(一)如何“證明自己沒(méi)有過(guò)錯(cuò)”?
《個(gè)人信息保護(hù)法》規(guī)定���,對(duì)于處理個(gè)人信息造成他人損害的,個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的�����,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任����。從這個(gè)法條來(lái)看,采取的舉證責(zé)任倒置的表述�,即是由個(gè)人信息處理者(通常是被告)來(lái)證明自己沒(méi)有過(guò)錯(cuò)�,類(lèi)似的表述����,我們?cè)谝郧暗那謾?quán)責(zé)任法和現(xiàn)在的民法典中都能找到。對(duì)于這個(gè)規(guī)定��,我覺(jué)得審理時(shí)需要把握以下幾點(diǎn):
1�、該條規(guī)定的僅僅是過(guò)錯(cuò)上的舉證責(zé)任倒置��,而不是侵權(quán)其他要件上的舉證責(zé)任倒置����。這樣的案件通常是侵權(quán)案件,原告需要證明被告實(shí)施了不法行為���、不法行為與損害后果之間的因果關(guān)系以及損害 事實(shí)���。過(guò)錯(cuò)上的舉證責(zé)任倒置,并不能免除信息主體(通常是原告)對(duì)于其他侵權(quán)構(gòu)成要件的舉證���。不是原告只要隨便找到一個(gè)信息處理者告到法院就萬(wàn)事大吉了����,原告的舉證負(fù)擔(dān)仍然很重。單單就證明被告是侵權(quán)主體�����,被告實(shí)施了不法行為就是很重的舉證負(fù)擔(dān)���。有的情形下�����,證明是被告實(shí)施了侵權(quán)行為可能容易得到法院的支持��。例如��,家長(zhǎng)去給孩子報(bào)了學(xué)科培訓(xùn)��,突然有其他培訓(xùn)機(jī)構(gòu)給自己發(fā)培訓(xùn)信息����;年輕父母去醫(yī)院生娃��,馬上收到給孩子做胎毛筆的商業(yè)信息��;剛剛買(mǎi)了汽車(chē)�,就收到給汽車(chē)貼膜的商業(yè)廣告�����。在這樣的特定情況下�����,間隔時(shí)間短��、廣告推送的精準(zhǔn)�,也許會(huì)讓一般人也相信就是某個(gè)特定機(jī)構(gòu)泄露了商業(yè)信息�����。但是�����,現(xiàn)代社會(huì)信息流轉(zhuǎn)的渠道不勝其舉��,在缺少特定聯(lián)系點(diǎn)的情況下�����,要認(rèn)定某個(gè)被告就是侵權(quán)主體則比較困難�����,而且越是普遍的不法行為越是難以證明���。例如�,我們的手機(jī)經(jīng)常會(huì)收到各種垃圾短信���、商業(yè)廣告���,某個(gè)消費(fèi)者能夠直接告移動(dòng)或者聯(lián)通嗎?恐怕就比較困難����,因?yàn)槿粘I钪械怯浭謾C(jī)信息的情況太多了,投遞簡(jiǎn)歷���、網(wǎng)購(gòu)�、去醫(yī)院就醫(yī)���、就學(xué)校就學(xué)都會(huì)留下個(gè)人的手機(jī)信息��。因此����,在這類(lèi)案件中,信息主體仍應(yīng)首先舉證證明被泄漏的信息與信息處理者之家具有高度可能性�����,讓法院相信大概率是被告實(shí)施了侵權(quán)行為����。比如機(jī)票預(yù)訂,除涉及姓名����、聯(lián)系方式等個(gè)人信息外,還涉及特定的航程信息����,如果消費(fèi)者舉證泄漏的信息只是手機(jī)信息�、個(gè)人住址等信息,不包括航程信息����,則認(rèn)定航空公司泄露了相關(guān)其手機(jī)信息、個(gè)人住址就比較困難�����。如何解決大量存在的、我們都已經(jīng)麻木的侵權(quán)行為中的侵權(quán)主體��,才是更棘手的問(wèn)題�,恐怕非引入刑事手段不能解決。
2����、是否盡到合理注意義務(wù)需要結(jié)合信息處理者是否履行了法定職責(zé),判斷侵權(quán)行為的實(shí)施是否是其無(wú)從防范���。
侵權(quán)責(zé)任法的發(fā)展趨勢(shì)之一是過(guò)錯(cuò)的客觀化���,不是從單個(gè)行為人的主觀狀態(tài)認(rèn)定其過(guò)失,而是依據(jù)行為人是否盡到合理的注意義務(wù)判斷其有無(wú)過(guò)失�����。在實(shí)踐中���,個(gè)人信息處理者僅僅稱(chēng)其主觀上不想侵害是難以免責(zé)的��。未盡到合理的注意義務(wù)的����,便可以認(rèn)定其存在過(guò)錯(cuò)。
實(shí)踐中��,個(gè)人信息處理者的有的行為可以直接被認(rèn)定為存在過(guò)錯(cuò)���,因?yàn)槠溥`反法定職責(zé)的特征太明顯了��,比如未經(jīng)許可主動(dòng)收集�、主動(dòng)使用�����、商業(yè)化運(yùn)營(yíng)��,這明顯違反了相關(guān)法律規(guī)定�����,實(shí)踐中一般不會(huì)有爭(zhēng)議����。比較容易有爭(zhēng)議的是“泄露”個(gè)人信息的情況。在涉及的是“泄露”個(gè)人信息的情形之下�,被告要做的,首先是證明自己有嚴(yán)格的制度���,而且嚴(yán)格遵守了法律規(guī)定和行業(yè)規(guī)范的制度�。實(shí)踐中很多公共運(yùn)營(yíng)企業(yè)是委托外包公司進(jìn)行個(gè)人信息處理��,或者經(jīng)營(yíng)中會(huì)和一些其他機(jī)構(gòu)共享這些信息(例如訂票網(wǎng)站����、旅游網(wǎng)站),那么被告的舉證負(fù)擔(dān)就會(huì)更重�����,不但要證明自己有嚴(yán)格的制度�,還要證明合作的外包方、相關(guān)信息公司也有嚴(yán)格的制度且遵守了這些制度��。根據(jù)個(gè)保法第20條�����、第21條的規(guī)定�����,這些情形分別可以納入委托他人處理個(gè)人信息或者共同處理個(gè)人信息、職務(wù)代表行為的范疇�,相關(guān)被告仍然要承擔(dān)侵權(quán)責(zé)任。這種舉證盡管很難被法院采信,但是被告也必須要做,因?yàn)槟悴蛔?��,?huì)更加減少法官的內(nèi)心確信。
其次,被告要舉證證明個(gè)人信息泄漏是該信息處理者無(wú)法控制或管理的第三方實(shí)施的����,這是一種反向的直接證明的途徑��。通俗地說(shuō)�����,這是要證明侵權(quán)行為是第三人侵權(quán)����。例如,信息泄露是由黑客��、犯罪分子或者其他人入侵系統(tǒng)而造成的�,信息處理者已經(jīng)采取了應(yīng)有的技術(shù)能力范圍內(nèi)安全保障措施。被告已經(jīng)采取了當(dāng)今業(yè)內(nèi)領(lǐng)先的防范技術(shù)��,黑客是個(gè)超人���,入侵的手段在現(xiàn)在的手段下難以防范(有的黑客手段高超到可以入侵軍方數(shù)據(jù)庫(kù))���;再比如,政府因公共管理需要在使用處理這些個(gè)人信息時(shí)造成泄露���,也可以免除處理者的責(zé)任��。因?yàn)樾畔⑻幚碚哂辛x務(wù)配合政府��、服從政府的要求�����。有一個(gè)基本法諺�,“法律不強(qiáng)人所難”��,在認(rèn)定過(guò)錯(cuò)上也是如此��。因此����,在第三人的侵權(quán)行為是被告無(wú)法預(yù)料����、無(wú)法阻止的情形下��,是可以免除被告的責(zé)任的����。
(二)損失如何確定
個(gè)人信息保護(hù)法對(duì)此的表述是:損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定;損失和利益難以確定的�����,根據(jù)實(shí)際情況確定賠償數(shù)額��。這樣的表述�����,在以前的侵權(quán)責(zé)任法和民法典中不常見(jiàn)���,在相關(guān)司法解釋中可見(jiàn)���。我認(rèn)為可以參考知識(shí)產(chǎn)權(quán)�、人臉識(shí)別司法解釋及《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件司法解釋的相關(guān)規(guī)定來(lái)理解:
1��、真正落實(shí)財(cái)產(chǎn)損害賠償制度中的“填平原則”�����。要改變“十賠九不足”的情形��,在確定損失范圍時(shí)���,不僅要包括直接損失,也要包括間接損失���。比如實(shí)踐中因個(gè)人信息被泄漏后�,被他人盜用導(dǎo)致個(gè)人財(cái)產(chǎn)損失��;個(gè)人信息被非法交易后�,個(gè)人維權(quán)所產(chǎn)生的財(cái)產(chǎn)支出,包括調(diào)查取證費(fèi)用����、合理的律師費(fèi)用計(jì)入賠償范圍。在確定侵權(quán)行為和損失之間存在因果關(guān)系時(shí)��,應(yīng)該適當(dāng)從寬,只要具有相當(dāng)?shù)囊蚬P(guān)系即可����,不能對(duì)被害人過(guò)于嚴(yán)苛。
2��、根據(jù)案情可以責(zé)令侵權(quán)人提交相關(guān)報(bào)表�、賬冊(cè),以此來(lái)幫助確定“獲利”�。“獲利”包括了直接增加的收入和減少的成本。確定被告獲利多少�����,都需要基本的賬冊(cè)�。在知產(chǎn)案件中,人民法院為確定賠償數(shù)額��,在權(quán)利人已經(jīng)盡力舉證�����,而與侵權(quán)行為相關(guān)的報(bào)表�����、賬冊(cè)、資料主要由侵權(quán)人掌握的情況下��,可以責(zé)令侵權(quán)人提供與侵權(quán)行為相關(guān)的資料�;侵權(quán)人不提供或者提供虛假的賬簿、資料的����,人民法院可以參考權(quán)利人的主張和提供的證據(jù)判定賠償數(shù)額��。在審理涉及個(gè)人信息的案件中����,法院可以參照知產(chǎn)案件中的做法,責(zé)令侵權(quán)人也要提交相關(guān)資料�����,聲稱(chēng)自己沒(méi)有的���,就要承擔(dān)不利后果�����,法院應(yīng)該就更多采納原告主張的計(jì)算方法���。實(shí)踐中�����,有的侵權(quán)企業(yè)會(huì)在沒(méi)有案件的時(shí)候進(jìn)行一些宣傳�����,例如宣傳自己利潤(rùn)����、銷(xiāo)售額����、市場(chǎng)占有率等,這些數(shù)據(jù)可以作為利潤(rùn)���、金額的一個(gè)參照�����。需要注意的是���,個(gè)人信息案件不同于知產(chǎn)案件的地方�。知產(chǎn)案件有合法��、正常的市場(chǎng)����,例如商標(biāo)使用費(fèi)、專(zhuān)利許可使用費(fèi)等����,都有比較成熟的市場(chǎng),可以拿來(lái)參照��。而個(gè)人信息案件中���,似乎不大有這樣的市場(chǎng),有的也可能是“不合法”的市場(chǎng)��,例如出售一個(gè)手機(jī)號(hào)��、一個(gè)身份證多少錢(qián)����,基本上是非法市場(chǎng)的價(jià)格。在實(shí)踐中一般不會(huì)拿來(lái)參照。
3�、建議賦予法官對(duì)于實(shí)際損失的自由裁量權(quán)。實(shí)踐中��,被侵權(quán)人往往難以證明財(cái)產(chǎn)損失��,或者侵權(quán)人所獲的的利益難以認(rèn)定����,此時(shí)由法官根據(jù)案件具體情況確定一個(gè)賠償數(shù)額,就是一個(gè)合理的選擇��。具體考量的因素可以包括個(gè)人信息被侵權(quán)的類(lèi)型�、持續(xù)范圍、侵權(quán)行為的時(shí)間����、空間維度、侵權(quán)情節(jié)與方式���、侵權(quán)人主觀過(guò)錯(cuò)等���。過(guò)去,知產(chǎn)案件中�����,侵犯著作權(quán)的酌定賠償數(shù)額是50萬(wàn),侵犯商標(biāo)權(quán)是300萬(wàn)��,現(xiàn)在已經(jīng)調(diào)整到500萬(wàn)�。
域外的經(jīng)驗(yàn):日本網(wǎng)絡(luò)安全協(xié)會(huì)(簡(jiǎn)稱(chēng)“JNSA”) 安全損害調(diào)查工作組,出具過(guò)一份《關(guān)于信息安全事件的調(diào)查報(bào)告 附件》��,提出了一個(gè)確定信息損失的公式���。
(1)泄露信息的價(jià)值計(jì)算公式(P7)
泄露個(gè)人信息的價(jià)值=基礎(chǔ)信息價(jià)值×敏感信息度×識(shí)別本人難易度
基礎(chǔ)信息價(jià)值:無(wú)論信息種類(lèi)如何���,基礎(chǔ)值一律按照500點(diǎn)計(jì)算。
敏感信息度=
【這里的X和Y是下圖的“精神痛苦”和“經(jīng)濟(jì)損害”��。其中泄露多種信息時(shí)����,按照最大值計(jì)算�。(P8)】
識(shí)別本人難易度:判斷標(biāo)準(zhǔn)如下
判斷標(biāo)準(zhǔn) | 識(shí)別本人難易度 |
可以簡(jiǎn)單識(shí)別本人。 包括“姓名”“住所”�。 | 6 |
識(shí)別本人需要花費(fèi)成本。 包括“姓名”或者“住所+電話號(hào)碼”���。 | 3 |
識(shí)別困難���。上述之外情形��。 | 1 |
(2)信息泄露原組織的社會(huì)責(zé)任度
判斷標(biāo)準(zhǔn) | 社會(huì)責(zé)任度 |
比一般較高 | 需要確保個(gè)人信息正當(dāng)處理的個(gè)別行業(yè)(醫(yī)療�、金融...)��、政府機(jī)關(guān)及知名大型企業(yè) | 2 |
一般 | 其他一般企業(yè)�、團(tuán)體 | 1 |
(3)事后對(duì)應(yīng)評(píng)價(jià)
判斷標(biāo)準(zhǔn) | 事后對(duì)應(yīng)評(píng)價(jià) |
對(duì)應(yīng)適當(dāng) | 1 |
對(duì)應(yīng)不適當(dāng) | 2 |
不明、其他 | 1 |
擬定損害賠償金額=泄露個(gè)人信息價(jià)值×泄露個(gè)人信息原組織的社會(huì)責(zé)任度×事后對(duì)應(yīng)評(píng)價(jià)
4��、對(duì)于情節(jié)惡劣的侵權(quán)���,可以引入懲罰性賠償機(jī)制���。《個(gè)人信息保護(hù)法》以嚴(yán)格著稱(chēng),但這種嚴(yán)格更多地體現(xiàn)在行政處罰責(zé)任�,如營(yíng)業(yè)額的5%的罰款。在民事責(zé)任層面�����,如前所述�����,個(gè)人信息泄露對(duì)于個(gè)人的損失在大多數(shù)情況下是很難衡量的,甚至很多情況下個(gè)人信息處理者沒(méi)有獲得利益�����。所以����,有必要去探索對(duì)于侵犯?jìng)€(gè)人信息的懲罰性賠償制度。目前民法典對(duì)于懲罰性賠償?shù)倪m用有特定的范圍���,集中在欺詐消費(fèi)者�、環(huán)境侵權(quán)這方面����。是否能夠在將來(lái)合適的時(shí)候,引入侵犯信息權(quán)的懲罰性賠償制度����,大家需要共同努力�。
