案件分析：数据安全的不当得利理论

Data Security’s Unjust Enrichment Theory

Lior Jacob Strahilevitz

87The University of Chicago Law Review 2477 (2020)

编译人：陈地娟，中国人民大学法学院硕士研究生

作者信息

Lior Jacob Strahilevitz

里奥·斯特拉希尔维茨

美国芝加哥大学法学院Sidley Austin讲席教授，研究领域集中于财产法、隐私法与科技法的交叉方向，重点关注消费者合同、数据保护及法律与技术/心理学的互动。其代表专著为《Information and Exclusion》（耶鲁大学出版社，2011），探讨信息不对称背景下的排他性权利理论。他同时合著了美国财产法权威教材《Dukeminier & Krier"s Property》，并发表了《Toward a Positive Theory of Privacy Law》、《Shining a Light on Dark Patterns》等具有影响力的隐私实证研究论文。

/目录/

摘要

第一部分 引言

第二部分 REMIJAS案的法律背景

第三部分 AQUA DOTS案与不当得利理论

第四部分 不当推理与正确裁判

第五部分 REMIJAS案的后续发展

第六部分 结论

摘要

本文聚焦于数据泄露诉讼中的损害认定难题，以Remijas v. Neiman Marcus案为核心案例进行批判性分析。文章指出，Diane Wood法官虽在结果上确认了数据泄露相关损害足以确立诉讼资格，却错误地排斥了“不当得利理论”在数据安全领域的适用。该理论主张，当企业收取隐含数据安全保障溢价却未能提供充分保护时，即使消费者未遭受具体身份盗用，其支付的对价已实质减损，企业构成不当得利。排斥此理论不仅武断且导致后续集体诉讼因成员利益冲突而解体，严重削弱了司法对企业松懈数据安全实践的威慑力，更忽视了数据泄露抑制消费与复杂化因果关系证明的双重负外部效应。文章呼吁法院重新评估并采纳不当得利理论。

01引言

Remijas案被视为数据安全领域的标志性判例，其上诉判决虽以务实态度推翻了地区法院驳回起诉的决定，确认了未来风险与防范成本等损害的诉讼资格，却错失了解决一个关键争议的机会：即在数据安全背景下适用不当得利理论的合理性。该理论源于第七巡回法院先例Aqua Dots案（有毒玩具），认为消费者为预期安全性支付溢价却未获得相应保护即构成经济损失。地区法院Zagel法官以数据安全属商店“外在属性”为由拒绝适用该理论，而上诉法院首席法官Wood虽推翻其结论，却在附带意见中对不当得利理论表示怀疑，认为其非必需且限于产品责任。本文旨在论证此排斥是错误的，并分析其负面影响。

02 REMIJAS案的法律背景

本案源于Neiman Marcus数据泄露事件，此事件中，约35万顾客信息被盗。地区法院Zagel法官以缺乏宪法第三条要求的“具体损害”为由驳回集体诉讼，认为原告主张的四种损害均不成立：未来风险因实际受害比例低不足；防范成本微小；控制权丧失不构成法律损害；支付溢价理论虽有创意但缺乏说服力。Zagel法官承认Aqua Dots案确立了支付溢价受损理论，但试图区分产品“内在属性”与“外在属性”，认为后者无法适用。上诉时，第七巡回法院Wood首席法官推翻了关于未来风险和防范成本不构成损害的决定，但对不当得利理论适用性仅表示“怀疑”，并暗示其更适用于产品本身缺陷。

03 AQUADOTS案与不当得利理论

Aqua Dots案确立的原则是：消费者因信赖产品宣称的安全性支付溢价，而实际产品存在危险缺陷，即使未造成人身伤害，该溢价损失本身即构成具体损害。Remijas案两级法院拒绝将该原则延伸至数据安全领域的主要理由是“属性区分论”和“限定必要论”。文章对此进行了有力批驳：核心在于该属性对消费决策的重要性，而非其归类。Neiman Marcus明确承诺保障数据安全，且实证显示数据安全是消费者（尤其使用其品牌信用卡者）决策的重要因素。类比于购买正品却收到假冒商品可基于不当得利索赔，消费者支付了数据安全溢价也应当受到保护。第九巡回法院在Facebook案中已支持类似基于违反隐私承诺获利的不当得利主张构成损害。

04不当推理与正确裁判

第七巡回法院虽得出正确结论（未来风险与防范成本构成损害），但其论证存在显著缺陷。首先，认定数据泄露导致身份盗用风险“显著升高”缺乏严谨证据支撑：实际受害率（约2.5%）与全美信用卡欺诈基准发生率（如约4-7.5%）相比未必显著，法院未进行充分对比分析，且将因果关系质疑混入诉讼资格阶段可能不妥。其次，在论证防范成本合理性时，错误地将Neiman Marcus主动提供信用监控服务视为其对损害存在的承认，这可能产生负面激励，而更应基于消费者实际付出的非微小时间和机会成本论证。最关键的是，法院武断排斥不当得利理论缺乏坚实的经济学或心理学依据，忽视了消费者决策对数据安全的依赖本质，实质上拒绝了原告最有力的责任理论之一。

05 REMIJAS案的后续发展

第七巡回法院判决后，案件发回地区法院重审。后续审理法官Coleman最终以集体成员间存在“根本性利益冲突”为由，撤销了集体认证并驳回了和解协议。这一结果直接源于上诉法院对不当得利理论的排斥：若采纳该理论，所有在数据安全不足期间购物的消费者（无论其数据是否最终泄露）均可主张支付对价减损的损害，从而消弭核心冲突，维持集体诉讼。排斥不当得利理论不仅不当缩小了有权索赔的消费者范围，更显著减轻了企业潜在责任，削弱了司法威慑。数据泄露损害具有多维性和因果关系证明困难，司法过度执着于“可追溯性”背离了提升整体数据安全水平的根本目标。

06结论

Remijas案在确认未来风险与防范成本可构成损害方面是合理且必要的。然而，第七巡回法院排斥不当得利理论的附带意见造成了严重负面后果：它限制了可诉消费者范围，导致集体诉讼瓦解，并降低了企业责任风险。数据泄露事件产生双重负外部效应，既抑制消费者参与经济的意愿，又因信息多重存储而极度复杂化损害归因。司法系统应调整焦点，从证明具体因果链转向关注企业是否收取了安全溢价却未能履行核心承诺这一实质性不当行为。第九巡回法院在Facebook案中的裁决已展示了这一路径的可行性。期待第七巡回法院未来有机会摒弃Remijas案中的错误限制，明确承认不当得利理论作为激励企业加强数据保护和为消费者提供有效救济的合理法律基础。

（文章篇幅所限，全文翻译下载：全文翻译-数据安全的不当得利理论）

获取英文原文：https://chicagounbound.uchicago.edu/cgi/viewcontent.cgi?article=14056&context=journal_articles

声明：本文来自网络西东，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。