问题的提出
社会生活的“数据化”正在不断增进人类福祉,但如影随形的数据泄露也导致了新的挑战。就数据泄露而言,其意味着个人数据尤其是敏感的个人数据暴露于不安全的状态之中,继而可能对数据主体的人格利益及财产权利造成损害。因而应将其视为一种新型的权益侵害类型,以便向数据主体提供“最大程度的保护”。
本文在过失框架下,并结合《中华人民共和国民法典》(以下简称“《民法典》”)相关条款,探讨“当事人因数据泄露而遭遇身份盗窃、被诈骗或被歧视等未来侵害的风险显著增加,并因此而焦虑不已”之情形的损害问题以及相应的问责制。
风险及焦虑
数据泄露新型侵权的损害认定
数据泄露更多是关乎“人”而非“物”,其所导致的损害呈现“无形、分散以及风险导向”等特征。实践中,法院多对“损害”作狭义解释,且要求这一损害可被观察与衡量,所以数据泄露导致的“风险与焦虑”这种无形损害能否为现有损害概念所容面临着法律上的挑战。
我国数据泄露导致的人格权受侵害纠纷中,约有40%的裁判结果不支持受害人相应的损害赔偿请求。其中,原告未能证明数据泄露导致其遭受实际损害是其败诉的重要原因之一。反观域外亦然。为此,越来越多的受害人转而主张数据泄露增加了他们未来遭受侵害的风险这一新型损害以及他们因此而产生焦虑或恐惧等精神损害。
难以否认,数据泄露新型损害的认定,因继发性、无形性以及不易计量性等特点从而更难识别与评估,甚至还可能被滥用。这正是不少域外法院拒绝将其视为可予赔偿的损害的主要理由。对此,我国法院多以精神损害未达“严重”或“明显”程度而拒绝认定数据泄露造成了应予赔偿的精神损害。显然,这样的损害标准于受害人而言过于苛刻,从而大大减少当事人提起诉讼或获得救济的机会。
但无论如何,这些不利后果也难被否认。因此,从宽认定数据损害,以“客观合理的可能性”视角来审视并承认包括风险在内的未来损害——侵害风险增加或某种机会丧失,应是“迈向正确方向的一步”,不仅“对原告最有利,而且也将惠及整个社会”。
至于焦虑或恐惧,一般认为,它也是精神损害的形式之一。不过,与身体侵权具有牵连关系的精神损害相对容易认定且容易被接受不同,仅与未来侵害风险交织在一起的精神损害由于更难度量因而不易获得承认。尽管如此,比较法上,并不依附于身体伤害的纯粹精神损害已被视为一种可予赔偿的损害形式。数据泄露场合下,受害人据此请求精神损害赔偿具有正当性与合法性。
值得注意的是,精神损害“严重”之程度要求将使被侵权人负担较重的证明责任。比较法上,精神损害程度要件已趋缓和。笔者以为,基于对大规模侵权行为的威慑且彰显现代侵权责任条款的救济功能,未来不应拘泥于《民法典》第1183条第1款中“严重精神损害”的字面含义,还应根据受害人具体情形评估其主张的精神损害是否合理,同时避免简单将其等同为临床上确诊的精神疾病。当然,被侵权人仍须向法院提供能证明精神损害的初步证据;相反,受害人只要能证明数据泄露已令一个理性人产生足够的精神压力或痛苦即可。
损害归因:数据泄露
侵权因果关系证明难题的破解
(一)归因前提:解释论视角下的信息安全保护义务
1.信息安全保护义务的证成
关于个人信息,《民法典》第111条以及第1034条确立了个人信息保护的一般原则。《民法典》第1038条第2款以及其他相关法规,确立了数据平台保护信息安全的一般性积极作为义务。
本质上,数据平台创设了一个数据驱动的服务或社会交往场景,具备《民法典》第1198条第1款规定“安全保障义务”之“开启、参与社会交往”以及“给他人权益带来潜在危险”两项核心特征。若对该款作扩张解释,就不难推导出数据平台亦应负信息安全保护义务。
同时,立法者承认自然人对其个人信息享有权利且已将其建立在维护人格尊严及自由而非财产自由之基础之上。因此,援用“侵权责任编”而非“合同编”中的责任规则对个人信息进行保护或提供救济就更合乎逻辑。
进一步而言,若从诚信原则视角阐释信息安全保护义务,那么可将保护理念嵌入更广泛的数据安全管理体系之中。其侧重点是这些保护措施是否符合法定标准、行业标准甚或数据主体的合理期待。
2.合理谨慎:信息安全保护义务的内核
数据平台应负担事前与事后的安全保护/注意义务。事前的安全保护义务主要包括数据采集阶段的获取同意与谨慎处理义务。最基本的要求是数据平台应建立足以将风险降至合理且适当水平的安全保护措施。事后的安全保障义务主要包括数据泄露后的通知、报告义务以及采取补救措施这一止损义务。
通过向数据平台课以信息安全保护义务,有助于它们把法律风险与网络风险联结起来。更重要的是,这种风险组合能促使数据平台保持高度警惕。唯有增强问责制才能促使数据平台把过错行为的成本内部化,促使其在网络安全与数据保护方面进行投资。
不过,因数据平台在规模、技术能力以及其占有、保管或控制的数据类型及数量等方面不尽相同,因此它们承担的信息安全保护义务也应有所区别。
(二)归因关键:信息安全保护义务履行之证明责任重构
根据相当因果关系理论,未尽合理限度范围内的信息安全保护义务本身就表明了数据平台具有过错/过失,且此种过错行为对受害人的损害具有相当的“贡献度”。鉴此,数据平台是否履行了安全保障义务即成为数据泄露间接侵权因果关系判断的关键。随之而来的问题是,由谁来证明数据平台是否适当履行了信息安全保护义务?
目前,我国司法实践对如何锁定侵权人以及判断其是否存在过错存在两种不同的裁判思路。
其一,要求原告证明侵权人的“唯一性”以及其在数据保护方面存在过错。显然该思路加重了受害人因果关系的证明责任,这也是他们难以完成的证明义务。
其二,仅要求原告证明被告存在侵权的“高度可能性”,而被告是否已履行应尽之信息安全保护义务由其自己证明。利用这一司法推定,法院可以初步解决数据泄露侵权中的因果关系证明难题。
笔者以为,对于数据到底是如何被泄露的,显然只有数据平台才是最合适的证明者,它们具有更强能力且仅需较低成本便能证明其损害与数据行为之间是否具有因果关系。
未来的个人信息保护立法可规定数据泄露侵权适用过错推定原则。消费者只要能证明已将其个人的“整体信息”“托付”给了数据平台,且这些信息极大可能因数据平台的过失而遭泄露,即完成了初步的证明责任。至此,进一步证明责任应转由数据平台负担。
除非存在故意泄露自己个人信息进而提起虚假诉讼等不诚实、不善意之情形,否则不应苛责并要求数据主体承担所谓的谨慎义务,即便他们疏于辨别数据泄露后的欺诈风险,也不应因此免除数据平台应负的高度注意义务以及违反这一义务而应承担的侵权责任。
损害救济:数据平台
过失侵权多元化责任形态构建
根据《民法典》第1198条第2款规定,数据泄露侵权纠纷中,当第三人故意实施侵害行为造成他人损害且数据平台未尽应尽之信息安全保护义务时,也不难推导出数据平台应像物理空间中的经营者、管理者或组织者那样承担“相应的补充责任”。
本文赞同将“补充责任”解释为“不真正连带责任的实现形式”,且“补充性”系指“不真正连带的内部关系,作为补充责任人的数据平台在承担责任后自应有权向故意侵权的第三人追索。在外部关系上,数据泄露受害人有权选择最有利于自己的追索对象,若选择追索数据平台这类安全保护义务人,则后者的责任份额仅系其“能够防止或制止损害”的过错程度之内,而非对全部损害承担连带责任。
在其他数据损害侵权情形下,数据平台的承担责任的形态不再是“补充责任”,而是承担全部侵权责任、按份责任、连带责任等,更严厉的甚至承担相应的刑事责任。
至于救济方式,可根据《民法典》第179条规定,单独或合并适用赔偿损失或非金钱赔偿;也可根据《民法典》第1167条规定,要求数据平台承担预防性侵权责任。
金钱赔偿的数额,可根据“网络侵权解释”第17条、第18条以及《民法典》第1182条规定予以确定。另外,本文主张精神损害赔偿通过象征性金钱赔偿或非金钱赔偿方式实现。如此,既不至于加重数据平台的责任负担,又能给予数据泄露受害人一定的抚慰。
结论
法院不应回避数据泄露潜在危害性并应考虑从宽认定损害,认可受害人遭受的身份盗窃、欺诈或歧视等实质性风险,以及由此引起的焦虑与恐惧等构成可予赔偿的新型损害。
当然,无形损害的定义可能过于开放从而使其易于伪造或被夸大,恶意的当事人从而可能实施欺骗或操纵。为此,法院可尝试以理性人标准,审查受害人是否会因数据泄露导致的未来损害风险而感到焦虑以及在此情形下是否会采取预防措施。
私人诉讼是相对较优的救济路径。笔者认为,从宽认定新型的数据损害,并不必然导致大规模数据泄露侵权诉讼从而导致法院不堪重负的现实困境。如引入与上海金融法院已经采用的证券纠纷“示范判决”及“代表人诉讼”相似的机制,不仅能有效缓解法院的审判压力,而且还能借助多元纠纷解决机制有效化解这种潜在的群体性、大规模的侵权纠纷。
