近日,我國人臉識別第一案宣判,新型個人信息侵權的審判實踐拉開序幕。隨著信息網絡技術的發展,個人信息出現在社交活動、消費行為等各種場景中。由此產生的個人信息侵權問題湧現,包括網際網路公司洩露用戶隱私、酒店洩露顧客信息等。作為對現實問題的回應,民法典單獨設立「人格權編」,並進一步明確個人信息的範圍及保護規定。但在當前法律框架下民法典對個人信息的侵權損害認定存在堵點,個人信息侵權與其他人格權侵權的認定未作明顯區分。人格權編對於個人信息的規定主要採取行為規範模式。根據民法典第九百九十五條,人格權受到侵害的,受害人有權依照本法和其他法律的規定請求行為人承擔民事責任。這一規定係指向侵權責任編的引致條款,即個人信息侵權責任的認定與承擔適用侵權責任編相關規定。侵權責任編對於一般侵權採取過錯責任原則,侵權行為造成損害才能認定構成侵權。而審判實踐中,實質性損害對於個人信息侵權的受害人往往難以舉證,造成侵權與損害賠償的認定存在一定困難,不利於個人信息的有效保護。筆者認為,司法實踐中可以通過類型化和要素式方法,準確把握個人信息侵權的損害並據此確定賠償數額。
一、個人信息的類型化處理
現行法律規範對個人信息基本採用分類保護模式。《信息安全技術個人信息安全規範》列舉了一系列敏感信息類型。個人信息保護法(草案)專門規定了種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤等敏感個人信息的處理規則,對敏感個人信息的處理採取更嚴格規定。《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》將個人信息分為三類,採取從重到輕的量刑尺度。筆者認為,類型化是處理個人信息侵權損害認定的必要方式。在類型化的維度上,首先,根據個人信息的敏感程度作出基本區分,分為敏感信息與一般信息。個人信息保護法(草案)規定對於敏感信息的處理要有特定的目的和充分的必要性;基於個人同意處理敏感個人信息的,個人信息處理者應當取得個人的單獨同意;還應當向個人告知處理敏感個人信息的必要性以及對個人的影響。因此,對於敏感信息的處理更加嚴格,對侵犯敏感個人信息的認定,也應當採取更低標準,並適當加大損害賠償力度。其次,結合個人信息的處理場景進行分類識別。個人信息侵權的損害程度與個人信息處理的場景有密切聯繫,審判中亦應注意場景對個人信息敏感度的影響。審判實踐中對於個人信息的分類應當避免僵化,要注意靈活把握案情場景對個人信息的敏感程度作出識別。對於敏感信息侵權要結合行為的充分必要性與是否盡到充分告知義務等進行認定。
二、個人信息侵權損害要素式分析
民法典第一千一百八十二條規定,侵害他人人身權益造成財產損失的,按照被侵權人因此受到的損失或者侵權人因此獲得的利益賠償;被侵權人因此受到的損失以及侵權人因此獲得的利益難以確定,被侵權人和侵權人就賠償數額協商不一致,向人民法院提起訴訟的,由人民法院根據實際情況確定賠償數額。這裡未對「實際情況」的含義進一步解釋。結合民法典第九百九十八條規定,認定行為人承擔侵害除生命權、身體權和健康權外的人格權的民事責任,應當考慮行為人和受害人的職業、影響範圍、過錯程度,以及行為的目的、方式、後果等因素。筆者認為,綜合司法實踐中自由裁量的考慮因素,以及現有法律體系下損害認定規則,對個人信息侵權損害賠償的認定要素可以歸納為以下幾種:一是權利人的實際損失或侵權人的獲利。權利人的損失是構成損害賠償的基礎,在權利人難以舉證證明實際損失的情況下,還應當結合其他要素認定是否造成損害。二是侵權人過錯程度。過錯責任原則是侵權責任法的基本歸責原則,也是確定侵權人責任大小的重要依據。三是侵權行為的時間、空間維度。個人信息侵權行為發生的時間、空間與侵權造成的影響程度相關,應當作為損害考慮因素之一。四是侵權情節與方式。個人信息侵權形式多樣複雜,隨著社會發展各類侵權方式層出不窮。審判實踐中,要進一步結合具體侵權情節與方式的嚴重程度作出認定。綜上,在認定損害時,不僅單純考量權利人舉證證明的損失,應在前述確定個人信息類型的基礎上,按照各個要素具體情況綜合認定損害大小。舉例來說,可以採取如下方式認定:
第一,侵權人在履行公務或提供服務過程中獲取的個人信息故意洩露給他人,酌情加倍計算權利人損失。民法典將過錯作為衡量損害的要素之一,體現了侵權法的懲罰性作用。作為履行公務或提供服務而獲取他人個人信息的侵權人,由於其對個人信息的處理系合法行為,權利人在同意其獲得時往往放鬆警惕,因此法律上對這類侵權人苛以更高的注意義務。民法典第一千零三十九條特別規定了國家機關、承擔行政職能的法定機構及其工作人員的保密義務。個人信息保護法(草案)第二章第三節亦對國家機關處理個人信息作出特別規定。筆者認為,對履行公務或提供服務過程中侵犯個人信息的,可以參考刑法上入罪標準降低的規定,將民事損害賠償數額酌情增加一倍。但應注意,具備過錯要件是個人信息侵權賠償的前提。若履行公務人員或服務提供者對於後續侵權的發生並不知情的,不應當適用加倍賠償,僅以侵權人具有過錯的部分承擔責任。
第二,侵犯個人信息發生在網絡空間的,適當擴大對損害範圍的認定。隨著網際網路技術高速發展,網絡空間中的個人信息無處不在。由於網絡空間的特殊性,不受傳統地域限制,相關信息傳播速度快、損害後果可預見性低,司法實踐中對於網絡信息侵權應當適當擴大對侵權範圍的界定。民法典第一千條第一款規定,行為人因侵害人格權承擔消除影響、恢復名譽、賠禮道歉等民事責任的,應當與行為的具體方式和造成的影響範圍相當。對於網絡空間內發生的個人信息侵權,應當將網絡平臺的開放性程度作為影響範圍的依據之一。例如,微博、抖音等開放度較高的社交平臺,信息受眾範圍廣,個人信息一旦發布可能造成蔓延性後果;而微信、QQ等受眾較封閉的網絡平臺,信息受眾往往限定在特定人群中,對於侵權範圍應當作限縮認定。
第三,侵權行為涉及多個環節,其後果應視為一次侵權行為造成的損害。個人信息侵權涉及信息的收集、獲取、存儲、加工、傳輸、提供、公開等多個環節,侵權人在實施侵權過程中可能會參與到不止一個環節中。刑法上對於參與多個環節犯罪的情形,採取對個人信息數量不重複計算的方式。筆者認為,民法上亦應採取此思路認定損失數額。例如,未經他人同意獲取身份信息並提供給他人使用的,行為人的主觀故意只有一次,本質上只實施了一個連續性侵權行為,故在損害後果的認定上不能將獲取信息與提供信息累計計算。法院可以通過考察侵權方式與情節要素,酌情增加此類侵權的賠償力度。這種計算方式使損害認定與侵權人過錯程度相符,可以更加客觀準確地認定權利人受到的損失。
綜上,對於個人信息侵權損害認定,首先應當明確涉案個人信息的類型,結合個人信息使用場景,區分敏感信息與一般信息的認定標準;其次要對權利人的實際損失或侵權人的獲利、侵權人過錯程度、侵權行為的時間、空間維度、侵權情節與方式等要素,綜合確定賠償數額。另外,還應注意特殊侵權主體、特殊場景、涉及多環節侵權的損害認定方式。
(作者單位:福建省福州市鼓樓區人民法院)