作者简介
贾彦昊
山东大学法学院硕士研究生在读,主要从事个人信息保护、侵权责任法学等方面的研究工作。
陈霖
南京师范大学法学院讲师,法学博士,长期从事婚姻家庭法学、侵权责任法学等方面的研究工作。
论文引用格式:
贾彦昊, 陈霖. 信息处理者风险创设行为的规制路径研究[J]. 信息通信技术与政策, 2024, 50(8): 89-96.
信息处理者风险创设行为的规制路径研究
贾彦昊1 陈霖2
(1.山东大学法学院,青岛 266237;
2.南京师范大学法学院,南京 210023)
摘要:信息处理者在信息处理过程中可能创造出交往控制风险,当此种风险超越必要限度对信息主体造成不当干涉时,法律存在介入的必要。对于风险是否超越了必要限度的判断,应当以信息处理者是否履行了法定的作为义务或不作为义务为标准,信息处理者在处理过程中是否带有意欲影响他人决策的不当目的,并不构成风险异常性的判断标准。创设异常风险的行为具有违法性,构成对个人信息的侵权行为。但该行为所创设的异常风险难以纳入当前损害的概念之中,将风险作为损害有违损害的确定性与客观性,也将增加因果关系认定的难度与成本。因此,在立法论上,我国可尝试引入惩罚性赔偿制度,将交往控制风险作为判断惩罚性赔偿诸要件的要素或标准之一;在解释论上,法院可通过个别类推个人信息损害赔偿规则对信息主体的救济。
关键词:交往控制风险;损害;违法性;惩罚性赔偿;个别类推
0 引言
《中华人民共和国个人信息保护法》(简称《个人信息保护法》)的颁布是个人信息权益保护的重大里程碑,对于跨境提供个人信息、告知同意规则、自动化决策等热点问题均作出了回应,但也有较为明显的缺憾,本次立法未能充分回应个人信息侵权领域的特殊问题。对于个人信息而言,损害通常表现为信息泄露后被非法使用的风险,而非确定发生的损失[1]。风险能否作为一种损害获得赔偿,成为目前学界关注的问题之一。在诸多新型风险当中,谢鸿飞[2]提出交往控制(关系控制)风险:“一方事先获得对方的个人信息,在交往中就能利用信息不对称优势,预测、影响甚至操纵对方的决定。获取对方的相关数据越多,越能了解对方的兴趣、风险偏好、交易能力、性格等,发现并分析对方的人格缺陷和优点,从而利用投其所好等各种社交策略和谈判技巧,秘密干预对方的决定。”对于此种创设交往控制风险的行为是否构成侵权,交往控制风险是否构成损害,目前理论界均鲜有关注。本文尝试对交往控制风险进行类型化分析,在否认“风险是一种损害”的基础上,提出《个人信息保护法》化解交往控制风险的可行方案。
1 信息处理者创设交往控制风险的类型
1.1 正常风险创设行为
以信息处理行为异常与否为依据,可以将创设社会控制风险的行为分为正常风险创设行为与异常风险创设行为。正常风险创设行为是指信息处理者依法处理个人信息,并根据信息主体偏好进行适度推送,对信息主体决策可能产生潜在影响的行为。此种行为创设的风险属于信息社会日常生活中人人均需面对的风险,不具有异常性,是信息主体参与社会活动所必须承担的潜在风险,因此信息处理者的风险创设行为原则上不具有违法性,信息主体对此种风险负有容忍义务。
在实践中正常风险创设行为容易与以下案型混淆:信息处理者处理信息的行为,不但对个人决策产生了潜在影响,而且此种潜在影响通过信息主体的实践行为而现实化,个人在推送信息的影响下作出了导致其重大财产损失的决策。在正常风险创设行为中,信息处理者的行为仅导致了一种潜在的、未发的影响可能性,此种可能性是否能够现实化,是否能够对个人决策产生实际影响均难以确定,信息主体的人身与财产权益也并没有因此受到实际损害;而在本段所述案型中,信息处理者的行为导致了信息主体受到推送信息的现实影响而作出决策,并产生实际损失。正常风险创设行为与本段所述案型的区别还体现在两者的救济方式上,针对正常风险创设行为,由于此种风险属于主体应当承受的一般性风险,且并无实际财产损失的发生,故对个人信息主体一般不予救济;而在本段所述案型中,个人信息主体因他人提供信息的不当干涉而产生了财产损失,此种损失在侵权法的体系中应当定位为纯粹经济损失,依据通说观点,信息主体仅在法律明文规定或侵权人以悖俗或故意手段侵权时方可主张损害赔偿[3]。除侵权法的救济之外,决策受到影响的信息主体也依据《中华人民共和国民法典》(简称《民法典》)第一百四十七条的重大误解和第一百四十八条的欺诈制度撤销民事法律行为,并结合不当得利返还规则取回财产。
1.2 异常风险创设行为
异常风险创设行为主要指信息处理者非法获取、处理他人信息,根据信息处理结果针对信息主体偏好进行推送,并对信息主体决策可能产生潜在影响的行为。相较于正常风险创设行为而言,其关键特征在于信息获取行为或处理行为的违法性。非法手段获取信息、处理信息造成信息主体承受的风险异常增加,是苛责信息处理者的基础。依据《个人信息保护法》第十条,非法获取、处理信息的行为本身无疑构成侵权,在性质上属于个人信息侵权行为,若信息涉及隐私,则同时可能因违反《民法典》第一千零三十二条而成立隐私权侵权。但无论为何种侵权,信息主体均可进行主张损害赔偿,而此种异常风险创设行为正是本文研究的核心对象。面对异常风险创设行为,在《个人信息保护法》与《民法典》体系下需要解决的问题是,信息处理者违法行为所创设的异常风险是否属于《民法典》第一千一百八十三条、第一千一百八十四条和《个人信息保护法》第六十九条所称损害的范围,如果能够纳入损害范围,如何理解“损害”的确定性与“风险”的不确定性之间的关系;如果不能纳入损害的范围,对于此种信息处理者所创设的异常风险,信息主体又应当如何获得救济?
2 交往控制风险异常性的判断逻辑
在规范层面,应当如何识别信息处理者的行为所创设的风险是否异常,如何判断一种风险是否处于信息主体的容忍范围之内,仍待反思。而对于风险异常与否的判断,在法教义学上可以转化为“信息处理者的风险创设行为是否构成侵权行为”这一命题。在侵权法的逻辑下,信息处理者创设风险是否异常,又可具象化为对于“风险创设行为违法性的判断”:若信息处理行为具有违法性构成了侵权行为,则应肯认其所创设风险的异常性;若行为本身并未超越法定义务限度,则不应认定其具有违法性,与之相应的风险则不具有异常性。
2.1 侵权行为违法性的审查层次
行为违法性作为一个独立的层次,需要从积极要件与消极要件两个方面进行判断。违法性积极要件的判断较具争议,存在行为不法说与结果不法说两种观点,而行为不法说为目前的学界通说。同时,在行为不法说的内部还存在理论分野,行为不法说又可根据违反对象区分为形式违法说与实质违法说。形式违法说认为,侵权行为的违法性是对客观法律秩序的违反;实质违法说认为,侵权行为的违法性不但包括对现行法律的违反,还包括故意以违反善良风俗的方式致人损害[4]。对于创设正常风险行为是否具有违法性,审查的重点应当集中于违法性的积极要件。至于具体采取何种立场,由于我国《民法典》并未设置故意或悖俗方式侵犯他人民事权益的“悖俗侵权”条款,仅在第一千一百六十五条设置了统一的一般侵权条款,因此出于与现行法秩序保持一致的基本出发点,本文采取形式违法说,仅认为违法性判断应当根据是否违反了现行法律规范设置的客观义务为标准,以防过度解释破坏对法的统一理解与一般预期。形式违法所涉及的情形主要包括:信息处理者的处理行为违反了法律的禁止性规范,构成对不作为义务的违反;信息处理者的处理行为违反了法律的强制性规范,构成对作为义务的违反。
2.2 信息处理者的不作为义务/消极安保义务
行为违法性的判断有赖于是否违反行为义务。在《民法典》中,数据处理者的行为义务可以分为不作为义务与作为义务,亦有学者将其称为消极安保义务与积极安保义务,以此体现侵权法领域安全保障义务普遍化的趋势[2](本文在用词上将混用以上两对术语)。
至于信息处理者消极安保义务的内容,《民法典》第一百一十一条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”《民法典》第一千零三十五条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。”概言之,信息处理者负有不得过度处理、泄露、篡改、非法获取个人信息的消极安保义务。消极安保义务又可以分为两个层次:信息处理者的合法处理义务,即信息处理者不得从事非法获取、处理信息的行为;信息处理者的合理处理义务,即信息处理者向信息主体的推送行为应当适度,不得向信息主体过度推送可能影响其决策的信息。因此,判断信息处理者通过信息处理行为所创设的风险是否异常,在消极安保义务层面应当经过以上合法性与合理性的双重检视,根据信息处理者的行为是否实现了对于数据主体的最低限度尊重,来确定信息处理行为是否具有违法性,进而判定处理行为所创设的风险是否超越了信息主体的容忍义务边界。
2.3 信息处理者的作为义务/积极安保义务
至于信息处理者是否负有作为义务,其判断逻辑上与不作为义务有所区分。目前,《个人信息保护法》中已经对信息处理者的积极作为义务作出了规定,信息处理者的作为义务在具体形态上包括处理告知义务、用途变更告知义务、届期删除义务等[5],作为义务的核心内容可概括为保障个人信息知情与信息安全。本文之所以强调信息处理者的作为义务与不作为义务的判断逻辑存在区别,原因在于,一般而言所有主体均应负担尊重他人个人信息的不作为义务,而仅有特定主体需要承担作为义务[2],即信息处理者并非天然地对信息主体负有作为义务,信息处理者承担积极义务需要单独论证并提供实质性理由。因此,本文将以信息处理者承担作为义务的理论基础为主要内容展开分析。
作为义务产生的基础在于特殊关系。此种特殊关系在不同国家存在不同的表述方式,德国将其表述为“社会密切关系”,日本将其表述为“特殊社会性接触关系” [6]。但在本质上其所强调的都是主体之间一种异于常人的特殊结合关系。在学理上对于特殊关系的判断因素一般包括:双方之间的利益托付;可能承担责任的一方对风险或损害的可预见性;风险或损害的异常性;特殊关系是否合乎公共政策与公共利益。此种以要素为基础的动态体系论,既克服了“要件-效果”模式下“全有全无”式判断方式的僵化性,也弥补了一般条款立法指示的不足,开辟了一条中间道路[7]。
信息处理者因其与信息主体之间的特殊关系而负担作为义务。信息处理者对个人信息存在实际控制关系。在互联网时代,个人信息主体对于个人信息几乎不存在实际控制能力。一旦信息处理者掌控了个人信息,信息处理者对于信息的处理行为几乎不受信息主体控制。知情同意规则在操作中面临着诸多障碍,不能充分发挥实际效果,导致信息主体进一步陷入弱势地位[8]。在信息主体几近丧失自保能力的网络空间,若不对信息处理者加以高度的作为义务,将导致信息主体人人自危,拒绝提供个人信息;而信息处理者也失去了发展信息产业的基础数据来源[2]。若不为信息处理者设定作为义务,最终将导致信息主体与信息处理者两败俱伤。
信息处理者创设的风险实属异常是信息处理者负担作为义务的另一个理由。信息处理者创设影响信息主体决策可能性的风险,是信息社会才存在的风险,属于信息时代的特有产物。其与传统工业社会面临的风险大相径庭。首先,此种风险仅存在于信息社会之中,农业社会与工业社会并无此风险形态;其次,此种风险来源于信息社会中信息处理者利用专业知识,违法或不合理地处理信息主体的信息,导致其信息被过度加工或深入挖掘,从而出现原本不应面对的风险。当以上两个原因结合时,信息处理者所创设的风险即为一般信息主体所不应当承受的异常风险。风险的异常性意味着信息处理者与信息主体之间属于一种特殊结合关系,信息处理者应当负担作为义务,信息处理者需要通过履行义务以保障信息主体的信息安全。
综上,信息处理者与信息主体之间存在着利益托付关系,信息处理者实际控制着信息主体的信息。同时,信息处理者所创设的风险是具备特定知识的人在特定社会形态下通过不法或不合理手段所创设的风险,具有异常性。因此,信息处理者应当基于其与信息主体的特殊关系而负有作为义务。
2.4 信息处理的目的不当不能作为认定侵权行为的标准
以上界定了信息处理者所负担的义务类型,但仍存在疑问,当信息处理者的信息处理行为手段合法且适当时,信息处理者是否会因具有意欲影响他人决策的不正当目的而产生违法性?
笔者认为,当信息处理者仅存在不当目的但是没有发生具体的不当处理行为时,不应当过分苛责信息处理者的行为。原因在于,目的作为一种主观意识,其受法律评价以法律的明文规定为限。行为者的目的仅作为表示价值明确表露于外且法律有明确规定时,才有接受法律规范评价的可能,否则将过分限制社会交往的可预期性。例如,《最高人民法院关于适用<中华人民共和国民法典《总则编若干问题的解释》中对标的物的性质的重大误解导致法律行为可撤销,误认标的性质在本质上属动机错误,动机作为一种目的不具备表示价值,仅在法律明确规定时方在法律评价中具备意义。此外,其他未经法律明文化的行为目的,均不应当构成苛责信息处理者承担责任的基础,否则将过分限制信息处理者的行为自由。
创设正常风险行为虽然具有不正当目的,在主观上可能存在通过数据推送影响他人决策的意图,但是此种意图不具有公开性与社会典型性,并未表露于外;且该目的本身并未受法律秩序的调整。因此,不当目的的存在不应导致信息处理行为与推送行为具备违法性,也不会使信息处理与推送行为在法律上被评价为侵权行为。这样的价值选择最大限度地在行为自由与权益保障之间达成了平衡,同样有利于经济社会秩序的维护与生产活动的正常开展[9]。
3 异常交往控制风险的体系定位
若信息处理者的行为违反了尊重他人信息的不作为义务与维护他人信息安全的作为义务,则行为具有违法性,行为构成异常风险创设行为。行为所创设的异常风险在内容上主要包括:非法获取他人未经公开的信息,进行处理后分析偏好,对信息主体适度推送产生影响其决策的可能性;依法获取、处理他人信息后分析偏好,对信息主体过度推送,产生影响其决策的可能性。前者的风险创设行为是非法获取信息的行为,其所侵犯的权利客体是信息主体的个人信息或隐私权;后者的风险创设行为是过度推送行为,其所侵犯的权利客体是信息主体的隐私权,主要侵权样态是干扰了他人正常生活的安宁。本文所指情形仅包括前者中侵犯个人信息的案型。而在该案型中需要解决的问题是,由于信息处理者的信息非法获取、处理行为,产生了影响信息主体决策的可能性,此种可能性作为一种异常风险,是否能够评价为侵权责任法上的“损害”?目前,学界对此问题尚未形成一致性观点,对此问题主要有肯定说与否定说两种立场,本文采取否定说。
3.1 肯定说的主要观点
肯定说认为,风险可以评价为一种损害,信息主体遭受交往控制的风险时,可以向法院单独提起损害赔偿诉讼。将风险认定为一种损害,是风险社会中扩大权益保护的必然要求[1]。虽然风险具有不确定性,运用传统侵权损害赔偿计算中的差额说难以计算具体损失,但持肯定说的学者认为,对于损失的具体计算可通过规范损害说对差额说进行修正,使风险作为一种规范意义上的不利益纳入损害的计算范围[10]。信息暴露带来的风险升高、预防风险的费用支出和风险引发的焦虑均可认定为是一种规范意义上的不利益,成为个人信息侵权意义上的损害[11]。
3.2 将风险作为损害有违损害的确定性
本文则采取否定说立场[12],肯定说固然具备合理性,但是由于其对传统侵权法的概念进行了颠覆性改造,因此本文尝试在传统理论框架内寻找更能保持民法体系性的解决方案。以下将详述反对的具体理由与解决方案。
否认肯定说的理由之一在于,风险与损害具有不同的“质的规定性”。风险最大的特征在于不确定性,个人信息泄露带来的风险是未来发生损害的风险,此种风险本身并未现实化之前,是不可确定与不可量化的。而侵权法意义上的损害则有所不同,损害的特征在于确定性,人身损害与财产损害均可量化,以特定数量金钱衡量。将风险作为一种损害将彻底消解损害的确定性,导致我国侵权法体系中确立的统一的损害概念不复存在,损害的判断将失去一般性,成为一种完全个案的判断过程。持肯定论者多从社会功效与比较法经验出发,扩大损害的范围,可以发挥预防作用、实现帕累托最优、实现侵权法的震慑作用以及内化侵权行为成本等[10],但此种观点没有提供在现行法框架内的法律适用具体方法。将风险排除于损害之外,仅在个人信息被非法利用导致实际的人身或财产损失时才能适用损害赔偿责任,通过其他制度或法律适用方法解决风险的赔偿问题,更加合乎我国立法与司法的实际情况。
3.3 将风险作为损害将导致因果关系丧失客观性
否认肯定说的理由之二在于,在传统的侵权责任理论中,行为、因果关系、损害结果都是在构成要件符合性层面所做的客观判断。而将交往控制风险作为损害,将导致因果关系的认定中需要解决的问题发生根本性转变,因果关系不再是连接行为与客观结果的桥梁,反而成了连接行为与特定心理状态的桥梁。因果关系的判断从客观过程变成了主观过程。
3.3.1 传统侵权理论对因果关系的认定是一个客观化的过程
在传统的侵权理论中,由于损害作为一种客观事实,其一般均具有可观察的外在表现形式。财产损失表现为财产数额减少、财产价值降低或丧失等[13]。精神损害则表现为精神痛苦,精神痛苦难以以外在形式呈现,因此仅在法定的明确情形方可主张精神损害赔偿,其具体数额的评定也是依据客观因素作出。以上均体现了损害客观化的特征[14]。在传统的损害赔偿理论中,因果关系认定过程需要进行的工作即为通过条件说、相当因果关系说、规范保护说等方法,判断何种行为与已经确定发生的损害之间存在法律上的因果关系,截取适当因果关系片段,过滤无关的因果关系。损害的客观性决定了因果关系的认定是一个客观的过程,是对事物客观发展过程的截取,而非对事务之间联系的主观臆断。
3.3.2 将风险作为损害将导致因果关系的认定成为揣测主观心理活动的过程
将风险概念引入损害之中,将导致因果关系丧失客观性,成为一种对心理活动的主观揣测。风险本身具有不确定性,此种不确定性意味着风险尚未实现,未来实现与否均难以预测。在交往控制中所产生的风险,并非客观意义上的风险,不是一种可能影响广大社会大众决策的风险。该风险是一种主观意义上的风险,是指向特定对象的风险,是由于信息处理者非法获取或处理个人信息,并针对特定信息主体推送所产生的风险。此种风险由于信息处理结果与推送行为的针对性只对特定主体存在。
而交往控制风险的主观性意味着,信息主体的决策究竟是否会受影响,会因推送的信息受到何种程度影响,受到的影响是否由于针对信息推送所导致,以上均取决于信息主体的个人心理状态和信息主体的心理活动,判断信息处理者的行为与交往控制风险是否产生,完全是对主观精神过程的判断。这也将导致因果关系的判断不再是一个客观上由行为指向特定结果的过程,而成为了判断何种行为可能导致特定主体决策受影响的过程,成为了一种揣测信息主体心理状态的过程。即便确定信息主体存在受到针对性推送内容影响的风险,也难以确定此种风险的产生是由于他人窃取个人信息后的针对性推送行为所致,还是由于其教育背景、家庭环境等其他因素所导致。因此,将风险作为损害,完全破坏了因果关系的客观性与损害的确定性,得不偿失。综合以上两点,本文认为为了保护传统侵权责任法的概念与体系的稳定性,肯定说不足为取。
4 异常交往控制风险的规制方案
企图将交往控制风险作为一种损害纳入损害赔偿的范围,体现了保障被害人权益的理念。但如上所述,将风险作为损害对侵权法的基础理论造成了巨大冲击,将直接颠覆损害的确定性与因果关系的客观性。实现同一目标并非只有一种路径。即便不能直接通过损害赔偿的路径解决社交控制风险的救济问题,但仍可以通过在体系内寻找其他加重侵权者责任或减轻受害人负担的方式,在信息处理者与信息主体之间实现公平的责任分配。在侵权法的体系内部,加重侵权人负担的手段有连带责任、惩罚性赔偿、无过错责任等,减轻被害人负担的手段有举证责任的倒置或减轻等,例如侵权法中大量存在的过错推定责任,再如环境侵权中的初步证明责任[15]。因此,在制度设置上,除了将风险作为一种损害之外,仍然有可能通过其他方法拘束信息处理者的异常风险创设行为。本文从立法论和解释论的角度分别提供两种可行的方案。
4.1 立法上引入惩罚性赔偿制度
4.1.1 立法上的备选方案
在诸多加重侵权人负担或减轻被害人负担的手段中,连带责任、无过错责任、举证责任倒置均不宜用以解决该问题。首先,本文中创设交往控制风险行为的情形不具有适用连带责任的基础。连带责任主要涉及多数人侵权中责任承担问题,在信息处理者未尽到对个人信息的安全保障义务导致第三人侵犯信息主体合法权益的场合,两者承担连带责任自不待言。但在仅存在信息处理者这一单一侵权主体的情况下,连带责任则无法适用,在单一责任主体的场合连带责任无法发挥加重责任负担的功效。
其次,无过错责任与立法明显相悖。个人信息侵权的归责原则已由法律明文规定,《个人信息保护法》第六十九条明确规定个人信息侵权采取过错推定原则,此种归责原则一经确定,在短期内难以发生实质性变化。虽在学理上仍存在个人信息侵权采用无过错原则的归责方式[16],但基于法律秩序稳定性的考量不宜采纳此种观点。
再次,个人信息侵权中的惩罚性赔偿制度存在创设可能。个人信息侵权中的惩罚性赔偿制度一直备受学界关注,即便是《个人信息保护法》颁行后,设置个人信息侵权惩罚性赔偿的观点依旧呼声甚高[17]。由于惩罚性赔偿制度并非产生于传统大陆法系国家的侵权法体系[18],其本身并不受传统损害赔偿理论中损害概念确定性的约束与限制。制度背后的功能主义的规范理念也能使其更好地接纳新生概念。将交往控制风险作为惩罚性赔偿的要件的认定因素与数额计算标准,或是一种可行的解释方案。传统大陆法系国家认为,损害赔偿的功能在于填平损害,赔偿数额不得超出实际损失额。但由于我国属于混合继受的国家,在立法上对于产生于美国的惩罚性赔偿制度也有所借鉴。《民法典》颁行以来,更是呈现出惩罚性赔偿制度在侵权领域的扩张趋势。由传统的消费欺诈扩张至知识产权侵权、生态环境侵权当中,体现了私法对于公法惩罚局限性的补充。因此,将惩罚性赔偿作为立法上的选择方案较为妥当。
4.1.2 交往控制风险可作为惩罚性赔偿的认定因素
如果确立个人信息侵权的惩罚性赔偿制度,则如何对交往控制风险及其创设行为进行定位?本文认为,可以借鉴动态系统论的精神与方法,将信息处理者创设异常风险的行为作为一个独立的要素,渗透在惩罚性赔偿不同要件的认定中。
首先,创设交往控制风险的行为可作为判定信息处理者主观故意的要素之一。信息处理者存在实施创设异常风险行为,经行政机关责令改正拒不改正的,可认定其具备主观故意。目前,《知识产权侵权惩罚性赔偿司法解释》和《生态环境侵权惩罚性赔偿司法解释》中对此均有类似表述,在个人信息惩罚性赔偿制度的设置中也可考虑进行借鉴,保持体系一致性。
其次,创设交往控制风险的行为可作为严重情节的认定要素之一。针对同一信息主体多次故意实行创设异常风险行为,或以违法信息处理行为为主要业务的,法院可认定为信息处理者具备侵犯他人个人信息的严重情节。针对同一主体多次侵权适用惩罚性赔偿的依据是,该种行为将会不断提升对于特定主体承受的交往控制风险,其所侵害的是特定主体的个人法益。而以违法处理信息为业适用惩罚性赔偿的依据是,该种行为创设了一种客观意义上的风险,可能对国家安全、社会公共利益产生严重影响,其所侵害的是国家或社会公共利益。
惩罚性赔偿制度本身并不受到传统侵权法理论对于损害的理解的约束。因此,在认定何种情形构成惩罚性赔偿中的严重情节时,可参照的因素更为多元。风险创设行为的持续性、反复性,以及对国家利益、社会公共利益、个人利益的损害范围与程度等均可作为情节严重程度的认定要素。需要注意的是,多次实施创设异常风险行为的侵权人应为同一主体,若为数个存在关联关系的独立主体(如母公司与全资子公司、总公司与分公司等),则应认定为侵权人属于同一主体,通过刺破公司面纱的法律技术由实际操控者承担惩罚性赔偿责任。
在具体赔偿数额的确定上,可以将预防交往控制风险产生所支出的必要费用作为惩罚性赔偿的基数。目前,惩罚性赔偿的计算方法存在实际损失、侵权人获利、法院酌定等,在专利侵权中还存在以专利许可费为基数的计算方法。在产生交往控制风险的场合,被害人为防范风险支出的必要费用(如更换电脑信息防护系统、杀毒软件的支出费用等),若与创设异常风险行为之间存在因果关系,且合乎比例原则,属于必要合理支出费用[10],则可以此作为基数,计算惩罚性赔偿的数额。
4.2 解释论上的可能路径
除了以上立法论方案之外,在法教义学内部也存在着通过法律解释规制信息处理者行为的可能性。虽然风险与损害之间本身存在诸多区别,但主张对风险承担赔偿责任与传统损害赔偿理论之间共享相同的基础观念。两者在理念上均表现为,对受法律保护的地位或状态所遭受的不利益加以救济。在法律未规定针对风险的赔偿责任时,法律体系内部存在着开放式漏洞,可以基于针对风险的赔偿责任与传统损害赔偿理论之间的相似性,将后者的规则个别类推于前者,以满足法律适用需要。
具体而言,当信息处理者实施创设异常风险行为时,若侵犯了个人信息权内含的财产权益[19],可供适用的法律规范有《民法典》第一千一百八十四条与《个人信息保护法》第六十九条,两者构成法条竞合,依据特殊法优于一般法的原理,优先选择《个人信息保护法》有关规定,即此时人民法院应当优先类推适用《个人信息保护法》第六十九条,依次依据个人信息主体所受损失、信息处理者获利以及案件实际情况确定赔偿数额。一般而言,由于风险具有不确定性,信息主体所受损失或信息处理者所受利益难以衡量,故实践中应当依据实际情况对赔偿数额加以判断,一般将赔偿数额确定为预防风险发生所支出的合理费用较为适宜。
但同时应当注意,对风险承担赔偿责任存在程序上的限制。信息主体不得仅针对异常风险提起损害赔偿诉讼,仅针对异常风险提起损害赔偿诉讼的,法院应不予受理。若与其他实际损害一并提起损害赔偿诉讼的,法院应予受理,并在裁判文书中明示,针对风险的赔偿与针对损害的赔偿在法律适用的技术上存在明显差别。针对风险的赔偿依靠的是对《个人信息保护法》第六十九条的类推适用;而针对损害的赔偿则属于对《个人信息保护法》第六十九条的直接适用。
5 结束语
交往控制风险是信息社会的一种特有风险,创设交往控制风险的行为是否均构成侵权行为,风险本身是否属于一种损害,都是信息时代传统侵权法理论所面临的新挑战。不将风险作为一种损害,是维持现有侵权法体系的稳定性的必然选择。否定说并非是对个人信息在信息时代所面临新问题的漠视,而是尝试通过一种更为缓和、更能为我国法律实践所接受的方式,以其他途径救济信息主体所面临的风险。在立法论上,可尝试通过引入惩罚性赔偿制度,将交往控制风险作为评价信息处理者是否存在主观故意、是否造成严重后果以及作为确定赔偿基数的要素或标准之一。在解释论上,可尝试通过个别类推的方式,类推适用《个人信息保护法》第六十九条,对于个人所支出的预防风险的必要费用加以赔偿,以此达到充分救济信息主体的效果。
Research on regulatory path of information processors’ risk-creating behavior
JIA Yanhao1, CHEN Lin2
(1. School of Law, Shandong University, Qingdao 266237, China;
2. School of Law, Nanjing Normal University, Nanjing 210023, China)
Abstract: Information processors may create interaction control risks in the course of information processing, and when such risks exceed the necessary limits to cause undue interference with the subject of the information, there is a need for the law to intervene. The judgment of whether the risk exceeds the necessary limit shall be based on whether the information processor has fulfilled the legal obligation of action or inaction, and whether the information processor has the improper purpose of influencing the decision-making of others does not constitute the criterion for judging the abnormality of the risk. The act of creating an abnormal risk is illegal and constitutes an infringement of personal information. However, the abnormal risk is difficult to be included in the concept of damage, and treating the risk as damage is contrary to the certainty and objectivity of damage, and will also increase the difficulty and cost of determining the causal relationship. Therefore, in terms of legislation, we can try to introduce punitive damages system, taking the risk of relationship control as one of the criteria for judging the elements of punitive damages. In terms of interpretation, the court may apply by analogy the personal information damages rules to compensate for lost.
Keywords: interaction control risk; damage; illegality; punitive damages; analogy
本文刊于《信息通信技术与政策》2024年 第8期
主办:中国信息通信研究院
《信息通信技术与政策》是工业和信息化部主管、中国信息通信研究院主办的专业学术期刊。本刊定位于“ 信息通信技术前沿的风向标,信息社会政策探究的思想库 ”,聚焦信息通信领域技术趋势、公共政策、 国家/产业/企业战略,发布前沿研究成果、焦点问题分析、热点政策解读等,推动5G、工业互联网、数字经济、人工智能、大数据、云计算等技术产业的创新与发展,引导国家技术战略选择与产业政策制定,搭建产、学、研、用的高端学术交流平台。
期刊荣誉与收录情况
AMI(2022版)A刊扩展期刊
RCCSE中国核心学术期刊
入选中国科协信息通信领域高质量科技期刊分级目录
为进一步提高期刊信息化建设水平,为广大学者提供更优质的服务,我刊官方网站(http://ictp.caict.ac.cn)已正式投入运行,欢迎投稿!
推荐阅读
