PDF下载
数字时代个人信息损害的法律应对

王乐乐

石河子大学法学院,新疆石河子,832003

摘要: 算法程序作为数字时代信息技术的核心,在为社会发展提速增效之时,亦为个人信息带来了新的挑战。由于现行算法程序的开发设计未充分考量信息主体方利益,算法在其决策与运行过程中存在多种损害风险;受现有立法规范限制,数字时代个人信息的损害面临着难以救济的局面。应当运用风险管理方法具体设计损害的风险规制路径;引入利益平衡理论建立各方利益主体的平衡机制,将风险损害与精神损害纳入非物质损害赔偿范畴,承认两种新型损害的可赔偿性;引入惩罚性赔偿标准,完善非物质损害的赔偿方案。
关键词: 算法程序;个人信息;风险管理;利益平衡;损害赔偿
DOI:10.12721/ccn.2023.157086
基金资助:
文章地址:

一、问题的提出

数字时代,大数据、云计算、人工智能等信息技术在多领域的赋能应用,为人们生产生活带来了诸多便利。随着数字经济的蓬勃发展,数字平台一跃成为数字时代最重要的商业主体。各类数字平台将诸多信息技术融合,塑造着全新的平台经济商业模式,构建着“万物互联”的数字化世界。其中,算法程序作为数字平台收集与分析数据的主要工具,是数字社会运行的重要基础之一。算法概念源于计算机科学领域,指的是“一种有限、确定、有效的并适合用计算机程序来实现的解决问题的方法”[1]。大型平台一旦拥有了核心算法,可以迅速获取到互联网平台用户的个人信息和使用轨迹,对用户喜好、市场行情作出精准判断并轻松取得市场竞争优势地位。

然而,算法终究是“技术中立”的产物。其作为数字科技的核心,在为社会发展增加动能的同时,也带来了公民权益、社会伦理、市场秩序、国家安全等方面的风险,因而受到政府、社会、企业与民众的普遍关注[2]。由于各类算法程序的应用都基于用户的个人信息,因此在众多算法损害中,最为直接的损害源于算法对用户个人数据1的收集与利用。一旦发生算法侵害个人信息的行为时,信息主体作为弱势一方,难以与强势的算法平台方抗衡。此外,由于算法程序的运行与决策本身具有不透明性,许多损害可能处于尚未发生但可能发生、正在发生但用户并不知晓、已经发生但用户尚未感知到等一系列特殊时段。此时算法对个人信息造成的侵害将更多地表现为精神损害和风险损害,而现行立法内容并未触及这两种新型损害的认定,仅仅规定了人身损害和财产损害,除未来风险转化为现实,否则受害人无权就风险损害主张个人信息损害赔偿,精神损害的认定亦存在疑问。并且由于算法的不透明性,用户只能被迫接受算法对自身个人信息的过度收集与利用,难以举证证明损害结果的发生,这使得信息主体在遭受损失后,难以维护、救济自身合法权益。

本文将结合人工智能算法技术特征与既有个人信息保护的法律资源对算法对个人信息造成损害的救济症结进行分析;利用利益平衡与风险规制两类法学理论探究算法侵害个人信息问题的化解路径,并将精神损害与风险损害纳入非物质损害的范畴之中,进一步完善非物质损害的赔偿方案。

二、数字时代个人信息损害救济的症结分析

要解决算法程序侵害个人信息的问题,畅通损害救济的途径,首先需要分析算法对个人信息造成损害的救济症结,才可对症下药地提出针对性的治理方案。据此,笔者剖析数字时代个人信息的损害救济主要有三大痛点,分别是算法运行及决策过程中风险良多、信息利用与保护的利益冲突、损害的认定和赔偿存在疑问。

(一) 运行与决策过程中风险良多

1.公平性风险

算法程序要赢得用户的信任,必然要证明自身运行及决策的公平性。对用户而言,“公平”的内涵是极为丰富的。既意味着平等的对待,又意味着公正合理的决策结果[3]。而在算法程序进行自动化决策的整个阶段,却存在许多不公平的现象,导致用户个人信息的相关权益受到损害。

“信息茧房”(information cocoons)是哈佛大学法学教授凯斯·桑斯坦在《信息乌托邦:众人如何生产知识》提出的,主要是指人们关注的信息领域会习惯性地被自己的兴趣所引导,从而将自己的生活桎梏于像蚕茧一般的“茧房”中的现象[4]。算法程序依靠个人数据的交互开拓了算法个性化推荐的功能。该功能的最初目的是利用大数据对用户喜好予以分析,从而描绘出“用户画像”,以便用户获得更满意的使用体验。例如,浏览器、客户端等终端利用算法程序,对用户使用习惯、兴趣爱好、行动轨迹等内容进行分析,为其推送相关信息,为用户选择提供指引。然而在这样的商业营销下,“信息茧房”编织的速度变得越来越快,人们也被不自觉地困在茧房之中,从而在获取信息时被算法所引导和左右。个人获取其他观点的自由遭到限制,可接触的经济机会范围急剧缩小,对生产生活造成极大损害。如2016年“魏则西事件”,由于搜索平台的竞价排名而导致魏则西误信了算法所推荐的医疗机构,最终贻误了病情,酿成悲剧[5]

聚焦市场经济活动,可以发现算法正试图干预竞争活动,取代市场这只“看不见的手”来进行资源分配,这很可能会触犯自由公平市场的良性运作机制,产生排除限制竞争的不利后果。在反垄断语境下,这被称为算法垄断。这种现象严重损害了信息主体对产品真实情况的知情权。不仅如此,平台利用垄断地位操纵市场、控制交易人、锁定用户、用不法手段增强用户粘性并从中获得市场力量的行为,进一步扩大了遭受侵害的群体与权益范围。美国的大卫·托普金斯(David Topkins)利用算法固定经典电影海报销售价格案和优步利用算法操纵打车价格案是典型的“算法合谋”案[6];具有市场支配地位的经营者也可能滥用算法实施自我优待、价格歧视行为。阿里巴巴对部分未执行“二选一”要求的平台内经营者,调低其搜索权重,直接导致平台内经营者的商品在平台上排序靠后甚至无法被搜索到2。还有部分经营者受到算法滥用的阻碍,难以进入数字市场参与市场竞争;消费者只可被动的接受平台算法个性化定价与推送后的商家产品。

2.安全性风险

如今的算法程序已然得到普及,由此产生的个人数据搜集、存储、转移和使用的安全性隐患将急剧凸显。这种隐患既包括信息主体的个人信息可能会因为黑客入侵、病毒攻击等原因而导致的“个人数据泄露”,也包括个人数据泄露后被不法分子掌控的“个人数据滥用”。就如2022年6月21日发生的超星学习通信息泄露事件[7]。多达1.7亿条的学生个人隐私数据遭公开售卖——不仅是学习通上的用户个人数据遭遇了泄露,还有许多用户反映与学习通绑定的相关账号也发生了信息泄露现象,对用户的日常生活造成了极大损害。

纵使个人信息并未泄露,算法也可能因自动关联信息而触犯用户个人隐私。算法运行中的“冗余编码”,就是将本应受到保护的敏感性个人数据,与其他可合法获得的个人数据进行编码与关联性应用[8],致使公民的姓名、肖像、住址、电话号码等个人隐私越过国家机关被商业平台收集、存储、利用,严重侵害着用户的隐私权。纵使是运行期间合法收集的个人数据,在与用户某种特定行为产生关联后,还是会产生隐私泄露的风险,并且极有可能在后续利用过程中产生一系列不利于用户的歧视性后果。

3.准确性风险

现阶段的算法技术尚未完全成熟,决策结果依旧面临准确性的危机。算法从输入个人数据到得出结果总需要经过一系列程序,该过程中算法程序的开发者可能会加入自身偏好,导致最终决策结果出现错误。比如人主观上认为一般女士会留长发,男生留短发,当把这类偏见加入到算法程序中时,会导致算法在分析个人数据时出现把留长发的男士误认为女性,留短发的女士识别成男性的错误。此外,算法程序自身的技术漏洞亦可能导致算法错误结果的出现。

除了算法错误外,算法程序的准确性风险还包含了个人数据标签化与不利评价。算法在运行的过程中,会对用户个人数据进行挖掘、收集、分析、整理,将个人数据标签化。标签化是指根据用户的个人信息挖掘抽象出特征标识,形成标签化用户模型的过程[9]。这并非是算法程序进行个人数据挖掘的特有表现,但算法为了实现自动化决策,会造成大规模、全方位、深层次的个人数据标签化。这些个人数据标签并非绝对准确,其中也会存在与事实不符的错误与片面的个人数据标签,将会对信息主体造成极大伤害,为其带来不利的社会评价与负面效应。

(二) 信息利用与保护的利益冲突

数字时代,算法程序对于个人信息的收集与利用必然会导致违反个人意愿的信息公开;要降低算法程序对个人信息原生损害和次生损害的风险,实现个人信息的保护,就必然要限制算法平台对个人信息的收集与利用。但由于利用与保护之间价值目标和法益的对立,个人信息的利用与保护之间天然存在冲突。

从价值目标角度来考察,信息利用体现着经济发展所代表的自由与流通效益,信息保护体现着用户的人格尊严所代表的安全与秩序价值。但由于个人信息的可识别性,算法平台对于信息的收集与利用很可能形成“用户画像”,产生用户个人信息泄露与不当利用的安全性风险,进而对用户自身利益造成损害;从法的价值角度来看,信息保护和信息利用的矛盾,实际上是安全和效率之间的矛盾;如果在位阶上坚持效率优先,保障信息流动的通畅与自由,可以让各类算法平台更高效地代替人进行自动化决策,为政府、企业带来更高的运行效率与数据效益。但这其中不免会致使个人信息安全性的受到减损;如果把安全放在位阶的第一位,虽能更好地维护个人信息的安全与信息主体的人格尊严,但不利于信息的自由流通与信息业的培育,舍弃了个人信息所蕴含的数据经济效益3

从利益结果上来看,信息利用代表着社会公益,信息保护代表着个人利益。信息利用和保护的利益平衡实际上是社会公益和个人利益之间的利益平衡。个人信息的保护关注数字时代产生于信息主体与信息利用方之间数据活动中由于个人信息利用所产生的个人人格利益,单方面强调信息的利用,则会影响信息主体的人格尊严和生活安宁,从而损害个人利益;个人信息的利用指向的则是对个人信息进行收集、处理、加工、利用、交易、共享后所带来的经济利益4。数字时代的个人信息已经具备了明显的财产属性5,其在数字经济中作为生产要素进入市场,被赋予经济价值,其商业化发挥着经济效益,推动着社会进步。因此,数字领域个人信息的财产属性与社会福祉紧密相连,具备社会公益性[10]。一味强调个人信息的保护,则会限制个人信息的合理利用而影响社会发展,对社会公益造成不利。在此维度上,社会公益与个人利益的抵牾呈现出了个人信息利用与保护之间的利益冲突。

(三) 损害的认定与赔偿存在疑问

1.损害概念的演进

关于侵权法框架内损害的概念,社会上一直都存在着众多学说的纷争。德国法上,损害概念一共经历了三种学说的演进,逐渐从幼稚走向成熟。第一种学说是差额假说,该学说认为损害指的是两种状态下的利益差额,也就是实际财产状况与若致损事件未发生时的假设财产状况间的差额。然而,因为差额说的本质是一种价值中立的计算方法,其应用范围仅限于可用金钱计量的财产损害,既不包含非物质损害6,也缺乏基于规范目的的法律评价。于是,德国学者尝试提出新的理论弥补差额说的缺陷,客观损害说应运而生。该学说认为损害是法律主体因其财产之构成成分被剥夺或毁损,或其身体受侵害所遭受的不利益,而非观念上的数字。该学说一定程度上弥补了差额说的缺陷,将损害割裂为差额损害与客观损害,然而由于客观损害说仅针对特定的情形进行修正,未能解决全部问题,德国法又提出了规范说。该学说认为损害是指受法律保护的权利、财产和利益所遭受的一切不利益。这里的“不利益”既包括已经遭受的不利益,也包括未来可能遭受的不利益。规范说最终将德国法损害赔偿法上损害的本质确定为蕴含法律价值的规范评价,在特殊案件上适用规范损害的概念,弥补了差额说、组织说的缺陷,更大限度地发挥了损害赔偿法保护受害人的功能。

最终,差额说经过规范说的修正后,成为了德国的通说,也是我国民事立法与学界较为认可的学说。依据差额说将损害进行分类,按损害性质分为物质损害与非物质损害。我国立法还将非物质损害进一步分为人身损害和精神损害。综合来看,差额说具备从损害的事实状态出发,分别以主观的计算差额和客观的权益变化观察损害,便于承认个人信息泄露导致的有形损害、物质性损害,但与规范说相比,却存在忽视或偏离具备无形性、不确定性的风险与焦虑等原生损害、非物质性损害的劣势[11]

2.损害的认定与救济

数字时代算法程序对个人信息的侵害后果通常不以即时的人身损害、财产损害等传统的损害形式表现出来,而更多地体现为下列两种类型:一是因个人信息泄露导致自然人遭受歧视、身份盗窃或欺诈、信誉受损、信息保密性丧失等次生损害,此类损害的属于人身损害、财产损害的变形,其判定要点在于对个人信息处理行为进行合法性评价,在实践中通常不会发生判断难题7;二是个人信息泄露尚未导致实质损害结果的发生,而是导致信息主体在未来遭受次生损害的风险陡增,并由此使信息主体产生恐惧、焦虑、不安等负面的精神情绪8。基于差额说,风险在数字领域个人信息的非物质性损害认定存在很大疑问;而负面情绪作为精神损害,在实践中面临的判定难题主要源于《民法典》第1183条第1款对精神损害“严重性”的赔偿要求。

在现行的个人信息保护司法实践中,信息主体的人格权请求权和损害赔偿请求权是个人信息权利获得救济的主要方式。根据《中华人民共和国民法典》的动态系统论思路,当信息主体的人格权已经遭受算法程序的侵害或者有侵害的可能性时,信息主体可以通过主张人格权请求权来保护自身合法权益9;如果损害已经发生,信息主体则可以主张侵权请求权,特别是损害赔偿请求权来维护自身合法权益。此处的损害主要指客观的物质损失。但在日常生活中,算法程序对用户个人信息的影响常常表现为算法侵害用户个人信息的风险性损害和用户因发生次生损害的潜在风险而衍生出的精神损害,尚未发生实质性的客观物质损失,无法主张损害赔偿请求权。信息主体的个人信息一旦被算法程序收集利用,唯一的救济途径便是主张自身的人格权请求权,此时的救济方式仅限于主张停止侵害、排除妨害和消除危险请求权。在物质损害发生前,信息主体无法要求算法平台赔偿自身因抵御信息损害风险所产生的一切损失。由此可见,在数字时代,这三种救济方式并不能够实质性地维护信息主体的个人信息权益,数字领域个人信息的非物质性损害认定存在很大疑问。

三、数字时代个人信息损害法律应对的制度结构

数字经济时代,平台利用算法程序来自动化决策已成常态。而在损害发生的多种原因下,用户的个人信息保护不可避免地面临着困境,传统制度结构的局限性也日益突出。无论是在理论上还是在实践中,“利益平衡方法”与“风险管理方法”之理论视角和实践工具均已日臻成熟,据此,笔者以“风险规制”与“利益平衡”为核心理念,对现有的制度结构予以优化,畅通救济路径,实现个人信息保护路径的创新。

(一)算法侵害个人信息的风险规制

1. 强化个人信息处理方风险管理能力的行业规制

从构成要素的角度看,风险管理主要由三要素构成:一是人员。在实施技术和操作流程时,企业应当培训合适的人员,最大限度地提高技术的使用效率。意识、培训和教育是开展风险管理工作的关键。二是过程,即使用正式的行动序列来实现一个目标。三是技术,企业应当确保所购买的硬件或者软件符合成本效益,有意义且有效用[12]。因此,大数据企业要强化风险管理能力,首先应从人员入手。通过制定合理的公司章程与员工守则,在企业内部形成良好的风险管理氛围。通过定期培训的方式增强企业算法团队技术素养,提高企业内部员工的风险意识与风险调查分析能力,在充分利用组织内现有的风险管理资源的基础上坚持风险管理办法的创新,以更好应对算法侵害个人信息的风险;其次,企业应针对个人信息制定全面的风险管理目标。风险只能预防,不能杜绝。因此企业风险管理目标的设定绝对不能脱离实际。参考风险管理的目标的关键词:“减少”“明确剩余”“加以管理”。企业可以将算法平台的个人信息风险管理目标设定为:在总体方针上,尽可能避免或减少算法运行过程中产生的损害个人信息的风险,将剩余风险明确化,并制定合理措施对剩余风险加以管理;在具体方案的设定上,应结合风险管理的等级、发生频次、管理难度来看,即风险评估。信息处理者还可以制定“损害清单”,将“风险”类型化,以此完善算法程序的个人信息影响评估制度。最后,信息行业应在源头上大力推进科技创新,确保个人数据处理技术的先进性,降低个人信息安全风险发生的可能性。

2. 专设部门负责风险管理的行政规制

行政规制对于公民的个人信息保护具有重要意义,个人信息处理规则本质上是国家建立的一套公法秩序,应主要通过监管和公共执行机制予以保障和纠偏[13]。一直以来,我国个人信息保护的行政规制都存在着目标弱化、主体分散、措施乏力和程序模糊等问题。数字经济的蓬勃发展更是加重了个人信息保护的规制机构多头执法的现象,现存的行政规制尚且停留在行政处罚。唯有建立个人数据保护的专责机关,才可以解决行政组织在个人信息保护上的问题。风险规制包含三个要素:标准制定、信息收集和行为调节。拥有专责机关,针对个人信息保护的风险管理也会通过制定个人信息保护相关规则与技术标准、完善个人信息收集机制、制定合理的行政行为调节机制等方案来实施。

(二)实现利益平衡的路径设计

1. 建立利益平衡机制应以价值为基准。

价值天平的倾斜方是利益平衡机制建立的根本。个人信息集人格尊严价值、经济价值、公共管理价值于一身。各价值构成了利益平衡的对象。在有限的资源条件下,各主体间对个人信息具有不同的价值诉求,致使各价值之间很容易发生冲突。利益平衡机制的建立便是为了在个人信息的各价值之间发生冲突时,对各方价值予以权衡取舍,实现利益折衷,牺牲冲突中较小的价值,保护相对大的价值。

2. 算法开发利用应以公共利益原则为指导

算法程序作为一种技术工具,始终应该以公共利益为底色,推动社会朝着更美好的方向发展。其设计初衷是为了便利决策,为用户提供优质服务。然而,在私利的驱使下,部分算法开发利用方逐渐偏离了初心,利用“算法歧视”、“大数据杀熟”、“诱导沉迷”、“算法垄断”等不当方式牟利,将“算法”变为了“算计”,从而导致用户的多项权益受到损害。大数据企业亚健康的商业模式,将会扰乱数字市场经济秩序,阻碍数字经济的进一步发展。如美团外卖骑手的“夺命算法”。美团平台利用算法为骑手设定“最优配送方案”,希望能利用提高骑手配送效率的方式,来增强消费者满意度。在这其中,美团平台仅仅考虑到了企业整体的盈利,却忽视了外卖骑手的利益,其配送时间除了会受路线影响外,还可能会受到商家出餐时长、路况、气候等众多不可控因素的影响,这些因素皆是美团平台算法决策结果未体现的。故所谓“最优方案”仅是企业自认为的“最优”,并非兼顾各方利益的“最优”,在这其中,骑手的利益受到了损害。由此可见,算法的开发利用必须以公共利益原则为指导,才能辅助企业做出合理的算法决策。

3. 构建系统化的个人信息算法治理架构

构建个人、政府、企业三位一体的个人信息算法治理架构,对于用“利益平衡”理念化解算法对个人信息造成的损害具有极大意义。个人信息权益治理的关键在于赋予个人一定的私权并对信息权益加以保护,明确个人信息权益绝对不应被侵犯的领域,即个人信息领域与企业与政府皆无交集的部分。对此部分信息权益,政府与企业应适用“负面清单”管理模式;政府运用个人信息权力的治理关键在于明确政府运用个人信息的权力边界,给予政府一个信息利用“正面清单”;企业运用个人信息的治理关键则在于信息利用“负面清单”和“正面清单”之外的空白。构建起合理的个人信息治理架构,才能为企业和个人/政府之间进行的规则博弈和利益商谈提供指引,尽可能实现商业利益和社会发展的最大公约数。

(三)完善司法实践中算法侵害个人信息的损害认定

1.精神损害的救济

算法对用户个人信息造成的损害,既包括物质性损害,亦包括非物质性损害。笔者认为此处的非物质性损害包含了用户内心焦虑不安的精神损害。数据领域关于精神损害的认定我国立法并无直接规定,学术界也一直存在争议。但笔者认为,精神损害在我国现有立法中有迹可循。根据《个人信息保护法》第六十九条第二款中的“损失”二字可知,适用个人信息保护法时,只要使用户的个人信息权益受到侵害并造成损失的,无论是何种类型的损失都可以按照个人受到的损失或信息处理者获得的利益来确定赔偿数额。该条款间接的认可了精神损失的存在。另外,算法程序所侵害的个人信息属于个人私密信息,处于隐私权的范畴。面对隐私权侵权的行为,用户也具有精神损害赔偿的请求权。因此,我国的个人信息损害赔偿体系中存在精神损害。

我国《民法典》第一千一百八十三条第一款规定“侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿”。用“严重”对损害程度进行要求,可以防止侵权行为认定的泛滥。因此在数据领域的个人信息损害赔偿框架内,依旧应该适用“严格”标准以防止滥诉。而在精神损失程度上遵循“严格”标准,必然会给信息主体带来一定压力。因为数据发生的精神损害,都具有无形性与不可计量性的特点。因此,为均衡信息主体权益,笔者认为,损害认定除了可以参考《侵权责任法》司法解释以外,还可以考虑以下几个要素:一是信息类型;信息处理者泄露了用户的个人敏感信息;由于用户的个人敏感信息往往会涉及用户或他人的人格利益,因此该类信息的泄露往往会使用户蒙受极大的心理阴影,给信息主体带来严重精神损害。二是信息之间的关联性;信息处理者虽未侵害用户的个人敏感信息,但通过信息之间的关联可以识别出用户的身份从而对用户的敏感信息造成间接损害的,同样会对用户造成精神损害。

2.风险损害的救济

非物质损害应当包含风险损害。数字时代的到来,让用户个人信息的保护迎来了新挑战。个人信息在数据领域遭受侵害后,客观上可能尚未有实质的损害发生,而是仅仅具有未来发生损害的可能性。与一般的损害相比,个人数据损害具有模糊性,常常表现为个人数据泄露后被非法使用的未来风险[14],且该风险常常具有不可逆性、不可测性与扩散性。然而,《个人信息保护法》第69条仅仅规定了确定损害赔偿额的三种方法,而没有将个人信息泄露等情形致使的风险是否可以纳入损害范畴的直接规定。《民法典》规定的侵权损害类型包括财产损失与精神损害,也没有将风险纳入损害的类型。由此可见,在数据领域,传统的损害差额说已不能满足用户个人信息保护的需要。规范说主张从权益侵害的视角观察损害,揭示了个人信息泄露损害的价值评价属性,更容易接受各种类型的个人信息泄露损害。据此,笔者认为,应基于规范说中“损害包含未来可能发生不利益”的观点,对中国传统侵权法的损害概念做灵活的扩张解释,将“个人数据风险”作为独立于非物质损害中人身损害与精神损害的第三种非物质损害类型,承认未来风险作为损害的可赔偿性。

在财产或经济损害中的风险损害赔偿上,可以通过计算用户为降低风险发生概率所产生的预防支出数额对风险损害的范围进行计量。笔者认为,在风险损害上,依旧可以将风险损害认定为个人信息损害赔偿救济中的损失[15],来对其加以赔偿。其次,还可结合信息处理者侵害的个人信息性质、对个人信息的利用方式、主观恶性来进行损害的认定,并对风险损害的赔偿范围加以确定。据此,赔偿范围至少应当包含用户采取合理措施进行风险预防所产生的费用、用户因预防风险停止使用相关服务或产品而遭受使用利益丧失、用户积极维权制止侵权行为所支付的合理开支三部分内容。

3.引入惩罚性赔偿标准

近年来,算法领域中发生的个人信息侵权案件处理结果并不如人意。用户个人信息遭受损害的后果普遍轻微的(广泛而轻微)。导致最终在此类案件的审理中,用户的获赔数额往往不足以弥补其实际遭受的财产和精神损失。作为侵权行为人的被告往往是一些物质资源丰富,经济实力雄厚的大型企业,其付出极少的诉讼成本就可以让此类案件得到妥善解决。然而,其行为对用户造成的信息风险和损害是不可挽回的。从客观上来看,侵害行为后期能够造成的损害程度是一个未知项;从主观上来看,用户会因此长期遭遇恐慌与担忧的心理,缺乏安全感,从而对数字社会产生抵触与排斥。低诉讼成本高利益,并且个人信息损害代价大部分都由用户自身来承担,这种处理后果对有关企业毫无威慑力,反而导致信息企业利用算法侵害用户个人信息的行为更加猖狂肆意。要解决以上问题,笔者认为在算法损害个人信息的侵权案件中可以在采用最低数额的法定赔偿标准的基础上引入惩罚性赔偿标准。针对算法平台的主观意图、获利程度、对用户造成的实际损害(包括物质损害及非物质损害)等不同因素分别适用两种赔偿标准。不但可以优化侵权案件的处理结果,更好地保护用户的个人信息权益,还能倒逼企业自律,促进其从源头上合法、正当地处理用户个人信息,使得用户个人信息合法权益得到保障。

四、结语

数字时代的个人信息承载着众多价值。个人信息一旦在算法程序的运行中遭受过度收集与利用,会对信息主体产生各种类型的损害。其中既可能引起财产损失、人身伤害之类的次生损害,也可能会形成潜在风险和精神压力之类的原生损害。而我国传统损害认定框架之中仅仅对人身损害与财产损害具有明确规定,风险与精神损害等非物质损害缺乏法律的明确规定,这就导致一部分信息主体虽遭受了非物质损害,其权利却难以获得救济。为了更好的保护信息主体的合法权益,首先要在数据领域引入利益平衡理论与风险管理理论,对个人数据保护的路径进行设计,降低次生损害发生的风险;其次,有必要对我国的损害赔偿法中损害的概念予以扩张解释,将“规范说”的规范评价运用到算法程序的风险损害与精神损害之中,并将风险赔偿标准明确化,为信息主体提供更加完善的救济方案。让信息主体更安心地享受数字时代。

参考文献

[1] 塞奇威克,韦恩.算法(第4版)[M].谢路云,译.北京:人民邮电出版社,2012.

[2] 张吉豫.构建多元共治的算法治理体系[J].法律科学(西北政法大学学报),2022,40(01):115-123.

[3] 刘颖.数字社会中算法消费者的个人信息保护体系构建[J].广东社会科学,2022(01):261-271.

[4] 凯斯·桑斯坦.信息乌托邦:众人如何生产知识[M].毕竞悦,译.北京:法律出版社,2008.

[5] 石颖.算法歧视的发生逻辑与法律规制[J].理论探索,2022(03):122-128.

[6] 殷继国.人工智能时代算法垄断行为的反垄断法规制[J].比较法研究:1-21.

[7] 罗克研.企业数据在“裸奔” 学习通数据泄露事件背后难题和隐忧[J].中国质量万里行,2022,(07):92-93.

[8] 郑智航,徐昭曦.大数据时代算法歧视的法律规制与司法审查——以美国法律实践为例[J].比较法研究,2019(04):111-122.

[9] 崔淑洁,张弘.数据挖掘对个人信息的侵害与保护路径[J].西安交通大学学报(社会科学版),2020,40(06):137-144.

[10] 张平.大数据时代个人信息保护的立法选择[J].北京大学学报(哲学社会科学版),2017,54(03):143-151.

[11] 时诚.风险与焦虑:个人信息泄露新型损害的判定[J].中山大学法律评论,2021,19(02):49-69.

[12] 张涛.探寻个人信息保护的风险控制路径之维[J].法学,2022(06):57-71.

[13] 王锡锌.个人信息权益的三层构造及保护机制[J].现代法学,2021,43(05):105-123.

[14] 田野.风险作为损害:大数据时代侵权“损害”概念的革新[J].政治与法律,2021(10):25-39.DOI:10.15984/j.cnki.1005-9512.2021.10.003.

[15] 刘云.论个人信息非物质性损害的认定规则[J].经贸法律评论,2021,(01):60-72.

作者简介:王乐乐,2002年12月出生,女,汉族,山西运城人,本科在读,石河子大学法学院,  研究方向:民商法  

 1.“本文不对个人数据与个人信息进行区分,二者在本文等同适用”。

 2.参见国家市场监督管理总局行政处罚决定书(国市监处〔2021〕28号)。

 3.张继红:“论我国金融消费者信息权保护的立法完善——基于大数据时代金融信息流动的负面风险分析”,《法学论坛》,2016年第6期,第92-102页。

 4.Age,” Cleveland State Law Review, vol. 54, no. 1, 2006, pp.113. Daniel D. Barnhizer, “Propertization Metaphors for Bargaining Power and Control of the Self in the Information

5.参见王泽鉴:《民法总则》,北京:中国政法大学出版社,2001年版,第134页。

6. Vgl. Fuchs/Pauker/Baumgartner,Delikts-und Schadensersatzrecht, 9. Aufl., 2017, S. 380.有学者指出,在损害“差额说”提出的当时,德国法原则上并不承认精神损害,参见姚辉、邱鹏:《侵权行为法上损害概念的梳理与抉择》,载陈小君主编:《私法研究》第7卷,法律出版社2009年版,第35页。

7. 参见Article 4(12) of EU General Data Protection Regulation(GDPR)。

8. 参见中国农业银行股份有限公司某支行与张某储蓄存款合同纠纷案,甘肃省张掖市中级人民法院民事判决书(2020)甘07民终1157号。

9.参见王利明:《民法典人格权编中动态系统论的采纳与运用》,载《法学家》2020年第4期,第10页。