李啟佳

一、信息化時代個人信息侵權(quán)責任問題概述

(一)個人信息的概念

《中華人民共和國民法典》(以下簡稱《民法典》)明確地規(guī)定了個人信息的概念①《民法典》第1034 條:個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱地址、行蹤信息等。及類型。 其中一般信息是指已經(jīng)被公開的信息。 隨著時代的變遷，公民個人信息的收集成了促進商業(yè)發(fā)展的重要因素。 對于銷售者來說，他們可以通過便利的技術(shù)，非常精準地滿足消費者的需求以獲得更高的經(jīng)濟效益。 但是個人信息作為一種權(quán)益而存在，信息利用者雖然可以通過各種高精準的方式獲取到公民的個人信息，但是其要獲取信息時必須征得公民個人的同意。 未經(jīng)權(quán)利人同意，不得使用其信息。

(二)個人信息的特征

公民個人信息的首要特征是可識別性，即可以單獨或者結(jié)合其他的信息被識別。 這里對于可識別性，學者們有著不同的看法，比如王利民教授認為，只要具備公民的個人信息可以被信息利用者直接或者間接被識別的可能性就可以[1]。 而范偉教授則進一步提出在 “可識別性” 之外需考慮關(guān)聯(lián)性因素。 個人信息 “關(guān)聯(lián)性” 表明從已知的 “某個特定個人” ，進一步知曉該個人其他信息[2]。 筆者認為，只有公民的個人信息通過直接或者間接方式被識別以后，存在外界因素的介入，并且個人權(quán)益受到損害以后，才可以被視為個人信息受到了侵犯。 公民個人信息的第二個特征是關(guān)聯(lián)性，即信息利用者可以通過其所收集到的公民的部分個人信息，從而能夠獲取到其他的信息，進而具體到某個特定的信息擁有者。 只有信息被識別以后可以具體到人，才可以被視為是公民的個人信息，才可以判斷信息利用者的行為是否侵害了民事主體的個人信息權(quán)益，才能追究侵權(quán)人的侵權(quán)責任。

(三)個人信息的法律屬性

關(guān)于公民個人信息的法律性質(zhì)有著不同的觀點，第一種觀點是 “民事權(quán)利說”[3]，第二種觀點是 “民事權(quán)益說”[4]，第三種觀點是 “公法權(quán)力說”[5]。通過上述觀點可以看到，第一種觀點和第二種觀點認為個人信息的法律屬性在民法的范圍內(nèi)，第三種觀點則是站在公法的立場上，認為個人信息的法律屬性不屬于民法范圍。 這三種觀點的共性在于，都認為公民的個人信息權(quán)的行使仍然要受到一定的限制[6]。 民事主體對于其個人信息享有支配性，但是也會受到排他性的約束，只有當民事主體的權(quán)益受到外界的介入進而受到損害以后才能發(fā)揮其價值， “信息” 具有流通性，個人信息作為利益的聚合體，隱藏于個人信息中的價值流通性是個人信息不完全專屬特征的有力支撐。 如果一味地強調(diào)其獨有的排他性，那么信息的流通性的價值將會受到影響。

二、個人信息侵權(quán)責任構(gòu)成要件的展開

(一)個人信息違法侵權(quán)行為

在生物技術(shù)高度發(fā)展的21 世紀，公民的很多個人信息通過一些技術(shù)手段就可以獲得。 個人信息侵權(quán)行為的類型中，第一類是未經(jīng)公民個人的同意，通過不正當手段收集公民的個人信息。 原因在于通過正當?shù)耐緩?，信息收集者將會花費大量的成本和精力。 第二類是大部分的消費者缺乏必要的保護意識，人們習慣于享受社會生活的便利性，而對于保護自己的個人信息的意識較薄弱。 第三類是公民的個人信息被不當管理。 這種情況主要是信息管理者的管理系統(tǒng)存在漏洞，即使商家征得了消費者的同意，合法地收集了公民的個人信息，但是由于其管理系統(tǒng)存在漏洞，致使收集到的信息沒有被妥善地保存，以至于出現(xiàn)泄露等情況。

(二)個人侵權(quán)行為所造成的損害后果

個人信息侵權(quán)損害事實包括財產(chǎn)損害與精神損害。 財產(chǎn)所造成的損失是明確的，可以具體化的損失類型。 例如受害人受到電信詐騙，遭受到了具體的金錢方面的損失。 而精神損害是一種無法用實物進行評估的損害。 例如，由于公民遭受到了電信詐騙，導致自己無法維持正常的生活，由此產(chǎn)生精神上的壓力、心理問題等[7]。 《民法典》規(guī)定，只有行為人的行為對公民產(chǎn)生嚴重的精神損害時，才能要求進行精神損害賠償。 然而，對于精神損害的認定標準也有很大的爭議，如果降低標準將會出現(xiàn)大量的精神損害賠償?shù)脑V訟問題。 這對于有效地解決糾紛是非常不利的。

(三)個人信息侵權(quán)行為和侵害結(jié)果之間具有因果關(guān)系

在侵權(quán)責任制度中，存在兩個基本的構(gòu)成要件，即侵權(quán)行為與損害結(jié)果，只有這兩個環(huán)節(jié)具有引起與被引起的關(guān)系時，才能追究侵權(quán)人的侵權(quán)責任。 由于個人信息侵權(quán)行為可能發(fā)生在多個主體與環(huán)節(jié)之間，導致個人信息侵權(quán)中的因果關(guān)系也存在多種形態(tài)。 一條個人信息遭到泄露，人們往往不知道泄露源頭在哪里，期間有多少人對于該個人信息進行了不正當?shù)馁I賣。 在司法實踐中需要考慮的問題是，如何認定各個主體之間的責任，以及各個主體之間如何承擔責任。 這就需要結(jié)合具體的案情去判斷侵權(quán)主體，以及損害賠償責任。 筆者認為，可以承認侵權(quán)行為與損害后果之間的聯(lián)系的，只要能夠證明侵權(quán)行為和損害后果之間存在 “原因力” ，就可以認定侵權(quán)行為與損害后果之間存在因果關(guān)系。 因為公民的個人信息侵權(quán)存在多種因果關(guān)系的類型，如果僅承認直接的必要的聯(lián)系，那么多因一果情況下的因果關(guān)系是很難得到認定的，在實踐中可以通過判斷 “原因力” 的大小來判斷具體的侵權(quán)主體所要承擔的侵權(quán)責任。

(四)侵權(quán)行為人存在過錯

在侵權(quán)責任中，過錯下的侵權(quán)責任可以分為一般的過錯侵權(quán)責任和過錯推定的侵權(quán)責任，其中過錯推定侵權(quán)責任只有在法律明文規(guī)定的情況下才適用。 在《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)頒布之前，對于個人信息的侵權(quán)責任適用的是一般的過錯侵權(quán)責任，也即在這種侵權(quán)形態(tài)下，權(quán)利受到侵害的人需要舉證證明自己的個人信息權(quán)益受到了侵害，并且自己因為侵權(quán)行為遭受到了損失。 但是由于信息侵權(quán)往往具有高科技屬性，被侵權(quán)人很難有明確的證據(jù)證明自己受到了侵害，由此《個人信息保護法》對于個人信息實行了過錯推定責任，個人信息處理者需要舉證證明自己對于其所收集的個人信息盡到了充分的義務(wù)，否則就要承擔侵權(quán)責任。 這對于更好地維護公民個人信息起到了重要的作用。

三、我國個人侵權(quán)制度中的不足

(一)個人信息侵權(quán)損害認定困難

損害是行為人承擔侵權(quán)責任的前提條件。 在個人信息侵權(quán)過程中，侵權(quán)損害的認定存在著很大的困難。 由此不同的法院對于處理個人信息侵權(quán)事實的認定的看法是不同的，有的法院認為，只有原告舉證證明的實際損失才屬于侵權(quán)損害賠償?shù)木葷秶?；也有法院認為，如果公民的個人信息被征得同意的信息利用者之外的第三人知曉并利用的話，也可主張損害賠償。 由此需要考慮的問題是，如果損害認定標準過于寬泛，那么將導致有大量的個人信息侵權(quán)案件，加大法院的壓力。 相反，如果損害認定標準界定過于狹窄，則結(jié)果可能有大量的主體的權(quán)益沒有辦法得到應(yīng)有的賠償。 還需要注意的問題是，現(xiàn)在信息化的方式越來越新穎，將會出現(xiàn)現(xiàn)在的個人侵權(quán)行為會對未來產(chǎn)生影響，對于這種將來會發(fā)生損害的侵權(quán)事實如何承擔舉證責任也是一個值得考量的因素。

(二)個人侵權(quán)責任承擔方式的欠缺

《個人信息保護法》雖然規(guī)定了當信息利用者侵犯了他人的個人信息權(quán)益的時候需要承擔財產(chǎn)賠償責任，對于是否有其他的責任承擔方式卻并沒有明確的規(guī)定。 由于個人信息侵權(quán)不同于一般的侵權(quán)，有些責任承擔方式是無意義的，例如恢復原狀或者返還財產(chǎn)。 因為一旦公民的個人信息受到侵犯，那么信息頃刻之間就會被他人所知曉或者利用。 返還財產(chǎn)或恢復原狀基本是無意義的。 再者，對于公民個人信息侵權(quán)來說，一旦信息遭到泄露，即使及時獲得了有效的補救，也不能完全消除其帶來的影響。

(三)損害賠償?shù)臄?shù)額較低

個人信息，由于是個體的信息受到了侵犯，其所能獲得的賠償?shù)臄?shù)額較低。 這表明，侵權(quán)人可以通過較小的代價獲取到公民的個人信息，以此獲取巨額利潤。 一旦侵權(quán)案件發(fā)生，那么侵權(quán)者所承擔的賠償數(shù)額并不高，侵權(quán)者仍然是獲利的。 那么侵權(quán)行為也就無法從根源上得到遏制。 在現(xiàn)行的侵權(quán)制度中，被侵權(quán)人的權(quán)利無法得到充分的救濟。因此，有必要考慮建立完善的事前預防和事后救濟的侵權(quán)責任體系。

四、完善我國個人信息侵權(quán)責任制度的建議

(一)明確個人信息侵權(quán)中損害的認定標準

《個人信息保護法》規(guī)定了個人信息必須要在遭受到損害以后才可以尋求救濟，但并未對損害認定做出明確規(guī)定。 因此，應(yīng)當對個人信息侵權(quán)中 “損害” 行為進行深入探究，并且有必要考慮個人信息的特殊性。 例如不同的類型下所造成損害的特殊性，以此來判斷侵權(quán)行為是否給信息擁有者造成了損害。 《民法典》將公民的個人信息分為一般信息和隱私信息[8]，同時也對侵犯公民隱私信息的行為做出了具體的規(guī)定。 由此在發(fā)生個人信息侵權(quán)行為時，要具體地判斷其屬于公民個人信息的一般信息還是屬于隱私信息。 如果兩者中的隱私信息被侵犯，那么應(yīng)當優(yōu)先使用有關(guān)隱私權(quán)保護的法律規(guī)定。 因為公民個人的隱私信息涉及公民的個人尊嚴和私人生活安寧，其受保護的程度應(yīng)當最高。同時，可以考慮將由個人侵權(quán)所造成的風險歸入損害的范圍[9]，以加大對于個人受到侵權(quán)的救濟力度，減少個人信息侵權(quán)的舉證責任的認定標準中的確定性和客觀性的程度，更好地救濟當事人。

(二)健全個人信息侵權(quán)的司法救濟途徑

個人信息侵權(quán)，因為涉及數(shù)據(jù)庫龐大，侵權(quán)人在實施個人侵權(quán)行為時，所侵害的不單是被侵權(quán)人個人的權(quán)益，在很大程度上也會侵犯到社會的公共秩序，導致信息的流通價值受到毀損。 由此，在這種大規(guī)模的個人侵權(quán)案件發(fā)生以后，由于主體龐雜，可以由國家機關(guān)，例如檢察院或者電信網(wǎng)絡(luò)的有關(guān)組織代表被侵權(quán)的主體提起訴訟，以此來維護被侵權(quán)人的利益。 有關(guān)組織在提起公益訴訟時，應(yīng)當充分聽取被侵權(quán)人的相關(guān)意見。 在訴訟完成以后，可以設(shè)置專門的賬戶，向被侵權(quán)人進行公告或公示，統(tǒng)一根據(jù)具體情況來發(fā)放損害賠償金。 同時也應(yīng)加強對個人信息的監(jiān)管，加大各方主體對于個人信息侵權(quán)的監(jiān)管。

五、完善個人信息侵權(quán)損害賠償標準

首先，《個人信息保護法》對于公民的個人信息的處理者的義務(wù)以及侵權(quán)損害賠償?shù)囊?guī)則做出了明確的規(guī)定，推進了我國個人信息保護體系化的進程。 但是其所規(guī)定的承擔損害賠償責任的主體是非常有限的，因為其只能適用于信息處理者，其他的主體侵權(quán)則不屬于規(guī)定范圍。 筆者認為，可以將信息處理的內(nèi)涵進行延展，以便于更好地救濟民事主體的權(quán)利。

其次，為了有效地解決在司法實踐中所出現(xiàn)的個人信息的擁有者所遭受到的損失無法得到明確的補償數(shù)額，且被侵權(quán)人通過不正當?shù)姆绞教幚韨€人信息所獲得的利潤也無法明確的情況下出現(xiàn)的問題。 由法院根據(jù)被侵權(quán)的信息屬于一般信息還是私密信息來酌情確定賠償?shù)臄?shù)額。 同時，也需要對酌情有一個比較明確的標準，例如根據(jù)信息的不同類型，還有侵權(quán)人的主觀的心理狀態(tài)，以及對被侵權(quán)人所帶來的風險的大小等因素來綜合判斷。最后，還應(yīng)該加強對其事前的預防與控制，加大監(jiān)管力度以及懲治的力度，以便于構(gòu)建更加合理和完善的個人信息侵權(quán)的救濟體系。

六、結(jié)語

近年來，個人信息侵權(quán)的案件層出不窮，人們在享受了科技所帶來的巨大的便利的同時，個人信息在不同程度上也遭受到了不同程度的侵犯。 這成為學界廣泛討論的熱點。 本文通過對個人信息的概念進行界定，對個人信息的法律屬性進行梳理，以及對于個人信息侵權(quán)責任的構(gòu)成要件進行具體分析以后，針對個人信息侵權(quán)責任制度的不足提出了具體的建議，例如考慮風險的因素，酌情確定損害賠償數(shù)額等，以達到發(fā)揮事前預防和事后救濟的雙重功能，更好地保護民事主體的權(quán)益。