我國消費者數據權益保護私力救濟路徑之重構

曲君宇

內容提要： 大數據技術的進步為人類構建美麗新世界以有力的支持，但也催生出信息不對稱加劇等非正義現象，進而導致數據侵權普遍且消費者索賠無門。對此，私力救濟受制于制度缺陷難以發揮作用，但以公力救濟為替代將有損于法律指引功能的實現，也非良策。我國有必要完成從公私分治到公私融合的思路嬗變，進而以損害填補為目的，主體關系為依據，靈活干預為手段，通過擴大經營者與消費者主體范圍、減輕多數項構成要件證明難度、形成含多層次結構的賠償標準、促進司法與執法間的聯動實施，重構消費者數據權益保護之私力救濟制度，進而助力數字紅利在全社會的公平分享。

關鍵詞： 數據權益保護;消費者;私力救濟;公力救濟;公私融合

中圖分類號：DF41? 文獻標識碼：A? 文章編號：1001-148X（2021）05-0140-13

一、問題提出：我國消費者在普遍的數據侵權中面臨索賠無門窘況

隨著數字經濟成為全球投資增長和發展的主要動力，數據的市場價值已愈加凸顯。數據可以提升所有行業的競爭力，為商業和創業活動提供新機會，幫助企業進入海外市場和參與全球電子價值鏈，也為解決可持續發展問題提供了新工具。然而部分學者所期望地通過數據幫助人類構建美麗新世界[1]的烏托邦式美好愿景短期內似乎難以實現，因為對數據的充分利用需要以大數據技術作為支撐，但每一種技術都是利弊同在的產物，大數據也不例外[2]。目前大數據技術產生的積極影響多體現于生產正義層面，但其廣泛使用導致經營者與消費者間的信息不對稱現象顯著加劇。技術對分配正義的實現不僅無能為力，甚至還會成為“強者”加速剝削和掠奪“弱者”的幫兇[3]。“你的信息就是他人獲得巨額利益的源頭，但付出代價的人卻是你，一旦信息被人濫用，你必將損失慘重”[4]。具有絕對信息優勢的經營者，為了謀求高額利潤，不僅會利用自身的信息主導權進行“價格殺熟”“誤導性廣告推薦”，甚至還可能將消費者個人數據直接泄露給他人。

上述論斷并非危言聳聽，因為當今社會中幾乎每位消費者都遭遇過數據侵權。法諺有云，“無救濟，即無權利”。權利（權益）與救濟本是相伴相生，但在頻發的數據侵權背后，大眾所期待的救濟卻并未如約而至。例如“中信銀行數據泄露事件”①中違法者雖然受到了應有的制裁，但王越池所受損害如何彌補卻未在處理結果中有所論及，這不禁讓大眾對其能否產生良好救濟效果產生質疑。畢竟，對消費者所受損害進行彌補進而使之權益恢復至被侵害前的狀態是實現權益保護最合理也是最直接的方式，而上述處理意見卻對此有所回避。而且更糟糕的是其并非孤例，經筆者梳爬與整理后發現，我國近期爆出的消費者數據侵權事件雖處理結果各異，但均未對消費者所受損害做出彌補②。而據張新寶教授和張平教授統計，我國消費者在數據侵權中獲得損害賠償的情形少之又少[5-6]。這些相互印證的統計結論不僅說明我國消費者在數據侵權中面臨索賠無門的窘況，更從深層次反映出私力救濟路徑在我國消費者數據權益保護領域的適用存在嚴重不足。因此，反思目前私力救濟的制度缺陷，并以此為依據尋找更符合社會需要的解決方案，是我國在消費者數據權益保護中所必須回應的嚴峻挑戰，這不僅牽涉到消費者尊嚴的維護、市場秩序的穩定，更關乎到分配正義在大數據時代的實現。

二、路徑反思：我國消費者數據權益保護桎梏于私力救濟制度缺陷

由于科技水平所限，數據侵權最初在我國社會生活中不僅數量少，且形式單一，因而以私力救濟作為主要救濟路徑已游刃有余。況且數據侵權作為私主體間的糾紛，通過私力救濟加以解決也更符合侵權責任法的基本原理[7]。然而隨著大數據技術的進步與普及，數據侵權呈現主體分化、頻發涉眾、認定困難等特征，導致私力救濟在應對時捉襟見肘。為此，我國分別在《中華人民共和國民法典》（以下簡稱《民法典》）《中華人民共和國消費者權益保護法》（以下簡稱《消費者權益保護法》）《中華人民共和國個人信息保護法（草案）》（以下簡稱為《個人信息保護法》）等多部法律中對其作了針對性規定。但即便如此，現有私力救濟制度面對數據侵權時仍存在諸多缺陷，也正是這些制度缺陷對我國消費者數據權益保護形成了桎梏。

（一）消費者與經營者范圍不再契合時代發展

我國目前已注意到數據侵權多發生于經營者與消費者這對不平等主體之間，并在《消費者權益保護法》中為經營者增設了相關義務和責任。然而，《消費者權益保護法》的適用前提在于明確其適用對象，即何者是消費者和經營者。對此我國雖然早有規定，但遺憾的是，該規定是依據前數字經濟時代市場的特征所做出的，而當時社會對市場的某些特征如“消費”“對價”等的認知還停留在較為粗淺的階段，故導致對消費者與經營者范圍的界定都過于保守。而隨著數字經濟時代的到來，市場在諸多方面展現出了全新的樣態，這使得實然法所規定的消費者與經營者范圍已無法契合時代發展之潮流。

一方面，網絡用戶是否納入消費者范疇亟待厘清。我國《消費者權益保護法》將消費者界定為：“為生活消費需要購買、使用商品或者接受服務的自然人”。但數據侵權大多發生在互聯網領域，而互聯網領域商業模式的最大特色在于“免費”，即經營者首先會以免費的產品或服務吸引網絡用戶進入以形成一定市場規模，進而借此為依憑通過廣告推送亦或增值服務等方式達致營利之目的[8]。在這種“免費”的商業模式中，廣大網絡用戶雖然是經營者利潤的最終來源，但其中大多數網絡用戶并不具形式上的消費行為。此時，若僅將付費網絡用戶視為消費者，而不將享受“免費”產品或服務的網絡用戶認定為消費者，則消費者數據權益保護之私力救濟制度將因保護對象的范圍大幅收窄而無法充分發揮作用。而若將享受“免費”產品或服務的網絡用戶認定為消費者，則又會與我國傳統法律認知產生沖突，故我國對此正面臨兩難抉擇。

另一方面，經營者范圍仍需繼續拓展。根據我國《消費者權益保護法》規定，經營者是指為消費者提供其生產、銷售的商品或者提供服務的市場主體。該規定將經營者限定在其產品或服務與消費者發生直接“聯系”的市場主體中，既在一定程度上拓展了經營者的范圍，又有利于防止消費者權益保護的泛化與濫用，故在當時較為合理。但在數字經濟時代，與產品與服務的“正向傳遞”不同，消費者的個人數據會在其與經營者間“逆向支付”，并最終為經營者所實際控制。故在此情況下，侵權行為并不必然由控制者所完成，而可能由與其存在特定關系的其他市場主體完成。因而若不在消費者數據權益保護之私力救濟制度中將其劃定為經營者，則可能會使其逃脫法律制裁。

（二）嚴格的構成要件證明不能滿足切實需要

在一般的侵權案件中，被侵權人必須依據“誰提出，誰舉證”的證明原則，對侵權行為、損害結果、因果關系和主觀過錯分別加以證明以形成完整的證據鏈，才能獲得損害賠償。但在大數據時代，由于消費者與經營者之間的信息不對稱現象愈加嚴重，繼續要求消費者在數據侵權中對上述四個構成要件加以嚴格證明已無法滿足社會的切實需要。事實上，除了侵權行為外，對于其他構成要件，消費者都難以有效證明其是否成立③。

在數據侵權中，消費者證明侵權行為的存在可以分兩步進行。第一步是證明自己有數據“權益”。數據雖然因獨特屬性所限而難以被人格權、物權及知識產權所完全涵攝，又因內蘊關涉多方主體的巨大利益而面臨嚴峻的利益衡平考驗，故在我國立法中尚未設置權利。但“權益”不僅指權利，也指雖未設置“權利”但受法律保護之合法利益[9]。而我國《民法典》在個人信息保護專章中巧妙地將數據利益歸入了后者，故消費者可以輕易證明數據權益屬于自己。第二步則是證明“處理行為”存在。對此，《民法典》將其界定為收集、存儲、使用、加工、傳輸、提供、公開等，進而使“處理行為”的范圍趨于明確，證明也隨之變得可行。綜上，消費者只需證明經營者之數據處理行為指向自身的數據權益且不具法定或意定授權[10]，即可證明其存在數據侵權行為。

除此之外，數據侵權的損害結果、因果關系與主觀過錯均難以被消費者所證明。第一，數據侵權的損害結果與傳統侵權的損害結果不同，其大多并不以“有形損失”之形式直觀體現在眾人眼前，而是以“無形風險”之形式長期伴隨被侵害者[11]。況且，這種“無形風險”既可能是物質層面的，也可能是精神層面的。因此，消費者難以證明其存在。第二，在數據侵權之中，數據侵權行為與損害結果之間往往呈現多因一果的關系[12]。對于消費者而言，讓其確定“多因”中的一個“因”并不難，但若讓其在“多因”中準確尋找到引致損害結果的“近因”卻幾乎不可能實現[13]。第三，與一般侵權中僅依靠生活常識即可推斷侵權人客觀行為所表達的主觀意思不同，數據侵權中對客觀行為所表達主觀意思的推斷大多需要依靠相應的專業知識，而這是消費者所不具備的，所以讓其證明經營者具有主觀過錯也存在一定困難。綜上，目前我國消費者數據權益保護之私力救濟制度對消費者設置的證明標準過于嚴格，可能會使其因證明門檻太高而對數據維權望而卻步。

（三）模糊散亂的賠償標準無法提供法律預測

一旦數據侵權的各構成要件均被證明成立，下一步即是根據相應賠償標準確定賠償數額。然而目前通用的賠償標準形式并不唯一，而有諸如實際損失標準、非法獲益標準、法定賠償標準、約定賠償標準、酌定賠償標準以及綜合賠償標準等多種多樣的形式[14]。想要實現公平正義，就必須對這些各異標準善加選擇以使賠償數額符合社會整體之預期。然而由于“無形風險”的特殊性，使確認數據侵權損害結果的有無都十分困難，更毋論判斷損害結果的大小了。因此，設計科學的賠償標準對于消費者數據權益保護的實現而言尤為重要。然而，我國現有數據侵權賠償標準模糊散亂，難以為社會提供統一的法律指引。

目前我國關于數據侵權賠償標準的最新規定見于《個人信息保護法》第六十五條之規定：“因個人信息處理活動侵害個人信息權益的，按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責任; 個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，由人民法院根據實際情況確定賠償數額”。從該規定可以看出，目前我國采用的是以酌定賠償為主，以綜合賠償為補充的賠償標準確定數據侵權的賠償數額。即當消費者所受侵權損失和經營者侵權行為所得非法獲益可以確定時，由法官對二者作斟酌以得出賠償數額。而當侵權損失和非法獲益無法確定時，則由法官綜合考量其他各類因素以得出賠償數額。

顯而易見的是，該賠償標準更類似于抽象化的理論原則，而不像具有可操作性的實踐方案。易言之，該賠償標準具有高度不確定性。因此，若將其直接應用于司法實踐，將會導致賠償金額的確定太過依賴于法官的主觀判斷。而這樣不僅會使自由裁量權快速膨脹的法官面臨嚴峻的能力挑戰與道德風險，更會造成法律預測功能的喪失，進而使消費者和經營者無法對數據侵權后果做出理性預判[15]。如此一來，賠償標準將失去引導、約束各方主體行為之作用，對數據侵權損害賠償金額的認定將成為裁決者一人上演的“獨角戲”，而消費者和經營者則只能淪為其中的“看客”，被動接受裁決者的一切決定，社會共治將無從談起。綜上，目前我國消費者數據權益保護之私力救濟制度所規定的賠償標準模糊散亂，因而不具法律預測功能，可能導致消費者即便維權成功，損失仍舊無法得到合理彌補。

（四） “雙軌制”的程序設計難以推動制度實施

在傳統法律認知中，私力救濟應通過司法程序推動，而公力救濟則應通過執法程序實現，二者之間互不干涉，平行運作。我國《個人信息保護法》也延續了該傳統，其第六十二條、六十四條分別規定了數據侵權的行政處罰由履行個人信息保護職責的相關部門做出、損害賠償則由消費者向法院提起。然而“法律的生命力在于實施”，由于這種作為西方舶來品的“雙軌制”程序設計與我國基本國情不符，因此其會妨礙我國消費者通過私力救濟保護自己的數據權益。

在現行制度下，我國消費者既“無意”也“無力”通過司法程序解決數據侵權問題。因為一方面，我國消費者普遍具有“厭訴”情結，特別是當損害結果不明或不大時更甚。為此《消費者權益保護法》還專門設計了懲罰性賠償制度以激勵消費者維權，但由于訴訟程序過于繁瑣因而收效甚微④。而在數據侵權中，消費者不僅遭受的損害不明顯，而且也沒有相應制度對其予以維權激勵，故多數消費者會抱著“息事寧人”的態度，選擇放棄主張權益[16]。另一方面，即便少數消費者愿意付出訴訟成本向法院尋求救濟，但由于法律素養所限，其又往往不能提供有力的證據，特別是數據侵權的復雜性又進一步增加了舉證的難度。故其即便主張權益，勝算也并不高。而與此對應的是，受傳統“大政府”觀念的影響，我國消費者在維權時通常會對行政機關存在一定依賴心理。因此，若將執法程序嵌入私力救濟中，則對于我國消費者數據權益保護可能會產生事半功倍之效果。

事實上，我國已在《個人信息保護法》中對該問題有所“回應”——即通過第六十六條確立了消費者公益訴訟程序。然而消費者公益訴訟雖然能在一定程度上解決個別消費者數據維權成本高、收益小的問題，進而避免“公地悲劇”現象產生。但其一來耗時日久，二來只適用于涉眾案件因而不具形式公平，三來在是否需經消費者同意以及損害賠償款作何用途等方面仍存在爭議[17]，故治標不治本，不能從根本上解決我國私力救濟程序單一的問題。況且，消費者公益訴訟被引入我國的時間并不長，之前更未被應用于損害賠償之訴中[18]，故其能否發揮預期效果還有待觀察。綜上，僅采用消費者公益訴訟的方式對“雙軌制”的程序設計加以“小修小補”，仍舊不能推動消費者數據權益保護之私力救濟制度的順利實施，進而無法給予我國消費者數據維權以實際助力。

三、方案批判：寄望公力救濟實現我國消費者數據權益保護之證偽

鑒于目前私力救濟存在諸多難以化解的制度缺陷，故部分學者提出我國應當以公力救濟替代私力救濟作為消費者數據權益保護的主要救濟路徑⑤，換言之，即主要通過行政處罰而非損害賠償解決數據侵權問題（以下簡稱“以罰代賠”）。該方案是由歐盟⑥及美國⑦率先發起，其理由是因為在大數據時代，通過私力救濟維護消費者數據權益會付出巨大的社會成本，因而不具備廣泛實施的基礎。而公力救濟由于具有程序便捷、判斷專業等優勢，故用以維護消費者數據權益時消耗的社會成本要少得多。因此，以社會整體利益視角為考量，公力救濟更契合時代發展之需要。然而事實并非如此，以罰代賠雖然看似通過節約制度成本增進了社會整體利益，但對其過分依賴不僅不利于發揮法律的正向激勵作用，反而可能會對消費者、經營者以及政府形成錯誤的引導，進而造成社會整體利益的更大減損。

（一）以罰代賠抑制消費者公民意識的培育

消費者作為社會生活中的重要主體，須具備較強的公民意識以為社會進步和發展承擔責任，但公民意識的培育需要高度的社會認同感作為前提支撐。這種高度認同感并非與生俱來，而是從一樁樁個案的圓滿處理中建立起來的。然而以罰代賠既未能滿足消費者在數據權益被侵害后獲得應有補償的合理期望，更未能使這種合理期望以一種看得見的方式實現，所以其剝奪了消費者數據維權時的公平感與參與感，可能導致消費者對所生活的外在社會產生質疑與疏離，進而抑制其公民意識的培育。

一方面，以罰代賠未能給予消費者以公平的補償。畢竟，在數據侵權中，消費者作為被侵權人，所受損害理應獲得“實質、完整、迅速地填補”。然而，以罰代賠雖然剝奪了經營者所獲之非法利益，但消費者遭受的損失仍無人替其承擔，反而是作為第三方的政府可能會因此而取得行政罰款收入，這顯然有違公平。當然，對該方案的可能解釋是政府的財政收入“取之于民而用于民”，故行政罰款最終仍會通過其他渠道回饋給消費者。在此，暫且不論此解釋是否符合我國現實情況，單從邏輯上推斷其也不能成立。因為數據侵權所“侵害的均為各個消費者的個體性權利，眾多消費者權利的累加也并不會引發個體權利向公共利益的轉化”[19]。 故將消費者受損之補償利益無條件惠及于整個社會群體，其實是對消費者應得利益的強制剝奪。消費者不僅不會因此而獲得滿足感，還可能會抱怨分配的不公，進而導致對社會的不認同。

另一方面，以罰代賠弱化了消費者參與維權的積極性與自主性。因為當公力救濟替代私力救濟成為消費者數據權益保護的主要救濟路徑后，數據市場秩序維護的重任將交由行政機關負責，消費者在其中充其量也只是起到輔助作用。然而，正如耶林所說，“世界上一切權利都是通過斗爭而來的”[20]，如果不讓消費者充分參與數據維權，其很難珍視自己的數據權益。試想一下，相比親身經歷維權過程而言，聽任行政機關做出行政處罰而自身不加參與是否會使消費者更像數據治理中的“旁觀者”？以歐盟為例，自GDPR實施以來，歐盟地區由行政機關推動的行政案件總量已達27萬件，而由消費者推動的民事案件卻鳳毛麟角[21]。這說明，即便在公民意識較強的歐盟，消費者也已經不再積極、主動地參與數據維權，更何況是公民意識尚未完全樹立的我國。所以，無論從公平感還是參與感的角度看，以罰代賠不僅難以引導消費者積極維護自身數據權益，還可能造成消費者在社會生活中缺乏“主人翁”精神，而后者給社會整體利益帶來的減損是難以估量的。

（二）以罰代賠誘發經營者潛在的作惡沖動

對于作為“理性經濟人”的經營者而言，選擇守法經營或違法經營更多取決于成本收益分析而非道德良知驅動。因為正如馬克思所言，“人們奮斗和爭取的一切，都同他們的利益有關”[22]。一旦經營者發現違法經營的收益遠超風險時，其難免會懷揣僥幸心理作違法嘗試。而以罰代賠從客觀上降低了經營者從事數據侵權活動的成本和風險，使其謀得非法利益的可能大大增加，因而可能會誘導經營者釋放隱藏的主觀惡念并付諸實踐。

一方面，以罰代賠會降低經營者數據侵權的成本。因為目前我國行政處罰多以“過罰相當”為標準，而該標準適用于消費者數據權益保護領域時，往往會由于缺乏對過錯和/或損失的正確認知而得出較低的行政罰款數額[23]，故難以實現遏制數據侵權的目的。事實上，《中華人民共和國數據安全法（草案）》也證實了這一點，該草案中規定的行政罰款金額最高上限僅為一百萬元⑧。然而據統計，2019年我國互聯網百強企業的業務收入總額已高達2.75萬億元[24]。對于這些實力雄厚的經營者而言，些許行政罰款不過是九牛一毛，根本不會因此而吸取教訓，而這也是為什么工信部在推進APP侵害用戶數據權益專項整治活動中發現頭部企業存在問題反復現象的原因[25]。相較之下，損害賠償雖然在個案中的賠償金額較低，但在海量消費者的加持下卻會產生疊加效應，故更為經營者所畏懼⑨。退一步而言，即便我國以GDPR為借鑒，在《個人信息保護法》中設置巨額行政罰款⑩， 以提高經營者的侵權成本并實現對其的阻嚇B11。但效果可能仍不如損害賠償顯著。因為損害賠償會使消費者更具體驗感，故更可能產生“客戶流失成本”，而該成本顯然對經營者來說更為致命。

另一方面，以罰代賠會減少經營者數據侵權被查處的風險。上文提到，由于在以罰代賠的救濟路徑之下消費者缺乏正向激勵，因而可能導致其怠于維護自身的數據權益，而這無形中會為不法經營者從事數據侵權活動創造更加寬松的環境。畢竟，行政機關雖然專業素養較高，但精力有限。若廣大消費者不積極參與數據維權，而想僅憑行政機關一己之力緩解甚至消滅數據治理亂象，還消費者一個良好的市場環境，這無異于癡人說夢。事實上，無論行政機關如何嚴格執法，仍會有大量“漏網之魚”存在。相較而言，反而是損害賠償更能調動消費者數據維權之熱情，使全民監督成為可能，進而讓經營者的數據侵權行為無處遁形。所以，無論從成本還是風險的角度看， 以罰代賠都難以對經營者產生有效的法律威懾，而若由此引發數據侵權的激增，將使社會整體利益蒙受更大損失。

（三）以罰代賠導致政府對權力的不當濫用

威·皮特曾說過，“無限的權力會毀掉它的占有者”。權力在行使過程中必須有所制約，缺乏制約的權力會使其擁有者失去敬畏，最終走向腐敗。而以罰代賠不僅擴張了政府的行政權能，還從側面減少了政府的公共壓力，導致政府在權力運用的過程中缺乏有效的監督和約束，進而為其濫用權力謀求自利或怠用權力造成懶政提供了溫床。

一方面，以罰代賠會縱容政府濫用權力謀求自利。因為從以往的經驗看，每當我國將行政處罰的權力交由某個行政機關時，該行政處罰的目的很快就會發生異化，即由最初的消除違法、預防風險轉變為后來的開源增收乃至監管套利[26]。而當執法目的都發生異化時，也就注定了最終的執法效果會偏離市場需求與公共利益。從表面看，執法目的異化往往被歸咎于行政機關工作人員法治精神與道德素質的匱乏，并被認為可以通過思想教育和制度監督加以矯正。然而實際上，執法目的異化的根本原因是政府理性有限，而該原因根植于人性之上，故難以徹底化解[27]。因此，在消費者數據權益保護領域適用以罰代賠的結果很容易演變為經營者與政府間的默契分利。相比之下，損害賠償雖然效率低下，但所得盡數歸于消費者，因而從根本上杜絕了政府逐利的可能。

另一方面，以罰代賠會放任政府怠用權力造成懶政。因為根據資源限制理論可知，人的注意力是有限的[28]。所以，即便消費者數據權益受到了不法侵害，但若沒有持續刺激，大腦中的信息過濾機制仍會促使消費者迅速轉移注意力。而在以罰代賠中，維權使命近乎完全的轉移恰恰會使消費者喪失持續專注的動力。其在現實中體現為當消費者遭遇數據侵權后，大概率會“自認倒霉”。而即便在個別情況下，消費者基于義憤向有關部門進行了舉報，但其也極少會長時間關注事件的最終處理結果，這就從側面減少了政府的公共監督的壓力，為政府的懶政提供了可能。相比之下，損害賠償則不同，對消費者而言它是一個持續的過程，故更易于保持專注，消費者在行使損害賠償請求權的過程中會想盡各種辦法主張自己的權益，其中就包括向有關部門投訴或訴諸媒體等，而這自然會帶給政府以公共監督壓力，進而督促其認真執法。所以，無論是從權力濫用還是權力怠用的角度看，以罰代賠都難以對政府實施強力的約束和監督，而由此導致的政府失靈同樣會嚴重損害社會整體利益。

四、思路嬗變：我國消費者數據權益保護有賴于通過公私融合實現

在消費者數據權益保護領域，私力救濟與公力救濟已被證實雙雙失效。這是因為上述兩種救濟路徑雖然側重點不同，但都是公私分治思路下的產物。公私分治思路的邏輯起點在于公法與私法對國家干預的認知存在差異B12，故需要分化不同的救濟路徑分別應用于實踐。其失敗之處在于忽視了雙重失靈的存在。畢竟，在有限理性的制約下，消費者和政府其實都無力獨自擔負數據維權的重任。因此，為實現消費者數據權益的有效保護，我國應打破公法與私法的門戶之見，而轉采用公私融合思路為救濟路徑的重構提供指引。從理論演進的角度看，公私融合是對公私分治的揚棄，其邏輯內核在于既承認國家干預的合理性，也強調國家干預的有限性，并在此基礎上得出新的論斷，即國家干預的適度性[29]。而國家適度干預在公私融合思路中的貫徹，需要從干預目的、干預力度、干預方式三個維度具體加以把握。

（一）損害填補與風險防控間須主次分明

干預目的正當是實現國家適度干預的首要前提。根據國家干預理論可知，國家對市場進行干預的核心目的有二，一方面，其目的是為了對已失序的市場行為進行矯正，并進而具現為對被侵害之利益的損害填補。另一方面，其目的則是為了避免存在失序可能的市場行為造成實質破壞，并進而具現為對有侵害利益威脅之行為的風險預防。一般而言，損害填補與風險防控作為國家干預的兩大目的是相互依存且互為補充的，但這并不意味著二者之間不存在第一性的問題。事實上，在數據侵權中，二者的主次定位與救濟路徑的選擇息息相關。因此，在以公私融合思路指導消費者數據權益保護的救濟實踐時，我國必須分清二者之間的主次關系。

顯而易見的是，當消費者數據權益已經遭受侵害時，在二者之中，對已失序的市場行為進行矯正之目的應更具優先性[30]。理由有三：第一，損害填補主要是從維護私人利益的角度出發，因而更注重私權之神圣性。風險預防則主要是從維護公共利益的角度出發，故更多強調的是如何降低社會整體效益之減損。但事實上，公共利益正是由無數私人利益所共同組成的，若私權侵害已成普遍現象卻始終未能得到及時救濟，此時又何談社會整體效益之提升？第二，損害填補立足當下，重視對原市場秩序的即時恢復，風險防范則著眼未來，希冀于通過調整與規制消除市場秩序被破壞的可能性。然而疑問在于，若現實已經發生的損害尚且未能得到合理填補，政府又如何取信于民——使公眾相信其能預防尚未發生之未來風險？第三，根據理性經濟人假設可知，人都有趨利避害之天性。當損害填補得以實現時，侵權人將因無利可圖而選擇放棄侵權，從而附帶產生風險預防之效果[31]。但反之，風險預防之實現卻只能使后續損害不再發生，而不能對已發生之損害產生相應的損害填補效果。

綜上，在數據侵權中，只有將損害填補作為首要目的，并在此基礎上盡量兼顧風險預防目的，才能使國家干預的目的更加契合消費者之理性預期，進而更具正當性。而這也意味著，在選擇消費者數據權益保護的救濟路徑時，我國不能用以風險防控為主要目的的公力救濟代替以損害填補為主要目的的私力救濟，而應繼續堅持以私力救濟作為主要的救濟路徑，同時以公力救濟為輔助。因為只有這樣才能使消費者在數據侵權個案中得到自己所預期之應有彌補，進而使數據侵權損害后果得以在經營者與消費者之間的公平承擔，使數字經濟中的實質正義得以實現。

（二）按照各主體間地位關系作分類規制

干預力度適宜是實現國家適度干預的根本要求。如今，國家干預具有應然性的論斷已在學術界基本達成了共識。因為即便是對國家干預持最保守態度的古典經濟學家，也不得不承認需要通過最低限度的國家干預維持市場的基本秩序[32]。畢竟，自由放任的市場只是神話。在經濟人假設前提的制約下，依靠自生自發絕無可能形成與社會期望高度一致的市場秩序，所以必須借助國家干預以實現對市場秩序的構建、調整與維護[33]。因此，在以公私融合思路指導消費者數據權益保護的救濟實踐時，著重考察的問題不在于是否需要國家干預，而在于國家干預究竟該保持多大力度。

之所以要對國家干預的力度作探究是因為，若其過小則不能發揮調節市場秩序之作用，若其過大則會抑制市場主體之生產積極性。而控制國家干預力度的最好方法在于分類規制，即針對各異的市場施加不同程度的國家干預。對于秩序較合理，各主體間利益分配較均衡的市場，國家應保持較小的干預力度，以促進市場自發的生長與完善。而對于秩序較混亂，各主體間利益分配顯著失衡的市場，國家則需加大干預力度，以實現對市場的矯正與重鑄。而隨著大數據時代的來臨，在現代市場中，經營者與消費者間的地位落差愈加變大。因為經營者同時又成為了大數據技術的掌握者、數據資源的控制者，消費者同時又成為了不具數據處理能力的數據資源的提供者。正因如此，在消費者之間，其實少有數據侵權出現，即便偶爾出現，也可通過較低程度的國家干預加以妥善解決。在經營者之間，雖然數據侵權較為多發，但仍存在相對合理的市場秩序，故也可以通過程度一般的國家干預加以解決。只有經營者與消費者間，才更易于發生規模大、頻率高的數據侵權，因而需要通過強力的國家干預對其加以矯正[34]。

有鑒于此，我國需要摒棄過去對各類數據侵權行為加以統一規制的思路，而是基于時代特征，對各市場主體的現實地位及相互關系作針對性考量，并以此為依據，通過分類規制施加不同程度的干預。對于發生在平等主體間的數據侵權行為，我國可以仍采用傳統的、干預力度較弱的私力救濟路徑加以規制。而對于發生在經營者與消費者這對不平等主體間的數據侵權行為，我國則應當基于弱者保護之考慮，通過為消費者設計特有的、干預力度更強的私力救濟路徑加以規制，以盡量拉平其與經營者之間的市場地位落差，進而實現數據市場中的利益共享與合作共贏。

（三）主動參與與被動介入間相靈活協調

合理的干預方式是實現國家適度干預的重要保證。在傳統法律觀念中，私力救濟一般要仰仗司法機關來完成，司法機關對市場的干預多呈現出被動、消極的姿態。故在私力救濟中，國家干預是通過被動介入的方式加以實現的。而公力救濟通常則是依靠行政機關來完成，行政機關對市場的干預多呈現出主動、積極的姿態。故在公力救濟中，國家干預是通過主動參與的方式加以實現的。而當下，我國若想以公私融合思路指導消費者數據權益保護的救濟實踐，就勢必不能非此即彼地對主動參與或被動介入兩種國家干預方式做出選擇，而是要達致二者間的默契配合。

經比較可知，被動介入優勢在于消費者可自由決定維權行為的發起、變更乃至終止，這不僅體現了對消費者意思自治的充分尊重，也更易于對消費者產生激勵。但弊端在于容易使社會付出與侵權損失不成比例的維權成本。因為其不僅會耗費消費者的大量時間和金錢成本，還會導致維權訴求過于分散，使司法機關無法對相關案件作集中高效處理，進而造成司法資源的浪費。相反，主動參與優勢在于通過賦予行政機關以相關職權，將本由消費者承擔的維權成本轉嫁給行政機關，同時又使行政機關得以通過集中處理維權訴求壓縮維權成本，最終實現社會整體維權成本的降低。而弊端在于難以照顧到消費者的個人意愿，有可能會“出力不討好”。畢竟私權具有自治性，一般可由消費者自主支配。因而若消費者與經營者達成“受害人允諾”，在“自愿者無損害”的推導下，國家干預可能會成為無源之水，不再具有合法性[35]。故在被動介入與主動參與各有利弊的情況下，我國應結合本國之基本國情，在消費者數據權益保護中對二者作綜合協調及靈活運用。

結合上文可知，在消費者數據權益保護中，我國會以具備更強力度的私力救濟作為主要救濟路徑，故與此相對應，我國應以司法機關被動介入作為主要干預方式。因為“任何公權在施政時應該有它的邊界或底線，這邊界或底線就是公民應享有的合法權益”[36]數據權益作為私益，由消費者自身意志為主導更能確保國家干預的謙抑性。但考慮到由于單個數據價值微小及數據侵權案件多如牛毛等原因，被動介入在消費者數據權益保護中的確存在較多弊病[37]。因此，行政機關也需主動參與，輔助消費者完成數據維權任務，以形成消費者為主導、司法機關與行政機關相互配合的數據維權新格局，而這也是我國打造共建共治共享數據治理體系的應有之義。

五、規則補缺：我國消費者數據權益保護之私力救濟制度重構對策

在確立以公私融合思路作為重構我國消費者數據權益保護救濟路徑的指引后，通過審視和分析可知， 首先，為維護國家干預目的的正當性，我國要繼續堅持以私力救濟作為主要救濟路徑，故需將主要精力用于彌補過往私力救濟的制度缺陷上。其次，為滿足國家干預力度的適宜性，我國應根據不同主體間的地位關系對數據侵權作分類規制，并側重于通過加強國家干預對消費者作傾斜性保護。最后，為確保國家干預方式的合理性，我國在以被動介入作為主要干預方式的同時，有必要嵌入更多的主動參與元素。易言之，我國應以損害填補為目的，以主體地位為依據，以靈活干預為手段，結合人之理性、時代背景、基本國情，對消費者數據權益保護之私力救濟制度進行重構， 以使之進一步完善，進而助力數字紅利在全社會的公平分享。

（一）拓展經營者與消費者主體范圍

為應對消費者數據權益保護之私力救濟制度適用對象范圍狹窄的實然缺陷，我國有必要通過經濟學與法學的雙重分析，形成對大數據時代市場特征的新認知，進而對消費者與經營者的主體范圍加以擴大，以使消費者數據權益獲得更廣泛的保護。具體而言：

一方面，我國應當明確認定享受“免費”產品或服務的網絡用戶屬于消費者。通過分析可以發現，所謂的“免費”產品或服務是否真的“免費”本身值得商榷。因為隨著數字經濟的發展，個人數據的用途正日趨廣泛。在此情況下，個人數據的價值雖然仍不能以價格的方式準確衡量，但沒有人敢于無視其存在。而對于網絡用戶來說，其在所謂“免費”的商業模式中雖未對自身享受的產品或服務支付貨幣，但卻被采集了個人數據亦或者說“支付”了個人數據。而根據對價原則可知，交易對價毋須實質性要求[38]。換言之，交易對價并不被要求必須以貨幣形式支付。既然個人數據有價值，其自然也可以構成交易對價，故所謂的享受“免費”產品或服務本身并不成立[39]。

即便退一步講，數據的價值未得到世人所公認，因而尚不足以構成交易對價，但以“雙邊市場理論”為考察，仍可得出同樣之結論。所謂雙邊市場，是指經營者同時面對兩個乃至多個市場主體，且其他市場主體間存在較大關聯性的一種市場結構[40]。在雙邊市場中，經營者所提供的產品或服務必須能同時滿足不同市場主體的需求，若其中任意一方對經營者無需求，則經營者的價值也就不復存在了。正因如此，經營者必須通過低價、免費等成本轉移的方式吸引正外部性較強的市場主體參與交易。而享受“免費”產品或服務的網絡用戶正是雙邊市場中具有較強正外部性的一方。因為其在交易中會付出無論是對經營者還是雙邊市場中的其他市場主體都有巨大價值的個人數據，此時若不能獲得足額補償，其將喪失提供個人數據之動力。故經營者對網絡用戶提供“免費”產品或服務并非良心發現，而是以此作為激勵吸引其提供自己的個人數據。從該角度看，網絡用戶享受“免費”產品或服務只是對雙邊交易中原本分配極不均衡的利益關系作適當調整，而并非對經營者利益的無償享用，因而將其認定為消費者具有正當性。

另一方面，我國應當明確將以營利為目的，直接參與處理消費者個人數據的市場主體認定為經營者。因為通過對作為交易對價“逆向支付”給經營者的個人數據的分析可知，由于其基于消費者之特定身份及行為產生，因而雖然具有一定的財產性，但更多蘊含的是人格性，且與消費者之人格尊嚴密不可分[41]。而人格尊嚴作為人之所以為人的根本性特質，是不能也不應當被轉讓的[42]。因此，“逆向支付”并未轉讓消費者對個人數據的所有權，而是僅轉讓了附著于個人數據之上的財產價值，即基于雙方合意（用戶授權）而對個人數據的特定處理權。而根據合同的相對性可知，若消費者與經營者之合意牽涉到參與處理消費者個人數據的第三方市場主體，那么該第三方市場主體與消費者之間就存在了直接的交易，自然應當被認定為經營者。

而若該合意未牽涉到參與處理消費者個人數據的第三方市場主體，根據意思表示理論可知，此時該第三方主體即便未與消費者之間形成默示的“數據處理”合意，但至少也可以通過已經發生的數據處理行為推定其默示表達了希望與消費者之間達成此種合意的意思表示。因為數據處理行為的存在意味著其已在事實上取得了“數據處理”的對價——附著于消費者個人數據之上的財產價值。故無論某一市場主體是否直接向消費者提供了產品或服務，只要其以營利為目的，直接參與處理了消費者的個人數據，即與消費者之間構成了消費關系。總之，只有緊抓時代脈搏，將享受“免費”產品或服務的網絡用戶及以營利為目的直接參與處理消費者個人數據的其他市場主體納入消費者與經營者之范疇以拓消費者數據權益保護之私力救濟制度的適用對象，才能使該制度在實施后不至于淪為“紙面上的法律”，進而使消費者數據權益保護之美好初衷得以實現。

（二）減輕多數項構成要件證明難度

為應對消費者數據權益保護之私力救濟制度構成要件證明嚴苛的實然缺陷，我國應在堅持四構成要件的基礎上，維持現有侵權行為證明難度不變，同時對損害結果、因果關系和主觀過錯的證明難度作適度減輕，以降低消費者數據維權之證明成本，進而滿足其數據權益保護之切實需要。具體而言：

第一，我國應將“無形風險”納入數據侵權損害結果的認定中。因為“從機體哲學視角看，隨著技術的不斷增強，人類社會在享受各種紅利的同時，各類機體內部和外部關系也面臨著愈來愈高的失調、失穩甚至失控的風險”[43]。易言之，技術進步使人類邁入了“風險社會”。在此情況下，改變過去僅承認“有形損失”的認知而將“無形風險”納入損害結果之范疇不僅有助于降低消費者的個人數據維權壓力，更有利于提升社會對大數據技術引致風險的預防能力。畢竟，大數據技術所引致的風險大多是人為造成的，因而只要對引致風險的主體施加相應成本，即足以確保風險可防可控。當然，由于“無形風險”背后所體現的更多是相關性而非因果性，故導致其涵蓋范圍很廣。 因此，對“無形風險”作為損害結果的認定不能一概而論，只有其高度“真實”，即具有高度可能性，才有被認定為損害結果的必要[44]。實際上，歐盟的《一般數據保護條例》已經規定，數據侵權的損害結果并不限于有形的身體或財產損失，也包括因該行為引起的具有高度蓋然性的“無形風險”，如身份欺詐、隱私擴散、名譽受損等。說明該觀點契合時代特征，因而正在被世界各國所采納。

第二，我國應以共同危險行為論淡化近因論之負面效果。在數據侵權中，損害結果多是由數個侵權人的侵權行為所共同作用而造成的。若以近因論確定單一侵權人并使其承擔全部責任，既是對該侵權人責任的加重，也是對其他侵權人的袒護與縱容，同時還會使被侵權人承受無謂的舉證負擔。因此，我國有必要采納共同危險行為理論，將數個侵權人認定為共同侵權，并要求其共同承擔不真正連帶責任[45]。一方面，將導致同一損害結果的所有侵權人認定為共同侵權人會促進其與被侵權人之間的利益均衡[46]。畢竟在弱者保護理念下，具有天然弱勢地位的消費者更需要予以傾斜保護以使其在市場交易中得到公平對待。另一方面，要求所有侵權人共同承擔不真正連帶責任有助于實現其內部之間的利益均衡。因為即便在共同侵權中不同侵權人之間的責任也分大小，其中通常是直接造成損害結果發生的侵權人之侵權行為（近因）所負責任最大。故對主要責任人做出識別并對各侵權人間的責任作具體劃分可以使其內部達致公平，同時方便下一步的追償。

第三，我國應當以過錯推定責任代替過錯責任。因為，根據危險開啟理論可知，“從危險中獲取經濟利益者也經常被視為具有制止危險義務的人”[47]。經營者既然希望通過處理消費者的個人數據營利，自然需要承擔保障消費者數據權益的倫理義務并加以證明。況且通過經濟分析可知，經營者防免數據侵權風險的成本是最小的[48]。故從應然層面看，推定作為“最低廉成本的風險防控者”[49]的經營者存在過錯更有助于刺激其主動行動以盡力確保數據安全。另外，由于經營者與消費者間的信息不對稱現象已經因大數據技術的進步和普及而加劇，此時再要求消費者證明經營者在數據侵權中存在過錯根本不具備現實操作性。反言之，經營者既是市場關系中的主導者也是消費者數據的控制者，故擁有絕對的能力證明自己的數據處理行為是否正當及是否履行了消費者數據權益保護之義務。故從現實情況看，由經營者承擔過錯推定責任更為可行。上述論證說明，在數據侵權中，過錯推定責任相比過錯責任實為更優選擇。正因如此，過錯推定責任已被歐盟、臺灣等地區的相關立法所采納B13。其實我國《個人信息保護法》中也做了類似規定，只是表述相對模糊，后續還應予以明確B14。總之，只有對消費者數據權益保護之私力救濟制度的構成要件證明難度作合理放寬，才能讓消費者敢于數據維權、樂于數據維權，進而使消費者數據權益得到切實維護。

（三）形成含多層次結構的賠償標準

為應對消費者數據權益保護之私力救濟制度賠償標準模糊的實然缺陷，我國有必要以維護法律的確定性為目標，對現有數據侵權賠償標準加以細化和補充，進而形成具有多層次結構的賠償標準，使其在應用于新制度后更具可預測性和可操作性。具體而言：

第一，我國應當在酌定賠償中嵌入“就高適用”。 在實踐中，由于數據侵權給消費者帶來的侵權損失以及給經營者帶來的非法獲益之間往往存在著巨大的數額差距，同時二者間孰高孰低又不具統一性，而需具體情況具體分析。例如，在數據泄露類侵權中，經營者倒賣消費者個人數據的非法收益可能很小，但對消費者造成的損害卻很大。而在某些非法使用類的數據侵權中結果可能恰恰相反——經營者因此而收益頗豐，但消費者卻未遭受明顯損失。這樣一來，無論采用實際損失標準還是非法獲益標準，都可能會在個案中顯失公平。因此，采用酌定賠償標準是有必要的。但為了避免自由裁量權之濫用，在制定該標準時須增加一個前提，即明確規定該“就高”適用還是“就低”適用該標準。如果“就高”適用，則以侵權損失和非法獲益中數額高者為確定賠償數額之主要參考;如果“就低”適用，則以二者中數額低者為確定賠償數額之主要參考。而顯然在現實中，作為強勢主體的經營者在數據侵權時更具評估侵權損失和非法獲益的能力，若“就低”適用則無法發揮其懲罰功能，進而難以起到風險預防之作用，因此，酌定賠償標準必須與“就高”適用相配合才能發揮良好效果。

第二，我國應當在對酌定賠償與綜合賠償的適用之間加入法定賠償。所謂法定賠償，是指當實際損失和非法獲益無法確定時，由法律擬定一個數額或數額范圍作為損害賠償的數額標準。之所以要在適用綜合賠償之前選擇先適用法定賠償，是因為由法官綜合考量各類因素以得出賠償數額的綜合賠償標準，其實已不再具有任何硬性的法律約束，而全賴于法官的自由心證，故但凡有其他可能，都不應當選擇適用該標準。相比之下，立法機關制定的法定賠償標準雖然也有自由心證的成分，但從常理推斷，立法機關掌握更多的社會資料，因此在判斷時會更具科學性。而且即便依據法定賠償標準所得出的賠償金額與依據綜合賠償標準所得出的一樣不科學，但至少也保證了法的統一性，避免了同案不同判，因而具有形式公平之價值。更何況，具有懲罰效果的法定賠償標準用于消費者權益維護中既有理論依據又有實踐基礎。因此，對其的引入具有天然的合理性。但應注意的是，在確定法定賠償標準的具體數額時要根據經營者的主觀過錯加以區分，以使其與《消費者權益保護法》之立法精神保持一致。

第三，綜合賠償應當作為“例外中的例外”加以適用。因為正如前述所說，綜合賠償標準太過缺乏穩定性，不能保證法律的形式公平，故不應當得到普遍的適用。但在實踐中，也的確可能會發生各種立法者所預想不到的突發情況，而綜合賠償標準此時更能發揮裁決者的主觀能動性，使個案正義得到維護。因此，若以綜合賠償標準為兜底并無不可。只是對該標準的適用應嚴格加以限定，即以參照前述標準會導致個案顯失公平為前提。

除上述三種之外，我國還應當將約定賠償納入以作為補充。所謂約定賠償是指在確定數據侵權損害賠償數額時，允許消費者與經營者雙方通過協商確定損害賠償數額。之所以鼓勵約定賠償標的適用，是因為其不僅充分尊重了消費者與經營者的意思自治，有利于二者間消費關系的存續與整體市場良好氛圍的培養。還減輕了裁決者的工作負擔，有利于緩解日趨沉重的數據治理壓力。當然，鑒于消費者與經營者之間存在信息不對稱現象，因此約定賠償的適用應當在裁決者的監督下進行，以確保所約定賠償數額的合理性。總之，只有對消費者數據權益保護之私力救濟制度的賠償標準作科學設計，才能使消費者得以通過數據維權真正彌補所受之損失，同時讓經營者因忌憚于賠償而抑制數據侵權的作惡沖動，進而從矯正與預防兩個層面實現消費者數據權益的有效維護。

（四）促進司法與執法間的聯動實施

為應對消費者數據權益保護之私力救濟制度程序設計缺乏銜接的實然缺陷，我國應當在堅持以司法為主要救濟程序，以執法為輔助補充的同時，加強二者間的聯動實施，進而在尊重消費者意思自治的同時，提高消費者數據權益保護的效率。具體而言：

一方面，行政機關應通過行政建議、證據供給和公益訴訟三種方式在司法程序中給予消費者以幫助。首先，行政建議并非向司法機關，而是向違法經營者提出。即當消費者還未以數據侵權為由提起訴訟時，行政機關應根據消費者之投訴反饋或自己日常監管中獲知的線索主動參與數據維權，并及時查明事實，繼而替消費者向違法經營者提出合理的賠償建議。該賠償建議以柔性規勸的方式做出，因而不具強制執行力。但行政機關可借此判斷違法經營者的整改態度，并在后續行政處罰中作為重要因素予以考量。若違法經營者接受行政建議或基于行政建議積極與消費者協商賠償事宜并達成一致，則行政處罰應酌情減輕乃至減免，而若其對行政建議不予理睬，則行政處罰應從重從嚴。這樣不僅能讓消費者更具維權舉報動力，還可以為司法機關減輕訴訟壓力，同時也能使行政處罰更為公正合理。其次，證據供給也并非面向司法機關，而是向消費者提供。即當消費者自力提起數據侵權訴訟時，有權要求行政機關提供在日常監管過程中已獲取的相關證據。因為在司法程序中，消費者與經營者法律地位的平等不等同于訴訟能力的平等，消費者的訴訟能力有限，只有通過行政機關的幫助，才能拉平與經營者之間的差距，進而在數據維權訴訟中獲得實質正義。最后，消費者公益訴訟仍應予以保留，但需要適度改革。即明確消費者公益訴訟的提出不需要經過消費者同意，但內容僅限于確認數據侵權的行為有無、波及范圍、損害結果，而不涉及具體賠償金額。因為在大規模數據侵權中，消費者數量是不特定的，故無論是由行政機關一一取得其授權，還是讓司法機關一一甄別其被侵權人身份，經濟成本都過于沉重。不若通過無須授權的公益訴訟衡定數據侵權大致的波及范圍，再由消費者核實自己是否身處其中并提起私益訴訟更加經濟可行。 況且，在后一種情形中，經營者極有可能迫于行政機關和社會的壓力，依據法院判決直接對消費者做出適當補償，進而取得超出預期的良好社會效果B15。

另一方面，司法機關應通過司法建議、和解審查和錯案監督三種方式確保執法程序的公平正義。首先，此處的司法建議面向的是行政機關。即司法機關應當以個案裁判為依據，向行政機關提出相應建議以督促其執法。因為司法程序雖然相對公正，但畢竟屬于個別性救濟，遠不及執法程序對社會的影響廣泛。 故只有通過司法建議的方式將二者相聯通，才能更充分地發揮個案正義對社會整體正義實現的帶動效果。其次，和解審查是指司法機關對大規模數據侵權的和解約定所做的司法審查。設計該程序是因為消費者在數據侵權和解中可能會因信息不對稱而被經營者所誤導，進而做出不利決策[50]。且此時即便請行政機關介入也意義不大。畢竟行政機關以執法效率為主要追求，故可能更傾向于促成快速和解而非公平和解。因此，需要借助司法審查程序查明消費者與經營者間的和解約定是否顯失公平，以避免造成意思自治對法律秩序的逾越。最后，錯案監督是指司法機關通過行政訴訟等方式對行政機關所做的錯誤的執法行為予以監督和糾正。嵌入錯案監督程序的目的是為了加強司法對執法的制約，以防止行政機關通過過度執法或怠于執法侵害消費者乃至經營者的合法權益。總之，只有參照我國的基本國情，合理設計消費者數據權益保護之私力救濟制度的實施程序，實現司法與執法程序的有效銜接，才能使消費者通過政府的主動參與在數據維權中獲得有力臂助，進而實現與經營者關系的衡平，同時又不至于使消費者與經營者因政府的主動干預而喪失市場自主性，繼而保證市場的充分活力，并最終助推市場的良性發展。

六、結語

未來，隨著大數據技術的進步以及信息不對稱現象的加劇，不同市場主體間的地位差異將愈加懸殊，社會共治的基礎共識可能會因此被抹除，技術壟斷將乘虛而入，而這并非我們所期望之美好世界。因為“技術應該是企業創新和社會進步的推動力，而不應當是削弱公民權益和社會民主的障礙”[51]。故在兩極分化的數據世界里，政府應當有所行動。回歸主題，本文認為，雖然私力救濟受制于制度缺陷難以發揮消費者數據權益保護之作用，但以公力救濟為替代將有損于法律指引功能的實現，因而也非良策。故我國有必要完成從公私分治到公私融合的救濟思路轉變，并以損害填補為目的，主體關系為依據，靈活干預為手段，通過擴大經營者與消費者主體范圍、減輕多數項構成要件證明難度、形成含多層次結構的賠償標準、促進司法與執法間的聯動實施，重構消費者數據權益保護之私力救濟制度，使其與人之理性、時代背景和基本國情相契合，進而助力數字紅利在全社會的公平分享。

注釋：

①? 在該事件中，中信銀行擅自將金融消費者王越池的個人數據提供給了“笑果文化”，進而導致王越池在與“笑果文化”的訴訟中陷入被動局面。該事件一經曝光立即引發熱議，為此，中信銀行不得不向王越池道歉，并對相關員工予以處分，而銀保監會也以立案調查作為回應。參見新浪財經.中信銀行泄露客戶交易流水引眾怒 上海銀保監局已介入[EB/OL].[2020-10-27].http：//finance.sina.com.cn/chanjing/gsnews/2020-05-08/doc-iirczymk0450577.shtml.

② 我國較為熱門的數據侵權事件如“華住集團個人信息泄露事件”“攜程大數據殺熟事件”“微博數據泄露事件”的最終處理結果也都是以各類處罰收尾，而未對消費者予以損害彌補。

③ In re DoubleClick，154 F.Supp 2d at 526.

④ 2019年上半年全國消協組織共受理消費者投訴421373件，解決332885件，投訴解決率79%，為消費者挽回經濟損失57384萬元。其中，因經營者有欺詐行為得到加倍賠償的投訴1794件，加倍賠償金額979萬元。

⑤? 吳偉光、寧立志等學者均支持該觀點。參見吳偉光.大數據技術下個人數據信息私權保護論批判[J].政治與法律，2016（7）：116-132.;寧立志，傅顯揚.論數據的法律規制模式選擇[J].知識產權，2019（12）：27-35.

⑥? 歐盟在《通用數據保護條例》（以下簡稱“GDPR”）中未對數據侵權設定統一的民事賠償標準，但卻設計了巨額行政罰款，以強化行政執法的作用。參見京東法律研究院.歐盟數據憲章——《一般數據保護條例》GDPR評述及實務指引[M].北京：中信出版社，2019：32.

⑦ 美國加州《消費者隱私法》規定，在各類數據侵權中，僅允許消費者就數據泄露提出民事賠償，而不及于其他，同時規定，加州總檢察長有權對數據侵權處以行政罰款，以強化其監管權能。See California Consumer Privacy Act（CCPA） Fines and Consumer Damages[EB/OL].[2020-10-27].https：//www.clarip.com/data-privacy/california-consumer-privacy-act-fines/.

⑧ 參見《數據安全法》第四十三條、四十四條。

⑨ 例如，在“GAO訴谷歌案”中，正是由于消費者集體訴索賠，谷歌最終支付了850萬美元的和解金。See In re Google Referrer Header Privacy Litig.，87 F. Supp. 3d 1122（2015）.

⑩ 參見《個人信息保護法》第六十二條。

B11 GDPR主要是通過高額罰款預防和阻嚇經營者的數據侵權行為。參見梅夏英.在分享和控制之間 數據保護的私法局限和公共秩序構建[J].中外法學，2019（4）：845-870.

B12 公法強調國家權力對社會生活的合法干預，私法強調平等主體間的意思自治。參見李昌麒.經濟法理念研究[M].北京：法律出版社，2009：36.

B13? GDPR第五條第二款規定，數據控制者有責任對自身數據處理行為符合“合法性、合理性和透明性”“目的限制”“數據最小化”“準確性”“限期存儲”“數據的完整性與保密性”的要求提供證明。臺灣地區《個人資料保護法》第二十九條規定，公務機關以外的其他主體違反本法規定造成信息主體損害的，負擔過錯推定責任。

B14 《個人信息保護法》第六十五條規定，在數據侵權中，數據處理者能夠證明自己沒有過錯的，可以減輕或者免除責任。但該規定究竟為過錯推定條款還是免責抗辯條款并不明確，若為過錯推定條款，則應由經營者證明自己無過錯，否則視為存在過錯。但若為免責抗辯條款，則仍須由消費者證明經營者有過錯，而經營者可通過證明自己無過錯而提起免責抗辯。

B15 美國在實踐中采用這種方式取得了良好效果，其數據侵權執法案件大部分都是以和解收尾。網址是：https：//www.ftc.gov/tips-advice/business-center/legal-resources？title=&type=case&field_consumer_protection_topics_tid=245&field_industry_tid=All&field_date_value%5Bmin%5D%5Bdate%5D=&field_date_value%5Bmax%5D%5Bdate%5D=&sort_by=field_date_value.

參考文獻：

[1]? [美]埃里克·西格爾.大數據預測[M].周大昕，譯.北京：中信出版社，2017：331.

[2] [美]尼爾·波斯曼.技術壟斷 文化向技術投降[M].何道寬，譯.北京：中信出版社，2019：3.

[3]? BIG DATA：SEIZING OPPORTUNITIES，? PRESERVING VALUES， Executive O ffice of the President， May 2014[EB/OL].[2020-12-06].https：//www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_m ay_1_2014.

[4] [美]弗蘭克·帕斯奎爾.黑箱社會[M].趙亞男，譯.北京：中信出版社，2015：30.

[5] 張新寶.《民法總則》個人信息保護條文研究[J].中外法學，2019（1）：54-75.

[6] 張平.大數據時代個人信息保護的立法選擇[J].北京大學學報（哲學社會科學版），2017（3）：143-151.

[7] 劉士國，段匡，龔賽紅，等.侵權責任法的理論和實踐[J].政治與法律，2005（4）：3-8.

[8] 陳耿華.論競爭法保障消費者利益的模式重構[J].法律科學（西北政法大學學報），2020（6）：114-127.

[9] 李曉宇.權利與利益區分視點下數據權益的類型化保護[J].知識產權，2019（3）：50-63.

[10] 高富平，李群濤.個人信息主體權利的性質和行使規范——《民法典》第1037條的解釋論展開[J].上海政法學院學報（法治論叢），2020（6）：40-51.

[11] 付微明.個人生物識別信息民事權利訴訟救濟問題研究[J].法學雜志，2020（3）：73-81.

[12] 劉丹.個人信息網絡侵權的認定及其司法救濟[J].學習與實踐，2020（1）：47-54.

[13] Ignacio N.Cofone，The Dynamic Effect of Information Privacy Law，18 Minn.J.L.Sci.& Tech.552（2017）.

[14] 曹新明.我國知識產權侵權損害賠償計算標準新設計[J].現代法學，2019（1）：110-124.

[15] 付子堂.法理學初階[M].北京：法律出版社，2015：99.

[16] 王懷勇，常宇豪.個人信息保護的理念嬗變與制度變革[J].法制與社會發展，2020（6）：140-159.

[17] 顏卉.消費公益訴訟懲罰賠償金歸屬研究[J].蘭州大學學報（社會科學版），2020（3）：76-83.

[18] 黃忠順.中國民事公益訴訟年度觀察報告（2016）[J].當代法學，2017（6）：126-137.

[19] 熊躍敏.消費者群體性損害賠償訴訟的類型化分析[J].中國法學，2014（1）：196-210.

[20] [德]魯道夫·馮·耶林.為權利而斗爭[M].劉權，譯.北京：法律出版社，2019：2.

[21] 王融.邁向行政規制的個人信息保護：GDPR與CCPA處罰制度比較[EB/OL].[2020-10-27].https：//m.sohu.com/a/381134650_455313.

[22] 馬克思恩格斯全集（第1卷）[M].北京：人民出版社，1972：82.

[23] 許傳璽.行政罰款的確定標準：尋求一種新的思路[J].中國法學，2003（4）：1-10.

[24] 人民網.中國互聯網百強企業2019年收入達2.75萬億元[EB/OL].[2020-10-27].http：//sh.people.com.cn/n2/2019/0815/c176738-33253367.html.

[25] 人民網.工信部：已完成44萬款APP技術檢測 頭部企業APP存在問題反復現象[EB/OL].[2020-11-30].http：//bbs1.people.com.cn/post/2/1/2/177144809.html.

[26] 陳太清.對行政罰款限度的追問[J].江蘇社會科學，2016（1）：100-108.

[27] 薛克鵬.經濟法基本范疇研究[J].北京：北京大學出版社，2013：146.

[28] [德]丹尼爾·卡尼曼.思考，快與慢[M].胡曉姣，等譯.北京：中信出版社，2012：7.

[29] 盧代富.經濟法中的國家干預解讀[J].現代法學，2019（4）：116-122.

[30] 王澤鑒.侵權行為法[M].北京：中國政法大學出版社，2001：7.

[31] 羅婉華. 現代社會風險預防及損害救濟[N].民主與法制時報，2019-04-25（008）.

[32] 蔡萬煥，袁輝.在市場和政府之間——馬克思主義經濟學與西方經濟學各流派關于市場與政府關系的討論[J].湖南社會科學，2010（1）：113-118.

[33] 劉大洪，廖建求.論市場規制法的價值[J].中國法學，2004（2）：92-102.

[34] Report to the President Big Data and Privacy： A Technological Perspective， Executive Office of the President， Presidents Council of Advisors on Science and Technology， May 2014[EB/OL].[2020-12-06].https：//bigdatawg.nist.gov/pdf/pcast_big_data_and_privacy_-_may_2014.pdf.

[35] 李延舜.個人信息權保護的法經濟學分析及其限制[J].法學論壇，2015（3）：43-53.

[36] [英]約翰·斯圖亞特·密爾.論自由[M].嚴復，譯.北京：中華書局，2016.

[37] 錢玉文.消費者權的經濟法表達——兼論對《民法典》編纂的啟示[J].法商研究，2017（1）：143-152.

[38] 劉承韙.英美合同法中對價原則之功能分析[J].中外法學，2006（5）：564-596.

[39] 程嘯.論大數據時代的個人數據權利[J].中國社會科學，2018（3）：102-122，207-208.

[40] 陳林，張家才.數字時代中的相關市場理論：從單邊市場到雙邊市場[J].財經研究，2020（3）：109-123.

[41] 鞠曄，王平.云計算背景下歐盟消費者個人敏感數據的法律保護[J].法學雜志，2014（8）：84.

[42] 王葉剛.人格權中經濟價值“可讓與性”之反思——以人格尊嚴的保護為視角[J].廣東社會科學，2014（2）：236-244.

[43] 唐躍洺，王前.從機體哲學視角看人類增強技術的社會風險[J].科學技術哲學研究，2020（5）：74-79.

[44] 解正山.數據泄露損害問題研究[J].清華法學，2020（4）：140-158.

[45] 阮神裕.民法典視角下個人信息的侵權法保護——以事實不確定性及其解決為中心[J].法學家，2020（4）：29-39，192.

[46] 徐明.大數據時代的隱私危機及其侵權法應對[J].中國法學，2017（1）：130-149.

[47]? [德]斯科斯蒂安·馮巴爾.歐洲比較侵權行為法（下冊）[M].張新寶，譯.北京：法律出版社，2001：271.

[48] Klinger， Die Produkt beobachtungspflicht bezuglich Fremdzubehrteilen[D].Diss. Tubingen 1995.

[49]? Guido Calabresi，Jon T.Hirschoff.Toward a Test for Strict Liability in Torts[J].Yale Law Journal，1972（81）.

[50] 吳秀堯.消費者權益保護立法中信息規制運用之困境及其破解[J].法商研究，2019（3）：115-126.

[51] [美]托馬斯·哈喬諾，大衛·舍瑞爾，阿萊克斯·彭特蘭.信任與數據 身份與數據共享的創新框架[M].陳浩，譯.北京：經濟科學出版社，2018：92.

Reconstruction of the Private Relief Path for the Protection of Consumer Data Rights

in China：From Public-Private Division to Public-Private Integration

QU Jun-yu

（School of Economic Law， Southwest University of Political Science and Law， Chongqing 401120， China）

Abstract： The progress of big data technology provides strong support for human beings to build a beautiful new world， but it also gives birth to unjust phenomena such as the intensification of information asymmetry， which leads to widespread data infringement and no way for consumers to claim.In this regard， private relief is subject to institutional defects and is difficult to play a role， but taking public relief as an alternative will undermine the realization of the function of legal guidance， and it is not a good policy.It is necessary for China to complete the evolution of the idea from the separation of public and private governance to the integration of public and private， and then take the damage filling as the purpose， the subject relationship as the basis， and flexible intervention as the means to reconstruct the private relief system for the protection of consumers′ data rights and interests， so as to help the fair sharing of digital dividends in the whole society，by expanding the subject scope of operators and consumers， reducing the difficulty of proving most constituent elements， forming a compensation standard with multi-level structure， and promoting the linkage implementation between justice and law enforcement.

Key words： data rights protection; consumers; private relief; public relief; public-private integration

（責任編輯：李江）