陳金金

(貴州貴達(dá)律師事務(wù)所,貴州 貴陽 550000)

一、背景綜述：信息糾紛解決難的困境

對主體的區(qū)分是相應(yīng)法律權(quán)利和義務(wù)得以認(rèn)定的前提，也是主體本身合規(guī)責(zé)任得以履行的基礎(chǔ)，信息保護(hù)中亦是如此。當(dāng)下我國相繼頒布各類法律、規(guī)范性文件及行業(yè)技術(shù)標(biāo)準(zhǔn)對信息保護(hù)作出規(guī)定，如《網(wǎng)絡(luò)安全法》《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》《信息安全技術(shù)個人信息安全規(guī)范(2020年版)》等。在特別法《個人信息保護(hù)法》尚未正式施行的背景下，《民法典》以市場經(jīng)濟(jì)基本法的視角明確規(guī)定信息保護(hù)原則、個人信息處理者的義務(wù)和責(zé)任，為特別法的制定奠定法律基礎(chǔ)，具有重要的指導(dǎo)意義和現(xiàn)實(shí)意義。但反觀《民法典》及其他規(guī)范性文件，與其他國家立法中將信息利用主體劃分為信息控制者和信息處理者不同，《民法典》對信息利用主體采用統(tǒng)一、一元“信息處理者”的概念，在此背景下，以信息處理者為主要信息保護(hù)義務(wù)和責(zé)任主體的體系逐漸成型，司法如何在遵循立法原意的基礎(chǔ)上對復(fù)雜的信息實(shí)踐糾紛作出回應(yīng)，是司法的應(yīng)有之意和時代要求。

實(shí)踐中，信息侵權(quán)案件頻發(fā)，信息侵權(quán)行為屢禁不止。根據(jù)《第45次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》統(tǒng)計(jì)，至2020年3月我國網(wǎng)絡(luò)安全事件中信息安全問題凸顯——位居第一(見表1)。[1]但與此同時，信息侵權(quán)糾紛得以解決的較少，進(jìn)入司法程序則更少。究其緣由，主要有以下三個原因：首先，信息侵權(quán)行為的發(fā)生較為隱匿，加之信息主體習(xí)慣“以隱私換便利”，缺乏信息保護(hù)意識，加劇了主體自身的弱勢地位；其次，與信息處理者相比，信息主體在信息處理技術(shù)和信息利用周期的控制上均處于弱勢地位，主體在侵權(quán)發(fā)生后往往難以固定證據(jù)，而現(xiàn)有舉證責(zé)任對個體來說難度較大；最后，信息侵權(quán)行為發(fā)生以后往往會給信息主體帶來不可逆轉(zhuǎn)的影響，但在其進(jìn)行舉證的過程中被侵權(quán)人不能有效通過法律對自身進(jìn)行保護(hù)，在進(jìn)入司法程序后該影響也沒有統(tǒng)一的衡量標(biāo)準(zhǔn)，在當(dāng)下對信息保護(hù)的立法體系中缺乏對精神損害的規(guī)定，如傳統(tǒng)民法中的“損害差額說”理論中受害人甚至連所遭受的損害究竟是什么都無法證明。[2]有鑒于此，司法機(jī)關(guān)應(yīng)作出有效應(yīng)對，發(fā)揮司法機(jī)關(guān)的能動性，為妥善實(shí)現(xiàn)信息保護(hù)的法治目標(biāo)提供可能路徑。

二、立法審視：民法典關(guān)于信息處理者的立法定位

(一)信息處理者與信息控制者的概念梳理

1.信息控制者。從概念發(fā)展的歷程看，數(shù)據(jù)控制者的概念最早源于1981年歐洲理事會的《108號公約》(1)1981年，歐洲理事會(Council of Europe，非歐盟的European Council)發(fā)布了《關(guān)于個人數(shù)據(jù)自動化處理的個人保護(hù)公約》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，下稱“108號公約”)之中，表現(xiàn)形式為“文檔控制者”(controller of the file)。之后在歐盟《數(shù)據(jù)保護(hù)指令》(以下簡稱《指令》)中確立了數(shù)據(jù)控制者(controller)的概念，《一般數(shù)據(jù)保護(hù)條例》出臺后沿襲《指令》關(guān)于數(shù)據(jù)控制者的界定。對信息控制者的理解可以從其控制力來理解，具體而言，其控制力可通過兩種形式表現(xiàn)出來：其一，法律條文的規(guī)定，不論是在歐盟的“權(quán)力話語”視域下的賦權(quán)模式還是美國“市場話語”視域下的實(shí)用主義，(2)歐盟在“比信息自由流動更重要的還是維護(hù)歐洲權(quán)利制度中人的尊嚴(yán)與隱私”的價值取向下，區(qū)分?jǐn)?shù)據(jù)控制者和數(shù)據(jù)處理者的義務(wù)以實(shí)現(xiàn)“個人數(shù)據(jù)保護(hù)權(quán)”；美國“隱私控制論”則認(rèn)為在法律承認(rèn)個人數(shù)據(jù)為財(cái)產(chǎn)的情形下，財(cái)產(chǎn)法規(guī)則能更好地保護(hù)個人利益與社會整體利益。因此，他們鼓勵人們將“個人數(shù)據(jù)/隱私視為商品”并倡導(dǎo)通過財(cái)產(chǎn)法規(guī)則而非侵權(quán)規(guī)則保護(hù)個人數(shù)據(jù)。部分國家的法律或規(guī)范性文件會直接對信息控制者進(jìn)行規(guī)定；其二，在沒有任何法律規(guī)定的情況下可通過事實(shí)判斷推定信息控制者，但需要結(jié)合個案進(jìn)行分析，如某金融平臺將其營銷推送的廣告業(yè)務(wù)與不同的組織簽訂合同，即明確需要投放的廣告、客戶群體等，各公司有一定的裁量權(quán)，但最終的數(shù)據(jù)控制者仍然是該金融平臺，但若其中A公司為了生成附加值而對個人信息進(jìn)行處理，則A公司因該行為成為新的信息控制者。

2.信息處理者。信息處理者的產(chǎn)生依賴于信息控制者。歐盟在《指令》中第一次在數(shù)據(jù)保護(hù)法律中適用該概念。信息控制者可決定由哪些人對信息進(jìn)行加工處理，可以是自然人、法人、公共權(quán)力機(jī)關(guān)或外部代理機(jī)構(gòu)。由此觀之，信息處理者的主體廣泛，但信息處理的方式由信息控制者決定，具體而言，信息處理者基本特點(diǎn)之一即為相對信息控制者而言具有法律上獨(dú)立的實(shí)體(separate legal entity with respect to the controller)，特點(diǎn)之二即為其代表信息控制者具體處理個人信息，此處的“代表”意味著為了他人的利益而服務(wù)，與委托法律關(guān)系相似。對于各信息利用者而言，其在個人信息的收集、使用、處理的各個階段中均有可能是信息控制者，也可能被認(rèn)定為信息處理者，主要依其心理利用的行為而改變，如當(dāng)信息主體在銀行開立賬戶時銀行對其進(jìn)行金融信息的收集，并決定這些金融信息的處理方式，若信息處理者的信息利用方式超出與控制者的預(yù)先約定，則其有可能會成為新的信息控制者，甚至有可能出現(xiàn)共同控制者的情況。

3.差異之思辨。特定的法律概念表征著立法的法律保護(hù)對象及其法律關(guān)系。由信息控制者和信息處理者的概念差異可窺見兩者的差異：其一，作為核心詞語，“控制”意味著主體能自主決定信息處理的目的、方式、信息處理的用途，并能自主決定收集哪類信息、由誰收集、是否告知個人信息主體或重新征求其同意，以及信息利用之后的保存時間等，“處理”則蘊(yùn)含著該主體能決定信息的進(jìn)一步加工處理的環(huán)節(jié)，可決定信息將如何存儲、以何種方式共享等；其二，主體概念的不同決定其義務(wù)的不同，該點(diǎn)主要體現(xiàn)在法律或規(guī)范性文件對兩者進(jìn)行界分的情況下，如我國在《個人信息規(guī)范》中規(guī)定了信息控制者應(yīng)承擔(dān)全面的義務(wù)和責(zé)任，其中包括原則性、一般性義務(wù)、風(fēng)險(xiǎn)管理等，[3]而信息處理者的義務(wù)主要是合同義務(wù)，又如歐盟《一般數(shù)據(jù)保護(hù)條例》中對處理者規(guī)定了合同義務(wù)，也規(guī)定了需承擔(dān)與其權(quán)限、處理行為相匹配的合規(guī)義務(wù)及責(zé)任。

(二)民法典對信息處理者規(guī)定的立法選擇

1.“處理行為”的內(nèi)涵。法律若要安定，概念的構(gòu)成與特征就應(yīng)盡可能被精確地確定，因?yàn)椴淮_定的法律概念及概括性條款易生歧見，進(jìn)而危害法律的安定性。[4]承前所述，對信息利用主體存在信息控制者與信息處理者之說，但我國民法典中采用了一元的信息處理者的概念，對該概念的理解決定了信息利用主體的義務(wù)和責(zé)任，同時也將影響司法對信息糾紛的處理。而對該概念的理解又將基于對“處理行為”的理解。首先，應(yīng)明確的是信息處理的“原料”是數(shù)據(jù)、信息、知識，也即信息是處理行為的客體和基本資源，是之后業(yè)務(wù)得以創(chuàng)新、共享的基礎(chǔ)；其次，處理行為的合理性和合法性的判斷需要基于特定的事實(shí)，如企業(yè)通過爬蟲的方式爬取網(wǎng)頁自行公開或其他合法公開的信息，則對于個體的信息主體而言應(yīng)當(dāng)屬于合理處理，但對于公開信息的網(wǎng)頁而言則有可能構(gòu)成不正當(dāng)競爭行為；最后，《民法典》吸收學(xué)者意見，對處理行為作出了擴(kuò)展，參照GDPR的規(guī)定，(3)General Data Protection Regulation, Article 4(2)：‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;將對信息的收集、存儲、使用、加工、傳輸、提供、公開等包含在“處理”行為之中。

2.信息處理者的界定。根據(jù)《民法典》第一千零三十七條、第一千零三十八條的表述來看，我國《民法典》籠統(tǒng)的賦予信息利用主體義務(wù)，采用“信息處理者”這一概念，未區(qū)分“信息處理者”“信息控制者”“受委托者”等概念。作為對信息負(fù)有安全保障義務(wù)的主體，信息處理者涵蓋了信息收集者、信息控制者的概念。根據(jù)《民法典》的規(guī)定，可進(jìn)一步對信息處理者的義務(wù)體系和責(zé)任進(jìn)行細(xì)化理解，即《民法典》第一千零三十五條同樣適用于信息控制者。實(shí)踐中“處理者”一般對應(yīng)的概念是受信息控制者委托處理個人信息的主體，部分行業(yè)中甚至已經(jīng)形成“處理者”和“控制者”的實(shí)質(zhì)分工，[5]“控制者”和“處理者”的行為所受規(guī)制不同，信息控制者往往承擔(dān)更多的義務(wù)，義務(wù)源于要在個人信息控制者約定范圍內(nèi)處理信息。由此可見，實(shí)踐中的信息控制者對信息有著重要的決定權(quán)，不僅會處理信息，更影響著信息處理的方法和目的。這種決定權(quán)或控制權(quán)可能源于明示或默示的法律職責(zé)，但不作為其排除對《民法典》規(guī)定義務(wù)履行的事由。此外，應(yīng)客觀的看到，不論《民法典》采取何種概念界定，“信息控制者”與“信息處理者”的概念區(qū)分在立法選擇與司法實(shí)踐中更為重要的是明確各概念客體的內(nèi)涵與外延，以期實(shí)現(xiàn)對信息侵權(quán)事件或信息權(quán)益糾紛作出回應(yīng)，提供可操作的指引。

三、策略選擇：信息糾紛案件中司法機(jī)關(guān)的應(yīng)對

(一)發(fā)揮司法定分止?fàn)幍淖饔?/h3>

1.堅(jiān)持信息糾紛處理中的基本原則。信息利用的原則是信息利用“法規(guī)精神所生之原則”。[6]《民法典》第一千零三十五條明確規(guī)定了處理個人信息應(yīng)遵循合法、正當(dāng)、必要的原則。根據(jù)立法可窺見在處理復(fù)雜信息糾紛案件時，若無明確法律依據(jù)，可根據(jù)以上原則進(jìn)行判決，這也是司法發(fā)揮其職能的應(yīng)有之義。根據(jù)現(xiàn)有規(guī)定可從以下三點(diǎn)對信息保護(hù)原則進(jìn)行理解：其一，合法性原則，合法性是信息處理者進(jìn)行信息利用行為的前提，合法性的基礎(chǔ)一方面源于信息主體的知情同意，另一方面源于法律明文規(guī)定；其二，正當(dāng)性原則，即信息收集和處理過程中手段和目的正當(dāng)，手段、目的的正當(dāng)性不僅要求其不違法，更要求手段、目的應(yīng)符合誠實(shí)信用原則，以個體易于理解的、透明的方式進(jìn)行告知；[7]其三，必要性原則，必要即處理者所收集和處理的信息僅限于實(shí)現(xiàn)正當(dāng)目所必須。此外，《民法典》中還新增“不得過度處理”個人信息的要求，也是對“必要原則”的深化。

2.厘清信息處理者的責(zé)任及其例外。信息處理者對信息的處理有條件要求和例外。是否滿足條件或例外是司法機(jī)關(guān)判斷其責(zé)任及其責(zé)任輕重的重要依據(jù)，若不能滿足條件的則應(yīng)承擔(dān)責(zé)任，符合例外情形則可成為其免責(zé)事由。其一，同意是信息得以處理的合法性基礎(chǔ)，但同意之外存在“法律、行政法規(guī)另有規(guī)定的除外”的情形，這一看似兜底式的規(guī)定，為司法實(shí)踐中處理個人信息權(quán)益與衡平其他合法利益提供了法律依據(jù)。當(dāng)然，應(yīng)辯證的看到，例外的出現(xiàn)應(yīng)遵循必要性原則。例如，新冠肺炎疫情嚴(yán)控期間根據(jù)《中華人民共和國傳染病防治法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》等法律、行政法規(guī)的規(guī)定，有關(guān)單位可收集信息主體的信息，該例外僅限于法律和行政法規(guī)的規(guī)定。其二，在利用《民法典》第一千零三十六條時，需要考量個人利益的保護(hù)和信息流轉(zhuǎn)的價值，在解決信息糾紛過程中應(yīng)兼顧個人利益的保護(hù)和社會發(fā)展對個人信息合理使用的需求。

3.明晰信息糾紛案件中的舉證責(zé)任問題?！睹穹ǖ洹穼π畔⒓m紛解決中舉證責(zé)任的規(guī)定仍適用一般侵權(quán)的路徑。故對于信息糾紛中的舉證責(zé)任，仍適用“誰主張、誰舉證”的原則，也即原告需對侵權(quán)責(zé)任的構(gòu)成要件(侵權(quán)行為、損害后果、因果聯(lián)系以及侵權(quán)人存在過錯)承擔(dān)舉證責(zé)任。在司法實(shí)踐過程中，第一批最高人民法院發(fā)布互聯(lián)網(wǎng)典型案例將“去哪兒網(wǎng)案”列入個人信息保護(hù)領(lǐng)域的典型案例，該案中法院沒有突破“誰主張、誰舉證”原則，但侵權(quán)事實(shí)的認(rèn)定層面，將具有“高度蓋然性”即認(rèn)定為原告完成舉證責(zé)任。但“高度蓋然性”的認(rèn)定不論在學(xué)理層面還是司法實(shí)踐層面都極為復(fù)雜，難以得出統(tǒng)一認(rèn)定標(biāo)準(zhǔn)。“去哪兒網(wǎng)案”發(fā)生前后，很多法院在裁判過程中都是按照傳統(tǒng)的“誰主張、誰舉證”的原則分配舉證責(zé)任，諸如“蘇寧易購案”“京東案”等。法院根據(jù)誠實(shí)信用和公平原則要求被告企業(yè)承擔(dān)自己旅行信息安全保障義務(wù)的舉證責(zé)任，但這種方式在法律規(guī)則上可能會存在問題。若大量推行這種規(guī)則可能增加企業(yè)的訴訟壓力和合規(guī)成本。如何降低起訴難度，同時又不給信息處理者帶來過重的壓力，是《個人信息保護(hù)法》及《最高人民法院關(guān)于審理個人信息權(quán)糾紛案件適用法律若干問題的解釋》理應(yīng)明確的問題，也是司法機(jī)關(guān)在個案審判中應(yīng)不斷探索的重任。

(二)強(qiáng)化司法價值引導(dǎo)效應(yīng)

1.為信息安全劃定利用底線。信息安全底線的遵循是一切信息處理行為得以開展的基礎(chǔ)。任何信息利用活動的進(jìn)行均不能突破信息安全底線，信息安全底線可具體劃分為國家安全底線、行業(yè)發(fā)展底線、個人信息安全底線。在具體的案件處理過程中，國家安全層面可遵循《數(shù)據(jù)安全法》中構(gòu)架的國家層面的數(shù)據(jù)安全制度進(jìn)行判斷，其中可能包括信息跨境等問題；在行業(yè)層面上的信息安全，應(yīng)以保障行業(yè)安全發(fā)展，避免信息風(fēng)險(xiǎn)的傳遞，如金融信息安全事件的發(fā)生，不僅關(guān)系金融行業(yè)的穩(wěn)定，也涉及國家經(jīng)濟(jì)民生等的安全；在個人信息安全層面，主要從信息處理行為是否違反法定或約定的利用事由。對任何打破上述信息安全底線的利用行為，都將失去其利用信息的合法性基礎(chǔ)，也將成為其承擔(dān)法律責(zé)任的事實(shí)依據(jù)。當(dāng)然，信息利用安全底線的劃定，也為各主體的信息利用行為提供了反向的合規(guī)指引，避免出現(xiàn)“數(shù)據(jù)堂”等信息安全事件。

2.為信息利用行為預(yù)留空間。與傳統(tǒng)訴訟中的某些標(biāo)的物不同，信息價值具有不確定性。一方面，信息價值的確定沒有統(tǒng)一標(biāo)準(zhǔn)，各主體對統(tǒng)一信息的價值存在感知差異，某些主體認(rèn)為視為“廢物”的信息或信息集可能在另一主體眼中視為“寶藏”和“金礦”；[8]另一方面，信息具有增值的不確定性，其他案件中涉及的物品可能只出售一次，便完成了所有權(quán)的移轉(zhuǎn)，但信息除約定可獨(dú)家利用的情形，往往可多次、反復(fù)使用，甚至存在越用越升值的現(xiàn)象。在此背景下，對信息糾紛的處理應(yīng)為信息價值的發(fā)揮預(yù)留空間，在規(guī)則不甚明晰的情況下，應(yīng)遵循信息利用的客觀規(guī)律和市場對信息資源的調(diào)配。具體而言，在遵循信息安全底線的基礎(chǔ)上，可考量信息在哪個主體控制下能避免碎片化發(fā)揮應(yīng)有的價值，可考量主體為信息或信息集形成所付出的精力和成本，其權(quán)利的厚度能否與其訴求相匹配。