个人信息泄露的民事救济的域外法研究

摘 要 互联网时代意味着信息共享，但是我们享受着信息共享的便利，也遭受着个人信息泄露的重创。个人信息泄露就等于将一个普通人暴露在公众的视野下，我们很可能下一秒就会遭受定向推销、诈骗、隐私权受侵害等各种损害。受有损害就应该寻求救济，本文主要针对个人信息泄露的相關问题及其救济机制进行研究。针对英美等域外法的相关规定进行研究，探讨对我国的借鉴价值。

关键词 个人信息 泄露 民事救济 违约责任 侵权责任

作者简介：王雅男，北京航空航天大学法学院。

中图分类号：D920.4 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2018.10.032

2017年3月颁布的《中华人民共和国民法总则》第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。” 首次在民法条文中对个人信息进行保护。但是总则仅仅作为原则试用，暂无细则出台。本文初探域外法的相关规定，希望对以后个人信息保护有所裨益。

一、欧洲个人信息泄露民事救济机制

欧盟颁布的《数据保护指令》与英国的《数据保护法》均确定了个人信息保护的基本原则，在原则的指导下对个人信息予以保护。在其立法中明文规定，在个人信息被进行不合理处理时拥有救济权。信息主体由于非法信息处理行为或者违反依照指令所采取的国家的行为而遭受损害时，有权从信息处理控制人处获得赔偿。 本条对于个人信息泄露中的救济提供了明确的请求权基础。除此之外，欧盟还通过《隐私与电子通讯指令》，《数据留存指令》对于通讯行业、互联网企业对于个人信息保护及处理进行明确的规定，确定其义务范围，对于配合国家相关部门工作主要是刑事侦查工作与保护公民个人信息不被侵犯进行了协调。英国原作为欧盟国家也根据欧盟立法颁布了1998年数据保护法案，作为普通法国家在个人信息保护中运用大陆法系国家的立法方式予以保护，并且以判例作为支撑。英国在个人信息保护中与其他国家相比，比较有国家特色的一点为其预先保护个人信息机制，比如在其公司企业均设有数据保护专门职位，负责对数据的保护不被泄露，在事前防范中起到了关键的作用。英国相关判例一般都是数据查询权的判例，在个人信息泄露救济的层面并不多见。

二、美国个人信息泄露民事救济机制

个人信息泄露在美国的立法与实践中一般与信息隐私法有关，美国在民事救济方面也是以侵犯隐私权为主进行救济。

（一）美国个人信息泄露的立法现状

在美国，没有规制收集、传播、使用个人信息的综合性立法。《隐私法》只规制美国联邦政府各个机构对他人私人信息的收集和使用等行为。在《信息自由法》规定了十余种例外情形，行为人在公开他人私人信息前并不需要获得信息所有者的同意。 《儿童网络隐私保护法》、《电子通讯隐私法》是现今对于互联网中信息性隐私权做出的法律。《电子通讯隐私法》制定的目的就是为了保护隐私电子通讯免受政府、个人和第三方的侵犯。根据《美国联邦贸易委员会法》，美国联邦贸易委员会在调查不公平的商业行为享有广泛的权利，此规定中不公平的商业行为只能对在商业行为中利用他人泄露的个人信息达到不公平竞争、欺骗消费者、侵犯隐私权等。

在学理层面，美国存在财产权论和人格权论两方面的争论。人格权理论的认同者从隐私权首先是一个基本人权出发，认为其是个人人格中的重要因素，因此消费者等的个人信息的收集是违背道义和伦理的，将个人信息作为个人隐私从而使人们对个人信息享有信息自决权。个人信息财产化的理论，认为要对个人信息进行保护的原因和驱动力，但个人信息作为财产缺少劳动创造价值这一环节，也对于个人信息泄露使人们的个人安宁造成干扰没有很好的救济作用。因此这两种模式均有利弊，需权衡使用。

（二）美国个人信息泄露民事救济的典型案例

在美国现有个人信息泄露的民事救济中，诉因主要集中在合同、侵权、不当得利以及不正当竞争几方面。主要依据美国FTC规则、隐私法、合同法、不正当竞争法、公平信用报告法（FCRA）、存储通讯法（Stored Communications Act）等进行了诉讼。从不同诉因的构成要件方面，在实务中的主要争议焦点集中在如何确定损害、近因、可赔偿损失的认定、格式条款问题等。

在FTC规则项下，美国联邦贸易委员会对于企业不公平竞争行为具有广泛的调查权利，因此在实务中存在美国联邦贸易委员会基于FTC 规则对于企业的诉讼。在现有判例中，法院对美国联邦贸易委员会基于FTC规则起诉相关企业给予了肯定，通过F.T.C. v. Wyndham Worldwide Corp一案对于美国联邦贸易委员会起诉企业泄露用户个人信息进行了规范，主要表现在以下几方面：一是美国联邦委员会具有基于FTC规则对企业泄露个人信息行为起诉的权利；二是美国联邦委员会起诉相关企业不需要事前通知 ；三是可以基于《美国联邦贸易委员会法》第5条a条认定消费者遭遇重大损失；四是可以由与该公司有关的母公司等承担共同在责任。

美国相关案例讨论了几种被诉的实际损害认定的问题。其中，认定缓解由于个人信息泄露造成损害的费用属于实际损害认定的部分，在非诉讼与减轻个人信息泄露相关的费用、未经授权的费用不属于可以赔偿的范围。而信用监控的时间和费用增加了未来身份盗用的风险不是法律准备补救的损害。在索尼与其客户的数据泄露的诉讼中，法院确定了认定该诉讼赔偿的构成要件为个人信息泄露的行为、可证明的损害、因果关系，而在实务中往往会因为缺乏因果关系的证明而驳回原告的诉讼请求。

在美国的判例中大多数是以美国宪法第三条作为依据，以侵犯隐私权作为诉因。Galaria v Nationwide Mut一案中，保险公司疏忽造成客户信息泄露，消费者指称，当他们的个人信息被盗时，他们遭受了隐私的损失，足以事实上造成伤害。部分案件的原告诉称其个人信息泄露，其面对未来身份盗窃、欺诈的风险增加，为了预防此现象造成的损失，其需要支付大量的费用。法院认为其非实际发生的费用不能作为损失的认定，但是可以判令禁令救济等方式来弥补其未来造成的损失。

部分案件中涉及基于违反合同或者隐含合同对个人信息泄露进行诉讼。在此类案件中的争议焦点为是否有证据证明实际的损害，由合同是否可以推断隐含个人信息泄露损害赔偿的条款。判例中法院认为，企业负有保护客户信息的附随义务，由于企业疏忽造成的客户个人信息泄露需要赔偿。在纯粹经济损失的弥补方面，法院存在争议。例如索尼与其客户的集体诉讼案中，法院认为对于过失造成的经济损失仅限于身体损害赔偿，经济损失是不被允许的。而内华达州最高法院曾表示，经济损失原则不应该对过失的失实陈述提出索赔：但是例如由于诽谤，故意造成损害，对财务事项的疏忽的错报和财团的损失。是不被经济损失原则所禁止的。

三、域外相关经验对我国的借鉴意义

我国属于大陆法系国家，制定成文法解决社会亟待解决的问题是立法的主要思路。在《民法总则》颁布后，其中对于保护个人信息作为新的条文加入具有开创意义。与之相对应的需要在具体法规中加以完善。我国可以借鉴欧盟的立法方式，对于个人信息保护中的问题进行详尽的立法，明确个人信息泄露中的救济权利，对于处置个人信息过程中的问题，企业的相关权利义务进行规定。

美国社会存在着很多种类的个人信息泄露的诉讼案件，其中案件的请求权也呈现多样化，对于我国的实务有一定的借鉴意义。在违约与侵权两方面，需要注重构成要件的符合性，在实务中的认定与传统法律问题有一定的区别。在处理个人信息泄露的民事救济过程中，美国采取集体诉讼、公益诉讼等方式解决案件争议数额过小，裁判认定损失难度大等问题。在相关案件中，缺乏证据是没有支持诉讼的主要理由，是否可以采用举证责任倒置的方式将举证不能的后果交由企业也是需要讨论的重要问题。美国联邦贸易委员会在个人信息泄露造成企业不公平竞争的案件处理过程中的作用，也是我国可以通过行业监督的方式来借鉴经验的。对于美国经验的借鉴需要针对我国国情和现实生活中存在问题的特殊性全面的考量借鉴，从而为我国个人信息泄露的民事救济机制提供一个合理的构建方式。

注释：

陈飞，等译.张新宝审校.个人数据保护——欧盟指令及成员国法律、经合组织指导方针.法律出版社.2006年版.第45页.

阿尔贝特·林著.黄淑芳译.宪法对信息性隐私权的法律保护//张民安主编.信息性隐私权研究.中山大学出版社.2014年版.第403页.

“Liability of Businesses to Governments and Consumers for Breach of Data Security for Consumers' Information”，1 A.L.R.7th 2.

F.T.C. v. Wyndham Worldwide Corp.， 10 F. Supp. 3d 602， 2014-1 Trade Cas. （CCH） P 78763 （D.N.J. 2014）.

In re Sony Gaming Networks and Customer Data Sec. Breach Litigation， 903 F. Supp. 2d 942 （S.D. Cal. 2012）.

參考文献：

[1]格哈德·瓦格纳.损害赔偿法的未来.中国法制出版社.2012年版.

[2]保罗·M·施瓦兹著.黄淑芳译.隐私权和“可以识别个人身份的信息”.中山大学出版社.2012年版.

[3]帕梅拉·萨缪尔森著.张雨译.作为知识性财产性的隐私权.中山大学出版社.2012年版.