个人信息侵权损害认定规则探析
近日,我国人脸识别第一案宣判,新型个人信息侵权的审判实践拉开序幕。随着信息网络技术的发展,个人信息出现在社交活动、消费行为等各种场景中。由此产生的个人信息侵权问题涌现,包括互联网公司泄露用户隐私、酒店泄露顾客信息等。作为对现实问题的回应,民法典单独设立“人格权编”,并进一步明确个人信息的范围及保护规定。但在当前法律框架下民法典对个人信息的侵权损害认定存在堵点,个人信息侵权与其他人格权侵权的认定未作明显区分。人格权编对于个人信息的规定主要采取行为规范模式。根据民法典第九百九十五条,人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。这一规定系指向侵权责任编的引致条款,即个人信息侵权责任的认定与承担适用侵权责任编相关规定。侵权责任编对于一般侵权采取过错责任原则,侵权行为造成损害才能认定构成侵权。而审判实践中,实质性损害对于个人信息侵权的受害人往往难以举证,造成侵权与损害赔偿的认定存在一定困难,不利于个人信息的有效保护。笔者认为,司法实践中可以通过类型化和要素式方法,准确把握个人信息侵权的损害并据此确定赔偿数额。
一、个人信息的类型化处理
现行法律规范对个人信息基本采用分类保护模式。《信息安全技术个人信息安全规范》列举了一系列敏感信息类型。个人信息保护法(草案)专门规定了种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的处理规则,对敏感个人信息的处理采取更严格规定。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将个人信息分为三类,采取从重到轻的量刑尺度。笔者认为,类型化是处理个人信息侵权损害认定的必要方式。在类型化的维度上,首先,根据个人信息的敏感程度作出基本区分,分为敏感信息与一般信息。个人信息保护法(草案)规定对于敏感信息的处理要有特定的目的和充分的必要性;基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意;还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。因此,对于敏感信息的处理更加严格,对侵犯敏感个人信息的认定,也应当采取更低标准,并适当加大损害赔偿力度。其次,结合个人信息的处理场景进行分类识别。个人信息侵权的损害程度与个人信息处理的场景有密切联系,审判中亦应注意场景对个人信息敏感度的影响。审判实践中对于个人信息的分类应当避免僵化,要注意灵活把握案情场景对个人信息的敏感程度作出识别。对于敏感信息侵权要结合行为的充分必要性与是否尽到充分告知义务等进行认定。
二、个人信息侵权损害要素式分析
民法典第一千一百八十二条规定,侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿;被侵权人因此受到的损失以及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。这里未对“实际情况”的含义进一步解释。结合民法典第九百九十八条规定,认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任,应当考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素。笔者认为,综合司法实践中自由裁量的考虑因素,以及现有法律体系下损害认定规则,对个人信息侵权损害赔偿的认定要素可以归纳为以下几种:一是权利人的实际损失或侵权人的获利。权利人的损失是构成损害赔偿的基础,在权利人难以举证证明实际损失的情况下,还应当结合其他要素认定是否造成损害。二是侵权人过错程度。过错责任原则是侵权责任法的基本归责原则,也是确定侵权人责任大小的重要依据。三是侵权行为的时间、空间维度。个人信息侵权行为发生的时间、空间与侵权造成的影响程度相关,应当作为损害考虑因素之一。四是侵权情节与方式。个人信息侵权形式多样复杂,随着社会发展各类侵权方式层出不穷。审判实践中,要进一步结合具体侵权情节与方式的严重程度作出认定。综上,在认定损害时,不仅单纯考量权利人举证证明的损失,应在前述确定个人信息类型的基础上,按照各个要素具体情况综合认定损害大小。举例来说,可以采取如下方式认定:
第一,侵权人在履行公务或提供服务过程中获取的个人信息故意泄露给他人,酌情加倍计算权利人损失。民法典将过错作为衡量损害的要素之一,体现了侵权法的惩罚性作用。作为履行公务或提供服务而获取他人个人信息的侵权人,由于其对个人信息的处理系合法行为,权利人在同意其获得时往往放松警惕,因此法律上对这类侵权人苛以更高的注意义务。民法典第一千零三十九条特别规定了国家机关、承担行政职能的法定机构及其工作人员的保密义务。个人信息保护法(草案)第二章第三节亦对国家机关处理个人信息作出特别规定。笔者认为,对履行公务或提供服务过程中侵犯个人信息的,可以参考刑法上入罪标准降低的规定,将民事损害赔偿数额酌情增加一倍。但应注意,具备过错要件是个人信息侵权赔偿的前提。若履行公务人员或服务提供者对于后续侵权的发生并不知情的,不应当适用加倍赔偿,仅以侵权人具有过错的部分承担责任。
第二,侵犯个人信息发生在网络空间的,适当扩大对损害范围的认定。随着互联网技术高速发展,网络空间中的个人信息无处不在。由于网络空间的特殊性,不受传统地域限制,相关信息传播速度快、损害后果可预见性低,司法实践中对于网络信息侵权应当适当扩大对侵权范围的界定。民法典第一千条第一款规定,行为人因侵害人格权承担消除影响、恢复名誉、赔礼道歉等民事责任的,应当与行为的具体方式和造成的影响范围相当。对于网络空间内发生的个人信息侵权,应当将网络平台的开放性程度作为影响范围的依据之一。例如,微博、抖音等开放度较高的社交平台,信息受众范围广,个人信息一旦发布可能造成蔓延性后果;而微信、QQ等受众较封闭的网络平台,信息受众往往限定在特定人群中,对于侵权范围应当作限缩认定。
第三,侵权行为涉及多个环节,其后果应视为一次侵权行为造成的损害。个人信息侵权涉及信息的收集、获取、存储、加工、传输、提供、公开等多个环节,侵权人在实施侵权过程中可能会参与到不止一个环节中。刑法上对于参与多个环节犯罪的情形,采取对个人信息数量不重复计算的方式。笔者认为,民法上亦应采取此思路认定损失数额。例如,未经他人同意获取身份信息并提供给他人使用的,行为人的主观故意只有一次,本质上只实施了一个连续性侵权行为,故在损害后果的认定上不能将获取信息与提供信息累计计算。法院可以通过考察侵权方式与情节要素,酌情增加此类侵权的赔偿力度。这种计算方式使损害认定与侵权人过错程度相符,可以更加客观准确地认定权利人受到的损失。
综上,对于个人信息侵权损害认定,首先应当明确涉案个人信息的类型,结合个人信息使用场景,区分敏感信息与一般信息的认定标准;其次要对权利人的实际损失或侵权人的获利、侵权人过错程度、侵权行为的时间、空间维度、侵权情节与方式等要素,综合确定赔偿数额。另外,还应注意特殊侵权主体、特殊场景、涉及多环节侵权的损害认定方式。
(作者单位:福建省福州市鼓楼区人民法院)
来源:人民法院报 责任编辑:罗晓榕