范肇宇

(上海市浦東新區(qū)人民法院,上海 201299)

近年來(lái),隨著網(wǎng)絡(luò)信息產(chǎn)業(yè)的迅猛發(fā)展,個(gè)人信息面臨更大被侵害的風(fēng)險(xiǎn),被侵害的形式相較傳統(tǒng)侵權(quán)更為多樣也更為隱蔽。 正是在這一背景下,《個(gè)人信息保護(hù)法》于2021 年11 月1 日正式施行,其明確了不得過(guò)度收集個(gè)人信息、大數(shù)據(jù)殺熟、濫用人臉識(shí)別技術(shù)等,開(kāi)啟了個(gè)人信息私權(quán)保護(hù)的新時(shí)代。 隨著公民法律意識(shí)的增強(qiáng),社會(huì)公眾對(duì)個(gè)人信息侵權(quán)行為的救濟(jì)訴求顯著提高,民事法律實(shí)務(wù)中個(gè)人信息侵權(quán)案件數(shù)量逐步增多,因此《個(gè)人信息保護(hù)法》的出臺(tái),對(duì)個(gè)人信息侵權(quán)責(zé)任的認(rèn)定有新的指引及重要的參考意義。

一、個(gè)人信息內(nèi)涵的明確

《民法典》對(duì)于個(gè)人信息的內(nèi)涵進(jìn)行了明確,并將傳統(tǒng)民法上的隱私權(quán)與個(gè)人信息權(quán)相區(qū)別,做了一般個(gè)人信息、公開(kāi)信息、私密信息的分類,以定義加列舉的形式進(jìn)一步明確了我國(guó)法律體系語(yǔ)境下個(gè)人信息的法律內(nèi)涵。 在具備“可識(shí)別性”的基礎(chǔ)上,隨著網(wǎng)絡(luò)科技的發(fā)展,個(gè)人信息所囊括的具體范圍會(huì)出現(xiàn)一定程度的變化,可以預(yù)見(jiàn),法律意義上個(gè)人信息的類別與表現(xiàn)形式會(huì)隨之發(fā)展、變化。

從《個(gè)人信息保護(hù)法》的措辭可知,立法者傾向于將個(gè)人信息作為一種民事權(quán)益加以保護(hù),即將之稱為“個(gè)人信息的保護(hù)”而非一種權(quán)利的保護(hù),從立法機(jī)關(guān)未將個(gè)人信息權(quán)列為民事權(quán)利之一寫(xiě)入《民法典》可為之佐證。 筆者認(rèn)為,雖然目前理論界對(duì)個(gè)人信息是民事權(quán)益還是民事權(quán)利尚有爭(zhēng)論,但是不影響個(gè)人信息在權(quán)利本質(zhì)上接近于具體的人格權(quán),同隱私權(quán)、肖像權(quán)一樣,是一種獨(dú)立的、需要法律、社會(huì)保護(hù)的人格權(quán)[1]。

二、個(gè)人信息侵權(quán)責(zé)任構(gòu)成要件

(一)侵權(quán)行為

《民法典》規(guī)定,處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則。 合法原則的主要內(nèi)容包括信息處理者需在法律法規(guī)的框架下對(duì)信息進(jìn)行處理。 合法原則既包括了法律、行政法規(guī)的禁止性規(guī)范,也包括公共秩序和善良風(fēng)俗等社會(huì)觀念[2]。 《個(gè)人信息保護(hù)法》對(duì)“處理”給出更為明晰的定義,對(duì)于法條中列舉的使用、公開(kāi)等行為必須符合正當(dāng)性和必要性原則,不得濫用處理行為。

《個(gè)人信息保護(hù)法》對(duì)信息的處理原則進(jìn)行相應(yīng)歸納,包括合法與必要原則、誠(chéng)信原則、正當(dāng)性原則、公開(kāi)透明原則等,需要重點(diǎn)解讀的是第七條規(guī)定的公開(kāi)透明原則,這是當(dāng)前實(shí)踐中個(gè)人信息侵權(quán)案件中最為突出的問(wèn)題之一。 當(dāng)前實(shí)踐中運(yùn)營(yíng)商特別是網(wǎng)絡(luò)平臺(tái)掌握大量的客戶個(gè)人信息資源,多數(shù)個(gè)人信息侵權(quán)事件大多違反了公開(kāi)透明原則,在未獲得相關(guān)法律法規(guī)授權(quán)以及用戶本人同意的情況下,就擅自對(duì)外提供或披露用戶的個(gè)人信息,導(dǎo)致個(gè)人信息遭到濫用,且在侵權(quán)過(guò)程中,往往還伴隨著其他違法行為,如利用網(wǎng)絡(luò)木馬、釣魚(yú)網(wǎng)站等形式非法獲取甚至竊取用戶信息予以傳播,此種情況下用戶甚至很難察覺(jué)其權(quán)益已遭受損害。

關(guān)于行為模式,個(gè)人信息侵權(quán)行為一般分為積極的侵權(quán)行為和消極的不作為侵權(quán),法條中列舉的各種行為方式多為積極的個(gè)人信息侵權(quán)行為。 與之相對(duì),在實(shí)踐中存在超時(shí)持有信息主體的個(gè)人信息、不履行信息主體要求刪除信息的請(qǐng)求等行為,則是典型的消極的不作為侵權(quán)行為。

(二)損害后果

從狹義上來(lái)說(shuō),個(gè)人信息侵權(quán)的損害后果是指侵權(quán)人的某種侵權(quán)行為已經(jīng)對(duì)信息主體的權(quán)利造成了某種實(shí)質(zhì)性的侵害,有實(shí)際損害后果的發(fā)生;從廣義上來(lái)說(shuō),不需要實(shí)際發(fā)生損害結(jié)果,只要對(duì)信息主體的信息權(quán)利存在妨害、障礙、威脅,就能囊括在個(gè)人信息侵權(quán)的損害后果中。 《個(gè)人信息保護(hù)法》第四十八條和第五十條規(guī)定了個(gè)人的“解釋說(shuō)明權(quán)”,即被侵權(quán)人可以要求個(gè)人信息處理者對(duì)處理信息的行為要求釋明,即使尚未發(fā)生實(shí)際的損害或僅僅存在風(fēng)險(xiǎn)。 若個(gè)人信息處理者拒絕請(qǐng)求的,個(gè)人可以依法向人民法院提起訴訟。 故從以上條文的設(shè)立來(lái)看,立法者將個(gè)人信息侵權(quán)的損害后果做了擴(kuò)大化解釋,如果個(gè)人信息處理者沒(méi)有依法對(duì)個(gè)人提起的疑問(wèn)進(jìn)行合理的解釋說(shuō)明,個(gè)人即可依法向法院提起訴訟。 故從立法精神出發(fā),筆者認(rèn)為,對(duì)于個(gè)人信息侵權(quán)損害后果的認(rèn)定可以做寬泛化的解釋,而不僅僅認(rèn)定實(shí)質(zhì)性的財(cái)產(chǎn)損害。

從司法實(shí)踐看,與實(shí)質(zhì)性財(cái)產(chǎn)損害相對(duì)的即是抽象化的精神損害,該程度化要件的判斷依據(jù)一般都需要法官的自由裁量來(lái)具體把握。 我國(guó)在侵權(quán)案件中適用精神損害賠償較為保守,個(gè)人在舉證環(huán)節(jié)存在一定的難度。 筆者認(rèn)為,在當(dāng)前信息網(wǎng)絡(luò)平臺(tái)迅猛發(fā)展的社會(huì)背景下,侵犯?jìng)€(gè)人信息的行為違法成本較低,相關(guān)社會(huì)輿情層出不窮,也正是基于此背景,《個(gè)人信息保護(hù)法》才應(yīng)運(yùn)而生。 故過(guò)于保守的認(rèn)定規(guī)則不僅會(huì)給予個(gè)人信息侵權(quán)者僥幸心理令其繼續(xù)肆意侵權(quán),也不利于引導(dǎo)社會(huì)公眾規(guī)范使用網(wǎng)絡(luò)媒介,因此在損害后果及精神損害程度方面應(yīng)以較為寬松的標(biāo)準(zhǔn)進(jìn)行認(rèn)定為宜。

(三)因果關(guān)系

因果關(guān)系是構(gòu)成過(guò)錯(cuò)侵權(quán)責(zé)任的重要因素之一,相較于條件說(shuō),因果關(guān)系說(shuō)對(duì)個(gè)人信息侵權(quán)行為的認(rèn)定更為合理,因?yàn)閭€(gè)人信息侵權(quán)行為通常還伴隨有精神損害,有學(xué)者稱其為“違法行為的社會(huì)化特點(diǎn)”[3]。從個(gè)人信息侵權(quán)行為的特點(diǎn)來(lái)看,適用相當(dāng)因果關(guān)系學(xué)說(shuō)對(duì)于存在多責(zé)任主體、多侵權(quán)環(huán)節(jié)的侵權(quán)形態(tài)的判定更具有適用性及合理性,如果未經(jīng)同意,信息處理者因不當(dāng)處理個(gè)人信息,導(dǎo)致他人精神利益遭受損失,這種條件就具有相當(dāng)性,可以認(rèn)定侵權(quán)行為和損害后果間存在法律上的因果關(guān)系。 從現(xiàn)實(shí)的實(shí)踐角度出發(fā),由于個(gè)體對(duì)“相當(dāng)性”在個(gè)案中的判斷標(biāo)準(zhǔn)難以統(tǒng)一,在個(gè)人信息侵權(quán)案件的處理中適用相當(dāng)因果關(guān)系說(shuō)同樣也有其不足之處,例如較為依賴于法官的自由心證、法官自由裁量權(quán)過(guò)大、容易引起“同案不同判”等問(wèn)題,這些問(wèn)題可能需要依賴于后續(xù)的司法解釋或?qū)徟兄笇?dǎo)來(lái)予以完善。

《個(gè)人信息保護(hù)法》以作為和不作為兩種形式正反向規(guī)范了信息處理者的處理義務(wù),降低了因果關(guān)系認(rèn)定的難度。 例如該法第五十一條規(guī)定了個(gè)人信息處理者應(yīng)當(dāng)采取相應(yīng)措施確保個(gè)人信息的安全管理及使用;第五十四條規(guī)定了個(gè)人信息處理者應(yīng)定期進(jìn)行合規(guī)審計(jì);第五十五條、五十六條規(guī)定了個(gè)人信息處理者事前進(jìn)行評(píng)估工作的相關(guān)要求;第五十七條規(guī)定了事后的立即補(bǔ)救原則及通知義務(wù)。 以上條文從事前、事中、事后的不同時(shí)間節(jié)點(diǎn)對(duì)個(gè)人信息處理者的義務(wù)作了詳細(xì)的要求,在立法環(huán)節(jié)上最大程度減輕了實(shí)踐中因果關(guān)系認(rèn)定的難度,具有相當(dāng)?shù)那罢靶院涂刹僮餍浴?/p>

(四)主觀方面

法學(xué)家耶林曾對(duì)過(guò)錯(cuò)有過(guò)如下陳述:“并非損害而是過(guò)錯(cuò)使侵權(quán)行為人負(fù)有損害賠償?shù)牧x務(wù)?！惫市袨槿耸欠窬哂兄饔^過(guò)錯(cuò)是一般侵權(quán)責(zé)任的構(gòu)成要件之一,而主觀過(guò)錯(cuò)一般分為故意和過(guò)失兩種形態(tài)。

故意分為直接故意及間接故意,在個(gè)人信息侵權(quán)案件中,大部分的侵權(quán)行為都是個(gè)人信息處理者在抱有直接故意的心理狀態(tài)下實(shí)施的,例如法條中列舉的濫用、公開(kāi)、刪除等行為,這些多以“作為”形式所表現(xiàn)出來(lái)的侵權(quán)行為可以歸類于直接故意的情形。 間接故意則是行為人對(duì)于危害結(jié)果持放任的心態(tài),例如在實(shí)踐中的網(wǎng)絡(luò)平臺(tái)管理者在明知用戶個(gè)人信息存在暴露或被他人非法使用的風(fēng)險(xiǎn)但放任不管;或是個(gè)人信息主體在得知自己的個(gè)人信息遭到侵權(quán),要求平臺(tái)主體刪除或修改個(gè)人信息,而平臺(tái)管理者疏于行使職責(zé)的行為。

關(guān)于過(guò)失的認(rèn)定,在個(gè)人信息侵權(quán)的領(lǐng)域中有其特殊性。 筆者認(rèn)為,在實(shí)踐中應(yīng)當(dāng)采取“一般普通人”的認(rèn)知和行為能力作為判斷的標(biāo)準(zhǔn),在大陸法系國(guó)家,有學(xué)者將其稱為善良管理人標(biāo)準(zhǔn)。 即判斷個(gè)人信息處理者是否具有過(guò)失,需要采用社會(huì)一般人的標(biāo)準(zhǔn),如果確實(shí)違反了一般普通人的注意義務(wù)而導(dǎo)致?lián)p害結(jié)果的發(fā)生,就不用判斷行為主體的主觀心理,即可判斷其行為構(gòu)成了個(gè)人信息侵權(quán)。 從上文已經(jīng)提及的《個(gè)人信息保護(hù)法》針對(duì)處理者義務(wù)的條文來(lái)看,立法者明確了該主體在處理信息過(guò)程中應(yīng)當(dāng)遵守義務(wù)的框架范圍,厘清了個(gè)人信息處理者的相關(guān)應(yīng)盡義務(wù),如果未切實(shí)依法履行上述義務(wù),某種程度上即構(gòu)成了過(guò)失的主觀過(guò)錯(cuò)形態(tài)。

三、侵權(quán)責(zé)任歸責(zé)

(一)歸責(zé)主體

從《個(gè)人信息保護(hù)法》附則第七十三條第一款對(duì)“個(gè)人信息處理者”的定義來(lái)看,個(gè)人信息侵權(quán)的歸責(zé)主體是個(gè)人和組織。 關(guān)于國(guó)家機(jī)關(guān)是否是個(gè)人信息侵權(quán)的適格主體,筆者認(rèn)為不宜將此類公共行政機(jī)關(guān)納入到歸責(zé)主體中。 從民法屆通說(shuō)來(lái)看,國(guó)家機(jī)關(guān)可以作為民法上的適格主體即機(jī)關(guān)法人,如果其是因?yàn)槁男泄彩聞?wù)管理的需要,在履行職務(wù)過(guò)程中做出的民事法律行為,則可以將其視為適格的民事法律關(guān)系主體[4]。 故因履行公共管理職能需要進(jìn)行民事法律行為的國(guó)家機(jī)關(guān)組織可以視為機(jī)關(guān)法人作為侵權(quán)的適格主體。 但需要注意的是,我國(guó)法律并未授權(quán)國(guó)家機(jī)關(guān)在行使管理職能時(shí)可以侵害個(gè)人信息,即國(guó)家機(jī)關(guān)侵害個(gè)人信息的行為不是民法意義上的調(diào)整對(duì)象,國(guó)家機(jī)關(guān)對(duì)個(gè)人信息的侵權(quán)行為應(yīng)由行政法來(lái)進(jìn)行規(guī)制。

《個(gè)人信息保護(hù)法》第六十八條對(duì)該問(wèn)題明確進(jìn)行了規(guī)定,“國(guó)家機(jī)關(guān)不履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的,由其上級(jí)機(jī)關(guān)或者履行個(gè)人信息保護(hù)職責(zé)的部門(mén)責(zé)令改正;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。 履行個(gè)人信息保護(hù)職責(zé)的部門(mén)的工作人員玩忽職守、濫用職權(quán)、徇私舞弊,尚不構(gòu)成犯罪的,依法給予處分?！笨梢?jiàn),對(duì)于國(guó)家機(jī)關(guān)違反該法采取了行政雙罰制的原則,并未將其納入到一般的侵權(quán)主體中,這與筆者的觀點(diǎn)相一致。

(二)歸責(zé)原則

《個(gè)人信息保護(hù)法》第六十九條針對(duì)個(gè)人信息侵權(quán)的歸責(zé)原則給出了重要參考意見(jiàn),從該條文看,由于個(gè)人信息侵權(quán)形態(tài)的特殊性,立法者更傾向于在個(gè)人信息侵權(quán)責(zé)任上確立“過(guò)錯(cuò)推定原則”。 從司法實(shí)務(wù)角度來(lái)看,相關(guān)的侵權(quán)案例往往都沿用《民法典》中一般侵權(quán)責(zé)任的過(guò)錯(cuò)原則,原告方想要證明相對(duì)方侵權(quán)需要“誰(shuí)主張,誰(shuí)舉證”,信息主體往往承擔(dān)著相當(dāng)繁重的舉證責(zé)任,具體來(lái)說(shuō),不管是單一主體直接侵權(quán)的模式還是多個(gè)主體共同侵權(quán)的模式,絕大部分都是由原告來(lái)對(duì)個(gè)人信息處理者的過(guò)錯(cuò)來(lái)進(jìn)行舉證?！秱€(gè)人信息保護(hù)法》過(guò)錯(cuò)推定條文的出臺(tái),合理分配了侵權(quán)方和被侵權(quán)方的舉證責(zé)任,并作為一般侵權(quán)責(zé)任過(guò)錯(cuò)原則的補(bǔ)充,更有利于保護(hù)個(gè)人信息被侵權(quán)者的合理權(quán)益。 由此,實(shí)踐中對(duì)于個(gè)人信息侵權(quán)歸責(zé)原則的路徑適用上,應(yīng)當(dāng)把握《個(gè)人信息保護(hù)法》第六十九條的立法精神,結(jié)合具體侵權(quán)形態(tài)的場(chǎng)景,在查明基礎(chǔ)侵權(quán)事實(shí)的情況下,適當(dāng)減輕被侵權(quán)人的舉證責(zé)任,采用高度蓋然性的舉證標(biāo)準(zhǔn),合理分配侵權(quán)人與被侵權(quán)人之間的舉證責(zé)任[5]。

(三)侵權(quán)責(zé)任的承擔(dān)方式

《個(gè)人信息保護(hù)法》第七章第六十九條規(guī)定了個(gè)人信息侵權(quán)的相關(guān)責(zé)任。 筆者認(rèn)為,應(yīng)當(dāng)對(duì)該條文進(jìn)行兩個(gè)層次的解讀,首先,對(duì)于損害賠償?shù)挠?jì)算以被侵權(quán)人實(shí)際受到的財(cái)產(chǎn)性損失或者以侵權(quán)者獲得的實(shí)際財(cái)產(chǎn)性利益作為計(jì)算依據(jù),采用填平原則對(duì)被侵權(quán)人進(jìn)行賠償;其次,如果對(duì)于損失和利益難以計(jì)算,則需要根據(jù)不同的個(gè)案進(jìn)行具體分析,此類情況多見(jiàn)于精神損害賠償數(shù)額的計(jì)算。 實(shí)踐中的重點(diǎn)在于如何把握條文中“根據(jù)實(shí)際情況確定賠償數(shù)額”這一規(guī)定。 由于個(gè)人信息侵權(quán)多發(fā)生于互聯(lián)網(wǎng)環(huán)境,網(wǎng)絡(luò)的開(kāi)放性使得個(gè)人信息侵權(quán)有傳播速度快、傳播范圍廣的特點(diǎn),故對(duì)于此類個(gè)人信息侵權(quán)的案件,應(yīng)當(dāng)依據(jù)網(wǎng)絡(luò)傳播程度、網(wǎng)絡(luò)瀏覽和轉(zhuǎn)載數(shù)量、具體影響范圍等因素綜合判斷,是否達(dá)到精神損害賠償?shù)某潭?并結(jié)合具體案件確定具體的賠償金額。 由于個(gè)人信息侵權(quán)的形態(tài)各異,且隨著網(wǎng)絡(luò)科技的發(fā)展會(huì)不斷發(fā)展延伸出各類新型的侵權(quán)形態(tài),故筆者前述的判斷方式非常依賴于法官的自由心證,易出現(xiàn)同案不同判的現(xiàn)象,亟待后續(xù)相關(guān)司法解釋的出臺(tái)以統(tǒng)一裁量標(biāo)準(zhǔn)。

除損害賠償責(zé)任外,停止侵害、消除影響、恢復(fù)名譽(yù)等傳統(tǒng)侵權(quán)責(zé)任方式應(yīng)當(dāng)適用于個(gè)人信息侵權(quán)領(lǐng)域。 在已經(jīng)造成嚴(yán)重?fù)p害后果時(shí),個(gè)人信息權(quán)利人可以要求侵權(quán)主體承擔(dān)消除影響、恢復(fù)名譽(yù)、賠禮道歉等責(zé)任,在實(shí)務(wù)中多見(jiàn)于采用公開(kāi)賠禮道歉的方式,如在報(bào)紙、網(wǎng)絡(luò)傳媒等公開(kāi)信息載體或平臺(tái)上公開(kāi)道歉,以消除個(gè)人信息被侵權(quán)的不利后果或負(fù)面社會(huì)評(píng)價(jià),以達(dá)到安撫被侵權(quán)人的效果,當(dāng)然需要注意的是,采取該種形式的責(zé)任承擔(dān)方式時(shí),需要根據(jù)被侵害個(gè)人信息敏感程度的不同而謹(jǐn)慎適用,避免對(duì)敏感個(gè)人信息進(jìn)行進(jìn)一步的傳播和披露,擴(kuò)大損害范圍。

(四)免責(zé)情形

《個(gè)人信息保護(hù)法》并未對(duì)免責(zé)情形作出明確規(guī)定,從傳統(tǒng)侵權(quán)理論來(lái)看,不可抗力、受害人同意、公共利益等都是個(gè)人信息侵權(quán)的免責(zé)情形。 值得探討的是,在出現(xiàn)大規(guī)模公共衛(wèi)生事件時(shí),一般社會(huì)公眾未經(jīng)權(quán)利人同意,私自發(fā)布、傳播相關(guān)信息主體的個(gè)人信息是否構(gòu)成侵權(quán)的問(wèn)題。 筆者認(rèn)為,針對(duì)此類情況應(yīng)當(dāng)綜合考量發(fā)布人的行為目的、發(fā)布范圍、發(fā)布背景,在特殊公共衛(wèi)生事件背景下,可以適當(dāng)嚴(yán)格把握過(guò)錯(cuò)責(zé)任原則,以是否造成損害后果作為判定行為人是否構(gòu)成侵權(quán)的要件之一,在不違反社會(huì)公序良俗的前提下適當(dāng)放寬對(duì)此類行為的歸責(zé)標(biāo)準(zhǔn)。 反之,如果行為人確屬濫用自身信息處理者的身份,擅自發(fā)布他人的個(gè)人及行程信息,對(duì)他人造成嚴(yán)重?fù)p害后果的,應(yīng)該承擔(dān)相應(yīng)的侵權(quán)責(zé)任。

四、結(jié)語(yǔ)

《個(gè)人信息保護(hù)法》的頒布,是我國(guó)立法機(jī)關(guān)在修改、整合現(xiàn)有法律法規(guī)的基礎(chǔ)上,針對(duì)個(gè)人信息保護(hù)出臺(tái)的專項(xiàng)立法,體現(xiàn)了我國(guó)在網(wǎng)絡(luò)平臺(tái)迅猛發(fā)展背景下對(duì)于個(gè)人信息保護(hù)的重視。 在該法出臺(tái)后,個(gè)人信息相關(guān)概念的內(nèi)涵外延有了更為詳細(xì)的定義,明確了個(gè)人信息主體及個(gè)人信息處理者在法律框架下的權(quán)利義務(wù)及法律后果,建立了以民事、刑事、行政法搭建的針對(duì)個(gè)人信息保護(hù)的多維度保護(hù)機(jī)制和架構(gòu),有利于激發(fā)個(gè)人信息主體充分行使訴權(quán),并規(guī)定了個(gè)人信息保護(hù)領(lǐng)域的公益訴訟機(jī)制。 未來(lái)可以通過(guò)司法解釋層面對(duì)相關(guān)法律問(wèn)題進(jìn)行調(diào)整優(yōu)化,并結(jié)合《個(gè)人信息保護(hù)法》的精神及原則條款,為保護(hù)公民個(gè)人信息權(quán)益提供多層次、多維度的法律依據(jù)及參考。