. 個人信息處理行為的正當化程度。此要素是侵害行為的正當化程度在個人信息保護領域的具體化。侵害行為的正當化程度是侵害行為樣態(tài)的正面面向,可以發(fā)揮違法阻卻功能,沖抵其肇致民事權益受損而產(chǎn)生的違法性,進而起到減輕或者免除侵權責任的法律效果。例如,當侵害行為符合正當防衛(wèi)、緊急避險、自助行為等正當化事由的構成要件時,行為本身的正當性即足以消解其因侵害民事權益而附載的違法性,阻卻侵權責任的發(fā)生。侵害行為的正當化程度越高,對違法性的阻卻力度就越強。具體到個人信息侵權領域,信息處理行為的正當性也對違法性起著抵消作用。為調和信息流通和個人信息權益維護之間的矛盾,實現(xiàn)公共利益、個人信息權益和其他主體的合法利益之間的平衡,在知情同意之外另行設置諸多事由作為個人信息處理的正當性基礎已是各國個人信息保護立法的潮流。例如,在域外法上,具有代表性的歐盟《一般數(shù)據(jù)保護條例》(以下簡稱GDPR)就以其第6. 1條、第9. 2條、第23. 1條以及第89條為核心建構了基于正當利益而非個人同意的個人信息處理體系。在我國法上,《民法典》第999條、第1036條第3項以及《個人信息保護法》第13條亦對不以同意為基礎的可合理使用個人信息的情形進行了規(guī)定。非基于同意的個人信息處理行為本屬于侵害個人信息權益的侵權行為,但在構成基于正當利益而合理使用個人信息的情形時,行為本身的正當性抵消了違法性,從而阻卻了侵權責任的成立。

《民法典》第998條列舉的除過錯程度之外的行為人和受害人的職業(yè)、影響范圍,以及行為的目的、方式、后果等因素均指向行為違法性的判斷。違法與合法是一體兩面的關系,區(qū)別僅在于選取的觀察視角的不同,故而判斷行為違法性的因素也可用于行為正當性的考察。因此,評估個人信息處理行為的正當化程度時,要綜合考量信息處理者和信息主體的職業(yè),信息處理行為的影響范圍、目的、方式、后果等因素。實施信息處理行為的信息處理者的職業(yè)與國家安全、公共衛(wèi)生、新聞報道、輿論監(jiān)督等公共利益關聯(lián)性越緊密,受侵害信息主體的職業(yè)具有的公共屬性越濃厚,信息處理行為的不當影響范圍越小,信息處理行為之目的所為促進與實現(xiàn)的公共利益或者第三人合法利益的位階越高,信息處理行為的方式越是符合比例性,信息處理行為在后果上損害的個人信息權益越小而實現(xiàn)的正當利益越大,則個人信息處理行為的正當化程度越高,對于構成侵權的阻卻力度就越大。

4. 個人信息處理行為違反法規(guī)以及悖俗的程度。此要素是侵害行為的違法性程度在個人信息侵權領域的具體化。侵害行為的違法性是侵害行為樣態(tài)的負面面向。侵害行為的違法性程度與民事權益受法律保護的程度相輔相成、相互協(xié)動,共同導向違法性的證立。而侵害行為違反法規(guī)以及悖俗的程度等情況則是衡量侵害行為違法性程度更為具體化的因素。同理,個人信息處理行為的違法性程度亦可依靠信息處理行為違反法規(guī)以及悖俗的程度等更為具象化的因素進行衡量。信息處理行為違反法規(guī)的程度可從所違反法規(guī)的層級(被違反的法規(guī)是法律、行政法規(guī)還是地方政府規(guī)章),所違反法規(guī)的性質(被違反的法規(guī)是刑事法規(guī)、效力性強制性規(guī)定還是管理性強制性規(guī)定等),以及所違反法規(guī)的數(shù)量等維度進行詳細考察。至于信息處理行為的悖俗程度,因為悖俗性是一個需要價值補充的不確定性概念,同時行為悖俗性也是行為違法性的重要組成部分,因此可以根據(jù)《民法典》第998條列舉的行為人和受害人的職業(yè)、影響范圍,以及行為的目的、方式、后果等與行為違法性判斷有關的因素將行為的悖俗性予以具體化,在綜合考量這些因素的基礎上判斷信息處理行為的悖俗程度。將信息處理行為違反法規(guī)的程度和信息處理行為的悖俗程度進行綜合考量即可得知信息處理行為違法性的程度。評估而得的個人信息處理行為的違法性越強,對于個人信息侵權違法性要件的證立作用便越強,也就越容易促成個人信息侵權責任的成立。

5. 個人信息處理技術的風險度。此要素是侵害行為的危險性程度在個人信息侵權領域的具體化。個人信息處理技術的風險度是衡量個人信息處理者在組織建設、制度流程、技術工具以及人員能力等方面對于個人信息安全保障水平高低的指標。個人信息處理技術的風險度越高,意味著個人信息因此遭受非法侵害的可能性便越高,信息處理者所實施的信息處理行為與損害結果之間的聯(lián)結對可能中斷因果關系的外來介入因素的抗干涉能力也越高,損害的發(fā)生亦因此愈發(fā)契合事物發(fā)展的通常進程,進而使得信息處理行為與個人信息侵權損害之間的因果關系相當性程度尤為明顯,也就越容易促成侵權責任的構成。個人信息處理技術的風險維度由組織建設、制度流程、技術工具和人員能力等四個方面構成。組織建設關注的是,信息處理者內部關于信息安全的職能分工、人員安排和運行協(xié)調的科學性、有效性;制度流程注重的是,信息處理者制定并實施的內部安全管理制度和操作規(guī)程的規(guī)范性、明確性和有效性;技術工具聚焦的是,信息處理者采用的技術措施對于防范個人信息在全生命周期所可能面臨的被篡改、泄露、丟失等風險的能力;人員能力強調的是,信息處理者內部負責信息安全的人員具備的安全意識和專業(yè)技能等素質。對前述四項指標進行綜合考量可評估出個人信息處理技術的風險度?!缎畔踩夹g——數(shù)據(jù)安全能力成熟度模型》(GB/T 37988—2019)、《信息安全技術——網(wǎng)絡安全等級保護定級指南》(GB/T 22240—2020)等國家標準可以作為評估個人信息處理技術的風險度的重要參考。

以上諸要素在數(shù)量、強度以及彼此組合的形式等方面相互協(xié)動,可以實現(xiàn)對個人信息侵權成立判定的彈性化評價。不止如此,動態(tài)評價框架還能夠實現(xiàn)對完全賠償原則“要么全賠,要么不賠”式的法律效果評價機制的超越,擊破橫亙在責任基礎和責任效果之間的重重阻隔,使影響個人信息侵權責任構成的諸要素也順暢無礙地作用于個人信息侵權責任效果的評價之上,進而充分調和法的安定性和個案妥當性之間的緊張關系,使侵權法以更為柔軟的姿態(tài)面對變動不居的社會生活在個人信息保護上提出的紛繁復雜的挑戰(zhàn),充分提高對個人信息權益這一重要的數(shù)字人權的保護水平。

四、個人信息侵權的動態(tài)基礎性評價框架之運用

個人信息侵權的動態(tài)基礎性評價框架兼顧法的安定性與個案靈活性,將其應用到司法實踐中,可有效地破解個人信息侵權案件面臨的諸多困境,同時可以為其他數(shù)字人權私法保障機制的完善提供有益借鑒。

(一)在個人信息侵權責任構成方面的運用

在動態(tài)評價框架之內判斷個人信息侵權責任的成立,并非是要逐一地對各個要素的滿足度作機械的“全有全無”式的判斷,也并非要求在各要素均被充分滿足時方能認定侵權責任的發(fā)生。鑒于各要素之間具有可交換性、可互補性或者相互限制性,應在綜合考量各要素的數(shù)量、強度及其相互作用的基礎上,依據(jù)各要素發(fā)揮之協(xié)動作用建構的整體圖景,靈活地判定個人信息侵權責任的成立與否。在需要損害、因果關系、違法性以及過錯等四個要件均滿足,方能成立侵權責任的固定構成要件模式之下,個人信息侵權在責任構成方面面臨的認定無形損害、破解因果關系不確定性難題、簡化違法性判斷以及化解過錯判定的信息不對稱鴻溝等難題,在動態(tài)基礎性評價框架之中,依靠諸要素相互促進、相互補足的動態(tài)協(xié)動作用,可得到消解。舉例而言,針對個人信息侵權中的因果關系不確定性難題,憑借既有的專業(yè)水平、技術能力及經(jīng)驗法則,極難肯認也無法徹底否定因果關系的存在,在固定構成要件模式之下,當因果關系的存在處于真?zhèn)尾幻鳡顟B(tài)時,承擔舉證責任的受害人要承擔證明責任風險,因果關系要件視為不滿足,侵權責任無法成立;而在動態(tài)基礎性評價框架下,因果關系要件被轉化為信息處理技術的風險度這一要素,對此要素僅作程度上多或少的考量,而不作滿足與否的二元邏輯判斷。雖然現(xiàn)有證據(jù)無法證明信息處理技術風險度的高低,或者僅能證明信息處理技術的風險度較低,但若案件事實表明信息處理者存在重大過錯,受侵害個人信息的敏感程度與信息處理者的行為違反法規(guī)以及悖俗的程度均較高,則綜合衡量之下仍可以認定侵權責任的成立,反之亦然。例如,在“林某某與四川航空股份有限公司侵權責任糾紛案”中,林某某未能開示證據(jù)指出四川航空公司的信息系統(tǒng)存在重大安全漏洞,進而證明四川航空所使用的信息處理技術具有較高的風險性,但既有證據(jù)可以證明該航空公司未盡到保障個人信息安全的法定義務,在泄露事件發(fā)生之后也未積極采取補救措施,且林某某因個人信息泄露遭受了經(jīng)濟損失,由此可以知曉四川航空的過錯程度、違反法規(guī)及悖俗的程度,還有受侵害個人信息的敏感程度均較高。綜合權衡之下,這三個要素的飽滿度可以彌補信息處理技術風險性這一要素的不充足,推定四川航空使用的信息處理技術風險性也較高,進而證成侵權責任的成立。

信息處理者的過錯程度、受侵害個人信息的敏感程度、信息處理行為違反法規(guī)以及悖俗的程度以及信息處理技術的風險度等要素在功能上具有同質性,可以相互補足、相互支持,共同推動個人信息侵權責任的發(fā)生。即使其中某一或某些要素的滿足度比較低,只要其他要素的滿足度足夠高,也就可以彌補弱勢要素的不足,促使經(jīng)過綜合權衡之后得出的各要素的總體權重仍等于或者高于足以決定侵權法律效果發(fā)生的標準值,進而證成個人信息侵權責任的成立。以上諸要素的協(xié)動關系具體表現(xiàn)如下:

其一,信息處理行為違反法規(guī)以及悖俗的程度和受侵害個人信息的敏感程度呈現(xiàn)出相互支撐的態(tài)勢,兩者相輔相成、相得益彰,共同造就信息處理行為的違法性,且對個人信息侵權的成立起促進作用。例如,在“樊某某與曾某某隱私權糾紛案”中,作為業(yè)主委員會主任的曾某某,在小區(qū)業(yè)主微信群中公布樊某某起訴小區(qū)業(yè)委會的民事起訴狀時,未注意對樊某某的姓名、家庭住址、身份證號等個人信息作匿名化處理,造成了后者的個人信息泄露。曾某某的行為雖是為了保障小區(qū)業(yè)主的知情權,行為目的具有一定的正當性,在主觀上不存在重大過錯,且公布的范圍也僅限于業(yè)主群內,公開的人群范圍有限,但由于其披露的是樊某某的身份證號、家庭住址等敏感程度極高的個人信息,且已經(jīng)造成其他業(yè)主根據(jù)披露的信息進一步搜索到樊某某的工作單位、任職情況等關聯(lián)信息的不當后果,因此法院在綜合權衡之下仍認定曾某某的行為構成侵權。在此案中,曾某某處理樊某某個人信息的行為違反法規(guī)以及悖俗的程度較低,然而其侵害的個人信息敏感程度比較高,后者彌補了前者的不足,促成了違法性要件的滿足,致使侵權責任成立。

其二,信息處理者的過錯程度與信息處理行為違反法規(guī)以及悖俗的程度具有規(guī)范評價上的同質性,兩者呈現(xiàn)出共進退之勢,一者的滿足度較高往往意味著另一者也較為飽滿,反之亦然。例如,在“付某某與北京三快信息科技有限公司等網(wǎng)絡侵權責任糾紛案”中,被告三快科技公司違反了《網(wǎng)絡安全法》第21條及第42條等強制性規(guī)定,未能采取必要技術措施確保其收集的個人信息的安全,法院便據(jù)此認為三快科技公司在履行保護信息安全義務方面存在過失。與之形成鮮明對比的是,在“楊某某、崔某某等與津燃華潤燃氣有限公司隱私權糾紛案”中,被告將載有原告?zhèn)€人信息的法律文書僅在民事訴訟中作為證據(jù)使用,且未肆意擴散,該使用行為是不帶有違反法規(guī)、悖離公序良俗色彩的正當行為,法院亦因此認為被告不具有主觀過錯。這充分印證了信息處理者的過錯程度與信息處理行為的違法性程度在規(guī)范評價上的同質性。

其三,信息處理者的過錯程度與信息處理技術的風險度具有互補性,可以互相彌補對方的不足,共同推動侵權責任的發(fā)生。信息處理技術的風險度與信息處理者是否在信息的收集、存儲、傳輸、使用及銷毀等個人信息全生命周期善盡安全保障義務緊密相關,而信息處理者的過錯認定也以其是否違反信息安全保障義務以及違反幅度為重要判斷依據(jù),故而信息處理技術的風險度與信息處理者的過錯程度亦有同頻共振般的牽連性。例如,在“申某與上海攜程商務有限公司、支付寶(中國)網(wǎng)絡技術有限公司等侵權責任糾紛案”中,法院正是根據(jù)攜程公司無法證明其內部員工授權進行訪問涉案訂單的人員范圍、訪問敏感信息的授權記錄、監(jiān)控情況、操作記錄、內外部傳輸審批情況,且在媒體報道了大量機票退改簽詐騙案之后,對于訂單信息的保護反而從2014年的二級加密保護降低為20198年的一級不加密傳輸?shù)刃畔⑻幚砑夹g的風險度較高的事實,推斷攜程公司在信息安全管理上存在漏洞,未能善盡對申瑾個人信息應承擔的安全保障義務,進而認定攜程公司主觀上存在過錯。

其四,信息處理行為的違規(guī)、悖俗程度極高時通??蓳?jù)此推斷信息處理技術的風險度相對較高。例如,在“龐某某與東航、趣拿公司個人信息泄露糾紛案”中,東航與趣拿公司在案涉事件發(fā)生前后被多家媒體質疑存在個人信息泄露的情況,還被國家民航局發(fā)文要求將亞安全模式提升為安全模式,卻仍不采取防范措施彌補在信息安全管理方面存在的漏洞,其行為顯然違反了《民法典》第1038條第2款、《個人信息保護法》第51條以及《網(wǎng)絡安全法》第21條等法律法規(guī),違反法規(guī)的數(shù)量多、層級高,違法程度較強。法院正是在此基礎上確認東航與趣拿公司的信息處理技術的風險度較高,在信息安全管理上存在漏洞,仍有較大提升空間,進而推定東航與趣拿公司的信息處理行為具有泄露龐某某個人信息的高度可能,并最終判決其承擔侵權責任。

信息處理行為的正當化程度與其他要素在功能上是異質的,體現(xiàn)為相互背離、相互限制的關系。若信息處理行為的正當化程度在強度上可以勝過其他諸要素的合力,則可導向阻卻侵權責任發(fā)生的法律效果;反之,則產(chǎn)生侵權責任成立的法律效果。例如,在“王某、簡陽市國有資產(chǎn)監(jiān)督管理和金融工作局隱私權糾紛案”中,法院就認為,被告雖然查詢調取了原告的病歷資料這一極具敏感性的個人私密信息,并將原告的病例資料移交給了其用人單位,但由于被告的行為是在行使其作為國家機關的職權,且原告的用人單位也享有知悉其病情的合法權利,所以被告的行為不構成侵權。前述情形之所以不構成侵權,是因為信息處理行為構成了基于正當利益的合理使用,行為本身的正當性抵消了違法性;而不是如部分裁判觀點所認為的,基于正當事由而實施信息處理行為的被訴侵權人在主觀上不具有過錯。正當利益的范圍包括公共利益和信息主體的其他重大利益。例如,在“施某某、張某某、桂某某訴徐某某肖像權、名譽權、隱私權糾紛案”中,法院認為,徐錦堯披露施某某個人信息的行為是為了揭露施某某可能被虐待的犯罪事實,符合社會公共利益原則和兒童利益最大化原則,不構成侵權。在此就認可了基于公共利益與信息主體其他重要利益的個人信息合理使用。信息處理者或者第三方主體的合法利益(商業(yè)利益也涵蓋在內)亦屬于正當利益的范疇。例如,在“歐陽某與張某某隱私權糾紛案”中,法院就以原告的行為構成基于維護自身合法利益而對被告?zhèn)€人信息的合理使用為由,免除了被告的侵權責任。因為在此案中,雖然被告未取得原告的同意就在其出租給原告的房屋門口張貼了載有原告姓名、身份證號等個人信息的公告,侵害了原告的個人信息權益,但原告實施該行為的目的是明確租賃合同解除的相關事宜,且之前其曾通過自行協(xié)商等方式解決房屋騰退等后續(xù)問題而未果,完全符合比例原則的要求。又如,在“凌某某訴北京微播視界科技有限公司隱私權、個人信息權益網(wǎng)絡侵權責任糾紛案”中,法院認為,被告作為抖音APP的運營者,雖然存在未經(jīng)原告同意即讀取其姓名、電話號碼等個人信息并借此向其推薦、匹配好友的行為,但原告的行為乃是推動抖音APP滿足用戶建立社交關系的需求所必須的,構成自身為追求提供優(yōu)質的社交服務進而提高企業(yè)競爭力的商業(yè)利益而對個人信息的合理使用。在此案中,法院認可了個人信息的合理使用也可基于實現(xiàn)商業(yè)利益的目的。

(二)在個人信息侵權責任承擔方面的運用

動態(tài)評價框架可以打破責任基礎和責任效果之間的相互隔絕狀態(tài),使責任基礎的充足程度能夠充分作用到責任效果的評價之上,不僅為個人信息侵權案件中對責任效果的綜合考量提供了確定性指引,也讓責任效果安排可以更為契合個案情境,從而促進自然人基于數(shù)字人權所享有的個人信息權益的實現(xiàn)。

1. 在損害賠償范圍確定中的運用

自然人因個人信息權益被侵害所遭受的事實上的損害,無論是自然意義上的財產(chǎn)損害抑或精神損害(又稱非物質損害),并非均可被評價為法律上可賠償?shù)膿p害,而是要經(jīng)過動態(tài)評價框架這一價值體系的過濾,裁剪部分經(jīng)價值判斷和利益取舍之后認為不應予以賠償?shù)膿p害,方能最終確定應予賠償?shù)姆缮蠐p害之范圍。具言之,要綜合權衡信息處理者的過錯程度等構筑動態(tài)評價框架的諸要素各自的飽滿程度及它們之間相互補足、相互限制的協(xié)動關系,并在此基礎上厘定個人信息侵權的責任基礎的量度,進而根據(jù)責任基礎的飽滿度來調節(jié)應予賠償?shù)膿p害范圍。借此,可實現(xiàn)個人信息侵權的責任基礎與責任效果在邏輯構成和價值評判層面的一致性,更充分地救濟個人信息權益。對于個人信息侵權中的財產(chǎn)損害賠償和精神損害賠償問題,本文運用動態(tài)評價框架提出解決思路如下:

在個人信息侵權財產(chǎn)損害賠償?shù)那樾沃校饕媾R兩個難題:一是如何確定風險性損害是否應當賠償以及賠償范圍的大小,二是酌定賠償?shù)姆秶鷳斎绾魏侠淼卮_定。就風險性損害而言,雖然其具有無形性、抽象性、難以估測也不可計量等特點,不符合傳統(tǒng)損害觀念對損害提出的具體性、真實性的要求,亦無法使用“差額說”加以度量,但為了充分震懾和預防個人信息侵權事件的發(fā)生,合理地分配大數(shù)據(jù)技術肇致的風險,變革傳統(tǒng)的損害觀念,適當降低損害的確定性要求,將具有客觀合理可能性的個人信息侵權風險承認為損害,業(yè)已成為學界的共識。其中疑難也是分歧重重之處在于,以何種標準確定個人信息侵權中風險性損害的存在及賠償數(shù)額。本文認為,這可以在動態(tài)評價框架之下獲致圓滿的解決,即在評價信息處理者的過錯程度、受侵害個人信息的敏感程度等諸要素動態(tài)協(xié)動作用的基礎上,確定風險性損害是否應賠償以及損害賠償?shù)臄?shù)額多少。首先,動態(tài)評價框架聯(lián)通了個人信息侵權的責任基礎和責任效果,通過責任基礎的量度來決定責任效果的發(fā)生與否及其幅度。風險性損害的可賠償性及賠償范圍的大小屬于責任承擔層面的問題,將其納入動態(tài)評價框架的涵攝范圍加以調整,是制度邏輯的必然要求。其次,學界觀點基本認為,認定風險性損害要采用甄選出若干關鍵性因素進行綜合評價的思路,但篩選出的要素不盡相同。有觀點認為,應考量個人信息的類型、信息處理的方式和目的、信息誤用的跡象等因素;有觀點認為,應抽取的因素是個人信息的類別、個人信息的暴露程度及泄露范圍、預防措施的合理性和有效性等;還有觀點認為,應綜合評價被侵害的個人信息類型、風險發(fā)生的蓋然性以及風險可能導致的危害及其影響范圍等因素。動態(tài)評價框架列舉的諸要素在內涵上基本可以將前述因素囊括在內,而且在表達上顯得更為精細化和具體化。再次,相對于學界既有的以場景化為導向、在對抽取的各個關鍵性因素進行綜合評價的基礎上認定風險性損害的思路,運用動態(tài)評價框架認定風險性損害的路徑,有動態(tài)體系論作為方法論指導,更具有可預見性和可操作性。最后,風險性損害具有潛伏性、不可預測性,受害人難以提出一個精確的損害賠償數(shù)額并提供證據(jù)加以證明,由法院在個案情境中運用動態(tài)評價框架加以酌定最為適宜。因此,動態(tài)評價框架也應當作為認定風險性損害具體賠償數(shù)額的標準使用。這也使得認定風險性損害是否存在的標準,與判定損害賠償數(shù)額的標準相一致,有利于邏輯上的融洽和體系上的和諧。就酌定賠償?shù)姆秶鷳斎绾魏侠淼卮_定這個問題而言,動態(tài)評價框架為法官進行酌定賠償提供了應予考量的要素和開展綜合考量的具體指引,是合理確定酌定賠償數(shù)額的有力技術工具,應運用動態(tài)評價框架來合理地確定酌定賠償?shù)姆秶?/p>

針對個人信息侵權精神損害賠償?shù)那樾?,根?jù)《民法典》第1183條的規(guī)定,精神損害必須具備“嚴重”要件方能獲得賠償。如前所述,“嚴重”要件的存在業(yè)已成為導致信息主體要求精神損害賠償?shù)脑V訟請求遭到法院否定的主要原因。與之相反,在比較法上,寬泛地解釋個人信息侵權中的損害,緩和精神損害的嚴重性要件,進而降低精神損害賠償?shù)拈T檻已經(jīng)成為趨勢與潮流。例如,GDPR第82條第1款和德國《聯(lián)邦數(shù)據(jù)保護法》(2018年版)第83條第2款均未要求個人信息侵權中的精神損害須達到嚴重程度方可獲得賠償。在我國學界,主張不拘泥于精神損害的“嚴重性”程度,而是秉持更彈性、靈活的立場在個案情境中評估精神損害的合理性的觀點也漸趨主流。有鑒于此,同時也是為了順應強化對數(shù)字人權保障的時代精神和現(xiàn)實需要,筆者認為,應當取消“嚴重”要件,個人信息侵權中的精神損害是否應予賠償以及賠償?shù)姆秶蓮叫羞\用動態(tài)評價框架加以確定。《最高人民法院關于審理國家賠償案件確定精神損害賠償責任適用法律若干問題的解釋》(以下簡稱《精神損害賠償解釋》)第5條列舉了確定精神損害賠償數(shù)額應當考慮的相關因素,該條列舉的“侵權人的過錯程度”因素顯然已為動態(tài)評價框架所囊括,而“侵權行為的目的、方式、場合等具體情節(jié)”以及“侵權行為所造成的后果”這兩個因素一如前述,是判斷行為反秩序性程度的重要評價對象,可在考量信息處理行為的反秩序程度時加以斟酌。“侵權人的獲利情況”“侵權人承擔責任的經(jīng)濟能力”“受理訴訟法院所在地的平均生活水平”等三個因素無法為動態(tài)評價框架所涵蓋,可作為依動態(tài)評價框架初步確定精神損害賠償范圍之后,進一步調節(jié)損害賠償額的額外因素進行考慮。借此可協(xié)調動態(tài)評價框架與《精神損害賠償解釋》第5條的關系,使兩者不至于發(fā)生沖突。

2. 在判斷非金錢賠償相當性中的運用

個人信息權益以人格利益為主要保護對象,法律保護個人信息的目的在于確保自然人對其個人信息的自主支配和利用,維護其人格尊嚴與人格自由。當個人信息權益受到侵害之時,通常會妨礙個人對其人格畫像的自主建構,引發(fā)對個人的歧視及不平等待遇,干擾個人的私人生活安寧,這些都會嚴重損害個人的人格尊嚴和人格自由發(fā)展,損及其作為人所應享有的自主性和獨立性。為撫平受侵害信息主體的精神創(chuàng)傷,恢復他們的尊嚴,消弭他們內心的憤懣、仇恨心理,消除影響、恢復名譽、賠禮道歉等非金錢賠償責任在個人信息侵權案件中經(jīng)常得到適用,其中尤以賠禮道歉適用得最為廣泛?!睹穹ǖ洹返?000條第1款規(guī)定,判決侵權行為人承擔賠禮道歉、消除影響、恢復名譽等侵權責任的,應當與侵權行為的具體方式和造成的影響范圍相當。對此,不應狹隘地理解為,非金錢賠償在具體實現(xiàn)上僅受侵權行為的具體方式和造成的影響范圍的作用,而應認為關涉侵權責任構成的諸要素均可對非金錢賠償?shù)倪m用產(chǎn)生影響。換言之,動態(tài)評價框架所提倡的責任基礎之于責任效果的作用力,也充分存在于對非金錢賠償相當性的判斷之中。在判決信息處理者承擔賠禮道歉、消除影響、恢復名譽等非金錢賠償責任時,需要綜合考量信息處理者的過錯程度等構筑動態(tài)評價框架的諸要素,令非金錢賠償?shù)木唧w實現(xiàn)形式和作用范圍等責任效果與個人信息侵權的責任基礎相聯(lián)動,使得兩者具備相當性。以賠禮道歉為例,個人信息侵權中賠禮道歉責任的具體實現(xiàn)方式、實施范圍以及持續(xù)時間等通常需要在綜合考量信息處理者的過錯程度、受侵害個人信息的敏感程度、信息處理行為的正當化程度、信息處理行為的違法及悖俗程度等要素的基礎上判定,借此實現(xiàn)責任基礎和責任效果的相當。例如,在“李某某與陳某某等隱私權糾紛案”中,被告是因疏忽大意泄露了原告的財產(chǎn)信息,且當庭對原告進行了道歉,法院因此不再支持原告要求被告在省級以上報刊登報道歉的訴訟請求。再如,在“廣東格蘭仕集團有限公司與鐘某隱私權糾紛案”中,鑒于格蘭仕公司獲取鐘某的電子郵箱賬號是為了履行發(fā)放電子延保卡的義務,該行為具有一定的正當性,且該行為對鐘某并未造成較大的影響,故而法院未支持鐘某要求格蘭仕公司在其官網(wǎng)上公示七日書面賠禮道歉內容的訴訟請求,認為格蘭仕公司書面道歉即可。值得注意的是,若受侵害的個人信息敏感程度、私密程度較高,為防止遭泄露的個人信息進一步擴散,不當?shù)財U大侵權影響,有時需要降低賠禮道歉本應有的規(guī)格,縮小其本應實施的范圍,方能實現(xiàn)相當性。例如,在“何某、南浦海濱花園業(yè)主委員會等隱私權糾紛案”中,鑒于業(yè)主委員會發(fā)布的材料中包含有何某不愿公開的個人信息,法院認為業(yè)主委員會向何某道歉不適合采取何某所主張的在小區(qū)公告欄張貼賠禮公告、在微信群及微信公眾號道歉的形式,而應以書面形式向何某賠禮道歉。綜上,通過用動態(tài)評價框架對具有開放性評價結構的“相當性”這一不確定法律概念進行價值填補作業(yè),動態(tài)評價框架在非金錢賠償責任的承擔上也得到了有力的運用。

五、結語

信息技術的高速發(fā)展與廣泛應用深刻地改變了人們的生活現(xiàn)狀與社會的運行機制,也肇致了巨大的個人信息安全風險,給旨在填補損害和防免風險現(xiàn)實化的侵權法形成了前所未有的挑戰(zhàn)。身處一個信息化、智能化、網(wǎng)絡化的時代,“個人信息受保護”是我們自主地塑造“他人眼中的自己”、維護自身人格尊嚴與人格自由的基本權利訴求,是保障以數(shù)據(jù)信息作為表現(xiàn)形式和價值根基的數(shù)字人權的關鍵。因此,在傳統(tǒng)的侵權法框架無法有力地回應信息化場景之下發(fā)生的新型侵權行為的情況下,基于“個人信息受保護”這一法律理念和價值判斷的要求,我們有必要改進與革新侵權法的理論體系與制度架構,以化解大數(shù)據(jù)時代帶來的個人信息侵權法律難題,為消解數(shù)據(jù)技術對自然人數(shù)字化人格的威脅,推動數(shù)字人權的形成與發(fā)展提供制度支撐。動態(tài)體系論是介于固定構成要件和一般條款之間的第三條道路,既克服了“要件效果”模式“全有全無”式法律效果評價機制的僵硬呆滯,也避免了一般條款模式的不確定性,能夠切實提升法律體系的彈性,使之以更靈活的姿態(tài)應對社會變遷。因此,在既有的侵權法框架內引入動態(tài)體系論可以為應對大數(shù)據(jù)時代的個人信息侵權危機提供妥當?shù)姆椒ㄕ撀窂?。在動態(tài)體系論的指導之下,構建個人信息侵權的動態(tài)評價框架,依靠個人信息處理者的過錯程度、個人信息處理行為的正當化程度、個人信息處理行為的違規(guī)及悖俗程度、受侵害個人信息的敏感程度以及個人信息處理技術的風險度等諸要素的動態(tài)協(xié)動作用,可實現(xiàn)對個人信息侵權責任構成與責任承擔的法律效果的彈性化評價,為處理個人信息侵權問題提供圓滿的法律解決方案。同時,這也可以為除個人信息權益之外的其他數(shù)字人權私法保護機制的完善提供有益借鑒。

(莫楊燊,中國政法大學民商經(jīng)濟法學院博士研究生。)

【本文為2022年中國法學會民法學研究會青年學者研究項目“《民法典》非物質性人格權侵權責任認定中動態(tài)體系論的運用”(項目批準號:2022MFXH006)的階段性成果?!?/p>

Abstract:The advent of the big data era presents unprecedented challenges to remedies for personal information infringement in areas such as damage assessment,proof of causation,determination of illegality,fault assessment,and liability. Traditional tort law is unable to provide a robust response to these challenges,which severely hinders human rights protection in the digital society. Dynamic system theory represents a third path between fixed constitutive elements and general clauses.It overcomes the rigidity of the“all-or-nothing”legal effect evaluation mechanism of the“element-based effect”model and avoids the uncertainty of the general clause model. It can effectively enhance the flexibility of the legal system in responding to social changes.In light of this,it is necessary to construct a dynamic foundational evaluation framework for personal information infringement under the guidance of dynamic system theory. By relying on the dynamic interplay effect of various foundational evaluation elements,this framework can achieve a flexible evaluation of the constitutive elements of liability and the legal effects of liability for personal information infringement. Through this approach,the crisis of personal information infringement in the era of big data can be mitigated,and the realization of personal information rights as digital human rights can be promoted.

Keywords:Personal Information;Digital Human Rights;Dynamic System Theory;Constitutive Elements of Torts;Liability

(責任編輯 曹 煒)