厦门大学法学院 李天忻

一、汉德公式改进

侵权责任的经济本质即通过责任的运用，将那些由于高交易成本造成的外部性内部化，以实现补偿和事故预防。法经济学将社会事故成本简化为事故预防成本和事故损失（即事故发生的预期责任），法律责任回答的即为如何提供激励来实现该社会总成本最小化的问题。若某一法律责任能产生最低的总社会成本，则称其为有效率的责任，该责任提供的是社会最优的事故预防水平（即有效率的预防水平）。

论证该结论的逻辑是简明的：在理性人和风险中立的假设下，即行为人总是希望以最小的成本获得最大的收益且愿意为此承担一定的风险。这样当他发现可以投入更少的预防成本来避免更大的预期事故损失时，则有激励采取措施，直至一单位的预防成本恰好只能避免一单位的预期责任时停止。该点对应的预防水平即为预期责任下的社会最优预防水平，此时事故发生的总成本降至最低。那么侵权法的主要目标就是确定一个损失的分担比例，当一方未采取社会最优预防水平时，法庭能够使得任一方当事人至少承担他增加预防成本至社会最优预防水平所能避免的社会损失。波斯纳、考特、萨维尔等学者都立足于博弈论来论证各种责任下的不同预防激励。

综上，设X为侵权人的预防水平，Y为个人信息侵权的事故总成本。预防成本每单位ω元，则ωx预防成本函数关于注意水平的单调递增。用p表示事故发生的概率，A为损失造成的货币价值，则P(x)A的事故预期损失是关于注意水平X的单调递减函数。但个人信息权益的二元性表达了不只是作为人格利益的个人隐私需要锁定，同时也要保护它的信息资源利用效率，其不仅对企业的产品开发、科技创新有着经济市场的发展作用，甚至对社会公共职能领域也有服务和管理的价值，包括应对紧急公共事件、交通管控、医疗、通讯、预防打击违法犯罪等。个人信息的侵权判定总要进行细致的利益衡量。因此，再进一步观察个人信息的利用，会发现若管制过严、预防水平过大，在一定程度上则会使企业、组织或其他能够从信息利用中取得效用者陷入困境，进而遏制利用效率，导致社会福利减少，产生负效应。基于此，将P(x)A由单调递减改为开口向上的U型曲线，其有最低点A0，如图1。

图1 个人信息侵权损害最优预防函数

函数E(sc)=ωx+P(x)A为预防成本和预期损害成本在每一个注意水平x上的垂直相加，则社会总成本E(sc)为有最低点的开口向上曲线，该最低点所对应的X*即为使事故预期伤害最小的预防水平，此时ω=-p’A，不可能再通过投入预防来降低社会损失，此点即为社会最优预防以及法定的谨慎标准。换言之，在完全赔偿条件下，当法律标准提供的是有效率的预防水平时，过失责任为潜在的行为人提供了有效率的预防激励。在个人信息侵权案件事件中，这个最低限度的预防责任点可以在很大程度上指导对风险分配的考量，一般需要法官根据个案自由裁量。在“大数据杀熟第一案”中，胡女士因被收取高于市场价2倍的酒店房费而起诉携程。法院虽认为存在“信息收集不当、超出最小范围之限”等违法处理用户个人信息行为，但并没有支持胡女士提出的“不同意《隐私政策》仍可使用APP”的诉讼请求，认为“这将会全盘否定《服务协议》和《隐私政策》。虽然该决定可能满足制止或预防侵权行为的发生的目的，但亦对众多用户利益产生深远影响，应当慎重选择平衡信息提供者利益、数据平台使用者利益和公共利益。”这正是一个个案确定了一个责任点范围后指导风险分配，看见了过高预防义务对该平台经营的负效用，并旨在使整个社会成本的最小化的汉德公式“运用”。

二、个人信息侵权归责的法经济分析

学术界对于个人信息权益归责原则的一直有着不同观点及其论证，可以发现随着时间的推移，有着从一般过错、过错推定到严格的无过错归责的趋严的观点倾向。自《信保法》出台后，大多实务人士与学者不满足于过错推定，侵害个人信息权益损害赔偿责任的严格责任成为学说主流，提出“应将个人信息侵权行为定位为特殊侵权行为，无过错归责是个人信息损害赔偿的应然走向”。

还有学者提出，由于个人信息的利用必须由网络或平台收集、传递而脱离个人控制，在预防自己因个人信息泄露、非法篡改、非法收集等情形而利益受损的能动性方面，用户、消费者可提供的注意几乎为零，或者说消费者作为弱势群体去避免上述损失，他就必须放弃更大的利益。这是根据波斯纳的观点，将严格责任加于那些涉及很高危险度而只靠行为人注意或潜在受害人改变其行为无法防止的活动。因此在这样界定为单方事故的情形下，严格责任归责原则能够促进个人信息处理者强化安全意识，能够对其产生充分的预防激励。这样的论述事实上错误理解了风险预防理论中激励行为人采取社会最优预防水平的要素以及个人信息侵权风险的性质，具体分析如下：

（一）严格责任作为剩余责任不能提高当事人的预防水平

首先，行为人采取何种预防水平仅取决于其个人边际成本—收益函数，换而言之是在理性分析中考虑其再增加一单位成本能否再获得一单位的个人收益。很多法律分析学者认为严格责任将促使潜在的侵害人比在过失责任标准下更为小心，经济学的分析揭示出这种观点很肤浅。只要完全赔偿条件下使得社会成本内部化，那么无论是施害者在严格责任下还是双方当事人在过失责任下，理性人的个人边际成本分析均能激励其采取社会最优的预防措施，社会事故成本都能降到最低点。

（二）个人信息侵权事故非严格责任发挥效率之情形

严格责任比过失存在的优势是它能适用于那些单方事故，且无法通过法律定价给予潜在的加害方注意的激励，于是诱导其减少行为量来避免事故。此时，受害人一方不存在任何采取预防措施的激励，其行为的所有成本都可以从加害人处得到补偿。但是，本文认为，个人信息的事故是（或者至少应当是）双边的风险，且显然能够通过双方采取合理注意予以预防和避免。

该观点的最有力证据是知情-同意这一个人信息处理领域中的“黄金法则”。知情同意作为一道“门槛”，在信息资源利用的全生命周期中均发挥着不可忽视的作用。《信保法》的74个条文中，直接涉及告知同意规则的即有15条，不管是信息采集、利用，还是转移、流动，均绕不开“知情同意”，足窥见该规则之重要性。在这个基础上探究其理论本源和脉络，知情同意反应的是自由主义中的个人自治理念。自1973年 “现代隐私法基石”—《公平信息实践原则》赋予个人“防止数据未经同意被用于另一个目的之权利”，各国的个人保护赋权模式和价值都深受影响。一方面由于自由主义指导的是个人，是他自己的最高主权者，于是各国的个人信息保护以立法形式发展出了个人查阅、更正、删除等权利，强调对个人权利的尊重。另一方面，自由主义相信人类理性的作用，于是对个人信息的处理、收集和利用又强调“透明度”“知情”等原则。可以说，知情同意充分贯彻了个人自治原则，核心在于相信人的理性能够帮助人们作出最佳的判断和决策。因此，个人信息保护的赋权模式暗含了个人对信息的支配和控制，并以此为中心保障个人信息。“自由和责任密不可分”，每个人是自己的第一守护者。那么在考虑对个人对自己信息泄露、非法篡改等事故的预防中，便不能不使他们具有相当的激励和能动性，否则不能实现知情同意的应有之义。

如果能明确个人信息的事故是一种双方的风险，那么严格责任摒弃了可能采取注意的另一方采取预防措施，那么总不可能达到使社会总成本最小的预防水平。

（三）严格责任运用会导致更大的效率损失

严格责任虽然无法影响当事人的预防水平，但其能够对各方当事人的行为成本结构产生影响。若法庭运用严格责任使一方承担了剩余责任，即增加了他的行为成本，那么一定范围内他的边际成本函数将向上移动，这意味着他将减少生产或者说降低其行为水平。此时严格责任能发挥类似税收等产业政策工具起到调整产业结构的作用。所以严格责任的直接后果就是降低数字经济时代的信息产业的健康规模化应用水平，阻碍个人信息的合理利用，无法在数字经济的高科技时代保持社会经济高速发展。

综上，严格责任不具有个人信息保护领域的适用性。

（四）从过错到过错推定

从《民法典》的过错到《信保法》过错推定的考量，也具有权衡利害的经济学逻辑。为追求成本的最小化，举证责任需分配给成本（证明成本和错判成本之和）最小的当事人。从理论和经验上来看，个人信息的泄露和非法利用等损害显然与个人信息处理者的过错存在高度相关性，因为在完全损害赔偿条件的激励行为人已经采取了最优的预防措施，剩下的损失一般都得是行为人过失或“异常人”没有受到法律的阻止。所以最好的解决办法就是法律直接预先分配过失证明责任给个人信息处理者，来减少反驳的可能性以减少证明成本的追加。比如，林某曾使用某航空公司订票软件购买机票，并在订票系统中保留了他的手机号码，后收到诈骗短信称其预订的航班被取消且其中载明林某的姓名及详尽的航班信息，林某改订后发现被骗。被过错推定的航空公司须举证证明其采取了必要措施以保障用户信息安全，例如第三方机构对航空公司重要信息系统所进行的等级测评报告；航空公司与外部机构有关网络安全的合作协以及航空公司任命数据保护官的通知等。这一证明显然是更容易的，防止了林某以不合理的成本证明案件的真相。

三、完善多元个人信息损害赔偿责任激励之建议

在侵权法中，汉德法则赔偿金的标准是决定某一事故能否被有效率避免的决定性因素之一。具体论证前文已经明确，简而论之是赔偿金将预期损失的外部成本内部化，让侵权人支付不采取预防则必须支付的成本来达到恰好的激励。根据效用理论，赔偿金可以需要使受害者恢复到未受到损害的最初的效用水平上。社会最优激励理论总是要求赔偿金制度能完美地赔偿尽可能多的个人信息侵权情形，因此提出以下建议，要求形成全方位、多样化、立体而灵活的民事赔偿方案来面对更复杂的情形。

（一）大规模侵害个人信息样态的损害赔偿

瓦格纳提出了一种侵害为“大规模的微型损害”，指对于单个受害人来讲，损害是轻微的，但是因为受害人的人数众多，因此形成了集合性的大规模损害。这导致了两个问题：第一，潜在的受害者看不到救济的可能性，于是诉讼动力不足，这会带来更多的“履行差错”；第二，当风险得以被察觉变得众所周知时，会有大量的侵权主张像雪片一样刺向信息企业，大量的纠纷显然不利于信息产业的健康发展。

第一，小额损害赔偿是必要的。用小额损害调动信息权利人维权的积极性，这一制度能弥补遏制个人信息非法侵害的民事责任上的短板。应当在《信保法》的修改增添条款，并在司法上积累此类赔偿责任的经验。第二，可以将受害者“集团化”以提高诉讼效率。《信保法》第70条规定的个人信息保护民事公益诉讼便能够发挥将侵权动力“集团化”的作用。

另一方法是集体诉讼，指法院基于代表人的申请裁决并通过裁决将潜在的成员纳入拟制的诉讼集团之中。这样“胜诉酬金激励律师代表集团”的内在激励可使劣势的、孤立的信息主体集合起来，并具有一定威慑作用。该制度目前在我国体现为《民事诉讼》《证券法》中存在的代表人诉讼，但由于权利人必须事前登记等缺陷设计使其仍只是“移植产物”，可进一步改造后纳入个人信息侵权的民事责任制度。第三，有学者提出应当将因个人信息泄露而遭受的可能被侵权的风险，以及虽未受实际损害，但在个人信息泄露后为防止风险的现实化而支出的费用纳入损害赔偿的范畴，即未来的、事故下游的“准风险”损害赔偿。该观点较为前沿且极端，甚至突破了侵权法“实质损害”的赔偿责任前提。但其在“海量侵权”中有一定的作用，即当“第一片雪花飞向信息企业”时便判令停止侵害、消除影响和赔偿责任，那么一方面法院直接在第一时间弥补上了“履行误差”，能在短时间内维护预防至最优激励。但问题也是显著的，其将过于依赖法院判决的能力，必须接受统计学和精算学的证据及个案权衡，稍有不慎能轻易将注意水平拉到右端的极大值，使事故总成本剧增。

（二）引入过失相抵制度

根据前文所述，个人信息侵权可以是双边的事故，那么在过失责任的背景下就一定存在过失相抵规则的存在空间。过失相抵，又称比较过失，指加害人和受害人都有过错的情况下可以依此减少原告的应得赔偿，但又不至于为零。在这样“双方注意”的要求下：加害人会努力采取措施以避免在疏忽而受害人不疏忽时引起的损害赔偿，而受害者也会努力采取注意措施以避免发生在加害人注意时的事故成本。因此建议将《民法典》1173条过失相抵规则纳入。当然。新增的问题可能是该规则增加了诉讼的管理成本，因为没有一种客观的方法用以确定相对过错，就此有学者提出“仅在被侵权人对损害的发生有重大过失的情形下使用过失相抵”。这是管理成本、错判成本和证明成本的再考量，仍需进一步分析。

（三）惩罚性损害赔偿的必要性和计算建议

首先，如果争端都能够通过某一责任体系完美地解决，即法律确定的最优的预防水平能够使社会总成本最小且当事人在多次博弈中均有激励实施了最有效的预防措施，那么侵权法的预防目标得以实现，理论上则无民事惩罚性赔偿的适用空间。然而，必须考虑一些更现实的假设，即存在潜在的信息主体不知道是某一信息处理者导致了损害或者未发现损害之发生，抑或虽然知道却无法证明侵权的事实。

从现有数据来看，自公开案件库检索“隐私权、个人信息保护纠纷”案由，从478件案件结果中，大多数案件当事人撤诉，法院支持原告全部或部分诉讼请求的占比仅为10%，无法证明的侵权事实包括“非隐私”“无过错”“无损害”之要件不符等约占25%。还包括精神上的无形损害是否应包含计算，以及如何估计生活于信息时代的个体中能够发现自身损失且愿意诉诸法律救济个体之比例等问题。但可以确定的是“履行误差”的存在，且该误差应当相当可观。据此确定了惩罚性赔偿金在个人信息侵权领域的必要性。经济法上认为，有效率的惩罚性赔偿的倍数m等于履行差错的e的倒数，即m=1/e。在这样的现实下，有两种初步的计算方法：第一，在法条中规定“模糊”的惩罚性赔偿，“侵权人违反法律规定故意侵害个人信息权益造成严重后果的，被侵权人有权请求相应的惩罚性赔偿”。据此如果有证据表明一个加害者没有采取有效率的预防措施，是因为他认为仅仅是某一部分受害人会起诉他，那么法官就可通过让惩罚性倍数等于履行差错的倒数，来判定惩罚性赔偿金；第二，结合固定的赔偿额和最高赔偿额计算法，规定二倍至三倍的惩罚倍数及最高限度，要注意个人信息侵权的特殊性，不要使企业的预期损失增加超过图1中的A0点，造成预防水平的下降，兼顾信息产业的蓬勃发展与个人信息保护的共同最优激励。