赵正群:盗用个人信息行为的违法性及其法律责任论析———对“罗彩霞案”的信息法解读(二)
四、盗用个人信息行为的法律责任
讨论盗用个人信息行为的法律责任问题意在回答并解决对受害人的救济和对侵权人的制裁问题。本节拟以“罗彩霞案”为例,分析盗用个人信息行为中相关侵权人应承担的多种法律责任,并以此建构起我国惩戒盗用个人信息行为的法律责任框架或体系。
( 一) 盗用个人信息行为的民事责任
我国民法对姓名权采取的是人格权保护模式。其救济方法包括: 停止侵害、恢复名誉、消除影响、赔礼道歉和赔偿损失。所谓赔偿损失包括经济损失和精神损失,并不包括转移侵权人因侵权行为而获得的利益。在“余厚生诉昆明凯天汽车工贸有限公司姓名权纠纷上诉案”②中,法院驳回了受害人关于收缴侵权人非法所得利益的诉求,理由是该项诉求“不属于因姓名权侵权所产生的法律责任承担方式和范围,故上诉人要求收缴非法所得利益的诉求不属于本案审理范围,本院不予审理”。损害赔偿是一个很有争议的问题,虽然全面赔偿的理念已被理论和实务界广泛认同,但却不能否认,我国的侵权损害赔偿范围仍过于狭小,有些案件的赔偿对受害者及其家人而言只是象征性的杯水车薪。过低的赔偿结果使得法律的威慑力大打折扣,甚至成为不法分子藐视法律权威和他人生命的原因。盗用个人信息所引发的直接经济损失一般较低,但通过诉讼等渠道寻求解决的成本却相对较高,这也是导致各类法律所规定的制度无法很好落实的主要原因之一。
“窃贼”盗用个人信息主要是为了攫取本属于信息主体的利益或者逃避本应由行为人承担的责任,那么对应的救济方法也就有两种: 如果是攫取信息主体利益的,盗用者应将该利益返还给信息主体; 如果是逃避责任的,则应由行为人继续承担该责任。“冒名顶替上大学”案件中的冒名者攫取了信息主体上大学的利益,所以盗用者应将因上大学而获得的利益返还给信息主体; 至于盗用个人信息骗取贷款的,则应由行为人继续承担还本付息的责任。法谚云:“一个人不得从他的不当行为中获利。”因此,法院可以要求被告将因侵权行为而获得的利益返还给原告。如在“齐玉苓案”中,法院曾以“惩戒违法行为”的理由将被告人因侵权行为所获得的利益( 即以齐玉苓名义领取的工资,扣除侵权人必要的生活费) 判归齐玉苓所有。法院的此种做法自然要比简单地收缴违法所得更显公平,但以“惩戒违法行为”作为理由总给人以惩罚性赔偿的感觉,可是根据我国的民事诉讼规则,法院没有自行创设惩罚性赔偿的权力。从信息法的角度来看,侵权人盗用受害人的个人信息领取工资的行为是攫取了本属于受害人的利益,所以应当将侵权人因侵权而获得的利益认定为不当得利,依不当得利的处理规则将该利益返还给受害人。侵害他人权益而使他人受到损害,构成侵权行为。侵权人因其行为而获得利益或者具有违法性,或者违反权益归属而欠缺保有利益的正当性,属于不当得利。所以,侵权行为和不当得利可以并存。在“冒名顶替上大学”类案件中,受害人经过辛勤的学习努力而取得上大学的资格,这是一种可期待的利益。冒名者通过盗用受害人个人信息的方式攫取了受害人的此种利益,应当属于不当得利。
侵权损害赔偿的目的在于弥补受害人的损失,不当得利返还的目的在于除去受益人的不当收益,所以会发生损害赔偿请求权与不当得利返还请求权的聚合,受害人可以同时主张两种请求权。在“冒名顶替上大学”类案件中,受害人既可以请求侵权人赔偿自己因侵权行为而遭受的损失,也可以同时要求侵权人返还因侵权行为而获得的利益。对此,法院应当予以支持。
此种逻辑推理还可以进一步适用到因“冒名工作”而获得利益应当返还的解释之中。冒名者明知自己“冒名工作”是违法行为而仍然为之,所以冒名者的行为构成侵权是毋庸置疑的。此种情况下,冒名者的获益包括两部分: 一是本应属于信息主体的个人信息权的价值,二是冒名者通过自身劳动创造的价值。对于前者,本属于信息主体所有,应当返还; 对于后者,这部分多出的利益与信息主体的损失不具有因果关系,仅是条件关系,无直接因果关系的利益不属于返还范围。在“齐玉苓案”中,法院将被告以齐玉苓名义领取的工资扣除必要的生活费用后返还给原告齐玉苓,这里可以将“必要的生活费”解释为被告的劳动价值,所以不用返还。应当注意《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第十条之规定,在确定精神损害的赔偿数额时应考虑侵权人的获利情况,可见我国的精神损害赔偿制度也具有剥夺被告不当得利的功能。根据“一事不再理”的法律原则,同一情节不应受到法律的重复评价。所以,如果在确定精神损害赔偿数额时考虑了侵权人的获利情况就不应再适用不当得利规则,反之亦然。不过从法理上来看,适用不当得利规则来剥夺侵权人的收益更“名正言顺”一些。当初之所以规定在确定精神损害赔偿数额时要考虑侵权人的获利情况,是因为“在有些情况下,可能受害人仅遭受了精神损害,没有经济利益损失,但侵权人却获得了利益。如果不考虑侵权人的获利情况而允许侵权人赔偿后仍然获得利益,显然不合理”。当时的司法解释制作者或没有注意到民法上的不当得利制度已经可以防止他们所担心的“不合理”现象发生,所以在确定精神损害赔偿时考虑侵权人的获利情况显得有些多余。
( 二) 盗用个人信息行为的行政责任
行政机关在防范盗用个人信息行为的过程中起着不可替代的作用。2008 年 5 月 1 日,《中华人民共和国政府信息公开条例》( 以下简称“条例”) 实施,标志我国法制建设开始进入了一个“信息法制”的新时期,当然也给我们提供了一个运用信息法规范解读“罗彩霞案”的新视角。
盗用个人信息的首要环节是获取个人信息。在多种个体和组织中,持有个人信息数量最多的是政府机构。在政府信息公开的背景下,如何保护个人信息就成为一个重要问题。为了使个人信息免于为外人所知,政府需要对它们进行保密,即不予公开。这不仅是遏制盗用个人信息行为的重要措施,也是维护政府自身公信力的需要。因为,如果盗用者能够通过政府信息公开这种合法的渠道获得他人的个人信息,无疑会对社会造成更大的危害。如果政府不能很好地保护个人信息,那么将不会有人愿意向政府提供个人信息,政府的许多职能将无法履行,有序社会的目标也不可能实现。基于这一认识,各国关于政府信息公开的法律都无一例外地对个人信息予以保护。
“条例”第十四条第三款规定:“行政机关不得公开涉及……个人隐私的政府信息。”在我国的通用语义上,隐私信息是个人信息的一部分,其外延小于个人信息。隐私信息通常仅限于信息主体不愿他人知道或他人不便知道的个人信息,个人信息则包含能够识别出信息主体特殊标志的信息。比较两者的概念,可以发现两者的定义角度是不同的,隐私信息是从个人,即信息主体自身感觉的角度定义的,而个人信息是从外界认知的角度定义的。隐私信息的内容必然包括能够识别出信息主体的特殊标志,但个人信息却未必都是信息主体希望保密的,很多个人信息正是为了便于社会交往才创造的,如姓名、电子邮箱等。
虽然“条例”在公开豁免事项中使用的是外延较小的“隐私”一词,但并不能就此认为政府机关对其他种类的个人信息不存在保护义务。如“条例”第二十五条提到:“公民、法人或其他组织向行政机关申请提供与其自身相关的税费缴纳、社会保障、医疗卫生等政府信息的,应当出示有效身份证件或证明文件。”如果不考虑该条中涉及的“法人”和“其他组织”,我们会发现“与其自身相关的税费缴纳、社会保障、医疗卫生等政府信息”实质上是“公民”的个人信息。这些信息只有信息主体本人才能查询( 出示身份证件只是为了证明信息主体的身份而已) ,这等于间接规定了个人信息不能对除信息主体以外的其他人公开。“条例”要求当事人申请公开与自身相关的信息时,除按照依申请公开政府信息的一般规定应当提交书面申请外,“还应出示身份证件或证明文件,这样做是为了便于行政机关确定申请人的身份,避免政府信息被随意申请公开,侵犯他人的合法权益”。
在“罗彩霞案”中,学校和教育机关负有保护考生个人信息的义务。“条例”第三十七条规定:“教育……等与人民群众利益密切相关的公共事业单位在提供社会公共服务过程中制作、获取的信息的公开,参照本条例执行,具体办法由国务院有关主管部门或者机构制定。”参照“条例”,邵东县第一中学负有保护考生个人信息的义务。然而邵东县第一中学教师张文迪却向王峥嵘提供了罗彩霞的高考分数、考号、身份证号等相关高考信息,其行为明显违反了“条例”的规定。邵东县第一中学对本校教师疏于管理,没有尽到保护学生个人信息的义务,无疑应当承担行政法律责任。
贵州师范大学依据《教育法》和《高等教育法》行使招生权。录取通知书是在行使这一权利过程中产生的文书,录取通知书上载有考生姓名、考号、身份证号等个人信息。在“罗彩霞案”中,录取通知书尚未被邮寄,仍然属于政府信息范畴。贵州师范大学历史与政治学院院长唐昆雄直接从学校将录取通知书取走,贵州师范大学没有履行保护考生个人信息的义务,其行为明显违反了“条例”的规定,也应当承担行政法律责任。
值得注意的是,教育部下发的《2004 年普通高等学校招生工作规定》第五十一条第二款提到:“高等学校根据有关省级招办核准备案的录取考生名单填写录取通知书,加盖本校校章直接寄送被录取考生。”第五十四条规定:“对属于考生个人信息及有关录取过程中需要保密的工作内容,任何单位和个人不得擅自公开。考生可通过各省级招办提供的途径查询本人的录取结果。”可见,早在 2004 年,教育部就已经注意到应对考生的个人信息予以保护,但却仍然未能防止“罗彩霞案”的发生。其中的原因是多方面的,但是缺乏个人信息保护法律意识无疑是一个重要原因。因为教育部的本规定只要求不得公开考生个人信息,却没有规定对泄露个人信息行为的法律制裁。相比之下,该文件第六十七条却明确规定,对于违规公开保密内容的行为,则要依据原治安管理处罚条例、保密法、刑法给予处罚。至于罗彩霞本人,她根本没有想到自己的个人信息已经被盗用,所以也没有去行使“查询本人录取结果”的权利。
“条例”规定了较为严密的监督和保障措施。其第三十五条规定: 行政机关违反本条例的规定,“公开不应公开的政府信息的……由监察机关、上一级行政机关责令改正; 情节严重的,对行政机关直接负责的主管人员和其他直接责任人员给予处分,构成犯罪的,依法追究刑事责任。”经刑法修正案( 七) 修改后的刑法第二百五十三条之一规定:“国家机关或者金融、电信、交通、教育、医
疗等单位的工作人员违反国家规定,将本单位在履行职责过程中获得的公民个人信息,出售或者非法提供给他人的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”可见,如今的个人信息已有了行政法和刑法的双重保护,所具有的威慑力已今非昔比。
在对受害人的救济方面,“条例”第三十三条第二款规定:“公民、法人或者其他组织认为行政机关在政府信息公开工作中的具体行政行为侵犯其合法权益的,可依法申请行政复议或者提起行政诉讼。”邵东县第一中学和贵州师范大学因为违法公开了罗彩霞的个人信息,侵犯了罗彩霞的利益,罗彩霞可以隐私权受到侵犯为由申请行政复议或者提起行政诉讼。当然这里的隐私权是要做扩大解释的。本文认为现代隐私权所保障的内容已不限于传统意义上的不为人所知、不愿或者不便为人所知的私事,而是扩大到了所谓的个人信息。在“李鑫诉虞城县人民政府信息公开纠纷案”中,被告正是以“供种清册上有农户身份证号等个人信息,属于个人隐私”为由拒绝公开该文件。这涉及私法上隐私权与公法上隐私权的区别问题。因为传统的隐私权无法包容公法条件下的众多权利内容,这就需要对它进行扩大解释。在我国现行信息法律体系尚不完备的情况下,在公法领域将隐私权作扩大解释的确有利于维护公民的权利。
与民事诉讼中的损害赔偿问题相同,隐私权等个人信息权利遭受侵犯时,所产生的危害后果不容易用金钱来衡量,在行政赔偿诉讼中原告也很难对损害的数额举证。为了解决这个问题,一些国家和地区的个人信息保护制度采用了法定赔偿数额的方法。即原告只需证明侵权行为的存在而无需证明具体的损害结果是多少,即可获得法定数额的赔偿。例如我国台湾地区的“计算机处理个人数据保护法”( 1995 年 8 月 11 日发布) 第二十七条规定:“公务机关违反本法规定,致当事人权益受损害者,应负损害赔偿责任……被害人虽非财产上之损害,亦得请求赔偿相当之金额;其名誉被损害者,并得请求为恢复名誉之适当处分。前二项损害赔偿总额,以每人每一事件新台币二万元以上十万元以下计算,但能证明其所受之损害额高于该金额者,不在此限。基于同一原因事实应对当事人负损害赔偿责任者,其合计最高总额以‘新台币’二千万元为限……”美国《隐私权法》也规定在行政机关侵权的情况下至少应赔偿 1000 美元(《美国法典》第 5 编第 552a 条第 7
款第 4 项) 。
以上分析中的维权主体都是信息主体本人。但应当注意到个人信息不仅具有私人性同时也具有社会性。一方面个人信息对民主政治的运作、信息经济的发展与和谐社会的构建起着不可或缺的作用; 另一方面由于科技和市场的发展,已经使任何人都越来越难以凭借自身力量独自保护个人信息。尤其是盗用个人信息行为的隐蔽性使得受害人很难发现侵权行为的存在。“罗彩霞案”中,真假罗彩霞使用同一个人信息同时存在了长达四年的时间。若不是由于种种“巧合”因素,盗用个人信息行为可能隐藏更长久。在其他冒名顶替上大学事件中,侵权行为隐匿的时间更长,如“王俊亮案”是 7 年,“齐玉苓案”是 9 年,“邹志静案”是 10 年。