姚 佳

現(xiàn)代科技對(duì)人們的行為方式產(chǎn)生較大影響，有如波蘭尼(Karl Polanyi)、格蘭諾維特(Mark Granovetter)的“嵌入”理論，科技正在以絕對(duì)強(qiáng)勢(shì)地位嵌入、顛覆乃至重塑人類的行為模式。在經(jīng)濟(jì)迭代與規(guī)?；钠脚_(tái)經(jīng)濟(jì)出現(xiàn)以后，即便是“原子化”的個(gè)體也別無選擇，只能主動(dòng)或(更多是)被動(dòng)地卷入其中。盡管個(gè)體從事的活動(dòng)各異，但卻都存在自身信息被收集、利用與存儲(chǔ)等事實(shí)，如何保護(hù)此種處于“靜態(tài)”或“動(dòng)態(tài)”的個(gè)人信息以及如何規(guī)制信息相關(guān)主體的行為，成為信息時(shí)代面臨的一個(gè)重要議題。根據(jù)谷歌書籍詞頻統(tǒng)計(jì)器(Google Book Ngram Viewer)顯示，“個(gè)人識(shí)別信息”(personally identifiable information)自1992年開始就成為一個(gè)越來越流行的術(shù)語。(1)Paul M.Schwartz & Daniel J.Solove, Reconciling Personal Information in the United States and European Union, 102 California Law Review 877, 887 (2014).圍繞個(gè)人信息是否具有“可識(shí)別性”，將個(gè)人信息與人、人格、財(cái)產(chǎn)等基本命題在事實(shí)上與邏輯上緊密聯(lián)系起來，并在相當(dāng)程度上推動(dòng)了世界范圍內(nèi)個(gè)人信息保護(hù)的立法熱潮。

中國近年來在制定或修訂相關(guān)法律之時(shí)都十分重視個(gè)人信息保護(hù)問題。(2)《網(wǎng)絡(luò)安全法》《電子商務(wù)法》與《消費(fèi)者權(quán)益保護(hù)法》之中均有相關(guān)個(gè)人信息保護(hù)的規(guī)定。2020年5月通過的《中華人民共和國民法典》在人格權(quán)編中專門規(guī)定了個(gè)人信息保護(hù)，首開世界范圍內(nèi)民法(典)或私法中特別規(guī)定個(gè)人信息保護(hù)之先河，此舉在世界私法史上亦可圈可點(diǎn)。醞釀了若干年之后，2020年10月《個(gè)人信息保護(hù)法(草案)》的推出，更將中國的個(gè)人信息保護(hù)推至高潮。中國的個(gè)人信息保護(hù)立法相較于世界其他國家和地區(qū)，所處時(shí)代背景與發(fā)展階段皆不相同，因此所面臨的難題與所要解決的問題也不盡相同。尤其在“個(gè)人—個(gè)人信息處理者”之兩造關(guān)系中，以“可識(shí)別性”為個(gè)人信息的核心構(gòu)成，更使得相對(duì)方主體的一系列義務(wù)與保護(hù)的“開關(guān)”始終處于“打開”狀態(tài)。(3)同前注〔1〕，Paul M.Schwartz & Daniel J.Solove文。鑒此，觀察個(gè)人信息處理者的法律責(zé)任十分重要，此種法律責(zé)任，或可構(gòu)造為一定體系，或可在不同“橫截面”構(gòu)造為一定“子體系”，并在相當(dāng)程度上成為完善個(gè)人信息權(quán)利體系之重要的“反作用力”，殊值重視。

一、個(gè)人信息處理者的界定

由個(gè)人信息的產(chǎn)生、傳遞與流動(dòng)的本質(zhì)特征所決定，與個(gè)體發(fā)生聯(lián)系的若干主體可抽象概括為“信息控制者”與“信息處理者”。世界范圍內(nèi)，隱私與個(gè)人信息立法以美國和歐盟為基礎(chǔ)標(biāo)桿，其他國家和地區(qū)分別在不同的法域之內(nèi)緊跟或?qū)?biāo)相應(yīng)立法。美國和歐盟二者之間事實(shí)上也形成一種個(gè)人信息保護(hù)立法的競(jìng)爭(zhēng)局面。而正如格林里夫教授(Graham Greenleaf)所指出的，美國隱私法在世界上的影響力遠(yuǎn)不如歐洲數(shù)據(jù)隱私法的影響力，可以合理地描述為“歐洲標(biāo)準(zhǔn)”的數(shù)據(jù)隱私法正在逐漸成為世界其他國家相關(guān)立法的標(biāo)準(zhǔn)。(4)Graham Greenleaf, The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108, 2 International Data Privacy Law 68, 77 (2012).中國作為深受大陸法系法律理論影響的國家，在個(gè)人信息保護(hù)立法的觀念與制度上也一定程度上受到歐盟立法的影響。然而吊詭的是，中國法恰恰在個(gè)人信息基本主體概念上與歐盟頗為不同，《民法典》歷次草案與正式文本以及《個(gè)人信息保護(hù)法(草案)》中的個(gè)人信息相關(guān)主體的表述均不相同。對(duì)這一基礎(chǔ)主體概念的不斷修改，反映出立法者對(duì)個(gè)人信息處理活動(dòng)的認(rèn)識(shí)不斷加深并逐漸體現(xiàn)出立法的著重面向。然而，對(duì)于基本主體概念的規(guī)定，并非單一的法技術(shù)問題，而關(guān)涉立法者對(duì)于社會(huì)事實(shí)的認(rèn)識(shí)、對(duì)法觀念的總結(jié)提煉以及能否實(shí)現(xiàn)立法的前瞻性等諸多問題，不能簡(jiǎn)單視之。既如此，認(rèn)識(shí)與界定個(gè)人信息處理者，是個(gè)人信息保護(hù)立法與解釋的基礎(chǔ)工作之一。

(一)信息控制者vs.信息處理者

對(duì)于事物概念的確定，既是一個(gè)認(rèn)識(shí)事物本質(zhì)的過程，同時(shí)也是一個(gè)思維形成的過程。黑格爾在說明概念與事物之間的關(guān)系時(shí)認(rèn)為，“當(dāng)我們要談?wù)撌挛飼r(shí)，我們就稱它們的本性或本質(zhì)為它們的概念，而概念只是為思維才有的”，“我們的思維必須依照概念而限制自己，而概念卻不應(yīng)依我們的任意或自由而調(diào)整”。(5)[德]黑格爾：《邏輯學(xué)(上卷)》，楊一之譯，商務(wù)印書館1996年版，第12-13頁。在立法概念選擇的時(shí)候，立法者依然面對(duì)如何認(rèn)識(shí)事物和如何選擇概念的雙重難題。

中國的個(gè)人信息保護(hù)立法，也同樣面臨上述認(rèn)識(shí)與選擇的方法論難題。中國在制定《民法典》和《個(gè)人信息保護(hù)法(草案)》的個(gè)人信息保護(hù)規(guī)則之時(shí)，在法技術(shù)層面不同程度地借鑒歐美國家的經(jīng)驗(yàn)。然而，正如施瓦茨(Paul M.Schwartz)和索羅夫(Daniel J.Solove)所言，“美國和歐盟在隱私法方面分歧很大。在基本層面，二者的基本理念哲學(xué)不同：在美國，隱私法的重點(diǎn)是救濟(jì)對(duì)消費(fèi)者的損害以及平衡隱私與高效的商業(yè)交易之間的關(guān)系；在歐盟，隱私權(quán)被認(rèn)為是一項(xiàng)基本權(quán)利，可以凌駕于其他利益之上。甚至在確定信息立法調(diào)整范圍的邊界等問題上，美國和歐盟的做法也完全不同。個(gè)人信息的存在——通常被稱為‘個(gè)人識(shí)別信息’——觸發(fā)了隱私法的適用?！?6)同前注〔1〕，Paul M.Schwartz & Daniel J.Solove文，第877頁。美國關(guān)于隱私權(quán)理論探索較早，對(duì)世界產(chǎn)生較大影響，如何界定個(gè)人信息，在美國法上經(jīng)歷過較為激烈的討論。主要通過三種方式界定個(gè)人信息，包括：同義反復(fù)(tautological)、非公開(nonpublic)以及具體類型(specific-types)。(7)所謂“同義反復(fù)”(tautological)的方式，主要是指美國隱私法通過簡(jiǎn)單地定義“個(gè)人的”作為任何識(shí)別個(gè)人身份的信息的標(biāo)準(zhǔn)，在表達(dá)上就是“個(gè)人信息是個(gè)人的信息”的一種同義反復(fù)，將其作為界定個(gè)人信息的方法，實(shí)際上在美國國內(nèi)也遭受到一定批評(píng)。同前注〔1〕，Paul M.Schwartz & Daniel J.Solove文，第888頁。后來經(jīng)不斷發(fā)展，美國法上系將隱私權(quán)與個(gè)人信息保護(hù)等統(tǒng)一歸至隱私法這一籠統(tǒng)概念之中，與歐洲的人格權(quán)理論與個(gè)人信息保護(hù)理論的“二分法”截然不同。相較美國法，歐盟立法相對(duì)更為清晰，這也就是為何歐盟的個(gè)人數(shù)據(jù)保護(hù)法更易于“輸出”并成為較為通行的“世界標(biāo)準(zhǔn)”的重要原因之一。

從中國目前對(duì)于《民法典》個(gè)人信息保護(hù)的解釋論和《個(gè)人信息保護(hù)法(草案)》的立法論角度來看，中國個(gè)人信息保護(hù)立法一定程度上參考借鑒了歐盟相關(guān)立法，包括一些基本規(guī)則和權(quán)利義務(wù)體系等方面。然而，如本文所討論的，實(shí)證法恰恰并未將個(gè)人信息保護(hù)中涉及的關(guān)鍵主體——信息控制者——這一概念納入。事實(shí)上，信息控制者并非一個(gè)簡(jiǎn)單的概念選擇問題，也并非一個(gè)比較法意義上的形式上的“規(guī)則借鑒”問題，而是涉及對(duì)于個(gè)人信息保護(hù)活動(dòng)通盤理解的問題。

“控制者”這一概念，主要應(yīng)依循歐盟立法的脈絡(luò)來理解?！翱刂普摺?controller)最早見諸于《歐盟95/46/EC指令》(1995年10月)，后在歐盟2012年擬議的《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)以及2016年通過的《一般數(shù)據(jù)保護(hù)條例》(GDPR)中延續(xù)使用。施瓦茨和索羅夫曾指出：“事實(shí)上，從歐盟95年指令開始，歐盟立法就已經(jīng)為數(shù)據(jù)主體提供了對(duì)于他們自身數(shù)據(jù)使用的一種控制權(quán)?！?8)同前注〔1〕，Paul M.Schwartz & Daniel J.Solove文，第883頁。而此處所謂的“控制權(quán)”，又與大陸法系典型國家的“信息自決”理論緊密相聯(lián)。德國《基本法》第2條第1款確定了人格自由發(fā)展的權(quán)利。而個(gè)人信息對(duì)于人格構(gòu)建和發(fā)展具有決定性的意義，“信息自決”(informationelle Selbstbestimmung)則是實(shí)現(xiàn)對(duì)個(gè)人自由發(fā)展的重要方式。(9)Vgl.Christoph Mallmann, Datenschutz in Verwaltungsinformationssystemen, München, 1976, S.54 ff. 轉(zhuǎn)引自謝遠(yuǎn)揚(yáng)：《信息論視角下個(gè)人信息的價(jià)值——兼對(duì)隱私權(quán)保護(hù)模式的檢討》，載《清華法學(xué)》2015年第3期，第102-103頁。此種信息自決觀念將個(gè)人信息與人格權(quán)有效聯(lián)系起來，并進(jìn)而影響了個(gè)人信息保護(hù)的法律建構(gòu)。

“信息自決”應(yīng)有之意是個(gè)體能夠決定自身信息的使用，即產(chǎn)生一種“控制”。殊值辨識(shí)的是，以“信息自決”為出發(fā)點(diǎn)的對(duì)個(gè)人信息的“控制”并不等于對(duì)個(gè)人信息的“控制權(quán)”，由于權(quán)利本身包含一種實(shí)踐面向，而個(gè)人事實(shí)上無法享有對(duì)個(gè)人信息的絕對(duì)性、排他性的(全程)控制權(quán)，因此前述施瓦茨和索羅夫的觀點(diǎn)也有不周延之處。當(dāng)然，他們對(duì)于歐盟個(gè)人信息保護(hù)法的特征總體上有較好的把握與判斷，這也就在相當(dāng)程度上解釋了，由于個(gè)人信息的產(chǎn)生、傳遞與流動(dòng)等特征，當(dāng)信息流動(dòng)到與個(gè)體相對(duì)的主體，并由該主體進(jìn)行“控制”之時(shí)，由于個(gè)體享有“信息自決”而并未喪失自己對(duì)信息的“延伸控制”，“控制”理念貫穿始終。比如，個(gè)人享有知情權(quán)，即“可以在一定程度上控制關(guān)于收集到的他們的數(shù)據(jù)的去向”。(10)Francoise Gilbert, A Bird’s-Eye View of Data Protection in Europe, 24 ABA GP Solo 31, 32-35 (2007).個(gè)人信息保護(hù)立法以“控制”為核心貫穿以個(gè)人信息為客體的一系列行為，當(dāng)個(gè)人信息“脫逸”個(gè)體之后，能夠控制信息的主體則是事實(shí)上占有信息的“控制者”。這也就是為何在歐盟《一般數(shù)據(jù)保護(hù)條例》中，信息控制者才是與個(gè)人直接相對(duì)的義務(wù)主體，而并非信息處理者。而控制者的核心活動(dòng)與其主要活動(dòng)有關(guān)，而與作為輔助活動(dòng)的個(gè)人數(shù)據(jù)處理無關(guān)。在控制者客觀控制數(shù)據(jù)的基礎(chǔ)上，又進(jìn)一步發(fā)展出“目的限制”原則，允許控制者評(píng)估為最初收集數(shù)據(jù)的目的以外的其他目的處理個(gè)人數(shù)據(jù)是否享有這樣的依據(jù)，而這種依據(jù)并非基于法律或數(shù)據(jù)主體的同意。(11)W.Gregory Voss, European Union Data Privacy Law Reform: General Data Protection Regulation, Privacy Shield, and the Right to Delisting, 72 The Business Lawyer 221, 224 (2017).

在歐盟法的脈絡(luò)下，信息控制者的概念絕非僅依立法而產(chǎn)生，而系與歐洲法長(zhǎng)期關(guān)注與持續(xù)發(fā)展人格自由、信息自決等法思想、法理念緊密相關(guān)。信息處理者則是為了數(shù)據(jù)控制者而處理個(gè)人數(shù)據(jù)的主體，其行為與活動(dòng)雖然具有相對(duì)獨(dú)立性，也并非控制者的附庸，但在地位與角色上確實(shí)無法與控制者相提并論。二者的關(guān)系既反映出歐盟法的特色，同時(shí)也體現(xiàn)出個(gè)人信息活動(dòng)本身的核心特征。反觀中國法，遺憾的是，“信息控制者”這一概念在《民法典》制定過程中僅“曇花一現(xiàn)”，最終并未進(jìn)入正式文本之中，這就有必要在中國法的“偶然”與“必然”之中進(jìn)一步解釋個(gè)人信息處理者的內(nèi)涵，及其所輻射的制度脈絡(luò)以及所反映的制度意旨。

(二)中國立法演進(jìn)中的“個(gè)人信息處理者”

黑格爾認(rèn)為，考察存在和本質(zhì)的客觀邏輯，真正構(gòu)成了概念發(fā)生史的展示。(12)參見[德]黑格爾：《邏輯學(xué)(下卷)》，楊一之譯，商務(wù)印書館1976年版，第240頁。客觀而言，中國確實(shí)不存在如歐洲國家的信息自決觀念的歷史影響，因此即便是拋卻已有概念，轉(zhuǎn)而選擇創(chuàng)設(shè)全新概念，也未嘗不可。問題的關(guān)鍵在于，基本概念應(yīng)起到貫穿制度核心脈絡(luò)的作用，或重塑制度自身特征的作用，只有有意識(shí)循此設(shè)計(jì)制度，才能實(shí)現(xiàn)制度初衷，否則將會(huì)使制度變得空洞而無法實(shí)施。信息相關(guān)主體在歷次法律草案與規(guī)范性文件中的表述，幾無統(tǒng)一者，而最終《民法典》中改稱“信息處理者”的表述，或有突襲之感，這也給如何解釋信息處理者的地位與作用帶來一定困難。

表：法律法規(guī)、規(guī)范性文件中的信息相關(guān)主體

從目前已公開的官方立法資料來看，對(duì)于上述概念變化并無特別說明。從概念表述與體系解釋來看，大致可從以下幾方面理解與建構(gòu)：

第一，“信息處理論”吸收“信息控制論”。從概念使用來看，在制定法并未采用信息控制者這一概念之時(shí)，而僅使用信息處理者這一概念。通過體系解釋，“信息處理論”表達(dá)為一系列客觀的處理方式以及個(gè)人信息處理者的自主決定權(quán)利，這實(shí)際上也涵蓋了包括有決定能力的控制者的一系列行為。立法階段的終結(jié)，使信息處理者這一概念成為一種既定事實(shí)，后續(xù)研究和實(shí)踐也只能在此基礎(chǔ)上進(jìn)行解釋。

第二，非控制論之下的“信息自決”的貫穿。歐盟法脈絡(luò)下的人格、信息自決與個(gè)人信息控制之間存在觀念上與邏輯上的聯(lián)系。盡管中國法并未選擇以控制者為核心的“信息控制論”，但是無論是解釋《民法典》的相關(guān)規(guī)定還是《個(gè)人信息保護(hù)法草案(一審稿、二審稿)》第44條中明確規(guī)定的“個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)……”，已經(jīng)較為明確地規(guī)定了“信息自決”或“個(gè)人信息自決權(quán)”。可見，即便立法選擇了“信息處理論”或非控制論，但也仍然是選擇了“信息自決”這一法價(jià)值，之后的法律體系構(gòu)建或規(guī)則創(chuàng)設(shè)也仍然遵循此價(jià)值。

第三，跨法系基本概念的對(duì)話基礎(chǔ)。歐盟個(gè)人數(shù)據(jù)保護(hù)立法在某種程度上作為一種“國際標(biāo)準(zhǔn)”，信息控制者也基本上成為一個(gè)通行概念，而中國立法之時(shí)僅選擇使用信息處理者這一概念，這就帶來一個(gè)國際對(duì)話基礎(chǔ)以及法律適用上的問題。在數(shù)據(jù)面臨跨境流動(dòng)以及國內(nèi)企業(yè)海外合規(guī)與外國企業(yè)在中國合規(guī)之時(shí)，都要面臨概念轉(zhuǎn)換與系列制度的理解問題，這在一定程度上增加了解釋成本。因此，如何在制定《個(gè)人信息保護(hù)法》之時(shí)再進(jìn)一步加強(qiáng)信息控制理念，使之與“信息自決”理念相協(xié)調(diào)，不得不通盤考慮，此謂周全之道。

(三)個(gè)人信息處理者的具體類型

信息時(shí)代與智能時(shí)代的首要特點(diǎn)就是信息呈規(guī)?；?，以網(wǎng)絡(luò)平臺(tái)為代表的主體獲取大量個(gè)人信息。個(gè)人信息保護(hù)與個(gè)人信息利用，二者表現(xiàn)為靜動(dòng)之分并體現(xiàn)不同價(jià)值取向，但二者實(shí)質(zhì)上卻是一種“價(jià)值合流”——安全。因此，個(gè)人信息處理者也是在安全價(jià)值指引下保護(hù)個(gè)人信息。個(gè)人信息處理者成為法律上的特定主體，預(yù)設(shè)的前提即該主體有能力保護(hù)個(gè)人信息安全，防范個(gè)人信息風(fēng)險(xiǎn)。盡管《民法典》適用于所有平等民事主體，但個(gè)人信息處理者由于其活動(dòng)需要一定的物質(zhì)和技術(shù)條件并負(fù)有較多義務(wù)，而在主體范圍界定上有所限縮，并非所有民事主體均能成為個(gè)人信息處理者。這一點(diǎn)也符合國際通行規(guī)則，比如GDPR第30.5條規(guī)定控制者的責(zé)任不適用于雇員少于250人的經(jīng)濟(jì)主體或組織。有學(xué)者也認(rèn)為：“個(gè)人信息保護(hù)法的義務(wù)主體具有特殊性，不是‘任何組織或者個(gè)人’這樣的一般主體?！?13)參見周漢華：《個(gè)人信息保護(hù)的法律定位》，載《法商研究》2020年第3期，第50頁。在此基礎(chǔ)上，實(shí)踐中的個(gè)人信息處理者的具體類型大致包括以下主體。

第一，網(wǎng)絡(luò)服務(wù)提供者。在中國法項(xiàng)下，提供網(wǎng)絡(luò)服務(wù)的主體被概括為網(wǎng)絡(luò)服務(wù)提供者。在立法與實(shí)踐中，涉及網(wǎng)絡(luò)安全、電子商務(wù)等不同領(lǐng)域之時(shí)，也以不同主體稱謂指代。在經(jīng)濟(jì)迭代轉(zhuǎn)型出現(xiàn)平臺(tái)經(jīng)濟(jì)之后，平臺(tái)主體也往往成為一種經(jīng)濟(jì)學(xué)上的較為通行的主體稱謂。當(dāng)下個(gè)體購物、社交等行為基本上均以網(wǎng)絡(luò)平臺(tái)為中介，個(gè)人信息的收集、存儲(chǔ)、使用、加工等行為也集中于平臺(tái)之上。大規(guī)模的網(wǎng)絡(luò)平臺(tái)的出現(xiàn)，其相對(duì)于個(gè)體或消費(fèi)者的強(qiáng)勢(shì)地位，加劇了傳統(tǒng)上經(jīng)營者與消費(fèi)者之間的交涉能力不平等。本次《個(gè)人信息保護(hù)法草案(二審稿)》第57條增加規(guī)定了提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)主體的特別義務(wù)。由此，網(wǎng)絡(luò)服務(wù)提供者是最為典型的個(gè)人信息處理者，最終的實(shí)際運(yùn)營主體應(yīng)承擔(dān)個(gè)人信息保護(hù)等義務(wù)。

第二，公共機(jī)構(gòu)。國家機(jī)關(guān)等公共機(jī)構(gòu)也存在大量收集個(gè)人信息以及利用等行為?！秱€(gè)人信息保護(hù)法(草案)》第二章第三節(jié)專門規(guī)定了“第三節(jié)國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定”，但是除國家機(jī)關(guān)之外，還包括公共企事業(yè)單位也存在大量收集個(gè)人信息等行為。因此，包括國家機(jī)關(guān)在內(nèi)的公共機(jī)構(gòu)都應(yīng)成為個(gè)人信息保護(hù)法上的個(gè)人信息處理者。當(dāng)然，也有學(xué)者認(rèn)為，國家機(jī)關(guān)作為信息處理者具有公共性、法定性、壟斷性、強(qiáng)制性等特點(diǎn)，與以私人機(jī)構(gòu)作為個(gè)人信息處理者為設(shè)想場(chǎng)景的個(gè)人信息保護(hù)法明顯不同，未來還應(yīng)當(dāng)制定一個(gè)特別的規(guī)則來調(diào)整國家機(jī)關(guān)處理個(gè)人信息的行為。(14)參見王錫鋅教授的發(fā)言，《個(gè)人信息保護(hù)法的待解難題，如何約束規(guī)范國家機(jī)關(guān)對(duì)信息的收集處理》，載《21世紀(jì)經(jīng)濟(jì)報(bào)道》2021年3月24日。從目前來看，國家機(jī)關(guān)等公共機(jī)構(gòu)在中國法上仍規(guī)定為個(gè)人信息處理者。

第三，線下經(jīng)營主體。數(shù)字經(jīng)濟(jì)改變了人們的行為方式，線上交易與網(wǎng)絡(luò)社交成為主要方式，但仍存在大量線下非網(wǎng)絡(luò)平臺(tái)主體收集、利用個(gè)人信息等情況，這些主體應(yīng)系個(gè)人信息處理者。同時(shí)，實(shí)踐中也存在經(jīng)營者線上線下信息共享等情況，有些情形可能會(huì)侵害消費(fèi)者的個(gè)人信息。(15)參見俞某訴北京樂某達(dá)康科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案，(2018)京0108民初字第13661號(hào)民事判決書。就此，線下經(jīng)營主體也是典型的個(gè)人信息處理者。

對(duì)于個(gè)人信息處理者的界定，不僅僅是一種概念理解或者類型識(shí)別，在“個(gè)人—信息控制者”“個(gè)人—(個(gè)人)信息處理者”的兩造關(guān)系中，更應(yīng)理解“信息自決”脈絡(luò)下的個(gè)人對(duì)于自身信息的“延伸控制”。在此基礎(chǔ)上構(gòu)建個(gè)人信息處理者的民事責(zé)任體系，并且解釋相應(yīng)主體承擔(dān)民事責(zé)任的機(jī)理，是為基礎(chǔ)，更是必要前提。

二、個(gè)人信息處理者侵害個(gè)人信息的民事責(zé)任

個(gè)人信息保護(hù)呈現(xiàn)跨公私法域特征，有其自身相對(duì)獨(dú)立的發(fā)展脈絡(luò)，并非民法的特別法，法律責(zé)任也包括民事責(zé)任、行政責(zé)任和刑事責(zé)任。個(gè)人信息作為體現(xiàn)人格權(quán)益與人格發(fā)展的重要載體，在創(chuàng)設(shè)“信息自決”的觀念與制度之下，如何實(shí)現(xiàn)個(gè)人對(duì)自身信息的“脫控”而不“失控”，在受有損害之時(shí)，能夠得到充分救濟(jì)，是制度建構(gòu)與法律適用最為關(guān)注之點(diǎn)。在個(gè)人信息權(quán)益受到侵害之時(shí)，人格權(quán)法與侵權(quán)法是最為基本與最為有效的救濟(jì)方式，也同時(shí)體現(xiàn)出侵權(quán)法旨在權(quán)衡行為自由與權(quán)益保護(hù)的機(jī)能。(16)參見王澤鑒：《侵權(quán)行為》(第三版)，北京大學(xué)出版社2016年版，第7頁。在考察《民法典》的適用與個(gè)人信息保護(hù)立法的雙重面向之上，探討個(gè)人信息處理者侵害個(gè)人信息的侵權(quán)責(zé)任，是法律為個(gè)人信息主體提供的最基礎(chǔ)保障。

(一)個(gè)人信息處理者侵害個(gè)人信息的典型行為

與一般自然人之間的侵害個(gè)人信息的行為不同，個(gè)人信息處理者作為具有一定規(guī)模的網(wǎng)絡(luò)服務(wù)提供者或線下經(jīng)營主體以及公共機(jī)構(gòu)，其侵害個(gè)人信息的行為特征主要包括面向不特定主體、運(yùn)用技術(shù)手段等方面。主要包括以下典型行為：

第一，不當(dāng)收集個(gè)人信息的行為。在《民法典》與系列規(guī)范性文件中，收集個(gè)人信息應(yīng)符合“合法、正當(dāng)、必要”原則，同時(shí)符合最小、必要原則。而在實(shí)踐中，有相當(dāng)多的APP存在涉嫌過度收集用戶個(gè)人信息的情況。(17)中國消費(fèi)者協(xié)會(huì)：《100款A(yù)PP個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》，http://www.cca.org.cn/jmxf/detail/28310.html，2021年3月27日訪問。在備受矚目的郭某訴杭州野生動(dòng)物世界有限公司服務(wù)合同糾紛案中，二審認(rèn)為，野生動(dòng)物世界欲利用收集的照片擴(kuò)大信息處理范圍，超出事前收集目的，存在侵害郭某面部特征信息之人格利益的可能與風(fēng)險(xiǎn)。(18)參見《杭州野生動(dòng)物世界“刷臉”入園糾紛案，今日二審宣判！》，載光明網(wǎng)2021年4月10日，https://m.gmw.cn/baijia/2021-04/10/1302222608.html，2021年4月15日訪問?？梢姡欠裾?dāng)收集的標(biāo)準(zhǔn)主要在于是否符合法定的收集原則，如超過則為不當(dāng)收集個(gè)人信息。

第二，泄露個(gè)人信息的行為。泄露個(gè)人信息屬于較為嚴(yán)重的侵害個(gè)人信息權(quán)益的行為，實(shí)踐中具體表現(xiàn)形式不一。在龐某訴某航空公司和某信息技術(shù)有限公司隱私權(quán)糾紛案中，龐某在某網(wǎng)站訂票之后，后收到其他短信，列明龐某的姓名、航班號(hào)等內(nèi)容，法院認(rèn)為兩家公司存在泄露龐某隱私信息的高度可能，并且存在過錯(cuò)，應(yīng)承擔(dān)侵犯隱私權(quán)的相應(yīng)侵權(quán)責(zé)任。(19)參見北京市海淀區(qū)人民法院(2015)海民初字第10634號(hào)民事判決書；北京市第一中級(jí)人民法院(2017)京01民終字第509號(hào)民事判決書。在有的案件中，法院確認(rèn)公民的舉報(bào)信息具有私密性，購物平臺(tái)擅自將訂單編號(hào)告知被舉報(bào)人，屬于泄露個(gè)人私密信息的行為。(20)參見北京市第四中級(jí)人民法院互聯(lián)網(wǎng)民商事審判十大典型案例之五：肖某訴某平臺(tái)泄露個(gè)人信息糾紛案(北大法寶數(shù)據(jù)庫：【法寶引證碼】CLI.C.107485440)。泄露個(gè)人信息的行為往往涉及對(duì)私密信息和隱私權(quán)的保護(hù)，較之其他不當(dāng)收集、不當(dāng)利用與分享等行為更為嚴(yán)重。

第三，不當(dāng)使用個(gè)人信息等行為。在未經(jīng)個(gè)人信息主體的同意，而將個(gè)人信息作為他用的情況，屬于不當(dāng)使用個(gè)人信息的情形。在王某與某置地有限公司姓名權(quán)糾紛案中，該公司擅自利用王某的姓名與身份證號(hào)碼進(jìn)行個(gè)稅申報(bào)，不當(dāng)利用了王某的個(gè)人信息。(21)參見王某與某置地有限公司姓名權(quán)糾紛案，(2019)蘇0321民初字第2652號(hào)民事判決書。在俞某訴北京樂某達(dá)康科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案中，俞某在線下的購物記錄也被同步到線上購物平臺(tái)的購物列表之中，這是一種擴(kuò)張信息共享的行為，同時(shí)也是一種擴(kuò)大收集信息的行為。(22)參見同前注〔15〕，俞某訴北京樂某達(dá)康科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案。上述行為都是建立在個(gè)人信息處理者掌握個(gè)人信息的前提下，將信息用于他用，或不當(dāng)使用、或不當(dāng)分享，均系較為典型侵犯?jìng)€(gè)人信息權(quán)益的行為。

除上述幾種情形以外，比較具有爭(zhēng)議的情形還包括由用戶畫像或其他自動(dòng)化決策所帶來的不利影響(23)Danielle K.Citron & Frank Pasquale, The Scored Society: Due Process for Automated Predictions, 89 Washington Law Review 1 (2014); Margret Hu, Big Data Blacklisting, 67 Florida Law Review 1735 (2015).是否會(huì)構(gòu)成對(duì)人格權(quán)益或財(cái)產(chǎn)權(quán)益的侵害，比如評(píng)價(jià)分選、價(jià)格歧視、大數(shù)據(jù)殺熟等，目前相關(guān)案例中，法院并未支持當(dāng)事人的相關(guān)請(qǐng)求。(24)參見鄭某與上海某商務(wù)有限公司其他侵權(quán)責(zé)任糾紛案，(2020)滬0105民初字第9010號(hào)民事判決書；劉某與北京某科技有限公司侵權(quán)責(zé)任糾紛案，(2018)湘0102民初字第13515號(hào)民事判決書、(2019)湘01民終字第9501號(hào)民事判決書。對(duì)濫用算法等行為，目前主要通過監(jiān)管或數(shù)據(jù)治理等方式予以規(guī)制，(25)參見[美]陸凱：《美國算法治理政策與實(shí)施進(jìn)路》，載《環(huán)球法律評(píng)論》2020年第3期，第5-26頁。在民事責(zé)任方面尚未見相關(guān)適用和突破。在風(fēng)險(xiǎn)泛在的智能時(shí)代與萬物互聯(lián)時(shí)代，人們沒有脫離風(fēng)險(xiǎn)場(chǎng)域的可能性，對(duì)于概括風(fēng)險(xiǎn)而導(dǎo)致的權(quán)益受損目前較難實(shí)現(xiàn)個(gè)體救濟(jì)；(26)[德]克里斯托弗·布施：《個(gè)性化經(jīng)濟(jì)中的算法規(guī)制和(不)完美執(zhí)行》，載《環(huán)球法律評(píng)論》2019年第6期，第7頁。但在個(gè)體受到確定的侵害之時(shí)則有請(qǐng)求獲得法律救濟(jì)的權(quán)利，這也正是侵權(quán)法的基本意旨。

(二)構(gòu)成要件

個(gè)人信息處理者侵害個(gè)人信息的侵權(quán)責(zé)任的構(gòu)成要件，主要以《民法典》人格權(quán)編和侵權(quán)責(zé)任編的體系解釋為主。將人格權(quán)編的框架安排與傳統(tǒng)侵權(quán)責(zé)任的構(gòu)成要件進(jìn)行比對(duì)，人格權(quán)編對(duì)于過錯(cuò)和損害并未規(guī)定，也有學(xué)者認(rèn)為，在適用人格權(quán)請(qǐng)求權(quán)時(shí)，既不需要考慮是否有損害(只要構(gòu)成對(duì)人格權(quán)的侵害或者存在侵害的危險(xiǎn)即可)，也無需考慮侵權(quán)人有無過錯(cuò)。(27)參見王利明、程嘯等：《中華人民共和國民法典人格權(quán)編釋義》，中國法制出版社2020年版，第83-85頁；程嘯：《我國民法典中的人格權(quán)請(qǐng)求權(quán)》，載《人民法院報(bào)》2020年10月22日第005版。從民法典編章安排體系解釋和司法機(jī)關(guān)關(guān)于民事案件案由規(guī)定來看，人格權(quán)請(qǐng)求權(quán)在適用上優(yōu)先于侵權(quán)請(qǐng)求權(quán)。(28)根據(jù)最高人民法院2020年12月發(fā)布的《最高人民法院關(guān)于印發(fā)修改后的〈民事案件案由規(guī)定〉的通知》中第四部分規(guī)定人格權(quán)糾紛這一案由系單獨(dú)的案由體系，與侵權(quán)責(zé)任糾紛相區(qū)別。另參見王利明：《論人格權(quán)保護(hù)的全面性和方法獨(dú)特性——以〈民法典〉人格權(quán)編為分析對(duì)象》，載《財(cái)經(jīng)法學(xué)》2020年第4期，第9頁。同時(shí)《個(gè)人信息保護(hù)法草案》一審稿第65條與二審稿第68條規(guī)定了個(gè)人信息處理者的損害賠償責(zé)任，這一部分也將納入體系解釋范疇之中。鑒此，本部分的討論總體上立足于解釋論與立法論的雙重面向。

1.過錯(cuò)

在歸責(zé)原則之過錯(cuò)責(zé)任原則、過錯(cuò)推定原則和無過錯(cuò)責(zé)任原則三分法的基礎(chǔ)上，《民法典》對(duì)侵害個(gè)人信息的歸責(zé)原則并未明確規(guī)定。在前述案例中，法院基本上也并未特別考慮個(gè)人信息處理者的主觀過錯(cuò)。由個(gè)人信息主體與個(gè)人信息處理者之間關(guān)系所決定，侵害特定個(gè)人的信息的行為，只會(huì)由比較特定或有限的個(gè)人信息處理者作出，而其侵害行為的范圍和內(nèi)容也基本比較確定，責(zé)任認(rèn)定并不存在太多困難。

《個(gè)人信息保護(hù)法草案(二審稿)》第68條明確規(guī)定侵害個(gè)人信息的歸責(zé)原則為過錯(cuò)推定。相較一審稿，二審稿有較大進(jìn)步。一審稿第65條規(guī)定了侵害個(gè)人信息權(quán)益的賠償責(zé)任，但該條卻存在歸責(zé)原則與損害賠償責(zé)任的“顛倒”與“雜糅”。通常而言，“侵權(quán)請(qǐng)求權(quán)基礎(chǔ)的檢視原則上區(qū)分責(zé)任成立與責(zé)任范圍兩個(gè)階段，各類侵權(quán)請(qǐng)求權(quán)基礎(chǔ)檢視程式的差異主要體現(xiàn)在責(zé)任成立部分”。(29)參見吳香香：《中國法上侵權(quán)請(qǐng)求權(quán)基礎(chǔ)的規(guī)范體系》，載《政法論壇》2020年第6期，第180頁。對(duì)于一審稿中關(guān)于歸責(zé)原則的不足之處，二審稿中有所糾正和調(diào)整。同時(shí)，二審稿第68條第2款系與《民法典》侵權(quán)責(zé)任編第1182條基本保持一致。

立法者在侵害個(gè)人信息的歸責(zé)原則上或可考慮過錯(cuò)責(zé)任原則與無過錯(cuò)責(zé)任原則“二分法”思路：一是基于不同主體。借鑒我國臺(tái)灣地區(qū)“個(gè)人資料保護(hù)法”相關(guān)規(guī)定，對(duì)個(gè)人信息侵權(quán)，公共機(jī)構(gòu)承擔(dān)無過錯(cuò)責(zé)任，非公共機(jī)構(gòu)則承擔(dān)過錯(cuò)推定責(zé)任；二是基于不同行為。借鑒德國《聯(lián)邦數(shù)據(jù)保護(hù)法》相關(guān)規(guī)定，對(duì)于自動(dòng)化數(shù)據(jù)處理所致?lián)p害適用無過錯(cuò)責(zé)任，非自動(dòng)化數(shù)據(jù)處理所致?lián)p害適用過錯(cuò)推定責(zé)任；三是基于不同信息類型。有學(xué)者也提出應(yīng)在區(qū)分敏感與非敏感信息的基礎(chǔ)上，分別規(guī)定適用無過錯(cuò)責(zé)任與過錯(cuò)推定責(zé)任。(30)參見《會(huì)議綜述(下) 〈個(gè)人信息保護(hù)法草案〉專家研討會(huì)》，微信公眾號(hào)：人工智能與網(wǎng)絡(luò)法前沿，2020年12月8日。此種通過不同角度的“二分法”確定歸責(zé)原則，是一種較好的思路，可參酌吸收借鑒。

2.行為

個(gè)人信息處理者在收集、存儲(chǔ)、使用、加工、傳輸、提供、刪除和公開等活動(dòng)過程中都可能會(huì)存在侵害個(gè)人信息的行為。前述關(guān)于個(gè)人信息處理者侵害個(gè)人信息的典型行為中已概括了相當(dāng)一部分行為。作為“信息自決”觀念的延伸，通過在信息的“可識(shí)別性”與人格權(quán)益保護(hù)之間建立聯(lián)系，集中于是否侵害了具有可識(shí)別性的信息，從而引致侵權(quán)法的適用。

以信息的“可識(shí)別性”為“風(fēng)險(xiǎn)源”和“風(fēng)險(xiǎn)敞口”，是侵害個(gè)人信息行為的集中體現(xiàn)。這就使得個(gè)人信息處理者的幾乎大部分活動(dòng)都可能囊括其中。施瓦茨和索羅夫就認(rèn)為，歐洲隱私立法的優(yōu)勢(shì)是幾乎沒有什么信息可以逃出立法之外，但同時(shí)也十分冒險(xiǎn)地引發(fā)了數(shù)據(jù)處理者實(shí)際上承擔(dān)了與個(gè)人隱私可能產(chǎn)生的風(fēng)險(xiǎn)實(shí)際上并不匹配的法律負(fù)擔(dān)。(31)同前注〔1〕，Paul M.Schwartz & Daniel J.Solove文，第887頁。近年來除侵害個(gè)人信息的典型行為討論較多之外，基于相應(yīng)實(shí)踐發(fā)展和義務(wù)擴(kuò)張的現(xiàn)實(shí)需求，關(guān)于電子商務(wù)經(jīng)營者、直播平臺(tái)和個(gè)人信息處理者等是否應(yīng)承擔(dān)安全保障義務(wù)就引發(fā)較多爭(zhēng)論，尤其是在某主播在直播平臺(tái)直播極限運(yùn)動(dòng)意外墜亡案件(32)參見何某訴北京某科技有限公司網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案，(2018)京0491民初字第2386號(hào)民事判決書；北京某科技有限公司與何某侵權(quán)責(zé)任糾紛上訴案，(2019)京04民終字第139號(hào)民事判決書。發(fā)生后，更將網(wǎng)絡(luò)服務(wù)提供者等主體是否應(yīng)承擔(dān)安全保障義務(wù)推至風(fēng)口浪尖。

安全保障義務(wù)源自德國判例中形成的交往安全義務(wù)學(xué)說，并在實(shí)踐中不斷確立和發(fā)展相關(guān)規(guī)則。我國在制定《侵權(quán)責(zé)任法》之時(shí)，通過列舉和限縮適用范圍和情形的方式，規(guī)定了安全保障義務(wù)。但其與兩大法系學(xué)理與判例中所概括的交往安全義務(wù)和注意義務(wù)存在一定差異，雖然學(xué)界和實(shí)務(wù)界已基本接受了中國《侵權(quán)責(zé)任法》第37條(《民法典》第1198條)的規(guī)定。但由于對(duì)本國制定法的理解和接受存在一定思維慣性，人們對(duì)反過來理解安全保障義務(wù)的原貌反而產(chǎn)生一定障礙。近年來，中國法在安全保障義務(wù)的理解上、實(shí)踐中和立法中不斷與德國法和美國法接近，從而將確定相應(yīng)主體是否負(fù)有安全保障義務(wù)聚焦于有學(xué)者所概括的——“注意義務(wù)的違反”以及“對(duì)加害人本身主觀預(yù)見能力的考察”(33)參見馮玨：《安全保障義務(wù)與不作為侵權(quán)》，載《法學(xué)研究》2009年第4期，第75-76頁?！獌蓚€(gè)層次的內(nèi)容。

針對(duì)個(gè)人信息的安全保護(hù)義務(wù)，在歐盟的GDPR、中國民法典、消費(fèi)者權(quán)益保護(hù)法、網(wǎng)絡(luò)安全法、電子商務(wù)法等都有相應(yīng)規(guī)定。《民法典》第1038條規(guī)定了信息處理者的信息安全保障義務(wù)?！秱€(gè)人信息保護(hù)法草案(一審稿、二審稿)》“第五章個(gè)人信息處理者的義務(wù)”中，系對(duì)履行安全保障義務(wù)的標(biāo)準(zhǔn)予以多維度細(xì)化。

殊值關(guān)注的是，基于公法規(guī)范以轉(zhuǎn)介方式適用于私法領(lǐng)域等理論鋪墊，(34)參見蘇永欽：《從動(dòng)態(tài)法規(guī)范體系的角度看公私法的調(diào)和——以民法的轉(zhuǎn)介條款和憲法的整合機(jī)制為中心》，載蘇永欽：《走入新世紀(jì)的私法自治》，中國政法大學(xué)出版社2002年版。近年來學(xué)界也有觀點(diǎn)主張是否將網(wǎng)絡(luò)信息領(lǐng)域的公法規(guī)范以轉(zhuǎn)介方式適用于私法關(guān)系，以擴(kuò)張網(wǎng)絡(luò)經(jīng)營者、信息處理者等主體的安全保障義務(wù)。(35)參見張力、黃鑫：《大數(shù)據(jù)背景下個(gè)人信息保護(hù)的公私法銜接》，載《重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2021年第1期。在侵權(quán)法上，“違反保護(hù)他人法律的侵權(quán)責(zé)任”(《民法典》第1165條第1款，即《侵權(quán)責(zé)任法》第6條第1款)事實(shí)上起到一個(gè)“轉(zhuǎn)介條款”的功能，可以將各種特殊的侵權(quán)法律政策引入到一般侵權(quán)法之中。(36)參見朱巖：《違反保護(hù)他人法律的過錯(cuò)責(zé)任》，載《法學(xué)研究》2011年第2期，第90頁。但是對(duì)于保護(hù)他人的法律，如王澤鑒先生所言，系“以其是否以保護(hù)個(gè)人的權(quán)益為判斷標(biāo)準(zhǔn)，個(gè)人權(quán)益的保護(hù)得與一般公益的保護(hù)并存，但不包括專以維護(hù)國家社會(huì)秩序的法律”。(37)同前注〔16〕，王澤鑒書，第350頁?？梢?，“轉(zhuǎn)介”之核心標(biāo)準(zhǔn)在于“是否以保護(hù)個(gè)人的權(quán)益為判斷標(biāo)準(zhǔn)”，而非全部公法規(guī)范均不加限制和阻攔地進(jìn)入私法領(lǐng)域。誠如有學(xué)者所言，此種適用可能會(huì)引發(fā)一系列民法體系內(nèi)部以及公法與私法之間關(guān)系等問題，應(yīng)謹(jǐn)慎適用，合理把握注意義務(wù)的標(biāo)準(zhǔn)。(38)參見萬方：《公私法匯流的閘口：轉(zhuǎn)介視角下的網(wǎng)絡(luò)經(jīng)營者安全保障義務(wù)》，載《中外法學(xué)》2020年第2期，第371-377頁。鑒此，在個(gè)人信息保護(hù)領(lǐng)域，盡管單行法可能會(huì)不斷推出，但不能籠統(tǒng)地將《網(wǎng)絡(luò)安全法》和未來出臺(tái)的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)中包含的一系列公法規(guī)范直接轉(zhuǎn)介入私法之中，并引致個(gè)人信息處理者承擔(dān)相應(yīng)的民事責(zé)任，此種認(rèn)識(shí)不得不事先予以警惕，以維護(hù)法律最基本的公正價(jià)值。

3.損害

損害通常包括財(cái)產(chǎn)損失、人身損害和精神損害。關(guān)于侵害個(gè)人信息而產(chǎn)生的損害，歐盟GDPR第82條第1項(xiàng)規(guī)定：“任何因?yàn)檫`反本條例而受到物質(zhì)或非物質(zhì)性損害的人都有權(quán)從控制者或處理者處獲得損害賠償。”個(gè)人信息主體通常需證明自己受有物質(zhì)或非物質(zhì)性損害，非物質(zhì)性損害主要包括外部風(fēng)險(xiǎn)的損害和內(nèi)心焦慮的損害。(39)參見劉云：《論個(gè)人信息非物質(zhì)性損害的認(rèn)定規(guī)則》，載《經(jīng)貿(mào)法律評(píng)論》2021年第1期，第60頁。個(gè)人信息的“可識(shí)別性”，即是否可通過個(gè)人信息識(shí)別到特定主體，是判斷個(gè)人信息權(quán)益是否受到侵害的關(guān)鍵要素。在司法實(shí)踐中，法院一般通過“可識(shí)別性”標(biāo)準(zhǔn)而確定是否侵害個(gè)人信息權(quán)益，只要侵害了具有可識(shí)別性的信息，基本上就判定侵害了個(gè)人信息權(quán)益，從而根據(jù)當(dāng)事人的訴求進(jìn)行利益衡量。實(shí)踐中，對(duì)于賠償經(jīng)濟(jì)損失等，根據(jù)相應(yīng)侵權(quán)責(zé)任法規(guī)則，會(huì)給予一定程度的支持；而對(duì)于精神損害，卻往往由于客觀上難以認(rèn)定，而較難支持?？陀^而言，將個(gè)人信息保護(hù)放置于《民法典》之內(nèi)，盡管在一定程度上與其他國家或地區(qū)的個(gè)人信息保護(hù)規(guī)則體例并不相同，但卻恰恰在相當(dāng)程度上緩解了如何確定損害等問題，更有益于實(shí)現(xiàn)對(duì)當(dāng)事人的救濟(jì)。

4.因果關(guān)系

因果關(guān)系作為侵權(quán)法上的重要命題之一，即侵權(quán)行為造成損害結(jié)果的發(fā)生在通常情況下存在可能性。在侵害個(gè)人信息的情形中，有的因果關(guān)系鏈條并不復(fù)雜，大多是基于個(gè)人信息處理者這一特定主體的概括的“一因一果”，這就使得行為與損害結(jié)果之間關(guān)系的判定難度不高。在有的案件中，法院根據(jù)民事訴訟高度蓋然性證明標(biāo)準(zhǔn)而對(duì)因果關(guān)系進(jìn)行判定。(40)參見北京市海淀區(qū)人民法院(2015)海民初字第10634號(hào)民事判決書；北京市第一中級(jí)人民法院(2017)京01民終字第509號(hào)民事判決書。但當(dāng)存在復(fù)數(shù)信息控制者參與同一個(gè)人信息的處理活動(dòng)而發(fā)生個(gè)人信息泄露時(shí)，受害人往往無法證明哪一主體是具體加害人，此時(shí)應(yīng)當(dāng)采用共同危險(xiǎn)行為制度加以解決。(41)參見程嘯、阮神裕：《論侵害個(gè)人信息權(quán)益的民事責(zé)任》，載《人民司法》2020年第4期，第64頁。當(dāng)然，因果關(guān)系也是侵害個(gè)人信息責(zé)任中的必要構(gòu)成，應(yīng)在個(gè)案判定中予以重視。

(三)損害賠償

個(gè)人信息處理者的行為造成個(gè)人信息主體損害，應(yīng)承擔(dān)損害賠償責(zé)任。概括而言，包括停止侵害、排除妨礙、消除危險(xiǎn)、消除影響、恢復(fù)名譽(yù)、賠禮道歉等責(zé)任形式。對(duì)于停止侵害、排除妨礙、消除危險(xiǎn)等幾者不難理解，實(shí)際上在侵害知情權(quán)等一系列個(gè)人信息主體權(quán)利之時(shí)都可能會(huì)普遍適用。對(duì)于如何確定賠償數(shù)額，原則上根據(jù)《民法典》第1182條確定。在前述相關(guān)案例中，法院支持當(dāng)事人經(jīng)濟(jì)損失賠償?shù)牟辉谏贁?shù)。通常情況下，當(dāng)事人請(qǐng)求賠償經(jīng)濟(jì)損失的數(shù)額也較小，往往只有1元、2元等，(42)參見同前注〔15〕，俞某訴北京樂某達(dá)康科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案。相當(dāng)程度上具有一定象征意義。

對(duì)于消除影響、恢復(fù)名譽(yù)和賠禮道歉等非金錢賠償，2014年頒布的《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第16條有所規(guī)定。根據(jù)該條，對(duì)于侵害個(gè)人信息的非物質(zhì)性損害的賠償應(yīng)與侵權(quán)的具體方式和所造成的影響的范圍相當(dāng)。比如在2014年羅某訴某保險(xiǎn)公司隱私權(quán)糾紛案中，法院認(rèn)為，保險(xiǎn)公司侵害了羅某的隱私權(quán)，判令保險(xiǎn)公司向羅某賠禮道歉并賠償羅某精神損害撫慰金1元及相關(guān)費(fèi)用。(43)參見湖南省郴州市湖北區(qū)人民法院(2014)郴北民二初字第947號(hào)民事判決書。當(dāng)然，由于當(dāng)時(shí)關(guān)于個(gè)人信息保護(hù)的意識(shí)并不明顯，因此主要按照隱私權(quán)這一典型的人格權(quán)進(jìn)行裁判并判以精神損害賠償。而在龐某訴某航空公司案中，當(dāng)事人雖然并未證明實(shí)際受有精神損害，但卻在二審時(shí)改判支持了當(dāng)事人關(guān)于賠禮道歉這一訴訟請(qǐng)求。(44)參見同前注〔40〕。可見，在個(gè)人信息侵權(quán)案件中，對(duì)于非金錢賠償方式也具有相當(dāng)?shù)闹С挚臻g。

三、侵害個(gè)人信息處理活動(dòng)中個(gè)人權(quán)利的民事責(zé)任

個(gè)人信息屬于個(gè)人，理論上存在一個(gè)概括的、完全的權(quán)利，但是由于個(gè)人信息處理活動(dòng)的存在，就使得個(gè)人信息主體所享有的抽象的完整權(quán)利被分解成數(shù)種具體權(quán)利——涵攝全過程的知情權(quán)、決定權(quán)，以自決意志為核心而外化的查閱權(quán)、更正權(quán)、刪除權(quán)等權(quán)能。(45)參見周友軍：《民法典規(guī)定的隱私權(quán)和個(gè)人信息保護(hù)》，載《經(jīng)濟(jì)參考報(bào)》2020年8月4日第A08版。對(duì)于這些權(quán)利的保護(hù)，既仰賴公權(quán)力之管制與治理，同時(shí)亦可根據(jù)民事主體權(quán)利保護(hù)之本旨而給予救濟(jì)，兩種方式互相補(bǔ)充，相輔相成。這些權(quán)利在一定程度上可以類型化，并在類型化的基礎(chǔ)上給予不同方式的救濟(jì)。需要說明的是，侵害這些權(quán)利的民事責(zé)任與本文第二部分討論的侵害個(gè)人信息的民事責(zé)任有一定交叉，這些權(quán)利系請(qǐng)求權(quán)基礎(chǔ)，但由于這些權(quán)利被集中規(guī)定于《個(gè)人信息保護(hù)法草案》專章之中，因此有必要予以集中討論與回應(yīng)。

(一)個(gè)人信息主體的權(quán)利體系

世界范圍內(nèi)個(gè)人信息主體的權(quán)利形式上大同小異，但因各國自身社會(huì)、法律和文化等傳統(tǒng)不同，而在個(gè)別權(quán)利和實(shí)施向度上有所不同。中國當(dāng)前個(gè)人信息立法中，與GDPR相比，個(gè)人信息主體的大部分權(quán)利基本相似，只有在是否規(guī)定數(shù)據(jù)可攜權(quán)和被遺忘權(quán)等方面而有所不同。總體而言，中國法上的個(gè)人信息主體的權(quán)利體系呈現(xiàn)如下特征。

第一，“信息自決”的主線貫穿。如本文第一部分所述，中國個(gè)人信息立法脈絡(luò)中并無“信息自決”的觀念，但本次個(gè)人信息立法之時(shí)創(chuàng)設(shè)了此種觀念，并在知情同意(同意撤回)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)等方面予以貫穿體現(xiàn)。由此，在個(gè)人信息處理活動(dòng)中，但凡侵害信息自決的，則均需承擔(dān)相應(yīng)法律責(zé)任，即便是在《民法典》第1036條關(guān)于處理個(gè)人信息的免責(zé)事由方面，也對(duì)個(gè)人信息主體的同意予以強(qiáng)調(diào)，以及即便是對(duì)自然人自行公開或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕的也不得處理等。當(dāng)然中國立法并非GDPR的翻版，而是根據(jù)中國實(shí)踐發(fā)展而建立相應(yīng)信息自決觀念。

第二，作為核心權(quán)利的知情權(quán)。與上述“信息自決”觀念緊密聯(lián)系，知情權(quán)系體現(xiàn)信息自決觀念的重要基礎(chǔ)性、核心權(quán)利。只有在個(gè)人信息處理活動(dòng)中，將“知情”作為核心，才能充分保障信息自決。因此，知情權(quán)并非一個(gè)完全僅靠公法管制或?qū)€(gè)人信息處理者進(jìn)行數(shù)據(jù)治理的權(quán)利，而是充分保障信息主體個(gè)人信息權(quán)益的基礎(chǔ)。

第三，圍繞“知情”的系列權(quán)利。只有在信息自決與知情同意的基礎(chǔ)上，才能進(jìn)一步衍生出查閱權(quán)、復(fù)制權(quán)、更正權(quán)與刪除權(quán)等，這些權(quán)利并非簡(jiǎn)單的程序性權(quán)利，而是體現(xiàn)知情權(quán)與決定權(quán)等基礎(chǔ)權(quán)利的外在表現(xiàn)。在這些權(quán)利可能受到侵害之時(shí)，也應(yīng)給予充分的救濟(jì)。

(二)侵害知情權(quán)、決定權(quán)的民事責(zé)任

知情權(quán)在各類主體權(quán)益保護(hù)中都是一項(xiàng)基礎(chǔ)性權(quán)利。從知情同意的本源來看，其根本上是一種主體交往之時(shí)設(shè)定法律關(guān)系的前提與基礎(chǔ)行為，同時(shí)該行為還具有“限權(quán)與自我義務(wù)設(shè)定”之效果。(46)See Peter McCormick, Social Contract: Interpretation and Misinterpretation, 9 Canadian Journal of Political Science 63 (1976). 轉(zhuǎn)引自[美]艾瑞克·托馬斯·韋伯：《新舊社會(huì)契約論》，毛興貴譯，載《國外理論動(dòng)態(tài)》2012年第5期?！爸椤狻弊鳛橐环N行為模式，其被應(yīng)用于諸多社會(huì)關(guān)系建構(gòu)之中，涉及政治國家、醫(yī)療領(lǐng)域、消費(fèi)者保護(hù)與個(gè)人信息保護(hù)等。從正義價(jià)值維度考察，在美國消費(fèi)者法上，“選擇知情”(權(quán))被歸于程序正義之中。(47)Gretchen Larsen & Rob Lawson, Consumer Rights: An Assessment of Justice, 112 Journal of Business Ethics 515, 524 (2013).而決定權(quán)則實(shí)際上“被吸收”于知情權(quán)之中，比如在我國臺(tái)灣地區(qū)的“請(qǐng)領(lǐng)身份證捺指紋案”中明確，保障人們決定是否揭露其個(gè)人資料，及在何種范圍內(nèi)、于何時(shí)、以何種方式、向何人揭露之決定權(quán)，并保障人們對(duì)其個(gè)人資料之使用有知悉與控制權(quán)即數(shù)據(jù)記載錯(cuò)誤之更正權(quán)。(48)參見王澤鑒：《侵權(quán)行為》(第三版)，北京大學(xué)出版社2014年版，第157頁。由此可見，知情權(quán)、決定權(quán)與其后的一系列權(quán)利內(nèi)在存在聯(lián)系。對(duì)于決定權(quán)，主要吸收于知情權(quán)之中，并與之一并討論。

在個(gè)人信息保護(hù)之中，知情權(quán)是一個(gè)貫穿全程、保證后續(xù)個(gè)人信息處理行為和活動(dòng)具有正義價(jià)值的基礎(chǔ)權(quán)利。在消費(fèi)者法上，消費(fèi)者的知情權(quán)體現(xiàn)為商品或服務(wù)的標(biāo)簽“客觀化”，對(duì)侵害消費(fèi)者知情權(quán)的救濟(jì)，在已有大量案例中，通常是要求經(jīng)營者承擔(dān)合同上的義務(wù)和責(zé)任。(49)參見姚佳：《消費(fèi)者法理念與技術(shù)的重構(gòu)》，法律出版社2019年版，第84-89頁。而個(gè)人信息保護(hù)之中的知情權(quán)體現(xiàn)在同意、同意撤回以及后續(xù)的一系列權(quán)利，對(duì)于此類知情權(quán)的侵害，通常要求個(gè)人信息處理者履行一定法定義務(wù)，基本上并非通過合同義務(wù)與責(zé)任予以救濟(jì)。

從實(shí)踐來看，是否侵害“知情同意”權(quán)利較容易辨識(shí)。比如在有的案件中，用戶不在某APP上添加關(guān)注即能看到好友讀書信息，而APP自動(dòng)為用戶添加關(guān)注，此種情形顯然需要顯著提示用戶并獲得明確同意。(50)參見黃某訴某科技有限公司等隱私權(quán)、個(gè)人信息權(quán)益網(wǎng)絡(luò)侵權(quán)糾紛案，(2019)京0491民初字第16142號(hào)民事判決書。在有的案件中，用戶沒有選擇“授權(quán)”選項(xiàng)，則當(dāng)然可認(rèn)定用戶并未同意，因此后續(xù)的個(gè)人信息處理活動(dòng)就可能不具有合法性。(51)參見同前注〔15〕，俞某訴北京樂某達(dá)康科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案。從知情同意在各領(lǐng)域的發(fā)展與實(shí)踐可見，在數(shù)字經(jīng)濟(jì)時(shí)代，知情同意更具有確定性與外顯性，其也成為一個(gè)“大網(wǎng)”，使得未經(jīng)授權(quán)的個(gè)人信息處理行為基本上無法逃逸，當(dāng)然，符合《民法典》第1036條規(guī)定的行為有所例外。

對(duì)于侵害個(gè)人信息主體的知情權(quán)的民事責(zé)任，應(yīng)包括停止侵害、刪除個(gè)人信息等；如當(dāng)事人能夠證明自己受有精神損害，可請(qǐng)求侵權(quán)的個(gè)人信息處理者承擔(dān)恢復(fù)名譽(yù)、消除影響、賠禮道歉等民事責(zé)任。

(三)行使《民法典》第1037條個(gè)人信息請(qǐng)求權(quán)的限制與救濟(jì)

在“信息自決”的貫穿下，GDPR規(guī)定了個(gè)人信息主體的一系列權(quán)利，中國《民法典》和正在制定的《個(gè)人信息保護(hù)法》也規(guī)定了一系列個(gè)人信息主體的一系列權(quán)利。中國個(gè)人信息保護(hù)立法為何在吸收了立法理念與諸多規(guī)則之后，在個(gè)人信息主體權(quán)利方面卻并沒有完全借鑒？立法者的釋義書對(duì)此也有所提及，《民法典》第1037條中的刪除權(quán)并非GDPR所規(guī)定的“被遺忘權(quán)”，由于各方對(duì)歐盟的“被遺忘權(quán)”爭(zhēng)議極大，因此本法對(duì)此未作規(guī)定。(52)參見黃薇主編：《中華人民共和國民法典釋義(下)》，法律出版社2020年版，第1931頁。的確，個(gè)人信息主體的權(quán)利體系與一國法律發(fā)展脈絡(luò)緊密相關(guān)，較難在各國和各地區(qū)完全達(dá)成一致。

《民法典》第1037條規(guī)定了個(gè)人信息主體的查詢權(quán)、復(fù)制權(quán)、異議權(quán)、更正權(quán)和刪除權(quán)等，這幾種權(quán)利也分別是以人格權(quán)請(qǐng)求權(quán)的方式而出現(xiàn)，在《個(gè)人信息保護(hù)法草案》中也被進(jìn)一步細(xì)化。這幾個(gè)權(quán)利呈現(xiàn)出一定特征，即并非一次性行使的權(quán)利，可能會(huì)針對(duì)不同信息內(nèi)容而反復(fù)行使，這就可能產(chǎn)生一定價(jià)值沖突——如何既保障個(gè)人信息主體有效行使權(quán)利，同時(shí)又能實(shí)現(xiàn)與個(gè)人信息處理者之間的利益平衡。對(duì)于查詢權(quán)、(53)參見程嘯：《我國〈民法典〉個(gè)人信息保護(hù)制度的創(chuàng)新與發(fā)展》，載《財(cái)經(jīng)法學(xué)》2020年第4期，第46頁。復(fù)制權(quán)等權(quán)利，可借鑒《征信業(yè)管理?xiàng)l例》相關(guān)規(guī)定，即個(gè)人信息主體的查詢權(quán)和復(fù)制權(quán)的行使在一定程度上可以受到次數(shù)限制。而對(duì)于異議權(quán)和更正權(quán)而言，則需由個(gè)人提出相應(yīng)證據(jù)或要求予以補(bǔ)充更正。

在上述幾個(gè)權(quán)利之中，相對(duì)而言屬于一次性行使的，主要是刪除權(quán)。第1037條第2款規(guī)定，自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的,有權(quán)請(qǐng)求信息處理者及時(shí)刪除。《個(gè)人信息保護(hù)法草案(一審稿、二審稿)》進(jìn)一步規(guī)定了個(gè)人信息處理者應(yīng)主動(dòng)刪除或根據(jù)個(gè)人請(qǐng)求刪除個(gè)人信息的具體情形。

對(duì)于侵害個(gè)人信息主體的查詢權(quán)、復(fù)制權(quán)、異議權(quán)、更正權(quán)和刪除權(quán)，又將如何救濟(jì)？具體而言，對(duì)于查詢權(quán)、復(fù)制權(quán)的救濟(jì)，個(gè)人信息處理者應(yīng)基于請(qǐng)求承擔(dān)查詢、復(fù)制等行為義務(wù)；對(duì)于異議權(quán)，個(gè)人信息處理者則有義務(wù)予以更正或解釋；對(duì)于刪除權(quán)，個(gè)人信息處理者則應(yīng)停止侵害、刪除個(gè)人信息等。對(duì)于可能產(chǎn)生的經(jīng)濟(jì)損失或精神損害，則應(yīng)根據(jù)具體情況，由個(gè)人信息處理者承擔(dān)賠償責(zé)任。

四、結(jié)語

從世界范圍來看，美國、歐盟與中國對(duì)個(gè)人信息保護(hù)立法呈現(xiàn)出不同的價(jià)值選擇與立法體例選擇，著眼于突出各自的個(gè)性與特性。然而，如施瓦茨所發(fā)現(xiàn)的，實(shí)際上美國和歐盟關(guān)于個(gè)人(信息)隱私的理念也并非完全對(duì)立與沖突，德國聯(lián)邦憲法法院和德國聯(lián)邦法院在1973年和1995年的相關(guān)案件中引用了沃倫和布蘭代斯的《論隱私權(quán)》一文中的“不受干擾的權(quán)利”等內(nèi)容，歐洲人權(quán)法院也多次援引這一重要的概念。(54)Bundesgerichtshof; Budesverfassungsgericht; Von Hannover v.Germany; quoted from Paul M.Schwartz, The EU-U.S.Privacy Collision: A Turn to Institutions and Procedures, 126 Harvard Law Review 1966, 1970-1971 (2013).可見，兩大法系也在對(duì)隱私和個(gè)人信息問題的認(rèn)識(shí)上不斷實(shí)現(xiàn)溝通。同樣地，中國個(gè)人信息保護(hù)立法也在立法理念、權(quán)利體系、義務(wù)體系與法律責(zé)任上嘗試與兩大法系實(shí)現(xiàn)一定溝通與融合。

在《民法典》之后，《個(gè)人信息保護(hù)法草案(一審稿、二審稿)》不斷推出與完善之際，著眼于個(gè)人對(duì)自身信息的自決與控制，權(quán)利實(shí)現(xiàn)與救濟(jì)，是個(gè)人信息保護(hù)在現(xiàn)代之于個(gè)人人格實(shí)現(xiàn)的新的表現(xiàn)形式。當(dāng)然，本文主要聚焦于個(gè)人信息處理者的民事責(zé)任，對(duì)于個(gè)人信息處理者而言，不僅僅包括民事責(zé)任，還涉及行政責(zé)任與刑事責(zé)任。個(gè)人信息保護(hù)立法在法律責(zé)任方面，將從多維度保護(hù)個(gè)人信息，以此才能實(shí)現(xiàn)對(duì)個(gè)人信息主體的救濟(jì)。人類經(jīng)歷社會(huì)變遷之時(shí)，在不同時(shí)期需要實(shí)現(xiàn)掌控不同物質(zhì)的自由，而進(jìn)入信息社會(huì)與智能時(shí)代，人們所要追求的就是掌控信息的意志自由，這一自由也即拉德布魯赫與星野英一所言的人格的發(fā)展，毫無疑問，這種人格的發(fā)展本質(zhì)上更是一種人的發(fā)展。