敏感个人信息精神损害赔偿之...》生效前45例已决样本分析_陈蓉.pdf

年 月重庆邮电大学学报（社会科学版）第 卷第 期 （）：引用格式：陈蓉，杨玉华敏感个人信息精神损害赔偿之检视与制度建构 以个人信息保护法生效前 例已决样本分析重庆邮电大学学报（社会科学版），（）：敏感个人信息精神损害赔偿之检视与制度建构 以个人信息保护法生效前 例已决样本分析陈 蓉，杨玉华（长安大学 人文学院，陕西 西安）摘 要：个人信息保护法对敏感个人信息首次予以立法规定，并专节规定敏感个人信息处理原则，确立了更为严格的过错推定责任，关于精神损害赔偿未置可否而引发学界的审视与思考。以检索到 年侵犯敏感个人信息的 例已决样本为分析对象，发现司法实践中优先采取民法典私密信息隐私权的保护路径，并导致敏感个人信息的精神损害赔偿支持率低、赔偿标准适用及赔偿金额确定随意等问题。这反映出个人信息保护法与民法典隐私权保护路径的竞合与冲突，敏感个人信息精神损害赔偿条款缺位，设定损害后果须“严重”的赔偿门槛较高以及赔偿金额的自由裁量权失范等困境。对敏感个人信息受侵的案件，应优先适用个人信息保护法的保护路径，应设定敏感个人信息精神损害条款，将精神损害赔偿损害门槛从“严重”降为“一般”，并通过司法解释设置赔偿数额区间和引入新的衡量因素以限缩法官的自由裁量权。关键词：敏感个人信息；精神损害赔偿；个人信息保护法；私密信息中图分类号：文献标识码：文章编号：（）嵌入理论认为，我们正置身于技术急剧进步的时代，人类社会正在被科技以绝对强势地位嵌入、颠覆乃至重塑。公民个人信息伴随着互联网的发展，特别是以人脸识别为核心的人脸、指纹等敏感个人信息已被广泛收集并应用于各类生活场景，甚至成为信息化时代的通行证，对信息主体的人身和财产安全带来前所未有之挑战。年，中国信息通信研究院发布的“互联网行业”个人信息保护研究报告提出，敏感个人信息在“数字中国”建设过程中被过度收集和使用，非法侵害敏感个人信息接踵而至。我国人脸识别第一案的出现，再次证实此种隐忧之合理性。年 月生效的个人信息保护法确立了敏感个人信息范围，专节规定了信息处理者应收稿日期：基金项目：陕西省文化与旅游厅基金项目：新技术对网络文化市场执法的挑战与对策研究（）作者简介：陈蓉，教授，法学博士，硕士生导师，主要从事经济法学研究，：；杨玉华，硕士研究生，主要从事民商法学、经济法学研究，：。参见（）浙 民初 号、（）浙 民终 号。当遵守单独同意、特意告知等规则，但对信息主体能否主张精神损害赔偿，却未置可否。以敏感个人信息类型为检索词，收集到 年侵犯敏感个人信息的 例生效判决，对此实证分析了敏感个人信息精神损害的司法支持率、赔偿数额、判决依据后，发现存在私密信息和个人信息的保护路径混同、精神损害赔偿条款缺位、精神损害赔偿门槛较高和赔偿金额确定难等制度困境。下文拟论述在个人信息保护法中增加精神损害赔偿条款、降低精神损害赔偿的保护门槛，并通过司法解释限缩法官的自由裁量权，合理确定敏感个人信息的赔偿数额，以期强化敏感个人信息的法律保护。一、穷源溯流：敏感个人信息精神损害赔偿的理论证成早在 世纪 年代，“精神损害”就成为一个饶有争议的话题，随后学界逐渐达成应对受害人精神痛苦、精神利益损失给予赔偿之共识，精神损害赔偿制度遂被立法吸纳。德国学者 提出的差额说系侵权损害的通说理论，即损害是受害人对特定损害事故的利害关系，受害人因该事故产生利益损失，该损失为侵权行为发生前后的财产差额。差额说在非财产领域亦逐渐被认可，即因侵权行为所产生的一切损失，都应予以弥补。据此差额说，敏感个人信息受到侵犯导致精神损害已满足获得赔偿的补救之必要性、可补救性和确定性等三个条件，并在我国现有立法框架下具备兼容性和可行性。（一）敏感个人信息精神损害补救之必要性差额说认为，有必要补救的“损害”应具备客观性，即为现实客观损害且依据社会一般观念应予救济的利益差额。根据梅里亚姆韦伯斯特词典的解释，所谓“敏感”，是指个人信息对特定因素具有高反应度或易受影响，是对信息主体造成伤害或影响的程度。由于敏感数据是个人数据中风险因素较大的部分，其所包含的人格自由、人格尊严等人格属性较一般信息更为显著。即便是被合法收集的个人信息，处理者在大数据基础上通过算法等技术进行社会分选、歧视性对待以及完全的自动化决策，也可能会损害信息主体的人格尊严和人格自由。即使部分敏感个人信息泄露并不会立刻产生现实的损害，但信息主体因面临隐私窥探、身份盗用、财产窃取等风险而产生焦虑与不安等心理。美国学者 和 称此种情绪为“焦虑”，即侵权行为导致信息主体丧失精神欢愉及精神利益，处于长期担忧其财产、名誉遭受侵害之状态，时间亦无法治愈此种痛苦，长期焦虑相当于一种慢性疾病。是故，敏感个人信息侵权的损害结果并不局限于狭义的隐私权领域，除人身伤害和名誉声誉等人格权损害之外，还表现为歧视性待遇、羞耻或其他强烈不适感带来的精神损害，该“损害”是依据社会一般观念应予救济的现实客观损害，满足差额说之补救必要性。（二）敏感个人信息精神损害之可补救性差额说认为损害的可补救性是指通过给付受害人一定数额金钱，从而弥补或者缓解受害主体产生的精神痛苦，即所遭受的精神损害可以借由金钱给付获得补偿，且受害人愿意接受金钱补救方式。数字时代的个人信息数据承载了诸多价值。大陆法系学者认为，信息主体对个人信息商业价值享有权益之基础源于对个人信息享有人格法益，并将包含财产属性的人格权称为“新型人格权”。敏感个人信息权益因其具备财产属性而富有潜在的商业价值，信息处理者可通过商业方式将所含财产价值转化为现实的经济效益，信息处理者可将其从中获取的经济效益作为对敏感个人信息主体造成精神损害后果的赔偿。尽管精神损害是基于受害人主观痛苦，且因其无法完全衡量而导致完全填补绝无可能，但应当承认，金钱具有使被害人收获心理满足之功能，受害人可使用金钱消费为身体创造便利或实现精神舒畅和愉悦等享受目的。日本学者四宫和夫认为，用金钱买入的享乐是平衡的，它使人暂时抛弃痛苦，广 义 上 视 为 填 补 了 损 害。法 国 学 者 认为金钱赔偿虽不能消除精神痛苦本身，但因其有所替代而使受害人获得心理满足，考量个案不同因素确定具有差异的赔偿数额，使信息主体因获得金钱而满足，并因信息处理者遭受财产损失而进一步得到精神上的抚慰，从而实现精神损害赔偿的填补和抚慰功能。（三）敏感个人信息精神损害之确定性差额说中的确定性，意味着损害可通过某种方式量化，如侵权行为造成财产的减少或支出的增加。敏感个人信息精神损害虽不同于物质损害，但其仍可以一定标准而加以量化，确定精神损害赔偿数额的常见方法有六种。第一，数值上限式，即设置损害赔偿封顶数额。第二，数值下限式，与数值上限式相对，设置赔偿的最低数额，即赔偿数额的起点。一般该起点较低，由法院酌情加重。第三，数值范围式，即确定一个精神损害赔偿数额区间，法官依据自由裁量权在区间内确定合理的数额。第四，数值分级式，即依据精神损害后果的严重程度分级，各级别设置不同赔偿限额。第五，给定公式式，即给出计算公式，法官依据公式直接进行计算确定赔偿数额。第六，各因素共同确定式，即指既未设置赔偿数额上下限，亦无可参照的基数或计算公式，仅规定确定赔偿数额应考虑的相关因素，由法官依各因素酌定赔偿数额。（四）敏感个人信息精神损害与现存体系之兼容性虽然各国历史发展、文化背景和意识形态互不相同，决定了不同国家立法对个人信息敏感度的界定宽严有别，但由于法律保护个人信息的根本目的建立在维护人格尊严和人格自由基础之上，信息主体人格尊严和自由价值是个人信息保护立法的首要考量因素；而敏感个人信息与人格尊严之间的联系更为紧密，越来越多的国家（地区）在区分敏感个人信息和一般个人信息的基础上，对事关个人尊严且易引发歧视的个人信息贴上敏感的预警标签，在私法上从实体和程序上要求信息处理者采取更为严格和安全的保护措施。我国民法典为私密信息规定了隐私权的保护路径，但敏感个人信息无法被现有的人格权等民事权利所涵盖，私密信息与敏感个人信息两者范围不尽相同，二者侵权损害的表现形式亦不尽相同，套用民法典中平等主体私密信息的隐私权保护路径显然力不从心，无法有效维护信息主体在网络信息社会和大数据时代中的人格尊严。特别是在网络社会和数字时代下，相对于个人信息处理者来说，个人作为信息主体处于弱势的地位，难以适用平等主体间传统侵权法的侵权规则。相较之下，个人信息保护法为敏感个人信息提供包括精神损害赔偿在内的侵权救济更具专业性，更能为信息主体构筑一道坚实而立体的保护屏障，使之免于遭受敏感个人信息的危险现实化后所带来的损害。二、实证考察：基于 例样本中精神损害赔偿的司法检视侵犯敏感个人信息主张精神损害赔偿具有差额说的理论支持，但司法实践中精神损害赔偿与理论之应然状态相脱节，对此，通过考察 例敏感个人信息样本判决结果，总结如下。（一）样本描述个人信息保护法生效前，关于个人敏感信息的概念在信息安全技术 个人信息安全规范（以下简称规范）中予以提出。个人信息保护法与规范中划定的敏感个人信息范围不尽相同。以个人信息保护法中敏感个人信息为检索依据，共收集到 年的 例侵犯敏感个人信息样本，其中 例未主张精神损害赔偿，故以 例样本作为研究对象。因部分信息敏感度较高，考虑到裁判文书公开易给信息主体造成二次伤害，法院认为部分案件属于不宜公开的情形，故样本集合有限。时间、案由及案源地分布从 年生效判决数量分析来看（见根据信息安全技术 个人信息安全规范，个人敏感信息（）是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。其中，注：个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、岁以下（含）儿童的个人信息等；注：关于个人敏感信息的判定方法和类型参见附录；注：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的，属于个人敏感信息。图），敏感个人信息侵权纠纷呈现逐年上升的趋势，年相较于 年案件数量增长，年相较于 年增长，年相较于 年增长。其中，大部分侵权行为发生在网络环境中，可见，在互联网时代，商业主体利用互联网等新技术对敏感个人信息的收集、使用、处理愈加频繁，故此类纠纷逐年上升。注：案件年份为生效判决作出的年份，上诉案件以二审生效判决为准。图 敏感个人信息案件数量折线图汇总 例样本案由（见图）后发现，案由为隐私权纠纷的样本共 例，占比；案由为个人信息保护纠纷的样本共 例，占比，该 例样本全部来自 年；案由为一般人格权纠纷的样本为 例，占比；案由为侵权责任纠纷、网络侵权责任纠纷的样本各 例，占比；案由为合同纠纷的样本共 例，占比；案由为名誉权纠纷的样本 例，占比。尽管该 例样本的生效判决均形成于个人信息保护法未生效之时，法院多以民法典确立的私密信息保护路径审理案件，但随着个人信息领域纠纷的激增和个人信息保护法的颁布，个人信息的独立地位逐渐被司法实践所认可。图 敏感个人信息案由饼状图汇总所选样本的地域来源（见表）可知，侵犯敏感个人信息案件主要集中分布在北京、广东、江苏、四川等地；其中，北京案源数量最多，共 例，且以互联网为媒介实施侵权行为的案件由北京互联网法院审理；其次为广东，案件数量为 例；江苏、四川并列第三，均为 例。表 案源地省级分布情况省份北京广东江苏四川江西湖南河南贵州重庆山东宁夏吉林辽宁上海湖北总计案件数侵犯敏感个人信息类型分布个人信息保护法以“概括列举”的方式划定了敏感个人信息的范围，以其对敏感个人信息的分类为依据，可对所收集的 例已决案例涉及的信息类型进行汇总（见图）。侵犯特定身份信息案件数量最多，共 例，占比，侵权行为具体表现为披露身份证号码等足以识别特定个人的信息。其次为侵犯个人行踪信息，共 例，占比，部分案件为公民个人起诉航空公司和订票平台，因泄露信息主体航班信息致其被诈骗遭受财产损失。再次为侵犯医疗信息，共 例，占比，表现为侵权人记录错误的医疗信息不可更改，或泄露公民