丁曉東

個人信息的侵權(quán)救濟與司法保護存在眾多難題。曾幾何時，侵權(quán)法在隱私權(quán)保護中扮演了毫無爭議的關(guān)鍵角色。無論是美國普通法體系下的隱私保護，〔1〕隱私法的權(quán)威學(xué)者威廉姆 · 普羅斯所總結(jié)的四類隱私侵權(quán)成為了美國隱私保護的共識，普羅斯同時是侵權(quán)法的權(quán)威學(xué)者，是《美國侵權(quán)法重述》（第2版）的報告人，see William L. Prosser，Privacy，California Law Review Vol.48 （1960）.還是大陸法系以人格權(quán)為基礎(chǔ)的隱私保護，〔2〕Paul M. Schwartz & Karl-Nikolaus Peifer，Prosser’s Privacy and the German Right of Personality：Are Four Privacy Torts Better than One Unitary Concept?，California Law Review，Vol.98 （2010）.都依賴法院進行侵權(quán)法保護。但到了個人信息保護，一系列爭議性問題開始出現(xiàn)。

其一，如何理解和適用基于個人信息權(quán)利的訴訟？在我國《個人信息保護法》的立法過程中，一二審稿并未規(guī)定個人可以基于知情權(quán)、決定權(quán)、查閱復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正補充權(quán)、刪除權(quán)、解釋說明權(quán)、死者親屬信息權(quán)等權(quán)利而提起個人信息訴訟。但終稿第50條第2款增加規(guī)定：“個人信息處理者拒絕個人行使權(quán)利的請求的，個人可以依法向人民法院提起訴訟”，這打開了個體向法院尋求信息權(quán)利救濟的大門。如何理解這類權(quán)利訴訟的性質(zhì)與訴訟規(guī)則？這類訴訟是否為人格權(quán)的侵權(quán)訴訟，可以適用人格權(quán)禁令，還是一般侵權(quán)訴訟，適用一般過錯原則，抑或因拒絕個人行使權(quán)利而造成了“損害”，從而應(yīng)當(dāng)適用《個人信息保護法》第69條規(guī)定的過錯推定原則？又或者，此類信息權(quán)利訴訟是一種具有公益性質(zhì)的私人訴訟，因此其適用原則應(yīng)更類似向監(jiān)管機構(gòu)提起的舉報與申訴？

其二，如何理解和適用造成損害的個人信息侵權(quán)之訴？我國《個人信息保護法》第69條規(guī)定：“處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”。在個人信息處理所導(dǎo)致的損害中，這一規(guī)定面臨若干挑戰(zhàn)。首先，如何界定損害？一方面，損害可以做非常寬泛的界定，將違反法定個人信息權(quán)利與信息處理者義務(wù)的各種行為均視為損害，例如當(dāng)信息處理者沒有設(shè)置隱私政策，未提供查閱復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正補充權(quán)、刪除權(quán)等各項權(quán)利均視為損害；另一方面，損害也可以做狹義界定，僅僅認(rèn)可具體損害，而將各類違規(guī)行為、風(fēng)險與焦慮排除在侵權(quán)損害之外。不同界定將導(dǎo)致個人信息侵權(quán)救濟的范圍不同。其次，如何理解與適用歸責(zé)原則？《個人信息保護法》第69條確立了過錯推定原則，但在規(guī)制與侵權(quán)交錯的背景下，如何理解過錯仍是一個難題：信息處理者違法違規(guī)，是否就意味著存在過錯？反之，信息處理者合法合規(guī)，是否等同于不存在過錯，或者可以作為免責(zé)抗辯？再次，由個人信息引發(fā)的侵權(quán)案件中，常常存在因果關(guān)系復(fù)雜的特征，法律應(yīng)當(dāng)如何確定侵權(quán)與損害之間的關(guān)系？ 最后，如何確定個人獲得的救濟與賠償？在人身財產(chǎn)損失中，個人的損失額度相對容易確定，但大量案件給個人造成的損害都屬于微型侵權(quán)或個人信息泄漏造成的風(fēng)險性損害。

這些問題環(huán)環(huán)相扣，密切交融，例如不存在明確損害的個人信息權(quán)利之訴與存在明確損害的個人信息侵權(quán)之訴的關(guān)系，就與“損害”的界定密切相關(guān)。如果損害做寬泛界定，則二者就可能合二為一；相反，則二者可能應(yīng)適用完全不同的制度。同時，上述問題也與不同國家和地區(qū)的法律制度密切相關(guān)，例如在美國背景下，個人信息侵權(quán)的司法救濟門檻較高，其立法只賦予了個人有限的訴權(quán)，同時法院又進一步限縮了個人的訴權(quán)；歐盟則設(shè)置了獨立監(jiān)管機構(gòu)與法院的二元救濟途徑。我國在實體法層面更接近歐盟模式，但在機構(gòu)設(shè)置上并未仿效歐盟設(shè)立獨立監(jiān)管機構(gòu)，反而與美國的多元救濟模式有一定相似性。

基于這一主題的重要性與復(fù)雜性，本文對侵害個人信息的司法救濟進行整體性思考。首先從比較法的視野分析侵害個人信息的司法救濟，借此厘清域外和我國個人信息司法救濟的整體圖景。其后，依次分析不存在明確損害的個人信息權(quán)利之訴與存在明確損害的個人信息侵權(quán)之訴。本文認(rèn)為，二者的重心都應(yīng)從個體補償救濟轉(zhuǎn)向公共治理。其中，個人信息權(quán)利具有程序性與工具性特征，個人信息權(quán)利之訴應(yīng)當(dāng)被視為一種申訴與舉報，法院應(yīng)當(dāng)在此類訴訟中發(fā)揮獨立監(jiān)管機構(gòu)的角色；而個人信息侵權(quán)之訴的制度目標(biāo)則應(yīng)從個體損害賠償救濟轉(zhuǎn)向合理威懾。在兩種訴訟制度下，法院也都應(yīng)該和行政機關(guān)、檢察機關(guān)協(xié)調(diào)互動。綜合而言，侵害個人信息的司法救濟應(yīng)當(dāng)服務(wù)于個人信息治理的總體目標(biāo)，侵權(quán)法與司法制度都應(yīng)根據(jù)這一目標(biāo)而進行制度升級與功能定位。

一、比較法視野下的個人信息司法保護

（一）歐盟

在比較法上，歐盟的個人信息司法保護采取了權(quán)利救濟與侵權(quán)賠償?shù)亩Ｊ?。就?quán)利救濟而言，《一般數(shù)據(jù)保護條例》第79條規(guī)定了“針對控制者或處理者的有效司法救濟權(quán)”，該條第（1）款規(guī)定：“任何數(shù)據(jù)主體認(rèn)為，由于違反本條例而處理其個人數(shù)據(jù)，導(dǎo)致其被本條例所賦予的權(quán)利被侵犯，在這些情形下其都有獲取司法救濟的權(quán)利”。從性質(zhì)上看，這一條款并非傳統(tǒng)侵權(quán)救濟，而是提供了對個人信息被保護權(quán)這一基本權(quán)利救濟，具有私人觸發(fā)公共執(zhí)法的特征?！?〕Margot E. Kaminski，Binary Governance：Lessons from the GDPR’s Approach to Algorithmic Accountability，Southern California Law Review，Vol.92，p.1529 （2019）.

這是因為，歐盟將個人數(shù)據(jù)被保護權(quán)視為一種源自《歐盟基本權(quán)利憲章》的憲法性權(quán)利，〔4〕《歐盟基本權(quán)利憲章》第 8 條第 1 款規(guī)定：“每個人都有權(quán)保護與其有關(guān)的個人數(shù)據(jù)。”正如《一般數(shù)據(jù)保護條例》第1條第2款所言：“本條例保護自然人的基本權(quán)利和自由，特別是其個人數(shù)據(jù)被保護的權(quán)利”。在這種個人信息權(quán)利定位下，數(shù)據(jù)主體向法院提起權(quán)利請求，本質(zhì)上是請求法院對個人信息權(quán)利進行確認(rèn)與執(zhí)法，而非對傳統(tǒng)侵權(quán)法意義上的“損害”進行賠償。

也正因為如此，《一般數(shù)據(jù)保護條例》在第79條之前設(shè)置了個人向監(jiān)管機構(gòu)提起個人信息權(quán)利申訴的規(guī)定。第77條規(guī)定：“在不影響任何其他行政或司法救濟的前提下，每個數(shù)據(jù)主體都有向監(jiān)管機構(gòu)進行申訴的權(quán)利”。如果個人信息權(quán)利之訴為傳統(tǒng)侵權(quán)損害之訴，則監(jiān)管機構(gòu)不應(yīng)具有此類權(quán)力，因為傳統(tǒng)侵權(quán)損害之訴一般只能為法院救濟，監(jiān)管機構(gòu)不應(yīng)對此類侵權(quán)進行救濟。

此外，也正是因為個人信息權(quán)利之訴是一種私人執(zhí)法機制，《一般數(shù)據(jù)保護條例》引入了“數(shù)據(jù)主體代表制度”，第80條第2款規(guī)定：“不論數(shù)據(jù)主體是否委托”，符合條件的“任何機構(gòu)、組織或協(xié)會如果認(rèn)為本條例所規(guī)定的數(shù)據(jù)主體的權(quán)利已經(jīng)因為處理而受到侵犯，都有權(quán)在成員國向第77條規(guī)定的有權(quán)監(jiān)管機構(gòu)提起申訴，行使第78條和第79條規(guī)定的權(quán)利”。如果個人信息權(quán)利之訴為傳統(tǒng)侵權(quán)損害之訴，此類申訴或訴訟將無權(quán)提起。

個人信息權(quán)利之訴還有若干問題需要注意。其一，個人信息權(quán)利并非絕對性權(quán)利，而是一種工具性權(quán)利或程序性權(quán)利。正如《一般數(shù)據(jù)保護條例》“重述”所言：“個人數(shù)據(jù)保護權(quán)不是一項絕對權(quán)利；必須結(jié)合其在社會中的作用加以考慮，并與其他基本權(quán)利相平衡”。這就意味著監(jiān)管機構(gòu)或法院在確定個人信息權(quán)利邊界時，必須考慮與言論自由、信息自由、商業(yè)自由等多種價值相平衡?！?〕《一般數(shù)據(jù)保護條例》“重述”第4條。其二，在個人信息權(quán)利之訴中，歐盟法院實際上扮演獨立監(jiān)管機構(gòu)的角色，發(fā)揮和歐洲數(shù)據(jù)保護監(jiān)管局（European Data Protection Supervisor）類似的功能。在此類訴訟中，法院不僅需要理解技術(shù)類專業(yè)知識，而且其適用的規(guī)則也不同于傳統(tǒng)侵權(quán)訴訟。

就造成損害的侵權(quán)賠償之訴而言，歐盟法院采取了傳統(tǒng)的侵權(quán)法模式。第82條規(guī)定了“獲取賠償?shù)臋?quán)利與責(zé)任”，該條第（1）款規(guī)定：“任何因為違反本條例而受到物質(zhì)或非物質(zhì)性傷害的人都有權(quán)從控制者或數(shù)據(jù)者那里獲得對損害的賠償”。第（2）款和第（3）款進一步規(guī)定：“任何涉及到處理的控制者都應(yīng)當(dāng)對因為違反本條例的處理而受到的損害承擔(dān)責(zé)任。對于處理者，當(dāng)其沒有遵守本條例明確規(guī)定的對處理者的要求，或者當(dāng)其違反控制者的合法指示時，其應(yīng)當(dāng)對處理所造成的損失負(fù)責(zé)”“控制者或處理者如果證明自己對引起損失的事件沒有任何責(zé)任，那么其第2段所規(guī)定的責(zé)任可以免除”。

歐盟的侵權(quán)損害之訴也有若干要點值得關(guān)注。其一，其對損害賠償?shù)慕缍ㄈ匀惠^為狹窄，違法并不等于損害?！兑话銛?shù)據(jù)保護條例》的“重述”規(guī)定：“損害的概念應(yīng)根據(jù)法院的判例法進行廣義解釋”，〔6〕《一般數(shù)據(jù)保護條例》“重述”第136條。這一規(guī)定曾經(jīng)引起疑惑，是否違反《一般數(shù)據(jù)保護條例》，即構(gòu)成對個人的損害？歐盟委員會對此給出了明確否定的回答，要求必須提供額外證明來證明損害的存在。〔7〕GDPR Breach，Compensation Claims，https：//claimsauthority.ie/gdpr-breach-compensation-claims/.在司法實踐中，歐盟各國法院也作出判決，對于沒有造成損害的違法行為，原告無法獲得賠償?！?〕See Amtsgericht Diez，07-11-2018，8 C 130/18；Amtsgericht Bochum，11-03-2019，65 C 485/18；Oberslandesgericht Dresden，4 Zivilsenat，Beschluss vom 11-06-2019，Az.：4 U 760/19 and Landgericht Karlsruhe；02-08-2019；8 O 26/19；Rechtbank Overijssel；28-05-2019；AK 18 2047，Rechtbank Amsterdam；02-09-2019；7560515CV EXPL 19-4611，and Rechtbank Noord-Nedeland；15-01-2020；C/18/189406/HAZA 19-6.區(qū)別主要在于對于非物質(zhì)性損害的解釋，有的歐洲國家對損害采取了較為寬泛的解釋，將個人尊嚴(yán)、自主權(quán)喪失、焦慮和痛苦都視為損害，〔9〕例如英國的相關(guān)判決，see Google Inc v Vidal-Hall，Hann and Bradshaw ［2015］EWCA Civ 311.而有的國家則解釋較窄，只承認(rèn)引起精神疾病的損害?！?0〕例如愛爾蘭的相關(guān)判決，see Kelly v Hennessy ［1995］3 I.R. 253.其二，在歸責(zé)原則方面，《一般數(shù)據(jù)保護條例》留下了解釋空間與緊張關(guān)系，一方面第82條第（2）款將“違反本條例”作為侵權(quán)的前提；但另一方面第82條第（3）款又引入了證明自己“沒有任何責(zé)任”的抗辯，這就可能導(dǎo)致合規(guī)與侵權(quán)的緊張：例如當(dāng)信息處理者進行了完全合規(guī)的操作，但卻導(dǎo)致了本應(yīng)可預(yù)見的損害，此時信息處理者是否可以以合規(guī)作為不存在責(zé)任的抗辯？反之，當(dāng)信息處理者存在違規(guī)之處，是否這必然意味著其對侵權(quán)損害存在責(zé)任？

（二）美國

美國對于個人信息的司法救濟較為有限。在已進行聯(lián)邦層面?zhèn)€人信息立法的領(lǐng)域和若干已經(jīng)進行消費者隱私法立法的州，〔11〕截止2022年7月1日，美國有加州、康涅狄格州、科羅拉多州、弗吉尼亞州、猶他州進行了州層面的消費者數(shù)據(jù)隱私立法。美國法院對個人信息僅提供侵權(quán)法保護，但不提供類似歐盟的純粹基于個人信息權(quán)利的訴訟。在立法上，美國法對于訴訟權(quán)利的規(guī)定就較為謹(jǐn)慎，從聯(lián)邦層面的《健康保險可攜性和責(zé)任法案》（HIPPA）《兒童在線隱私法案》（COPPA）到州層面的《加州消費者隱私法案》（CCPA），美國的個人信息保護法并不允許個人針對信息權(quán)利向法院尋求救濟，救濟的權(quán)利主要被賦予了監(jiān)管機構(gòu)或州檢察長?！?2〕See Anupam Chander，Margot E. Kaminski & William McGeveran，Catalyzing Privacy Law，Minnesota Law Review，Vol.105（2021）.只有在涉及個人信息泄漏等情形下，個人才可以像法院提起訴訟，尋求司法救濟。〔13〕美國所有的州都制定了個人信息泄漏的法律，并且賦予了個體訴權(quán)，see Security Breach Notification Laws，Nat'l Conference of State Legislatures，https：//www.ncsl.org/research/telecommunications-andinformation-technology/security-breach-notification-laws.aspx.

使得司法救濟更為困難的是，即使某些個人信息立法賦予了個人向法院尋求救濟的權(quán)利，法院也不予支持。美國法院從《美國憲法》第3條出發(fā)，認(rèn)為個人不能僅僅依據(jù)法定權(quán)利而提起訴訟，法院只能受理“案例”（cases）或“爭議”（controversies），且必須以損害作為前提?！?4〕See Lujan v. Defenders of Wildlife，504 U.S. 555（1992）；Antonin Scalia，The Doctrine of Standing as an Essential Element of the Separation of Powers，Suffolk University Law Review，Vol.17，p. 890-91 （1983）.在2013年的Clapper v. Amnesty International案中，美國最高法院認(rèn)為，針對美國國家安全局的大規(guī)模監(jiān)視，原告僅推測可能存在監(jiān)視，未能證明存在“實質(zhì)性風(fēng)險（substantial risk）”的傷害，因此不具有訴權(quán)。〔15〕Clapper v. Amnesty International，133 S. Ct. 1138（2013）；更早之前的案例，see Doe v. Chao，540 U.S.614（2004）；Federal Aviation Administration v. Cooper，132 S. Ct. 1441（2012）.在2016年的Spokeo，Inc. v. Robins案中，一家提供個人信用與背景調(diào)查的網(wǎng)站Spokeo收集了當(dāng)事人Robins的信息，但其信息存在錯誤，誤將當(dāng)事人的資料填為富有、已婚以及具有專業(yè)背景的人員，當(dāng)事人依據(jù)美國的《聯(lián)邦公平信用報告法案》提起更正請求，但遭到了網(wǎng)站的拒絕。當(dāng)事人于是向法院提起訴訟，認(rèn)為網(wǎng)站的錯誤信息損害了其就業(yè)機會，使得一般企業(yè)不敢雇傭當(dāng)事人。但在此案中，美國最高法院認(rèn)為，侵權(quán)法的救濟要求損害必須是“具體的（concrete）”，“無形的傷害（intangible harm）”只有在滿足“真實的損害風(fēng)險（real risk of harm）”的情形下，才可能得到救濟，法院據(jù)此將案件發(fā)回下級法院重審?！?6〕Spokeo，Inc. v. Robins，136 S. Ct. 1540，1549（2016）.其后，在2021年的TransUnion LLC v. Ramirez案中，美國聯(lián)邦最高法院又再次確認(rèn)，企業(yè)沒有向消費者披露其收集的個人信息或個人信息收集存在錯誤，并不構(gòu)成對個人的“具體傷害”（concrete harm）。〔17〕See TransUnion LLC v. Ramirez，141 S. Ct. 2190（2021）.

當(dāng)然，美國法院仍然允許對少部分個人信息違規(guī)行為進行侵權(quán)救濟。其一為造成具體傷害或一定預(yù)期傷害的信息處理行為。這類侵害行為可能是身體或經(jīng)濟傷害，例如信息處理者將個人信息販賣給犯罪分子，用以傷害個人或盜取存款，也可能是名譽傷害、歧視傷害等人格性傷害。其二，對于可能造成實質(zhì)性風(fēng)險的數(shù)據(jù)泄露或數(shù)據(jù)違規(guī)披露等行為，美國法院也允許提起侵權(quán)之訴。美國在州層面大都制定了數(shù)據(jù)泄露法，并且允許提起侵權(quán)之訴。〔18〕See Danielle K. Citron，The Privacy Policymaking of State Attorneys General，Notre Dame Law Review，Vol.92，p.747 （2017）.例如《加州消費者隱私法案》規(guī)定，企業(yè)違反安全程序，而致使消費者的個人信息受到未經(jīng)授權(quán)的“訪問和泄漏、盜竊，或披露的”，消費者可以提起民事訴訟。〔19〕《加州民法典》第1798.150節(jié)。上文提到的2021年的Ramirez案，美國最高法院雖然否定了一部分群體基于個人信息知情權(quán)與更正權(quán)而提起訴訟的資格，但認(rèn)為未經(jīng)當(dāng)事人同意向第三方提供信息構(gòu)成了具體傷害，因而這部分群體仍然具備訴權(quán)?！?0〕See TransUnion LLC v. Ramirez，141 S. Ct. 2190（2021），at 2200.

美國的個人信息司法救濟也有若干點需要注意。其一，美國收緊侵權(quán)法司法救濟的做法受到了很多隱私法學(xué)者的批判。例如在Spokeo案的法庭之友意見中，多位著名的信息隱私法學(xué)者指出，國會制定《公平信用法案》明確授予了個人以訪問權(quán)、更正權(quán)等消費者權(quán)利，違反這些權(quán)利并“不意味著沒有傷害”，恰巧相反，這說明“國會認(rèn)識到記錄這種傷害的難度”，因此以一種法定損害和賠償?shù)姆绞皆诔晌姆ɡ镞M行規(guī)定?！?1〕Julia Cohen et al.，Information Privacy Law Scholars' Brief in Spokeo，Inc. v. Robins （September 4，2015），p.12，https：//ssrn.com/abstract=2656482.其二，雖然美國聯(lián)邦層面的侵權(quán)法救濟門檻較高，但美國規(guī)制機構(gòu)在個人信息執(zhí)法中扮演了重要角色；特別是聯(lián)邦貿(mào)易委員會（FTC），在個人信息保護中發(fā)揮了關(guān)鍵性作用。美國的個人信息保護整體上采取市場規(guī)制的路徑，聯(lián)邦貿(mào)易委員會對“不正當(dāng)與欺詐性貿(mào)易行為”（unfair and deceptive trade practices）進行監(jiān)管。此類監(jiān)管的目的在于確保市場秩序的公平競爭，并對個體進行損害救濟。〔22〕See 15 U.S.C. § 45（a）（1）（2012）.其三，聯(lián)邦貿(mào)易委員會雖然在性質(zhì)上為規(guī)制機構(gòu)，但這類規(guī)制機構(gòu)也具有典型的司法特征，包括聯(lián)邦貿(mào)易委員會在內(nèi)的很多機構(gòu)在執(zhí)法時，實際上采取了基于案例的執(zhí)法，并且賦予被執(zhí)法者抗辯、和解、訴訟等諸多權(quán)利，而非通過發(fā)布規(guī)制或命令進行執(zhí)法。也因此，美國聯(lián)邦貿(mào)易委員會的執(zhí)法有時也被稱為普通法（common law）保護?！?3〕See Daniel J. Solove & Woodrow Hartzog，The FTC and the New Common Law of Privacy，Columbia Law Review，Vol.114，p.583 （2014）.

二、邁向治理的個人信息權(quán)利之訴

在實體法規(guī)定方面，我國《個人信息保護法》采取了與歐盟《一般數(shù)據(jù)保護條例》近似的立法模式。二者都將個人信息權(quán)利的淵源追溯到憲法層面，同時二者都規(guī)定了知情同意權(quán)、決定權(quán)、查閱復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正補充權(quán)、刪除權(quán)、解釋說明權(quán)等個人信息權(quán)利。只不過我國《個人信息保護法》的表述略有區(qū)別，例如我國采用了“決定權(quán)”“更正補充權(quán)”“轉(zhuǎn)移權(quán)”的表述，這與歐盟中的相關(guān)信息權(quán)利構(gòu)成細(xì)微區(qū)別?！?4〕另一較大區(qū)別是《個人信息保護法》引入了死者親屬的信息權(quán)利，歐盟并不存在此類權(quán)利。如果僅從《個人信息保護法》看，則我國的個人信息權(quán)利訴訟應(yīng)該與歐盟類似，也應(yīng)該是一種公法基本權(quán)利在民事領(lǐng)域的直接適用?！?5〕參見張翔：《個人信息權(quán)的憲法（學(xué)）證成——基于對區(qū)分保護論和支配權(quán)論的反思》，《環(huán)球法律評論》2022年第1期。

但《民法典》對于個人信息權(quán)益的相關(guān)規(guī)定使問題較為復(fù)雜。在制定《個人信息保護法》之前，《民法典》人格權(quán)編第1035-1039條就規(guī)定，自然人可以向信息處理者查詢復(fù)制、更正、刪除信息。在這一背景下，個人信息權(quán)利之訴到底是民事權(quán)利之訴，還是公法基本權(quán)利之訴？如果是民事權(quán)利之訴，是否可以說，個人信息權(quán)利是一種人格權(quán)，因此適用人格權(quán)侵權(quán)的一般規(guī)定，甚至可以適用人格權(quán)禁令制度？〔26〕參見程嘯：《民法典編纂視野下的個人信息保護》，《中國法學(xué)》2019年第4期。又或者，當(dāng)個人依據(jù)《民法典》相關(guān)規(guī)定提起個人信息權(quán)利訴訟時為人格權(quán)侵權(quán)之訴，而依據(jù)《個人信息保護法》時為公法基本權(quán)利之訴？〔27〕這一爭論有大量文獻，代表性論述有王利明：《和而不同：隱私權(quán)與個人信息的規(guī)則界分和適用》，《法學(xué)評論》2021 年第 2 期；張新寶：《〈民法總則〉個人信息保護條文研究》，《中外法學(xué)》2019年第1期；等等。

首先，無論個人依據(jù)《民法典》個人信息條款還是《個人信息保護法》提起的訴訟，都應(yīng)當(dāng)被視為同一性質(zhì)的法律行為。如果個人依據(jù)這兩部法律所進行的同一行為性質(zhì)不同，將造成司法適用的混亂與法律體系的沖突。其次，我國的個人信息權(quán)利之訴應(yīng)當(dāng)被定位為公私法高度融合的權(quán)利之訴。原因在于，無論是《民法典》個人信息條款還是《個人信息保護法》，實際上都以“處理關(guān)系”為核心，都不是傳統(tǒng)意義上針對國家的訴訟或針對平等主體的民事訴訟。〔28〕王錫鋅：《個人信息國家保護義務(wù)及展開》，《中國法學(xué)》2021年第1期?！秱€人信息保護法》自不必說，其所有規(guī)定都圍繞“處理關(guān)系”展開；需要強調(diào)的是，即使是《民法典》個人信息保護條款，在其條款里也明確將“處理關(guān)系”作為前提。就此而言，《民法典》中的個人信息保護條款，從性質(zhì)上應(yīng)理解為一種融合了公法價值的新民事權(quán)利。如此，《民法典》中的個人信息保護條款將和《個人信息保護法》高度協(xié)調(diào)，為個人信息權(quán)利訴訟提供融貫一致的法律基礎(chǔ)?！?9〕參見丁曉東：《〈個人信息保護法〉的比較法重思：中國道路與解釋原理》，《華東政法大學(xué)學(xué)報》2022年第2期。

在救濟方式上，個人信息權(quán)利之訴也應(yīng)進行相應(yīng)設(shè)計。無論是依據(jù)《民法典》個人信息條款還是依據(jù)《個人信息保護法》提起訴訟，都應(yīng)將其視為類似像獨立監(jiān)管機構(gòu)提起的申訴，而非傳統(tǒng)民事侵權(quán)之訴。傳統(tǒng)民事侵權(quán)之訴要么建立在損害的基礎(chǔ)上，要么建立在財產(chǎn)權(quán)、人格權(quán)等絕對性權(quán)利的基礎(chǔ)上，但個人信息權(quán)利是一種國家賦予的積極性權(quán)利，〔30〕參見王錫鋅：《個人信息權(quán)益的三層構(gòu)造及保護機制》，《現(xiàn)代法學(xué)》2021年第5期。在個人信息權(quán)利之訴中，個體在民事上所受的損害，如果剔除隱私權(quán)、名譽權(quán)等傳統(tǒng)人格權(quán)，并沒有其他明顯損害。例如企業(yè)不提供隱私政策，不支持個體的訪問權(quán)、更正權(quán)、刪除權(quán)等權(quán)利請求，很難說個體就受到了明確“損害”，或者個體人格權(quán)益受到了重大侵害?！?1〕張新寶教授由此區(qū)分了“本權(quán)權(quán)益”與保護“本權(quán)權(quán)益”的權(quán)利，參見張新寶：《論個人信息權(quán)益的構(gòu)造》，《中外法學(xué)》2021年第5期。只有當(dāng)個人信息泄漏，或者信息處理者利用個人信息實施了其他侵犯個人權(quán)益的行為，此時“損害”才較為明顯。

值得注意的是西方學(xué)界對個人信息訴訟中“損害”的討論。正如上文所述，很多西方學(xué)者曾經(jīng)對“損害”作擴大解釋，例如西特魯恩（Danielle Citron）和索洛夫（Daniel Solove）兩位學(xué)者在最近發(fā)表的《隱私傷害》一文中，二位學(xué)者一口氣列舉侵害個人信息可能造成的十四種傷害：身體傷害、經(jīng)濟傷害、名譽損害、情感傷害、關(guān)系傷害、寒蟬效應(yīng)傷害、歧視傷害、期望挫敗傷害、控制傷害、數(shù)據(jù)質(zhì)量傷害、知情選擇傷害、脆弱性傷害、干擾傷害、自主性傷害。〔32〕See Danielle Keats Citron & Daniel J. Solove，Privacy Harm，2022，https：//ssrn.com/abstract=3782222，p.18-41；Danielle Keats Citron，Risk and Anxiety：A Theory of Data-Breach Harms，Texas Law Review，Vol. 96，p.737，743-44，756-73 （2018）.但這類研究主要針對美國背景下個人信息救濟不足的問題。這些學(xué)者對損害做擴大化論述，其原因是如果對損害做狹窄界定，那么美國司法將在很大程度上缺席個人信息保護。例如克雷默（Seth Kreimer）認(rèn)為，訴訟資格的限定將導(dǎo)致“在網(wǎng)絡(luò)化、系統(tǒng)化、基于信息的傷害時代，司法系統(tǒng)將變得越來越無關(guān)緊要”。〔33〕Seth F. Kreimer，Spooky Action at a Distance：Intangible Injury in Fact in the Information Age，University of Pennsylvania Journal of Constitutional Law，Vol.18，p.745 （2016）.科恩（Julie Cohen）教授則更是從政治經(jīng)濟學(xué)的角度，認(rèn)定法院不愿對個人信息保護中的風(fēng)險進行救濟，是一種經(jīng)濟與社會技術(shù)支配的結(jié)果，會讓法院無力應(yīng)對社會問題?！?4〕See Julie E. Cohen，The Regulatory State in the Information Age，Theoretical Inquiries in Law，Vol.17，p.369，371 （2016）.

反觀我國，由于直接賦予個人信息權(quán)利的訴權(quán)，并不存在美國背景下的司法救濟門檻過高的問題。相反，我國的問題在于如何使法院具備與個人信息訴訟相應(yīng)的制度功能。上文已經(jīng)提到，個人信息權(quán)利并非絕對性權(quán)利，這一權(quán)利與信息自由、公眾知情權(quán)、企業(yè)經(jīng)營自主權(quán)等很多基本權(quán)利存在沖突。進一步分析，可以發(fā)現(xiàn)很多權(quán)利的行使還可能面臨侵犯隱私、技術(shù)不可行等難題。例如查詢復(fù)制權(quán)的行使，在效果上會倒逼企業(yè)收集更多個人信息，以滿足個體行使訪問權(quán)的請求；刪除權(quán)的行使，除非對硬盤進行物理毀滅，在技術(shù)上幾乎不可能實現(xiàn)永久性刪除；攜帶權(quán)的行使，則更受限于技術(shù)與場景。〔35〕參見王錫鋅：《國家保護視野中的個人信息權(quán)利束》，《中國社會科學(xué)》2021年第11期。在這樣的背景下，法院就必須從治理的角度對相關(guān)權(quán)利進行分析：個人信息權(quán)利之訴并不是尋求對個體損害的補償，也并非對具有絕對權(quán)性質(zhì)的人格權(quán)的確認(rèn)，而是在具體場景中分析不同信息權(quán)利是否有利于信息處理關(guān)系的治理。〔36〕丁曉東：《個人信息公私法融合保護的多維解讀》，《法治研究》2022年第5期。法院不僅需要衡量不同信息權(quán)利所期望達到的功能與目標(biāo)，而且需要具備技術(shù)與專業(yè)化知識對此進行判斷。

綜合而言，我國個人信息權(quán)利之訴是合作治理下的一種制度，其個體救濟與公益保護密切融合；合作治理的研究常常將此類訴訟中的個體稱為“私人總檢察長”（private general attorney）。1943年，杰羅姆 · 弗蘭克（Jerome Frank）法官首先使用了這一術(shù)語，其后，法院不時利用這一術(shù)語來表明私人訴訟的公益性質(zhì)。例如在伊利諾伊州最高法院在羅森巴赫訴六旗娛樂公司案（Rosenbach v. Six Flags Entertainment Corporation）中，法院指出，立法機關(guān)制定《伊利諾伊州生物識別信息隱私法》（BIPA）并賦予個體訴權(quán)，其目的不僅是為了對原告進行救濟，而且是為了發(fā)揮個體“私人總檢察長”的功能，威懾與阻止相關(guān)違法行為?！?7〕Rosenbach v. Six Flags Entertainment Corp.，2019 IL 123186 （2019）.我國《個人信息保護法》在終審稿中納入了個人信息訴權(quán)，這一訴權(quán)也應(yīng)同樣被視為具有觸發(fā)公益執(zhí)法性質(zhì)的訴訟。

在這一背景下，我國法院也應(yīng)進行公益監(jiān)管的制度定位。這種定位首先契合我國《個人信息保護法》的成文法規(guī)定，既然第50條納入了個人信息權(quán)利之訴，法院就不得不承擔(dān)這一責(zé)任。法院可以在個人起訴時告知，勸導(dǎo)其向有關(guān)機關(guān)進行個人信息違法舉報，但無法拒絕對此類訴訟進行受理和裁判，實現(xiàn)事后的有限監(jiān)管。其次也更重要的是，由法院來承擔(dān)執(zhí)法監(jiān)管功能，在我國具有重要制度意義。如上所述，美歐等國家和地區(qū)的監(jiān)管機構(gòu)具有顯著的司法特征，其執(zhí)法往往具有聽證、控辯等準(zhǔn)司法程序，這些特征使得其對個人信息的監(jiān)管可以最大限度地避免恣意與武斷。目前，我國由于考慮避免政府?dāng)U編而未設(shè)立獨立的個人信息專業(yè)監(jiān)管機構(gòu)，而個人信息的行政執(zhí)法部門往往業(yè)務(wù)繁多，而且在執(zhí)法中常常采取“命令—控制”（command-control）模式。此時由法院來承擔(dān)我國個人信息的監(jiān)管功能，就可以發(fā)揮其制度上的比較優(yōu)勢，為個人信息權(quán)利的落地提供基于程序與抗辯的執(zhí)法機制。當(dāng)然，在專業(yè)能力上，我國法院和法官也應(yīng)強化學(xué)習(xí)，不斷增強專業(yè)性知識。近幾十年來，西方法院出現(xiàn)了行政監(jiān)管化的部分特征，〔38〕法院司法功能與監(jiān)管功能之間的模糊化，是現(xiàn)代司法的一個重要特征，See Judith Resnik，Managerial Judges，Harvard Law Review，Vol.96，p.374 （1982）.我國法院也在環(huán)境、金融等諸多領(lǐng)域進行積極探索，在個人信息保護領(lǐng)域也應(yīng)對法院與法官作此類要求，以滿足司法的監(jiān)管職責(zé)。

三、個人信息侵權(quán)之訴的損害賠償困境

基于損害的個人信息侵權(quán)與基于個人信息權(quán)利的訴訟不同，〔39〕參見商希雪：《侵害公民個人信息民事歸責(zé)路徑的類型化分析——以信息安全與信息權(quán)利的“二分法”規(guī)范體系為視角》，《法學(xué)論壇》2021年第4期。在性質(zhì)與制度設(shè)計上更接近傳統(tǒng)侵權(quán)法。但出于個人信息侵權(quán)訴訟的特征，傳統(tǒng)侵權(quán)法制度也應(yīng)進行重構(gòu)。簡單而言，其目標(biāo)應(yīng)當(dāng)從損害賠償之訴轉(zhuǎn)變?yōu)橥仡A(yù)防的治理之訴。因為以損害賠償為目標(biāo)，不僅很難實現(xiàn)，而且沒有意義。

（一）可行性困境

首先，損害賠償面臨損害不確定性的難題。在個人信息所引起的損害類型中，有的人身財產(chǎn)損害較為明顯和確定，例如個人信息泄漏導(dǎo)致用戶的賬戶被盜竊和財產(chǎn)損失。但在更為普遍的侵害個人信息案例中，損害并不明顯。有的情形中，侵害帶來的是騷擾，例如個人信息泄漏可能導(dǎo)致很多廣告推銷，給個人郵箱發(fā)送郵件，給個人打電話推銷廣告。有的情形可能帶來的是風(fēng)險，例如個人信息泄漏可能暫時沒有引起任何損害，但長期來看卻可能存在危險，個人在知曉后，也可能會因為感到威脅而取消很多活動，或采取額外的安保措施。其他有的情形則可能帶來純粹的焦慮，例如企業(yè)可能進行完全合法合規(guī)的個性化推薦，但個人可能因為相關(guān)個性化推薦和自身信息具有高度巧合，因而產(chǎn)生高度焦慮。在上述的各類情形中，從嚴(yán)與從寬界定損害的標(biāo)準(zhǔn)相差很大?！?0〕例如有學(xué)者不僅將風(fēng)險納入損害的范疇，而且將焦慮也納入其中，See Daniel J. Solove & Danielle Keats Citron，Risk and Anxiety：A Theory of Data Breach Harms，Texas Law Review，Vol.96，p.737 （2018）.

如果對損害過寬界定，那么結(jié)果將是大量案件涌入法院，造成司法系統(tǒng)的崩潰；相反，如果損害界定過窄，則結(jié)果可能是大量案件得不到救濟。也正是由于這個原因，很多國家都引入了法定賠償?shù)姆桨?。例如《加州消費者隱私法案》規(guī)定，因企業(yè)違反合理安全程序而致使個人信息泄漏的，消費者可以提起“100美元到750美元的損害賠償金或?qū)嶋H損害賠償金”的民事訴訟?！?1〕參見《加州民法典》第 1798.150 節(jié)（a）。法定賠償金的引入，就說明了其不再以實際損害作為唯一界定標(biāo)準(zhǔn)。

其次，侵害個人信息常常具有復(fù)雜的因果關(guān)系。個人信息違規(guī)所導(dǎo)致的相關(guān)損害鏈條往往非常長，一條信息泄露所導(dǎo)致的詐騙，往往不知道源頭是在哪里泄露，期間經(jīng)過了多少主體的轉(zhuǎn)賣。侵害主體可能非常多，對個人造成傷害的主體不僅包括違規(guī)處理或泄露個人信息的處理者，也不僅包括實施具體傷害行為的終端加害者，而且包括各類與侵害行為相關(guān)的主體和個人。例如有的數(shù)據(jù)經(jīng)紀(jì)商可能倒賣個人信息，有的大型平臺可能并未完全盡到《個人信息保護法》第57條規(guī)定的安全保障義務(wù)，〔42〕張新寶：《互聯(lián)網(wǎng)生態(tài)“守門人”個人信息保護特別義務(wù)設(shè)置研究》，《比較法研究》2021年第3期。在很多情形下，損害還可能由周圍的親戚朋友疏忽造成，例如某人在社交平臺分享其圖片與信息，但此類信息可能被用于分析他人信息。此外，導(dǎo)致侵害發(fā)生的風(fēng)險常常是累積的。索洛夫教授曾將個人信息侵權(quán)的這種特征概括為“聚合效應(yīng)”（aggregation effeect），無論是個人信息的識別、還是個人信息泄露所導(dǎo)致的各類侵害，常常都由信息的匯聚與相關(guān)風(fēng)險累積而成?！?3〕See Daniel Solove，The Digital Person：Technology and Privacy in the Information Age，New York University Press，2004，p.44-47.

如果個人信息侵權(quán)之訴定位于損害賠償，那么法院將面臨因果關(guān)系確認(rèn)與歸責(zé)的難題。面對復(fù)雜的因果關(guān)系，法院將很難確定哪個主體具有“過錯”，應(yīng)當(dāng)對造成的損害負(fù)責(zé)。如果說傳統(tǒng)侵權(quán)像“雷擊”所造成的損害，那么很多導(dǎo)致個人信息的損害就更像“雪崩”所造成的損害，很難說是哪一片雪花是無辜的，哪一片雪花具有“過錯”。

（二）可欲性困境

如果個人信息侵權(quán)的目標(biāo)定位于損害賠償，其意義也可能喪失。首先，《個人信息保護法》之前的相關(guān)制度已經(jīng)足夠?qū)@一類型的損害進行救濟，沒有必要在《個人信息保護法》中再規(guī)定相關(guān)侵權(quán)制度。對于信息處理者自身造成的損害，完全可以依靠隱私權(quán)與一般侵權(quán)法進行救濟。對個人信息泄漏造成的第三人侵權(quán)，則可以依靠安全保障義務(wù)條款進行救濟。〔44〕采取這一邏輯的方案，參見徐明：《大數(shù)據(jù)時代的隱私危機及其侵權(quán)法應(yīng)對》，《中國法學(xué)》2017年第1期。

其次，基于損害賠償?shù)那謾?quán)法難以有效回應(yīng)個人信息侵權(quán)中的“大規(guī)模微型”侵權(quán)的特征?！?5〕王利明、丁曉東：《論〈個人信息保護法〉的特色、亮點與適用》，《法學(xué)家》2021年第6期。一方面，侵害個人信息的用戶數(shù)量往往是海量的，個人信息侵權(quán)并不是對單個個體或少數(shù)個體的侵害。另一方面，在大量案件中，用戶都無法感受即時性的傷害，或者可能根本沒有意識到自己的相關(guān)權(quán)益被侵犯，或者即使注意到相關(guān)事件的發(fā)生，可能也會選擇息事寧人，將侵權(quán)法救濟束之高閣。侵害個人信息的這一現(xiàn)象被歸納為“隱私悖論”（privacy paradox）：人們常常嘴上關(guān)心個人信息或信息隱私的保護，但實際上卻未必如此在意?！?6〕See Patricia A. Norberg，Daniel R. Horne & David A. Horne，The Privacy Paradox：Personal Information Disclosure Intentions Versus Behaviors，Journal of Consumer Affairs，Vol.41，p.100-101 （2007）.這一理論不管是否完全正確，〔47〕對隱私悖論的批判，see Daniel J. Solove，The Myth of the Privacy Paradox，George Washington Law Review，Vol.89，p.1 （2021），但索洛夫教授的批判并不影響本文的論證。但至少可以說明個體難以完全通過“隱私的自我管理”而進行救濟?！?8〕See Daniel Solove，Privacy Self-Management Consent Dilemma，126 Harvard Law Review，Vol.126，p.1880（2013）.在“告知—同意”這一極為簡便的制度工具中，個體尚且如此；在侵權(quán)法制度中，個體需要付出很高的成本與精力，所能發(fā)揮的空間就更為有限。在這樣的背景下，即使極少數(shù)個體能夠通過侵權(quán)法而獲得微型損害的賠償，這一賠償對于解決大規(guī)模微型侵權(quán)的問題也無濟于事?；谫r償而設(shè)計個人信息侵權(quán)制度，將造成侵權(quán)法制度在個人信息保護中被進一步邊緣化。

四、邁向預(yù)防治理的個人信息侵權(quán)之訴

在個人信息保護制度中，對個體權(quán)利損害的補償是其目標(biāo)之一，但并非唯一目標(biāo)或主要目標(biāo)。從個人信息保護的風(fēng)險性特征與群體保護出發(fā)，〔49〕丁曉東：《法律如何調(diào)整不平等關(guān)系？論傾斜保護型法的法理基礎(chǔ)與制度框架》，《中外法學(xué)》2022年第2期。個人信息侵權(quán)制度的重心應(yīng)當(dāng)從損害賠償轉(zhuǎn)向合理威懾，以實現(xiàn)對相關(guān)風(fēng)險的預(yù)防治理。

在傳統(tǒng)侵權(quán)法制度中，損害賠償具有核心地位。正如愛德華· 懷特教授所言，對于侵權(quán)法的首要功能到底是賠償還是威懾，美國法曾經(jīng)一度將前者視為共識?！?0〕Edward White，Tort Law in America：An Intellectual History，Oxford University Press，1980，p.146-47，178.我國在《民法典》制定之前，也將損害賠償作為優(yōu)先選項，《侵權(quán)責(zé)任法》規(guī)定侵害他人人身權(quán)益造成財產(chǎn)損失的，“按照被侵權(quán)人因此受到的損失賠償”；在被侵權(quán)人的損失難以確定，侵權(quán)人因此獲得利益的情形中，被侵權(quán)人才能“按照其獲得的利益賠償”。〔51〕《侵權(quán)責(zé)任法》第20條。只有到了《民法典》，被侵權(quán)人受到的損失和侵權(quán)人獲得的利益才成為并列關(guān)系?！?2〕《民法典》第1182條。《民法典》的這一規(guī)定，使得損害賠償?shù)牡匚幌鄬ο陆怠?/p>

將損害賠償置于傳統(tǒng)侵權(quán)的核心，并讓過錯方承擔(dān)責(zé)任，這符合傳統(tǒng)社會的侵權(quán)形態(tài)與特征。傳統(tǒng)社會的侵權(quán)形態(tài)主要發(fā)生在社會民事主體之間，此類侵權(quán)中的損害相對容易辨認(rèn)，因果關(guān)系也相對簡單。要求過錯方進行賠償，不僅有利于對個體進行有效救濟，也可以對社會道德進行判斷，〔53〕有學(xué)者的侵權(quán)法理論即以此類侵權(quán)為模型，see John C. P. Goldberg & Benjamin C. Zipursky，Recognizing Wrongs，Harvard University Press，2020，p.4，28.對未來潛在的侵權(quán)者進行有效威懾。但到了現(xiàn)代工業(yè)社會，各類產(chǎn)品與事故侵權(quán)成為更為主要的類型。在此類侵權(quán)中，責(zé)任主體越來越難辨認(rèn)：產(chǎn)品制造商等主體往往僅存在過失，不像傳統(tǒng)侵權(quán)那樣僅存在故意或放任，而消費者也往往存在過錯或過失，很難說到底哪個主體存在“過錯”。此外，此類案件的因果關(guān)系也更為復(fù)雜，因果關(guān)系逐漸與責(zé)任歸屬問題合而為一，判斷因果關(guān)系，很大程度上就是判斷責(zé)任歸屬。

在這一背景下，侵權(quán)法的損害賠償與確認(rèn)過錯功能逐漸下降，而其威懾與預(yù)防功能日漸出現(xiàn)。以卡拉布雷西、波斯納為代表的一大批學(xué)者兼法官指出，在產(chǎn)品與事故侵權(quán)中，侵權(quán)法不應(yīng)完全采取向后看、個體主義的進路，不應(yīng)定位于尋找具有過錯的責(zé)任方并進行損害賠償。相反，侵權(quán)法應(yīng)當(dāng)采取向前看、具有公共預(yù)防功能的進路?！?4〕See Guido Calabresi，Civil Recourse Theory’s Reductionism，Indiana Law Journal，Vol.88，p.449 （2013）；Richard A. Posner，Instrumental and Noninstrumental Theories of Tort Law，Indiana Law Journal，Vol.88，p.473 （2013）.在責(zé)任主體上，侵權(quán)法應(yīng)當(dāng)找到付出最小成本即可避免侵害發(fā)生的主體（cheapest cost avoider）來承擔(dān)責(zé)任，〔55〕See Guido Calabresi，The Costs of Accidents：A Legal and Economic Analysis，Yale University Press，1970，p.155.而非徒勞無益地確認(rèn)誰存在過錯。在歸責(zé)原則與救濟措施方面，侵權(quán)法應(yīng)當(dāng)對侵權(quán)方進行合理威懾，以發(fā)揮侵權(quán)法的公共治理功能?！?6〕對于侵權(quán)法的公共治理功能或侵權(quán)法的公法之維，See Mark A. Geistfeld，Tort Law in the Age of Statutes，Lowa Law Review，Vol.99，p.957 （2014）；Catherine M. Sharkey，The Administrative State and the Common Law：Regulatory Substitutes or Complements? Emory Law Journal，Vol.65，p.1705 （2016）.

在個人信息侵權(quán)中，侵權(quán)法制度應(yīng)更注重其威懾與治理功能?！?7〕這并不是說基于過錯與賠償?shù)膫鹘y(tǒng)侵權(quán)法功能就不存在，而是說現(xiàn)代工業(yè)社會中的風(fēng)險侵權(quán)，特別是個人信息侵權(quán)應(yīng)當(dāng)注重威懾與預(yù)防。在過去幾十年中，侵權(quán)法的這兩種功能一直并存，卡拉布雷西將其稱為“侵權(quán)法的二重變奏”（tort law’s dualism）。See Guido Calabresi & Spencer Smith，On Tort Law's Dualism，Harvard Law Review，Vol. 135，p. 184-193 （2022）.正如本文所述，個人信息侵權(quán)具有大規(guī)模微型侵權(quán)的特征，對于這一特征，侵權(quán)法的威懾功能更為重要。通過合理威懾，侵權(quán)法可以對侵害個人信息的社會風(fēng)險進行有效預(yù)防，而不必再糾結(jié)于上文提到的損害賠償這一難以完成的任務(wù)。此外，威懾與治理定位也將使得侵權(quán)法的制度定位與個人信息保護的整體制度保持一致。個人信息保護奠基于“公平信息實踐”，本身就采取了多主體合作治理的制度，特別是通過個體賦權(quán)而實現(xiàn)信息治理。當(dāng)侵權(quán)法將威懾與治理作為其首要目標(biāo)，既可以避免上文所提到的損害賠償難以確定、缺乏意義等困境，也可以發(fā)揮個體的“私人總檢察長”功能。面對行政監(jiān)管與自我規(guī)制的失靈與漏洞，個人可以扮演相關(guān)風(fēng)險的發(fā)現(xiàn)者與執(zhí)法的觸發(fā)者。

五、個人信息侵權(quán)之訴的制度重構(gòu)

從侵權(quán)法的威懾與治理功能出發(fā)，現(xiàn)代侵權(quán)法在產(chǎn)品責(zé)任等侵權(quán)制度的設(shè)計上已經(jīng)發(fā)生了很大變化。〔58〕See Carl T. Bogus，War on the Common Law：The Struggle at the Center of Products Liability，Missouri Law Review Vol.80，p.1，17 （1995）.在個人信息侵權(quán)之訴中，損害界定、歸責(zé)原則、因果關(guān)系、救濟措施等制度也應(yīng)進行重構(gòu)。

（一）損害界定

首先，就損害界定而言，其界定不宜太寬，但也不宜太嚴(yán)。如上所述，個人信息處理可能帶來明確損害，也可能帶來風(fēng)險與焦慮。我國法院在受理此類案件中，一方面應(yīng)拒絕將焦慮和非實質(zhì)性風(fēng)險認(rèn)定為損害。如果對損害做過寬限定，將一般性風(fēng)險也納入侵權(quán)損害范圍，則不僅可能引發(fā)濫訴，導(dǎo)致法院應(yīng)對不暇，而且可能給信息處理者施加不合理責(zé)任，無法合理威懾信息處理者。另一方面，除了造成人身財產(chǎn)等實質(zhì)性損害，我國法院也應(yīng)將個人信息泄漏等可能造成實質(zhì)性風(fēng)險的案件視為存在損害。此類風(fēng)險雖然未必一定會帶來即時性傷害，但從威懾的角度看，將其納入侵權(quán)法框架有利于對風(fēng)險進行預(yù)防和治理。

在我國訴訟制度下，比較復(fù)雜的在于我國的立案制度。由于我國立案制度采取寬口徑的登記制，絕大多數(shù)案件都可以進入訴訟程序，這就帶來了一個問題：對于沒有造成明確損害的個人信息侵權(quán)之訴，法院應(yīng)當(dāng)如何進行處理？例如當(dāng)個人針對個性化推薦提起訴訟，認(rèn)為此類推薦對其造成了困擾和傷害，此時法院是否應(yīng)當(dāng)按照侵權(quán)法的邏輯對于此類案件進行審理？結(jié)合上文分析，此類案件應(yīng)當(dāng)按照個人信息權(quán)利之訴的原理進行審判，即這些不能證明具有明確損害或?qū)嵸|(zhì)性風(fēng)險的案件應(yīng)視為一種執(zhí)法請求或申訴舉報。在此類案件中，如果法院發(fā)現(xiàn)信息處理者存在違規(guī)行為，法院可以有不同的處理方案：法院既可以以損害不存在為由而駁回原告的訴訟請求，也可以借鑒國外有關(guān)司法實踐，對信息處理者的違規(guī)行為作出宣告性判決（declaratory judgment）。無論何種方案，法院都應(yīng)當(dāng)扮演執(zhí)法監(jiān)管者的角色，重點審查信息處理者是否具有違規(guī)行為，而非按侵權(quán)法的原理進行審判。

（二）歸責(zé)原則與違法性

在存在明確損害或?qū)嵸|(zhì)性風(fēng)險的案件中，則應(yīng)當(dāng)采取侵權(quán)法的框架進行審判，但此類案件中的歸責(zé)原則首先應(yīng)當(dāng)探討過錯與違法性的關(guān)系問題?！?9〕參見周漢華：《平行還是交叉 個人信息保護與隱私權(quán)的關(guān)系》，《中外法學(xué)》2021年第5期。在《個人信息保護法》生效前，關(guān)于個人信息侵權(quán)的歸責(zé)原則就存在很多爭議，例如有學(xué)者認(rèn)為應(yīng)當(dāng)根據(jù)公務(wù)機關(guān)、采用自動化處理系統(tǒng)的非公務(wù)機關(guān)、未采用自動數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)處理者的“三元歸責(zé)原則體系”，〔60〕葉名怡：《個人信息的侵權(quán)法保護》，《法學(xué)研究》2018年第4期。有學(xué)者認(rèn)為應(yīng)當(dāng)采取無過錯責(zé)任，〔61〕程嘯：《論侵害個人信息的民事責(zé)任》，《暨南學(xué)報》（哲學(xué)社會科學(xué)版）2020 年第2期。還有學(xué)者認(rèn)為“應(yīng)以是否采取自動化處理技術(shù)為標(biāo)準(zhǔn)，采取過錯推定/一般過錯二元歸責(zé)體系”?！?2〕陳吉棟：《個人信息的侵權(quán)救濟》，《交大法學(xué)》2019年第4期。但在《個人信息保護法》制定后，信息處理者廣泛采取合規(guī)舉措的背景下，首先需要分析：是否信息處理者違法違規(guī)即可以認(rèn)定為存在過錯？以及在信息處理者合法合規(guī)的前提下，是否可以認(rèn)定信息處理者對造成的損害不存在過錯，或者可以以合法合規(guī)作為免責(zé)事由？

違法性與過錯的關(guān)系，是規(guī)制法與侵權(quán)法關(guān)系的一個經(jīng)典問題?！?3〕民法學(xué)界的經(jīng)典分析，參見王利明：《我國〈侵權(quán)責(zé)任法〉采納了違法性要件嗎?》，《中外法學(xué)》2012 年第1 期；楊立新：《個人信息處理者侵害個人信息權(quán)益的民事責(zé)任》，《國家檢察官學(xué)院學(xué)報》2021 年第5期。支持規(guī)制法優(yōu)先的理由包括：行政規(guī)制具有制度比較優(yōu)勢，可以在由技術(shù)引起的風(fēng)險規(guī)制領(lǐng)域進行更專業(yè)的判斷；〔64〕See Richard B. Stewart，Regulatory Compliance Preclusion of Tort Liability：Limiting the Dual-Track System，The Georgetown Law Journal，Vol.88，p. 2167 （2000）.《個人信息保護法》是領(lǐng)域法與特殊法，應(yīng)當(dāng)優(yōu)先于一般侵權(quán)法。而支持一般侵權(quán)法適用的理由包括：行政規(guī)制未必總是能對專業(yè)問題進行更優(yōu)判斷，侵權(quán)者是否應(yīng)當(dāng)承擔(dān)責(zé)任，仍然應(yīng)當(dāng)在個案中進行判斷；〔65〕See Robert L. Rabin，Reassessing Regulatory Compliance，The Georgetown Law Journal，Vol.88，p.2049（2000）.《個人信息保護法》雖然是領(lǐng)域法與特殊法，但侵權(quán)問題仍應(yīng)按侵權(quán)法原則進行分析。當(dāng)然還有其他中間立場，例如歐盟將違法性作為個人信息侵權(quán)的前提，但違法性并不必然等于存在過錯；〔66〕《一般數(shù)據(jù)保護條例》第82條。還有觀點認(rèn)為，違法違規(guī)即等同于過錯或過失，〔67〕例如《美國侵權(quán)法》“重述”規(guī)定，“如果行為人無故違反了旨在防止行為人所導(dǎo)致事故類型的法規(guī)，并且如果事故受害者屬于該法規(guī)旨在保護的人員類別，則應(yīng)認(rèn)定行為人具有過失?！盨ee Restatement （third） of Torts：Liability for Physical & Emotional Harm § 14.但合法合規(guī)并不等于不存在過錯，不能自然免除信息處理者的侵權(quán)責(zé)任?！?8〕Lars Noah，Rewarding Regulatory Compliance：The Pursuit of Symmetry in Products Liability，The Georgetown Law Journal，Vol.88，p.2147-2152（ 2000）.

結(jié)合上文原理分析和我國法律體系，個人信息侵權(quán)的歸責(zé)原則可以采取過錯推定原則，但將違法性作為重要參考。其原因有若干。其一，我國《個人信息保護法》第69條明文規(guī)定了過錯推定原則，這一歸責(zé)原則介于過錯與無過錯之間，表明了立法者既希望對信息處理者進行合理威懾，又不至于施加過嚴(yán)責(zé)任的立場。其二，我國《個人信息保護法》雖然對個人信息進行了嚴(yán)格規(guī)制，甚至被認(rèn)為是“全球最嚴(yán)”的信息隱私法，但這一立法與歐盟立法類似，都采取了具有一定彈性的治理框架，將規(guī)則細(xì)節(jié)留給執(zhí)法與司法確定。在此背景下，就不應(yīng)假定立法者在所有問題上都進行了非常具體的判斷。法院借助過錯推定原則在個案中對侵權(quán)行為進行判斷，既符合《個人信息保護法》的立法意圖，也更符合個人信息保護依賴具體場景的特征。由法院在個案中對信息處理者是否具備相關(guān)注意義務(wù)進行判斷，有利于相關(guān)風(fēng)險的更精細(xì)化防范與治理。其三，在《個人信息保護法》 《信息安全技術(shù)個人信息安全規(guī)范》等法律與技術(shù)標(biāo)準(zhǔn)廣泛適用的背景下，法院也理應(yīng)將是否合規(guī)作為信息處理者是否存在過錯的重要證據(jù)。如果信息處理者不合規(guī)，法院可以先推定其存在過錯，但應(yīng)允許信息處理者進行反證；如果信息處理者完全合規(guī)，法院則可以推定其不存在過錯，但允許被侵權(quán)者進行反證。

（三）因果關(guān)系

從威懾的目標(biāo)出發(fā)，個人信息侵權(quán)的因果難題也能有效破解。因果關(guān)系歷來是侵權(quán)法中的一大難題，試圖通過因果關(guān)系而確認(rèn)責(zé)任人，即使在傳統(tǒng)農(nóng)業(yè)社會的侵權(quán)也常常面臨爭議。到了工業(yè)化時代，伴隨著產(chǎn)品大規(guī)模生產(chǎn)帶來的風(fēng)險問題，因果關(guān)系進一步不確定性化，逐漸引發(fā)了因果關(guān)系這一制度工具的邊緣化，〔69〕See William M. Landes & Richard A. Posner，The Economic Structure of Tort Law，Harvard University Press，1987，p.229.通過風(fēng)險分配而確認(rèn)責(zé)任歸屬，成為了產(chǎn)品侵權(quán)等事故侵權(quán)的主流模式。在個人信息侵權(quán)中，損害與侵權(quán)之間的因果關(guān)系更為復(fù)雜。在這一背景下，法院可以在修辭層面保留因果關(guān)系推理，但在工具應(yīng)用層面，不應(yīng)在個人信息侵權(quán)中過多依賴因果關(guān)系這一制度與思維工具。法院應(yīng)當(dāng)從因果關(guān)系分析轉(zhuǎn)向何種責(zé)任分配有利于有效威懾和預(yù)防風(fēng)險?！?0〕從法哲學(xué)與法理學(xué)的角度看，完全確定性的因果關(guān)系并不存在，因為即使在事實層面，引起一項事物變化的原因也是無數(shù)的。作為一種思維工具，因果關(guān)系可以在合適的場景下幫助人們快速找到最容易解決問題的方案。但在復(fù)雜問題中，摒棄因果關(guān)系而直接進行責(zé)任分配更有利于問題的分析，See John Borgo，Causal Paradigms in Tort Law，The Journal of Legal Studies Vol.8，p.419 （1979）.

從我國和域外的司法實踐與學(xué)術(shù)研究來看，這一轉(zhuǎn)變已經(jīng)逐漸成為共識。例如在龐某與北京趣拿信息技術(shù)有限公司等隱私權(quán)糾紛案中，龐某在趣拿公司下轄網(wǎng)站“去哪兒網(wǎng)”購買東航機票，其后收到詐騙短信。此案的二審法院采取了舉證責(zé)任倒置，引入高度可能性的理論而認(rèn)定趣拿公司存在責(zé)任問題?！?1〕參見北京市第一中級人民法院民事判決書，（2017）京01民終509號。在這一案件中，法院雖然在修辭上仍然采取因果關(guān)系，但事實上已經(jīng)采取了威懾預(yù)防與責(zé)任分配的理念，讓最可能導(dǎo)致風(fēng)險的主體承擔(dān)責(zé)任。在國外，也有不少學(xué)者主張，應(yīng)當(dāng)引入概率理論、市場份額理論來解決個人信息侵權(quán)之訴中的因果關(guān)系。〔72〕See Aaron D. Twerski，Market Share—A Tale of Two Centuries，Brooklyn Law Review，Vol.55，p. 869（1989）；George L. Priest，Market Share Liability in Personal Injury and Public Nuisance Litigation：An Economic Analysis，Supreme Court Economic Review，Vol.18，p.109 （2010）.概率理論、市場份額理論在藥品等復(fù)雜侵權(quán)中被應(yīng)用，其核心也是根據(jù)不同企業(yè)導(dǎo)致?lián)p害的可能性和避免風(fēng)險的能力而分配責(zé)任。

總之，因果關(guān)系既非尋求個人信息侵權(quán)中責(zé)任主體的合適工具，也不符合實現(xiàn)個人信息保護的制度目標(biāo)。法院在個人信息侵權(quán)中要做的并非尋找唯一的“肇事者”，而是威懾可能的過失方。在產(chǎn)品責(zé)任法中，現(xiàn)代侵權(quán)法已經(jīng)發(fā)展出了很多方案來實現(xiàn)這一制度目標(biāo)，例如有的法院以可預(yù)見性的概念來判斷侵權(quán)方是否應(yīng)當(dāng)承擔(dān)責(zé)任，認(rèn)為在合理期待或合理預(yù)期的標(biāo)準(zhǔn)下，企業(yè)未對相關(guān)風(fēng)險采取措施應(yīng)當(dāng)承擔(dān)責(zé)任?！?3〕我國的司法實踐，參見北京市第三中級人民法院民事判決書，（2015）三中民終07742號；廣東省佛山市中級人民法院民事判決書，（2017）粵 06 民終 7670 號；江蘇省揚州市中級人民法院民事判決書，（2017）蘇10 民終 131 號。學(xué)理上的探討，See Alani Golanski，A New Look at Duty in Tort Law：Rehabilitating Foreseeability and Related Themes，Albany Law Review，Vol.75，p.265 （2012）.還有的法院以產(chǎn)品設(shè)計替代的方法來判斷企業(yè)責(zé)任，當(dāng)行業(yè)領(lǐng)域存在產(chǎn)品設(shè)計安全更為合理的替代方案，而企業(yè)卻未能采用時，此時應(yīng)當(dāng)承擔(dān)責(zé)任。〔74〕我國法院較少采取這一標(biāo)準(zhǔn)，但在國外采用較為普遍。See Restatement （third） of Torts：Product Liability §2（a）-（b） （1998）.在個人信息侵權(quán)中，法院可以借鑒此類方案，判斷相關(guān)主體是否應(yīng)當(dāng)承擔(dān)責(zé)任。

（四）救濟方式

我國《個人信息保護法》對個人信息侵權(quán)中的救濟僅進行了原則性規(guī)定：“損害賠償責(zé)任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據(jù)實際情況確定賠償數(shù)額?！?而《民法典》對于民事責(zé)任的承擔(dān)方式也具有多樣性，例如總則中第179條規(guī)定了“停止侵害；排除妨礙；消除危險；返還財產(chǎn)；恢復(fù)原狀；修理、重作、更換；繼續(xù)履行；賠償損失；支付違約金；消除影響、恢復(fù)名譽；賠禮道歉”等多種方式，第1182條作出了《個人信息保護法》類似的規(guī)定，但僅限定于“財產(chǎn)損失”。當(dāng)個人信息遭受明確損害，或者存在個人信息泄漏等實質(zhì)性風(fēng)險，此時個人信息的救濟方式也應(yīng)當(dāng)按照合理威懾的原則進行建構(gòu)。

首先，個人信息侵權(quán)救濟應(yīng)適用停止侵害、排除妨礙、消除危險的救濟方式。此類救濟方式不僅有利于對個體進行救濟，防止個人信息泄漏或不當(dāng)處理所造成的損害與風(fēng)險進一步擴大，而且有利于保護更廣泛的群體，實現(xiàn)個人信息處理關(guān)系的有效治理。事實上，域外的很多法律都把停止侵害、排除妨礙、消除危險作為免予個人信息之訴的條件。例如《加州消費者隱私法案》規(guī)定，如果企業(yè)在接到消費者投訴的“30天內(nèi)實際補救了所發(fā)現(xiàn)的違規(guī)行為，并向消費者提供了一份明確的書面聲明，說明違規(guī)行為已得到補救，不再發(fā)生違規(guī)行為，那就不得對企業(yè)提起個人或集體的法定損害賠償訴訟”?！?5〕《加州民法典》第1798.150節(jié)b.美國新近制定的《數(shù)據(jù)隱私保護法案》（ADPPA）也作出了類似規(guī)定。〔76〕美國《數(shù)據(jù)隱私保護法案》第403款（c）（2）。

其次，在損害較為明確而且損害數(shù)額較大的情形中，損害賠償?shù)臄?shù)額可以按照實際損失確定。在此類案件中，由于賠償數(shù)額較大，按此方案既對受害者進行補償，也可以對相關(guān)主體產(chǎn)生足夠威懾。在責(zé)任分配方面，如果損害為信息處理者單獨造成，其責(zé)任歸屬也比較簡單，應(yīng)由信息處理者承擔(dān)全部責(zé)任。比較常見和比較復(fù)雜的是由第三人造成的損害，例如當(dāng)信息處理者泄漏個人信息，引起了巨額財產(chǎn)損失或人身損害，此時應(yīng)當(dāng)如何確定各方責(zé)任？根據(jù)本文合理威懾與風(fēng)險責(zé)任分配的原理，可以借鑒產(chǎn)品責(zé)任法的相關(guān)原理與實踐，要求信息處理者對某些可預(yù)見性的下游風(fēng)險承擔(dān)合理注意義務(wù)?！?7〕對這一問題的全面分析，參見謝鴻飛：《個人信息處理者對信息侵權(quán)下游損害的侵權(quán)責(zé)任》，《法律適用》2022年第1期。

最后，在損害數(shù)額較小或信息泄漏等實質(zhì)性風(fēng)險損害中，如果行政機關(guān)未進行罰款或執(zhí)法，〔78〕如果行政機關(guān)已經(jīng)進行執(zhí)法和罰款，則此類案件的個體將不能受到威懾性賠償，只能受到宣告性判決，以避免侵權(quán)威懾與執(zhí)法威懾疊加所造成的過度威懾。域外不少法案都對此進行了規(guī)定。例如美國新近制定的《數(shù)據(jù)隱私保護法案》第403款（a）（3）A部分規(guī)定，在個人或集體提起民事訴訟之前，該個人或集體必須首先以書面形式通知FTC和所在州的總檢察長，說明他們希望提起民事訴訟。在收到該通知后，F(xiàn)TC和州總檢察長應(yīng)在收到該通知后60天內(nèi)確定并答復(fù)該人或該類人是否將獨立尋求采取行動。此時被侵權(quán)者除了可以獲得訴訟費用賠償之外，其損害賠償?shù)臄?shù)額也可以在損失額度或信息處理者所獲利益的基礎(chǔ)上進一步提高。 其原因在于，此類案件的損失額度或所獲利益往往非常微小，難以觸發(fā)個人提起相關(guān)訴訟；但此類微型侵害不僅最為普遍、影響海量群體，而且極易逃脫監(jiān)管，將問題留給社會。通過侵權(quán)法對此類違法行為進行合理威懾，具有重要意義。在賠償額度上，如果行政機關(guān)沒有進行執(zhí)法，法院可以參考理想的行政罰款額度除以潛在訴訟人數(shù)的方案進行賠償。例如某一企業(yè)故意泄漏信息，理想情況下應(yīng)對其處以10萬元罰款，設(shè)置賠償額度為2000元可能引發(fā)50人提起訴訟，則此時的理想賠償額應(yīng)設(shè)置在2000元。〔79〕當(dāng)然，此類侵權(quán)責(zé)任也應(yīng)當(dāng)像行政處罰一樣，考慮個人信息處理的性質(zhì)、違法的嚴(yán)重性、補救措施、個人信息類型等多種因素，以實現(xiàn)合比例的威懾。對于行政處罰應(yīng)當(dāng)考慮的因素，歐盟《一般數(shù)據(jù)保護條例》第83條第2款進行了詳細(xì)列舉。對這一問題的分析，參見孫瑩：《大規(guī)模侵害個人信息高額罰款研究》，《中國法學(xué)》2020年第5期。如此，個體侵權(quán)訴訟就能有效威懾風(fēng)險與發(fā)揮執(zhí)法功能，同時又不至于對信息處理者產(chǎn)生過重的責(zé)任。

六、結(jié)語：領(lǐng)域法與侵權(quán)法

個人信息侵權(quán)法保護的難題，反映了領(lǐng)域法與侵權(quán)法的復(fù)雜關(guān)系。有學(xué)者指出，個人信息保護法和環(huán)境法一樣，都源自傳統(tǒng)侵權(quán)法的失敗?！?0〕將環(huán)境法與個人信息保護對比與結(jié)合的研究，See Dennis Hirsch，Protecting the Inner Environment：What Privacy Regulation Can Learn from Environmental Law，Georgia Law Review，Vol.41，p.1 （2006）.在個人信息侵權(quán)與環(huán)境侵權(quán)中，都存在大規(guī)模微型不確定性侵權(quán)的難題，面對這種難題，基于合作治理的個人信息保護制度開始興起。這一制度引入了大量的公法監(jiān)管制度，并且高度依賴“告知—同意”這一具有合同法特點的制度。反觀侵權(quán)法，其扮演的制度功能面臨邊緣化的風(fēng)險。

侵權(quán)法要在個人信息保護中發(fā)揮其治理功能，就必須進行有效變革，并與其他制度協(xié)調(diào)配合。一方面，侵權(quán)法本身就是一種特定歷史條件下產(chǎn)生的制度工具，在農(nóng)業(yè)社會、工業(yè)社會的形態(tài)與作用就不相同?！?1〕維特教授曾對侵權(quán)法的興起進行過歷史描述，See John Fabian Witt，The Accidental Republic：Crippled Working Men，Destitute Widows，and the Remaking of American Law，Harvard University Press，2004，p.1-11.例如侵權(quán)法在傳統(tǒng)社會更多發(fā)揮過錯認(rèn)定與個體損害賠償?shù)墓δ埽诠I(yè)社會則更多承擔(dān)責(zé)任分配與公共規(guī)制的功能。侵害個人信息的風(fēng)險性特征與公共性特征更為明顯，〔82〕參見梅夏英：《社會風(fēng)險控制抑或個人權(quán)益保護——理解個人信息保護法的兩個維度》，《環(huán)球法律評論》2022年第1期。侵權(quán)法更應(yīng)注重從個體賠償邁向風(fēng)險治理，其制度工具也應(yīng)重新設(shè)計。另一方面，侵權(quán)法還應(yīng)當(dāng)和其他制度進行協(xié)調(diào)。上文對于過錯責(zé)任與違法性的分析已經(jīng)說明，侵權(quán)法必須注重與規(guī)制法的關(guān)系。除此之外，侵權(quán)法還應(yīng)當(dāng)與公益訴訟等制度進行協(xié)調(diào)。例如在法院判決個體勝訴后，應(yīng)考慮設(shè)立自動觸發(fā)公益訴訟機制，檢察機關(guān)在個人信息侵權(quán)案件勝訴后，應(yīng)立即評估是否提起公益訴訟。一旦設(shè)立此類制度，基于個體的侵權(quán)之訴就能轉(zhuǎn)變?yōu)閷κ芎θ后w的救濟，〔83〕參見張新寶、賴成宇：《個人信息保護公益訴訟制度的理解與適用》，《國家檢察官學(xué)院學(xué)報》2021年第5期。彌補“私人總檢察長”的不足。

總之，個人信息侵權(quán)之訴應(yīng)當(dāng)回到個人信息治理的框架中進行理解，而不是按照傳統(tǒng)侵權(quán)法的邏輯來“切割”個人信息保護研究。在網(wǎng)絡(luò)法的學(xué)術(shù)史上，曾經(jīng)爆發(fā)過著名的“馬法”之爭：網(wǎng)絡(luò)法研究是否就像研究馬的法律，僅僅是憲法、行政法、合同法、侵權(quán)法、刑法等部門法的拼盤？〔84〕Frank H. Easterbrook，Cyberspace and the Law of the Horse，The University of Chicago Legal Forum，Vol.1996，p.207 （1996）；Lawrence Lessig，The Law of the Horse：What Cyberlaw Might Teach，Harvard Law Review，Vol.113，p.501-549 （1999）.經(jīng)過學(xué)界多年的爭論，學(xué)者們的最低共識是：部門法本身就是相互交融的領(lǐng)域，在傳統(tǒng)部門法面臨爭議的領(lǐng)域，更需要傳統(tǒng)部門法的深度融合。個人信息侵權(quán)的研究再次告訴我們，應(yīng)以制度演化與制度協(xié)同的進路實現(xiàn)領(lǐng)域法的有效治理。