谢鸿飞,中国社会科学院法学研究所、私法研究中心研究员,中国社会科学院大学博士生导师。
摘 要第三人从个人信息处理者处获得个人信息后,其侵权行为可能导致个人遭受隐私权、生命权、社会歧视等人格权益损害和财产权损害。受害人诉请损害赔偿的基础包括侵权责任、违约责任及个人与信息处理者的信托关系,在我国法上宜限定为侵权责任,以平衡行为自由和权益保护。信息处理者对个人承担消极的和积极的安全保障义务,前者要求处理者保障个人信息安全,后者要求处理者保障第三人不滥用个人信息侵害个人权益,其强度超过普通经营者的安保义务。在判定个人信息处理者是否对下游损害承担责任时,下游损害的发生及其类型的可预见性是核心要素。信息处理者的行为与下游损害均具有因果关系,但其只对具有社会典型意义的下游侵权损害承担侵权责任,不承担因第三人故意侵害自然人生命、健康导致的损害赔偿责任。信息处理者对下游损害依不同情形应承担连带责任、按份责任和补充责任。
关键词个人信息侵权 身份盗窃 安全保障义务 可预见 第三人行为介入
一、问题及其意义
个人信息侵权无疑已成为当下最普遍、最广泛甚至最重要的侵权类型,它对传统侵权法的理论与实践提出了诸多严峻挑战,其中之一即为第三人介入侵权。
第三人可通过两种方式从个人信息处理者(以下简称“处理者”)处取得个人信息。一是合意方式,即处理者与第三人订立承揽或买卖等合同,第三人为处理者提供存储、分析、加工、挖掘等服务,或第三人直接使用个人信息。二是非合意方式,即第三人通过非法入侵处理者的数据库获得个人信息。无论在何种方式中,第三人都可能不法滥用个人信息或因存储、保管个人信息不善,导致个人人格权益或财产权受到侵害。在合意取得情形,第三人可能违约利用个人信息,造成他人隐私权等权益损害。在非合意取得方式中,第三人还可能滥用敏感个人信息从事诈骗等行为,损害他人的财产权。
本文将第三人介入行为造成的损害称为个人信息侵权的“下游损害”,其目的是将其与处理者直接造成的损害相区分。处理者与第三人合谋滥用个人信息实施侵害行为时,其行为构成共同侵权,双方应依据《民法典》第1168条承担连带责任;处理者将个人信息交给第三人,诱使或促成了第三人实施侵权行为时,其应依据《民法典》第1169条与第三人承担连带责任。这两种情形的损害均不构成下游损害。
理论界有少数学者认为,个人信息保护法的宗旨并非个人信息自决权,而是防范抽象的人格侵害或财产侵害的危险,但整体上,学界讨论的重点主要是个人信息权益本身的侵权问题,而忽视了个人信息侵权领域的衍生损害,尤其是2017年《民法总则》将个人信息权益作为一种独立的法益后。然而,侵害个人信息导致的人格权和财产权损害也不容忽视。比如,在《民法典》侵权责任编区分环境污染和生态破坏两种责任后,前者都是对人身和财产造成的损害,这就必然引发一个问题:环境污染到底损害的是环境本身,还是通过环境污染的方式损害了人格权或财产权?侵害个人信息往往导致个人人格权和财产权受到侵害,因此,私法领域的个人信息侵权必然也涉及侵害个人权益时的损害到底是个人权益本身的损害,还是个人人格权和财产权的损害问题。在个人信息保护领域,公法通过规制个人信息的处理保护个人,可将个人信息作为独立的保护对象,这是一回事;私法救济的主要是个人信息被侵害后遭受的人格权、财产权损害,这是另外一回事。当然,本文无意挑战个人信息权益作为独立法益的正当性,不过想表明辨析个人信息侵权时受损客体具有重要性。
在这种理论背景下,法律共同体对个人信息侵权时的下游损害关注更少。其主要原因可能是,个人信息通常被多个主体收集,受害人无法确定泄露其个人信息的主体,故在第三人介入侵权时,罕见受害人请求处理者承担责任的实践案例。检察机关为维护众多受害人的民事权益,在对处理者提起公益诉讼时,处理者也主要承担赔礼道歉、删除非法持有的个人信息数据的责任,而并未承担损害赔偿责任。
然而,这并不意味着对处理者对下游损害的赔偿责任没有研究价值。一方面,司法实践并非一成不变,科技和法律技术的双重发展、个人权益意识的强化,都可能使下游损害诉讼数量增加;另一方面,学界少有的分析结论也存在差异。如对因信息泄露引发的下游犯罪导致的损害,一种观点认为,个人信息泄露是导致下游损害的条件或因素之一,处理者对抢劫、强奸等下游损害也应承担责任。否定观点则认为它过于激进,下游损害包括诸多传统侵权法无法容纳的新型损害,处理者是否承担侵权责任不可一概而论。又如,对第三人介入侵权情形时的责任承担形态,司法实践也存在两种观点:一是类推《民法典》第1198条第2款有关补充责任的规定,二是类推第1195条等有关网络服务提供者责任的规定。无疑,上述争议背后暗含了价值决断。当下,个人信息既全面嵌入个人生活,又越来越脱离个人进入公域,公共资源的色彩愈发浓厚,侵权法中的“权益保护与行动自由”需要在个人信息侵权的诸多领域不断因应时势作出调适,尤其是防免处理者滥用信息的成本外部化,同时避免用户对其个人信息权益做过度保留。价值决断的差异必然将影响裁判规则。
本文采“构成要件—法律效果”的传统结构,但鉴于下游损害的类型繁多,本文将其单列;处理者的义务类型及其过错、因果关系因相互高度关联,本文将其并置;法律效果则单独分析。
需要指出的是,依《个人信息保护法》第76条第1项,处理者包括组织和个人。《刑法》第253条之一第4款也将侵害个人信息纳入单位犯罪。可见,在处理者为组织时,组织责任和个人责任存在区分。但在侵权领域,按照《民法典》第1191条第1款,个人行为的法律效果可归属组织的,由组织承担责任;不能归属于组织的,由个人承担责任。故本文不区分处理者为组织或个人的情形。
二、个人信息侵权下游损害的类型及其赔偿请求权基础
(一)下游损害的类型
处理者自愿或非自愿将个人信息数据交由第三人后,第三人的侵权行为可能导致如下类型的损害类型。
1.隐私权
第三人获取个人信息后,可能侵害《民法典》第1032条规定的两类隐私。
(1)主动将个人信息公之于众或为其他人窃取,侵害《民法典》第1032条规定的“私密空间、私密活动、私密信息”。
在沃伦和布兰代斯创设“隐私权”概念时,隐私权的受害人多为公众人物,他们因此认为,窥视、窃取和公开公众人物的各种隐私,将导致民众思想堕落、道德滑坡;即使是无害的流言蜚语,在其享有作为“印刷品的尊严”时,也会排挤民众本应知悉的更重要的信息,颠倒社会事务的重要性,助长“人性软弱的一面”蓬勃发展。在信息化年代,个人信息数据库涉及的当事人浩如烟海,信息泄露后波及的主要是民众,实践中第三人主动公开个人信息的情形并不多见;但第三人在处理个人信息的过程中,导致个人信息被泄露之事常有。
(2)通过非法发送垃圾信息等侵害私人生活安宁。
隐私权是最能体现公域/私域二分的民事权利,它也厘定了言论自由的边界。现代社会复杂化和成员相互依赖程度的增加,使个人越来越频繁地主动或被动参与公共生活,个人的孤独和隐私也因此越发重要。在沃伦和布兰代斯的年代,报纸是侵害个人生活的主要来源,而今天,个人信息的收集渠道越来越多,几乎侵入了所有人的私人和家庭生活,而这历来被视为神圣的领域。在隐私权被认同后,普罗瑟界定了四种侵害隐私权的行为,并被主流侵权法理论接纳。其界定的第一种侵害隐私权的行为即侵扰受害人的独处状态,美国《侵权法第二次重述》第652B条承认了这种类型。《民法典》第1032条第2款将私人生活安宁纳入隐私权,这意味着侵害个人信息也可能侵害生活安宁,如发送垃圾邮件和垃圾短信,因为它们也会造成精神伤害——尽管习惯上被视为无害。依据《个人信息保护法》第24条第1款,通过自动化决策方式向个人进行信息推送、商业营销的,处理者应同时提供不针对个人特征的选项,或提供便捷的拒绝方式,否则构成侵害隐私权的行为,受害人可依据《民法典》第995条请求停止侵害、排除妨碍、消除危险、消除影响。
2.其他人格权益
在第三人获得信息并予以滥用时,还可能产生两种新型损害。
(1)交往控制
交往控制(关系控制)的社会基础是:一方事先获得对方的个人信息,在交往中就能利用信息不对称优势,预测、影响甚至操纵对方的决定。获取对方的相关数据越多,越能了解对方的兴趣、风险偏好、交易能力、性格等,发现并分析对方的人格缺陷和优点,从而利用投其所好等各种社交策略和谈判技巧,秘密干预对方的决定。交往控制在市场交易和社会生活中都广泛存在,其负面影响是损害市场中立和个人自决,但传统隐私研究关注甚少。
(2)社会歧视
第三人获取个人数据后,通过对海量个人信息数据进行分析和综合,如定义数据挖掘的分析参数,创建由评分系统挖掘的数据集,可以生成应用预测模型,进行系统自动化决策。算法可以构建虚拟社会空间并发掘商业机会,从而增加营销的精准度,提升服务质量并降低服务成本。然而,算法中性假定不仅不正确,而且还危险,因为算法固然可以对所有人一视同仁,但受营利最大化目标的驱使,算法完全可以体现创建者的偏见和不良动机,创建者只需通过增加或排除某个变量,就能扭曲算法结果。歧视的三种主要方法是区分获得服务的机会、价格和数字红线歧视(digital redlining)。依据消费者的“经济价值”对其进行秘密分层和筛选时,可能产生社会歧视、基于计算的阶层分化与区隔、“污名”标签等,并强化处理者与个人之间的数据鸿沟。
传统侵权法显然未涉及上述损害类型,这里首先分析学界讨论较多的算法歧视。
《个人信息保护法》第24条并未规定对算法歧视的救济,故其救济只能适用《民法典》。有力学说认为,在双方已进行缔约谈判或已缔约时,受害人可获得合同法上的救济;否则适用信用权、平等就业权等人格权的侵权责任,且受害人一方享有选择权。值得思考的是,受害人主张侵权责任时,其受损的法益是什么?首先可以明确,契约自由的逻辑结果必然是对合同相对人的选择歧视,可见,歧视是私法领域固有的事实,除非有法律特别规定,交易领域的歧视很难成立侵权行为。若算法歧视构成就业歧视,依《就业促进法》第62条,劳动者可以提起诉讼,据此可认定就业歧视是对契约自由的法定限制,歧视构成违反保护性法规类型的侵权行为。循此思路,在消费合同领域,依《消费者权益保护法》第8条、第9条、第10条等规定,消费歧视可认定为构成侵害消费者知情权、选择权或公平交易权的侵权行为。但整体上,私法为算法歧视提供的规则资源相当有限,又因算法歧视的受害人众多、损失金额通常不大,即使勉强提供事后救济,其效果也殊不明显,要落实向善的、负责的、正义的算法理念,建构算法公开、数据赋权和反歧视等具体制度,主要还仰赖公法的强势介入。
在我国法律框架下,界定交往控制侵害了何种民事权益,共有三种思路:
一是隐私权损害。这接近于美国法的方案。其障碍在于,它并非隐私权本身遭受的损害(即隐私被公开),而是受害人遭受的“第二次损害”,难以为隐私损害吸收。
二是一般人格权损害。这接近于德国法的方案。首先,《民法典》第990条第2款中的“人身自由”包括意志自由。个人意志受他人干扰后作出的选择和决定,并非其自由意志的产物,故交往控制侵害了人身自由。其次,交往控制可解释为损害了《民法典》第990条第2款中的“人格尊严”。这一术语解释空间极其宽泛,可纳入所有非财产损害类型。如在垃圾信息推送场合,正如桑斯坦所说,广告“试图创造某种情绪和联想”,会影响和改变消费者的选择。不法推送的行为人将潜在客户当作实现其目的的手段,违背了康德伦理学的核心原则,故其行为不仅可认定为侵害了人身自由,还可认定为侵害了人格尊严。而且,隐私的根基在于人的多元和多样,在个人因忧惧其生活在被他人监控时,必然隐藏其个性,其人格尊严也将大为贬损。但这种界定无疑过于宽泛,与德国将个人信息权界定为自决权一样,难以清晰划定个人信息领域的行为自由畛域。
三是个人信息权益本身的损害。其优点在于将其界定为个人信息受损的直接损失,而无需借助其他人格权益。《个人信息保护法》第69条第1款笼统规定“处理个人信息侵害个人信息权益造成损害”,似采取了这种思路。这种界定是《民法典》将个人信息权益作为独立法益的逻辑结果。《民法典》第1034条第3款规定,侵害私密信息的行为,适用隐私权规则;侵害其他信息则适用《个人信息保护法》第69条第1款的一般规定。它们虽基于个人信息的类型设置了保护差序,但对所有个人信息均进行保护,恐难实现产业发展与权益保护的协调,毕竟任何人只要在社会中生活,其代价一定包括暴露部分个人信息,对这类信息,个人通常也不可能有隐私期望。
上述损害通常为精神损害,即使受害人按《个人信息保护法》第69条第2款规定的处理者获利标准所获的赔偿,也应解释为精神损害赔偿,而非对个人信息经济价值的赔偿。在《民法典》上,精神损害赔偿的障碍在于其第1183条第1款规定,精神损害需达到“严重”要件。因为现代精神损害赔偿最重要的发展趋势是将其与身体损害独立,身体疼痛、精神恐惧、惊吓、社交恐惧、丧失享受利益均构成精神损害,故在解释上,“严重”只是要求排除明显轻微的侵害,比如偶尔发送垃圾信息给个人造成的不适。
此外,第三人在获得个人信息后侵害他人生命权、健康权的案例,在实践中也偶见,本文将在下文分析。
3.财产权益
这见于身份盗窃(Identity Theft)即个人敏感信息被盗用时。这是全球最为关注的个人信息侵权类型,在美国被描述为“增长最快的犯罪”和“新千年犯罪”。身份盗窃者在获得必要的个人信息后,可以冒充受害者进行交易,从受害人银行账户提取资金或使其负担巨额债务等。中国连绵不绝的电信诈骗也是著例。
司法实践中还偶见第三人滥用个人信息给受害人造成纯粹经济损失的案例,如行为人在非法获取个人信息后,向消费者高价推销产品或服务。这种损失通常难以获得侵权救济,受害人只能诉诸合同法规则。
(二)下游损害受害人的请求权基础
1.侵权责任
在法律将个人信息权益作为独立法益后,个人因其信息被泄露等遭受损害时,自然可向处理者主张侵权责任。因《民法典》人格权编专门规定了个人信息保护,个人信息侵权责任的法律适用存在《个人信息保护法》和《民法典》衔接的特殊问题。
2.违约责任
处理者与个人存在合同关系,个人在其信息权益被侵害时可基于合同提起诉讼。理论上存在隐私政策是否为格式合同组成部分的争议,但鉴于同意隐私政策是用户注册的必经程序,故隐私政策应为合同的一部分。处理者违反隐私政策的,受害人可请求其承担违约责任。
3.信托责任
晚近美国有学者主张处理者和个人之间构成信托关系,处理者控制着大量信息,因而应为“信息受托人”。其基本逻辑是:其一,处理者向公众表明了其隐私政策并获得个人信任,个人基于现行社会规范、交易模式等客观因素,合理地信赖处理者不会披露或滥用其个人信息。其二,用户与处理者在个人信息领域的技能、知识和经验明显不对称,个人必须依赖处理者的行为特别是自由裁量行为,且无力防止处理者滥用信任关系。
美国《侵权行为重述(第二次)》第874条规定,受托人违反其作为受托人的义务的,构成侵权行为,并没有将违反信托的行为从侵权行为中独立出来。主张个人与处理者存在信托关系的学者进一步认为,处理者侵害个人信息权益的,违反的是忠诚义务,而并非侵权法上的一般注意义务,故信托责任应独立于侵权责任。其法律意义在于:其一,强化处理者对个人的义务。受托人有两项基本法定义务:(1)注意义务,即受托人必须谨慎行事,避免委托人、受益人或客户的利益受损;(2)忠诚义务,受托人奉“客户利益至上”理念行事,不仅不应制造还应主动防止出现潜在的或实际的利益冲突。美国律师协会还列举了“一般受托人可能违反职责的数百种方式”,包括未能按照受托人的最佳利益行事、滥用机密信息、滥用专业知识等。这些义务的观念基础是,当双方建立信托关系时,劣势方赋予优势方代其做出决定的概括权利,优势方不能作出有损劣势方的任何决定。在个人信息领域,处理者应遵守自己的隐私政策,使个人信息不被操纵、个人不被歧视、且只能为有限的第三人共享。受托人也不得通过信息筛选,进行社会分选,向不同成员提供不同的交易条件。其二,信息受托人应承担严格责任。信托关系论者往往以产品责任类比信息侵权责任,认为依过错责任难以确定归责时,严格责任是必要的。在个人信息领域,处理者拥有比个人更为强大的危险控制的能力和资金实力,故应承担严格责任。
我国法理论和实践都不承认信息处理者与个人之间成立信托关系,也不宜承认这种信托关系。首先,《信托法》第2条明确将信托客体限定为财产权,排除了作为人格权的个人信息权益;其次,《民法典》和《个人信息保护法》等有关个人信息的规定调适了个人信息的私人属性和公共属性,并没有因强调个人信息权益保护而忽视数据产业的发展。若将处理者与个人之间的关系界定为信托关系,处理者利用个人信息的收益则应归属于个人,因为信托法并不许可受托人的经济利益甚至生计凌驾于委托人的福祉之上,这对数据产业的影响可想而知。
三、个人信息处理者防免下游损害的安全保障义务及其违反
(一)个人信息处理者防免下游损害的安全保障义务
在侵权法上,行为人若无行为义务,则无侵权责任(Where there is no duty, there can be no negligence.)。在分析具体侵权责任的构成要件时,将行为义务作为起点可有效减少思维负担,因此判定行为人不存在行为义务后,就无需分析过错、因果关系等要件。
侵权法上的行为义务包括两种:一是任何主体都承担的一般注意义务,体现为不作为义务;二是特定主体承担的注意义务,主要体现为作为义务。在安全保障义务(以下简称“安保义务”)越来越向普遍化方向发展,甚至成为侵权领域行为义务统称的理论背景下,本文将前者称为消极安保义务,将后者称为积极安保义务。个人信息处理者应同时承担这两种安保义务。
1.处理者的消极安保义务
侵权法上的消极安保义务通常被称为注意义务,其实质是社会共同生活中的底限行为要求,即不侵犯、容忍并尊重他人的民事权利。其实质是每个人都承担的“保护社会”的抽象义务。它是“一切人对一切人”的义务,其对象并非针对特定的甲乙丙。其社会基础是,任何社会成员若不能期待和信赖他人不会侵害其权利,社会必将陷入丛林状态,所有成员都将被迫支付巨大的安保成本以自我保护和自力救济。这种义务当然不可能脱离时空,而必须在与特定的社会关系、社会成员复杂关联中才能具体化。这又进一步决定了其具体化必然受整体社会氛围的影响,如社会在静态时代和变迁时代,对权利被侵害的类型和受损程度的容忍程度必然不同,对这种义务要求的强度也就不同。
个人信息处理者作为民事主体,当然对所有人承担消极安保义务,但仅限于不作为义务,即未经个人同意,不得实施收集、公开、提供信息等信息处理行为。《民法典》第1038条第1款禁止处理者泄露、篡改其收集、存储的个人信息等,是其消极安保义务的具体化。
2.处理者的积极安保义务
处理者的积极安保义务分为两个层次:
一是保障其处理的个人信息安全。
基于区分公域与私域的理念,私法领域的行为人通常没有保护除近亲属以外的其他社会成员的法定积极义务,包括警告、保护或拯救同胞免受风险或现实伤害等。《美国侵权法重述(第二版)》第314条规定,即使行为人认识到或应该认识到为帮助或保护他人,作出一定的行为是必要的,但也无义务作出这种行动。其官方评注指出:“某人看到其同胞处于极度危险状态,但并没有法律义务帮助他,反而可以坐在码头上,抽着雪茄,静看同胞溺死。法律家会谴责这种决定违背道德观念,但迄今为止,这仍然是法律。”可见,私法领域救助义务的一般原则是,民事主体没有保护他人免受第三人犯罪伤害的一般义务,保护公民免受他人伤害尤其是犯罪行为的伤害是政府的职责。
这一原则的正当性基础在于私域中的自由和平等:其一,保障行动自由。民事主体若承担保障他人权益的积极义务,其自由将受不当约束。而且,这还将混淆国家与个人的不同角色,使民事主体在救助义务中挑战国家权威,反而使社会秩序更为动荡不安。实际上,民事主体也无力承担保护同胞的义务,即使勉为其难,也要付出高昂的代价。如公司建立庞大的保安系统,所费不菲,但公司还可以采用侵害雇员隐私权的各种手段,如搜查所有雇员的管制性刀具、建立监控系统等,又可能损害员工权益;自然人为保护他人不仅费时费力,还存在人身危险,这就必然使其陷入道德困境:要么冒险保护他人,要么承担法律责任。其二,捍卫法律平等。无论多发达的、多勤勉保障民权的国家,都无法保障公民免受他人不法行为的攻击。这是所有公民必须平等面对的共同社会问题,奢望通过赋予私人救助义务解决这一问题无疑是天方夜谭。
基于契约自由、人伦秩序、交往安全、公共政策等正当事由,这一原则也存在例外。(1)合同当事人承担的安保义务。如安保服务类合同的当事人,或其他类型的合同存在一方承担保护对方约款的,如房屋承租合同约定房东保护承租人安全,此时当事人无疑有保护特定对方的义务。(2)当事人之间存在特殊关系。《美国侵权法重述(第二版)》第315条就规定,除非行为人与他人存在特殊关系,否则行为人没有义务保护他人免受第三人损害。英美法普遍承认承运人/乘客、旅馆/宾客、不动产所有者/被邀请人等为存在特殊关系,前者应保护后者。(3)基于特殊情势。如一方的先前行为降低或剥夺了对方保护自己的机会等。
《民法典》第1005条规定了一般性保护义务,即在自然人的生命权、身体权、健康权受到侵害或者遭遇其他危难情形时,负有法定救助义务的组织或者个人应承担及时施救的义务。该条的体系位置为人格权编第二章“生命权、身体权和健康权”,在解释上自然不应包括财产权。其对保护义务的主体和保护对象作出限制的目的是“避免道德义务和法律义务的混淆而提出过高的行为要求”。但《民法典》也承认在当事人之间存在合同等特殊关系时一方应承担保护义务。如在合同编,其第509条第2款基于诚信原则,规定根据合同的性质、目的和交易习惯,当事人应“履行通知、协助、保密等义务”,“等”字应解释为包括保护义务;第822条规定了承运人在特殊情形对旅客承担救助义务。在侵权责任编,其第1198条第2款规定“经营场所、公共场所的经营者、管理者或者群众性活动的组织者”负有安保义务;第1195条等对网络服务提供者科以安保义务。
在个人信息领域,处理者与个人存在法律值得介入的特殊关系。处理者对个人承担保护其信息不受第三人侵害的安保义务,是公认的原理。如在美国的Bell v.Mich.案中,原告的身份信息因第三人窃取而遭受犯罪行为伤害,原告起诉处理者对其个人信息疏于保护,导致其个人信息被第三人窃取,应承担责任。法院基于原被告间存在特殊法律关系,支持了原告的诉讼请求。
《民法典》总则编第五章“民事权利”纳入了个人信息保护,其第111条从个人信息保护的角度规定个人信息权利,规定处理者获取他人个人信息的前提是“依法取得并确保信息安全”。在人格权编部分,其第1038条第2款规定,处理者应确保其收集、存储的个人信息安全,防止信息泄露、被篡改或丢失;同时规定了其采取补救措施的义务和报告义务。《个人信息保护法》第9条、第51条等也规定了处理者保障信息安全的积极义务。可见,我国实证法已全面确立了处理者的积极安保义务。
二是保障个人免受第三人滥用其个人信息造成下游损害。
处理者保障个人信息安全的积极义务能否扩大到保护个人不因第三人滥用信息致损的义务,尤其是免受第三人犯罪行为致损的义务?《民法典》并未对此作出特别规定,但《民法典》第1198条第2款规定,经营者、管理者或者组织者等安保义务人在第三人的行为造成他人损害时,未尽到安全保障义务的,承担相应的补充责任。因此,简单的推论结果可能是,处理者应承担与经营者等类似的义务。但是,经营者与处理者的防免第三人侵害义务存在根本差异:经营者的安保义务源于其不仅开启和维持了公共风险,而且其管控产生风险的场所,有纾解风险的能力;处理者在个人信息为第三人获取后,通常无法防控第三人是否滥用及如何滥用个人信息。可见,处理者的这种安保义务需要证成。基于如下两个理由,这种义务应予肯定。
其一,处理者与个人存在侵权责任领域的“特殊关系”。
在侵权法上,权衡行为人是否与他人具有侵权法中的特殊关系的因素主要包括:(1)双方之间的社会关系;(2)双方交往所涉及的社会利益;(3)风险发生的可能性及其现实化后的损害严重程度;(4)行为人履行保护义务的能力和履行成本、受害者保护自己的能力、受害人是否给予对方利益。美国的Murdock v Higgins案还明确了承担特定职责的当事人与对方产生特殊关系的标准,即原告是否将自己托付给被告控制和保护,从而失去保护自己的机会和能力。据此,学校和中小学生之间存在特殊关系,因为中小学生上学是法律规定的强制性义务,而且保护儿童的法益对社会具有相当显著的意义;但员工就业不是强制性的,其通常可随时自由终止劳动合同,且员工并非需要监护的未成年人,雇主因而并不扮演父母的角色,所以雇主和雇员不应界定为存在特殊关系。
个人信息处理者与个人之间的关系即使不能认定为信托关系,也可认定两者关系的紧密程度超过了《民法典》第1198条规定的经营者等与对方的关系,而且两者的关系也比其他典型合同当事人之间的关系更为紧密。处理者的义务也超越了《民法典》第509条将任何合同当事人之间作为“合同共同体”的关系。其理由是:在个人信息领域,处理者与个人之间的信息鸿沟,并不可能因行政管制(如限制隐私政策的内容、表现方式等)而缩小,遑论消失。个人信息虽基于个人的静态身份和动态活动产生,但个人信息以数字方式存在于处理者的系统,任何人都无法控制其本人产生的信息,个人对自己的信息的掌握远远不如处理者,“云端的自我”比日常生活中呈现的自我往往更为真实。在这种情形,法律虽承认个人信息权益,但个人对其信息的支配性几近空谈。可见,处理者一旦收集个人信息后,个人对其信息保护是无能为力的。而在经营场所,个人并没有失去保护自我的能力,其自我保护能力至少并未显著降低。因此,若法律不承认处理者与个人存在极为紧密的关系,进而确认处理者对个人承担高度安保义务,必将使个人惮于与处理者缔约,不同意处理者收集其个人信息,从而造成两败俱伤的后果:个人将无法使用各种软件,导致生活不便甚至无法融入现代社会;处理者因无法获得个人信息导致数据产业停滞不前。数据信托理论的基础盖源于此。
其二,个人处理者开启的风险的特殊性。
积极安保义务的正当性源于:行为人为自己的利益开启、维持了某种对社会安全存在风险的活动或保有危险物品,基于“风险与收益匹配”原则,行为人自然应配套相应的安保设施,采取相应的措施,使其创设的风险降低到日常社会的平均风险水平。
无疑,社会、经济、技术和文化土壤的差异,决定了积极安保义务的有无及其强度。普通法的一个古老规则是,某人按一般社会标准,在意识到其行为或制造的情势存在危害他人人身或财产的风险时,就应谨慎行事,采取合理措施回避损害发生。但到底在何种情势产生这种义务,依然仰赖裁判者的经验和良知。《欧洲侵权法原则》第4:103条规定,行为人制造或控制了某种危险情势的,应承担保护他人免受损害的积极作为义务。按其评注,这种危险情势的界定需结合道德、经济等因素进行复杂的权衡和考量。如甲听到了跌入山洞的乙的呻吟,但因担心赴约迟到,没停下施救,其后乙死亡。甲虽为路人,但这种危难情形本身就足可在甲乙之间产生特殊关系,甲应承担救助义务。
个人信息处理者与《民法典》第1198条规定的经营者承担积极安保义务的共同渊源在于:两者都开启和维持了某种风险状态,且均享有源于风险活动的全部收益。但两者也存在明显差异:在个人信息领域,第三人若不掌握个人信息,无法滥用个人信息从事不法行为,如电信诈骗等;但酒店等经营场所通常并没有增加受害人的风险,很难说受害人在大街上的风险比其在酒店的风险大,对酒店经营者科以法定安保义务至少在一定程度上分摊了国家的安保义务。依“举轻明重”的法解释原理,既然酒店等经营者都承担防免其合同相对人免受第三人侵害的安保义务,个人信息处理者更应承担这一义务,而且义务强度应更高。
(二)个人信息处理者违反安保义务与下游损害之间的因果关系
1.因果关系在侵权责任构成要件中的功能定位
因果关系历来是侵权法理论中最扑朔迷离的部分,其体系与学说层出不穷,共识难觅。其最重要的原因是,法学作为对社会行为进行规范评价的学科,在评价行为与损害之间的因果关系时,难免不掺入物理关系以外的价值立场和政策因素。
为了避免事实与价值的杂糅,主流因果关系一般区分两个递进层次的因果关系,如欧陆民法区分事实上的因果关系和相当因果关系(或规范目的上的因果关系等),对前者采条件说(but for),通过科学等理论理性和经验、权威、概率等实践理性来确定行为人的行为、可归责于行为人的他人行为或物件与损害的关联;后者则纳入社会观念、法益权衡、规范目的综合考量。我国刑法理论也重视归因和归责的区分,前者判定行为与结果之间的事实关联;后者评价结果可否归责于该行为。
但是,这种区分很难彻底。代表欧洲侵权法学界主流观点的《欧洲侵权法原则》第3:201条运用动态体系的立法技术,列举了在确定事实上的因果关系后,决定损害可否及在何种程度上可归责于行为人的考量因素:(1)理性人在行为时预见该损害的可能性,尤其要关注行为与其结果的时空关联,或与行为的通常后果相比,该损害的严重程度;(2)受损法益的性质和价值;(3)责任基础;(4)与社会生活中的通常风险相比,损害的严重程度;(5)行为违反的规范的保护目的。实际上,这一规定杂糅了事实(如损害发生的概率等)和价值(受损法益的重要性、法规范目的)等。尤有进者,认为区分事实归因和法律归责已成为欧洲各国法院的内在信念,但“这在出发点上就是错误的,因为所谓因果关系涉及的始终就是可归责性问题。‘事实上’的因果关系就是‘法律上’的因果关系。”换言之,事实上的因果关系也需要进行“相当性”判断。
因果关系内部划分的主要目的是区分归因和归责两个层次,尤其是在确定责任范围时,遮断行为与后续损害之间的关联。这与自然科学对因果关系链条进行全面探究的路径截然相反。赫拉克利特曾说:“发现一个原因,强过当波斯王。”而法学因果关系的重点恰好是确定在因果关系的哪一个环节斩断链条,以避免对行为的过度溯及和损害范围的不当扩大。如英美法区分近因与远因的目的是就防止行为的后果永远延续,避免法院为某个行为导致无休止的诉讼。
但在归责环节,主流理论使因果关系承担了过多功能,甚至几乎将因果关系作为评价侵权责任构成要件的唯一要件。事实上,因果关系的原初功能仅仅在于判断损害是由谁造成的,并排除行为人以外的人承担责任。本文主张,因果关系应仅仅限于事实认定,无需承担任何评价功能,从而实现因果关系“返璞归真”的目的。按照这一思路,在发现因果关系时,可以穷尽所有促成损害的原因,无论其是否偏离通常的因果关系进程,也无论其对损害的原因力大小。如传统因果共犯论主张,行为人只要强化了他人犯意的,即成立因果关系。
在归因这一环节,物理上、心理上的因果链条通常较长,可被罗列的原因的数量也可能众多,此时可基于一般社会经验决定在哪个环节中止罗列。其实,即使不遮断任何行为与损害的因果关系,在归责环节,过错、违法性等构成要件也可以实现对归责与否的充分、妥当评价,从而避免归责泛滥,即使在无过错责任中也如此。此外,责任成立的因果关系解决的是可赔偿的损害的范围,这一问题事实上也没必要在因果关系层面解决,而是同样可经由过错中的可预见性要素来确定。
2.个人信息处理者违反安保义务与下游损害因果关系
在刑法上,相当因果关系理论支持回溯禁止说,即在第三人的故意行为造成损害时,对该行为起到间接促成的行为不符合相应结果犯的构成要件。但在严格区分归因和归责时,个人信息处理者的行为与第三人造成的下游损害之间都存在因果关系,而无论个人信息是由处理者自愿交由第三人,还是由第三人窃取,也无论第三人是故意还是过失造成的损害。
在任何社会,发现致损行为人都存在各种障碍,尤其是在高度分化、因果关系相当复杂的现代社会。个人信息权益保障最大的难题即受害人往往无法确定到底哪一个信息处理者是加害人。解决之道除证明责任转换和降低证明标准外,还可以考虑两种方案:一是将所有收集其个人信息的处理者作为一个整体,扩张适用《民法典》第1170条有关共同危险行为的规则;二是引入比例(概率)因果关系理论,认定全部个人信息处理者的处理行为均与下游损害存在因果关系,并依据其市场份额、个人信息的具体安保情形等,对处理者科以比例责任。这也表明,在因果关系不能确定时,基于法益权衡认定的事实因果关系,也可能掺入价值判断,但亦不能因这种例外情形而在因果关系的认定中杂糅事实和价值。
(三)个人信息处理者违反安保义务时的过错认定
1.作为过失硬核的“可预见性”
对个人信息侵权领域的归责原则,学界曾莫衷一是。《个人信息保护法》第69条第1款采纳了中间道路,未区分侵害个人信息权益的类型,均规定为推定过错责任。依前文对个人信息侵权损害类型、行为义务和因果关系的分析,处理者对下游损害是否承担责任,其核心在于对处理者的过错尤其是过失的认定。
在现代侵权法中,过失是经过法律评价的社会事实,它对应于社会成员对行为人通常应采取避免损害的适当措施的行为期待,过失即违反了损害结果回避义务。这是自由意志原理在过失认定领域的具体化。
损害是社会生活中本可避免的风险的实现,风险的制造者或开启者只有能预见到风险的存在时,才可能存在过失。在现代风险社会,将过失的核心界定为预见损害发生的可能性,可较公平地分配社会共同生活中的风险,既不过于约束行动自由,也未降低受害人的权益保护。因此,可预见性普遍接纳为评价侵权责任构成要件的要素,甚至还进入因果关系领域。行为人若能预见自己的行为、依法应予负责的他人行为(包括犯罪行为)及物件将导致损害,而疏于防范时,即可认定存在过失。美国《侵权行为重述(第二版)》第302B条即对此明确做了规定。此外,囿于人的有限理性,可预见规则并不要求行为人预见到损害发生的具体过程与方式,而只是要求预见到可能发生的损害类型。
可预见性规则适用的疑难之处在于其“合理”标准。极端的观点甚至认为,可预见性是被扭曲、色彩杂乱的“草莓酥饼”,已失去了任何规范意义。“合理”可从三个角度尽可能获得确定性。其一,在法经济学层面,考虑依据汉德公式的变量确定风险防免的成本与收益:(1)行为导致损害的可能程度;(2)风险现实化造成的损害的严重程度;(3)可采用的预防措施或替代行为的成本与收益。其二,在法社会学层面,分析行为与损害之间的关联是否具有典型性和普遍性。风险越普遍,现实化后的损害越严重,对可预见的要求就越高。其三,在法规范分析方面,权衡受损法益的性质与重要性,如在人身权益受损时,可适当提高可预见标准。此外,社会成员基于其职业、经验、技能和专门知识,尤其是专业技术要求较高的行业,行为人应预见到其行业固有风险,个人信息处理者显然也在此列。
2.个人信息处理者对下游损害的可预见性
个人信息处理者是下游侵权风险的制造者和开启者,其保护个人免受第三人损害的义务的范围和程度本质上取决于公共政策,为避免对处理者的可预见性掺入过多价值判断,可从损害类型切入进行分析。
(1)财产损害
在实践中,第三人滥用其获得的敏感个人信息,实施诈骗等行为造成的财产损害,主要见于电信诈骗损害。综合这种损害的高度社会典型性和第三人获得个人信息的方式,处理者能预见到的情形通常包括:①第三人窃取信息的;②处理者违法将个人信息出售给第三人,且第三人明显不具有对个人信息进行商用能力的,如出售给个人。
在下游侵权中,个人信息只是实现第三人违法行为的工具,因此,处理者的出售看似与出售管制刀具于第三人的行为相同,但两者的法律评价并不能等同。因为从社会行为的典型性看,他人获取个人信息的动机即为实施不法行为,而获得管制刀具的动机则不尽如此。在这方面,美国的Buczkowski v.McKay案颇有启发意义:美国《枪支管制法》对火器和弹药的销售存在诸多限制。零售商合法销售时,通常不对其客户的犯罪行为负责;在未对顾客进行背景调查即违法销售时,零售商可能要对其顾客的犯罪行为负责。
(2)人格权损害
对第三人获得信息后侵害隐私权、利用自动化决策的推广等行为产生的损害,处理者通常都可以预见,难题是处理者是否可以预见第三人滥用个人信息实施侵害生命权、健康权的犯罪行为。因国内缺乏相关案例,这里以美国案例为素材分析。
在常态社会生活中,任何人都会假设他人将服从法律而不是违反法律,否则社会难以为继,故犯罪行为是无法预见的,这是侵权法的一般规则。如雇主在工作场所未出现异常情况时,法律也不要求其预见第三人的犯罪行为将对雇员造成伤害。在Dupont v.Aavid Thermal Techs.案中,甲在工作场所用枪打死了同事乙,其后自杀。法院认为,雇主保护雇员免受犯罪攻击的前提是,雇员的工作环境和职业特性容易诱惑他人从事犯罪行为,或为犯罪行为提供机会,此时,雇主可合理预见雇员遭受犯罪攻击的风险。Williams v.Cunningham Drug Stores, Inc.案则认定,经营者对顾客的预见范围限于在其经营场所“迫在眉睫的和可预见的伤害风险”。
即使在行为人承担法定安保义务时,其义务也绝对不是防止全部风险的现实化,行为人只是在其能力所及范围内合理防范风险。这是“法律不强人所难”法谚的基本要求。MacDonald v.PKT案确立的标准是,商家安保义务的主要内容是联系警方,而非舍己救人。
在个人信息领域,处理者是否可预见第三人侵害人身的犯罪行为,存在较大争议。在有名的Remsburg v.Docusearch,Inc.案中,第三人向被告购买了受害人的地址等信息,在工作场所枪杀受害人后自杀。新罕布什尔州高等法院判定处理者承担民事责任。理由是美国每年大约有100万女性和37.1万男性被跟踪,在获得个人信息后,第三人很可能跟踪受害人,并由此衍生其他暴力犯罪。美国学者整体对本案判决评价较高,因为在“将隐私拱手让给了电脑”的美国,它在隐私的现代保护上前进了一大步,可能会成为抵御隐私侵犯的最佳防线。但本案的判决无疑严重背离了传统可预见规则,其之所以获得赞同,完全是社会对个人信息侵权的普遍性和严重性的全民焦虑所致。然而,在中国法上,对这种完全不具有社会典型性的损害类型,不宜认定处理者具有预见的可能性。
对下游损害的衍生损害,如即将就读大学被骗取学费和生活费后跳海自杀身亡的,能否认定处理者可以预见?传统侵权法理论通常将交通事故的受害人因不堪痛苦而自杀的损害,纳入规范目的因果关系学说讨论,通过法益权衡肯定行为与损害之间存在因果关系。这其实是依据法律价值判定事实因果关系,混淆了因果关系与过错在构成要件上的不同功能。即使要归责于行为人,也可基于人在面临无法忍受的痛苦时可能选择自杀这种社会经验,认定行为人能预见到这种损害。
四、个人信息处理者对下游损害的侵权责任形态
在第三人介入侵权时,个人信息处理者若承担侵权责任的,其责任形态必然是多数人之债,具体可分为如下三种类型。
(一)个人信息处理者对下游损害承担连带责任
《民法典》第178条第3款承认了“连带责任必须法定或约定”的一般法理。处理者、个人与第三人约定前者对下游损害承担连带责任的可能性极小,故本文仅讨论法定情形。
信息处理者有偿或无偿将个人信息交由他人使用时,若处理者与第三人存在滥用个人信息侵害他人权益的共同故意时,依据《民法典》第1168条,处理者与第三人作为共同侵权人承担连带责任。若处理者明知他人将滥用处理者的个人信息实施犯罪或侵权,仍向其出售或提供个人信息的,依据《民法典》第1169条第1款,处理者的行为构成帮助行为,应与行为人承担连带责任。“明知”应解释为处理者确实知道下游损害将现实发生,但无需知道侵权行为的具体内容。如前所述,这种损害并非本文讨论的下游损害。
在实践中,处理者对下游损害承担连带责任的情形主要包括两种:
一是第三人在获得信息后,处理者知道或应当知道其滥用个人信息实施侵权行为,而未采取必要措施的,处理者为网络服务提供者的,可直接适用《民法典》第1197条,由处理者与第三人承担连带责任;处理者若非网络服务提供者的,基于个人对处理者的特殊信赖,可类推适用《民法典》第1197条,处理者与第三人亦承担连带责任。
二是处理者将个人信息出售给第三人后,第三人因过失导致个人信息泄露、被公开等。此时,处理者通常存在选任第三人的过失,它与第三人疏于信息安保的过失共同促成了损害,在《民法典》第1168条承认共同过失行为可以构成共同侵权的法律框架下,基于目前个人信息保护的实际情况,似可认定处理者与第三人为共同侵权人,两者对损害承担连带责任。
(二)个人信息处理者对下游损害承担按份责任
个人信息处理者承担按份责任的主要情形包括两种:
一是处理者的个人信息数据库被第三人非法窃取,第三人因过失导致个人信息泄露、被公开等。此时,处理者与第三人对个人信息权益的损害均存在过失,双方应按照《民法典》第1172条,各自承担按份责任。
二是处理者依据《个人信息保护法》第21条委托第三人处理个人信息时,第三人在处理信息过程中导致信息泄露、被公开等。在处理者存在选任、指示等过失时,处理者的责任形态存在两种方案:1.依据《民法典》第1172条承担承担按份责任。2.依据《民法典》第1193条,处理人对其选任或者指示过失承担相应责任。据此,在内部关系上,处理者与第三人承担按份责任。但在外部关系上,受害人能否请求处理者与第三人承担连带责任?在文义上,该条基于承揽人系完全独立于定作人完成承揽的事实,原则上排除了定作人的责任,故在解释上,应认为受害人只能请求第三人承担全部责任(第三人其后可向处理者追偿),或请求处理者与第三人承担按份责任。因《民法典》第1193条为第1172条的特别规定,故应优先适用。
(三)个人信息处理者对下游损害承担补充责任
处理者承担补充责任的情形主要见于两种情形:一是处理者委托第三人处理个人信息,第三人实施故意侵权行为的;二是第三人非法窃取个人信息后,实施故意侵权行为的。
在前述两者情形,处理者通常存在选任过失或疏于数据安保的过失,而第三人实施的是故意侵权行为,处理者承担责任性质与第三人的责任性质不同,两者位于不同层次,难以成立共同侵权。按照《民法典》第1198条第2款的思路,处理者应承担第三人的行为介入时的补充责任。即第一序位的责任人为第三人,在无法确定第三人或其无力清偿时,处理者才按照其过错程度承担相应的责任。然而,《民法典》并未明确规定处理者的补充责任,故在解释上只能类推适用《民法典》第1198条第2款,前文已阐述了可类推的理由。此外,该款还增设了经营者、管理者或者组织者承担补充责任后向第三人的追偿权,理由是第三人距离损害更近,属于终局责任人。据此,处理者在承担与其过错相应的责任后,可向第三人追偿。
《民法典》第1198条第2款规定经营者等应对其控制的场所内侵害人格权的犯罪行为造成的损害承担补充责任,这是因为其完全可以预见到这种损害类型,但如前所述,处理者不应承担这种下游损害的补充赔偿责任。
五、结束语
当下,信息技术不断开疆拓土,已对国家治理、社会交往和私人生活产生了深刻而深远的影响。然而,信息技术也催生了层出不穷的新型社会问题,尤其是信息监控和泄露的“时代之癌”,甚至可以说,这一领域完美地诠释了本来中立的技术是如何通过人类行为成为“双刃剑”的。
全面嵌入和渗透到社会的信息技术对传统侵权理论和法律规则形成了重要挑战,如损害类型的认定、因果关系的判定等。在民事法域中,侵权法是典型的“回应型法律”(诺内特、塞尔兹尼克语),它始终围绕社会变迁的新问题不断革新(构成要件尤为明显),无论是理论还是规则。但本文的分析表明,在这一革新过程中,凸显侵权理论的某个部分如因果关系,使其承担全部的革新重任,而无视侵权法理论的整体改进,势必破坏整体理论的体系性和融贯性。侵权法理论对社会变迁问题的回应,无疑应通盘考虑全部侵权法理论。
本文讨论的下游损害在个人信息侵权实践中非常典型而且普遍,相关案例却甚为罕见。这使本文的主题选择有点尴尬,还可能受“影子拳击”之讥,然而,法律人需要反思的是,受害人何以未主张权利,是哪些因素阻碍了受害人的权利诉求?《个人信息保护法》第70条赋予检察机关等机构提起公益诉讼的权利,已迈出了值得肯定的一步。在私益诉讼领域,发现这些法律障碍并予以消除,是法律人的使命。这裨益《民法典》开宗明义的宗旨——“保护民事主体的合法权益”得以实现。在个人信息保护领域,个人若不“为权利而斗争”,公法监管规范无论多么繁密,都将孤掌难鸣。
责任编辑:李国慧
文章来源:《法律适用》2022年第1期