(一)如何“證明自己沒有過錯”�?
《個人信息保護法》規(guī)定,對于處理個人信息造成他人損害的����,個人信息處理者不能證明自己沒有過錯的,應(yīng)當承擔損害賠償?shù)惹謾?quán)責任�。從這個法條來看��,采取的舉證責任倒置的表述�����,即是由個人信息處理者(通常是被告)來證明自己沒有過錯���,類似的表述,我們在以前的侵權(quán)責任法和現(xiàn)在的民法典中都能找到����。對于這個規(guī)定,我覺得審理時需要把握以下幾點:
1����、該條規(guī)定的僅僅是過錯上的舉證責任倒置,而不是侵權(quán)其他要件上的舉證責任倒置����。這樣的案件通常是侵權(quán)案件,原告需要證明被告實施了不法行為��、不法行為與損害后果之間的因果關(guān)系以及損害 事實���。過錯上的舉證責任倒置�����,并不能免除信息主體(通常是原告)對于其他侵權(quán)構(gòu)成要件的舉證����。不是原告只要隨便找到一個信息處理者告到法院就萬事大吉了����,原告的舉證負擔仍然很重。單單就證明被告是侵權(quán)主體�����,被告實施了不法行為就是很重的舉證負擔��。有的情形下��,證明是被告實施了侵權(quán)行為可能容易得到法院的支持����。例如,家長去給孩子報了學科培訓����,突然有其他培訓機構(gòu)給自己發(fā)培訓信息����;年輕父母去醫(yī)院生娃��,馬上收到給孩子做胎毛筆的商業(yè)信息�����;剛剛買了汽車��,就收到給汽車貼膜的商業(yè)廣告���。在這樣的特定情況下��,間隔時間短、廣告推送的精準�����,也許會讓一般人也相信就是某個特定機構(gòu)泄露了商業(yè)信息�����。但是�,現(xiàn)代社會信息流轉(zhuǎn)的渠道不勝其舉��,在缺少特定聯(lián)系點的情況下,要認定某個被告就是侵權(quán)主體則比較困難��,而且越是普遍的不法行為越是難以證明���。例如,我們的手機經(jīng)常會收到各種垃圾短信����、商業(yè)廣告,某個消費者能夠直接告移動或者聯(lián)通嗎��?恐怕就比較困難�����,因為日常生活中登記手機信息的情況太多了��,投遞簡歷�、網(wǎng)購、去醫(yī)院就醫(yī)�����、就學校就學都會留下個人的手機信息�。因此�����,在這類案件中����,信息主體仍應(yīng)首先舉證證明被泄漏的信息與信息處理者之家具有高度可能性�,讓法院相信大概率是被告實施了侵權(quán)行為。比如機票預訂���,除涉及姓名�����、聯(lián)系方式等個人信息外��,還涉及特定的航程信息�����,如果消費者舉證泄漏的信息只是手機信息���、個人住址等信息,不包括航程信息,則認定航空公司泄露了相關(guān)其手機信息��、個人住址就比較困難��。如何解決大量存在的���、我們都已經(jīng)麻木的侵權(quán)行為中的侵權(quán)主體�����,才是更棘手的問題,恐怕非引入刑事手段不能解決�。
2、是否盡到合理注意義務(wù)需要結(jié)合信息處理者是否履行了法定職責���,判斷侵權(quán)行為的實施是否是其無從防范�。
侵權(quán)責任法的發(fā)展趨勢之一是過錯的客觀化�����,不是從單個行為人的主觀狀態(tài)認定其過失����,而是依據(jù)行為人是否盡到合理的注意義務(wù)判斷其有無過失。在實踐中,個人信息處理者僅僅稱其主觀上不想侵害是難以免責的��。未盡到合理的注意義務(wù)的�,便可以認定其存在過錯。
實踐中�,個人信息處理者的有的行為可以直接被認定為存在過錯,因為其違反法定職責的特征太明顯了�,比如未經(jīng)許可主動收集、主動使用�、商業(yè)化運營,這明顯違反了相關(guān)法律規(guī)定���,實踐中一般不會有爭議����。比較容易有爭議的是“泄露”個人信息的情況����。在涉及的是“泄露”個人信息的情形之下,被告要做的�,首先是證明自己有嚴格的制度,而且嚴格遵守了法律規(guī)定和行業(yè)規(guī)范的制度�。實踐中很多公共運營企業(yè)是委托外包公司進行個人信息處理,或者經(jīng)營中會和一些其他機構(gòu)共享這些信息(例如訂票網(wǎng)站�����、旅游網(wǎng)站),那么被告的舉證負擔就會更重����,不但要證明自己有嚴格的制度,還要證明合作的外包方����、相關(guān)信息公司也有嚴格的制度且遵守了這些制度。根據(jù)個保法第20條��、第21條的規(guī)定�,這些情形分別可以納入委托他人處理個人信息或者共同處理個人信息�、職務(wù)代表行為的范疇,相關(guān)被告仍然要承擔侵權(quán)責任��。這種舉證盡管很難被法院采信��,但是被告也必須要做�����,因為你不做����,會更加減少法官的內(nèi)心確信��。
其次�,被告要舉證證明個人信息泄漏是該信息處理者無法控制或管理的第三方實施的�,這是一種反向的直接證明的途徑。通俗地說��,這是要證明侵權(quán)行為是第三人侵權(quán)�����。例如���,信息泄露是由黑客��、犯罪分子或者其他人入侵系統(tǒng)而造成的����,信息處理者已經(jīng)采取了應(yīng)有的技術(shù)能力范圍內(nèi)安全保障措施�����。被告已經(jīng)采取了當今業(yè)內(nèi)領(lǐng)先的防范技術(shù)�,黑客是個超人���,入侵的手段在現(xiàn)在的手段下難以防范(有的黑客手段高超到可以入侵軍方數(shù)據(jù)庫);再比如��,政府因公共管理需要在使用處理這些個人信息時造成泄露�,也可以免除處理者的責任。因為信息處理者有義務(wù)配合政府��、服從政府的要求�。有一個基本法諺,“法律不強人所難”��,在認定過錯上也是如此����。因此,在第三人的侵權(quán)行為是被告無法預料�����、無法阻止的情形下��,是可以免除被告的責任的�。
(二)損失如何確定
個人信息保護法對此的表述是:損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定��;損失和利益難以確定的,根據(jù)實際情況確定賠償數(shù)額��。這樣的表述�,在以前的侵權(quán)責任法和民法典中不常見,在相關(guān)司法解釋中可見�����。我認為可以參考知識產(chǎn)權(quán)�、人臉識別司法解釋及《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件司法解釋的相關(guān)規(guī)定來理解:
1、真正落實財產(chǎn)損害賠償制度中的“填平原則”�。要改變“十賠九不足”的情形,在確定損失范圍時���,不僅要包括直接損失����,也要包括間接損失���。比如實踐中因個人信息被泄漏后���,被他人盜用導致個人財產(chǎn)損失;個人信息被非法交易后���,個人維權(quán)所產(chǎn)生的財產(chǎn)支出�����,包括調(diào)查取證費用���、合理的律師費用計入賠償范圍���。在確定侵權(quán)行為和損失之間存在因果關(guān)系時,應(yīng)該適當從寬���,只要具有相當?shù)囊蚬P(guān)系即可���,不能對被害人過于嚴苛。
2�、根據(jù)案情可以責令侵權(quán)人提交相關(guān)報表、賬冊�����,以此來幫助確定“獲利”��。“獲利”包括了直接增加的收入和減少的成本�����。確定被告獲利多少���,都需要基本的賬冊�。在知產(chǎn)案件中�����,人民法院為確定賠償數(shù)額���,在權(quán)利人已經(jīng)盡力舉證�����,而與侵權(quán)行為相關(guān)的報表���、賬冊、資料主要由侵權(quán)人掌握的情況下��,可以責令侵權(quán)人提供與侵權(quán)行為相關(guān)的資料��;侵權(quán)人不提供或者提供虛假的賬簿���、資料的��,人民法院可以參考權(quán)利人的主張和提供的證據(jù)判定賠償數(shù)額��。在審理涉及個人信息的案件中���,法院可以參照知產(chǎn)案件中的做法��,責令侵權(quán)人也要提交相關(guān)資料���,聲稱自己沒有的,就要承擔不利后果�,法院應(yīng)該就更多采納原告主張的計算方法。實踐中����,有的侵權(quán)企業(yè)會在沒有案件的時候進行一些宣傳,例如宣傳自己利潤����、銷售額、市場占有率等����,這些數(shù)據(jù)可以作為利潤、金額的一個參照�����。需要注意的是����,個人信息案件不同于知產(chǎn)案件的地方。知產(chǎn)案件有合法��、正常的市場���,例如商標使用費���、專利許可使用費等,都有比較成熟的市場�,可以拿來參照。而個人信息案件中���,似乎不大有這樣的市場�,有的也可能是“不合法”的市場����,例如出售一個手機號���、一個身份證多少錢,基本上是非法市場的價格���。在實踐中一般不會拿來參照��。
3�����、建議賦予法官對于實際損失的自由裁量權(quán)���。實踐中,被侵權(quán)人往往難以證明財產(chǎn)損失����,或者侵權(quán)人所獲的的利益難以認定,此時由法官根據(jù)案件具體情況確定一個賠償數(shù)額��,就是一個合理的選擇�����。具體考量的因素可以包括個人信息被侵權(quán)的類型、持續(xù)范圍�����、侵權(quán)行為的時間����、空間維度�、侵權(quán)情節(jié)與方式、侵權(quán)人主觀過錯等��。過去��,知產(chǎn)案件中�����,侵犯著作權(quán)的酌定賠償數(shù)額是50萬�,侵犯商標權(quán)是300萬,現(xiàn)在已經(jīng)調(diào)整到500萬�。
域外的經(jīng)驗:日本網(wǎng)絡(luò)安全協(xié)會(簡稱“JNSA”) 安全損害調(diào)查工作組,出具過一份《關(guān)于信息安全事件的調(diào)查報告 附件》����,提出了一個確定信息損失的公式。
(1)泄露信息的價值計算公式(P7)
泄露個人信息的價值=基礎(chǔ)信息價值×敏感信息度×識別本人難易度
基礎(chǔ)信息價值:無論信息種類如何,基礎(chǔ)值一律按照500點計算��。
敏感信息度=
【這里的X和Y是下圖的“精神痛苦”和“經(jīng)濟損害”����。其中泄露多種信息時,按照最大值計算�����。(P8)】
識別本人難易度:判斷標準如下
判斷標準 | 識別本人難易度 |
可以簡單識別本人�����。 包括“姓名”“住所”���。 | 6 |
識別本人需要花費成本�。 包括“姓名”或者“住所+電話號碼”���。 | 3 |
識別困難�����。上述之外情形����。 | 1 |
(2)信息泄露原組織的社會責任度
判斷標準 | 社會責任度 |
比一般較高 | 需要確保個人信息正當處理的個別行業(yè)(醫(yī)療、金融...)��、政府機關(guān)及知名大型企業(yè) | 2 |
一般 | 其他一般企業(yè)���、團體 | 1 |
(3)事后對應(yīng)評價
判斷標準 | 事后對應(yīng)評價 |
對應(yīng)適當 | 1 |
對應(yīng)不適當 | 2 |
不明�、其他 | 1 |
擬定損害賠償金額=泄露個人信息價值×泄露個人信息原組織的社會責任度×事后對應(yīng)評價
4����、對于情節(jié)惡劣的侵權(quán)���,可以引入懲罰性賠償機制���。《個人信息保護法》以嚴格著稱,但這種嚴格更多地體現(xiàn)在行政處罰責任�,如營業(yè)額的5%的罰款。在民事責任層面�,如前所述,個人信息泄露對于個人的損失在大多數(shù)情況下是很難衡量的���,甚至很多情況下個人信息處理者沒有獲得利益����。所以,有必要去探索對于侵犯個人信息的懲罰性賠償制度�����。目前民法典對于懲罰性賠償?shù)倪m用有特定的范圍����,集中在欺詐消費者、環(huán)境侵權(quán)這方面���。是否能夠在將來合適的時候���,引入侵犯信息權(quán)的懲罰性賠償制度,大家需要共同努力����。
