陈祥玲 湘潭大学知识产权学院博士研究生
内容摘要: 探究个人数据泄露损害赔偿,对保障个人数据主体的利益,推动数据安全和数据自由流动具有重要意义。我国个人数据保护政策制定历经 1.0、2.0、3.0 时代,然未对个人数据损害赔偿计算具体化。通过实证解析个人数据泄露案件,发现个人数据泄露损害赔偿案件中数据泄露的类型广、举证和损失额认定难,隐私政策合同属性立法与实务矛盾,侵权精神损害赔偿争议大。从域外来看,美国对隐私“损害”标准未统一,有“实际损害说”“风险焦虑说”,但是其司法实践中承认个人数据泄露的违约责任与不当得利请求。德国、法国、日本均承认非财产损失。就中国而言,个人数据损害应从数据处理者与数据主体双重模式进行考量,规定数据泄露赔偿最低额度,构建数据损害赔偿基金制度,以完善个人数据保护制度。
引言
随着技术的进步,数据泄露事件频繁发生,如美国德克萨斯大学 MD 安德森癌症中心泄露超过 33500 人健康信数据;美国 Equifax 信用中心泄露了大约 1.45 亿消费者个人数据。据 2021 年 IBM Security 的统计,数据泄露事件的平均成本高达 424 美元,个人数据如姓名、电子邮件、密码是数据泄露事件中最常见的被泄露的信息,44% 的泄露事件均系此类数据,这些因素的叠加会导致螺旋效应。同时随着数据跨境流动,本土数据规则各国规定并不统一。在我国赴美上市的企业有很多因不符合美国关于隐私权规定而面临隐私侵权集体诉讼。如 2021 年 2 月 26 日美国伊利诺伊州地区法院发布“关于初步批准 TikTok 隐私权问题的集体诉讼和解的动议”,TikTok 同意支付 9200 万美元和解金,以解决自 2019 年以来美国用户针对 TikTok 侵犯隐私的 21 项指控,包括非法渗透用户设备、采集个人生物特征数据、地理轨迹数据等。
数据保护逐渐受到各国(地区)重视。欧盟将个人数据视为一项基本权利进行保障,于 2018 年 5 月 25 日在欧盟境内正式施行一般数据保护规则。随后世界其他国家或地区相继制定数据保护法律,如印度个人数据保护法、巴西通用数据保护法、美国加利福尼亚州、佛罗里达州、华盛顿州隐私权法等。2020 年 3 月 30 日,在《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》中明确提出要“加强数据资源整合和安全保护...... 加强对政务数据、企业商业秘密和个人数据的保护”。2021 年 8 月 10 日北京金融法院出台《关于北京“两区”建设中金融领域改革创新提供司法服务和保障的若干举措》,提出加强对数字货币、网络虚拟财产、数据等新型权益的保护。我国民法典也对数据权利进行了规定。目前,我国对个人信息保护的研究成果已较为丰富,但对个人数据泄露损害赔偿方面研究还较少,本文尝试从实证与比较法的角度,从政策、案例出发,并结合其他国家(地区)数据损害民事赔偿制度,以完善我国个人数据保护。
一、个人数据泄露损害赔偿历史考察与分析
(一)个人数据泄露损害赔偿 1.0 时代
信息和数据概念与内涵虽然有差别,但是在数字化技术时代中,两者具有高度的共生性和共通性,在法律概念和使用上并无严格区分的必要。个人数据的外延包括了已识别或可识别的个人相关的所有信息。因此在本文对于个人隐私与个人信息均称之为个人数据。在民法典颁布之前,我国民法通则、民法总则中均未规定数据权益,审判实践中系以隐私权纠纷案由对个人数据的泄露损害赔偿进行审理。依据原侵权责任法规定民事权益包括生命权、名誉权、隐私权等人身和财产权益。隐私权是重要的人格利益,侵害隐私权的后果则表现为被侵害人的私人生活安宁和私人信息秘密被他人侵扰、知悉。被侵权人有权请求侵权人承担侵权责任。故在实践中对于侵害隐私权的案件适用原侵权责任法规定进行赔偿,主要考量侵权行为、因果关系、过错程度、损害后果而裁判数据泄露者是否承担损害赔偿责任。
《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第 8 条第 2 款规定了精神损害赔偿,因侵权致人精神损害,造成严重后果的,可以根据受害人的请求判令其赔偿相应的精神损害抚慰金。同时在《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第 18 条规定被侵权人为制止侵权行为所支付的合理开支系财产损失。因此对于个人数据泄露的精神损害赔偿和合理开支均由司法解释予以规定。关于合理开支的范围并未明确,但是在我国著作权法、商标法、专利法中均规定了人民法院根据当事人的诉讼请求和案件具体情况,可以将符合国家有关部门规定的律师费用计算在赔偿范围内。2016 年《最高人民法院关于进一步推进案件繁简分流优化司法资源配置的若干意见》第 22 条也规定了人民法院可以根据具体情况对无过错方依法提出的赔偿合理的律师费用等正当要求予以支持。综上所述,在民法典颁布之前,我国对于个人数据泄露的损害赔偿纠纷,赔偿金额主要由精神损害赔偿和合理开支,但是随着欧盟通用数据保护条例的修订,各国(地区)对本土数据主权保护意识加强,数据立法升温。
(二)个人数据泄露 2.0 时代
2021 年 1 月 1 日实行的民法典第 111 条规定了个人信息受法律保护,第 127 条明确数据保护法律另有规定的,依照其规定。因此民法典对信息与数据保护系二分法立法规定,且对于数据的立法属于开放式立法模式,为我国数据权属的确立保留了立法空间。同日修改后实行的《民事案件案由规定》中,在人格权编增加了个人信息保护纠纷案由,与隐私权纠纷案由区分开。从民法典的规定来看,个人信息分为私密数据和非私密数据,而 2020 年 10 月 1 日生效的《个人信息安全规范》对个人数据分为一般个人数据和个人敏感数据。由此可知,对于一般个人数据、个人敏感数据、私密数据的界定易混淆。个人敏感数据更强调不当利用给信息主体带来的客观风险,该风险包括人身、财产风险;私密数据更强调因数据涉及人格利益而不愿为他人知晓的主观意愿。个人敏感数据与私密数据存在交叉,并不能等同。而域外针对个人数据定义均已立法规制。美国个人数据统一保护法规定“个人数据”是指通过直接标识符标识或描述数据主体或是假名数据的记录;巴西通用数据保护法规定“个人数据”系与已识别或可识别的自然人有关的信息。可知能够识别到个人的信息即为个人数据。与域外立法比较,在此阶段我国对于数据并无确切定义与范围。
(三)个人数据泄露 3.0 时代
2021 年 6 月 1 日通过的数据安全法第 3 条规定“数据系指任何以电子或者其他方式对信息的记录”。但该法并未对个人数据泄露损害赔偿请求权进行规定,而是从行政处罚等角度对数据处理者并进行规定。2021 年 7 月 1 日我国深圳经济特区数据条例第 92 条规定“违反本条例规定处理个人数据的,依照个人信息保护有关法律、法规规定处罚。”可知该条例也并未对个人数据泄露损害赔偿请求权进行规定。2021 年 8 月 15 日,我国通过个人信息保护法第 69 条对个人数据侵权赔偿进行了规定,以个人受到的损失或数据处理者获利来进行认定,在前述两种情形难以确定情形下,以法院根据实际情况确定赔偿数额。处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。因此该条确定了损害赔偿的计算方式与归责原则。从域外(地区)立法比较来看,中国澳门个人资料保护法第 14 条规定了个人数据主体的损害赔偿请求权,“任何因资料的不法处理或其他任何违反个人资料保护范畴的法律规定或规章性规定的行为而受损害的人均有权向负责处理资料的实体要求获得所受损失的赔偿”。印度个人数据保护法规定“任何因数据受托人或数据处理者违反本法案的任何规定、规则或条款而遭受损害的数据主体,均有权向数据受托人或数据处理者(视情况而定)寻求赔偿”。巴西通用数据保护法第 42 条规定:“控制者或者处理者因违反数据保护法规定,处理个人数据造成他人财产、精神、个体或集体损害的,应当予以赔偿”。比较分析可知,我国个人数据泄露损害赔偿请求权以损害实际发生或数据处理者获利为条件,而中国澳门与印度以损害实际发生为前提。但是巴西在其损害赔偿请求权中同时规定了财产、精神损害请求赔偿权。由此可知,在此阶段我国对于数据处理者获利数额和个人数据主体的精神损害赔偿请求权在个人信息保护法中并未规定,实践中可能会导致个人数据泄露损害赔偿范围产生争议。
二、我国数据泄露损害赔偿制度面临的挑战
(一)个人数据泄露损害赔偿实务现状
1. 个人数据泄露类型广
对个人信息和隐私权纠纷案件进行统计发现,如表 1 所示,一方面,被泄露的数据包括能识别出个人的数据,如身份证号码、电话号码、开房记录、个人照片、个人视频等;另外针对 qq 邮箱和信用卡信息泄露案件中,虽然这两种数据不能识别出个人,但其代表个人身份,亦属于个人信息。另一方面,数据泄露的方式多样,如以摄像头公开、微信群、朋友圈、电视报刊等形式。然而随着当事人对个人权益保护意识的提升和社会技术的发展,我国个人信息保护法中将人脸识别、基因结果等信息均已纳入个人数据范围。最高人民检察院发布的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,突出对特殊身份、医疗健康、行踪轨迹、儿童等特殊群体的个人信息保护,加强教育、医疗等重点领域个人信息的处理。美国加利福尼亚州将面部信息、车辆信息、性取向等纳入个人敏感信息;巴西规定个人敏感数据还包括其种族或族裔、宗教信仰、政治观点等。欧盟基于历史原因,对涉及民族、种族、个人生物识别特征的数据认定为个人敏感数据。因此,不管是从国内实践还是从国外立法动态可知,针对个人数据范围越来越广,并且随着人工智能、算法等技术的发展,个人数据泄露方式将多样化、普遍化、快速化。
表 1 个人数据泄露类型
2. 个人数据泄露赔偿额举证难
在个人数据泄露案件中,原告的诉讼请求要求赔礼道歉占 100%,其次要求赔偿精神损失地占据 89%,而要求其他损失的(包括律师费、诉讼的合理支持费用)占 12%。由此可知,数据泄露受害人主要系要求精神损害赔偿,而法院支持精神损害赔偿案件占 45%,其中全部支持原告要求的精神损失赔偿请求额占 21%,而 23% 未支持原告的全部精神损害赔偿请求。法院审理主要是认为被告的泄露行为是否产生严重后果,如产生了严重后果,并在考虑数据泄露扩散范围、泄露数据类型、被告的恶意程度等后,酌情考虑是否支持原告的全部精神损失请求额。
在数据泄露损害赔偿案件中,依据民事诉讼法“谁主张谁举证”的一般原则,原告对侵权事实、损害事实、因果关系、过错程度承担证明责任。在违约诉讼中,原告对其合同约定、违约事实、因果关系、过错承担举证责任。但在实践中,不管是违约纠纷抑或是侵权诉讼,数据主体举证较难。对原告提出其他损失赔偿要求率少的原因分析,一方面,数据泄露违约纠纷中,损失难以量化,导致原告的实际损失大小难以证明,而因信息不对称,被告的侵权获利额原告更无法证明;另一方面,目前各网络平台隐私政策中均未规定数据泄露网络平台的民事赔偿责任大小。
第一,数据泄露受害人对其精神损害的“严重性”难以证明。法院常以数据泄露传播范围小未达到“严重性”后果而驳回原告的精神损害赔偿请求。另有法院认为原告未提交其他证据证实对其造成的损害程度及影响程度,故驳回其诉讼请求。第二,原告需证明其数据泄露损失与被告行为有因果关系。如数据泄露受害人主张的赔偿医药费、误工费、护理费、伙食补助费等损失,应举证证明上述损失与数据处理者将其数据泄露存在因果关系。因此个人数据泄露受害人举证难,导致其索赔难以得到支持。
3. 个人数据泄露赔偿损失认定难
民事法律责任的目的是恢复原状、同质补偿,不同责任所保护或被侵害权益的形态也就决定了不同的责任方式。王利明教授认为违约中信赖利益赔偿理论基础在于充分救济非违约方的损失,但是当期待利益和信赖利益共存时,只能择一主张,且信赖利益赔偿原则上不能超过履行利益赔偿。
合同法是以鼓励交易、提高效率为原则,原则上不赔偿精神损失;侵权法以保护固有利益为己任,原则上不赔偿纯粹经济损失。但是民法典第 996 条从规范层面支持人格权受害者在违约之诉中主张精神损害赔偿请求权。因此在实践中即使当事人提出系数据泄露违约诉讼亦可提出精神损害赔偿请求。而在数据泄露侵权诉讼中,数据主体不仅要求精神损失费赔偿,并要求赔偿诉讼合理费用,如律师费、公证费等。从而可知,在个人信息保护法出台前,数据泄露侵权诉讼中法院认定数据泄露损失以数据泄露受害人的提交的证据为准,即数据泄露受害人对其损失举证责任大。
个人信息保护法第 69 条对数据泄露损害赔偿请求额规定的三种计算方式存在前后顺序,即先考虑数据泄露受害人的实际损失或数据处理者获利,在前述两种方式均难以确定情形下,再由法院按实际情况予以认定,此类计算方式可能导致实践损害赔偿乱象。首先,因为数据泄露受害人的实际损失法院认定较难,数据处理者虽然取得数据主体的同意权而进行数据处理,但是数据泄露导致的后果具有不确定性,从而导致实际损失不确定。其次,数据处理者的获利数额由原告进行举证,但在实践中被告系企业的占比 45%,个人难以确认法人的获益情况。最后,因为个人信息保护法中并未对法院按实际情况认定损失的考量因素量化规定,所以此类计算方式可能会扩大法院的自由裁量权,从而造成判决的不公平。综上,个人数据泄露损害赔偿额如何确定亦属实务难题。
(二)个人数据泄露损害赔偿法律关系分析
1. 基于违约的损害赔偿
有学者认为损害赔偿本质是对损害风险的合理分配,可预见性规则实质是在当事人对损害风险的承受意思,而损害取决于合同约定。实践中,企业通常制定其隐私政策,以避免其陷入数据赔偿纠纷。首先,公司承诺限制使用或披露客户数据的方式(隐私承诺);其次,公司通常承诺采取合理的措施来保护客户数据(网络安全承诺)。如以高德地图 App 为例,其在注册使用之前会出现蓝色小字体标识的隐私权政策及服务条款,其承诺在获得明确授权或同意情形下才转让个人信息,在获得明确同意情形下才披露个人信息。通常情形下只有当注册人同意情形下才能使用该软件。虽然有此类隐私政策但是仍有企业违规收集使用个人数据事件发生,如脸书、沃尔玛、谷歌均被指控与第三方违反分享客户数据的政策。除了隐私承诺外,各公司还定期做出网络安全承诺。例如,通用汽车公司的网络安全承诺,“我们保持合理和充分的技术、行政和物理安全和保密措施,以帮助保护您的信息免受未经授权的访问或获取”。虽然有网络安全承诺,但是黑客攻击导致数据泄露行为突出,如雅虎公司因黑客攻击导致其 30 亿名用户的账号信息被窃取;全球最大酒店运营商万豪国际全球数据库中超过 3 亿条客户纪录被黑客入侵等。
上述隐私承诺和网络安全承诺,在一定程度上保护了个人数据的安全,但是在发生数据泄露后,受害者通常难以成功要求违约索赔。首先,数据泄露违约情形难以约定,如前述 App 的隐私和网络安全承诺均系企业的格式条款,均未约定企业的违约后果,数据受害者的权益难以维护。因此依据民事法律关系的“契约自由”原则,在实践裁判中对于未约定违约条款的合同,法院的裁判也并未统一。其次,如受害者与数据处理者 App 的隐私政策协议,在个人信息安全规范(GB/T35273-2020)中认为“个人信息保护政策(隐私政策)的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同”。然而在司法实践中,法院将隐私政策认定为一种以数据电文形式订立的合同。因此对于隐私政策是否属于合同立法与实践存在矛盾。最后,实践中个人信息纠纷中,原告经常要求精神损害赔偿,但是因为我国精神损害赔偿均要求“产生严重后果”,而实务与理论“严重后果”标准认定不统一,所以受害人难以得到赔偿。据笔者统计的个人数据泄露案例中,法院未支持原告的精神损害赔偿请求的案件占比 65%。
在数据泄露诉讼中,受害人通常陈述以下理由进行索赔:未来的伤害风险、个人数据的经济价值、个人数据被盗的精神痛苦、采取预防措施避免滥用数据的经济成本等。虽然有例外,但法院通常认为这些数据受害者不能获得任何赔偿。首先,法院在很大程度上不承认身份盗窃的风险增加,因为这属于投机性的风险;其次,未经过处理的数据是没有价值的,因为个人通常不能出售自己的价值,同时法院只在极少的情形下承认经济损害,因此当公司违反隐私承诺时,虽然情感痛苦是无法恢复的,但其情感痛苦并不是经济损害;最后,法院一般不赔偿已经采取了预防措施保护个人数据的泄露情形,因为已经采取措施防止了投机性的伤害。数据泄露损害赔偿难很大程度上是因为数据库的访问损害是无形、面向风险的、分散的,因此从违约角度索赔在实践中较难。
2. 基于侵权责任的数据泄露损害索赔
侵权损害赔范围目前存在两种观点,一种系限制赔偿模式,倾向于从主观层面出发将损害的可预见性(或有责性)作为法技术手段;另一种系完全赔偿模式,倾向于从客观层面出发将因果关系作为法技术构成。我国大部分学者赞同侵权完全赔偿模式,认为赔偿范围得确定智能以受害人的损失大小为标准,侵权人的过错程度并非确定依据,即损害有多大就承担多大赔偿责任,赔偿范围等于损害范围。虽然民法典侵权责任编主要是以违法行为、事实损害、因果关系、主观责任四要件来考量其行为性质,但是在实践中关于个人数据泄露损害赔偿的案件中,是否认定侵权人的过错程度来考量赔偿数额并未统一。
在数据泄露侵权案件中,对于数据处理者或保管者有过错情形下,法院会支持原告所要求的精神损害赔偿,但会依据被告的过错程度对精神损害赔偿数额进行酌定。另外数据泄露受害者通常以公司过失责任为由而索赔的情形难以得到支持。一方面将企业的网络安全保护措施描述为不合理或低于行业标准的技术并无具体规定;另一方面数据泄露造成的损失与侵权行为的因果关系难以判断。因此对于企业过失泄露数据的行为是否承担侵权责任法在理论与实践均存在争议。过失索赔有时被侵权的经济损失原则所禁止,该原则限制了在没有财产损失或身体伤害的情况下对经济损失的追偿。从比较法视角来看,美国部分州法中,当存在特殊关系时,使被告对原告有合理谨慎行事的义务,允许原告提出过失的经济损害索赔。然而即使原告能基于此提出索赔,但仍然要求其表现出可承认的伤害。同样,根据侵权责任的法律规定,丢失的个人信息也没有任何价值,大多数隐私诉讼只有在受害者的信息实际上被滥用造成损失时才可行。这是一组非常狭窄的索赔要求,无法适应技术进步造成的新型伤害。总而言之,传统的普通法主张已不能让公司对违反其隐私承诺或拥有低劣的网络安全负责。因此我国个人信息保护法第 69 条第 1 款规定“对个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。对个人数据处理者的责任以过错推定原则论处,从而改变了我国在个人信息保护法出台前的个人信息泄露责任承担原则,在一定程度上减轻了数据泄露受害人的举证责任。
三、个人数据泄露损害赔偿域外制度考察
(一)个人数据泄露“损害”认定标准
1. 具体、实际损害标准
数据泄露中风险“无形性”特征导致大部分数据泄露案件中的损失难以量化。在美国个人数据泄露案件中,数据泄露受害人提出的普遍理论是,数据泄露增加了他们未来身份盗窃或欺诈的风险。然而,在大多数情况下,未来受伤风险增加的理论并不属于损害。获得数据的动机不明,原告尚未遭受身份盗用或其他形式的财务欺诈,同时不清楚数据侵权者将如何处理这些数据。因此证明损害风险“肯定、迫在眉睫”具有挑战性,因为数据泄露造成的损害并非立竿见影。即使在确定黑客访问个人数据且可以推断其恶意动机的情况下,美国法院仍拒绝认定数据泄露造成了损害。
虽然美国最高法院 2016 年在 Spokeo,Inc.,v. Robins 案中的裁决,即程序上违反公平信用报告法的行为,消费者不需受害“具体”的伤害,但并未对美国各州司法实践中对数据泄露“损害”标准统一做出示范,美国大多数法院认为,数据泄露造成的伤害过于推测和假设,依赖于主观恐惧和焦虑,并且不够具体或重要,法院认为“仅仅增加身份盗窃或身份欺诈并不构成可识别的伤害”。即使在黑客使用恶意软件窃取个人数据并且有数据滥用的证据的情况下,美国法院也驳回索赔的诉讼请求,理由是原告没有遭受身份盗用或无法表现出迫在眉睫的经济损失威胁。美国伊利诺伊州最高法院在 Rosenbach 案中认为面部数据泄露受害人无需说明存在实际伤害或不利影响,就有资格成为该州生物识别信息隐私法(BIPA)下的“受害者”,并有权寻求损害赔偿和禁令救济,因为违反 BIPA 不仅仅是“技术性的”,而且“伤害是真实且重大的”。但美国第九巡回法院在 Facebook 案中,以 Facebook 的面部识别技术并未对原告造成的任何具体伤害为由,驳回原告的索赔。因此,美国法院对个人数据泄露造成的损害认定标准各不相同。
2. 人格权不安宁的风险焦虑
德国社会学家贝克将风险被定义为以系统的方式应对现代化自身引发的危险和不安,是现代化的威胁力量和令人怀疑的全球化所引发的后果。风险具有人为性、现代性、内生性、不确定性和系统性等特点。在人格权空间感知范围中,基于网络技术的发展,信息传播速度流动范围广、多且快,数据泄露带来的危害结果和心理焦虑的不确定。我国有法院认为,个人信息的私密性是其重要内容,只要有未经许可向第三人披露他人个人信息的事实存在即可构成侵害,就侵害的成立而言无须考虑第三人究竟给原告带来的是利益还是损害,私人信息为第三人所知本身即为损害。因而数据泄露造成数据主体的心理焦虑并导致经济风险,即造成数据泄露的损害。
从立法现状来看,为了保护数据的保密性、完整性和可用性,对数据泄露所带来的损害逐渐倾向于非财产损失的风险性。如美国 2018 年加州消费者隐私法案规定“个人信息无授权披露和隐私权可能对个人造成破坏性影响,包括财务欺诈、身份盗窃、对个人时间和财务的不必要成本、财产损害、骚扰、名誉损害、情感压力甚至可能的身体伤害”。印度个人数据保护法案 2018 规定“伤害包括(i)身体或者精神伤害;(ii)身份的丧失、扭曲或者失窃;(iii)财务损失或者财产损失;(iv)丧失声誉或者羞辱等”。基于对未来伤害风险的担忧,原告自负费用采取措施减轻身份盗用或欺诈的风险。如花费时间和金钱向信用报告机构发出警报,并订阅身份盗窃保护和信用监控服务。数据主体投入时间和成本监控各种账户,并通过更换服务提供商来防止进一步的违规行为,这些措施的成本具有特定的货币价值。伤害的预防措施系基于未来伤害风险的增加,目的是为了防止任何风险增加添附到数据泄露损害,对因焦虑造成的风险应当予以赔偿。
(二)个人数据泄露精神损害赔偿类型
1. 违约精神损害赔偿
从比较法的角度来看,对于非财产损失损失赔偿请求分为列举主义和概括主义。德国民法典第 253 条以法律明文列举方式,损害事故所造成的损害,均可请求赔偿,但是非财产的损害,只有在法律列举情形下才能请求赔偿,并且针对的对象为部分人格权和身份权,属于有限制的非财产范畴。瑞士民法典第 28 条规定也采取列举形式,就法律明文规定的情形,才能请求非财产损害赔偿,其保护客体为“人格关系”,即要以人格权或人格关系受侵害所产生损害为由。概括主义如法国民法典第 1382 条,行为人因其过失的行为导致他人受有损害的,负赔偿责任。可知法国承认非财产上的损害赔偿。日本民法典第 709 条规定,因故意或过失侵害他人权利者,对造成的损害负赔偿责任。第 701 条规定不论侵害他人身体、自由、名誉或财产权,依侵权行为要见规定应负损害赔偿责任者,对于财产以外上损害也应赔偿。可知法国与日本对于非财产上造成的损害赔偿责任与财产上造成损害并无不同。
我国民法典第 996 条从规范层面支持人格权受害者在违约之诉中主张精神损害赔偿请求权。解决了理论与实践中争议已久的违约诉讼中是否能要求精神损害赔偿问题。虽然信息安全技术个人信息安全规范(GB/T35273-2020)国家标准正式发布,对 App 隐私政策进行引导规范。然而数据主体对隐私政策的内容、效力等均存疑。法院在杜某案中认为隐私政策是以数据电文形式订立的合同,但个人信息安全规范(GB/T35273-2020)中认为“个人信息保护政策(隐私政策)的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同”(5.6g)。因此法院认定隐私政策为合同与个人信息安全规范认为隐私政策不宜视为合同相互矛盾,数据泄露受害者是否能依据民法典 996 条要求违约精神损害赔偿存在争议。
2. 侵权精神损害赔偿
数据泄露侵权损害的精神赔偿额以法院酌定为准,然而主观化使得具体数额难以确定。理论上学者认为,在计算精神损害赔偿时应当考虑加害人故意与过失的轻重。因故意与过失系侵权行为的构成要见,但其仅能决定侵权行为责任是否成立,原则上并非予以决定损害赔偿的范围。但在非财产精神抚慰金的核定时,加害人的故意过失(包含其行为的动机与加害的方法),因为被该让的痛苦和加害人的故意过失的轻重有密切关系,所以有考虑的必要。虽然通说认为应当考量赔偿权利人与赔偿义务人双方的因素,但是也有学者认为应仅考虑赔偿权利人一人之因素。非财产损害的计算其标准乃在赔偿权利人,包括使赔偿权利人感受痛苦的因素,其中最重要的,如赔偿权利人的身体状况及身份地位与其经济能力,但并不以此为限。鉴于非财产上损害赔偿具有抚慰的功能,例外情形一并考量赔偿义务人经济能力、可规则的程度。
(三)个人数据泄露不当得利损害赔偿请求
个人信息处理者的获利数额难以确定,有学者建议按照“许可协议”价格进行赔偿,但因在数据泄露事件中,对于企业并未与其他人签订协议,无法核定许可协议价格,从而也难以判断被告获利数额。“任何人均不得能从其不法行为的错误行为中获得利益”。因此恢复原状成为数据泄露损害赔偿的另外一种赔偿方式。在数据泄露情形下,美国法院在 Resnick v. AvMed,Inc. 案中,允许了数据泄露者主张不当得利作为诉讼原因。加利福尼亚州法院在 n re Facebook,Inc.,Consumer Privacy User Profile 诉讼中,法院在判决书中指出“即使原告没有因信息披露而遭受经济损失,他们可能继续..... 对不当得利提出索赔,以收回被告涉嫌的不当行为”。揭示了主张不当得利主张可以避免合同、侵权索赔,即使受害者的伤害是无形的,不当得利索赔成功也可以保护数据主体的权益。原告缺乏补偿性损害赔偿的资格不应影响他们在不当得利方面的地位。
当前法院判决局限性之所以存在,是因为他们侧重于关于原告所遭受的伤害,而不是如何恢复数据原状,因此可从被告的不当得利进行索赔。不当得利不要求被破坏的隐私承诺会导致任何特定的伤害,例如身份盗用。因此,恢复数据原状可以为数据泄露受害者损害索赔提供一条可行的路径。学者 Solove & Citron 认为“不当得利是可以解决危害的工具之一”。也有学者认为“当隐私受到不公正的伤害时,恢复原状可以提供地位”。恢复原状并不具有惩罚性,它只是去除了错误的那部分增益,以撤销不当得利并阻止进一步的机会主义。即不当得利可以避免据数据泄露中要求的实质损害问题。
四、人格权不安宁的空间感知损害赔偿构建
(一)个人数据泄露法院酌定考量因素
学者认为在人格权财产损失赔偿中区分损害填补类、损害预防类参考因素。也有学者认为在人格权案件酌定赔偿数额时,人民法院应结合权利类型、侵权方式、被侵权人和侵权人的侵权程度、身份地位、经济情况、获利情况、过错类型等予以综合考量。数据泄露损害赔偿对于赔偿和赔偿额的考量应当综合多方因素,以保护数据主体权益和规范公司数据市场行为。
表 2 数据泄露损害赔偿考量因素
2. 数据处理者的行为
2021 年 7 月 6 日,阿里巴巴开放平台发布《依法加强消费者订单中敏感信息保护的公告》,将启动订单处理链路的消费者敏感信息保护方案,对涉及消费者个人敏感信息采取加密、去标识化等安全技术措施,目前各国对数据处理者的义务和责任并不统一。巴西规定对个人敏感数据当数据主体或其法定授权代表为特定目的而特别且重点地对数据处理表示同意时才能处理,而印度规定基于明确同意可以处理个人敏感数据。虽然各国(地区)对于数据处理者的义务与责任规定不统一,但是当数据处理者违反其义务时应当承担民事赔偿责任确切不尽相同。虽然各国(地区)对数据处理者的责任与义务要求不尽相同,但是对于法院在计算损失时以数据处理者行为为对象,如表 2 所示,第一,根据其所泄露数据类型、泄露前的技术预防、泄露后的技术拦截、违法行为的性质、违法历史记录等予以考量。数据安全法中规定对数据处理者的通知、删除、同意等义务,因此在考量数据泄露损害赔偿时,应当考虑数据处理者的事前行为,包括事前是否实施了透明度和问责措施,包括遵守与安全保障有关的任何相关业务准则,即事前方式数据泄露的预防措施,以此来保障数据安全。
第二,考虑泄露过程中数据处理者的性质,其行为时故意还是过失,针对数据泄露者的故意行为,显示其主观违法意识较大,应当在较大程度上予以处罚。数据处理者的过失行为类型较多,如 POS 入侵、Web 应用攻击、内部失窃、物理性损失、恶意软件、支付卡盗刷等,因此对数据泄露者的过失行为予以处罚是督促其进行技术更新、提高的重要作用,并且在数据泄露者未遵守其注意义务时,应当系数据损害赔偿的考量重要隐私。
第三,针对数据泄露后,数据泄露者是否根据具体情况采取措施减少伤害,同时考量数据处理者根据具体情况采取的行动。据研究当个人数据泄露遭受经济损失时,公司被起诉的概率要高出 3.5 倍,但当公司提供免费信用监控时,公司被起诉的概率要低出 6 倍。数据泄露后带给数据受害人的恐慌、焦虑等不安情绪是无法评估的,因此对于事后的技术等措施救济尤为重要,从而减少数据泄露受害者的财产和非财产伤害。如在数据泄露后,数据处理者通知了数据主体其数据已被泄露,为其采取措施避免被欺诈,如进行银行卡挂失等提醒业务。经营者安全管理存在漏洞,且未举证证明其迅速采取了专门的、有针对性的有效措施,以加强信息安全保护,综合审查判断双方证据情况,结合案件背景等辅助性因素,可认定其对消费者个人信息的泄露具有过错,理应承担侵权责任。
3. 其他影响因素
对数据处理者和数据泄露受害人行为考量后,仍需要根据个案实际情况予以考量与案情有关的任何其他加重或减轻因素,例如违约行为导致了不公平的地位,损害了数据主体的优势地位。对于数据主体而言,基于其同意将数据给数据处理者收集、处理等,然而数据处理者行为不应损害其地位。如明星的电话号码、航程等信息被泄露事件频繁发生,不仅造成了明星个人生活的困扰,另一方面对维护公众秩序产生不利影响。
个人数据泄露赔偿最低额度
我国知识产权损害赔偿中规定了法定赔偿额制度,然实务与理论界对法定赔偿与酌定赔偿争议较多。然而,王泽鉴教授指出,“损害赔偿法除填补损害之目的外,尚具有所谓权利继续的功能,即权益受侵害时,损害赔偿请求权使被害人取得该被侵害权益的价值内容,以该权益的客观交易价值作为应予赔偿的最低损害”。因而数据泄露受害者请求赔偿其目的一方面是为了弥补损失,另一方面是为了预防更大的损失发生。而从立法目的来看,数据泄露的损害赔偿时为了填补受害人的损失、发挥损害预防功能,更有可能时为了发挥损害赔偿的惩罚性功能。
法定赔偿仅适用于原告举证不能的情形。数据泄露受害者对于个人数据如何处理、利用或被收集的过程难以知晓,在数据处理者的行为中,被收集者的权益究竟是在何一阶段开始发生泄露、损害情形,以及损害的程度如何损害的程度如何,数据泄露受害人均难以举证。面对此种侵权行为,主张按照民法典侵权责任编请求损害赔偿时,不免陷入“举证不能,承担不利后果”的后果。在我国举证责任倒置使得举证责任的分担能够更好适应社会出现的新矛盾,如环境污染问题、产品责任问题、知识产权问题等。从比较法的角度分析,巴西通用数据保护法第 42 条第 2 款规定,在民事诉讼中,法官可实施有利于数据主体的举证责任倒置,前提是法官认为指控的情况可能存在,数据主体没有举证费用或举证负担过重。
法定赔偿额根据数据类型、价值予以确定。损害赔偿额的提高将可以容纳更多受害人的诉讼请求免证额度的赔偿,但降低在一定程度上可以减少滥诉的情形。如美国数据泄露案件中,因其设定了最低的法定赔偿额,从而导致了律师大多提起团体诉讼。加利福尼亚州 2020 年隐私权法规定消费者数据泄露每次不低于 100 美元不多于 750 美元的损害赔偿金额或实际损害赔偿金额,以较高金额为标准。因数据继发性、无形性以及不易计量性等特点,从而难以识别与评估。虽然已有学者对数据价值评估进行计量分析,然其评估方法若需应用在司法实践中仍需进一步研究。因而目前,法定赔偿数额确定可以根据泄露数据的类型来予以确定,如以一般个人信息、敏感个人信息予以区分。
(三)构建数据损害赔偿基金制度
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第 14 条规定了民事公益诉讼,但公益诉讼的提起是以抽象利益关联为依据,而不是按照直接利害关系人的意愿,使得公益诉权的行使,超越了纠纷具体直接利害关联。因此数据泄露民事公益诉讼赔偿额用途难以区分。受害者基金制度已经在美国具有丰富的经验,如其工人赔偿基金即属于无过错基金,允许在工作中手上的员工获得公司损失和医疗费用的补偿,而无需考量任何人的疏忽或过失,与我国工伤保险制度类似。受害者赔偿基金旨在管理向因特定数据泄露事件而遭受损害的人提供资金。这些资金有多种不同用途,可以是私人的也可以是公共的或者两者的组合。并可在诉讼中创建恢复基金,根据管理的程序进行支付。也可以根据法规创建恢复基金,其中部分资金由企业提供,以换取免除或限制民事责任,对全部或部分因公司的作为或不作为造成的伤害进行赔偿数据泄露民事公益诉讼赔偿后设立数据损害赔偿基金,用来恢复和保护消费者等主体的数据。所以企业可以通过购买保险的方式,一旦数据遭受泄露,则可启动保险程序予以赔偿。数据泄露受害者的伤害是意料之外的,并不是其自己行为结果,因数据往往掌握在数据处理者手中。数据损害赔偿基金具有较多实质性好处,可以即使解决问题,避免程序的繁琐与缓慢。
来源:《上海法学研究》集刊 2022 年第 1 卷(智慧法治学术共同体文集)
