大數(shù)據(jù)時代個人信息司法治理的困境及對策

1、 大數(shù)據(jù)時代個人信息司法治理的困境及對策 郭凱近年來，個人信息侵權案件頻發(fā)。中共中央發(fā)布了關于新時代加快完善社會主義市場經濟體制的意見深圳建設中國特色社會主義先行示范區(qū)綜合改革試點實施方案（20202025年）制定國民經濟和社會發(fā)展第十四個五年規(guī)劃和二三五年遠景目標的建議等文件。2020年，第十三屆全國人大常委會第二十二次會議對個人信息保護法（草案）進行了審議并公開征求意見。民法典中人格權編，對個人信息加以規(guī)定但還未生效。以上種種情況表明，中共中央對個人信息予以高度重視，不斷推動保護個人信息的頂層設計?！皞€人信息保護法”的制定已箭在弦上，而研究民法總則生效以來個人信息條文的司法適用效果，是檢驗

2、當前個人信息保護成效的現(xiàn)實衡量標準，以此可為“個人信息保護法”提供實踐經驗和構建建議。一、個人信息的司法治理困境從民法總則生效之日至個人信息保護法（草案）公開之日，筆者在“北大法寶案例庫”，以“個人信息”為Key搜索到262份民事裁判文書。經研讀與梳理，排除重復案例，篩查出56份與研究對象相關的文書，分別從裁判者和信息主體的角度出發(fā)，厘清個人信息司法適用的癥結所在。（一）個人信息裁判適用不統(tǒng)一當前涉及個人信息的侵權案件需間接論證，增加了裁判的不確定性。通過裁判文書統(tǒng)計分析，個人信息侵權案件被歸類在不同的案由。其中“名譽權糾紛”共29件、“隱私權糾紛”共4件、“姓名權糾紛”共18件、“一般人格權

3、糾紛”共5件。顯然，司法實踐未將“個人信息糾紛”作為一類獨立的案由，而是轉而尋求將個人信息置于其他人格權案由項下裁判的路徑。此時，判斷個人信息是否被侵害，裁判需要借助“一般人格權”“人格利益”“名譽權”“姓名權”“隱私權”等進行迂回說理，這無疑增加了法院的論證負擔和裁判的不確定性。1與此同時，通過裁判內容發(fā)現(xiàn)：亦有法官突破案由的外在限制，在文書說理部分使用“個人信息權”的表述，比如：浙江省杭州互聯(lián)網法院（2019）浙0192民初2435號民事判決書、福建省安溪縣人民法院（2020）閩0524刑初228號刑事判決書。值得肯定的是，此種方式不同于借助于其他人格權的間接論證，而是將個人信息直接作為獨

4、立的權利進行釋法說理。但由于此種直接論證和上述間接論證的作法同時存在，就更顯當前個人信息裁判適用的混亂局面。（二）信息主體司法維權不暢通2019個人信息安全報告顯示，95%受訪者曾遭遇個人信息泄露，超過一半受訪者在注冊APP后收到騷擾或推銷電話。2可以窺見，利用個人信息實施商業(yè)推銷、精準詐騙等侵權事件眾多，信息主體更是驚訝于APP推送的個性化廣告，完全將個人內心所想透明化。對此，社會公眾對違法收集個人信息的行為已怨聲載道，保護自身個人信息權益的意愿也隨之上升。然而，信息主體通過司法途徑維權的數(shù)量卻相對較少。通過裁判文書分析發(fā)現(xiàn)，我國內地真正涉及個人信息侵權的案件總共才56件，對比上述個人信息眾

5、多的侵權事實和社會公眾維權的普遍訴求，信息主體選擇司法途徑救濟的數(shù)量就相形見絀，而且其中被全部駁回的案件數(shù)量高達21件。民法總則生效已三年有余，個人信息維權案件數(shù)量依然較少且原告勝訴率較低，這顯然與社會生活中廣泛存在的大量個人信息侵權事實不相符合。二、個人信息司法治理成效欠佳的原因（一）個人信息法律屬性的規(guī)定不明確司法實踐中，對個人信息裁判適用的不統(tǒng)一，其深層次緣由是我國法律規(guī)則關于個人信息法律屬性的界定比較模糊。其一，個人信息保護進入“民法典”視野之前的規(guī)定，包括消費者權益保護法網絡安全法電子商務法等。歷經幾部法律的修正，普遍認可將“可識別”作為個人信息保護的起點。但以上規(guī)則的內容囿于特定部

6、門或行業(yè)的范圍，不具有普遍約束力。其二，民法總則生效之后，仍主要是通過名譽權和隱私權等具體人格權的方式迂回保護，該法第111條未給予信息主體維權和司法裁判清晰的路徑。而民法典人格權編規(guī)則延續(xù)了民法總則第111條的精神所在，但仍未對其法律屬性表達明確的態(tài)度。其三，個人信息保護法（草案）將個人信息表述為“權益”，但個人信息權益具體是何種權益類型，到底是權利還是利益仍未有涉及。（二）歸責原則標準的規(guī)定單一在我國現(xiàn)行法律框架之下，適用過錯推定責任和無過錯責任都必須嚴格以法律的明確規(guī)定為前提。個人信息保護法（草案）第65條規(guī)定較為模糊，基于民法典人格權編建構的個人信息體系，則建議結合侵權責任法的規(guī)定適用

7、。但由于其沒有對個人信息侵權歸責原則的具體規(guī)定，故通常被解釋為一般侵權行為，進而采取過錯責任。然而，在大數(shù)據(jù)和人工智能時代下的個人信息侵權，信息主體想要舉證證明信息處理者有“過錯”顯得相當困難。究其緣由，一方面，是由于信息處理者對個人信息的控制力較強。信息處理者利用強大的大數(shù)據(jù)與人工智能技術，對個人信息進行深層次的挖掘，通過技術加工將個人信息廣泛兜售傳播，導致個人信息被多方信息處理者控制。另一方面，信息主體對于個人信息的控制較弱。在大數(shù)據(jù)時代下，個人信息何時被收集，具體用在哪些領域，保存的時長是多久，信息主體顯然無從得知。基本上是在發(fā)生個人信息侵權后，才始之得以知曉個人信息被泄露，以至于信息主

8、體難以舉證。對此，若繼續(xù)堅持單一的過錯歸責原則，勢必會導致信息主體追求個人信息權益救濟的目的落空。（三）傳統(tǒng)訴訟救濟功能弱化當個人信息違法達到刑事犯罪的標準，自然可得到兜底性的保護，但若僅僅基于民事法律尋求損害賠償，在只有一個人的信息被出售或者非法利用且結果未達到嚴重程度時，基于當前司法治理所依賴的傳統(tǒng)訴訟模式難以完全實現(xiàn)救濟。不僅如此，個人信息并非僅是針對特定個人的單個信息侵權，而是呈現(xiàn)大規(guī)模信息侵權的傾向，動輒涉及上億的個人信息泄露。調查數(shù)據(jù)顯示，截至2020年6月，我國網民規(guī)模達9.40億，超20%網民遭遇過個人信息泄露。3對此，若繼續(xù)采取單個主體起訴的傳統(tǒng)模式，具體到每一個當事人的損害

9、往往較小，可能會因達不到賠償?shù)臉藴识鴶≡V。此外，即便單個信息主體所受損害達到賠償?shù)臉藴?，所可能獲得的損害賠償一般難以完全補償損失。換言之，信息處理者侵害個人信息權益的違法成本非常低，在龐大的數(shù)據(jù)誘惑之下，不惜付出一定的代價，選擇繼續(xù)違法處理個人信息。顯然，損害賠償規(guī)則以及傳統(tǒng)的訴訟模式難以起到震懾違法處理者的作用。三、個人信息司法治理的對策建議（一）明確個人信息的性質，重塑裁判適用標準個人信息，應當是一項具體人格權。從根本上對個人信息的法律屬性定分止爭，繼而統(tǒng)一裁判適用的前提，明晰信息主體的維權路徑。一是個人信息具有其獨特的內在屬性，作為具體人格權是合乎情理的。信息主體通過司法途徑救濟個人信息

10、權益，主要目的是維護其個人的人格尊嚴，使自己的人格免受不法侵害。將其作為具體人格權，保護力度上弱于所有權但強于純粹的利益保護模式，可謂正處于一個適當?shù)奈恢谩?二是個人信息作為具體人格權可實現(xiàn)多途徑救濟。個人信息權作為具體人格權，在遭受個人信息侵權時，可基于人格權請求權主張排除妨害、消除危險等防御性權利，亦可基于侵權請求權要求承擔損害賠償?shù)木葷詸嗬＃ǘ┖侠矸峙渑e證責任，實現(xiàn)歸責原則多元化個人信息侵權的歸責原則，需根據(jù)不同的場景合理分配舉證責任，以平衡信息主體與信息處理者之間對個人信息控制力的差距。一是純粹私生活領域的信息侵權適用過錯責任。借鑒歐盟一般數(shù)據(jù)保護條例第2條第2款（c）項關于自然

11、人在純粹個人或家庭活動中所進行的個人數(shù)據(jù)處理的規(guī)定，5我國個人信息保護法（草案）第68條也明確排除了自然人因個人或者家庭事務而處理個人信息的適用。然而，在自然人存在一定故意或過失的情況下，也應當延續(xù)民法典人格權編基準下確立的過錯歸責原則，此時雖不應過分苛責一般自然人的注意義務，但也絕非就應完全排除自然人民事責任的適用。二是商業(yè)領域的信息侵權適用過錯推定責任。商業(yè)領域下的信息處理者擁有強大的數(shù)據(jù)處理與算法黑箱技術，其獲取個人信息通常是為了追求經濟利益，顯然應負有較高的注意義務。但又不宜適用無過錯責任，因在保障信息個人權益的同時亦需兼顧數(shù)據(jù)流通，以避免對責任人施加過重的壓力。三是公共領域的信息侵權

12、適用無過錯責任。政府是最大的數(shù)據(jù)控制者和管理者，而大數(shù)據(jù)實際上強化了政府和個體既有的力量強弱差序格局。6在公共領域的信息處理者基于公共利益處理個人信息，若反過來造成個人信息侵權或損害了公共利益，這顯然違背了公共機關處理個人信息的初衷，對此理應負有最高的注意義務。（三）構建懲罰性賠償制度，助力信息主體維權對于惡意程度較高且造成嚴重后果的個人信息侵權行為，在承擔受害人所受損失之外，可考慮對其額外適用懲罰性賠償規(guī)則。通過提高侵權人實施侵權行為的違法成本，加重侵害人的賠償負擔。一是明確個人信息懲罰性賠償制度的適用范圍。個人信息權益兼具人格利益和財產利益，但并非不區(qū)分財產損害和人身損害均可適用懲罰性賠償

13、規(guī)則，而是需嚴格規(guī)范適用懲罰性賠償制度的范圍。在只有因個人信息侵權遭受財產利益損失的情況下，才可適用懲罰性賠償制度，來擴大受害人所能獲得的賠償數(shù)額。二是確立懲罰性賠償規(guī)則的具體標準。一方面，當受害人的損害達到一般賠償標準時，可確定懲罰性賠償?shù)臉藴蕿橐话悴怀^所受損失的一到三倍。另一方面，當損害達不到一般賠償標準時，但是處理信息卻達到一定數(shù)量的，可考慮按照處理個人信息的條數(shù)計算懲罰性賠償?shù)臄?shù)額。而對于其中處理個人信息數(shù)量較少，類似只處理一兩條個人信息的，亦可適用小額損害賠償規(guī)則，比如，按照賠償500元或者1000元的標準直接補足。（四）探索信息公益訴訟，推動多維度司法保護在此次新冠疫情中，重慶市

14、公布了多個區(qū)縣新型冠狀病毒感染的肺炎確診病例活動軌跡，7表明利用個人信息進行大數(shù)據(jù)分析，可以服務于社會公共利益。與之相對，信息處理者也可運用大數(shù)據(jù)技術侵犯公共利益。對此，個人信息保護法（草案）正在積極探索信息公益訴訟，但卻未涉及具體規(guī)則的建構。故建議聚焦到檢察機關范疇完善以下舉措：一是明確起訴期限。民事訴訟法未規(guī)定公益訴訟的起訴期限，而行政訴訟法規(guī)定公益訴訟的起訴期限為六個月?？紤]到兩部法律規(guī)定的起訴期限不一致易造成適用混亂，并且訴前程序需要花費較多時間斡旋的情況，因此，建議將信息公益訴訟的起訴期限統(tǒng)一規(guī)定為二年。二是優(yōu)化訴前程序。檢察機關可以通過訴前圓桌會議、聽證、公開宣告等，增強“可視性”“對抗性”和“儀式化”，8不斷增進訴前