网络侵权律师，网络侵权律师费

飞飞
知识
2023-10-10 14:20:02

网络运营者承担精神损害赔偿责任之合理性

传统的物理空间内侵权所造成的损害一般包括人身损害和财产损害，比如人身完整性、利益丧失等不利结果。但是，很多时候用户信息泄露并不必然导致即时的身体伤害或财产损失。

相反，更多是受害人因此而遭受相应的风险与焦虑，即未来发生隐私被窥探、身份被盗用或遭遇歧视、诈骗或勒索等侵害风险的显著增加，以及这些风险让他们产生难以言明的恐惧与焦虑等不良的精神或心理反应。

简言之，个人信息泄露更多是对“人格”的冲击，其所导致的损害形式难以客观评判和予以精确量化。虽然风险与焦虑无法像金钱损失或财产毁坏这种现实损害那样易于发现、评估与量化，但不能因此否认个人信息泄露损害的存在。

目前，我国法院对风险与焦虑损害的问题着墨不多，大多是采用严格的损害认定标准，以精神损害未达“严重”或“明显”程度而拒绝认定个人信息泄露造成了应予赔偿的精神损害。

难以否认，与财产损害以及与身体伤害相牵连的传统精神损害相比，风险与恐惧因其继发性、无形性以及不易计量性等特点从而更难识别与评估，甚至还可能被滥用。焦虑或恐惧是精神损害的形式之一。

“雷米亚斯案”中法院依据的事实是足以让信息泄露的用户处于风险之中，因为遭泄露的个人信息尤其是敏感信息很可能会被用于不法或不当目的，那些令其尴尬或声誉受损的信息的泄露而令用户精神备受打击者甚众。

完全可以说，用户信息泄露对受害人心理或精神产生的不利影响显而易见。不过，普通精神损害虽难量化，但相对容易认定，但结合了未来侵害之风险的精神损害更难度量因而不易获得承认。

尽管如此，美国《第三次侵权法重述》第 46 条还是规定，特定情形下因过失导致他人遭受严重情绪不安者应承担责任。

无独有偶，法国法规定了非因身体伤害而引起的身心痛苦、精神创伤等纯粹精神损害的可赔偿性；德国法则通过将精神创伤等精神损害解释为对健康权的侵害从而予以保护。

网络运营者精神损害赔偿责任之标准

传统理论上，对于财产损害赔偿通常采“差额说”，而精神损害赔偿主要基于人身权损害而得以适用。那么，作为通说人格权之个人信息泄露侵权中，适用精神损害赔偿当属题中之义。

与一般财产损害不同，精神损害赔偿以赔偿法定、数额酌定为其要点，多由裁判者在综合考虑精神痛苦严重程度、受害者个人因素等具体情况的基础上酌定。

我国《民法典》第 1183 条第 1 款规定，因人身权益受侵害而遭致的精神损害达到“严重”程度时，被害人“有权请求”精神损害赔偿。显然，该规定所谓“严重”程度之确定，必当使被侵权人负担较重的证明责任。

实践中，确有不少法院以被侵权人未能证明其因个人信息泄露而遭受“明显的精神痛苦”或“严重的精神损害”为由驳回了他们的精神损害赔偿请求。在这些法院看来，当事人所遭受的精神损害并未达到医学上认定的精神或心理疾病程度。

这也是实践中较普遍的认定精神损害是否“严重”或“明显”的标准。其实，“严重”这一限制条件似无太大必要，因为它会进一步淡化现代侵权法本已摇摇欲坠的惩罚功能。

相较传统民法精神损害赔偿之“明显”或“严重”标准，信息泄露侵权之损害赔偿有所不同，主要表现在后者信息泄露侵权行为范围更广，且与后续精神损害之间的时间差更长、更具不确定性，因此潜在风险更多、赔偿主张更难实现。

故而，对于在个人信息泄露侵权中的精神损害赔偿传统标准应当予以降低，此种趋势在比较法视角上已初见端倪。信息泄露精神损害程度要件呈现式微之势，如欧盟《一般数据保护条例》第 82 条第 1 款规定，任何因数据控制者或处理者违反规定而遭受非财产损害的人，都有权要求获得赔偿。

无论是规定本身还是该条款的具体解释，均未对非财产损害设定“严重”或“明显”这一程度要求。同样地，为降低当事人提起精神损害赔偿的门槛，德国新的数据保护立法已删除旧法曾规定的“严重侵害人格权”之要件，以期强化非财产损害的赔偿进而实现更有效的数据保护。

对与信息泄露侵权之精神上赔偿额数额，可以借鉴知识产权中惩罚性赔偿实际损失或违法所得之标准，综合考虑信息泄露的范围大小、程度深浅以及可能造成的损害大小，分别设定差序之赔偿数额范围，在难以确定诸要素的时候，则以法定数额为标准进行赔偿。

总而言之，面对愈发严峻的信息泄露的现状，同时提供有效的侵权法救济渠道，后续立法和司法解释可以考虑有限度地突破《民法典》第 1183 条第 1 款中“严重精神损害”字面含义，并且应根据信息泄露严重程度、范围等。

以及受害人具体情形来判断其精神损害之主张是否符合法律，同时避免机械化地将其等同为医学上的精神疾病。当然，灵活或从宽解释并不意味无需对精神损害的真实性进行审查或对那些显著轻微的权益侵害行为动辄得咎。

被侵权人仍须向法院提供能证明精神损害的初步证据，包括其因精神痛苦或焦虑等负面情绪而遭受身体上的某种伤害或日常行为已因此而受到妨碍等，但该证明责任不在于强求受害人证明其经受的焦虑或精神痛苦已达精神病症或心理疾病等程度。

相反，信息泄露之受害人只要能证明个人信息泄露已导致其产生相当程度的精神压力或痛苦即可，赔偿数额上可以根据信息泄露的程度和范围酌情确定，以图在侵权责任条款所具有的权益保护与协调行为自由两大功能之间实现平衡。

数据化是网络时代的重要特征之一，其在推动科技进步、生活便利等方面成效显著，但与此同时，数据化也带来诸多的风险与挑战，本文所探讨的网络运营者泄露用户信息即为当下亟需法律予以回应的问题。

从行为方式上看，信息泄露和合理利用之间差异明显，前者并非出于技术中立之立场对用户信息的合理无害的使用，而是基于非正当目的或通过非正当的手段实现的信息传通。

无论是网络运营者出于非法牟利或其他不正当目的而主动泄露用户信息，还是掌握专业技术的“黑客”等利用技术漏洞或其他手段，窃取网络平台收集、储存的用户信息并出售牟利或恶意公开，都极有可能会给信息主体乃至整个社会带来重大风险甚至造成重大损失。

信息主体因个人信息的泄露而面临经济、名誉等多种形态的侵害风险，政府也将不得不通过行政或刑事执法以及后续的司法活动消弭信息泄露带来的后果，进而负担不菲的社会成本。

《民法典》第 1038 条第 2 款规定了信息处理者的安全保护义务，为解决网络信息泄露侵权提供了法律依据。本文通过对近来愈加频繁的网络信息泄露案件的观察发现，不同于传统侵权形式，信息泄露侵权具有独特的特性。

例如，在网络环境下，信息传播速度之快、辐射面之广、网络运营者掌握用户的个人信息之海量，导致一旦出现信息泄露，将会给信息主体和社会带来不可逆的伤害。然而相较于信息主体，信息处理者掌握着更为丰富的信息技术，向其课以信息安全保护义务又确有必要。

因此，网络运营者泄露用户信息案件中适用无过错责任抑或是过错责任各有利弊，但均不能有效回应和遏制当前网络信息泄露愈演愈烈的局面。

考虑到网络运营者与用户之间在信息和技术等方面的不对等，因此，就该类型的侵权的归责原则而言，网络运营者应承担过错推定责任，即由网络运营者就其已适当履行应尽之信息安全保护义务进行证明，否则即应承担侵权责任。

违反信息安全保护义务是过错的事实构成，对此无需赘述，但其具体的构成要件应包括危险开启、必要性和期待性。具体言之，网络运营者作为个人信息的获取者和保存者，即为危险的开启者，自然有义务控制危险的发生。

作为危险开启者的网络运营者应当采取必要且有效的措施，即控制危险必须要做到的措施。网络运营者提供安全保护措施在技术上是具有可操作性，在经济上亦具有可行性。归责原则以外，则需考虑举证责任及其限度问题。

网络条件下的信息是以数据为载体并通过一定方式识别的，数据流动性推动信息传播进一步高速化和全面化，因而对信息进行收集、储存、识别、保管和使用的任何过程中都有可能造成信息泄露。

故此，在证明网络运营者是否实施了泄露个人信息行为时，应当采取高度可能性的证明标准。该标准的优势就在于：既遵循了《民事诉讼法》所规定的举证责任分配方式，同时兼顾了网络运营者在信息收集、存储和利用上具有优势地位导致的举证能力失衡。

即用户仍对个人信息被泄露以及由此造成损害等内容负担举证责任，但由于信息传递的技术性和隐蔽性，要求信息主题确切无疑地证明究竟网络运营者泄露其信息，是对信息主体在证明责任和标准上的苛责，前文中对类似案件的实证分析即为例证。

责任承担方面，个人信息泄露事件往往并非均源于涉及网络运营者的恶意泄露，还可能来自于“黑客”等窃取用户信息的行为，此二种情况中网络运营者的主观状态截然不同。

因此，网络运营者的责任承担应以是否存在第三人介入的情形加以区分，而不能苛责网络运营者承担全部侵权责任。在无第三人介入的情形之下，网络运营者理应承担未尽应尽信息安全保护义务的责任；同时要为其雇员因职务行为造成用户个人信息泄露损害承担替代责任。

在有第三人介入的情形下亦应予以类型化讨论：当网络运营者明知第三人盗取他人个人信息且未采取防范措施，致使用户信息泄露，因而引发次生损害等情形，可根据《民法典》第 1168 条、第 1170 条、第 1171 条的一般规定。

以及第 1195 条第 2 款与第 1197 条关于网络侵权的特别规定，要求网络运营者与第三方侵权人承担连带责任；当个人信息泄露是由于网络运营者违反信息安全保护义务以及第三人过失侵权共同造成的情形下，可援引《民法典》第 1172 条之规定，要求网络运营者与第三人根据各自的过错程度和原因力向受害人承担按份责任；