个人数据权益与个人信息权益一体两面,分别适用于不同的场景而各有侧重:前者强调数据的流通而重视其中的财产价值,后者强调个人尊严的保护而重视其中的人格价值。这就导致二者虽然适用相同的损害赔偿规范,但在规范的具体适用上却因前述不同侧重而在效果上存在差异。对个人数据权益侵害的损害赔偿而言,应在承认这种差异性的前提下来理解与之对应的法律规范。在精神损害赔偿问题上,应当围绕《民法典》第1165条第1款结合第1183条第1款展开,将构成要件论和利益权衡论两种法律效果评价方法结合起来认定个人数据权益侵害的精神损害赔偿。在财产损失赔偿问题上,应当围绕《个人信息保护法》第69条以及《民法典》第1182条展开,在受害人不能证明实际损失和侵权人获益时,将财产损失赔偿的法院酌定与精神损害赔偿的综合认定结合起来展开对侵害行为的法律效果评价,解决个人数据权益与个人信息权益侵权损害赔偿责任认定中的法律效果评价冲突问题。
关 键 词:
个人数据权益;个人信息权益;实际损失;获益剥夺;法院酌定
数字时代,个人信息与个人数据的保护与合理利用,成为学理与实务关注的重点。其中,关于个人信息的保护与合理利用,《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等作了明确规定。侵害个人信息权益导致的财产损失和精神损害,都可以纳入现行法的调整范畴而获得救济。而关于个人数据的保护与利用,现行法则仅在《民法典》第127条作了概括规定,其他制定法并未明确规定,即使2022年《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)、2024年国家数据局等部门联合印发的《“数据要素X”三年行动计划(2024—2026年)》(以下简称《数据要素X计划》)等重要政策性文件都对个人数据、企业数据、公共数据等作了描述性规定,但关于个人数据权益的性质、利用及保护规则仍付诸阙如,由此导致学理与实务上在涉及个人数据权益保护的诸多法律问题上存在分歧。
其中,有观点认为,个人数据与个人信息一体两面,是从不同视角对同一对象进行观察的结果,因此,个人数据权益应和个人信息权益一样,属于内含精神利益和经济利益的人格权益,权利人既可以许可他人使用其数据,亦可以在个人数据权益被侵害时依据《个人信息保护法》第69条及《民法典》第1165条第1款结合第1182条、第1183条第1款主张相应的财产损失和精神损害赔偿请求权。对此的反对观点则认为,个人数据权益虽然同时承载人格利益和财产利益,但考虑到个人数据上的财产利益过于稀薄及数据的有效利用,应将个人数据上的财产利益让渡给数据处理者而仅保护个人数据权益中的人格利益。据此,个人数据权益被侵害时,受害人只能依据《个人信息保护法》第69条或《民法典》第1165条第1款结合第1183条第1款主张精神损害赔偿请求权,不能主张财产损失赔偿请求权。也有观点认为,个人数据权益与企业数据权益、公共数据权益一样都属于数据权益,而数据权益是新型的独立财产权,并不涉及人格利益的问题,对之侵害导致的损害赔偿问题,在特别法如《反不正当竞争法》《反垄断法》等有具体规定时应当适用该具体规定调整,若没有具体规定则可以回溯到作为一般规定的《民法典》第1165条第1款结合第1184条确定财产损失赔偿的问题。由此产生的疑问是,
个人数据权益的属性究竟是什么?在现行法律体系下其与个人信息权益的关系如何?对个人数据权益侵害导致的损害赔偿责任究竟应当依据何种规范认定?这种认定规范与个人信息权益侵害损害赔偿责任的认定规范究竟是何关系?
等等,这些问题的回答既关系个人信息、个人数据的充分保护与有效利用,也影响数字时代大数据产业的健康发展。在此背景下,本文拟在
厘清个人数据权益规范属性的基础上明确其与个人信息权益的关系,并以此为前提明确现行法律体系下个人数据权益侵害损害赔偿规则的基本构造
,以在与个人信息权益侵害损害赔偿规则的互动中,促进个人数据权益的充分保护和有效利用。
二、个人数据权益的性质及相应侵权损害赔偿规范体系的基本构造
个人数据权益的属性决定着其在现行法律体系中的利用与保护规则,是确认个人数据权益侵权损害赔偿规范体系的前提。
关于个人数据权益的属性,由于现行法并未提供明确答案,导致学理与实务上存在不同观点,主要有独立财产说、人财两分说和个人信息权益说。这三种观点都承认个人数据与个人信息之间存在密切关系,并在此基础上对于个人数据内含的利益作了不同的配置。其中,个人信息权说将个人数据权益与个人信息权益二者等同视之,认为二者虽然在适用的场景和侧重点上有所不同,但二者皆包含人格利益和财产利益且皆应归属于自然人而非处理者。在该说看来,个人数据的充分利用及数据产业的健康发展,并不能以个人信息权人合法权益的牺牲与过度让渡为代价,仅承认个人数据权益的财产属性并将之归属于处理者或者在个人数据权益内部区分人格利益和财产利益并将财产利益完全配置给处理者,恰恰是违背了现行法及相关政策性文件关于在个人数据权益的充分保护和有效利用二者之间进行平衡的目的。该观点整体上更值得赞同。这是因为:
一方面,现行法如《民法典》《个人信息保护法》等虽然只规定了个人信息权益而未对个人数据权益作出明确规定,但从信息与数据二者在事实层面的关系来讲,数据是信息的载体而信息为载体上记载的内容,并不存在着没有个人信息的个人数据,脱离个人数据的个人信息也无从显示和表达,个人信息和个人数据的这种事实上的共生关系使在规范层面对二者分别予以规定并进行区分处理的做法,如无本之木,难以成立。即使个人信息因为处理者的处理行为进入了流通领域并具有了商业价值,但这种处理行为并不能完全割裂个人信息与个人数据二者事实上存在的联系,因此既不能因处理行为及数据产业的发展而完全拒绝个人对作为其个人信息之载体的个人数据享有的权利,亦不能在个人数据权益内部进行划分而将其中的人格利益和财产利益分别配置给不同的主体。
另一方面,无论是《民法典》《个人信息保护法》等确立的关于个人信息权益的保护与合理利用规则,还是《数据二十条》《数据要素X计划》等所作的关于个人数据、个人信息的描述性分类及发展目标,实际上都是希冀在个人信息的保护与合理利用之间,在个人数据的充分保护和有效利用之间,探寻一种平衡协调的可能。设若二者发生矛盾冲突,则应给予个人信息、个人数据的保护以优先地位,而非为了强调个人数据的充分利用或数据产业的发展牺牲个人的合法权益,不论此种权益是财产性质的还是人身性质的,亦不论财产的价值是稀薄的还是浓厚的。
当然,在整体承认个人数据权益与个人信息权益二者实为一体两面而分别适用于不同场景的前提下,亦应当注意到使用个人信息的场景下,现行法核心关注的是建立在个人信息可识别性基础上的对人格尊严更充分的保护目标,因此无论是个人信息的处理与利用规则,还是被侵害或有被侵害之虞时的保护规则尤其是损害赔偿规则,都优先保护个人信息权人的合法权益。与此相比,在使用个人数据的场景下,现行法所保护的侧重乃是建立在个人信息经处理后的有效利用目标上,对此,最新发布的《数据要素X计划》即指出,要“制定完善数据内容采集、加工、流通、应用等不同环节相关主体的权益保护规则,在保护个人隐私前提下促进个人信息合理利用”。这就要求,个人数据权益的保护与利用规则应在坚持与个人信息权益的内在一致性的前提下,在使用个人数据的场景下体现出对个人数据的有效利用的侧重和强调。
(二)个人数据权益侵权损
害赔偿规范体系的基本构造
个人数据权益与个人信息权益二者具有的内在一致性,既表现在事实层面的构成与呈现形式方面,也表现在规范层面的具体规则及体系构造方面。因此,即使现行法如《民法典》《个人信息保护法》仅规定了个人信息权益的保护与合理利用规则,对数据的规定仅见于《民法典》第127条,但依据《民法典》第127条及个人数据权益与个人信息权益二者在规范层面的内在一致性原理,也可以将个人信息权益的保护与利用规则在法律无特别规定时适用于个人数据权益的保护与利用场景。依据《个人信息保护法》《民法典》等确立的关于个人信息权益侵害的损害赔偿规则,可以将个人数据权益侵害场合的损害赔偿规范体系明确如下:
第一,个人数据权益侵害的损害赔偿规范体系由特别规定与一般规定共同构成。其中,特别规定主要是指《个人信息保护法》第69条,该条第1款规定了数据处理者的过错推定责任,第2款规定了损害赔偿的计算方法,对于该计算方法是仅适用于财产损失,还是也适用于精神损害,学理与实务上存在分歧;一般规定主要是指《民法典》一般侵权条款即第1165条第1款结合第1182条、第1183条第1款,其中,第1182条指向侵害个人数据权益导致的财产损失的赔偿计算问题,第1183条第1款指向侵害个人数据权益导致的精神损害赔偿问题。由于《个人信息保护法》第72条第1款和第2款分别将特定领域的个人信息处理行为排除出了《个人信息保护法》的调整范畴,所以前述第69条仅适用于该法规定的特定领域的个人信息处理行为导致的损害赔偿,被该法第72条明确排除的侵害行为导致的损害赔偿在其他特别法如《中华人民共和国国家赔偿法》(以下简称《国家赔偿法》)没有特别规定时,应回到《民法典》第1165条第1款等确立的一般损害赔偿规则的调整范围。
第二,个人数据权益侵害场合的精神损害赔偿规范与财产损失赔偿规范的具体适用效果具有相近之处。不论是《个人信息保护法》第69条第2款还是《民法典》第1182条、第1183条第1款,实际上都承认与个人数据同质的个人信息侵害场合的财产损失和精神损害都面临着受害人难以证明其实际损害以及侵权人所获利益的问题,因此,无论是财产损失赔偿规则,还是精神损害赔偿规则,都承认法官有权在个案中综合考量案涉因素以最终认定是否赔偿及具体赔偿的数额。而在法官综合考量的案涉因素中,无论是《民法典》第998条规定的非物质性人格权侵害民事责任认定场合应予考量的因素,还是《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》(以下简称《精神损害赔偿解释》)第5条规定的精神损害赔偿场合应予考量的因素,二者都呈现出高度的相似甚至同一性。这使财产损失赔偿和精神损害赔偿两种在外在构造上差异较大的规则,因法官自由裁量权运用时所考量的因素的趋同而在实际运用效果上可能导致相近甚至相同的结果。
第三,个人数据权益侵害场合精神损害赔偿规范与财产损失赔偿规范同时承认法官在个案审理中享有自由裁量权,并且法官在自由裁量权的运用过程中应综合考虑的案涉因素具有高度的相似性,这为个人数据权益侵害场合精神损害赔偿规范与财产损失赔偿规范的互动提供了解释空间。而这种不同性质的赔偿规范之间的互动,为大数据时代个人数据的充分保护和有效利用二者之间的平衡提供了可能。这种平衡主要表现为两方面:一是个人数据权益侵害场合的财产损失,依据《个人信息保护法》第69条第2款或《民法典》第1182条,如果是可以证明的,不论被证明的是受害人实际遭受的财产损失还是侵权人因侵害行为所获得的利益,法官都不得在个案中通过自由裁量权的运用综合案涉考量因素认定相应的财产损失赔偿责任,由此以确保立法者通过明确的法律规则所欲实现的立法目的能够经由该规定而获得实现,此时,对于个人数据的充分保护与有效利用二者之间关系的平衡,可以经由精神损害赔偿规则适用中法官享有的自由裁量权来实现;二是个人数据权益侵害场合的财产损失难以证明,这里的难以证明既包括受害人实际遭受的财产损失,也包括侵权人因侵害行为所获得的利益,此时,受害人依据《个人信息保护法》第69条第2款或《民法典》第1165条第1款结合第1182条主张的财产损失赔偿请求权,与其依据《民法典》第1183条第1款主张的精神损害赔偿请求权,皆受法官在个案中综合考量案涉诸因素认定相应赔偿责任的自由裁量权的影响,法官于此情形下可以将个人数据的保护与利用二者的平衡作为认定相应损害赔偿责任的考量因素。
整体来看,个人数据权益和个人信息权益一体两面而在损害赔偿规范体系构造上具有一致性。其中,考虑到个人信息权益侵害场合不论财产损失还是精神损害都难以证明,因此现行法中的个人信息权益侵害损害赔偿规范体系在具体构造上更强调法官在个案中综合考量具体案涉因素认定损害赔偿责任,而这也导致个人数据权益侵害场合的损害赔偿规范在具体构造上也具有同样特质。由于数字时代的个人信息与个人数据适用于不同的场景,而不同的场景对个人信息与个人数据的保护与利用又各有侧重,此种不同场景下的侧重恰又构成个人信息权益与个人数据权益侵害损害赔偿责任认定中法官自由裁量权运用时所要综合考量的重要因素,这就直接导致了即使是规范表现形式与基本构造完全一致的个人信息权益侵害损害赔偿规范与个人数据权益侵害损害赔偿规范,在具体适用中也可能呈现出不同的图景。
三、个人数据权益侵害精神损害赔偿的规范基础及评价方法
个人数据权益侵害场合的精神损害赔偿规范分两部分:一是《个人信息保护法》第69条第1款关于个人信息处理者过错的证明,特别法对此作了特别规定,自应依该特别规定涵摄相应的处理行为中的过错证明;二是损害赔偿的一般规定,即《民法典》第1165条第1款结合第1183条第1款。当然,由于个人数据权益是非物质性人格权,因此对之侵害的民事责任认定,尚应结合作为辅助规范的《民法典》第998条展开。另外,虽然个人数据权益侵害场合的精神损害赔偿规范在外在体系构造上与个人信息权益侵害场合的精神损害赔偿规范一致,但由于个人信息权益与个人数据权益在实践中分别适用于不同的场景而有所侧重,这种不同场景下的侧重多构成法官在认定精神损害赔偿时重点考虑的因素,由此导致外在体系构造相同的赔偿规范因法官在个案中具体考量因素的侧重不同而呈现出不同的适用效果。
如前所述,个人数据权益与个人信息权益一样同属人格权范畴,并且有别于生命权、身体权、健康权而属于非物质性人格权。依据《民法典》第998条,对于非物质性人格权侵害民事责任的认定,法官应在个案审理中综合考虑行为人和受害人的职业、影响范围、过错程度及行为的目的、方式、后果等因素。据此,个人数据权益侵害场合的精神损害赔偿,除应满足《民法典》第1165条第1款结合第1183条第1款确定的侵权责任成立构成要件,还应当考量《民法典》第998条规定的诸考量因素,并在赔偿数额认定时考量《精神损害赔偿解释》第5条规定的因素。
对于《民法典》第1165条第1款结合第1183条第1款确定的构成要件与《民法典》第998条规定的利益权衡方法在具体的非物质性人格权侵害民事责任认定中的作用空间及方式,我国侵权法学理与司法实务上存在不同观点。其中,构成要件论认为,《民法典》第1165条第1款等确立的构成要件式的法律效果评价方法是人格权侵害民事责任认定的主要规范,《民法典》第998条及《精神损害赔偿解释》第5条等规定的考量因素亦需在该构成要件框架内发挥规范作用;动态体系论认为,《民法典》第998条放弃了构成要件论的全有全无的僵化的法律效果评价方法,改采动态体系论的评价方法,在对个案的侵害行为展开具体法律效果评价时,当某个或某几个因素以其特殊强度作用于某特定法律效果评价时,即可依此认定该法律效果,而不必在各构成要件皆满足时才认定这一效果,以此增强法律规则应对丰富多变之社会生活的灵活度,使制定法可以跟得上飞速变化的社会现实。对此,以现行法秩序外在体系之构成部分协调一致而无矛盾冲突为目的,一方面应当承认,《民法典》第1165条第1款等确立的构成要件式的法律效果评价方法在人格权侵害民事责任认定中的基础地位,即存在内涵外延清晰的民事权利或有保护性法律规定而能够清晰界定事实构成时,那么就应当依据构成要件评价相应侵害行为的法律效果,以使法律规则的适用具有确定性和可预见性,增强相应法律效果评价过程和结果的说服力。另一方面还应当承认,部分人格权益要么内涵外延不清晰而缺乏明确的事实构成,要么是需要经常容忍他人对其施加的不利影响,若此时该人格权益还缺乏关于其的保护性法律规定,那么构成要件论的法律效果评价方法事实上即难以发挥作用,于此情形下亦应承认法官在个案中通过综合考量案涉因素进行利益衡量以认定相应侵害行为的法律效果,填补构成要件这一评价方法过于僵化所导致的漏洞的权力。并且,于此法官综合考量案涉因素进行的利益衡量并非是在考量因素类型法定、价值排序和预先赋值等动态体系论的评价框架里展开,而是依据一般社会观念进行判断,因此这亦非动态体系论的评价方法。亦即,非物质性人格权侵害民事责任的认定首先应考虑以《民法典》第1165条第1款等为核心确立的构成要件来展开,当这些非物质性人格权因自身内涵外延不清或缺乏保护性法律规定时,此时因缺乏清晰的事实构成而难以在构成要件框架内展开相应侵害行为的法律效果评价,则可以以《民法典》第998条确立的法官个案中通过综合考量案涉因素进行利益权衡的方法作为构成要件的补充展开相应的法律效果评价,以在人格权益保护与行为自由、社会公共利益维护之间寻求平衡。
具体到个人数据权益侵害场合的精神损害赔偿,首先应当在《民法典》第1165条第1款结合第1183条第1款确立的构成要件框架内认定侵权责任的成立与承担。对此,从侵权责任构成要件三阶层判断的角度看,判断个人数据权益侵害的损害赔偿责任成立与否,应从事实构成、违法性和过错三阶依次展开,其中,事实构成包括权益侵害、行为、权益侵害与行为二者之间的因果关系。该阶将重点置于侵害和行为之上,前者关注被侵害的权益是否属于绝对权且内涵外延相对清晰,后者关注侵害行为是否违反了法律的保护性规定。一般只要内涵外延清晰的绝对权因侵害行为而被侵害,即使该行为未被保护性法律明确规定,或者只要侵害行为违反了保护性法律规定,即使该行为并未侵害内涵外延清晰的绝对权,此时的事实构成都被认为得到了满足,可以进入下一阶的判断。对于个人数据权益而言,虽然其与个人信息权益一样具有绝对权属性,但其内涵外延并不像《民法典》第990条第1款明确列举的具体人格权如姓名权、肖像权那样清晰明确,需要在个案中具体认定其边界,并且该权益还需经常容忍他人对其产生的不利影响如合理利用,因此,通常难以从权益侵害的角度来清晰界定事实构成,此时需要重点观察侵害行为是否违反了法律的保护性规定。现行法秩序中关于个人数据的保护性规定主要见于《中华人民共和国刑法》(以下简称《刑法》)、《个人信息保护法》等,例如,《刑法》第253条之一规定的违反国家有关规定,向他人出售或者提供公民个人信息;违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人;窃取或以其他方法非法获取公民个人信息等,再如《个人信息保护法》第二章规定的“个人信息处理规则”以及第五章规定的“个人信息处理者的义务”中涉及个人信息权人保护的强制性规定等。若这些保护性规定被违反,则事实构成亦可通过这些保护性规定被违反而获得满足。亦即,在个人数据权益侵害场合,精神损害赔偿责任成立的第一阶即事实构成的判断主要是通过保护性法律规定的违反来认定,具体是在行为规制模式中展开判断。
当满足第一阶即事实构成的要求后,即进入第二阶的违法性的判断,违法性涉及法律对个人数据权益侵害行为是否被否定评价的认定。在构成要件的评价体系中,清晰的事实构成可以暂时性推定侵害行为具有不法性,这种不法性要么是因为内涵外延清晰的绝对权被侵犯了,要么是保护性法律规定被违反了,前者又称结果不法,后者又称行为不法。个人数据权益侵害场合通常不涉及结果不法,主要是通过观察是否有保护性法律规定被违反而暂时推定行为人的行为是否具有不法性。由于于此的不法性是暂时推定的,行为人可以通过证明自己具有合法的抗辩事由以阻却不法,如数据处理者证明自己虽违反《个人信息保护法》第13条第1款第1项规定而未取得自然人同意,但其证明具有该法第13条第1款第2项至第6项规定的不需要自然人同意的情形,即可产生违法阻却效果,将之前的推定推翻,从而使相应侵害行为因不能满足违法性的要求而被认为不构成侵权。相反,如果行为人不能举证推翻于此的不法性推定,则其行为会被评价为满足不法性的要求,从而经过第二阶的判断并进入最后一阶即过错的认定。
第三阶的过错是将被法律否定评价的不法行为导致的责任与特定主体联系起来并归责于后者。通常情形下,内涵外延清晰的事实构成和未被推翻的行为不法性可以共同作用于过错的推定,于此场合相应的行为人需证明自己没有过错而使其不会被归责。在个人数据权益侵害精神损害赔偿责任成立的过错认定问题上,由于《个人信息保护法》第69条第1款已经考虑到了个人与处理者之间的实际不平等地位而明确规定了过错推定,处理者亦需要证明其没有过错才能免予承担责任。这与前述过错推定在效果上并无不同。当然,对于不在《个人信息保护法》调整范围的其他个人数据侵害行为,尚需依据《民法典》第1165条第1款或《国家赔偿法》等由受害人证明行为人的过错。若行为人的过错能被证明或者被推定的过错不能被推翻,则第三阶的过错要件即被满足。
根据构成要件论的法律效果评价方法,当前述三阶的构成要件皆被满足,则可以得出侵权责任成立的结论。据此即可进入侵权责任承担的认定,在责任承担问题上主要考虑损害、保护范围和因果关系。其中,损害是一个不确定的法律概念,必须可归因于侵害行为;保护范围以损害为基础,只有那些属于针对侵害的规范的保护范围内的损害才会获得赔偿;因果关系的判断以相当性为标准,只有具有相当因果关系的损害才可以获得赔偿,反之,异常的、在正常视角下不可预期的因果关系下的损害则不具有可赔性。对个人数据权益侵害导致的精神损害而言,其属于现行法中的规范损害范围,并且个人数据权益侵害场合受害人遭受的精神损害亦具有相当性,但由于《民法典》第1183条第1款要求精神损害只有在具有严重性时,才具有可赔性,亦即现行侵权损害赔偿法关于精神损害的保护范围限于严重精神损害,在此之外的不能通过金钱赔偿的责任承担方式来救济。由于“严重”概念具有不确定性,关于严重的认定,需要法官在个案中结合《民法典》第998条以及《精神损害赔偿解释》第5条规定的考量因素认定,因此,即使在构成要件论可得发挥作用的领域内,其亦主要是在责任成立问题上展开法律效果评价。在个人数据权益侵害精神损害赔偿责任的承担问题上,由于《民法典》第1183条第1款关于保护范围的规定具有不确定性,使得于此情形下的责任承担的认定难以完全通过构成要件来完成法律效果评价,于此亦需结合利益权衡方法共同展开法效果的认定。
对那些不能通过保护性法律规定预先概括其事实构成的个人数据权益侵害行为而言,由于侵权责任法亦不能通过内涵外延清晰的权利本身认定构成要件所需的事实构成,此时阶层分离式的构成要件论即不能发挥法律效果评价作用。为给予受害人以充分保护,立法者于此不再坚守僵化的构成要件论而承认利益权衡论的漏洞填补功能。亦即,于此情形下法官可依《民法典》第998条对侵害行为进行整体考量并进行利益权衡,而后者可能导致违法性的积极认定。这也意味着,与构成要件论中的第一阶的清晰的事实构成会征引第二阶的违法性并暂时性地推定侵害行为具有违法性不同,在利益权衡方法的运用中,由于并不存在一个清晰的事实构成,这种不清晰的事实构成不会征引违法性并暂时性地推定违法性成立并将证明的责任分配给行为人,亦即,事实构成符合性并不导致违法性证明责任的倒置。具体到个人数据权益侵害精神损害赔偿责任的认定问题上,可以将责任成立与承担问题统一置于利益权衡法律效果评价方法的分析框架内,亦即以《民法典》第1165条第1款、第1183条第1款为基础,由法官在个案中结合《民法典》第998条、《精神损害赔偿解释》第5条规定的考量因素并充分考虑个人数据权益的特性,对侵害个人数据权益的行为展开评价以认定其侵权责任。
由于利益权衡方法的运用需要法官个案中享有较大的自由裁量权,而对后者不加控制会导致司法的恣意并危及法的安定性,因此,需要将法官个案中进行利益权衡以认定相应侵害行为之法律后果的自由裁量权置于可控的分析框架内,使相应的利益权衡过程能够清晰可见而去其神秘化,并因此具有可反驳性且可能经受得住反驳,最终助益于相应的评价结论的说服力和可接受性。对此,学理与实务上引入了比例原则的四阶分析法,以表明法官个案中的利益权衡并非完全不受控制的恣意。亦即,通过比例原则展开的利益权衡并非一种无法被理性理解的过程,相反,至少在某种程度上,其仍需遵守若干明确的原则与步骤,就此而言,它也是可以进行事后审查的。事实上,考虑到个人数据权益侵害行为多由数据处理者或者使用者所实施,法律对其进行调整普遍涉及因个人数据在流通领域的充分利用而存在可否牺牲个人对数据享有的合法权益以及具体的判断标准为何的问题,于此情形下的利益衡量与公法领域内可否为公共利益而牺牲私人合法利益的利益衡量一样,皆需将强调事实评价以导出价值评价的利益衡量以清晰的方式呈现出来,这为将适用于公法领域的比例原则阶层分析法扩展应用至个人数据权益侵害场合提供了事实基础。
通过比例原则的阶层分析法认定个人数据权益侵害的精神损害赔偿责任意味着,于此场合的是否赔偿以及赔偿多少的认定,应依次考虑行为人处理个人数据的目的是否正当、相应的手段是否有助于实现该目的、在具体的手段运用中是否遵循了对个人数据权益的最小限制原则、相应手段的运用所取得的成效是否大于因此的付出。相应地,《民法典》第998条规定的诸考量因素如行为人和受害人的职业、影响范围、过错程度及行为的目的、方式、后果等,可以分别嵌入前述四阶的判断之中,作用于相应各阶判断标准是否可以满足的认定。由于比例原则的阶层分析法强调每阶的不可或缺性,因此,当个人数据权益侵害行为难以通过前述任何一阶的评价时,皆毋需再进入该阶的下一阶展开评价。通常而言,通过前述各阶评价的个人数据侵害行为尽管事实上侵害了自然人的个人数据权益,但因为于此的侵害行为符合比例原则的积极法律效果评价要求,所以其法律效果评价结果是不构成侵权,行为人毋需为其侵害行为承担侵权责任。相反,没有通过前述各阶评价的侵害行为构成侵权,具体的赔偿数额亦在该利益衡量过程中一体认定,其间应结合《精神损害赔偿解释》第5条规定的考量因素如行为人的过错程度、侵权行为的具体情节、侵权行为所造成的后果、侵权人的获利情况、侵权人承担责任的经济能力甚至受理诉讼法院所在地的平均生活水平等进行评估。
虽然个人信息权益与个人数据权益一体两面而在侵权损害赔偿责任认定时皆存在利益权衡以及比例原则的运用空间,并在相应的考量因素上具有相近甚至一致性,但前者强调个人信息的保护与合理利用,主要调整个人与个人信息处理者之间的关系,而后者强调个人数据的保护与流通,主要调整个人与数据流通中的各方主体的关系。因此,个人数据权益侵害责任认定场合的利益权衡通常情形下亦应考虑这种侧重的变化,而这种侧重的变化可能构成影响特定法律效果评价结果的重要因素,并使个人数据权益侵害损害赔偿责任的认定区别于个人信息权益侵害的赔偿责任认定。对此,反映在比例原则四阶分析方法中的首先是第一阶关于侵害行为的目的是否正当的判断。在个人数据权益侵害问题上,数据处理者纯粹为商业目的处理个人数据,并非当然缺乏正当性,因为个人数据权益强调数据的流通,不能流通甚至流通性被严格限制的数据本身是没有价值或者价值极低的。这区别于个人信息权益,信息处理者非为个人信息权人之权益或社会公共利益而是为其自身之私益处理个人信息,除非其取得个人信息权人的同意,否则其为自身之私益而处理个人信息的目的显然并不具有正当性。其次是在第三阶即具体手段的运用是否遵循了对受侵害之权益的最小限制的判断上,相较于个人信息权益,个人数据权益关于最小限制的范围更窄。由于个人数据权益更强调数据的流通,因此可以在其内部对哪些数据可以流通而哪些不宜流通作相对清晰的区分,并以此来确定相应的流通与保护规则。对此,如《数据要素X计划》即明确强调,应在保护个人隐私的前提下利用个人信息,这一方面显示出了数据市场对自然人隐私的重视,另一方面也反映了自然人隐私之外的其他个人数据皆不受特别保护,在满足最小限制的基本要求的前提下可以处理,以满足数据流通的要求。
总结来看,个人数据权益侵害场合的精神损害赔偿,只有在预先概括规定了侵害行为的事实构成的保护性法律规范领域内,相应的责任成立才可以在构成要件的框架内认定,至于责任承担及那些未被保护性法律涵摄的侵害行为的法律效果评价,只能由法官在个案中结合案涉诸因素进行利益衡量来认定。在法官个案中运用自由裁量权进行利益衡量以认定特定个人数据权益侵害行为的法律效果时,可以通过引入比例原则的清晰阶层分析法而将法官进行利益衡量的过程清晰地呈现出来,以使之具有可反驳性且可能因此经受得住反驳,从而增强相应法律效果评价的说服力。
