根據(jù)全國金融標(biāo)準(zhǔn)化技術(shù)委員會審查通過的金融行業(yè)標(biāo)準(zhǔn)����,個人金融信息是金融業(yè)機構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取��、加工和保存的個人信息�。具體包括賬戶信息�、鑒別信息���、金融交易信息�、個人身份信息、財產(chǎn)信息���、借貸信息和其他反映特定個人金融信息主體某些情況的信息(中華人民共和國金融行業(yè)標(biāo)準(zhǔn)《個人金融信息保護技術(shù)規(guī)范》(JR/T 0171-2020)第3.2條�、第4.1條)��。個人金融信息是個人信息在金融場景下的具象和細化,既具有個人信息的共性特征����,也有基于金融場景而生的特質(zhì)��。其中最為明顯的特質(zhì)就是��,個人金融信息與金融乃至金錢密切關(guān)聯(lián),而金錢又是人民所擁有的財產(chǎn)的重要形式����。職是之故����,侵害個人金融信息,如果產(chǎn)生損失則首先可能與人民的金錢財產(chǎn)相關(guān)��。典型者如����,申某與攜程���、支付寶侵權(quán)責(zé)任糾紛案中���,申某銀行賬戶信息被竊取而發(fā)生的賬戶財產(chǎn)被轉(zhuǎn)移的財產(chǎn)性損害。[1]于是����,對于侵害個人金融信息權(quán)益所生損失的研究���,也會較多關(guān)注其財產(chǎn)性損害(物質(zhì)性損害)。然而�����,侵害個人金融信息在很多情況下并不僅僅產(chǎn)生物質(zhì)性損害�����。在個人金融信息泄露或其他侵害個人金融信息權(quán)益的場合�,信息主體因其個人金融信息被侵害而產(chǎn)生的焦慮���、驚嚇以及其他嚴(yán)重精神壓力���,盡管沒有顯性的物質(zhì)損害,但也是一種實質(zhì)性的損害����,須給予足夠重視�。需要關(guān)注的問題至少有:對個人金融信息權(quán)益的侵害有哪些特質(zhì)���?侵害個人金融信息的非物質(zhì)損害的樣態(tài)是什么��?非物質(zhì)損害與賠償之間是否存在需要跨越的鴻溝?如果存在����,如何跨越這一鴻溝����?以及侵害個人金融信息權(quán)益非物質(zhì)損害賠償?shù)姆秶鹊?���。以下將對上述問題逐一進行分析。
一��、個人金融信息權(quán)益侵害的特殊性
民法典第一百一十一條雖然明確規(guī)定自然人的個人信息受法律保護,但并未將個人信息作為一項民事權(quán)利予以規(guī)定���。不過,從體系解釋的角度分析���,民法典在第一百一十條(各種具體人格權(quán))和第一百一十二條(因婚姻�、家庭關(guān)系等產(chǎn)生的人身權(quán)利)之間�,規(guī)定對個人信息的法律保護�,顯然是將其作為一種民事權(quán)益進行保護的���。[2]相應(yīng)地���,個人金融信息也作為一種民事權(quán)益而受到法律保護。然而�����,個人金融信息權(quán)益的保護卻有不同于一般個人信息保護的特殊性,這種特殊性首先就在于個人金融信息權(quán)益侵害的特殊性�����。
(一)極易產(chǎn)生重復(fù)性的侵害
在大數(shù)據(jù)背景下,信息化技術(shù)對金融的加持,深刻地重塑了金融的面相����。線上化����、遠程化�、場景化�、便捷化�����,成為現(xiàn)代金融的典型圖景��。而上述“四化”的實現(xiàn),無一不以個人金融信息的讓渡作為代價���。在此過程中,信息主體對個人金融信息處理的“一次同意”����,在根本來不及詳加審視的隱私政策之下,直接演化為“重復(fù)使用”���。這種情況在金融的幾乎所有場景中都廣泛存在���。比如�,投資者在發(fā)行階段的賬戶���、身份信息等個人信息����,在證券交易中也會被證券公司��、證券登記結(jié)算機構(gòu)、證券交易所�����、交易結(jié)算資金賬戶銀行等信息處理者多次處理�����。再如,在支付領(lǐng)域���,以銀行卡網(wǎng)絡(luò)支付為底層工具的快捷支付,往往也是經(jīng)過初始認(rèn)證即可反復(fù)使用�。[3]在大多數(shù)情況下��,這種反復(fù)使用表面上經(jīng)過了個人信息保護法第十三條要求的“同意”��。但在很多情況下卻并未實際符合個人信息保護法第十四條第一款所要求的“基于個人同意處理個人信息的,該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿�����、明確作出”。因為個人的所謂“同意”�,大多不是在充分知情前提下自愿、明確作出的����。即使是在充分知情前提下自愿�、明確作出�,作為金融機構(gòu)的信息處理者也會基于鎖定客戶��、精準(zhǔn)營銷���、統(tǒng)一集團內(nèi)部風(fēng)險管理等目的��,對該條第二款“個人信息的處理目的���、處理方式和處理的個人信息種類發(fā)生變更的�����,應(yīng)當(dāng)重新取得個人同意”的要求予以變通��。于是,在很多處理個人金融信息的場景中����,產(chǎn)生了違反知情同意規(guī)則的重復(fù)性侵害。
(二)侵害所導(dǎo)致的財產(chǎn)性損害更為嚴(yán)重
個人金融信息與信息主體的可支配財產(chǎn)中的儲蓄資產(chǎn)��、證券資產(chǎn)、保險資產(chǎn)等金融資產(chǎn)密切關(guān)聯(lián)。銀行卡密碼��、網(wǎng)絡(luò)支付交易密碼等鑒別性的個人金融信息一旦泄露而被惡意利用,將可能直接導(dǎo)致銀行存款被轉(zhuǎn)移�。證券賬戶信息的泄露����,將可能導(dǎo)致信息主體的證券被不法分子操縱買賣。而當(dāng)證券賬戶信息���、證券交易結(jié)算資金賬戶信息以及客戶交易結(jié)算資金第三方存管信息共同被泄露時,則信息主體的證券資產(chǎn)可能直接被變現(xiàn)和轉(zhuǎn)移�。保險賬戶信息和銀行賬戶信息疊加泄露時,可能產(chǎn)生不法分子冒領(lǐng)信息主體名下保單的累積紅利��,直接造成信息主體的財產(chǎn)損失。更有甚者�,不法分子利用其竊取的信息主體金融信息�,以信息主體的保單違法辦理保單質(zhì)押貸款�,[4]給信息主體造成巨大的財產(chǎn)損害風(fēng)險�����。上述侵犯個人金融信息權(quán)益的損失都是顯性和實質(zhì)的財產(chǎn)損失��。有研究成果表明,個人信息中的財務(wù)信息最可能被侵害�����,[5]因為這類信息一旦被獲取��,將可能為不法分子帶來巨大的非法財產(chǎn)收益����。相應(yīng)地����,信息主體個人則會遭受巨大的財產(chǎn)性損害����。因此���,與一般性的個人信息相比����,個人金融信息侵害所導(dǎo)致的財產(chǎn)性損害更為明顯����,更為劇烈,也更為嚴(yán)重��。
(三)侵害引發(fā)次生損害的可能性更大
個人金融信息的泄露���,是最常見的權(quán)益侵害行為��。與泄露相當(dāng)?shù)那趾π袨槿缥唇?jīng)信息主體同意的提供�����、共享����,以及更為嚴(yán)重的竊取等����,也是較為典型的個人金融信息權(quán)益侵害行為����。在存儲于計算機上的客戶記錄越來越多的情況下,[6]上述侵害行為更為消極的后果在于其次生損害���。最常見的次生損害就是個人金融信息被泄露或竊取之后,不法分子實施電信詐騙給信息主體造成的損害�。由于電信詐騙往往可以帶來巨大的非法財產(chǎn)利益����,這就催生了各種收集��、販賣個人金融信息的黑灰產(chǎn)業(yè)�����,從而使侵害個人金融信息引發(fā)次生損害的可能性進一步加大����。另外的次生損害是�,基于個人金融信息進行數(shù)據(jù)畫像后����,對信息主體實施的消費操縱或決策誘導(dǎo)等損害�。大數(shù)據(jù)時代背景下�,數(shù)據(jù)的價值堪比工業(yè)時代的“石油”�。在數(shù)據(jù)價值的利導(dǎo)下,并不是所有的網(wǎng)絡(luò)服務(wù)提供者都尊重個人金融信息����。不少信息處理者會存儲用戶的IP地址�,以及使用過的搜索詞�����。在客戶使用這些搜索引擎后會發(fā)現(xiàn)他在網(wǎng)頁和社交媒體網(wǎng)站上看到的廣告突然與他的搜索詞密切關(guān)聯(lián)�。信息處理者通過cookie追蹤用戶的瀏覽行為�,從而掌握客戶的個人偏好和所有的網(wǎng)絡(luò)行為習(xí)慣����。在此基礎(chǔ)上�,通過向客戶推送有針對性的、符合其非理性偏好但未必實質(zhì)有利的要約邀請���,悄無聲息地誘使客戶作出未必符合其實際利益的要約決定。這種決策誘導(dǎo)或消費操縱下��,信息主體的交易是不自由的����,其人格尊嚴(yán)和人格自由已經(jīng)被貶損����。
(四)大規(guī)模侵害可能導(dǎo)致系統(tǒng)性金融風(fēng)險
個人金融信息的共享可以為信息處理者帶來巨大的利益�����。同時���,這種數(shù)據(jù)共享商業(yè)模式對隱私的潛在危害也可能會造成巨大的福利損失。[7]這種巨大的福利損失�,有時可以上升到國家金融安全的高度�����。因為�����,目前迅速發(fā)展的數(shù)據(jù)共享經(jīng)濟,已經(jīng)從用戶之間的單純口頭交流發(fā)展到物理特征的共享(經(jīng)過信息主體同意的共享), [8]個人金融數(shù)據(jù)更是如此�����。在這一共享化的過程中����,信息處理者可以集成海量的個人金融信息。比如��,金融控股公司往往控股或?qū)嶋H控制兩個或兩個以上不同類型金融機構(gòu)����,可以包括銀行����、證券����、保險�、信托等金融機構(gòu)的全產(chǎn)業(yè)鏈,其內(nèi)部往往會有客戶個人金融信息的共享機制����。[9]一個囊括金融全產(chǎn)業(yè)鏈的大型金融控股公司�,可以歸集其旗下銀行��、證券��、保險以及信托等所有客戶的所有個人金融信息��,這是一個海量的個人金融信息集群。這些海量的個人金融信息一旦發(fā)生泄露或被黑客攻擊��,則特定的金融服務(wù)用戶群體畫像����、金融特定領(lǐng)域乃至全領(lǐng)域的產(chǎn)業(yè)畫像����、金融監(jiān)管風(fēng)格及結(jié)構(gòu)性畫像都會通過算法技術(shù)�,精準(zhǔn)地呈現(xiàn)到敵對勢力面前,為其針對我國金融體系薄弱環(huán)節(jié)的打擊和制裁����,[10]打開方便之門。這樣的風(fēng)險�,即使僅僅發(fā)生在一個金融控股集團���,也往往可能外溢為區(qū)域性乃至系統(tǒng)性的金融風(fēng)險。
二���、侵害個人金融信息權(quán)益非物質(zhì)損害的樣態(tài)
(一)個人金融信息權(quán)益侵害的特殊性對其非物質(zhì)損害的影響
非物質(zhì)損害是受害人遭受的除財產(chǎn)價值減損���、費用支出�����、經(jīng)濟收益降低之外的其他不利益,[11]也稱“無形損害”或“精神損害”�����。[12]上文分析的個人金融信息侵害的特點��,看似更多地與物質(zhì)性損害相關(guān)聯(lián),實則不然��。個人金融信息權(quán)益侵害的前3個特點,都會直接或間接給信息主體帶來除財產(chǎn)價值減損�、費用支出���、經(jīng)濟收益降低之外的其他不利益,增加非物質(zhì)損害的機率和強度���。
就第一個特點而言����,重復(fù)性侵害意味著其個人金融信息權(quán)益可能被多次反復(fù)侵害��,這會帶來信息主體的消極預(yù)期和消極情緒。重復(fù)性侵害越容易��,其后對信息主體產(chǎn)生的精神壓力將越大越持久���。
就第二個特點而言�,看似只是產(chǎn)生了明顯的物質(zhì)性損害����,但卻大概率會延伸到非物質(zhì)損害�。一方面���,個人金融信息權(quán)益與一些具體的人格權(quán)益存在交叉重疊。[13]比如,C3類個人金融信息具有高敏感度性�,其本身就屬于財產(chǎn)隱私�,從而屬于隱私權(quán)的客體范圍��。[14]此時,侵犯個人金融信息權(quán)益��,同時也侵犯了信息主體的隱私權(quán)����。而侵犯隱私權(quán)等人格權(quán)���,常常會產(chǎn)生非物質(zhì)損害�。另一方面�����,個人金融信息權(quán)益的侵害本身����,也可能產(chǎn)生不依賴于隱私權(quán)等其他人格權(quán)益的獨立的非物質(zhì)損害���。比如,證券客戶交易流水信息的滅失�,使得其無法在證券欺詐案件中證明自己的交易時間�,從而無法證明自己的投資損失與被訴欺詐行為存在因果關(guān)系����,導(dǎo)致信息主體對無法獲得欺詐賠償?shù)膹娏覔?dān)憂�����,引發(fā)焦慮�����、驚嚇、失眠等明顯的精神損害����。
就第三個特點而言,個人金融信息權(quán)益侵害引發(fā)次生損害是大概率事件����。如果引發(fā)了電信詐騙的次生損害�,基本都會對信息主體產(chǎn)生較大甚至巨大的精神打擊���,在曾經(jīng)廣受關(guān)注的徐某案中���,犯罪分子竊取徐某個人信息后騙取徐某上大學(xué)的學(xué)費,導(dǎo)致徐某傷心欲絕����,郁結(jié)于心��,最終導(dǎo)致心臟驟停而亡���。[15]如果引發(fā)了消費操縱或決策誘導(dǎo),在信息主體未覺察時�,一般不會有非物質(zhì)損害��。但是����,一旦信息主體發(fā)現(xiàn)自己被誘導(dǎo)或操縱�,就會產(chǎn)生被羞辱�����、憤怒、后悔等消極的精神變化���,從而產(chǎn)生非物質(zhì)損害���。以上3個特點實質(zhì)上表明,個人金融信息侵權(quán)更容易產(chǎn)生非物質(zhì)損害��。
第四個特點是眾多個人金融信息集合可能產(chǎn)生的負效應(yīng)��,其中每個信息主體的非物質(zhì)損害也都客觀存在��。不過,在大規(guī)模侵權(quán)情形下���,由于受害人眾多����,每個受害人傾向于認(rèn)為自己并不是唯一的不幸者�,這就可以適度消減其精神壓力����。因此��,個人金融信息的大規(guī)模侵權(quán)本身不會增加非物質(zhì)損害的機率和強度��。
(二)非物質(zhì)損害的樣態(tài)
1.積極的非物質(zhì)損害與消極的非物質(zhì)損害
所謂積極的非物質(zhì)損害,即信息主體從生理或心理上可以感知的精神痛苦���,[16]典型者如焦慮、擔(dān)憂���、驚嚇、絕望��、恥辱���、憤懣、不甘�、悲傷等��。從現(xiàn)實的情況看����,個人金融信息直接涉及信息主體的“錢袋子”�����,在信息被泄露�����、竊取后可能使信息主體的全部積蓄滅失,這就會對信息主體形成強大的精神壓力��,產(chǎn)生擔(dān)憂�、焦慮等可以感知的精神痛苦����。尤其是焦慮,美國的研究者甚至認(rèn)為法院應(yīng)將焦慮視為“數(shù)據(jù)泄露危害的關(guān)鍵維度”�。[17]在信息主體的信用信息被不當(dāng)泄露的場合����,尤其是對不佳的信用信息的泄露或擴散����,將直接導(dǎo)致信息主體的社會評價降低,引發(fā)信息主體擔(dān)憂�����、絕望��、恥辱等精神痛苦。更為嚴(yán)重者����,可能引發(fā)信息主體的自殺。[18]此外�����,全球范圍內(nèi)廣泛存在通過對老年人相關(guān)金融信息竊取后實施詐騙的“奶奶騙局”的犯罪活動����。[19]這會導(dǎo)致老年人信息主體在知曉其個人金融信息泄漏后產(chǎn)生相應(yīng)的精神壓力,考慮到老年人本身的承受能力�,這種精神壓力所導(dǎo)致的精神痛苦,在感知上可能更為劇烈�。
所謂消極的非物質(zhì)損害,即信息主體從生理上和心理上沒有感知的精神痛苦,典型者如心智喪失����,信息主體因侵權(quán)行為而成為無行為能力人的情況。[20]個人金融信息的侵權(quán)行為常常會危及信息主體個人的大額財產(chǎn)�,對于承受能力不強的信息主體而言,可能產(chǎn)生心智喪失的嚴(yán)重非物質(zhì)損害后果�����。
2.原生的非物質(zhì)損害與次生的非物質(zhì)損害
原生的非物質(zhì)損害是指�����,未經(jīng)信息主體同意而基于個人金融信息本身的處理或泄露所導(dǎo)致的非物質(zhì)損害��。原生的非物質(zhì)損害主要有3種情形:一是信息處理者未經(jīng)信息主體同意而處理其個人金融信息導(dǎo)致的非物質(zhì)損害�����。比如�����,未經(jīng)用戶明示同意���,APP擅自收集用戶在終端設(shè)備上輸入的銀行賬號密碼�����,導(dǎo)致用戶的緊張�、焦慮等(中華人民共和國金融行業(yè)標(biāo)準(zhǔn)《個人金融信息保護技術(shù)規(guī)范》(JR/T 0171-2020)第6.1.1條)����。二是信息處理者將信息主體個人金融信息泄露所導(dǎo)致的非物質(zhì)損害。如某證券公司因安全管理漏洞而導(dǎo)致在其公司注冊客戶的證券賬戶信息�����、持倉信息���、交易信息等被泄露所導(dǎo)致的信息主體的焦慮���、緊張等。三是純粹私域自然人未經(jīng)信息主體同意處理或泄露個人金融信息導(dǎo)致的非物質(zhì)損害��。比如��,好友不慎將信息主體的銀行賬號和密碼泄露����,導(dǎo)致信息主體焦慮不安���。我國個人信息保護法主要規(guī)范商業(yè)和公共領(lǐng)域的個人信息處理活動,[21]但對于純粹私人領(lǐng)域的個人信息處理也不能漠視�����,對私域個人信息處理所導(dǎo)致的信息主體的非物質(zhì)損害也需予以關(guān)注��。原生的非物質(zhì)損害強調(diào)損害基于個人信息的處理和泄露而生����,這意味著產(chǎn)生損害的時空進程中,主要是信息主體和信息處理者(或私域領(lǐng)域的自然人)在參與����,賠償權(quán)利主體和賠償義務(wù)主體的對應(yīng)關(guān)系更容易建立。
次生的非物質(zhì)損害是指��,以未經(jīng)信息主體同意而獲取的個人金融信息為工具另行積極實施故意侵權(quán)行為所導(dǎo)致的非物質(zhì)損害�����,因個人金融信息泄露而導(dǎo)致的金融詐騙是其典型��。[22]次生的非物質(zhì)損害主要有兩種情形:其一�,第三人直接從信息主體處非法獲取個人金融信息后實施故意侵權(quán)行為。比如�,犯罪分子直接竊取(原生的侵害)個人銀行賬號和登錄密碼����、交易密碼后轉(zhuǎn)賬(次生的侵害)而產(chǎn)生的信息主體的非物質(zhì)損害。其二����,信息處理者泄露信息主體個人金融信息后被第三人利用而實施故意侵權(quán)行為。比如��,證券公司因安全漏洞泄露(原生的侵害)客戶證券賬戶���、資金賬戶����、存管賬戶信息及鑒別信息后����,不法分子使用上述金融信息賣出受害人的股票套現(xiàn)并轉(zhuǎn)移(次生的侵害)至自己控制的賬戶,導(dǎo)致信息主體巨大財產(chǎn)損失的同時產(chǎn)生非物質(zhì)損害���。次生的非物質(zhì)損害強調(diào)個人金融信息只是實現(xiàn)第三人違法行為的工具�。[23]這意味著產(chǎn)生損害的時空進程中,除了信息主體和信息處理者(或私域領(lǐng)域的自然人)在參與���,另行積極實施侵權(quán)行為的第三人也介入其中�����,這就使得賠償權(quán)利主體和賠償義務(wù)主體的對應(yīng)關(guān)系較為復(fù)雜�����,很難建立完全一一對應(yīng)關(guān)系��。
(三)未來風(fēng)險是否屬于非物質(zhì)損害
大數(shù)據(jù)信息技術(shù)的日新月異�����,引發(fā)了個人信息收集�、利用�、整合的普遍化,從而深刻改變了社會的損害觀念���。近來的研究越來越認(rèn)同將未來損害或風(fēng)險增加作為一種新型的損害納入救濟范圍����,其中一種觀點就是����,將風(fēng)險損害作為非物質(zhì)損害進行救濟���。[24]
必須承認(rèn)�,在經(jīng)典的損害賠償法理上�,德國學(xué)者蒙森于1885年提出的“差額說”(損害乃被害人之總財產(chǎn)狀況,于有損害事故之發(fā)生與無損害事故下所生之差額)�,[25]一直被看作認(rèn)定是否存在損害的圭臬。并且����,這一學(xué)說早已超出大陸法系而波及英美法中關(guān)于損害的概念。[26]之所以能有如此大的影響��,一方面是因為該學(xué)說符合人們的日常認(rèn)知和邏輯認(rèn)知�;另一方面也因為該學(xué)說在注入實定法肌體時已經(jīng)被調(diào)適和改良,加入了非財產(chǎn)損害的情形����,因而具有極強的延展性��。在此情況下����,要對關(guān)于損害的“差額說”進行徹底改革��,需要非常充分的法理支撐����。或許正是因為這一原因��,美國聯(lián)邦法院系統(tǒng)對于因個人信息泄露導(dǎo)致的未來損害風(fēng)險增加的情形是否屬于“損害”����,才會有互不一致的裁判。[27]
現(xiàn)實情況是��,在許多涉及數(shù)據(jù)泄露的案件中����,原告無法證明黑客已經(jīng)濫用了他們的數(shù)據(jù),這往往使原告只能聲稱未來身份盜竊的危害風(fēng)險增加�。[28]在Clapper v. Amnesty International USA案中,法院認(rèn)為����,原告的“未來損害理論”推測的成分過高���,無法滿足威脅傷害必須“確定地迫在眉睫”的要求。[29]這也意味著����,只要原告可以證明未來損害是“確定地迫在眉睫”的�����,則可以基于未來風(fēng)險增加的情況而提出損害賠償請求��。不過�,整體而言,美國的理論與實務(wù)中關(guān)于是否可以基于身份盜竊風(fēng)險增加的情況而確立原告的訴訟地位的問題����,仍然是有分歧的,[30]上述美國聯(lián)邦法院系統(tǒng)裁判不一致的情況已經(jīng)為此作了很好的注腳��。從解決問題的角度分析����,美國法院在最近的TransUnion LLC v. Ramirez案中提出來的3點意見必須予以正視:(1)未來損害的風(fēng)險不太可能是尋求損害賠償?shù)摹熬唧w”風(fēng)險����;(2)斯波克的“親密關(guān)系”的具體性檢驗不利于正在發(fā)展著的數(shù)據(jù)泄露事件的現(xiàn)代觀念�;(3)在原告沒有受到具體傷害的情況下,法院將不承認(rèn)其具有國會授予的訴訟權(quán)����。[31]因此,美國的研究者認(rèn)為����,要將未來風(fēng)險增加納入損害,至少需要以下3方面努力:首先��,數(shù)據(jù)泄露的風(fēng)險比TransUnion聲稱的風(fēng)險更大��。其次�,數(shù)據(jù)泄露情況下需要證明原告往往會遭受獨立的傷害,即情緒困擾和緩解成本���。第三����,數(shù)據(jù)泄露受害者所經(jīng)歷的傷害,與隱私信息受到侵犯的普通法傷害密切相關(guān)����。[32]
鑒于上述討論,筆者認(rèn)為�����,未經(jīng)同意的個人金融信息的處理或泄露本身可以引發(fā)非物質(zhì)損害���。但泄露之后引發(fā)的未來風(fēng)險增加��,比如次生損害的風(fēng)險增加能否也作為損害,進而作為非物質(zhì)損害予以救濟�,可以從兩個方面予以考慮:
其一,如果起訴時該未來風(fēng)險已然現(xiàn)實化為次生侵害����,次生侵害可能會產(chǎn)生物質(zhì)損害或非物質(zhì)損害,此種情況交由次生損害中的法律關(guān)系解決即可��,不再需要考慮風(fēng)險損害的問題�����。
其二,如果起訴時該未來風(fēng)險尚未現(xiàn)實化�����,則信息處理或泄露侵害本身可以交由原生損害中的法律關(guān)系解決��。此時�,為避免因信息處理或泄露而遭受以該信息為侵權(quán)工具的次生損害(如電信詐騙),信息主體所支出的掛失或更換銀行卡��、購買金融信息保護和信用監(jiān)控服務(wù)的費用�����,[33]屬于原生損害中的物質(zhì)損害�;導(dǎo)致的焦慮等精神痛苦屬于原生損害中的非物質(zhì)損害,原則上均應(yīng)予以賠償��。在此過程中����,所謂“未來風(fēng)險損害”,其實通過“預(yù)防費用賠償+非物質(zhì)損害賠償”已經(jīng)得到填補���。[34]因此����,僅僅是“未來風(fēng)險增加”這個單一元素,尚不足以確立為獨立的��、新型的損害�����,亦不宜認(rèn)定為獨立的非物質(zhì)損害��。
三����、個人金融信息侵權(quán)非物質(zhì)損害的賠償路徑
(一)可得賠償?shù)姆俏镔|(zhì)損害樣態(tài)
1.積極和消極非物質(zhì)損害的可賠償性分析
就積極的非物質(zhì)損害與消極的非物質(zhì)損害而言,積極的非物質(zhì)損害具有明顯的對精神和情緒的消極影響���,且信息主體在主觀上充分感受到了這種消極影響,產(chǎn)生了明顯的精神痛苦����,應(yīng)當(dāng)予以賠償。因此��,積極的非物質(zhì)損害是可得賠償?shù)姆俏镔|(zhì)損害樣態(tài)�。
消極的非物質(zhì)損害的難點在于,信息主體本身對于傳統(tǒng)非物質(zhì)損害理論所強調(diào)的精神痛苦毫無感知,因而對于消極的非物質(zhì)損害似乎可以不賠����。然而,讓一個健全的人成為植物人����,使其失去感知快樂、愉悅的能力����,徹底失去了人身幸福,本身就是對受害人精神和主觀層面的沉重打擊����。一個精神健全的人受到個人金融信息侵權(quán)產(chǎn)生精神痛苦可能得到賠償;舉輕以明重�����,一個精神健全的人受到個人金融信息侵權(quán)產(chǎn)生心智喪失��,是更為嚴(yán)重的精神傷害�,更應(yīng)得到賠償。我國司法實踐中也秉持了這一認(rèn)識�����。[35]因此,消極的非物質(zhì)損害也是可得賠償?shù)膿p害樣態(tài)����。
2.原生和次生非物質(zhì)損害的可賠償性分析
原生的非物質(zhì)損害是違反知情同意原則而基于個人金融信息本身的處理或泄露所導(dǎo)致的非物質(zhì)損害。個人金融信息本身關(guān)涉信息主體的財務(wù)安全���,被擅自處理或泄露后危及信息主體財務(wù)安全的概率較高��,較易引發(fā)精神上的焦慮��。但是�����,這一點也與個人金融信息的敏感程度密切相關(guān)���。如果信息處理者擅自處理或泄露的是敏感程度不高的C 1類個人金融信息�,如證券賬戶的開立時間、開戶證券公司等信息����,則即使信息主體因其主觀情勢而產(chǎn)生非物質(zhì)損害��,[36]但這種非物質(zhì)損害是因個體的脆弱承受力而產(chǎn)生的��,并不具有社會典型性�����,一般不應(yīng)予以賠償����。但如果信息處理者擅自處理或泄露的是敏感程度較高的C 3類和C 2類個人金融信息(個人金融信息按照敏感程度從高到低可以分為C3����、C2、C1三個類別�,具體可參見參見中華人民共和國金融行業(yè)標(biāo)準(zhǔn)《個人金融信息保護技術(shù)規(guī)范》(JR/T 0171-2020)第4.2條),如銀行賬戶的登錄密碼�、交易密碼和查詢密碼等,則會一般性地對信息主體產(chǎn)生精神壓力�,從而產(chǎn)生非物質(zhì)損害,并且具有社會典型性��,應(yīng)予賠償���。
次生的非物質(zhì)損害中���,因第三人已經(jīng)以獲取的個人金融信息為工具另行積極實施侵權(quán)行為�,造成了信息主體的財產(chǎn)損害�,同時使得信息主體產(chǎn)生了基于財務(wù)惡化而引發(fā)的焦慮、擔(dān)憂���、悲傷等精神痛苦���,并且這種精神痛苦的發(fā)生不是小概率事件,而具有社會典型性��。因此����,一般性的次生的非物質(zhì)損害,是可得賠償?shù)膿p害樣態(tài)����。
(二)不同賠償義務(wù)主體的賠償要件
個人金融信息權(quán)益的侵權(quán)主體不外乎3類:個人信息處理者、個人信息處理者之外的在純粹私人領(lǐng)域處理他人個人金融信息的行為人����、次生侵害中以個人金融信息為工具的侵權(quán)行為人。3類侵權(quán)主體對受害人的非物質(zhì)損害賠償要件在我國實定法上有不同的規(guī)定��,因而也引發(fā)不少爭議����。
個人信息處理者作為賠償義務(wù)主體時應(yīng)當(dāng)適用個人信息保護法的規(guī)定。對個人信息保護法第六十九條第一款“處理個人信息侵害個人信息權(quán)益造成損害”中的“損害”���,是否包括非物質(zhì)損害��,有不同的意見�。一種意見認(rèn)為���,該條沒有規(guī)定侵犯個人信息權(quán)益的非物質(zhì)損害賠償����;[37]另一種意見則認(rèn)為����,該條規(guī)定的損害既包括物質(zhì)損害�����,也包括非物質(zhì)損害��。[38]一般意義上理解���,“損害”是“物質(zhì)損害”和“非物質(zhì)損害”的上位概念���。從文義解釋的角度分析���,在法律條文沒有將“損害”限定為“物質(zhì)損害”或“非物質(zhì)損害”的情況下�����,應(yīng)當(dāng)認(rèn)定這里的“損害”既包括“物質(zhì)損害”��,也包括“非物質(zhì)損害”。否則����,無法建立法律概念的一致性。職是之故�,應(yīng)當(dāng)認(rèn)為個人信息保護法第六十九條中的損害��,當(dāng)然包括非物質(zhì)損害。以此為前提�,則個人信息處理者侵害信息主體個人金融信息權(quán)益的�����,其非物質(zhì)損害的賠償要件應(yīng)該按照個人信息保護法確定��。具體而言����,根據(jù)個人信息保護法第六十九條第一款����,信息處理者侵害個人金融信息的非物質(zhì)損害賠償?shù)幕疽牵涸斐蓳p害���,不能證明自己沒有過錯。此外��,當(dāng)然還需要具備侵權(quán)損害賠償?shù)钠渌?���。需要指出,這里的非物質(zhì)損害賠償�����,并未要求嚴(yán)重的精神痛苦���。信息處理者非物質(zhì)損害賠償不要求嚴(yán)重精神損害的這一立場�����,在實務(wù)中也已經(jīng)有所體現(xiàn)。[39]
個人信息處理者之外的行為人在純粹私人領(lǐng)域處理他人個人金融信息時�,也會產(chǎn)生非物質(zhì)損害賠償?shù)膯栴}。但這種個人金融信息的處理行為不屬于個人信息保護法的調(diào)整范圍��,應(yīng)歸于一般私人領(lǐng)域的民事活動�����,由民法典調(diào)整����。因此��,這種情況下行為人的非物質(zhì)損害賠償要件�����,應(yīng)該根據(jù)民法典確定�����。民法典中關(guān)于非物質(zhì)損害侵權(quán)賠償?shù)囊?guī)范見于第一千一百八十三條。根據(jù)該條規(guī)定��,個人信息處理者之外的行為人承擔(dān)非物質(zhì)損害賠償責(zé)任的要件主要是導(dǎo)致受害人的嚴(yán)重精神損害���,以及其他的共通要件。這里的嚴(yán)重精神損害����,是指超出一般人容忍限度的精神損害。[40]于此����,個人信息處理者和個人信息處理者之外的行為人雖然都是賠償義務(wù)主體���,但在賠償要件方面產(chǎn)生了重大差異����。前者因受個人信息保護法調(diào)整而無需受害人遭受嚴(yán)重精神損害���,且無需證明行為人過錯����。后者因受民法典調(diào)整����,則要求受害人遭受嚴(yán)重精神損害���,且需要證明行為人的過錯����。也正是因為這一差異��,在個人信息保護法實施之前��,實務(wù)中多因沒有造成受害人嚴(yán)重精神損害而未支持非物質(zhì)損害賠償����。[41]但在個人信息保護法實施之后,這一情況將發(fā)生變化����。[42]
第三類賠償義務(wù)主體是次生侵害中以個人金融信息為工具的侵權(quán)行為人���,其在個人金融信息非物質(zhì)損害賠償法律關(guān)系中的地位沒有獨立性�����,其要么被歸為個人信息處理者,要么被歸為個人信息處理者之外的行為人���。從二者的界分看,個人信息處理者是在公域或商業(yè)領(lǐng)域處理個人信息的組織或個人����,[43]而個人信息處理者之外的行為人則主要是在私域的社交或家庭生活中處理個人信息的人。次生侵害中的侵權(quán)行為人非法處理個人金融信息一般都具有財產(chǎn)目的��,這種處理雖然不是典型的商業(yè)或職業(yè)領(lǐng)域的個人信息處理�,但在獲取經(jīng)濟收益上堪比信息處理者的處理行為,并且顯然與家庭等私域的信息處理行為相去甚遠����。基于此��,次生侵害中的侵權(quán)第三人作為非物質(zhì)損害賠償義務(wù)主體時�����,其法律地位應(yīng)與個人信息處理者同視��,其賠償要件亦同����。
(三)個人金融信息非物質(zhì)損害賠償?shù)恼埱髾?quán)進路
在民法典的框架下���,信息主體因個人信息保護需要而尋求救濟的請求權(quán)進路主要是侵權(quán)責(zé)任請求權(quán)、合同法上的請求權(quán)和人格權(quán)請求權(quán)這3種進路����。[44]但在損害賠償方面���,人格權(quán)請求權(quán)無法有所作為�,因為它旨在對受害人提供事前的預(yù)防。[45]同時����,盡管民法典第九百九十六條在某種程度上建立了違約時的非物質(zhì)損害賠償機制,但該條的文義表明����,只有在違約行為與侵犯人格權(quán)益的侵權(quán)行為發(fā)生競合時����,或者說違約行為必須同時侵犯信息主體人格權(quán)益時,受害人方可依據(jù)該條主張非物質(zhì)損害賠償�,而并非獨立的違約非物質(zhì)損害賠償�。同時���,基于違反先合同義務(wù)或后合同義務(wù)而產(chǎn)生的信息主體的損害賠償請求權(quán)����,也只是針對物質(zhì)損害而言����。[46]
因此,受害人主張侵害個人金融信息權(quán)益的非物質(zhì)損害賠償���,實際上只剩侵權(quán)責(zé)任請求權(quán)的進路。具體有3種情況:
第一種�,在侵權(quán)之訴中信息處理者(含次生侵害中的侵權(quán)行為人)因侵犯個人金融信息發(fā)生非物質(zhì)損害的,受害的信息主體以個人信息保護法第六十九條第一款作為請求權(quán)基礎(chǔ)主張賠償���。同時,因可能存在信息處理者與次生侵害中的侵權(quán)行為人共同侵權(quán)的情形���,以及信息處理者未盡安全保障義務(wù)而便利了第三人侵權(quán)���,進而導(dǎo)致信息主體發(fā)生損害���,產(chǎn)生間接侵權(quán)的情形��,[47]于是��,信息主體還需以民法典第一千一百六十八條(共同侵權(quán))或類推適用民法典第一千一百九十八條第二款(補充責(zé)任)作為輔助規(guī)范����。
第二種����,在侵權(quán)之訴中信息處理者之外的行為人在私域侵犯個人金融信息發(fā)生非物質(zhì)損害的���,受害的信息主體以民法典第一千一百八十三條第一款作為請求權(quán)基礎(chǔ)主張賠償����,這種情況下也存在共同侵權(quán)的可能����,因而也需以民法典第一千一百六十八條作為輔助規(guī)范�。但這種情況下并不存在間接侵權(quán)的可能,因為在職業(yè)或商業(yè)領(lǐng)域處理個人金融信息的信息處理者��,其地位與信息處理者之外的行為人完全不同,后者并不具有如同信息處理者那樣的安全保障義務(wù)�,因而不能類推適用民法典第一千一百九十八條第二款。
第三種���,在合同之訴中����,作為合同相對方的信息處理者(不含次生侵害中的侵權(quán)行為人)因其違約行為而侵害個人金融信息權(quán)益����,受害的信息主體以民法典第九百九十六條作為請求權(quán)基礎(chǔ)主張賠償。不過�,實務(wù)中����,以該條作為請求權(quán)基礎(chǔ)提起所謂違約非物質(zhì)損害賠償?shù)陌咐谖覈€非常少���。[48]
四、個人金融信息侵權(quán)非物質(zhì)損害賠償?shù)拇_定
(一)賠償金額的重要考慮因素與酌定賠償金額
1.行為人的過錯程度
從矯正司法的角度來看����,任何金錢的支付其實都未必能“糾正”或“修復(fù)”受害人的痛苦。但對痛苦的賠償也有一種象征性或宣示性的意義����,即使疼痛和痛苦無法得到糾正或金錢補償,非法造成疼痛和痛苦也是一種嚴(yán)重的錯誤���。[49]對于這種嚴(yán)重的錯誤����,如果從客觀和主觀兩個層面去衡量��,則顯然主觀方面的過錯程度更容易受到關(guān)注����。主觀方面的過錯程度越深����,則意味著行為人對受害人的惡意越重����,對受害人的精神刺激越強烈,由此產(chǎn)生的非物質(zhì)損害賠償額也應(yīng)更高����。因此,一般意義上��,行為人過錯程度是非物質(zhì)損害賠償?shù)闹匾紤]因素�����。沒有過錯����,即不應(yīng)承擔(dān)非物質(zhì)損害賠償責(zé)任����,甚至不應(yīng)承擔(dān)物質(zhì)損害賠償責(zé)任����。[50]
不過���,在個人金融信息侵權(quán)情況下����,行為人過錯程度的認(rèn)定��,還需有另外的考慮����。在金融領(lǐng)域,信息的收集和闡述過程中離不開公共管理和私人經(jīng)濟目標(biāo)的相互交織����。[51]基于反洗錢��、反欺詐����、投資者適當(dāng)性管理、統(tǒng)一風(fēng)險管理等同樣重要的價值�,個人金融信息不得不在采取有效措施的前提下被在更大范圍內(nèi)共享����,[52]從而呈現(xiàn)出比之一般個人信息更明顯的公共性。在此情況下�����,信息主體對其個人金融信息權(quán)益的保留����,需要被適當(dāng)限制。作為個人金融信息處理者的金融機構(gòu)����、監(jiān)管機關(guān)����、金融基礎(chǔ)設(shè)施乃至金融行業(yè)協(xié)會���,未經(jīng)信息主體同意但在職責(zé)范圍內(nèi)處理或泄露個人金融信息發(fā)生非物質(zhì)損害的��,其過錯程度的認(rèn)定可適當(dāng)寬松��。
2.個人金融信息的敏感程度
個人金融信息本身的敏感程度對于信息主體信息安全及個人財產(chǎn)安全關(guān)涉重大。敏感程度較低�,僅僅是可能會對個人金融信息主體財產(chǎn)安全造成一定影響的C 1類個人金融信息,一般不會產(chǎn)生原生的非物質(zhì)損害����。然而����,那些可能對個人金融信息主體的信息安全與財產(chǎn)安全造成一定危害或嚴(yán)重危害的C 2類和C 3類個人金融信息�����,則很可能會產(chǎn)生非物質(zhì)損害�����。在確定非物質(zhì)損害的賠償范圍時��,個人金融信息的敏感程度將成為確定賠償金額的重要考慮因素。一般而言��,涉及C 3類個人金融信息權(quán)益的非物質(zhì)損害賠償金額�,應(yīng)高于涉及C 2類個人金融信息權(quán)益的非物質(zhì)損害賠償金額���。比如��,僅僅是未經(jīng)授權(quán)而處理或泄露個人金融賬戶的用戶名(C2類)�����,與擅自處理或泄露交易密碼�����、人臉識別信息(C 3類)相比��,顯然后者會給信息主體造成更大的精神負擔(dān)���,產(chǎn)生更為明顯的非物質(zhì)損害�。在其他條件均相同的情況下����,后者的非物質(zhì)損害賠償金額應(yīng)該更高。
此外�,被擅自處理或泄露的個人金融信息既有C 2類又有C3類��,應(yīng)至少按照侵犯C3類個人金融信息權(quán)益確定非物質(zhì)損害賠償����。兩種或以上的C2類個人金融信息權(quán)益被侵害,比單純一種C 2類個人金融信息權(quán)益被侵犯所造成的非物質(zhì)損害一般更大�,其賠償金額也相應(yīng)更高��。
3.可否合理預(yù)見
在傳統(tǒng)的合同法領(lǐng)域,較少支持非物質(zhì)損害賠償?shù)睦碛芍痪褪?�,這樣的損害并非違反合同可以預(yù)見的后果����。[53]同樣的邏輯在個人信息侵權(quán)領(lǐng)域也有適用空間�。行為人在擅自處理、泄露(原生侵害)或以獲取的個人金融信息作為工具實施侵權(quán)行為(次生侵害)時����,可否預(yù)見以及在多大程度上預(yù)見到產(chǎn)生非物質(zhì)損害�����,是確定行為人非物質(zhì)損害賠償金額的重要考慮因素��。法律在為某一主體確定責(zé)任時��,必須兼顧行為自由和權(quán)益保護的兩種價值����,[54]偏在任何一種價值,都會導(dǎo)致社會失范����。在行為人是否可以預(yù)見到侵害個人金融信息產(chǎn)生非物質(zhì)損害的問題上,必須堅持一般理性人的標(biāo)準(zhǔn)��,才能較好地平衡行為自由與權(quán)利保護兩項價值��。這里的一般理性人標(biāo)準(zhǔn)�,就是如果一個理性的人在這種情況下可以承受這種精神壓力,那么行為人就無法預(yù)見其行為產(chǎn)生非物質(zhì)損害結(jié)果����。反之,如果一個理性的人在這種情況下無法承受這種精神壓力��,則行為人就可以預(yù)見其行為會產(chǎn)生非物質(zhì)損害的結(jié)果�。當(dāng)然��,是否超出正常理性人的精神承壓范圍�,是隨著社會的變遷而發(fā)展變化的。20多年前��,即使有人抄寫了你的手機號和身份證號碼���,錄了你的張口閉口�����、睜大眼睛等人臉識別信息視頻���,也不大可能甚至無法用到電信詐騙上����。這類行為在當(dāng)時不具有社會危害性�����,因而不會引起正常理性人的精神痛苦����。但現(xiàn)在,通過這類行為進行電信詐騙的概率就非常高����,已經(jīng)具有了社會危害性,因而會引起正常人的精神痛苦����。
以上3方面只是侵犯個人金融信息權(quán)益非物質(zhì)損害賠償?shù)闹攸c考慮因素。此外,還應(yīng)根據(jù)最高人民法院《關(guān)于確定民事侵權(quán)精神損害賠償責(zé)任若干問題的解釋》第5條所列因素�,綜合考量確定個人金融信息侵權(quán)的非物質(zhì)損害賠償金額。
4.賠償金額的酌定
關(guān)于非物質(zhì)損害賠償金額的確定�����,個人信息保護法第六十九條第二款規(guī)定了3種方法���,第一種就是按照所受損失來確定����。然而�,由于非物質(zhì)損害的無形性,受害人幾乎不可能證明自身精神情緒狀況在侵權(quán)行為發(fā)生前后的差別����。因此,何謂受害人因此受到的損失�,一直是擺在實務(wù)中的最大問題�����。雖然比較法上的判例���,還有通過對將來非物質(zhì)損害進行折現(xiàn)的方法確定被告需要賠償?shù)姆俏镔|(zhì)損害����,[55]但被折現(xiàn)的非物質(zhì)損害本身如何計算,仍然是未解之題�。第二種方法是根據(jù)信息處理者的獲利來確定。但是�����,這一方法同樣面臨著證明的難題�����。在絕大多數(shù)情況下��,法院都無法確定通過侵害某一信息主體的個人金融信息可以給處理者帶來多少獲利���。比較可行的是第三種方法,即由法院根據(jù)實際情況確定����,這實際上就是酌定賠償金額。實務(wù)中��,也基本通過酌定方法確定侵害個人信息的損害賠償金額,[56]但主要見于物質(zhì)損害賠償����。上文討論的行為人過錯程度等因素�����,是在侵犯個人金融信息非物質(zhì)損害賠償時應(yīng)當(dāng)重點考慮的���,法院需要基于這些重點考慮因素及其他因素確定一個最終的賠償金額����。不過����,這個賠償金額如果沒有一定范圍���,也容易造成賠償金額的畸重畸輕���,影響裁判尺度的統(tǒng)一�����。最高人民法院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條第2款針對物質(zhì)損害規(guī)定了50萬元的上限,但對于非物質(zhì)損害則付之闕如�����。比較法上����,美國加州消費者隱私法案對于損害賠償金額范圍有明確規(guī)定����,即每位消費者每次侵權(quán)事件或?qū)嶋H損害賠償金額不低于100美元但不超過750美元,以金額較高者為準(zhǔn)���。[57]可以借鑒此前司法解釋及美國法上的做法,考慮在一定金額范圍內(nèi)(比如�,1000~5000元)確定非物質(zhì)損害賠償金額。
(二)賠償義務(wù)的分配
1.起訴時僅有原生損害的賠償義務(wù)分配
起訴時僅有原生非物質(zhì)損害的��,則非物質(zhì)損害的賠償只需根據(jù)原生侵害事實進行確定����。賠償義務(wù)由擅自處理或泄露個人金融信息的行為人承擔(dān)。多個信息處理者共同擅自處理或泄露個人金融信息的���,由該多個信息處理者就非物質(zhì)損害承擔(dān)連帶賠償責(zé)任����。多個信息處理者分別擅自處理或泄露個人金融信息的����,由該多個信息處理者根據(jù)民法典第一千一百七十一條和第一千一百七十二條,就非物質(zhì)損害承擔(dān)連帶賠償責(zé)任或按份賠償責(zé)任�。
2.起訴時有次生損害的賠償義務(wù)分配
起訴時發(fā)生次生非物質(zhì)損害的��,會有賠償義務(wù)在原生侵害主體和次生侵害主體之間的分配�����,情況較為復(fù)雜�。
一種情況是,原生侵害主體與次生侵害主體共同故意行為產(chǎn)生了對信息主體的非物質(zhì)損害���。此時,原生的非物質(zhì)損害和次生的非物質(zhì)損害合并計算���,并應(yīng)由二者承擔(dān)連帶賠償責(zé)任�。比如�����,某支付機構(gòu)將自然人的支付信息提供給犯罪團伙實施電信詐騙���,導(dǎo)致自然人的存款全部被轉(zhuǎn)走。該自然人自知道其支付信息被提供時起產(chǎn)生的焦慮等非物質(zhì)損害���,與存款被轉(zhuǎn)走后加重的焦慮等非物質(zhì)損害應(yīng)合并計算�。此時����,支付機構(gòu)和犯罪團伙就自然人的所有非物質(zhì)損害承擔(dān)連帶賠償責(zé)任��。
另一種情況是����,原生侵害主體過失導(dǎo)致個人金融信息被泄露,第三人獲取該個人金融信息后實施侵權(quán)行為����。這種情況下����,第一階段即原生侵害階段所產(chǎn)生的非物質(zhì)損害����,由原生侵害主體承擔(dān)�。次生侵害主體與此無關(guān)��,不承擔(dān)該部分非物質(zhì)損害的賠償責(zé)任�。第二階段即次生侵害階段所產(chǎn)生的非物質(zhì)損害,實際上由故意侵權(quán)的第三人所造成���,應(yīng)由第三人承擔(dān)該部分非物質(zhì)損害的賠償責(zé)任����。但是�,由于原生侵害主體未能很好履行安全保障義務(wù)使得個人金融信息被泄露�,為第三人實施積極侵權(quán)行為提供了便利。因而����,應(yīng)類推適用民法典第一千一百九十八條第二款的規(guī)定,由原生侵害主體就該部分的非物質(zhì)損害�����,承擔(dān)補充賠償責(zé)任����。[58]當(dāng)然��,如果信息處理者能夠證明其完全盡到安全保障義務(wù)�����,并未導(dǎo)致個人金融信息的泄露�����,或者證明第三人是從其他渠道獲取了個人金融信息實施侵權(quán)行為��,則應(yīng)當(dāng)認(rèn)定所謂原生的侵害未發(fā)生,應(yīng)由侵權(quán)的第三人就次生的非物質(zhì)損害承擔(dān)賠償責(zé)任。
3.不典型次生損害之下非物質(zhì)損害賠償義務(wù)的排除
一般情況下�,利用個人金融信息實施侵權(quán)行為,大多有專門針對信息主體的非法轉(zhuǎn)移其財產(chǎn)的目的���,此時大概率會引發(fā)信息主體焦慮、擔(dān)心等精神痛苦����,產(chǎn)生非物質(zhì)損害。例外情況是��,在次生侵害中����,確有第三人借助C 3類和C 2類個人金融信息實施了侵權(quán)行為,但從一般社會觀念考量�����,該侵權(quán)行為不會對信息主體產(chǎn)生非物質(zhì)損害的情況���。比如,行為人購買了信息主體的相關(guān)賬戶登錄名(C 2類)和登陸密碼���、人臉識別信息(C 3類)��,但以此為工具實施的侵權(quán)行為是在電商平臺進行虛假交易��,賺取交易單數(shù)��,從而獲利����。[59]這種情況的侵權(quán)行為并未直接針對信息主體的財產(chǎn)�,按照社會觀念衡量����,一般也不會引起信息主體的精神損害�。此時,對于信息主體的非物質(zhì)損害賠償����,就只考慮原生的非物質(zhì)損害賠償�����,不應(yīng)再考慮次生的非物質(zhì)損害賠償。
結(jié)語
個人金融信息的特殊性���,決定了其一旦被侵害,產(chǎn)生物質(zhì)損害可能性很大�����。而基于對金融信息與財富的慣性認(rèn)知�,人們往往對其物質(zhì)損害的維度較為重視,對其非物質(zhì)損害的維度則有所忽略�。筆者的研究意在表明��,對個人金融信息權(quán)益的侵害��,同樣會產(chǎn)生非物質(zhì)損害��,甚至在某種程度上�����,更容易產(chǎn)生非物質(zhì)損害���。而對個人金融信息權(quán)益侵害的非物質(zhì)損害賠償�,需要結(jié)合個人金融信息的特殊性以及各種具體情況進行綜合考慮�,并需要不斷積累實踐樣本�。
【注釋】
作者單位:北京金融法院
★本文系國家社科基金重大項目“數(shù)字經(jīng)濟治理體系法治化”(23&ZD 155)的階段性成果。
[1]參見北京市朝陽區(qū)人民法院(2018)京0105民初36658號民事判決書��。
[2]程嘯:《個人信息保護法理解與適用》����,中國法制出版社2021年版����,第27頁。
[3]劉丹丹:“第三方支付業(yè)務(wù)領(lǐng)域個人金融信息保護探析”����,載《福建金融》2022年第11期�����。
[4]周劍����、馬春曉:“保險代理人冒用被保險人身份騙取質(zhì)押貸款行為定性”,載《中國檢察官》2022年第18期�。
[5]邢會強:“大數(shù)據(jù)時代個人金融信息的保護與利用”,載《東方法學(xué)》2021年第1期����。
[6]McElroy, W. Faith, Closing the Financial Privacy Loophole: Defining “Access” in the Right to Financial Privacy ACT, 94 Washington University Law Review 1059(2017).
[7]Lital Helman, Pay for (Privacy) Performance: Holding Social Network Executives Accountable for Breaches in Data Privacy Protection, 84 Brooklyn Law Review 524(2019).
[8]Lital Helman, Pay for (Privacy) Performance: Holding Social Network Executives Accountable for Breaches in Data Privacy Protection, 84 Brooklyn Law Review 569(2019).
[9]邢會強:“大數(shù)據(jù)時代個人金融信息的保護與利用”���,載《東方法學(xué)》2021年第1期����。
[10]郭靂:“數(shù)字化時代個人金融數(shù)據(jù)治理的‘精巧’進路”�,載《上海交通大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2022年第5期�����。
[11][德]埃爾溫·多伊奇����、漢斯—于爾根·阿倫斯:《德國侵權(quán)法》���,葉名怡����、溫大軍譯,中國人民大學(xué)出版社2016年版��,第229頁����。
[12]程嘯:《侵權(quán)責(zé)任法》����,法律出版社2015年版,第217頁�。
[13]程嘯、王苑:《個人信息保護法教程》��,中國人民大學(xué)出版社2023年版����,第210頁�����。
[14]最高人民法院民法典貫徹實施工作領(lǐng)導(dǎo)小組主編:《中華人民共和國民法典人格權(quán)編理解與適用》���,人民法院出版社2021年版��,第342頁。
[15]“2017年推動法治進程十大案件評選揭曉”����,載https://www.chinacourt.org/article/detail/2018/02/id/3196549.shtml, 2023年11月6日訪問。
[16]唐德華主編:《最高人民法院〈關(guān)于確定民事侵權(quán)精神損害賠償責(zé)任若干問題的解釋〉的理解與適用》���,人民法院出版社2015年版���,第20頁��。
[17]David W. Opderbeck, Cybersecurity and Data Breach Harms: Theory and Reality, 82 Maryland Law Review 1036(2023).
[18]Daniel J. Solove & Danielle Keats Citron, Risk and Anxiety: A Theory of Data-Breach Harms, 96 Texas Law Revies 764(2018).
[19]Jesse R. Morton & Scott Rosenbaum, An Analysis of Elder Financial Exploitation: Financial Institutions Shirking Their Legal Obligations to Prevent, Detect, and Report This “Hidden”Crime, 27 Elder Law Journal 289(2020).
[20]唐德華主編:《最高人民法院〈關(guān)于確定民事侵權(quán)精神損害賠償責(zé)任若干問題的解釋〉的理解與適用》�,人民法院出版社2015年版,第20頁�����。
[21]楊合慶主編:《中華人民共和國個人信息保護法釋義》���,法律出版社2022年版�,第16頁��。
[22]梁志文�、劉曉:“個人數(shù)據(jù)損害的類型及其確定”���,載《吉首大學(xué)學(xué)報(社會科學(xué)版)》2022年第2期��。
[23]謝鴻飛:“個人信息處理者對信息侵權(quán)下游損害的侵權(quán)責(zé)任”��,載《法律適用》2022年第1期����。
[24]劉云:“論個人信息非物質(zhì)損害的認(rèn)定規(guī)則”��,載《經(jīng)貿(mào)法律評論》2021年第1期����;田野:“風(fēng)險作為損害:大數(shù)據(jù)時代侵權(quán)‘損害’概念的革新”���,載《政治與法律》2021年第10期��。
[25]曾世雄:《損害賠償法原理》,中國政法大學(xué)出版社2001年版��,第頁����。
[26]Stephen Perry, Harm, History, and Counterfactuals, 40 San Diego Law Review 1283, 1284(2003).
[27]Emily A. Martin, Article III Standing But Add a Little Bit of 21st Century Spice: How Data Breaches Illuminate the Continuously Contradictary Rulings of the Supreme Court, 83 Louisiana Law Review 719(2023).
[28]John Landzert, A Hacker “May” Have Accessed Your Data: Can Victims of Data Breaches Sue Before Alleging Misuse, 63 Boston College Law Review E-Supplement IL-97(2022).
[29]Clapper v. Amnesty International USA, 568 U. S.398, 401(2013), 133 S. Ct.1138, 1143(2013).
[30]Grayson Wells, What's the Harm Fedueralism, the Separations of Power, and Standing in Data Breach Litigation, 96 Indiana Law Journal 954(2021).
[31]TransUnion LLC v. Ramirez, 141 S. Ct.2190, 2204-2214(2021).
[32]Christopher M. Deucher, Data Breach Standing: How Plaintiffs May Find Their Footing After TransUnion v. Ramirez, 84 Ohio State Law Journal Online 52, 53(2023).
[33]程嘯��、曾俊剛:“個人信息侵權(quán)的損害賠償責(zé)任”�����,載《云南社會科學(xué)》2023年第2期����。
[34]謝鴻飛:“個人信息泄露侵權(quán)責(zé)任構(gòu)成中的‘損害’——兼論風(fēng)險社會中損害的觀念化”���,載《國家檢察官學(xué)院學(xué)報》2021年第5期���。
[35]參見湖北省高級人民法院(2021)鄂民終72號民事判決書、浙江省高級人民法院(2023)浙民終487號民事判決書��。
[36]劉凱湘����、曾燕斐:“非財產(chǎn)損害賠償之一般理論”,載《北方法學(xué)》2012年第6期�����。
[37]楊立新:“侵害個人信息權(quán)益損害賠償?shù)囊?guī)則與適用——個人信息保護法第69條的關(guān)鍵詞釋評”����,載《上海政法學(xué)院學(xué)報(法治論叢)》2022年第1期。
[38]程嘯:“侵犯個人信息權(quán)益的侵權(quán)責(zé)任”��,載《中國法律評論》2021年第5期��。
[39]參見遼寧省阜新市中級人民法院(2022)遼09民終186號民事判決書�����。
[40]黃薇主編:《中華人民共和國民法典釋義(下)》��,法律出版社2020年版�,第2284頁����。
[41]參見北京市第一中級人民法院(2017)京01民終509號民事判決書、北京市朝陽區(qū)人民法院(2018)京0105民初9840號民事判決書��。
[42]參見遼寧省阜新市中級人民法院(2022)遼09民終186號民事判決書��。
[43]江必新�、郭鋒主編:《〈中華人民共和國個人信息保護法〉條文理解與適用》��,人民法院出版社2021年版����,第634頁����。
[44]丁宇翔:“民法典保護個人信息的三種請求權(quán)進路”,載2020年9月25日《人民法院報》����。
[45]王利明、程嘯��、朱虎:《中華人民共和國民法典人格權(quán)編釋義》����,中國法制出版社2020年版.,第86頁�。
[46]丁宇翔:《個人信息保護糾紛理論釋解與裁判實務(wù)》,中國法制出版社2022年版�,第168~169頁。
[47]丁宇翔:“跨越責(zé)任鴻溝——共享經(jīng)營模式下平臺侵權(quán)責(zé)任的體系化展開”��,載《清華法學(xué)》2019年第4期��。
[48]參見遼寧省燈塔市人民法院(2022)遼1081民初540號民事判決書�。
[49]Stephen A Smith, The Law of Damages: Rules for Citizens or Rules for Courts, Contract Damages: Domestic and International Perspectives, Edited by Djakhongir Saidov and Ralph Cunnington, Hart Publishing, 2008, p.59.
[50]參見北京金融法院(2022)京74民終961號民事判決書��。
[51]Valeria Ferrari, Crosshatching Privacy: Financial Intermediaries' Data Practices between Law Enforcement and Data Economy, 6 European Data Protection Law Review (EDPL)533(2020).
[52]Matt Andrus, Protecting Financial Privacy in the FinTech Era: A New Category of Financial Records That Deserve Protection, Oklahoma City University Law Review, Vol.44, Issue 3, Spring 2020, p.306.
[53]Mark A. Geistfeld, Protecting Confidential Information Entrusted to Others in Business Transactions: Data Breaches, Identity Theft, and Tort Liability, 66 DePaul Law Review 385, 410(2017).
[54]王澤鑒:《侵權(quán)行為》�����,北京大學(xué)出版社2015年版�,第7頁����。
[55]Wright v. Maersk Line, 84 Fed. Appx.123(2d Cir.2003).
[56]參見北京互聯(lián)網(wǎng)法院(2019)京0491民初6694號民事判決書��、遼寧省阜新市中級人民法院(2022)遼09民終186號民事判決書。
[57]West's Ann. Cal. Civ. Code §1798.150.
[58]謝鴻飛:“個人信息處理者對信息侵權(quán)下游損害的侵權(quán)責(zé)任”��,載《法律適用》2022年第1期��。
[59]參見安徽省亳州市中級人民法院(2018)皖16刑終340號刑事判決書����。
