大數據時代個人信息司法治理的困境及對策

郭凱

近年來，個人信息侵權案件頻發。中共中央發布了《關于新時代加快完善社會主義市場經濟體制的意見》《深圳建設中國特色社會主義先行示范區綜合改革試點實施方案（2020—2025年）》《制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》等文件。2020年，第十三屆全國人大常委會第二十二次會議對《個人信息保護法（草案）》進行了審議并公開征求意見?！睹穹ǖ洹分腥烁駲嗑?，對個人信息加以規定但還未生效。以上種種情況表明，中共中央對個人信息予以高度重視，不斷推動保護個人信息的頂層設計?！皞€人信息保護法”的制定已箭在弦上，而研究《民法總則》生效以來個人信息條文的司法適用效果，是檢驗當前個人信息保護成效的現實衡量標準，以此可為“個人信息保護法”提供實踐經驗和構建建議。

一、個人信息的司法治理困境

從《民法總則》生效之日至《個人信息保護法（草案）》公開之日，筆者在“北大法寶案例庫”，以“個人信息”為關鍵詞搜索到262份民事裁判文書。經研讀與梳理，排除重復案例，篩查出56份與研究對象相關的文書，分別從裁判者和信息主體的角度出發，厘清個人信息司法適用的癥結所在。

（一）個人信息裁判適用不統一

當前涉及個人信息的侵權案件需間接論證，增加了裁判的不確定性。通過裁判文書統計分析，個人信息侵權案件被歸類在不同的案由。其中“名譽權糾紛”共29件、“隱私權糾紛”共4件、“姓名權糾紛”共18件、“一般人格權糾紛”共5件。顯然，司法實踐未將“個人信息糾紛”作為一類獨立的案由，而是轉而尋求將個人信息置于其他人格權案由項下裁判的路徑。此時，判斷個人信息是否被侵害，裁判需要借助“一般人格權”“人格利益”“名譽權”“姓名權”“隱私權”等進行迂回說理，這無疑增加了法院的論證負擔和裁判的不確定性。[1]

與此同時，通過裁判內容發現：亦有法官突破案由的外在限制，在文書說理部分使用“個人信息權”的表述，比如：浙江省杭州互聯網法院（2019）浙0192民初2435號民事判決書、福建省安溪縣人民法院（2020）閩0524刑初228號刑事判決書。值得肯定的是，此種方式不同于借助于其他人格權的間接論證，而是將個人信息直接作為獨立的權利進行釋法說理。但由于此種直接論證和上述間接論證的作法同時存在，就更顯當前個人信息裁判適用的混亂局面。

（二）信息主體司法維權不暢通

《2019個人信息安全報告》顯示，95%受訪者曾遭遇個人信息泄露，超過一半受訪者在注冊APP后收到騷擾或推銷電話。[2]可以窺見，利用個人信息實施商業推銷、精準詐騙等侵權事件眾多，信息主體更是驚訝于APP推送的個性化廣告，完全將個人內心所想透明化。對此，社會公眾對違法收集個人信息的行為已怨聲載道，保護自身個人信息權益的意愿也隨之上升。

然而，信息主體通過司法途徑維權的數量卻相對較少。通過裁判文書分析發現，我國內地真正涉及個人信息侵權的案件總共才56件，對比上述個人信息眾多的侵權事實和社會公眾維權的普遍訴求，信息主體選擇司法途徑救濟的數量就相形見絀，而且其中被全部駁回的案件數量高達21件?！睹穹倓t》生效已三年有余，個人信息維權案件數量依然較少且原告勝訴率較低，這顯然與社會生活中廣泛存在的大量個人信息侵權事實不相符合。

二、個人信息司法治理成效欠佳的原因

（一）個人信息法律屬性的規定不明確

司法實踐中，對個人信息裁判適用的不統一，其深層次緣由是我國法律規則關于個人信息法律屬性的界定比較模糊。其一，個人信息保護進入“民法典”視野之前的規定，包括《消費者權益保護法》《網絡安全法》《電子商務法》等。歷經幾部法律的修正，普遍認可將“可識別”作為個人信息保護的起點。但以上規則的內容囿于特定部門或行業的范圍，不具有普遍約束力。其二，《民法總則》生效之后，仍主要是通過名譽權和隱私權等具體人格權的方式迂回保護，該法第111條未給予信息主體維權和司法裁判清晰的路徑。而《民法典》人格權編規則延續了《民法總則》第111條的精神所在，但仍未對其法律屬性表達明確的態度。其三，《個人信息保護法（草案）》將個人信息表述為“權益”，但個人信息權益具體是何種權益類型，到底是權利還是利益仍未有涉及。

（二）歸責原則標準的規定單一

在我國現行法律框架之下，適用過錯推定責任和無過錯責任都必須嚴格以法律的明確規定為前提?！秱€人信息保護法（草案）》第65條規定較為模糊，基于《民法典》人格權編建構的個人信息體系，則建議結合《侵權責任法》的規定適用。但由于其沒有對個人信息侵權歸責原則的具體規定，故通常被解釋為一般侵權行為，進而采取過錯責任。然而，在大數據和人工智能時代下的個人信息侵權，信息主體想要舉證證明信息處理者有“過錯”顯得相當困難。究其緣由，一方面，是由于信息處理者對個人信息的控制力較強。信息處理者利用強大的大數據與人工智能技術，對個人信息進行深層次的挖掘，通過技術加工將個人信息廣泛兜售傳播，導致個人信息被多方信息處理者控制。另一方面，信息主體對于個人信息的控制較弱。在大數據時代下，個人信息何時被收集，具體用在哪些領域，保存的時長是多久，信息主體顯然無從得知?；旧鲜窃诎l生個人信息侵權后，才始之得以知曉個人信息被泄露，以至于信息主體難以舉證。對此，若繼續堅持單一的過錯歸責原則，勢必會導致信息主體追求個人信息權益救濟的目的落空。

（三）傳統訴訟救濟功能弱化

當個人信息違法達到刑事犯罪的標準，自然可得到兜底性的保護，但若僅僅基于民事法律尋求損害賠償，在只有一個人的信息被出售或者非法利用且結果未達到嚴重程度時，基于當前司法治理所依賴的傳統訴訟模式難以完全實現救濟。

不僅如此，個人信息并非僅是針對特定個人的單個信息侵權，而是呈現大規模信息侵權的傾向，動輒涉及上億的個人信息泄露。調查數據顯示，截至2020年6月，我國網民規模達9.40億，超20%網民遭遇過個人信息泄露。[3]對此，若繼續采取單個主體起訴的傳統模式，具體到每一個當事人的損害往往較小，可能會因達不到賠償的標準而敗訴。此外，即便單個信息主體所受損害達到賠償的標準，所可能獲得的損害賠償一般難以完全補償損失。換言之，信息處理者侵害個人信息權益的違法成本非常低，在龐大的數據誘惑之下，不惜付出一定的代價，選擇繼續違法處理個人信息。顯然，損害賠償規則以及傳統的訴訟模式難以起到震懾違法處理者的作用。

三、個人信息司法治理的對策建議

（一）明確個人信息的性質，重塑裁判適用標準

個人信息，應當是一項具體人格權。從根本上對個人信息的法律屬性定分止爭，繼而統一裁判適用的前提，明晰信息主體的維權路徑。一是個人信息具有其獨特的內在屬性，作為具體人格權是合乎情理的。信息主體通過司法途徑救濟個人信息權益，主要目的是維護其個人的人格尊嚴，使自己的人格免受不法侵害。將其作為具體人格權，保護力度上弱于所有權但強于純粹的利益保護模式，可謂正處于一個適當的位置。[4]二是個人信息作為具體人格權可實現多途徑救濟。個人信息權作為具體人格權，在遭受個人信息侵權時，可基于人格權請求權主張排除妨害、消除危險等防御性權利，亦可基于侵權請求權要求承擔損害賠償的救濟性權利。

（二）合理分配舉證責任，實現歸責原則多元化

個人信息侵權的歸責原則，需根據不同的場景合理分配舉證責任，以平衡信息主體與信息處理者之間對個人信息控制力的差距。一是純粹私生活領域的信息侵權適用過錯責任。借鑒歐盟《一般數據保護條例》第2條第2款（c）項關于自然人在純粹個人或家庭活動中所進行的個人數據處理的規定，[5]我國《個人信息保護法（草案）》第68條也明確排除了自然人因個人或者家庭事務而處理個人信息的適用。然而，在自然人存在一定故意或過失的情況下，也應當延續《民法典》人格權編基準下確立的過錯歸責原則，此時雖不應過分苛責一般自然人的注意義務，但也絕非就應完全排除自然人民事責任的適用。

二是商業領域的信息侵權適用過錯推定責任。商業領域下的信息處理者擁有強大的數據處理與算法黑箱技術，其獲取個人信息通常是為了追求經濟利益，顯然應負有較高的注意義務。但又不宜適用無過錯責任，因在保障信息個人權益的同時亦需兼顧數據流通，以避免對責任人施加過重的壓力。

三是公共領域的信息侵權適用無過錯責任。政府是最大的數據控制者和管理者，而大數據實際上強化了政府和個體既有的力量強弱差序格局。[6]在公共領域的信息處理者基于公共利益處理個人信息，若反過來造成個人信息侵權或損害了公共利益，這顯然違背了公共機關處理個人信息的初衷，對此理應負有最高的注意義務。

（三）構建懲罰性賠償制度，助力信息主體維權

對于惡意程度較高且造成嚴重后果的個人信息侵權行為，在承擔受害人所受損失之外，可考慮對其額外適用懲罰性賠償規則。通過提高侵權人實施侵權行為的違法成本，加重侵害人的賠償負擔。一是明確個人信息懲罰性賠償制度的適用范圍。個人信息權益兼具人格利益和財產利益，但并非不區分財產損害和人身損害均可適用懲罰性賠償規則，而是需嚴格規范適用懲罰性賠償制度的范圍。在只有因個人信息侵權遭受財產利益損失的情況下，才可適用懲罰性賠償制度，來擴大受害人所能獲得的賠償數額。二是確立懲罰性賠償規則的具體標準。一方面，當受害人的損害達到一般賠償標準時，可確定懲罰性賠償的標準為一般不超過所受損失的一到三倍。另一方面，當損害達不到一般賠償標準時，但是處理信息卻達到一定數量的，可考慮按照處理個人信息的條數計算懲罰性賠償的數額。而對于其中處理個人信息數量較少，類似只處理一兩條個人信息的，亦可適用小額損害賠償規則，比如，按照賠償500元或者1000元的標準直接補足。

（四）探索信息公益訴訟，推動多維度司法保護

在此次新冠疫情中，重慶市公布了多個區縣新型冠狀病毒感染的肺炎確診病例活動軌跡，[7]表明利用個人信息進行大數據分析，可以服務于社會公共利益。與之相對，信息處理者也可運用大數據技術侵犯公共利益。

對此，《個人信息保護法（草案）》正在積極探索信息公益訴訟，但卻未涉及具體規則的建構。故建議聚焦到檢察機關范疇完善以下舉措：一是明確起訴期限?！睹袷略V訟法》未規定公益訴訟的起訴期限，而《行政訴訟法》規定公益訴訟的起訴期限為六個月?？紤]到兩部法律規定的起訴期限不一致易造成適用混亂，并且訴前程序需要花費較多時間斡旋的情況，因此，建議將信息公益訴訟的起訴期限統一規定為二年。二是優化訴前程序。檢察機關可以通過訴前圓桌會議、聽證、公開宣告等，增強“可視性”“對抗性”和“儀式化”，[8]不斷增進訴前程序的多元化。三是創新調查取證。檢察機關擁有法定的證據調查權，可委托專業第三方獲取藏匿于算法黑箱之下的證據材料，以扭轉私益訴訟中原告的舉證劣勢。

參考文獻：

[1]王成.個人信息民法保護的模式選擇[J].中國社會科學，2019（6）：124-146.

[2]袁勇.個人信息安全年度報告（2019）顯示APP專項治理成效明顯[N].經濟日報，2019-12-18（15）

[3]中國互聯網絡信息中心.中國互聯網絡發展狀況統計報告[EB/OL].http：//www.cnnic.net.cn/gywm/xwzx/rdxw/202009/t20200929_71255.htm.2020-9-29.

[4]呂炳斌.個人信息權作為民事權利之證成：以知識產權為參照[J].中國法學，2019（4）：44-64.

[5]丁曉東.歐洲一般數據保護條例[EB/OL].http：//calaw.cn/article/default.asp？id=12864，2020-7-13.

[6]葉名怡.個人信息的侵權法保護[J].法學研究，2018（4）：83-102.

[7]重慶發布.重慶多個區縣公布新型冠狀病毒感染的肺炎確診病例活動軌跡[EB/OL].http：//www.thepaper.cn/baidu.jsp？contid=5752286.2020-2-2.

[8]馬方飛.優化制度設計完善行政公益訴訟訴前程序[N].檢察日報，2019-07-07（03）.