崔聪聪:个人信息损害赔偿问题研究

  计算机网络所具有的强大信息处理能力使网络社会中个人信息的收集与交换出现了爆炸化增长的趋势,人类社会因此进入了大数据时代。大数据将会对社会的运行方式带来跨越式变革。个人信息在大数据时代已成为一种重要的经济资源,在利益的驱动下,各种非法收集、买卖、窃取等滥用个人信息的行为屡禁不绝,不仅给网民造成了财产损失,甚至威胁着网民的生命安全。我国现行个人信息保护立法尚不足以有效保障权利人的个人信息安全,本文拟从损害赔偿的视角出发,对我国现行法律中侵害个人信息的损害赔偿额、举证责任和诉讼方式等作一番检讨并提出完善建议。

一、大数据时代的个人信息安全:困境与出路

(一)大数据时代的个人信息安全危机

个人信息安全问题并非网络出现后产生的新问题,但这一问题确因网络的广泛应用而被无限放大。今天,世界上90%以上的信息是数字形式的,国家、企业或个人借助计算机网络能够迅速地搜集、储存、传送有关个人的各种数据,以不同的方式加以组合或呈现,可以用来预测个人的行为模式、政治态度、消费习惯,而作为一种资源或商品加以利用。大数据虽然赋予了我们洞察未来的能力,但分散和分布式网络环境给个人信息保护带来了新的挑战,大量的个人信息不仅可能在今天被滥用,在几年甚至几十年后仍然可能被滥用,网民随时都生活在“信息阴影”之下。

虽然我国处于大数据应用的初级阶段,但信息安全事件频发:2011年12月,CSDN的安全系统遭到黑客攻击,超过600万用户的登录名、密码被泄漏,涉及个人网上银行账户、身份证信息等众多隐私数据。苹果公司曾被曝在没有告知用户并获得许可的情况下,私自通过iPad和iPhone手机收集用户的行踪信息,经过处理后默认存储在一个未经加密的数据包中,每隔几个小时通过电信网或互联网成批发回苹果公司总部。2013年央视3•15晚会曝光了网易公司允许第三方公司通过加放代码窃取用户Cookies事件,网易公司通过收集分析用户信息并精准投放广告,这种手段不易察觉,也比较难以防范和控制,其范围几乎涉及到了中国的所有网民。中国互联网络信息中心(CNNIC)发布的《2013年中国网民信息安全状况研究报告》显示,仅2013年3月至9月半年内,有4.38亿网民遇到过信息安全事件,占网民总数的74.1%,经济损失总额为196.3亿元。(数据来源:http://www.cnnic.cn/hlwfzyj/hlwxzbg/mtbg/201312/P020131219359905417826.pdf,2014年2月3日访问)大数据时代,因个人信息不当利用引发的个人信息危机,将使正常的社会秩序面临严峻的考验。

(二)个人信息保护的困境

为保护个人在网络时代的基本权利,我国《刑法修正案(七)》、2011年修订的《居民身份证法》和2013年修订的《消费者权益保护法》,构筑了包括民事责任、行政责任和刑事责任三位一体的个人信息保护法律框架。但是,我们不得不面临这样一个尴尬事实:刑事责任和行政责任不断强化,个人信息安全的环境却不断恶化。究其原因,主要是民事保护手段特别是损害赔偿责任未能发挥其应有的作用。

首先,损害赔偿数额难以计算。《居民身份证法》和《决定》规定个人信息受到侵害后,权利人可以请求损害赔偿(《居民身份证法》第19条:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露……有前两款行为,对他人造成损害的,依法承担民事责任。”《决定》第11条:“对有违反本决定行为的,……侵害他人民事权益的,依法承担民事责任。”),但未明确损害赔偿的性质(精神损害赔偿还是财产损害赔偿)及赔偿数额。德国司法实践采用实际损害赔偿的方式,[1](174)但在侵害个人信息控制权案件中权利人证明和计算实际损害的难度非常大。法律不仅仅是解决问题的一套制度安排,而且是一套据以决定行动的行为准则,不仅影响法律主体的交易、经营、社交等行为,也影响受害人是否请求公力救济的决定。依照实际损害计算赔偿数额,权利人获得赔偿的几率很小,这势必影响权利人维权的积极性。

其次,举证责任制度不利于网民维权。网络环境下,信息收集主体众多,且诸多收集行为是在网民不知情的情况下进行。信息被他人收集后,权利人失去了对信息的物理控制。个人信息被侵害后,权利人难以确定信息泄露源和恰当的诉讼对象,[1](170)受害人败诉的几率很大。损害及因果关系举证上的困难足以让多数受害者望而却步:依照现行民事诉讼“谁主张,谁举证”的原则,网民很难证明侵权主体是谁。即使能够确定侵权人,也难以证明具体的侵权行为(出卖、过失泄露等)以及损害事实与个人信息滥用行为存在因果关系。现行的举证责任规则成为网民通过诉讼手段维权的“拦路虎”,国内至今未有受害人通过诉讼手段获得赔偿的公开案例。

再次,缺乏集体诉讼机制。在个人权利意识较强的欧洲,因个人信息受到侵害而提起诉讼的案件也很少,一个主要原因是个人似乎不愿投入足够的时间和精力来维护自己的信息隐私权。[1](174)个人维权不仅要面临上述损害赔偿额难以计算、举证不能的风险,诉讼程序的旷日持久更使得“远水解不了近渴”,受害人难以及时获得救济。可以预见,如果网民的个人信息被非法利用后没有造成其他人身或财产损失,即使胜诉,权利人获得的赔偿会远远小于其耗费的时间和金钱成本。基于上述因素考虑,权利人单独起诉的可能性很小,最终只能求助于集体诉讼。而我国民事诉讼实践在法律没有明确规定的前提下,法院不受理集体诉讼,这又成为个人信息维权的制度障碍。

个人信息控制权为私权已被学界认可。(权利主体对自己的姓名、年龄、网上行为等个人信息占有、使用和处分的权利为个人信息控制权)既然个人信息控制权是一种私权,所以在权利遭受侵害的情况下,应当首先通过民事责任的方式对权利人进行保护。[2]但现行立法中无论是实体法还是程序法,均无法满足网民维权的需要。为调动网民维护自身权益的积极性,应在厘清个人信息控制权性质的基础上,“扫清”网民通过诉讼手段维权的实体法和程序法障碍。

二、个人信息损害赔偿:我国的立法与理论

(一)现行立法及其缺陷

如前所述,我国现行个人信息保护立法未明确侵害个人信息控制权的损害赔偿额,个人信息控制权的法律属性为人格权,(个人信息控制权的人格权属性,容留笔者在后文详述)因此在个人信息遭受侵害后只能依照《侵权责任法》第20条和第22条的规定确定损害赔偿额。

依照《侵权责任法》第20条的规定,在侵权人的获益无法确定且当事人之间无法就损害赔偿额协商一致时,由人民法院根据实际情况确定赔偿数额。从技术层面分析,法律规则被认为是具有法律要件和法律效果的逻辑结构,只有这样法律规范才能适用于个案并且借此调整社会生活。黄茂荣先生因此认为,盖法律只有当其已能对人类之共同生活给予规整性的影响时,才具有法律的性质,即对人类之生活一般地加以规范。[3](128)在笔者看来,法律规范不仅要有法律要件和法律效果,而且要明确,唯有此,才能对人类社会生活加以规范和调整。就《侵权责任法》第20条“由人民法院根据实际情况确定赔偿数额”的规定而言,虽称不上是“毫无作为行为规范或者裁判规范之可能性的无头型僵尸法条”,但法律条文必须创造“可司法的权利义务内涵”,“实际情况”是一个抽象的概念,不能为受害人请求损害赔偿提供明确的预期,无法为法官裁判提供明确的指引,给法官滥用自由裁量权“留足了空间”。

《侵权责任法》第22条规定:“侵害他人人身权益,造成他人严重精神损害的,被侵权人可以请求精神损害赔偿。”依照该规定,权利人的人格权受到侵害后未造成严重精神损害时无权请求精神损害赔偿。实践中,侵害个人信息控制权的损害后果往往比较轻微,因此依照《侵权责任法》第22条的规定,权利人无法获得损害赔偿。本文认为,只要人格权受到侵犯,均产生精神损害,只不过是严重程度不同。《侵权责任法》第22条“忽略轻微损害规则”最大限度地保障了行为人的自由,但造成部分权利人的个人信息控制权得不到任何尊重和救济而沦为“裸权”。在上述规定之下,权利侵害与权利救济发生根本性断裂,并事实上造成了权利人之间的不平等。(一刀切的禁止对轻微精神损害赔偿是立法懒惰的表现。同样是精神损害,在损害严重的情况下可以请求赔偿,在损害轻微的情形下却无权主张赔偿,在受害人之间形成明显的不公。个人信息滥用行为往往涉及众多受害人,对个体而言损害后果可能是轻微的,但就整体而言,损害后果是非常严重的。立法懒惰的结果一方面导致权利人无法获得有效救济,另一方面无法发挥侵权法的遏制损害再次发生的功能)有权利侵害就存在损害,有损害就应该有救济,因此要求“严重”毫无必要。严重程度只影响赔偿数额,不能决定权利人损害赔偿请求权的有无。

(二)学者观点及其评述

侵害个人信息的损害赔偿因其具有较强的技术性而被我国学者“冷落”,笔者能查找到的国内文献主要有以下观点:有学者认为,对于侵犯个人信息行为所造成的精神损害赔偿,可以考虑规定一个相对固定的赔偿数额或者赔偿限额,以保证公平和提高效率。[4]另有学者认为,由法律事先规定一个最低数额的赔偿金,允许原告在法定赔偿数额和实际遭受损失之间进行选择。[5]刘德良教授认为可以采用法定赔偿和实际赔偿相结合的做法,即由立法规定一次侵权行为的法定赔偿数额,如果受害人能够证明自己的实际损害或侵权人的违法所得,可以按照实际损害赔偿;如果不能证明实际损害,则应采取法定赔偿数额。[6]王利明教授认为,除采用精神损害赔偿的方式外,也可以采用财产救济的方法。在受害人难以证明自己所遭受的损失时,也可根据侵权人所获得的利益确定损害赔偿的数额。[2]

本文认为,“定额说”虽然便于法官裁判,但过于僵化,忽视了侵权人的过错、违法所得以及受害人遭受损害的程度等因素,从而牺牲了个案公平。此外,人的伦理价值不具有交换性,因此不存在评估这些价值的市场。一旦受到侵犯,损害无法进行客观估计。仅就个人信息本身遭受的侵害而言,是无法准确计算数额的,上述学者提到的“实际损害”或“实际损失”实际上是因个人信息控制权被侵害而附带的其他财产损失,个人信息的直接损害与附带损害的赔偿额应单独计算,因此不存在由受害人选择的问题。

三、域外的立法、司法实践及启示

(一)域外立法、司法实践

我国台湾地区“个人资料保护法”第27条规定:“损害赔偿总额,以每人每一事件新台币二万元以上十万元以下计算。但能证明其所受之损害额高于该金额者,不在此限。基于同一原因事实应对当事人负损害赔偿责任者,其合计最高总额以新台币二千万元为限。”德国法上,间接个人信息属于一般人格权,(间接个人信息是指除个人姓名、肖像、特殊身体形象、声音等直接个人信息以外的个人信息)其受侵害可以请求非财产损害赔偿。[7](62)在日本,对间接个人信息之侵权可以请求精神损害赔偿,加害人的获利成为计算赔偿数额的考量因素。[8](170-193)俄罗斯《个人信息保护法》第17条规定权利人的个人信息受到侵害后,有要求损害赔偿和(或)要求精神损害赔偿的权利。2013年1月生效的新加坡《个人信息保护法》第31条(1)规定,遭受损失或非财产损害的权利人,有权依照民事诉讼程序获得救济。

(二)启示

侵害个人信息控制权的直接损害后果就是权利人人格尊严受到侵犯。我国台湾地区“个人资料保护法”虽提到了财产损害赔偿,但对个人信息本身的损害实际采用的是非财产损害(精神损害)的救济模式,理由是:如果为财产损害赔偿方式,应依照实际损失的数额确定赔偿额,不必规定赔偿额的区间。财产权与人身权、财产损害与精神损害并非一一对应的关系,对人格权的侵害既可以产生财产损害(医疗费、误工费、死亡与残疾赔偿金等),还可以产生精神损害。[9]依照可以证明的损害确定的赔偿额绝不是对个人信息控制权受侵害的救济,而是对个人信息控制权遭受侵害引发的财产损失(误工费、律师费等)以及其他纯粹经济利益被侵害(如账号、密码被盗后导致的网上银行账户资金被盗)的救济。由此可见,德国、日本以及我国台湾地区均采用精神损害赔偿的方式计算个人信息遭受侵犯后的赔偿额,只不过是计算标准不同。

依侵权法的基本原理,损害赔偿责任对应着侵权行为引发的财产性损害,精神损害赔偿对应着非财产性损害。俄罗斯《个人信息保护法》第17条并列使用了“损害赔偿”与“精神损害赔偿”,意味着该法从民事责任的角度明确区分了侵害个人信息引发的财产损害与非财产损害。新加坡《个人信息保护法》与俄罗斯的立法不同,从损害结果的角度界分了个人信息侵权的财产损害和非财产损害。虽然角度不同,但有异曲同工之妙。尽管无法从俄罗斯和新加坡的现行立法中推断侵害个人信息引发的直接损害后果是财产损害还是非财产损害,但结合个人信息控制权的法律属性,仍可以确定直接损害后果为非财产损害。

四、个人信息控制权的法律属性:确定损害赔偿的基础

个人信息控制权的法律属性决定了损害赔偿的计算方式:如果是财产权,则依照利益在侵权行为发生前后的差额确定赔偿数额;如果是人格权,应依照精神损害赔偿的方式对权利人进行救济。因此,确定侵害个人信息损害赔偿的前提和基础是厘清个人信息控制权的法律属性。

(一)学理纷争

就个人信息控制权的法律属性,人格权说、人格权兼财产权说是当今有代表性的观点。人格权说认为个人信息控制权的法律属性为一项具体的人格权。[10]人格权兼财产权说认为,对个人信息进行确权应该根据其体现的价值而定,当其维护主体的人格利益时,应给予其人格权保护;当其维护主体的财产利益时,就应该给予其财产权保护。[11]争议之所以发生,是因为个人信息在网络时代大规模商业利用产生的物质利益遮蔽了学者的视野,以至于部分持人格权说的学者在论证个人信息控制权的法律属性时显得“底气不足”:如王利明教授认为个人信息控制权为人格权,但其不完全是精神性的人格权,而是一种集人格利益与财产利益于一体的综合性权利,包括精神价值和财产价值。[2]

(二)个人信息控制权不是财产权

个人信息控制权兼具财产权说的基本逻辑是:个人信息被广泛商业利用而 产生了物质利益,因此个人信息具有明显的财产利益。财产利益是财产权的客体,因而个人信息控制权具有财产权属性。上述认识混淆了权利、权利客体与权利目的之间的关系。拉伦茨认为,权利本身并不是这些利益,而仅仅是法律形式,它为此受到保护并有权要求得到保护。[12](279)由此可见,权利与利益二者处于不同的范畴。民法关于权利种类的划分在很大程度上是以其作用的对象,即权利客体为界定标准的。作为权利客体的财产和人身是利益的载体,但利益本身并不能作为权利的客体,(耶林虽然认为“权利是受到法律保护的利益”,但其是从“权利的目的”出发论证权利与利益的关系,而非是权利与其客体之间的关系)利益乃权利之“目的”所在,是权利作用于客体所达到的效果,而不应当是权利的客体本身。

个人信息不直接体现物质利益,但存在与个人信息相关并产生物质利益的现象:一是权利人允许网络服务商收集和使用其个人信息时获取对价而产生的物质利益,此时个人信息与权利主体已分离。正是这种分离,使权利主体获取了对价(免费服务、Q币、积分等)。也正是这种分离,使作为权利客体的个人信息发生质变进而使其权利属性发生了改变。但是,脱离个体的“个人信息”或者与个人分离的“个人信息”不再是个人信息了,以此现象不能论证个人信息具有财产权的属性。此外,信息处理机构对个人信息进行收集与处理后可以有偿许可他人使用,这似乎可以作为个人信息控制权为财产权的理由。但是,信息处理机构获取的物质利益并非源于个人信息本身的价值及其增值,而是其收集、处理和分析信息时所付出的劳动。(这也合乎洛克从劳动的角度论证财产权利合理性的理论)

综上,认为个人信息与物质利益相关并由此认为个人信息属于财产权的客体进而认为个人信息控制权具有财产权属性的观点有悖权利划分的基本原理。

(三)个人信息控制权为人格权

控制论奠基人N.维纳认为:“信息就是信息,不是物质也不是能量。”[13](133) N.维纳未给信息下明确定义,但指出了信息与物质、能量的关系,即信息既离不开物质,也离不开能量。换言之,信息对于物质载体以及能量具有相对的独立性,也仅仅具有相对独立性。[14]从认识论的角度看,当信息包含在文本中的时候,没有读者的参与,信息仅处于一种内在或潜在的状态,文本丝毫没有意义。信息无法脱离读者而存在,正是读者使文本信息变得完善或者得以充实。就个人信息而言,他们是识别权利主体和确定权利主体特征、状态的客观存在或描述,如姓名、年龄、通讯地址和网上浏览记录等,是与自然人相关联的、具有个体特征的信息片段,其必须依附于也只能依附于个体。个人信息依附于个体的特征,决定了其无法直接体现物质利益。

在民法上,人格权是以自身的要素即人格要素为客体的权利。所谓人格要素,是“内在于人”、保障人作为自然的存在和社会的存在的肉体的、意志的伦理价值因素。[15]个人信息和姓名、名誉、隐私、肖像等人格要素一样,承载着平等、自由、尊严等人的伦理价值,是自然人之所以为社会人的重要组成部分。[16]保障个人信息的安全,实际上保护的是个人自己决定人格的发展和自我表现,以其自身可控制的自我表达方式或者通过与社会中他人进行交流的形式传达出去。[17]个人信息控制权是网络时代保护自然人人格尊严完整不受侵害必不可少的组成部分,不仅保障自然人在信息时代独处的自由,而且保障自然人在信息时代安全地、有尊严地参与社会生活。因此,个人信息控制权的性质为人格权。

五、个人信息损害赔偿额

(一)确定个人信息损害赔偿额的考量因素

个人信息控制权的人格权属性决定了个人信息损害赔偿的性质为精神损害赔偿。司法实践中,确定精神损害赔偿额是一个让法官头痛的问题,这一难题源于精神损害与金钱之间的不可通约性:一方面由于欠缺客观标准测量受害人精神损害的严重程度;另一方面是因为缺乏清晰的方法将无形的非金钱损害转换为金钱赔偿。[18]就损害的界定而言,当事人权益所遭受的某种改变,能不能看作是损害,看作是多大程度上的损害,是受一定的社会价值观念和一定的法律秩序影响的。[19]既然是否构成损害以及损害的程度是价值判断,那么损害赔偿额的确定也应该是价值判断。因此,精神损害赔偿额应在确定损害事实的基础上,经弹性价值体系的过滤,得出应赔偿的损害,再经由损害的金钱评价而最终确定赔偿的数额。

侵权行为法的内容与其所要达成的机能或目的具有密切的关系。[20](7)前述确定精神损害赔偿额的“弹性价值体系”的重要内容是精神损害赔偿的功能。侵害个人信息的损害后果往往具有不可逆转性,(无论是在侵害财产案件,还是在侵害人身权的案件中,无论是在“以牙还牙”的报复时代,还是在当今所有损害原则上只能请求金钱赔偿的时代,“回复到损害发生前的状态”是几乎不可能做到的)导致一个人现在以及将来永远是该侵权行为的受害人。个人信息遭受侵害后无法准确地计算损失,所以损害赔偿只是在一定程度上慰藉受害人,其主要功能在于遏制类似侵权行为再次发生。因此,个人信息损害赔偿在舒缓受害人精神痛苦的同时,其更多的“精力”是聚焦于惩罚和遏制功能。此外,损害赔偿制度在合理分配损害、使其符合人类文明的发展方向方面扮演着关键的角色。民法中的损害赔偿是经过裁剪的有限范围的救济,民法所谓“全部损害赔偿”,实并非损害之全部,而只是其一部而已。[21](25)侵权责任法往往通过过错、违法性和因果关系等技术过滤工具,实现最大限度地保障经济自由、行为自由和最低限度地救济受害人的法律政策。综上,作为侵权责任法中重要内容的损害赔偿制度,应兼具救济受害人和保障法律主体行为自由的功能。

(二)侵害个人信息的损害赔偿额

个人信息损害赔偿制度尤其是损害赔偿范围的合理确定,不仅关乎加害人和受害人利益的调整,而且关乎网络产业的发展。在确定侵害个人信息的具体赔偿标准时,既有赖于对隐含于人格尊严中的精神利益“价值”的把握与权衡,又须在受害人的权利保护与加害人的行为自由的冲突间寻求合理的平衡点。为实现上述目标,侵害个人信息损害赔偿的数额,除包括权利人为制止侵权行为所支付的合理开支以及因诉讼支付的相关费用,还应根据侵权人的过错性质及其程度,侵权行为的动机、手段或方式以及是否反复实施,损害程度及其侵权人对损害的知悉或预见程度,侵权行为的责任几率,侵权人因不法行为所获得的利益等因素,确定相应数额的赔偿。为实现损害赔偿救济受害人和遏制侵权行为再次发生的目的,赔偿额不设上限,但应设下限,如不低于5000元人民币。

在现代社会,以受害人损害为基础的侵权责任评价体系面临着功能性失效的制度风险,此时行为人获益则成为损害赔偿法的重要替代选择。如前所述,个人信息滥用行为往往具有获利的动机,侵权人通过买卖、不当利用个人信息等行为可以获得巨大的利益。为实现损害赔偿制度的遏制功能,侵权人的获利是确定个人信息损害赔偿额的一项重要考量因素。尽管行为人获利作为确定损害赔偿额的参照因素日渐深入人心,但获益是否仅限于侵权行为直接产生的收益,是确定精神损害赔偿额的又一个难题。有学者认为,只有那些在侵权行为直接作用下产生的行为人获利才能被视作受益,只要受益是行为人的技巧、努力、财产和资源以及投入的资金与本不属于其财产应承担的风险共同作用的结果,那这些受益就应当被法律所许可。[22](104-105)并非所有发生于侵害行为之后的行为人收益均可确认为非法获益,非法获益应是依赖于侵权行为的收益而非行为人独立的收益,如买卖个人信息所获取的差价。在违法利用个人信息的场合,如将合法收集的个人信息打包出售给他人,或将违法收集(未经权利人明示或默示同意)的个人信息加工成信息产品供他人有偿使用,此时,确定损害赔偿额时是否扣除侵权行为人付出的“劳动”?本文认为,上述情形侵权人获得的收益并非完全基于侵权行为产生,但确实是依赖于侵权行为,在无法明确区分合法与非法收益时,此时的“风险”应该由侵权行为人承担,即全部收益应作为损害赔偿判决给原告,这也符合“旨在剥除被告因不法行为而获得的利益”的目的。

六、损害赔偿实现的程序机制

(一)举证责任的配置

依侵权责任法的基本原理,过错责任的构成要件为损害事实、违法行为、过错和因果关系。个人信息之所以在网络时代危机四伏,主要原因在于权利人难以控制经计算机存储和处理的个人信息。失控导致权利人难以查找侵权主体。非法收集、泄露、买卖等滥用个人信息的行为记录均由侵权人控制,并且上述证据很容易被销毁。如果仍以正置的方式分配举证责任,就会影响侵权行为法功能的实现,造成侵害个人信息诉讼中公平正义的失落。

举证责任的配置应当有利于真实地再现有争议的案件事实,因此,在分配举证责任时,应将当事人与证据的远近、获取证据的可能性以及举证的难易等作为考量因素,在综合考察当事人的举证能力基础上分配举证责任。[23]鉴于个人信息侵权诉讼中受害人和侵权人举证能力的差异,应采取举证责任倒置的方式。举证责任倒置实质上是免除了主张方对特定要件事实的证明责任,转由主张方的相对方从反方向证明此要件事实不存在,如果主张方的相对方不能以相反的证据推翻此免证事实,法官就要推定此免证事实存在从而适用以此免证事实为前提条件的法规范。[24]

实行举证责任倒置,只要受害人能够提出初步的证据证明侵权事实存在,且证据大致能够推断出侵权人是谁,则由“侵权人”举证证明其未实施侵权行为,否则应承担侵权责任。如受害人上午在银行开户并留存手机号码,下午收到基金公司的垃圾短信或推销电话,只要受害人能够提出证明上述事实的证据,即可推定银行非法将受害人的联系方式披露给基金公司。如果银行无法证明其未非法披露受害人的联系方式,则承担侵权责任。

(二)集体诉讼的引入

个人信息滥用通常是一种“大规模的微型侵害”,(“大规模侵权”并非严格的法律概念,通常指涉及大量受害人的权利和法益的损害事实的发生)即涉及大量的网络用户,但个体的损害可能是轻微的。[2]举证能力不对等、损害结果的微小性和诉讼成本等因素制约了受害人要求加害人承担责任的积极性。损害补偿制度必须随着社会经济发展重新评估,创设更合理的救济程序,有效配置社会资源,使被害人获得更合理公平的保障。[25](36)对于此种诉讼动力不足的情况,尤其是鉴于侵害个人信息具有大规模轻微损害的特点,应当通过集体诉讼制度来救济受害人。我国台湾地区“个人资料保护法”在2010年修订时增设了损害赔偿的集体诉讼制度。(我国台湾“个人资料保护法”第34条:对于同一原因事实造成多数当事人权利受侵害之事件,财团法人或公益社团法人经受有损害之当事人二十人以上以书面授与诉讼实施权者,得以自己之名义,提起损害赔偿诉讼。当事人得于言词辩论终结前以书面撤回诉讼实施权之授与,并通知法院……)集体诉讼使得难以获得赔偿的小额请求得以实现,也避免了审判结果的相互冲突,同时剥夺了侵权人的不当收益,对违法行为人产生震慑,可以有效地防范个人信息滥用行为的发生。

受害人加入集体诉讼的程序有选择退出和选择进入两种模式:前者除受害人明确表示退出外,判决结果可以约束处于相同处境下所有受害的消费者;后者只包括那些已明确加入索赔,并同意要受到最终判决所约束的消费者。[26]“选择退出”式的集体诉讼模式,由于与大陆法系传统的当事人适格理论及相关程序机制存在较大的差异乃至冲突,因而除了葡萄牙等少数国家外,绝大多数国家并未采纳。[27]集体诉讼是受害人实现诉权的有效机制,但是否追究侵权人的责任,仍属权利人意思自治的范畴。选择进入模式不仅尊重了受害人的意思自由,而且实现了集体诉讼的目的,应为我国立法采纳。

承载着个人信息的数据如潮水般的向我们涌来时,对现行立法和法学理论提出了挑战。大数据时代,个人信息保护的程度是一国法治文明乃至信息文明的体现。个人信息安全与商业利用似乎是一对不可调和的矛盾,个人信息保护立法必须直面这种紧张关系并做出决断。权利人本人较之公共机构更关心自己的权利。因此,保障个人信息安全,民事救济手段远比行政责任和刑事责任有效。从民事实体法和程序法两个层面完善个人信息保护的法律规定,强化了对网民个人信息安全的保障,在节约司法资源的同时提高了诉讼效率,最终有利于遏制个人信息滥用行为。



参考文献:
[1] [英] 迈尔-舍恩伯格.删除:大数据取舍之道[M].袁杰译,杭州:浙江人民出版社,2013.
[2] 王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4):62-72.
[3] 黄茂荣.法学方法与现代民法[M].北京:中国政法大学出版社,2001.
[4] 尹伟民、王晓婷.侵犯个人信息行为的民事责任承担[J].中国海洋大学学报(社会科学版),2011(1):89-93.
[5] 刘永祥.论个人信息侵权责任制度之构建[J].商品与质量,2011(10):1-2.
[6] 刘德良.构建个人信息保护的双重模式[N].中国社会科学报,2012-4-2(A7).
[7] [德]马克西米利安·福克斯.侵权行为法[M].齐晓琨译,北京:法律出版社,2006.
[8] [日]五十岚清.人格权法[M].铃木贤,葛敏译,北京:北京大学出版社,2009.
[9] 郭明龙. 论精神损害赔偿中的“侵权人获利”因素[J].法商研究,2009(1):53-61.
[10 齐爱民.论个人信息的法律属性与构成要素[J].情报理论与实践,2009(10):26-29.
[11 刘德良.个人信息的财产权保护[J].法学研究,2007(3):80-91.
[12][德]卡尔·拉伦茨.德国民法通论(上册)[M].王晓晔等译,谢怀栻校,北京:法律出版社,2004.
[13] [美] N.维纳.控制论 或关于在动物和机器中控制和通讯的科学[M].郝季仁译,北京:科学出版社,1963.
[14] 吴伯田.从哲学看信息的本质[J].浙江师范学院学报(社会科学版),1983(2):35-40.
[15] 马俊驹.关于人格权基础理论问题的探讨[J].法学杂志,2007(5):2-6.
[16] 张涛.个人信息的法学证成:两种价值维度的统一[J].求索,2011(12):161-163.
[17] 贺栩栩.比较法上的个人数据信息自决权[J].比较法研究,2013(2):61-76.
[18] 叶金强.精神损害赔偿制度的解释论框架[J].法学家,2011(5):87-98.
[19] 李承亮.损害赔偿与民事责任[J].法学研究,2009(3):135-149.
[20] 王泽鉴.侵权行为法(第一册)[M].北京:中国政法大学出版社2001.
[21] 曾世雄.损害赔偿法原理[M].北京:中国政法大学出版社,2001.
[22] James Edelman,Gain-based Damages. Contract,Tort,Equity and Intellectual Property[M]. Oxford: Hart Publishing, 2002.
[23] 程春华.举证责任分配、举证责任倒置与举证责任转移——以民事诉讼为考察范围[J].现代法学.2008(2):99-107.
[24] 汤维建.论民事诉讼中的举证责任倒置[J].法律适用,2002(6):4-11.
[25] 王泽鉴.侵权行为[M].北京:北京大学出版社,2009.
[26] 郭雪慧. 欧盟消费者集体诉讼制度及其对中国的启示[J]. 云南社会科学2013(4):131-135.
[27] 刘学在.请求损害赔偿之团体诉讼制度研究[J]. 法学家2011(6):137-156.

(本文原载于《北京邮电大学学报》2014年第6期,转载请标明出处)


中国网络空间安全协会 © 版权所有

地址:北京市东城区朝阳门内大街288号1502室

技术协办:中云技术股份有限公司

津ICP备19007168号

津公网安备 12011102000196号