亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        論個(gè)人信息處理者的民事責(zé)任

        2021-12-01 13:33:10
        清華法學(xué) 2021年3期
        關(guān)鍵詞:信息處理民法典個(gè)人信息

        姚 佳

        現(xiàn)代科技對(duì)人們的行為方式產(chǎn)生較大影響,有如波蘭尼(Karl Polanyi)、格蘭諾維特(Mark Granovetter)的“嵌入”理論,科技正在以絕對(duì)強(qiáng)勢(shì)地位嵌入、顛覆乃至重塑人類的行為模式。在經(jīng)濟(jì)迭代與規(guī)?;钠脚_(tái)經(jīng)濟(jì)出現(xiàn)以后,即便是“原子化”的個(gè)體也別無選擇,只能主動(dòng)或(更多是)被動(dòng)地卷入其中。盡管個(gè)體從事的活動(dòng)各異,但卻都存在自身信息被收集、利用與存儲(chǔ)等事實(shí),如何保護(hù)此種處于“靜態(tài)”或“動(dòng)態(tài)”的個(gè)人信息以及如何規(guī)制信息相關(guān)主體的行為,成為信息時(shí)代面臨的一個(gè)重要議題。根據(jù)谷歌書籍詞頻統(tǒng)計(jì)器(Google Book Ngram Viewer)顯示,“個(gè)人識(shí)別信息”(personally identifiable information)自1992年開始就成為一個(gè)越來越流行的術(shù)語。(1)Paul M.Schwartz & Daniel J.Solove, Reconciling Personal Information in the United States and European Union, 102 California Law Review 877, 887 (2014).圍繞個(gè)人信息是否具有“可識(shí)別性”,將個(gè)人信息與人、人格、財(cái)產(chǎn)等基本命題在事實(shí)上與邏輯上緊密聯(lián)系起來,并在相當(dāng)程度上推動(dòng)了世界范圍內(nèi)個(gè)人信息保護(hù)的立法熱潮。

        中國近年來在制定或修訂相關(guān)法律之時(shí)都十分重視個(gè)人信息保護(hù)問題。(2)《網(wǎng)絡(luò)安全法》《電子商務(wù)法》與《消費(fèi)者權(quán)益保護(hù)法》之中均有相關(guān)個(gè)人信息保護(hù)的規(guī)定。2020年5月通過的《中華人民共和國民法典》在人格權(quán)編中專門規(guī)定了個(gè)人信息保護(hù),首開世界范圍內(nèi)民法(典)或私法中特別規(guī)定個(gè)人信息保護(hù)之先河,此舉在世界私法史上亦可圈可點(diǎn)。醞釀了若干年之后,2020年10月《個(gè)人信息保護(hù)法(草案)》的推出,更將中國的個(gè)人信息保護(hù)推至高潮。中國的個(gè)人信息保護(hù)立法相較于世界其他國家和地區(qū),所處時(shí)代背景與發(fā)展階段皆不相同,因此所面臨的難題與所要解決的問題也不盡相同。尤其在“個(gè)人—個(gè)人信息處理者”之兩造關(guān)系中,以“可識(shí)別性”為個(gè)人信息的核心構(gòu)成,更使得相對(duì)方主體的一系列義務(wù)與保護(hù)的“開關(guān)”始終處于“打開”狀態(tài)。(3)同前注〔1〕,Paul M.Schwartz & Daniel J.Solove文。鑒此,觀察個(gè)人信息處理者的法律責(zé)任十分重要,此種法律責(zé)任,或可構(gòu)造為一定體系,或可在不同“橫截面”構(gòu)造為一定“子體系”,并在相當(dāng)程度上成為完善個(gè)人信息權(quán)利體系之重要的“反作用力”,殊值重視。

        一、個(gè)人信息處理者的界定

        由個(gè)人信息的產(chǎn)生、傳遞與流動(dòng)的本質(zhì)特征所決定,與個(gè)體發(fā)生聯(lián)系的若干主體可抽象概括為“信息控制者”與“信息處理者”。世界范圍內(nèi),隱私與個(gè)人信息立法以美國和歐盟為基礎(chǔ)標(biāo)桿,其他國家和地區(qū)分別在不同的法域之內(nèi)緊跟或?qū)?biāo)相應(yīng)立法。美國和歐盟二者之間事實(shí)上也形成一種個(gè)人信息保護(hù)立法的競(jìng)爭(zhēng)局面。而正如格林里夫教授(Graham Greenleaf)所指出的,美國隱私法在世界上的影響力遠(yuǎn)不如歐洲數(shù)據(jù)隱私法的影響力,可以合理地描述為“歐洲標(biāo)準(zhǔn)”的數(shù)據(jù)隱私法正在逐漸成為世界其他國家相關(guān)立法的標(biāo)準(zhǔn)。(4)Graham Greenleaf, The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108, 2 International Data Privacy Law 68, 77 (2012).中國作為深受大陸法系法律理論影響的國家,在個(gè)人信息保護(hù)立法的觀念與制度上也一定程度上受到歐盟立法的影響。然而吊詭的是,中國法恰恰在個(gè)人信息基本主體概念上與歐盟頗為不同,《民法典》歷次草案與正式文本以及《個(gè)人信息保護(hù)法(草案)》中的個(gè)人信息相關(guān)主體的表述均不相同。對(duì)這一基礎(chǔ)主體概念的不斷修改,反映出立法者對(duì)個(gè)人信息處理活動(dòng)的認(rèn)識(shí)不斷加深并逐漸體現(xiàn)出立法的著重面向。然而,對(duì)于基本主體概念的規(guī)定,并非單一的法技術(shù)問題,而關(guān)涉立法者對(duì)于社會(huì)事實(shí)的認(rèn)識(shí)、對(duì)法觀念的總結(jié)提煉以及能否實(shí)現(xiàn)立法的前瞻性等諸多問題,不能簡(jiǎn)單視之。既如此,認(rèn)識(shí)與界定個(gè)人信息處理者,是個(gè)人信息保護(hù)立法與解釋的基礎(chǔ)工作之一。

        (一)信息控制者vs.信息處理者

        對(duì)于事物概念的確定,既是一個(gè)認(rèn)識(shí)事物本質(zhì)的過程,同時(shí)也是一個(gè)思維形成的過程。黑格爾在說明概念與事物之間的關(guān)系時(shí)認(rèn)為,“當(dāng)我們要談?wù)撌挛飼r(shí),我們就稱它們的本性或本質(zhì)為它們的概念,而概念只是為思維才有的”,“我們的思維必須依照概念而限制自己,而概念卻不應(yīng)依我們的任意或自由而調(diào)整”。(5)[德]黑格爾:《邏輯學(xué)(上卷)》,楊一之譯,商務(wù)印書館1996年版,第12-13頁。在立法概念選擇的時(shí)候,立法者依然面對(duì)如何認(rèn)識(shí)事物和如何選擇概念的雙重難題。

        中國的個(gè)人信息保護(hù)立法,也同樣面臨上述認(rèn)識(shí)與選擇的方法論難題。中國在制定《民法典》和《個(gè)人信息保護(hù)法(草案)》的個(gè)人信息保護(hù)規(guī)則之時(shí),在法技術(shù)層面不同程度地借鑒歐美國家的經(jīng)驗(yàn)。然而,正如施瓦茨(Paul M.Schwartz)和索羅夫(Daniel J.Solove)所言,“美國和歐盟在隱私法方面分歧很大。在基本層面,二者的基本理念哲學(xué)不同:在美國,隱私法的重點(diǎn)是救濟(jì)對(duì)消費(fèi)者的損害以及平衡隱私與高效的商業(yè)交易之間的關(guān)系;在歐盟,隱私權(quán)被認(rèn)為是一項(xiàng)基本權(quán)利,可以凌駕于其他利益之上。甚至在確定信息立法調(diào)整范圍的邊界等問題上,美國和歐盟的做法也完全不同。個(gè)人信息的存在——通常被稱為‘個(gè)人識(shí)別信息’——觸發(fā)了隱私法的適用?!?6)同前注〔1〕,Paul M.Schwartz & Daniel J.Solove文,第877頁。美國關(guān)于隱私權(quán)理論探索較早,對(duì)世界產(chǎn)生較大影響,如何界定個(gè)人信息,在美國法上經(jīng)歷過較為激烈的討論。主要通過三種方式界定個(gè)人信息,包括:同義反復(fù)(tautological)、非公開(nonpublic)以及具體類型(specific-types)。(7)所謂“同義反復(fù)”(tautological)的方式,主要是指美國隱私法通過簡(jiǎn)單地定義“個(gè)人的”作為任何識(shí)別個(gè)人身份的信息的標(biāo)準(zhǔn),在表達(dá)上就是“個(gè)人信息是個(gè)人的信息”的一種同義反復(fù),將其作為界定個(gè)人信息的方法,實(shí)際上在美國國內(nèi)也遭受到一定批評(píng)。同前注〔1〕,Paul M.Schwartz & Daniel J.Solove文,第888頁。后來經(jīng)不斷發(fā)展,美國法上系將隱私權(quán)與個(gè)人信息保護(hù)等統(tǒng)一歸至隱私法這一籠統(tǒng)概念之中,與歐洲的人格權(quán)理論與個(gè)人信息保護(hù)理論的“二分法”截然不同。相較美國法,歐盟立法相對(duì)更為清晰,這也就是為何歐盟的個(gè)人數(shù)據(jù)保護(hù)法更易于“輸出”并成為較為通行的“世界標(biāo)準(zhǔn)”的重要原因之一。

        從中國目前對(duì)于《民法典》個(gè)人信息保護(hù)的解釋論和《個(gè)人信息保護(hù)法(草案)》的立法論角度來看,中國個(gè)人信息保護(hù)立法一定程度上參考借鑒了歐盟相關(guān)立法,包括一些基本規(guī)則和權(quán)利義務(wù)體系等方面。然而,如本文所討論的,實(shí)證法恰恰并未將個(gè)人信息保護(hù)中涉及的關(guān)鍵主體——信息控制者——這一概念納入。事實(shí)上,信息控制者并非一個(gè)簡(jiǎn)單的概念選擇問題,也并非一個(gè)比較法意義上的形式上的“規(guī)則借鑒”問題,而是涉及對(duì)于個(gè)人信息保護(hù)活動(dòng)通盤理解的問題。

        “控制者”這一概念,主要應(yīng)依循歐盟立法的脈絡(luò)來理解?!翱刂普摺?controller)最早見諸于《歐盟95/46/EC指令》(1995年10月),后在歐盟2012年擬議的《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)以及2016年通過的《一般數(shù)據(jù)保護(hù)條例》(GDPR)中延續(xù)使用。施瓦茨和索羅夫曾指出:“事實(shí)上,從歐盟95年指令開始,歐盟立法就已經(jīng)為數(shù)據(jù)主體提供了對(duì)于他們自身數(shù)據(jù)使用的一種控制權(quán)?!?8)同前注〔1〕,Paul M.Schwartz & Daniel J.Solove文,第883頁。而此處所謂的“控制權(quán)”,又與大陸法系典型國家的“信息自決”理論緊密相聯(lián)。德國《基本法》第2條第1款確定了人格自由發(fā)展的權(quán)利。而個(gè)人信息對(duì)于人格構(gòu)建和發(fā)展具有決定性的意義,“信息自決”(informationelle Selbstbestimmung)則是實(shí)現(xiàn)對(duì)個(gè)人自由發(fā)展的重要方式。(9)Vgl.Christoph Mallmann, Datenschutz in Verwaltungsinformationssystemen, München, 1976, S.54 ff. 轉(zhuǎn)引自謝遠(yuǎn)揚(yáng):《信息論視角下個(gè)人信息的價(jià)值——兼對(duì)隱私權(quán)保護(hù)模式的檢討》,載《清華法學(xué)》2015年第3期,第102-103頁。此種信息自決觀念將個(gè)人信息與人格權(quán)有效聯(lián)系起來,并進(jìn)而影響了個(gè)人信息保護(hù)的法律建構(gòu)。

        “信息自決”應(yīng)有之意是個(gè)體能夠決定自身信息的使用,即產(chǎn)生一種“控制”。殊值辨識(shí)的是,以“信息自決”為出發(fā)點(diǎn)的對(duì)個(gè)人信息的“控制”并不等于對(duì)個(gè)人信息的“控制權(quán)”,由于權(quán)利本身包含一種實(shí)踐面向,而個(gè)人事實(shí)上無法享有對(duì)個(gè)人信息的絕對(duì)性、排他性的(全程)控制權(quán),因此前述施瓦茨和索羅夫的觀點(diǎn)也有不周延之處。當(dāng)然,他們對(duì)于歐盟個(gè)人信息保護(hù)法的特征總體上有較好的把握與判斷,這也就在相當(dāng)程度上解釋了,由于個(gè)人信息的產(chǎn)生、傳遞與流動(dòng)等特征,當(dāng)信息流動(dòng)到與個(gè)體相對(duì)的主體,并由該主體進(jìn)行“控制”之時(shí),由于個(gè)體享有“信息自決”而并未喪失自己對(duì)信息的“延伸控制”,“控制”理念貫穿始終。比如,個(gè)人享有知情權(quán),即“可以在一定程度上控制關(guān)于收集到的他們的數(shù)據(jù)的去向”。(10)Francoise Gilbert, A Bird’s-Eye View of Data Protection in Europe, 24 ABA GP Solo 31, 32-35 (2007).個(gè)人信息保護(hù)立法以“控制”為核心貫穿以個(gè)人信息為客體的一系列行為,當(dāng)個(gè)人信息“脫逸”個(gè)體之后,能夠控制信息的主體則是事實(shí)上占有信息的“控制者”。這也就是為何在歐盟《一般數(shù)據(jù)保護(hù)條例》中,信息控制者才是與個(gè)人直接相對(duì)的義務(wù)主體,而并非信息處理者。而控制者的核心活動(dòng)與其主要活動(dòng)有關(guān),而與作為輔助活動(dòng)的個(gè)人數(shù)據(jù)處理無關(guān)。在控制者客觀控制數(shù)據(jù)的基礎(chǔ)上,又進(jìn)一步發(fā)展出“目的限制”原則,允許控制者評(píng)估為最初收集數(shù)據(jù)的目的以外的其他目的處理個(gè)人數(shù)據(jù)是否享有這樣的依據(jù),而這種依據(jù)并非基于法律或數(shù)據(jù)主體的同意。(11)W.Gregory Voss, European Union Data Privacy Law Reform: General Data Protection Regulation, Privacy Shield, and the Right to Delisting, 72 The Business Lawyer 221, 224 (2017).

        在歐盟法的脈絡(luò)下,信息控制者的概念絕非僅依立法而產(chǎn)生,而系與歐洲法長(zhǎng)期關(guān)注與持續(xù)發(fā)展人格自由、信息自決等法思想、法理念緊密相關(guān)。信息處理者則是為了數(shù)據(jù)控制者而處理個(gè)人數(shù)據(jù)的主體,其行為與活動(dòng)雖然具有相對(duì)獨(dú)立性,也并非控制者的附庸,但在地位與角色上確實(shí)無法與控制者相提并論。二者的關(guān)系既反映出歐盟法的特色,同時(shí)也體現(xiàn)出個(gè)人信息活動(dòng)本身的核心特征。反觀中國法,遺憾的是,“信息控制者”這一概念在《民法典》制定過程中僅“曇花一現(xiàn)”,最終并未進(jìn)入正式文本之中,這就有必要在中國法的“偶然”與“必然”之中進(jìn)一步解釋個(gè)人信息處理者的內(nèi)涵,及其所輻射的制度脈絡(luò)以及所反映的制度意旨。

        (二)中國立法演進(jìn)中的“個(gè)人信息處理者”

        黑格爾認(rèn)為,考察存在和本質(zhì)的客觀邏輯,真正構(gòu)成了概念發(fā)生史的展示。(12)參見[德]黑格爾:《邏輯學(xué)(下卷)》,楊一之譯,商務(wù)印書館1976年版,第240頁。客觀而言,中國確實(shí)不存在如歐洲國家的信息自決觀念的歷史影響,因此即便是拋卻已有概念,轉(zhuǎn)而選擇創(chuàng)設(shè)全新概念,也未嘗不可。問題的關(guān)鍵在于,基本概念應(yīng)起到貫穿制度核心脈絡(luò)的作用,或重塑制度自身特征的作用,只有有意識(shí)循此設(shè)計(jì)制度,才能實(shí)現(xiàn)制度初衷,否則將會(huì)使制度變得空洞而無法實(shí)施。信息相關(guān)主體在歷次法律草案與規(guī)范性文件中的表述,幾無統(tǒng)一者,而最終《民法典》中改稱“信息處理者”的表述,或有突襲之感,這也給如何解釋信息處理者的地位與作用帶來一定困難。

        表:法律法規(guī)、規(guī)范性文件中的信息相關(guān)主體

        從目前已公開的官方立法資料來看,對(duì)于上述概念變化并無特別說明。從概念表述與體系解釋來看,大致可從以下幾方面理解與建構(gòu):

        第一,“信息處理論”吸收“信息控制論”。從概念使用來看,在制定法并未采用信息控制者這一概念之時(shí),而僅使用信息處理者這一概念。通過體系解釋,“信息處理論”表達(dá)為一系列客觀的處理方式以及個(gè)人信息處理者的自主決定權(quán)利,這實(shí)際上也涵蓋了包括有決定能力的控制者的一系列行為。立法階段的終結(jié),使信息處理者這一概念成為一種既定事實(shí),后續(xù)研究和實(shí)踐也只能在此基礎(chǔ)上進(jìn)行解釋。

        第二,非控制論之下的“信息自決”的貫穿。歐盟法脈絡(luò)下的人格、信息自決與個(gè)人信息控制之間存在觀念上與邏輯上的聯(lián)系。盡管中國法并未選擇以控制者為核心的“信息控制論”,但是無論是解釋《民法典》的相關(guān)規(guī)定還是《個(gè)人信息保護(hù)法草案(一審稿、二審稿)》第44條中明確規(guī)定的“個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)……”,已經(jīng)較為明確地規(guī)定了“信息自決”或“個(gè)人信息自決權(quán)”。可見,即便立法選擇了“信息處理論”或非控制論,但也仍然是選擇了“信息自決”這一法價(jià)值,之后的法律體系構(gòu)建或規(guī)則創(chuàng)設(shè)也仍然遵循此價(jià)值。

        第三,跨法系基本概念的對(duì)話基礎(chǔ)。歐盟個(gè)人數(shù)據(jù)保護(hù)立法在某種程度上作為一種“國際標(biāo)準(zhǔn)”,信息控制者也基本上成為一個(gè)通行概念,而中國立法之時(shí)僅選擇使用信息處理者這一概念,這就帶來一個(gè)國際對(duì)話基礎(chǔ)以及法律適用上的問題。在數(shù)據(jù)面臨跨境流動(dòng)以及國內(nèi)企業(yè)海外合規(guī)與外國企業(yè)在中國合規(guī)之時(shí),都要面臨概念轉(zhuǎn)換與系列制度的理解問題,這在一定程度上增加了解釋成本。因此,如何在制定《個(gè)人信息保護(hù)法》之時(shí)再進(jìn)一步加強(qiáng)信息控制理念,使之與“信息自決”理念相協(xié)調(diào),不得不通盤考慮,此謂周全之道。

        (三)個(gè)人信息處理者的具體類型

        信息時(shí)代與智能時(shí)代的首要特點(diǎn)就是信息呈規(guī)?;?,以網(wǎng)絡(luò)平臺(tái)為代表的主體獲取大量個(gè)人信息。個(gè)人信息保護(hù)與個(gè)人信息利用,二者表現(xiàn)為靜動(dòng)之分并體現(xiàn)不同價(jià)值取向,但二者實(shí)質(zhì)上卻是一種“價(jià)值合流”——安全。因此,個(gè)人信息處理者也是在安全價(jià)值指引下保護(hù)個(gè)人信息。個(gè)人信息處理者成為法律上的特定主體,預(yù)設(shè)的前提即該主體有能力保護(hù)個(gè)人信息安全,防范個(gè)人信息風(fēng)險(xiǎn)。盡管《民法典》適用于所有平等民事主體,但個(gè)人信息處理者由于其活動(dòng)需要一定的物質(zhì)和技術(shù)條件并負(fù)有較多義務(wù),而在主體范圍界定上有所限縮,并非所有民事主體均能成為個(gè)人信息處理者。這一點(diǎn)也符合國際通行規(guī)則,比如GDPR第30.5條規(guī)定控制者的責(zé)任不適用于雇員少于250人的經(jīng)濟(jì)主體或組織。有學(xué)者也認(rèn)為:“個(gè)人信息保護(hù)法的義務(wù)主體具有特殊性,不是‘任何組織或者個(gè)人’這樣的一般主體?!?13)參見周漢華:《個(gè)人信息保護(hù)的法律定位》,載《法商研究》2020年第3期,第50頁。在此基礎(chǔ)上,實(shí)踐中的個(gè)人信息處理者的具體類型大致包括以下主體。

        第一,網(wǎng)絡(luò)服務(wù)提供者。在中國法項(xiàng)下,提供網(wǎng)絡(luò)服務(wù)的主體被概括為網(wǎng)絡(luò)服務(wù)提供者。在立法與實(shí)踐中,涉及網(wǎng)絡(luò)安全、電子商務(wù)等不同領(lǐng)域之時(shí),也以不同主體稱謂指代。在經(jīng)濟(jì)迭代轉(zhuǎn)型出現(xiàn)平臺(tái)經(jīng)濟(jì)之后,平臺(tái)主體也往往成為一種經(jīng)濟(jì)學(xué)上的較為通行的主體稱謂。當(dāng)下個(gè)體購物、社交等行為基本上均以網(wǎng)絡(luò)平臺(tái)為中介,個(gè)人信息的收集、存儲(chǔ)、使用、加工等行為也集中于平臺(tái)之上。大規(guī)模的網(wǎng)絡(luò)平臺(tái)的出現(xiàn),其相對(duì)于個(gè)體或消費(fèi)者的強(qiáng)勢(shì)地位,加劇了傳統(tǒng)上經(jīng)營者與消費(fèi)者之間的交涉能力不平等。本次《個(gè)人信息保護(hù)法草案(二審稿)》第57條增加規(guī)定了提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)主體的特別義務(wù)。由此,網(wǎng)絡(luò)服務(wù)提供者是最為典型的個(gè)人信息處理者,最終的實(shí)際運(yùn)營主體應(yīng)承擔(dān)個(gè)人信息保護(hù)等義務(wù)。

        第二,公共機(jī)構(gòu)。國家機(jī)關(guān)等公共機(jī)構(gòu)也存在大量收集個(gè)人信息以及利用等行為?!秱€(gè)人信息保護(hù)法(草案)》第二章第三節(jié)專門規(guī)定了“第三節(jié)國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定”,但是除國家機(jī)關(guān)之外,還包括公共企事業(yè)單位也存在大量收集個(gè)人信息等行為。因此,包括國家機(jī)關(guān)在內(nèi)的公共機(jī)構(gòu)都應(yīng)成為個(gè)人信息保護(hù)法上的個(gè)人信息處理者。當(dāng)然,也有學(xué)者認(rèn)為,國家機(jī)關(guān)作為信息處理者具有公共性、法定性、壟斷性、強(qiáng)制性等特點(diǎn),與以私人機(jī)構(gòu)作為個(gè)人信息處理者為設(shè)想場(chǎng)景的個(gè)人信息保護(hù)法明顯不同,未來還應(yīng)當(dāng)制定一個(gè)特別的規(guī)則來調(diào)整國家機(jī)關(guān)處理個(gè)人信息的行為。(14)參見王錫鋅教授的發(fā)言,《個(gè)人信息保護(hù)法的待解難題,如何約束規(guī)范國家機(jī)關(guān)對(duì)信息的收集處理》,載《21世紀(jì)經(jīng)濟(jì)報(bào)道》2021年3月24日。從目前來看,國家機(jī)關(guān)等公共機(jī)構(gòu)在中國法上仍規(guī)定為個(gè)人信息處理者。

        第三,線下經(jīng)營主體。數(shù)字經(jīng)濟(jì)改變了人們的行為方式,線上交易與網(wǎng)絡(luò)社交成為主要方式,但仍存在大量線下非網(wǎng)絡(luò)平臺(tái)主體收集、利用個(gè)人信息等情況,這些主體應(yīng)系個(gè)人信息處理者。同時(shí),實(shí)踐中也存在經(jīng)營者線上線下信息共享等情況,有些情形可能會(huì)侵害消費(fèi)者的個(gè)人信息。(15)參見俞某訴北京樂某達(dá)康科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案,(2018)京0108民初字第13661號(hào)民事判決書。就此,線下經(jīng)營主體也是典型的個(gè)人信息處理者。

        對(duì)于個(gè)人信息處理者的界定,不僅僅是一種概念理解或者類型識(shí)別,在“個(gè)人—信息控制者”“個(gè)人—(個(gè)人)信息處理者”的兩造關(guān)系中,更應(yīng)理解“信息自決”脈絡(luò)下的個(gè)人對(duì)于自身信息的“延伸控制”。在此基礎(chǔ)上構(gòu)建個(gè)人信息處理者的民事責(zé)任體系,并且解釋相應(yīng)主體承擔(dān)民事責(zé)任的機(jī)理,是為基礎(chǔ),更是必要前提。

        二、個(gè)人信息處理者侵害個(gè)人信息的民事責(zé)任

        個(gè)人信息保護(hù)呈現(xiàn)跨公私法域特征,有其自身相對(duì)獨(dú)立的發(fā)展脈絡(luò),并非民法的特別法,法律責(zé)任也包括民事責(zé)任、行政責(zé)任和刑事責(zé)任。個(gè)人信息作為體現(xiàn)人格權(quán)益與人格發(fā)展的重要載體,在創(chuàng)設(shè)“信息自決”的觀念與制度之下,如何實(shí)現(xiàn)個(gè)人對(duì)自身信息的“脫控”而不“失控”,在受有損害之時(shí),能夠得到充分救濟(jì),是制度建構(gòu)與法律適用最為關(guān)注之點(diǎn)。在個(gè)人信息權(quán)益受到侵害之時(shí),人格權(quán)法與侵權(quán)法是最為基本與最為有效的救濟(jì)方式,也同時(shí)體現(xiàn)出侵權(quán)法旨在權(quán)衡行為自由與權(quán)益保護(hù)的機(jī)能。(16)參見王澤鑒:《侵權(quán)行為》(第三版),北京大學(xué)出版社2016年版,第7頁。在考察《民法典》的適用與個(gè)人信息保護(hù)立法的雙重面向之上,探討個(gè)人信息處理者侵害個(gè)人信息的侵權(quán)責(zé)任,是法律為個(gè)人信息主體提供的最基礎(chǔ)保障。

        (一)個(gè)人信息處理者侵害個(gè)人信息的典型行為

        與一般自然人之間的侵害個(gè)人信息的行為不同,個(gè)人信息處理者作為具有一定規(guī)模的網(wǎng)絡(luò)服務(wù)提供者或線下經(jīng)營主體以及公共機(jī)構(gòu),其侵害個(gè)人信息的行為特征主要包括面向不特定主體、運(yùn)用技術(shù)手段等方面。主要包括以下典型行為:

        第一,不當(dāng)收集個(gè)人信息的行為。在《民法典》與系列規(guī)范性文件中,收集個(gè)人信息應(yīng)符合“合法、正當(dāng)、必要”原則,同時(shí)符合最小、必要原則。而在實(shí)踐中,有相當(dāng)多的APP存在涉嫌過度收集用戶個(gè)人信息的情況。(17)中國消費(fèi)者協(xié)會(huì):《100款A(yù)PP個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》,http://www.cca.org.cn/jmxf/detail/28310.html,2021年3月27日訪問。在備受矚目的郭某訴杭州野生動(dòng)物世界有限公司服務(wù)合同糾紛案中,二審認(rèn)為,野生動(dòng)物世界欲利用收集的照片擴(kuò)大信息處理范圍,超出事前收集目的,存在侵害郭某面部特征信息之人格利益的可能與風(fēng)險(xiǎn)。(18)參見《杭州野生動(dòng)物世界“刷臉”入園糾紛案,今日二審宣判!》,載光明網(wǎng)2021年4月10日,https://m.gmw.cn/baijia/2021-04/10/1302222608.html,2021年4月15日訪問??梢姡欠裾?dāng)收集的標(biāo)準(zhǔn)主要在于是否符合法定的收集原則,如超過則為不當(dāng)收集個(gè)人信息。

        第二,泄露個(gè)人信息的行為。泄露個(gè)人信息屬于較為嚴(yán)重的侵害個(gè)人信息權(quán)益的行為,實(shí)踐中具體表現(xiàn)形式不一。在龐某訴某航空公司和某信息技術(shù)有限公司隱私權(quán)糾紛案中,龐某在某網(wǎng)站訂票之后,后收到其他短信,列明龐某的姓名、航班號(hào)等內(nèi)容,法院認(rèn)為兩家公司存在泄露龐某隱私信息的高度可能,并且存在過錯(cuò),應(yīng)承擔(dān)侵犯隱私權(quán)的相應(yīng)侵權(quán)責(zé)任。(19)參見北京市海淀區(qū)人民法院(2015)海民初字第10634號(hào)民事判決書;北京市第一中級(jí)人民法院(2017)京01民終字第509號(hào)民事判決書。在有的案件中,法院確認(rèn)公民的舉報(bào)信息具有私密性,購物平臺(tái)擅自將訂單編號(hào)告知被舉報(bào)人,屬于泄露個(gè)人私密信息的行為。(20)參見北京市第四中級(jí)人民法院互聯(lián)網(wǎng)民商事審判十大典型案例之五:肖某訴某平臺(tái)泄露個(gè)人信息糾紛案(北大法寶數(shù)據(jù)庫:【法寶引證碼】CLI.C.107485440)。泄露個(gè)人信息的行為往往涉及對(duì)私密信息和隱私權(quán)的保護(hù),較之其他不當(dāng)收集、不當(dāng)利用與分享等行為更為嚴(yán)重。

        第三,不當(dāng)使用個(gè)人信息等行為。在未經(jīng)個(gè)人信息主體的同意,而將個(gè)人信息作為他用的情況,屬于不當(dāng)使用個(gè)人信息的情形。在王某與某置地有限公司姓名權(quán)糾紛案中,該公司擅自利用王某的姓名與身份證號(hào)碼進(jìn)行個(gè)稅申報(bào),不當(dāng)利用了王某的個(gè)人信息。(21)參見王某與某置地有限公司姓名權(quán)糾紛案,(2019)蘇0321民初字第2652號(hào)民事判決書。在俞某訴北京樂某達(dá)康科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案中,俞某在線下的購物記錄也被同步到線上購物平臺(tái)的購物列表之中,這是一種擴(kuò)張信息共享的行為,同時(shí)也是一種擴(kuò)大收集信息的行為。(22)參見同前注〔15〕,俞某訴北京樂某達(dá)康科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案。上述行為都是建立在個(gè)人信息處理者掌握個(gè)人信息的前提下,將信息用于他用,或不當(dāng)使用、或不當(dāng)分享,均系較為典型侵犯?jìng)€(gè)人信息權(quán)益的行為。

        除上述幾種情形以外,比較具有爭(zhēng)議的情形還包括由用戶畫像或其他自動(dòng)化決策所帶來的不利影響(23)Danielle K.Citron & Frank Pasquale, The Scored Society: Due Process for Automated Predictions, 89 Washington Law Review 1 (2014); Margret Hu, Big Data Blacklisting, 67 Florida Law Review 1735 (2015).是否會(huì)構(gòu)成對(duì)人格權(quán)益或財(cái)產(chǎn)權(quán)益的侵害,比如評(píng)價(jià)分選、價(jià)格歧視、大數(shù)據(jù)殺熟等,目前相關(guān)案例中,法院并未支持當(dāng)事人的相關(guān)請(qǐng)求。(24)參見鄭某與上海某商務(wù)有限公司其他侵權(quán)責(zé)任糾紛案,(2020)滬0105民初字第9010號(hào)民事判決書;劉某與北京某科技有限公司侵權(quán)責(zé)任糾紛案,(2018)湘0102民初字第13515號(hào)民事判決書、(2019)湘01民終字第9501號(hào)民事判決書。對(duì)濫用算法等行為,目前主要通過監(jiān)管或數(shù)據(jù)治理等方式予以規(guī)制,(25)參見[美]陸凱:《美國算法治理政策與實(shí)施進(jìn)路》,載《環(huán)球法律評(píng)論》2020年第3期,第5-26頁。在民事責(zé)任方面尚未見相關(guān)適用和突破。在風(fēng)險(xiǎn)泛在的智能時(shí)代與萬物互聯(lián)時(shí)代,人們沒有脫離風(fēng)險(xiǎn)場(chǎng)域的可能性,對(duì)于概括風(fēng)險(xiǎn)而導(dǎo)致的權(quán)益受損目前較難實(shí)現(xiàn)個(gè)體救濟(jì);(26)[德]克里斯托弗·布施:《個(gè)性化經(jīng)濟(jì)中的算法規(guī)制和(不)完美執(zhí)行》,載《環(huán)球法律評(píng)論》2019年第6期,第7頁。但在個(gè)體受到確定的侵害之時(shí)則有請(qǐng)求獲得法律救濟(jì)的權(quán)利,這也正是侵權(quán)法的基本意旨。

        (二)構(gòu)成要件

        個(gè)人信息處理者侵害個(gè)人信息的侵權(quán)責(zé)任的構(gòu)成要件,主要以《民法典》人格權(quán)編和侵權(quán)責(zé)任編的體系解釋為主。將人格權(quán)編的框架安排與傳統(tǒng)侵權(quán)責(zé)任的構(gòu)成要件進(jìn)行比對(duì),人格權(quán)編對(duì)于過錯(cuò)和損害并未規(guī)定,也有學(xué)者認(rèn)為,在適用人格權(quán)請(qǐng)求權(quán)時(shí),既不需要考慮是否有損害(只要構(gòu)成對(duì)人格權(quán)的侵害或者存在侵害的危險(xiǎn)即可),也無需考慮侵權(quán)人有無過錯(cuò)。(27)參見王利明、程嘯等:《中華人民共和國民法典人格權(quán)編釋義》,中國法制出版社2020年版,第83-85頁;程嘯:《我國民法典中的人格權(quán)請(qǐng)求權(quán)》,載《人民法院報(bào)》2020年10月22日第005版。從民法典編章安排體系解釋和司法機(jī)關(guān)關(guān)于民事案件案由規(guī)定來看,人格權(quán)請(qǐng)求權(quán)在適用上優(yōu)先于侵權(quán)請(qǐng)求權(quán)。(28)根據(jù)最高人民法院2020年12月發(fā)布的《最高人民法院關(guān)于印發(fā)修改后的〈民事案件案由規(guī)定〉的通知》中第四部分規(guī)定人格權(quán)糾紛這一案由系單獨(dú)的案由體系,與侵權(quán)責(zé)任糾紛相區(qū)別。另參見王利明:《論人格權(quán)保護(hù)的全面性和方法獨(dú)特性——以〈民法典〉人格權(quán)編為分析對(duì)象》,載《財(cái)經(jīng)法學(xué)》2020年第4期,第9頁。同時(shí)《個(gè)人信息保護(hù)法草案》一審稿第65條與二審稿第68條規(guī)定了個(gè)人信息處理者的損害賠償責(zé)任,這一部分也將納入體系解釋范疇之中。鑒此,本部分的討論總體上立足于解釋論與立法論的雙重面向。

        1.過錯(cuò)

        在歸責(zé)原則之過錯(cuò)責(zé)任原則、過錯(cuò)推定原則和無過錯(cuò)責(zé)任原則三分法的基礎(chǔ)上,《民法典》對(duì)侵害個(gè)人信息的歸責(zé)原則并未明確規(guī)定。在前述案例中,法院基本上也并未特別考慮個(gè)人信息處理者的主觀過錯(cuò)。由個(gè)人信息主體與個(gè)人信息處理者之間關(guān)系所決定,侵害特定個(gè)人的信息的行為,只會(huì)由比較特定或有限的個(gè)人信息處理者作出,而其侵害行為的范圍和內(nèi)容也基本比較確定,責(zé)任認(rèn)定并不存在太多困難。

        《個(gè)人信息保護(hù)法草案(二審稿)》第68條明確規(guī)定侵害個(gè)人信息的歸責(zé)原則為過錯(cuò)推定。相較一審稿,二審稿有較大進(jìn)步。一審稿第65條規(guī)定了侵害個(gè)人信息權(quán)益的賠償責(zé)任,但該條卻存在歸責(zé)原則與損害賠償責(zé)任的“顛倒”與“雜糅”。通常而言,“侵權(quán)請(qǐng)求權(quán)基礎(chǔ)的檢視原則上區(qū)分責(zé)任成立與責(zé)任范圍兩個(gè)階段,各類侵權(quán)請(qǐng)求權(quán)基礎(chǔ)檢視程式的差異主要體現(xiàn)在責(zé)任成立部分”。(29)參見吳香香:《中國法上侵權(quán)請(qǐng)求權(quán)基礎(chǔ)的規(guī)范體系》,載《政法論壇》2020年第6期,第180頁。對(duì)于一審稿中關(guān)于歸責(zé)原則的不足之處,二審稿中有所糾正和調(diào)整。同時(shí),二審稿第68條第2款系與《民法典》侵權(quán)責(zé)任編第1182條基本保持一致。

        立法者在侵害個(gè)人信息的歸責(zé)原則上或可考慮過錯(cuò)責(zé)任原則與無過錯(cuò)責(zé)任原則“二分法”思路:一是基于不同主體。借鑒我國臺(tái)灣地區(qū)“個(gè)人資料保護(hù)法”相關(guān)規(guī)定,對(duì)個(gè)人信息侵權(quán),公共機(jī)構(gòu)承擔(dān)無過錯(cuò)責(zé)任,非公共機(jī)構(gòu)則承擔(dān)過錯(cuò)推定責(zé)任;二是基于不同行為。借鑒德國《聯(lián)邦數(shù)據(jù)保護(hù)法》相關(guān)規(guī)定,對(duì)于自動(dòng)化數(shù)據(jù)處理所致?lián)p害適用無過錯(cuò)責(zé)任,非自動(dòng)化數(shù)據(jù)處理所致?lián)p害適用過錯(cuò)推定責(zé)任;三是基于不同信息類型。有學(xué)者也提出應(yīng)在區(qū)分敏感與非敏感信息的基礎(chǔ)上,分別規(guī)定適用無過錯(cuò)責(zé)任與過錯(cuò)推定責(zé)任。(30)參見《會(huì)議綜述(下) 〈個(gè)人信息保護(hù)法草案〉專家研討會(huì)》,微信公眾號(hào):人工智能與網(wǎng)絡(luò)法前沿,2020年12月8日。此種通過不同角度的“二分法”確定歸責(zé)原則,是一種較好的思路,可參酌吸收借鑒。

        2.行為

        個(gè)人信息處理者在收集、存儲(chǔ)、使用、加工、傳輸、提供、刪除和公開等活動(dòng)過程中都可能會(huì)存在侵害個(gè)人信息的行為。前述關(guān)于個(gè)人信息處理者侵害個(gè)人信息的典型行為中已概括了相當(dāng)一部分行為。作為“信息自決”觀念的延伸,通過在信息的“可識(shí)別性”與人格權(quán)益保護(hù)之間建立聯(lián)系,集中于是否侵害了具有可識(shí)別性的信息,從而引致侵權(quán)法的適用。

        以信息的“可識(shí)別性”為“風(fēng)險(xiǎn)源”和“風(fēng)險(xiǎn)敞口”,是侵害個(gè)人信息行為的集中體現(xiàn)。這就使得個(gè)人信息處理者的幾乎大部分活動(dòng)都可能囊括其中。施瓦茨和索羅夫就認(rèn)為,歐洲隱私立法的優(yōu)勢(shì)是幾乎沒有什么信息可以逃出立法之外,但同時(shí)也十分冒險(xiǎn)地引發(fā)了數(shù)據(jù)處理者實(shí)際上承擔(dān)了與個(gè)人隱私可能產(chǎn)生的風(fēng)險(xiǎn)實(shí)際上并不匹配的法律負(fù)擔(dān)。(31)同前注〔1〕,Paul M.Schwartz & Daniel J.Solove文,第887頁。近年來除侵害個(gè)人信息的典型行為討論較多之外,基于相應(yīng)實(shí)踐發(fā)展和義務(wù)擴(kuò)張的現(xiàn)實(shí)需求,關(guān)于電子商務(wù)經(jīng)營者、直播平臺(tái)和個(gè)人信息處理者等是否應(yīng)承擔(dān)安全保障義務(wù)就引發(fā)較多爭(zhēng)論,尤其是在某主播在直播平臺(tái)直播極限運(yùn)動(dòng)意外墜亡案件(32)參見何某訴北京某科技有限公司網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案,(2018)京0491民初字第2386號(hào)民事判決書;北京某科技有限公司與何某侵權(quán)責(zé)任糾紛上訴案,(2019)京04民終字第139號(hào)民事判決書。發(fā)生后,更將網(wǎng)絡(luò)服務(wù)提供者等主體是否應(yīng)承擔(dān)安全保障義務(wù)推至風(fēng)口浪尖。

        安全保障義務(wù)源自德國判例中形成的交往安全義務(wù)學(xué)說,并在實(shí)踐中不斷確立和發(fā)展相關(guān)規(guī)則。我國在制定《侵權(quán)責(zé)任法》之時(shí),通過列舉和限縮適用范圍和情形的方式,規(guī)定了安全保障義務(wù)。但其與兩大法系學(xué)理與判例中所概括的交往安全義務(wù)和注意義務(wù)存在一定差異,雖然學(xué)界和實(shí)務(wù)界已基本接受了中國《侵權(quán)責(zé)任法》第37條(《民法典》第1198條)的規(guī)定。但由于對(duì)本國制定法的理解和接受存在一定思維慣性,人們對(duì)反過來理解安全保障義務(wù)的原貌反而產(chǎn)生一定障礙。近年來,中國法在安全保障義務(wù)的理解上、實(shí)踐中和立法中不斷與德國法和美國法接近,從而將確定相應(yīng)主體是否負(fù)有安全保障義務(wù)聚焦于有學(xué)者所概括的——“注意義務(wù)的違反”以及“對(duì)加害人本身主觀預(yù)見能力的考察”(33)參見馮玨:《安全保障義務(wù)與不作為侵權(quán)》,載《法學(xué)研究》2009年第4期,第75-76頁?!獌蓚€(gè)層次的內(nèi)容。

        針對(duì)個(gè)人信息的安全保護(hù)義務(wù),在歐盟的GDPR、中國民法典、消費(fèi)者權(quán)益保護(hù)法、網(wǎng)絡(luò)安全法、電子商務(wù)法等都有相應(yīng)規(guī)定。《民法典》第1038條規(guī)定了信息處理者的信息安全保障義務(wù)?!秱€(gè)人信息保護(hù)法草案(一審稿、二審稿)》“第五章個(gè)人信息處理者的義務(wù)”中,系對(duì)履行安全保障義務(wù)的標(biāo)準(zhǔn)予以多維度細(xì)化。

        殊值關(guān)注的是,基于公法規(guī)范以轉(zhuǎn)介方式適用于私法領(lǐng)域等理論鋪墊,(34)參見蘇永欽:《從動(dòng)態(tài)法規(guī)范體系的角度看公私法的調(diào)和——以民法的轉(zhuǎn)介條款和憲法的整合機(jī)制為中心》,載蘇永欽:《走入新世紀(jì)的私法自治》,中國政法大學(xué)出版社2002年版。近年來學(xué)界也有觀點(diǎn)主張是否將網(wǎng)絡(luò)信息領(lǐng)域的公法規(guī)范以轉(zhuǎn)介方式適用于私法關(guān)系,以擴(kuò)張網(wǎng)絡(luò)經(jīng)營者、信息處理者等主體的安全保障義務(wù)。(35)參見張力、黃鑫:《大數(shù)據(jù)背景下個(gè)人信息保護(hù)的公私法銜接》,載《重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2021年第1期。在侵權(quán)法上,“違反保護(hù)他人法律的侵權(quán)責(zé)任”(《民法典》第1165條第1款,即《侵權(quán)責(zé)任法》第6條第1款)事實(shí)上起到一個(gè)“轉(zhuǎn)介條款”的功能,可以將各種特殊的侵權(quán)法律政策引入到一般侵權(quán)法之中。(36)參見朱巖:《違反保護(hù)他人法律的過錯(cuò)責(zé)任》,載《法學(xué)研究》2011年第2期,第90頁。但是對(duì)于保護(hù)他人的法律,如王澤鑒先生所言,系“以其是否以保護(hù)個(gè)人的權(quán)益為判斷標(biāo)準(zhǔn),個(gè)人權(quán)益的保護(hù)得與一般公益的保護(hù)并存,但不包括專以維護(hù)國家社會(huì)秩序的法律”。(37)同前注〔16〕,王澤鑒書,第350頁??梢?,“轉(zhuǎn)介”之核心標(biāo)準(zhǔn)在于“是否以保護(hù)個(gè)人的權(quán)益為判斷標(biāo)準(zhǔn)”,而非全部公法規(guī)范均不加限制和阻攔地進(jìn)入私法領(lǐng)域。誠如有學(xué)者所言,此種適用可能會(huì)引發(fā)一系列民法體系內(nèi)部以及公法與私法之間關(guān)系等問題,應(yīng)謹(jǐn)慎適用,合理把握注意義務(wù)的標(biāo)準(zhǔn)。(38)參見萬方:《公私法匯流的閘口:轉(zhuǎn)介視角下的網(wǎng)絡(luò)經(jīng)營者安全保障義務(wù)》,載《中外法學(xué)》2020年第2期,第371-377頁。鑒此,在個(gè)人信息保護(hù)領(lǐng)域,盡管單行法可能會(huì)不斷推出,但不能籠統(tǒng)地將《網(wǎng)絡(luò)安全法》和未來出臺(tái)的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)中包含的一系列公法規(guī)范直接轉(zhuǎn)介入私法之中,并引致個(gè)人信息處理者承擔(dān)相應(yīng)的民事責(zé)任,此種認(rèn)識(shí)不得不事先予以警惕,以維護(hù)法律最基本的公正價(jià)值。

        3.損害

        損害通常包括財(cái)產(chǎn)損失、人身損害和精神損害。關(guān)于侵害個(gè)人信息而產(chǎn)生的損害,歐盟GDPR第82條第1項(xiàng)規(guī)定:“任何因?yàn)檫`反本條例而受到物質(zhì)或非物質(zhì)性損害的人都有權(quán)從控制者或處理者處獲得損害賠償。”個(gè)人信息主體通常需證明自己受有物質(zhì)或非物質(zhì)性損害,非物質(zhì)性損害主要包括外部風(fēng)險(xiǎn)的損害和內(nèi)心焦慮的損害。(39)參見劉云:《論個(gè)人信息非物質(zhì)性損害的認(rèn)定規(guī)則》,載《經(jīng)貿(mào)法律評(píng)論》2021年第1期,第60頁。個(gè)人信息的“可識(shí)別性”,即是否可通過個(gè)人信息識(shí)別到特定主體,是判斷個(gè)人信息權(quán)益是否受到侵害的關(guān)鍵要素。在司法實(shí)踐中,法院一般通過“可識(shí)別性”標(biāo)準(zhǔn)而確定是否侵害個(gè)人信息權(quán)益,只要侵害了具有可識(shí)別性的信息,基本上就判定侵害了個(gè)人信息權(quán)益,從而根據(jù)當(dāng)事人的訴求進(jìn)行利益衡量。實(shí)踐中,對(duì)于賠償經(jīng)濟(jì)損失等,根據(jù)相應(yīng)侵權(quán)責(zé)任法規(guī)則,會(huì)給予一定程度的支持;而對(duì)于精神損害,卻往往由于客觀上難以認(rèn)定,而較難支持??陀^而言,將個(gè)人信息保護(hù)放置于《民法典》之內(nèi),盡管在一定程度上與其他國家或地區(qū)的個(gè)人信息保護(hù)規(guī)則體例并不相同,但卻恰恰在相當(dāng)程度上緩解了如何確定損害等問題,更有益于實(shí)現(xiàn)對(duì)當(dāng)事人的救濟(jì)。

        4.因果關(guān)系

        因果關(guān)系作為侵權(quán)法上的重要命題之一,即侵權(quán)行為造成損害結(jié)果的發(fā)生在通常情況下存在可能性。在侵害個(gè)人信息的情形中,有的因果關(guān)系鏈條并不復(fù)雜,大多是基于個(gè)人信息處理者這一特定主體的概括的“一因一果”,這就使得行為與損害結(jié)果之間關(guān)系的判定難度不高。在有的案件中,法院根據(jù)民事訴訟高度蓋然性證明標(biāo)準(zhǔn)而對(duì)因果關(guān)系進(jìn)行判定。(40)參見北京市海淀區(qū)人民法院(2015)海民初字第10634號(hào)民事判決書;北京市第一中級(jí)人民法院(2017)京01民終字第509號(hào)民事判決書。但當(dāng)存在復(fù)數(shù)信息控制者參與同一個(gè)人信息的處理活動(dòng)而發(fā)生個(gè)人信息泄露時(shí),受害人往往無法證明哪一主體是具體加害人,此時(shí)應(yīng)當(dāng)采用共同危險(xiǎn)行為制度加以解決。(41)參見程嘯、阮神裕:《論侵害個(gè)人信息權(quán)益的民事責(zé)任》,載《人民司法》2020年第4期,第64頁。當(dāng)然,因果關(guān)系也是侵害個(gè)人信息責(zé)任中的必要構(gòu)成,應(yīng)在個(gè)案判定中予以重視。

        (三)損害賠償

        個(gè)人信息處理者的行為造成個(gè)人信息主體損害,應(yīng)承擔(dān)損害賠償責(zé)任。概括而言,包括停止侵害、排除妨礙、消除危險(xiǎn)、消除影響、恢復(fù)名譽(yù)、賠禮道歉等責(zé)任形式。對(duì)于停止侵害、排除妨礙、消除危險(xiǎn)等幾者不難理解,實(shí)際上在侵害知情權(quán)等一系列個(gè)人信息主體權(quán)利之時(shí)都可能會(huì)普遍適用。對(duì)于如何確定賠償數(shù)額,原則上根據(jù)《民法典》第1182條確定。在前述相關(guān)案例中,法院支持當(dāng)事人經(jīng)濟(jì)損失賠償?shù)牟辉谏贁?shù)。通常情況下,當(dāng)事人請(qǐng)求賠償經(jīng)濟(jì)損失的數(shù)額也較小,往往只有1元、2元等,(42)參見同前注〔15〕,俞某訴北京樂某達(dá)康科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案。相當(dāng)程度上具有一定象征意義。

        對(duì)于消除影響、恢復(fù)名譽(yù)和賠禮道歉等非金錢賠償,2014年頒布的《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第16條有所規(guī)定。根據(jù)該條,對(duì)于侵害個(gè)人信息的非物質(zhì)性損害的賠償應(yīng)與侵權(quán)的具體方式和所造成的影響的范圍相當(dāng)。比如在2014年羅某訴某保險(xiǎn)公司隱私權(quán)糾紛案中,法院認(rèn)為,保險(xiǎn)公司侵害了羅某的隱私權(quán),判令保險(xiǎn)公司向羅某賠禮道歉并賠償羅某精神損害撫慰金1元及相關(guān)費(fèi)用。(43)參見湖南省郴州市湖北區(qū)人民法院(2014)郴北民二初字第947號(hào)民事判決書。當(dāng)然,由于當(dāng)時(shí)關(guān)于個(gè)人信息保護(hù)的意識(shí)并不明顯,因此主要按照隱私權(quán)這一典型的人格權(quán)進(jìn)行裁判并判以精神損害賠償。而在龐某訴某航空公司案中,當(dāng)事人雖然并未證明實(shí)際受有精神損害,但卻在二審時(shí)改判支持了當(dāng)事人關(guān)于賠禮道歉這一訴訟請(qǐng)求。(44)參見同前注〔40〕。可見,在個(gè)人信息侵權(quán)案件中,對(duì)于非金錢賠償方式也具有相當(dāng)?shù)闹С挚臻g。

        三、侵害個(gè)人信息處理活動(dòng)中個(gè)人權(quán)利的民事責(zé)任

        個(gè)人信息屬于個(gè)人,理論上存在一個(gè)概括的、完全的權(quán)利,但是由于個(gè)人信息處理活動(dòng)的存在,就使得個(gè)人信息主體所享有的抽象的完整權(quán)利被分解成數(shù)種具體權(quán)利——涵攝全過程的知情權(quán)、決定權(quán),以自決意志為核心而外化的查閱權(quán)、更正權(quán)、刪除權(quán)等權(quán)能。(45)參見周友軍:《民法典規(guī)定的隱私權(quán)和個(gè)人信息保護(hù)》,載《經(jīng)濟(jì)參考報(bào)》2020年8月4日第A08版。對(duì)于這些權(quán)利的保護(hù),既仰賴公權(quán)力之管制與治理,同時(shí)亦可根據(jù)民事主體權(quán)利保護(hù)之本旨而給予救濟(jì),兩種方式互相補(bǔ)充,相輔相成。這些權(quán)利在一定程度上可以類型化,并在類型化的基礎(chǔ)上給予不同方式的救濟(jì)。需要說明的是,侵害這些權(quán)利的民事責(zé)任與本文第二部分討論的侵害個(gè)人信息的民事責(zé)任有一定交叉,這些權(quán)利系請(qǐng)求權(quán)基礎(chǔ),但由于這些權(quán)利被集中規(guī)定于《個(gè)人信息保護(hù)法草案》專章之中,因此有必要予以集中討論與回應(yīng)。

        (一)個(gè)人信息主體的權(quán)利體系

        世界范圍內(nèi)個(gè)人信息主體的權(quán)利形式上大同小異,但因各國自身社會(huì)、法律和文化等傳統(tǒng)不同,而在個(gè)別權(quán)利和實(shí)施向度上有所不同。中國當(dāng)前個(gè)人信息立法中,與GDPR相比,個(gè)人信息主體的大部分權(quán)利基本相似,只有在是否規(guī)定數(shù)據(jù)可攜權(quán)和被遺忘權(quán)等方面而有所不同。總體而言,中國法上的個(gè)人信息主體的權(quán)利體系呈現(xiàn)如下特征。

        第一,“信息自決”的主線貫穿。如本文第一部分所述,中國個(gè)人信息立法脈絡(luò)中并無“信息自決”的觀念,但本次個(gè)人信息立法之時(shí)創(chuàng)設(shè)了此種觀念,并在知情同意(同意撤回)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)等方面予以貫穿體現(xiàn)。由此,在個(gè)人信息處理活動(dòng)中,但凡侵害信息自決的,則均需承擔(dān)相應(yīng)法律責(zé)任,即便是在《民法典》第1036條關(guān)于處理個(gè)人信息的免責(zé)事由方面,也對(duì)個(gè)人信息主體的同意予以強(qiáng)調(diào),以及即便是對(duì)自然人自行公開或者其他已經(jīng)合法公開的信息,但是該自然人明確拒絕的也不得處理等。當(dāng)然中國立法并非GDPR的翻版,而是根據(jù)中國實(shí)踐發(fā)展而建立相應(yīng)信息自決觀念。

        第二,作為核心權(quán)利的知情權(quán)。與上述“信息自決”觀念緊密聯(lián)系,知情權(quán)系體現(xiàn)信息自決觀念的重要基礎(chǔ)性、核心權(quán)利。只有在個(gè)人信息處理活動(dòng)中,將“知情”作為核心,才能充分保障信息自決。因此,知情權(quán)并非一個(gè)完全僅靠公法管制或?qū)€(gè)人信息處理者進(jìn)行數(shù)據(jù)治理的權(quán)利,而是充分保障信息主體個(gè)人信息權(quán)益的基礎(chǔ)。

        第三,圍繞“知情”的系列權(quán)利。只有在信息自決與知情同意的基礎(chǔ)上,才能進(jìn)一步衍生出查閱權(quán)、復(fù)制權(quán)、更正權(quán)與刪除權(quán)等,這些權(quán)利并非簡(jiǎn)單的程序性權(quán)利,而是體現(xiàn)知情權(quán)與決定權(quán)等基礎(chǔ)權(quán)利的外在表現(xiàn)。在這些權(quán)利可能受到侵害之時(shí),也應(yīng)給予充分的救濟(jì)。

        (二)侵害知情權(quán)、決定權(quán)的民事責(zé)任

        知情權(quán)在各類主體權(quán)益保護(hù)中都是一項(xiàng)基礎(chǔ)性權(quán)利。從知情同意的本源來看,其根本上是一種主體交往之時(shí)設(shè)定法律關(guān)系的前提與基礎(chǔ)行為,同時(shí)該行為還具有“限權(quán)與自我義務(wù)設(shè)定”之效果。(46)See Peter McCormick, Social Contract: Interpretation and Misinterpretation, 9 Canadian Journal of Political Science 63 (1976). 轉(zhuǎn)引自[美]艾瑞克·托馬斯·韋伯:《新舊社會(huì)契約論》,毛興貴譯,載《國外理論動(dòng)態(tài)》2012年第5期?!爸椤狻弊鳛橐环N行為模式,其被應(yīng)用于諸多社會(huì)關(guān)系建構(gòu)之中,涉及政治國家、醫(yī)療領(lǐng)域、消費(fèi)者保護(hù)與個(gè)人信息保護(hù)等。從正義價(jià)值維度考察,在美國消費(fèi)者法上,“選擇知情”(權(quán))被歸于程序正義之中。(47)Gretchen Larsen & Rob Lawson, Consumer Rights: An Assessment of Justice, 112 Journal of Business Ethics 515, 524 (2013).而決定權(quán)則實(shí)際上“被吸收”于知情權(quán)之中,比如在我國臺(tái)灣地區(qū)的“請(qǐng)領(lǐng)身份證捺指紋案”中明確,保障人們決定是否揭露其個(gè)人資料,及在何種范圍內(nèi)、于何時(shí)、以何種方式、向何人揭露之決定權(quán),并保障人們對(duì)其個(gè)人資料之使用有知悉與控制權(quán)即數(shù)據(jù)記載錯(cuò)誤之更正權(quán)。(48)參見王澤鑒:《侵權(quán)行為》(第三版),北京大學(xué)出版社2014年版,第157頁。由此可見,知情權(quán)、決定權(quán)與其后的一系列權(quán)利內(nèi)在存在聯(lián)系。對(duì)于決定權(quán),主要吸收于知情權(quán)之中,并與之一并討論。

        在個(gè)人信息保護(hù)之中,知情權(quán)是一個(gè)貫穿全程、保證后續(xù)個(gè)人信息處理行為和活動(dòng)具有正義價(jià)值的基礎(chǔ)權(quán)利。在消費(fèi)者法上,消費(fèi)者的知情權(quán)體現(xiàn)為商品或服務(wù)的標(biāo)簽“客觀化”,對(duì)侵害消費(fèi)者知情權(quán)的救濟(jì),在已有大量案例中,通常是要求經(jīng)營者承擔(dān)合同上的義務(wù)和責(zé)任。(49)參見姚佳:《消費(fèi)者法理念與技術(shù)的重構(gòu)》,法律出版社2019年版,第84-89頁。而個(gè)人信息保護(hù)之中的知情權(quán)體現(xiàn)在同意、同意撤回以及后續(xù)的一系列權(quán)利,對(duì)于此類知情權(quán)的侵害,通常要求個(gè)人信息處理者履行一定法定義務(wù),基本上并非通過合同義務(wù)與責(zé)任予以救濟(jì)。

        從實(shí)踐來看,是否侵害“知情同意”權(quán)利較容易辨識(shí)。比如在有的案件中,用戶不在某APP上添加關(guān)注即能看到好友讀書信息,而APP自動(dòng)為用戶添加關(guān)注,此種情形顯然需要顯著提示用戶并獲得明確同意。(50)參見黃某訴某科技有限公司等隱私權(quán)、個(gè)人信息權(quán)益網(wǎng)絡(luò)侵權(quán)糾紛案,(2019)京0491民初字第16142號(hào)民事判決書。在有的案件中,用戶沒有選擇“授權(quán)”選項(xiàng),則當(dāng)然可認(rèn)定用戶并未同意,因此后續(xù)的個(gè)人信息處理活動(dòng)就可能不具有合法性。(51)參見同前注〔15〕,俞某訴北京樂某達(dá)康科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案。從知情同意在各領(lǐng)域的發(fā)展與實(shí)踐可見,在數(shù)字經(jīng)濟(jì)時(shí)代,知情同意更具有確定性與外顯性,其也成為一個(gè)“大網(wǎng)”,使得未經(jīng)授權(quán)的個(gè)人信息處理行為基本上無法逃逸,當(dāng)然,符合《民法典》第1036條規(guī)定的行為有所例外。

        對(duì)于侵害個(gè)人信息主體的知情權(quán)的民事責(zé)任,應(yīng)包括停止侵害、刪除個(gè)人信息等;如當(dāng)事人能夠證明自己受有精神損害,可請(qǐng)求侵權(quán)的個(gè)人信息處理者承擔(dān)恢復(fù)名譽(yù)、消除影響、賠禮道歉等民事責(zé)任。

        (三)行使《民法典》第1037條個(gè)人信息請(qǐng)求權(quán)的限制與救濟(jì)

        在“信息自決”的貫穿下,GDPR規(guī)定了個(gè)人信息主體的一系列權(quán)利,中國《民法典》和正在制定的《個(gè)人信息保護(hù)法》也規(guī)定了一系列個(gè)人信息主體的一系列權(quán)利。中國個(gè)人信息保護(hù)立法為何在吸收了立法理念與諸多規(guī)則之后,在個(gè)人信息主體權(quán)利方面卻并沒有完全借鑒?立法者的釋義書對(duì)此也有所提及,《民法典》第1037條中的刪除權(quán)并非GDPR所規(guī)定的“被遺忘權(quán)”,由于各方對(duì)歐盟的“被遺忘權(quán)”爭(zhēng)議極大,因此本法對(duì)此未作規(guī)定。(52)參見黃薇主編:《中華人民共和國民法典釋義(下)》,法律出版社2020年版,第1931頁。的確,個(gè)人信息主體的權(quán)利體系與一國法律發(fā)展脈絡(luò)緊密相關(guān),較難在各國和各地區(qū)完全達(dá)成一致。

        《民法典》第1037條規(guī)定了個(gè)人信息主體的查詢權(quán)、復(fù)制權(quán)、異議權(quán)、更正權(quán)和刪除權(quán)等,這幾種權(quán)利也分別是以人格權(quán)請(qǐng)求權(quán)的方式而出現(xiàn),在《個(gè)人信息保護(hù)法草案》中也被進(jìn)一步細(xì)化。這幾個(gè)權(quán)利呈現(xiàn)出一定特征,即并非一次性行使的權(quán)利,可能會(huì)針對(duì)不同信息內(nèi)容而反復(fù)行使,這就可能產(chǎn)生一定價(jià)值沖突——如何既保障個(gè)人信息主體有效行使權(quán)利,同時(shí)又能實(shí)現(xiàn)與個(gè)人信息處理者之間的利益平衡。對(duì)于查詢權(quán)、(53)參見程嘯:《我國〈民法典〉個(gè)人信息保護(hù)制度的創(chuàng)新與發(fā)展》,載《財(cái)經(jīng)法學(xué)》2020年第4期,第46頁。復(fù)制權(quán)等權(quán)利,可借鑒《征信業(yè)管理?xiàng)l例》相關(guān)規(guī)定,即個(gè)人信息主體的查詢權(quán)和復(fù)制權(quán)的行使在一定程度上可以受到次數(shù)限制。而對(duì)于異議權(quán)和更正權(quán)而言,則需由個(gè)人提出相應(yīng)證據(jù)或要求予以補(bǔ)充更正。

        在上述幾個(gè)權(quán)利之中,相對(duì)而言屬于一次性行使的,主要是刪除權(quán)。第1037條第2款規(guī)定,自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的,有權(quán)請(qǐng)求信息處理者及時(shí)刪除。《個(gè)人信息保護(hù)法草案(一審稿、二審稿)》進(jìn)一步規(guī)定了個(gè)人信息處理者應(yīng)主動(dòng)刪除或根據(jù)個(gè)人請(qǐng)求刪除個(gè)人信息的具體情形。

        對(duì)于侵害個(gè)人信息主體的查詢權(quán)、復(fù)制權(quán)、異議權(quán)、更正權(quán)和刪除權(quán),又將如何救濟(jì)?具體而言,對(duì)于查詢權(quán)、復(fù)制權(quán)的救濟(jì),個(gè)人信息處理者應(yīng)基于請(qǐng)求承擔(dān)查詢、復(fù)制等行為義務(wù);對(duì)于異議權(quán),個(gè)人信息處理者則有義務(wù)予以更正或解釋;對(duì)于刪除權(quán),個(gè)人信息處理者則應(yīng)停止侵害、刪除個(gè)人信息等。對(duì)于可能產(chǎn)生的經(jīng)濟(jì)損失或精神損害,則應(yīng)根據(jù)具體情況,由個(gè)人信息處理者承擔(dān)賠償責(zé)任。

        四、結(jié)語

        從世界范圍來看,美國、歐盟與中國對(duì)個(gè)人信息保護(hù)立法呈現(xiàn)出不同的價(jià)值選擇與立法體例選擇,著眼于突出各自的個(gè)性與特性。然而,如施瓦茨所發(fā)現(xiàn)的,實(shí)際上美國和歐盟關(guān)于個(gè)人(信息)隱私的理念也并非完全對(duì)立與沖突,德國聯(lián)邦憲法法院和德國聯(lián)邦法院在1973年和1995年的相關(guān)案件中引用了沃倫和布蘭代斯的《論隱私權(quán)》一文中的“不受干擾的權(quán)利”等內(nèi)容,歐洲人權(quán)法院也多次援引這一重要的概念。(54)Bundesgerichtshof; Budesverfassungsgericht; Von Hannover v.Germany; quoted from Paul M.Schwartz, The EU-U.S.Privacy Collision: A Turn to Institutions and Procedures, 126 Harvard Law Review 1966, 1970-1971 (2013).可見,兩大法系也在對(duì)隱私和個(gè)人信息問題的認(rèn)識(shí)上不斷實(shí)現(xiàn)溝通。同樣地,中國個(gè)人信息保護(hù)立法也在立法理念、權(quán)利體系、義務(wù)體系與法律責(zé)任上嘗試與兩大法系實(shí)現(xiàn)一定溝通與融合。

        在《民法典》之后,《個(gè)人信息保護(hù)法草案(一審稿、二審稿)》不斷推出與完善之際,著眼于個(gè)人對(duì)自身信息的自決與控制,權(quán)利實(shí)現(xiàn)與救濟(jì),是個(gè)人信息保護(hù)在現(xiàn)代之于個(gè)人人格實(shí)現(xiàn)的新的表現(xiàn)形式。當(dāng)然,本文主要聚焦于個(gè)人信息處理者的民事責(zé)任,對(duì)于個(gè)人信息處理者而言,不僅僅包括民事責(zé)任,還涉及行政責(zé)任與刑事責(zé)任。個(gè)人信息保護(hù)立法在法律責(zé)任方面,將從多維度保護(hù)個(gè)人信息,以此才能實(shí)現(xiàn)對(duì)個(gè)人信息主體的救濟(jì)。人類經(jīng)歷社會(huì)變遷之時(shí),在不同時(shí)期需要實(shí)現(xiàn)掌控不同物質(zhì)的自由,而進(jìn)入信息社會(huì)與智能時(shí)代,人們所要追求的就是掌控信息的意志自由,這一自由也即拉德布魯赫與星野英一所言的人格的發(fā)展,毫無疑問,這種人格的發(fā)展本質(zhì)上更是一種人的發(fā)展。

        猜你喜歡
        信息處理民法典個(gè)人信息
        無信不立 無誠不久——民法典中關(guān)于合同的那些規(guī)定
        公民與法治(2022年5期)2022-07-29 00:47:52
        如何保護(hù)勞動(dòng)者的個(gè)人信息?
        個(gè)人信息保護(hù)進(jìn)入“法時(shí)代”
        東營市智能信息處理實(shí)驗(yàn)室
        基于Revit和Dynamo的施工BIM信息處理
        民法典誕生
        民法典來了
        中國民法典,誕生!
        金橋(2020年7期)2020-08-13 03:06:56
        警惕個(gè)人信息泄露
        綠色中國(2019年14期)2019-11-26 07:11:44
        地震烈度信息處理平臺(tái)研究
        国产亚洲精品国产精品| 欧美性爱一区二区三区无a| 少妇寂寞难耐被黑人中出| 男人j进女人p免费视频| 国产乱子伦视频一区二区三区| 日韩在线中文字幕一区二区三区| 风韵人妻丰满熟妇老熟| 亚洲日韩av无码一区二区三区人| 思思久久96热在精品国产 | 日本真人做人试看60分钟| 亚洲av无码资源在线观看| 激情人妻在线视频| 日韩av在线不卡一区二区三区 | 十四以下岁毛片带血a级| 午夜精品久久久久久毛片| 亚洲国产毛片| 国产九九在线观看播放| 亚洲精品不卡av在线免费| 中文精品久久久久人妻不卡| 蜜桃成人无码区免费视频网站| 天堂69亚洲精品中文字幕| 国产免费网站在线观看不卡| 后入到高潮免费观看| 久久久久无码精品亚洲日韩| 中文字幕乱码亚洲无线| 国产桃色一区二区三区| 婷婷色婷婷开心五月四| 成人免费一区二区三区| 三上悠亚精品一区二区久久| 日韩在线中文字幕一区二区三区| 亚洲精品视频在线一区二区| 色777狠狠狠综合| 精品2021露脸国产偷人在视频| 日本精品久久中文字幕| 欧美疯狂性受xxxxx喷水| 双乳被一左一右吃着动态图| 国产精品一区成人亚洲| 99久久99久久久精品蜜桃| 亚洲色欲久久久综合网| 九九在线精品视频xxx| 美女脱了内裤洗澡视频|