|
法学院
|
|
□ 张凌寒
近年来,个人信息和数据的处理已经成为数字经济运行和政府公共治理的必需,但数据非法收集、滥用、泄露等频频给个人造成物质与非物质损害,且影响广泛。其中,因个人信息和数据非法处理造成的物质损害(如虚拟财产被盗)在实践中的认定和衡量几无争议,但就非物质损害(以下简称“数据信息损害”)在法律上的界定与赔偿衡量等则尚未有明确规则。由于此类损害为非物质性且难以计算,法院往往以原告没有证明遭受了实质性损害为由驳回其损害赔偿的诉讼请求。 个人遭受的数据信息损害无法被传统损害认定规则涵摄,造成了诸多不公正后果。因此,亟需革新并发展损害认定与计量的法理依据与法律规则,以使数据信息损害能够获得充分而精准的司法救济。 数据信息损害独立性之证成 数据信息损害具有不可忽视的独立性,具备获得法律承认的必要性与可行性。然而,我国现有立法尚未充分承认数据信息损害的独立性,使得大量损害难以被认定和衡量,进而导致法益保护出现空白地带。 从类型化视角看,依据损害与权益被侵害之间因果远近的不同,可将数据信息损害分为直接损害和后续损害两类。数据信息直接损害指个人信息与数据被非法收集、访问、不当处理、泄露与丢失等。侵害个人信息和数据权益引发的直接损害后果主要有两种类型:一是同时引发的对民法典已确定的人格权的损害;二是人身和财产安全风险上升。数据信息后续损害,指由于个人信息与数据的滥用与泄露造成的后续损害后果,包括但不限于身体或精神损害、身份被盗用、失业或遭受歧视性待遇、个人丧失机会或福利、个人受到监视的行为限制等。此类损害后果多样,但大多因形式不被法律承认的无形损害所容纳、因果关系难以证明和个体显著性不足而难以被认定为可赔偿的损害。 数据信息损害能够获得法律承认、进而获得民事救济,需要满足学理和制度层面的必要性与可行性。首先,从个体层面看,承认数据信息损害为可获赔的损害是保护个人权益与使数据处理者谨慎行事之必需。其次,从治理层面看,只有承认数据信息损害才能彰显法律态度、回应社会问题并实现风险控制。再次,从社会总体成本角度来看,承认数据信息损害有助于降低社会总体交易成本并实现更好的社会效果。最后,在社会成本分配层面,只有承认数据信息损害才能实现公平分配社会成本、平等保护弱势个体。 分析可知,数据信息损害无以获得民事救济的根源在于民法学坚持非物质损害认定的实定化前提,而数据信息损害的各细分损害不符合此法释义学条件。但笔者认为这一制度障碍并非不可克服。由于民法典中并没有明文规定“损害”的内涵和外延,更没有对非物质损害作出限定,因此,民法教义学的立场是否能够作出合理调整为问题之关键。对此,可结合民法中的损害认定要件从以下几方面分析:一是就损害的“质”而言,承认数据信息损害的前提条件可通过法释义学一定范围的扩展得到满足;二是从损害的“量”上来看,虽然就个人而言,数据信息损害之量不足以启动民事救济,但其总和之量不可忽视,在价值保护需求上甚至足以导致专门的立法(如个人信息保护法)的出现,具有补救的必要性和可能性;三是从因果关系认定来说,数据信息损害可被损害概念所附带的因果关系范式接纳,进而将风险纳入损害之内。 承认数据信息损害的法理依据 在数字时代,数据信息损害大多具有无形性、未来风险不确定性、间接性等特征,故而有必要在法理层面重新全面认识损害及其认定规则,以彻底解决承认数据信息损害所面临的障碍和问题。 数据信息损害因为数额的不确定、发生时间的不确定和对应权益的不确定,无法被纳入法律承认的损害范畴。但笔者认为,计算的不确定性不应成为承认数据信息损害的障碍,而发生时间和承载权益的不确定性乃基于数字社会生产方式而产生,可通过理论完善予以回应。第一,损害概念的扩张史显示,损害早已内嵌了不确定性,数据信息损害的不确定性完全可通过规则调整予以容纳。第二,承认数据信息损害的不确定性,并非将所有未来发生的损害结果皆视为数据信息损害,而旨在使损害认定以保护权益主体为导向,确定数据信息损害的可问责性。损害概念的扩张史同样容纳了发生时间不确定的损害。第三,数据信息承载权益的不确定性是基于社会生产方式变革而产生的变化,不应成为承认数据信息损害的障碍,而数据信息损害是切实存在的,因而必须从理论层面及时予以回应。 数据信息的强流动性与非排他性使得数据信息损害因果关系具有概率性与复杂性。因此,对数据信息不应仅延续物理世界中对静态财产的直觉认知和想象,而应引入推定性因果关系判断标准,以适应数字时代的变化。第一,数据信息损害因果关系的概率性和复杂性主要来源于数据信息的强流动性与非排他性,应延长因果关系链条对之予以延纳。第二,数据信息损害因果关系的概率性和复杂性可通过法律直接建立因果关系模型予以解决。因果关系的概率性与复杂性不应成为承认数据信息损害的障碍,只需进行恰当的制度设计来限制数据信息损害的范围、达到各方利益的平衡即可。 在数字社会生产方式下,数据信息损害多呈现总量严重、个体显著性不足的形态,这使其超越了个体性而兼具私益与公益性质。因此,有必要基于社会生产方式的变化,对数据信息损害要素是否须具备个体显著性进行评价调整,即承认数据信息损害取决于损害总体严重程度,个体显著性仅决定了救济的诉讼方式。 数据信息损害的救济规则调整 针对传统损害救济规则对确定性的要求,可通过数据信息损害认定的法定化与类型化来解决;而对传统救济损害的个体显著性要求,则可通过诉讼制度与赔偿方式的调整来回应。 目前在司法实践中,以侵害个人信息为主要目的的案件数量占个人信息侵权案件的大多数,且主要是以隐私权纠纷出现。然而,个人对数据与信息的安全保有与合理控制在很多情况下并不能被隐私权保护容纳。因此,应将数据信息直接损害认定法定化,承认特定种类的数据信息直接损害,并辅以明确损害的特定范围。对后续数据信息损害等非物质损害的界定同样应法定化,并通过限定特定类型防止损害无限化,以在有效救济与责任限制中取得平衡。 要解决工业时代发展起来的个体主义的救济模式与数字化社会生产中大规模信息聚合、处理的矛盾,需要通过诉讼制度调整来探索解决个体显著性不足问题,并明确微小的系统性数据信息损害的赔偿方式。大规模个人信息侵权中的损害赔偿与集合财务侵权情形相类似。在我国现有法律体系中,集体但微小的数据信息损害可适用反垄断法、个人信息保护法以及消费者权益保护法规定的公益诉讼。 民法典未专门针对个人信息侵权案件规定法定赔偿额或惩罚性赔偿制度,而个人信息保护法将民法典第一千一百八十二条侵害人身权益造成财产损害赔偿额的衡量方法照搬到个人信息权益侵权领域。这造成个人信息侵权损害赔偿额的衡量不具有可操作性,也未能充分体现数据和信息所承载的人格利益与财产利益。而且,由于对个人的损害主要是非物质损害,遵循赔偿填平原则的补偿性赔偿无论是对个体救济还是对侵权者的震慑而言均显不足。特别是在大规模数据和个人信息侵权案件中,单个主体受到的损害往往与违法者所获利益并无数量上的直接关系,因此对大规模侵权造成之微小的系统性损害不宜以差额说为基础进行补偿性赔偿,而宜通过司法实践逐步确立法定赔偿额或惩罚性赔偿制度,并积极拓展新的损害赔偿责任承担方式。 未来我国相关法制的完善除有必要建立类似的层次化损害认定与衡量机制外,还应发展与此相关的损害救济机制,其中应特别注意充分考量两个要点:第一,基于数据信息损害的特殊性,其责任承担方式不宜以财产赔偿为限,而应发展更多的损害救济方式;第二,应引入损害赔偿模型。 (原文刊载于《中国法学》2024年第3期)
|
|
论数据信息损害的承认与救济
|
|
|
|
( 2024-08-28 ) 稿件来源: 法治日报法学院 |
|
□ 张凌寒
近年来,个人信息和数据的处理已经成为数字经济运行和政府公共治理的必需,但数据非法收集、滥用、泄露等频频给个人造成物质与非物质损害,且影响广泛。其中,因个人信息和数据非法处理造成的物质损害(如虚拟财产被盗)在实践中的认定和衡量几无争议,但就非物质损害(以下简称“数据信息损害”)在法律上的界定与赔偿衡量等则尚未有明确规则。由于此类损害为非物质性且难以计算,法院往往以原告没有证明遭受了实质性损害为由驳回其损害赔偿的诉讼请求。 个人遭受的数据信息损害无法被传统损害认定规则涵摄,造成了诸多不公正后果。因此,亟需革新并发展损害认定与计量的法理依据与法律规则,以使数据信息损害能够获得充分而精准的司法救济。 数据信息损害独立性之证成 数据信息损害具有不可忽视的独立性,具备获得法律承认的必要性与可行性。然而,我国现有立法尚未充分承认数据信息损害的独立性,使得大量损害难以被认定和衡量,进而导致法益保护出现空白地带。 从类型化视角看,依据损害与权益被侵害之间因果远近的不同,可将数据信息损害分为直接损害和后续损害两类。数据信息直接损害指个人信息与数据被非法收集、访问、不当处理、泄露与丢失等。侵害个人信息和数据权益引发的直接损害后果主要有两种类型:一是同时引发的对民法典已确定的人格权的损害;二是人身和财产安全风险上升。数据信息后续损害,指由于个人信息与数据的滥用与泄露造成的后续损害后果,包括但不限于身体或精神损害、身份被盗用、失业或遭受歧视性待遇、个人丧失机会或福利、个人受到监视的行为限制等。此类损害后果多样,但大多因形式不被法律承认的无形损害所容纳、因果关系难以证明和个体显著性不足而难以被认定为可赔偿的损害。 数据信息损害能够获得法律承认、进而获得民事救济,需要满足学理和制度层面的必要性与可行性。首先,从个体层面看,承认数据信息损害为可获赔的损害是保护个人权益与使数据处理者谨慎行事之必需。其次,从治理层面看,只有承认数据信息损害才能彰显法律态度、回应社会问题并实现风险控制。再次,从社会总体成本角度来看,承认数据信息损害有助于降低社会总体交易成本并实现更好的社会效果。最后,在社会成本分配层面,只有承认数据信息损害才能实现公平分配社会成本、平等保护弱势个体。 分析可知,数据信息损害无以获得民事救济的根源在于民法学坚持非物质损害认定的实定化前提,而数据信息损害的各细分损害不符合此法释义学条件。但笔者认为这一制度障碍并非不可克服。由于民法典中并没有明文规定“损害”的内涵和外延,更没有对非物质损害作出限定,因此,民法教义学的立场是否能够作出合理调整为问题之关键。对此,可结合民法中的损害认定要件从以下几方面分析:一是就损害的“质”而言,承认数据信息损害的前提条件可通过法释义学一定范围的扩展得到满足;二是从损害的“量”上来看,虽然就个人而言,数据信息损害之量不足以启动民事救济,但其总和之量不可忽视,在价值保护需求上甚至足以导致专门的立法(如个人信息保护法)的出现,具有补救的必要性和可能性;三是从因果关系认定来说,数据信息损害可被损害概念所附带的因果关系范式接纳,进而将风险纳入损害之内。 承认数据信息损害的法理依据 在数字时代,数据信息损害大多具有无形性、未来风险不确定性、间接性等特征,故而有必要在法理层面重新全面认识损害及其认定规则,以彻底解决承认数据信息损害所面临的障碍和问题。 数据信息损害因为数额的不确定、发生时间的不确定和对应权益的不确定,无法被纳入法律承认的损害范畴。但笔者认为,计算的不确定性不应成为承认数据信息损害的障碍,而发生时间和承载权益的不确定性乃基于数字社会生产方式而产生,可通过理论完善予以回应。第一,损害概念的扩张史显示,损害早已内嵌了不确定性,数据信息损害的不确定性完全可通过规则调整予以容纳。第二,承认数据信息损害的不确定性,并非将所有未来发生的损害结果皆视为数据信息损害,而旨在使损害认定以保护权益主体为导向,确定数据信息损害的可问责性。损害概念的扩张史同样容纳了发生时间不确定的损害。第三,数据信息承载权益的不确定性是基于社会生产方式变革而产生的变化,不应成为承认数据信息损害的障碍,而数据信息损害是切实存在的,因而必须从理论层面及时予以回应。 数据信息的强流动性与非排他性使得数据信息损害因果关系具有概率性与复杂性。因此,对数据信息不应仅延续物理世界中对静态财产的直觉认知和想象,而应引入推定性因果关系判断标准,以适应数字时代的变化。第一,数据信息损害因果关系的概率性和复杂性主要来源于数据信息的强流动性与非排他性,应延长因果关系链条对之予以延纳。第二,数据信息损害因果关系的概率性和复杂性可通过法律直接建立因果关系模型予以解决。因果关系的概率性与复杂性不应成为承认数据信息损害的障碍,只需进行恰当的制度设计来限制数据信息损害的范围、达到各方利益的平衡即可。 在数字社会生产方式下,数据信息损害多呈现总量严重、个体显著性不足的形态,这使其超越了个体性而兼具私益与公益性质。因此,有必要基于社会生产方式的变化,对数据信息损害要素是否须具备个体显著性进行评价调整,即承认数据信息损害取决于损害总体严重程度,个体显著性仅决定了救济的诉讼方式。 数据信息损害的救济规则调整 针对传统损害救济规则对确定性的要求,可通过数据信息损害认定的法定化与类型化来解决;而对传统救济损害的个体显著性要求,则可通过诉讼制度与赔偿方式的调整来回应。 目前在司法实践中,以侵害个人信息为主要目的的案件数量占个人信息侵权案件的大多数,且主要是以隐私权纠纷出现。然而,个人对数据与信息的安全保有与合理控制在很多情况下并不能被隐私权保护容纳。因此,应将数据信息直接损害认定法定化,承认特定种类的数据信息直接损害,并辅以明确损害的特定范围。对后续数据信息损害等非物质损害的界定同样应法定化,并通过限定特定类型防止损害无限化,以在有效救济与责任限制中取得平衡。 要解决工业时代发展起来的个体主义的救济模式与数字化社会生产中大规模信息聚合、处理的矛盾,需要通过诉讼制度调整来探索解决个体显著性不足问题,并明确微小的系统性数据信息损害的赔偿方式。大规模个人信息侵权中的损害赔偿与集合财务侵权情形相类似。在我国现有法律体系中,集体但微小的数据信息损害可适用反垄断法、个人信息保护法以及消费者权益保护法规定的公益诉讼。 民法典未专门针对个人信息侵权案件规定法定赔偿额或惩罚性赔偿制度,而个人信息保护法将民法典第一千一百八十二条侵害人身权益造成财产损害赔偿额的衡量方法照搬到个人信息权益侵权领域。这造成个人信息侵权损害赔偿额的衡量不具有可操作性,也未能充分体现数据和信息所承载的人格利益与财产利益。而且,由于对个人的损害主要是非物质损害,遵循赔偿填平原则的补偿性赔偿无论是对个体救济还是对侵权者的震慑而言均显不足。特别是在大规模数据和个人信息侵权案件中,单个主体受到的损害往往与违法者所获利益并无数量上的直接关系,因此对大规模侵权造成之微小的系统性损害不宜以差额说为基础进行补偿性赔偿,而宜通过司法实践逐步确立法定赔偿额或惩罚性赔偿制度,并积极拓展新的损害赔偿责任承担方式。 未来我国相关法制的完善除有必要建立类似的层次化损害认定与衡量机制外,还应发展与此相关的损害救济机制,其中应特别注意充分考量两个要点:第一,基于数据信息损害的特殊性,其责任承担方式不宜以财产赔偿为限,而应发展更多的损害救济方式;第二,应引入损害赔偿模型。 (原文刊载于《中国法学》2024年第3期)
|
|
|