人工智能侵害个人信息适用惩罚性赔偿之构想

文 | 江长涛 陈子涵

个人信息兼具人身财产双属性，辐射个人、社会和国家多领域，对相应的监管与救济措施提出了更高的要求。我国已经制定了民法典、网络安全法和个人信息保护法等相关信息保护政策，构建起个人信息法治保护的四梁八柱。然而实践中，个人信息侵权行为仍屡屡发生，尤其是生成式人工智能技术蓬勃发展，个人信息侵权案件面临复杂性、难以控制性等问题，立法的应然效能未能如愿实现。惩罚性赔偿制度的威慑和激励功能与个人信息保护的本质契合，因此将该制度扩展到个人信息领域具有理论和现实基础。

适用惩罚性赔偿的理论证成

基于法经济学理论的探讨，“公法私法化”和“私法公法化”在克服“看不见的手”的缺陷方面具有一定优势。一方面，多角度多领域的侵权行为对人民的生活造成不良影响，这促使私法应以一种主动出击的方式进行规避调整，从而更好地保护人民群众的合法利益，这是私法承担社会治理功能的理念。另一方面，以个体身份起诉的受害人，除了为自身利益考量之外，还充当着国家公共权力的代表，减少经济无效行为是国家追求的方向，对受害人进行救济，实际上就是国家以私力救济为手段促进政策目的的实现。人工智能侵害个人信息更具有隐蔽性和复杂性，在个人信息保护领域引入惩罚性赔偿制度恰好使得公法与私法、公权与私权有效衔接。

在法秩序统一原则下，如果刑事和行政处罚对个人信息侵权行为达到足够的惩治和遏制作用，在私法中引入惩罚性赔偿制度就会造成功能的重叠。但刑事处罚、行政处罚、惩罚性赔偿适用原则和适用条件不尽相同，侵权法与刑法的分离，不可避免会产生相对空白的中间地带，存在不构成犯罪但又危害社会利益的行为无法有效受到法律的规制。在此情形下，引入惩罚性赔偿制度回应个人信息侵权行为，充分发挥私法作用，与公法惩罚体系相辅相成，不会造成刑事、行政和民事功能重叠的困境，且在一定程度上解决了公法缺位的问题。

从矫正主义考虑，在补偿性赔偿之外增加一笔金额以产生足够多的违法成本，侵害人与受害人之间重新进行资源配置，实现两者之间的矫正正义。一方面，人工智能处理数据信息速度之快、涉及面广泛，被不法分子利用泄露和虚构个人信息所造成的损害往往难以计算，很多受害人基于多方面考虑不愿意提起诉讼，这种现象会导致个人信息救济的“公地悲剧”。另一方面，当违法成本小于违法获益时，侵害人便乐于寻求这样的违法行为。引入惩罚性赔偿制度可以扭转“低成本、高收益”的困境，推进个人信息处理者积极履行数据合规义务，从而实现社会利益的平衡。

适用惩罚性赔偿的现实基础

大规模人工智能个人信息侵权案件频发。“大规模侵权”具有加害人的单一性或有限多数性的特点，尤为体现在涉人工智能个人信息侵权案件中。以“个人信息”“AI”“人工智能”为关键词，以“民事”为案由，搜索涉人工智能侵权案件，主要有以下类型：一是利用信息技术手段伪造他人照片，以及通过AI换脸等技术侵犯他人肖像权;二是人脸识别技术未经用户同意，采集用户的面部信息;三是生成式人工智能违规收集、处理大量个人信息，造成个人信息泄露。生成式人工智能技术，例如以ChatGPT为代表的自然语言处理模型的发展，不再局限于文本生成，而是扩展到了图像、音频等多种模态，在训练过程中会接触到大量个人数据，如果数据保护措施不到位，可能存在违规收集、使用或泄露大量的个人信息的侵权情况。此类侵权行为不同于传统的二元结构侵权模式，而是以未知的人工智能技术及其背后的运营商、信息提供者和使用者为侵权主体，受害人为数众多，存在人身或财产等不同损害后果。

人工智能侵害个人信息存在救济困境。生成式人工智能技术通过不断地训练和处理信息，在用户基于工作或者学习需要生成文本时，输入和披露个人信息、商业信息甚至是商业秘密，这些交互信息同样会被用于人工智能技术的持续迭代训练，且生成式人工智能技术难以将已经输入的个人信息彻底删除，若被居心叵测的网络服务提供者或者其他不法用户获取和处理信息，就会导致个人信息侵权案件的发生。由此可见，受害者维护个人信息所付出的沉没成本极大概率无法得到经济上的弥补，而已经遭受的个人信息泄露所导致的间接损失或者潜在损失更无法得到救济支持。大量类似侵权案件的出现，问题的根本不在于对受害人进行赔偿，更重要的是如何实现对个人以及社会无形价值的恢复。但现有的损害赔偿等传统民事侵权责任承担方式以损害为前提，大大削弱了受害者维权意识和法律的威严。补偿性损害赔偿制度无法做到违法成本与维权成本的平等配置，在考虑如何加强个人信息保护时必须转换思路，不能仅局限于如何确立民事侵权责任这一角度，而应意识到现行民事侵权救济制度的局限性。

惩罚性赔偿制度的构建路径

我国个人信息惩罚性赔偿的建立具有理论和现实基础，可通过渐进性思路，从归责原则、适用条件及计算标准等方面构建人工智能个人信息惩罚性赔偿制度。

区分类型采用二元归责体系，根据有无损害分别适用无过错责任原则和过错推定责任原则。在无损害的情况下，适用过错推定原则，不法侵害他人个人信息本身即为侵权行为，个人信息处理者不能证明自己没有过错的，应承担相应责任;若造成损害后果，应加大对受害者的保护，无论侵害人过错与否，均应严厉惩处。首先，在未造成损害的个人信息侵权案件中，由于个人信息的无形性、易得性以及造成的影响难以恢复等特点，已泄露或被侵害的个人信息虽未造成损害后果，但仍旧存在潜在的损害风险，法律对潜在的风险应当提前规避。其次，无过错归责原则的本质不是对违法行为的惩罚，而是对不幸损害的合理且公正的分配，涉及到价值衡量。在具有损害的情况下，消除过错要件的证明困境，倾斜于对受害者的保护，有利于平衡当事人之间的利益。最后，惩罚性赔偿的特点在于赔偿和惩罚，未造成损害情况下低于造成损害情况下的侵权行为严重性，在前者适用过错推定责任，较无过错责任严苛又较过错责任宽松，既体现对受害者维权成本的赔偿，也体现对侵害者侵权行为的惩罚。而在具有损害的情况下，无论过错与否，损害后果已存在的事实无法改变，更应对受害者予以赔偿，对侵害者予以惩罚。

损害后果不应作为惩罚性赔偿的必要前提条件。个人信息惩罚性赔偿的适用争议主要集中于是否以损害后果为适用前提。肯定者认为，无损害赔偿会导致惩罚性赔偿的盲目扩张，演变为自由裁量权下的利益掠夺工具;否定者则认为，单纯侵害个人信息的行为是下游损害的初始源头，如果仅对损害后果加以惩戒，而不规制侵权行为则难以有效根治问题。基于“最优威慑理论”，应将惩罚性赔偿与补偿性赔偿脱离，惩罚性赔偿的适用不宜以损害结果为必要条件。个人信息保护的价值目标具有二元性，不仅意在保护信息主体，还具有维护公共利益和社会稳定的公益目的，应契合兼顾公共利益和个人利益的个人信息价值内核，故单个案件及其损害后果不应当作为惩罚性赔偿适用的必要条件，而应在于整个社会的个人信息侵权案件后果。

明确人工智能侵害个人信息适用惩罚性赔偿的金额计算标准。个人信息保护和消费者权益保护所遭遇的困境具有高度同质性，体现为不特定多数人、单个损害成本低和潜在风险高等方面，因此可以参照消费者领域惩罚性赔偿的相关制度。根据损害后果来确定适用不同情况下的惩罚性赔偿金额标准，在造成损害但损害较低或者违法获利较少的情况下，参照消费者权益保护领域建立微额损害最低赔偿制度，设定最低赔偿制度，由法院在法律规定的幅度范围内裁决。当实际损害和违法获利小于微额损害最低赔偿制度规定的赔偿数额时，应当以后者为基数进行计算，以确保惩罚性赔偿充分发挥其功能。在造成损害后果的人工智能个人信息侵权案件中，参考我国消费者权益保护法相关规定，以现实损害为基数，按照规定的固定倍数计算惩罚性赔偿金。例如参照实际损害的两倍及以上综合计算惩罚性赔偿金额，同时综合考虑侵害人主观恶性、侵害人数规模、侵害信息数量规模、跨地区跨领域情况以及侵害人造成的除现实损害以外的潜在风险等因素，划定不同的赔偿限度，在特定情况下可以超出相应的限制规定。

作者分别系河南省驻马店市中级人民法院党组副书记、副院长，河南省驻马店市中级人民法院法官助理