數(shù)據(jù)泄露損害問題研究

數(shù)據(jù)泄露更多是關(guān)乎“人”而非“物”,其所導(dǎo)致的損害呈現(xiàn)“無形、分散以及風(fēng)險(xiǎn)導(dǎo)向”等特征。實(shí)踐中,法院多對“損害”作狹義解釋,且要求這一損害可被觀察與衡量,所以數(shù)據(jù)泄露導(dǎo)致的“風(fēng)險(xiǎn)與焦慮”這種無形損害能否為現(xiàn)有損害概念所容面臨著法律上的挑戰(zhàn)。
          問題的提出
 
          社會(huì)生活的“數(shù)據(jù)化”正在不斷增進(jìn)人類福祉,但如影隨形的數(shù)據(jù)泄露也導(dǎo)致了新的挑戰(zhàn)。就數(shù)據(jù)泄露而言,其意味著個(gè)人數(shù)據(jù)尤其是敏感的個(gè)人數(shù)據(jù)暴露于不安全的狀態(tài)之中,繼而可能對數(shù)據(jù)主體的人格利益及財(cái)產(chǎn)權(quán)利造成損害。因而應(yīng)將其視為一種新型的權(quán)益侵害類型,以便向數(shù)據(jù)主體提供“最大程度的保護(hù)”。
 
          本文在過失框架下,并結(jié)合《中華人民共和國民法典》(以下簡稱“《民法典》”)相關(guān)條款,探討“當(dāng)事人因數(shù)據(jù)泄露而遭遇身份盜竊、被詐騙或被歧視等未來侵害的風(fēng)險(xiǎn)顯著增加,并因此而焦慮不已”之情形的損害問題以及相應(yīng)的問責(zé)制。
 
          風(fēng)險(xiǎn)及焦慮
 
          數(shù)據(jù)泄露新型侵權(quán)的損害認(rèn)定
 
          數(shù)據(jù)泄露更多是關(guān)乎“人”而非“物”,其所導(dǎo)致的損害呈現(xiàn)“無形、分散以及風(fēng)險(xiǎn)導(dǎo)向”等特征。實(shí)踐中,法院多對“損害”作狹義解釋,且要求這一損害可被觀察與衡量,所以數(shù)據(jù)泄露導(dǎo)致的“風(fēng)險(xiǎn)與焦慮”這種無形損害能否為現(xiàn)有損害概念所容面臨著法律上的挑戰(zhàn)。
 
          我國數(shù)據(jù)泄露導(dǎo)致的人格權(quán)受侵害糾紛中,約有40%的裁判結(jié)果不支持受害人相應(yīng)的損害賠償請求。其中,原告未能證明數(shù)據(jù)泄露導(dǎo)致其遭受實(shí)際損害是其敗訴的重要原因之一。反觀域外亦然。為此,越來越多的受害人轉(zhuǎn)而主張數(shù)據(jù)泄露增加了他們未來遭受侵害的風(fēng)險(xiǎn)這一新型損害以及他們因此而產(chǎn)生焦慮或恐懼等精神損害。
 
          難以否認(rèn),數(shù)據(jù)泄露新型損害的認(rèn)定,因繼發(fā)性、無形性以及不易計(jì)量性等特點(diǎn)從而更難識(shí)別與評(píng)估,甚至還可能被濫用。這正是不少域外法院拒絕將其視為可予賠償?shù)膿p害的主要理由。對此,我國法院多以精神損害未達(dá)“嚴(yán)重”或“明顯”程度而拒絕認(rèn)定數(shù)據(jù)泄露造成了應(yīng)予賠償?shù)木駬p害。顯然,這樣的損害標(biāo)準(zhǔn)于受害人而言過于苛刻,從而大大減少當(dāng)事人提起訴訟或獲得救濟(jì)的機(jī)會(huì)。
 
          但無論如何,這些不利后果也難被否認(rèn)。因此,從寬認(rèn)定數(shù)據(jù)損害,以“客觀合理的可能性”視角來審視并承認(rèn)包括風(fēng)險(xiǎn)在內(nèi)的未來損害——侵害風(fēng)險(xiǎn)增加或某種機(jī)會(huì)喪失,應(yīng)是“邁向正確方向的一步”,不僅“對原告最有利,而且也將惠及整個(gè)社會(huì)”。
 
          至于焦慮或恐懼,一般認(rèn)為,它也是精神損害的形式之一。不過,與身體侵權(quán)具有牽連關(guān)系的精神損害相對容易認(rèn)定且容易被接受不同,僅與未來侵害風(fēng)險(xiǎn)交織在一起的精神損害由于更難度量因而不易獲得承認(rèn)。盡管如此,比較法上,并不依附于身體傷害的純粹精神損害已被視為一種可予賠償?shù)膿p害形式。數(shù)據(jù)泄露場合下,受害人據(jù)此請求精神損害賠償具有正當(dāng)性與合法性。
 
          值得注意的是,精神損害“嚴(yán)重”之程度要求將使被侵權(quán)人負(fù)擔(dān)較重的證明責(zé)任。比較法上,精神損害程度要件已趨緩和。筆者以為,基于對大規(guī)模侵權(quán)行為的威懾且彰顯現(xiàn)代侵權(quán)責(zé)任條款的救濟(jì)功能,未來不應(yīng)拘泥于《民法典》第1183條第1款中“嚴(yán)重精神損害”的字面含義,還應(yīng)根據(jù)受害人具體情形評(píng)估其主張的精神損害是否合理,同時(shí)避免簡單將其等同為臨床上確診的精神疾病。當(dāng)然,被侵權(quán)人仍須向法院提供能證明精神損害的初步證據(jù);相反,受害人只要能證明數(shù)據(jù)泄露已令一個(gè)理性人產(chǎn)生足夠的精神壓力或痛苦即可。
 
          損害歸因:數(shù)據(jù)泄露
 
          侵權(quán)因果關(guān)系證明難題的破解
 
          (一)歸因前提:解釋論視角下的信息安全保護(hù)義務(wù)
 
          1.信息安全保護(hù)義務(wù)的證成
 
          關(guān)于個(gè)人信息,《民法典》第111條以及第1034條確立了個(gè)人信息保護(hù)的一般原則?!睹穹ǖ洹返?038條第2款以及其他相關(guān)法規(guī),確立了數(shù)據(jù)平臺(tái)保護(hù)信息安全的一般性積極作為義務(wù)。
 
          本質(zhì)上,數(shù)據(jù)平臺(tái)創(chuàng)設(shè)了一個(gè)數(shù)據(jù)驅(qū)動(dòng)的服務(wù)或社會(huì)交往場景,具備《民法典》第1198條第1款規(guī)定“安全保障義務(wù)”之“開啟、參與社會(huì)交往”以及“給他人權(quán)益帶來潛在危險(xiǎn)”兩項(xiàng)核心特征。若對該款作擴(kuò)張解釋,就不難推導(dǎo)出數(shù)據(jù)平臺(tái)亦應(yīng)負(fù)信息安全保護(hù)義務(wù)。
 
          同時(shí),立法者承認(rèn)自然人對其個(gè)人信息享有權(quán)利且已將其建立在維護(hù)人格尊嚴(yán)及自由而非財(cái)產(chǎn)自由之基礎(chǔ)之上。因此,援用“侵權(quán)責(zé)任編”而非“合同編”中的責(zé)任規(guī)則對個(gè)人信息進(jìn)行保護(hù)或提供救濟(jì)就更合乎邏輯。
 
          進(jìn)一步而言,若從誠信原則視角闡釋信息安全保護(hù)義務(wù),那么可將保護(hù)理念嵌入更廣泛的數(shù)據(jù)安全管理體系之中。其側(cè)重點(diǎn)是這些保護(hù)措施是否符合法定標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)甚或數(shù)據(jù)主體的合理期待。
 
          2.合理謹(jǐn)慎:信息安全保護(hù)義務(wù)的內(nèi)核
 
          數(shù)據(jù)平臺(tái)應(yīng)負(fù)擔(dān)事前與事后的安全保護(hù)/注意義務(wù)。事前的安全保護(hù)義務(wù)主要包括數(shù)據(jù)采集階段的獲取同意與謹(jǐn)慎處理義務(wù)。最基本的要求是數(shù)據(jù)平臺(tái)應(yīng)建立足以將風(fēng)險(xiǎn)降至合理且適當(dāng)水平的安全保護(hù)措施。事后的安全保障義務(wù)主要包括數(shù)據(jù)泄露后的通知、報(bào)告義務(wù)以及采取補(bǔ)救措施這一止損義務(wù)。
 
          通過向數(shù)據(jù)平臺(tái)課以信息安全保護(hù)義務(wù),有助于它們把法律風(fēng)險(xiǎn)與網(wǎng)絡(luò)風(fēng)險(xiǎn)聯(lián)結(jié)起來。更重要的是,這種風(fēng)險(xiǎn)組合能促使數(shù)據(jù)平臺(tái)保持高度警惕。唯有增強(qiáng)問責(zé)制才能促使數(shù)據(jù)平臺(tái)把過錯(cuò)行為的成本內(nèi)部化,促使其在網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)方面進(jìn)行投資。
 
          不過,因數(shù)據(jù)平臺(tái)在規(guī)模、技術(shù)能力以及其占有、保管或控制的數(shù)據(jù)類型及數(shù)量等方面不盡相同,因此它們承擔(dān)的信息安全保護(hù)義務(wù)也應(yīng)有所區(qū)別。
 
          (二)歸因關(guān)鍵:信息安全保護(hù)義務(wù)履行之證明責(zé)任重構(gòu)
 
          根據(jù)相當(dāng)因果關(guān)系理論,未盡合理限度范圍內(nèi)的信息安全保護(hù)義務(wù)本身就表明了數(shù)據(jù)平臺(tái)具有過錯(cuò)/過失,且此種過錯(cuò)行為對受害人的損害具有相當(dāng)?shù)?ldquo;貢獻(xiàn)度”。鑒此,數(shù)據(jù)平臺(tái)是否履行了安全保障義務(wù)即成為數(shù)據(jù)泄露間接侵權(quán)因果關(guān)系判斷的關(guān)鍵。隨之而來的問題是,由誰來證明數(shù)據(jù)平臺(tái)是否適當(dāng)履行了信息安全保護(hù)義務(wù)?
 
          目前,我國司法實(shí)踐對如何鎖定侵權(quán)人以及判斷其是否存在過錯(cuò)存在兩種不同的裁判思路。
 
          其一,要求原告證明侵權(quán)人的“唯一性”以及其在數(shù)據(jù)保護(hù)方面存在過錯(cuò)。顯然該思路加重了受害人因果關(guān)系的證明責(zé)任,這也是他們難以完成的證明義務(wù)。
 
          其二,僅要求原告證明被告存在侵權(quán)的“高度可能性”,而被告是否已履行應(yīng)盡之信息安全保護(hù)義務(wù)由其自己證明。利用這一司法推定,法院可以初步解決數(shù)據(jù)泄露侵權(quán)中的因果關(guān)系證明難題。
 
          筆者以為,對于數(shù)據(jù)到底是如何被泄露的,顯然只有數(shù)據(jù)平臺(tái)才是最合適的證明者,它們具有更強(qiáng)能力且僅需較低成本便能證明其損害與數(shù)據(jù)行為之間是否具有因果關(guān)系。
 
          未來的個(gè)人信息保護(hù)立法可規(guī)定數(shù)據(jù)泄露侵權(quán)適用過錯(cuò)推定原則。消費(fèi)者只要能證明已將其個(gè)人的“整體信息”“托付”給了數(shù)據(jù)平臺(tái),且這些信息極大可能因數(shù)據(jù)平臺(tái)的過失而遭泄露,即完成了初步的證明責(zé)任。至此,進(jìn)一步證明責(zé)任應(yīng)轉(zhuǎn)由數(shù)據(jù)平臺(tái)負(fù)擔(dān)。
 
          除非存在故意泄露自己個(gè)人信息進(jìn)而提起虛假訴訟等不誠實(shí)、不善意之情形,否則不應(yīng)苛責(zé)并要求數(shù)據(jù)主體承擔(dān)所謂的謹(jǐn)慎義務(wù),即便他們疏于辨別數(shù)據(jù)泄露后的欺詐風(fēng)險(xiǎn),也不應(yīng)因此免除數(shù)據(jù)平臺(tái)應(yīng)負(fù)的高度注意義務(wù)以及違反這一義務(wù)而應(yīng)承擔(dān)的侵權(quán)責(zé)任。
 
          損害救濟(jì):數(shù)據(jù)平臺(tái)
 
          過失侵權(quán)多元化責(zé)任形態(tài)構(gòu)建
 
          根據(jù)《民法典》第1198條第2款規(guī)定,數(shù)據(jù)泄露侵權(quán)糾紛中,當(dāng)?shù)谌斯室鈱?shí)施侵害行為造成他人損害且數(shù)據(jù)平臺(tái)未盡應(yīng)盡之信息安全保護(hù)義務(wù)時(shí),也不難推導(dǎo)出數(shù)據(jù)平臺(tái)應(yīng)像物理空間中的經(jīng)營者、管理者或組織者那樣承擔(dān)“相應(yīng)的補(bǔ)充責(zé)任”。
 
          本文贊同將“補(bǔ)充責(zé)任”解釋為“不真正連帶責(zé)任的實(shí)現(xiàn)形式”,且“補(bǔ)充性”系指“不真正連帶的內(nèi)部關(guān)系,作為補(bǔ)充責(zé)任人的數(shù)據(jù)平臺(tái)在承擔(dān)責(zé)任后自應(yīng)有權(quán)向故意侵權(quán)的第三人追索。在外部關(guān)系上,數(shù)據(jù)泄露受害人有權(quán)選擇最有利于自己的追索對象,若選擇追索數(shù)據(jù)平臺(tái)這類安全保護(hù)義務(wù)人,則后者的責(zé)任份額僅系其“能夠防止或制止損害”的過錯(cuò)程度之內(nèi),而非對全部損害承擔(dān)連帶責(zé)任。
 
          在其他數(shù)據(jù)損害侵權(quán)情形下,數(shù)據(jù)平臺(tái)的承擔(dān)責(zé)任的形態(tài)不再是“補(bǔ)充責(zé)任”,而是承擔(dān)全部侵權(quán)責(zé)任、按份責(zé)任、連帶責(zé)任等,更嚴(yán)厲的甚至承擔(dān)相應(yīng)的刑事責(zé)任。
 
          至于救濟(jì)方式,可根據(jù)《民法典》第179條規(guī)定,單獨(dú)或合并適用賠償損失或非金錢賠償;也可根據(jù)《民法典》第1167條規(guī)定,要求數(shù)據(jù)平臺(tái)承擔(dān)預(yù)防性侵權(quán)責(zé)任。
 
          金錢賠償?shù)臄?shù)額,可根據(jù)“網(wǎng)絡(luò)侵權(quán)解釋”第17條、第18條以及《民法典》第1182條規(guī)定予以確定。另外,本文主張精神損害賠償通過象征性金錢賠償或非金錢賠償方式實(shí)現(xiàn)。如此,既不至于加重?cái)?shù)據(jù)平臺(tái)的責(zé)任負(fù)擔(dān),又能給予數(shù)據(jù)泄露受害人一定的撫慰。
 
          結(jié)論
 
          法院不應(yīng)回避數(shù)據(jù)泄露潛在危害性并應(yīng)考慮從寬認(rèn)定損害,認(rèn)可受害人遭受的身份盜竊、欺詐或歧視等實(shí)質(zhì)性風(fēng)險(xiǎn),以及由此引起的焦慮與恐懼等構(gòu)成可予賠償?shù)男滦蛽p害。
 
          當(dāng)然,無形損害的定義可能過于開放從而使其易于偽造或被夸大,惡意的當(dāng)事人從而可能實(shí)施欺騙或操縱。為此,法院可嘗試以理性人標(biāo)準(zhǔn),審查受害人是否會(huì)因數(shù)據(jù)泄露導(dǎo)致的未來損害風(fēng)險(xiǎn)而感到焦慮以及在此情形下是否會(huì)采取預(yù)防措施。
 
          私人訴訟是相對較優(yōu)的救濟(jì)路徑。筆者認(rèn)為,從寬認(rèn)定新型的數(shù)據(jù)損害,并不必然導(dǎo)致大規(guī)模數(shù)據(jù)泄露侵權(quán)訴訟從而導(dǎo)致法院不堪重負(fù)的現(xiàn)實(shí)困境。如引入與上海金融法院已經(jīng)采用的證券糾紛“示范判決”及“代表人訴訟”相似的機(jī)制,不僅能有效緩解法院的審判壓力,而且還能借助多元糾紛解決機(jī)制有效化解這種潛在的群體性、大規(guī)模的侵權(quán)糾紛。
THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論