孔思禎

在當前大數據爆炸式增長的時代,大數據算法、人臉識別等大數據技術已經成為了社會發(fā)展以及公眾生活的普遍需求。公眾日常生活中不管是線上瀏覽行為還是線下活動都會被捕捉,從而形成信息數據被收集、整合。例如,智能手機就是一個數據庫,每一次網頁瀏覽、每聽一首歌、每搜索一個詞以及每一處使用痕跡都會被當作個人數據加以收集。淘寶、抖音等網絡服務提供者就能通過對公眾的個人數據進行分析,進而提供精準的個性化、定制化推薦。過度收集、惡意使用等濫用個人信息現(xiàn)象的頻發(fā),給公民的隱私權、名譽權等人格權以及財產權都帶來了新的風險。甚至可以說,隨著智能手機的普及率越來越高,濫用個人信息的風險無時無刻圍繞在人們的日常生活中,導致個人信息侵權糾紛頻發(fā)。

2021年施行的《中華人民共和國民法典》(以下簡稱《民法典》)將個人信息納入人格權編。但此時并未作出具體、細化的規(guī)定,個人信息侵權仍屬于一般侵權并適用一般過錯責任原則。這其實并未充分考量到個人信息主體在專業(yè)技術等綜合條件上的欠缺,其往往無法證明信息處理主體的行為具有過錯,甚至根本不知道自己的權益已經受到侵犯,如果法院仍然嚴格按照“誰主張,誰舉證”分配舉證責任,就會難以實現(xiàn)個案的公平正義。《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)體現(xiàn)了我國個人信息民法保護的專門性、系統(tǒng)性,進一步規(guī)范個人信息收集、使用、傳輸、加工等處理活動,促進個人信息的合理使用,保護個人信息權益不受侵害。其中本法第69條第1款明確規(guī)定,個人信息處理者在處理信息時侵害個人信息權益造成損害的,采用過錯推定責任。隨著《民法典》《個人信息保護法》的施行,個人信息侵權領域的過錯推定責任如何得以精準地貫徹和實施依然是一個重大的解釋論問題。

一、個人信息侵權歸責原則的爭議問題

《個人信息保護法》通過之前,侵犯他人個人信息的案件并不屬于我國法定的特殊歸責情形,因此,原則上都應采用一般過錯責任原則,即由原告證明損害后果、侵害行為、因果關系與過錯。《個人信息保護法》頒布之后,雖然明確了我國個人信息侵權的歸責原則為過錯推定原則,但對此原則學界與實務界仍然出現(xiàn)了明顯分歧,具體表現(xiàn)為以下三種觀點:

(一)單一過錯推定原則

目前,我國在個人信息侵權領域的立法上采用單一過錯推定原則,即《個人信息保護法》第69條確定以過錯推定作為個人信息侵權民事責任的歸責原則。采用過錯推定責任確定侵害個人信息權益的侵權賠償責任,即適用舉證責任倒置規(guī)則,有利于減輕個人信息主體作為自然人的舉證負擔,這更有利于保護被侵權人的合法權益,同時對于個人信息處理者而言也沒有過于苛刻,更符合民法中公平正義的理念。

(二)單一無過錯歸責原則

個人信息侵權損害賠償不應當適用過錯責任,應統(tǒng)一采用無過錯歸責原則,同時還需要明確可免除被告責任的法定免責事由[1]。即當信息主體在個人信息權益受損提起訴訟時,無須證明被告存在過錯,被告只有存在法定免責事由的情況下,才能免除責任。同時在此基礎上,針對不同主體、不同信息處理行為的適用范圍和免責事由,還可以進一步細分作出不同的規(guī)定[2]。數字時代,計算機技術的發(fā)展使得組織、企業(yè)或個人之間通過數據交換實現(xiàn)自身利益的最大化,因此,個人信息處理者對個人信息的二次或者多次利用往往難以規(guī)制。采用無過錯歸責原則,一方面解決了實踐中難以證明侵害人過錯的難題,另一方面,也對個人信息權益加以最大保護。

(三)多元歸責體系

在個人信息處理領域,由于信息網絡技術的更新和發(fā)展,個人信息和處理主體的類型均具有多樣性,當個人信息遭受侵害并產生損害后果時,應當對個人信息和處理主體進行類型化細分,分別確定其相應的歸責原則[3]。大數據技術的應用加劇了個人與信息處理者在舉證和訴訟能力上的差距,單一的歸責原則不足以解決大數據時代下的各類個人信息侵權行為。由于技術、知識等綜合因素差別,如果一概由受害人承擔過錯證明責任,必然不利于對各類信息主體合法權益的保護。應當根據不同的責任主體適用不同的歸責原則,減輕受害者的訴訟負擔,也能夠更好地平衡訴訟雙方的訴訟能力。

此外,采用何種標準對侵權主體進行分類目前學界還存在爭議。有學者根據是否采用數據自動處理技術對侵權主體進行分類,分為采用數據自動處理技術的國家機關、采用數據自動處理技術的非國家機關以及未采用數據自動處理技術的其他數據處理者,并且分別適用無過錯責任、過錯推定責任以及一般過錯原則[4]。此種分類方式與德國2018年頒布的《聯(lián)邦數據保護法》具有相似性,即對自動化數據處理者和非自動化數據處理者分別適用無過錯責任、過錯推定責任。同時,由于國家機關是我國目前最大的信息數據控制者和管理者,部分學者認為應當區(qū)分個人信息處理者是國家機關還是非國家機關,并分別適用無過錯責任和過錯推定責任[5]。

二、個人信息侵權過錯推定原則的合理性

(一)理論基礎

在《個人信息保護法》立法過程中,過錯推定原則的適用經過多次爭論和修改。為進一步推進《個人信息保護法》的全面實施,需要厘清個人信息侵權適用過錯推定原則的理論基礎,進一步才能明確過錯推定原則在個人信息侵權領域的適用路徑。

一方面,個人信息侵權適用過錯推定原則的正當性基礎在于平衡個人信息侵權當事人雙方的訴訟能力?？紤]到個人信息處理者和自然人地位不對等,信息主體相較于個人信息處理者處于弱勢地位,采用過錯推定原則更有利于保護信息主體的合法權益[6]。信息主體往往是自然人,而個人信息處理者往往是掌握計算機自動化技術、數據交換技術的組織或企業(yè),雙方在信息、技術、資金等方面的能力存在較大的差距,加之信息處理活動往往具有專業(yè)性和技術性,信息主體作為原告難以提出證據證明被告在信息處理過程中存在不當甚至違法行為。因此,采用過錯推定原則,實行舉證責任倒置,不再要求原告對被告的過錯承擔證明責任,是縮小了個人信息侵權訴訟主體雙方在舉證能力的差距,平衡了雙方的訴訟能力。

另一方面,個人信息侵權適用過錯推定原則的實質性基礎在于個人信息處理者負有先前處理行為引起的法定作為義務,先前行為作為產生法定作為義務的正當事由,也是追究特定義務人承擔不作為責任的重要依據[7]。在個人信息處理者具有法定義務的前提下,一是可以通過明確被告未履行法定作為義務推定其有過錯,二是被告對自己是否履行了法定作為義務承擔證明責任。也就是說,依照《個人信息保護法》的相關規(guī)定推定侵害人有過錯,當其不能證明自己已經履行了法定義務,不能證明自己沒有過錯,就應當承擔侵權責任。從這種角度來看,個人信息處理者對自己的信息處理行為是否符合法律規(guī)定以及是否履行了法定作為義務承擔證明責任,也就是對自己是否有過錯承擔證明責任,這也就構成了適用過錯推定責任的實質性基礎。

(二)對比優(yōu)勢

學界主流觀點認為個人信息侵權不應適用一般過錯責任,而是應當作為一種特殊的侵權行為對其適用特殊的歸責原則,而到底適用何種特殊歸責原則仍然爭論不休。關于侵害個人信息權益賠償責任的歸責原則的諸多觀點各有優(yōu)缺點,總體上來說《個人信息保護法》所采取的過錯推定責任更為妥當,也更具有優(yōu)勢。

首先,針對個人信息侵權統(tǒng)一適用無過錯歸責原則,在對個人信息加以更嚴格保護的同時,也是過度約束了個人、企業(yè)以及政府機關處理個人信息的行為。在大數據技術能給社會發(fā)展以及個人生活帶來巨大便利的情況下,影響了個人信息在大數據技術的整合分析下產生的經濟效益。例如,在歷史上歐盟個人信息保護立法是采用的嚴格責任,但考慮嚴格責任的局限和適應社會發(fā)展對數據流通的需要,2018年5月25日頒布的《通用數據保護條例》(以下簡稱GDPR)轉向過錯推定原則。

其次,針對多元歸責體系,目前學界主流的兩種侵權主體的分類方法和歸責原則的適用均存在一定的不妥當性。第一種,根據是否采用數據自動處理技術對侵權主體進行分類,在目前數字時代的背景下缺乏實際意義。個人信息保護法也是為了應對大數據技術逐步成熟給個人信息帶來的風險下應運而生的,并且如今處理活動基本上都是通過計算機自動化技術進行的。第二種,將侵權主體分為國家機關和非國家機關,并對國家機關適用更嚴格的無過錯責任,極大程度上影響了國家機關利用個人信息管理社會公共事務。雖然考慮到國家機關對于信息主體來說雙方的地位和能力差距懸殊,若是國家機關處理個人信息的行為對信息主體造成的傷害往往是更加嚴重和惡劣的,但是不一定是需要以承擔無過錯責任的方式來規(guī)制。例如,信息主體遭受侵害時,還可以通過請求國家賠償的方式彌補損害。根據侵權主體、個人信息主體的不同和個人信息敏感度的不同,進行類型化區(qū)分,分別適用不同的特殊歸責原則,雖然是能夠選擇最利于個案信息主體的歸責原則,但是類型過于復雜繁多使得在實踐上缺乏可操作性。

最后,相較于以上兩種歸責原則,在個人信息侵權領域適用過錯推定原則更具有優(yōu)勢,更加符合公眾和社會對個人信息保護的期待。過錯推定原則要求適用舉證責任倒置規(guī)則,即在法律對個人信息保護有特別規(guī)定的情況下,以客觀存在的損害事實為基礎,推定信息處理者的行為具有過錯并承擔其沒有過錯的舉證責任。并且,在個人信息能夠帶來巨大的社會效益和經濟效益的前提下,過輕保護無法解決個人信息侵權泛濫的社會現(xiàn)象,過度保護又不利于信息間的自由交換和利用,進而妨害數字時代互聯(lián)網科技和社會經濟的發(fā)展。

三、個人信息侵權過錯推定原則的適用范圍

綜上所述,個人信息侵權適用過錯推定原則具有一定的理論基礎和優(yōu)勢,通過解釋論方法,仍需要進一步明確過錯推定原則在個人信息侵權領域的具體適用范圍。并不是在任何條件下進行了個人信息處理活動的主體,都需要承擔過錯推定責任。

(一)適用主體

《個人信息保護法》主要規(guī)制的是個人信息處理者對信息收集、傳輸、修改、儲存等處理活動。在這一點上,我國一定程度的借鑒了歐盟的相關規(guī)定,GDPR在對侵害個人信息的主體的界定時規(guī)定了“信息控制者”與“信息處理者”兩種。

根據《個人信息保護法》,“個人信息處理者”造成侵權時承擔過錯推定責任,并且在第73條中將個人信息處理者模糊定義為在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。因此,可以將侵權主體分為個人信息處理者和非個人信息處理者,即個人信息處理者適用上述規(guī)定,而非個人信息處理者應當適用《民法典》第1165條第1款的過錯責任原則[8]。

(二)適用條件

根據《個人信息保護法》個人信息處理者承擔侵權責任包括以下兩個條件,一是其行為對他人個人信息權益造成了侵害并產生損害結果;二是需要證明自己的行為沒有過錯。而關于這一點仍有進一步解讀的空間,個人信息處理者過錯的判斷標準上,什么情況下是有過錯,什么情況下沒有過錯,還需要進一步釋明。

個人信息處理者對信息的處理行為可以簡單分為合法處理行為和非法處理行為兩種。此種分類下,非法處理行為顯然表明個人信息處理者違反了相關的法定義務,可以直接推定其處理行為存在過錯,并且承擔相應的證明責任。因此,應當將《個人信息保護法》《民法典》等相關法律規(guī)定的個人信息處理者法定義務和職責作為標準,來判斷個人信息處理者是否存在過錯。即個人信息處理者違反了上述義務則推定為有過錯,如果個人信息處理者的行為符合上訴法定義務的規(guī)定則推定為沒有過錯。這種判斷標準,一方面對訴訟主體雙方的利益衡量更加公平,另一方面使得企業(yè)、組織、國家機關等個人信息處理者履行法定義務有著更嚴格的要求,有利于協(xié)調個人信息保護和合理利用的沖突。

四、結語

通過對學界不同觀點進行梳理和分析,將過錯推定責任作為個人信息侵權糾紛的歸責原則,一定程度上加重了個人信息處理者作為侵權人的證明責任,嚴格規(guī)范了個人信息處理者的行為,體現(xiàn)了我國對個人信息民法保護的立法上兼顧個人信息保護和流通的價值取向。為加強對個人信息的保護,同時保護個人信息的合理流通和利用,對個人信息處理者適用過錯推定原則具有正當性和優(yōu)勢。今后,仍需要在《民法典》《個人信息保護法》的框架下,通過解釋論方法對過錯推定原則的適用范圍及相關概念進行釋明,使得個人信息侵權過錯推定原則在實踐中更好的發(fā)揮作用。