[摘 要]網(wǎng)絡(luò)空間個(gè)人信息權(quán)利保護(hù)日益受到重視，個(gè)人信息保護(hù)的義務(wù)及民事法律責(zé)任在學(xué)界卻沒(méi)有引起足夠的關(guān)注。由于網(wǎng)絡(luò)空間個(gè)人信息保護(hù)的特殊性，從本質(zhì)上看是個(gè)人信息利用中的保護(hù)。個(gè)人信息保護(hù)的義務(wù)主體應(yīng)進(jìn)行類(lèi)型化的研究，并賦予主體積極的義務(wù)。根據(jù)網(wǎng)絡(luò)空間個(gè)人信息收集與利用情況的不同，網(wǎng)絡(luò)空間個(gè)人信息保護(hù)的民事法律責(zé)任應(yīng)當(dāng)包括合同責(zé)任與侵權(quán)責(zé)任。網(wǎng)絡(luò)空間個(gè)人信息侵權(quán)責(zé)任的歸責(zé)原則是一個(gè)多元化的體系，便于信息主體的權(quán)利救濟(jì)。結(jié)合我國(guó)法治建設(shè)的具體情況和信息產(chǎn)業(yè)的發(fā)展，網(wǎng)絡(luò)空間個(gè)人信息保護(hù)宜采用綜合立法的模式。

[關(guān)鍵詞]網(wǎng)絡(luò)空間 個(gè)人信息 義務(wù) 法律責(zé)任

[作者簡(jiǎn)介]白云，哈爾濱師范大學(xué)法學(xué)院教授，法學(xué)博士，美國(guó)佛羅里達(dá)大學(xué)萊文法學(xué)院訪問(wèn)學(xué)者（ 哈爾濱 150025）

[中圖分類(lèi)號(hào)]D913[文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1000-3541（2020）02-0039-08

在現(xiàn)代社會(huì)，我們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的便利與效率的同時(shí)，也遇到前所未有的問(wèn)題和挑戰(zhàn)。隨著信息技術(shù)的發(fā)展以及大數(shù)據(jù)時(shí)代的到來(lái)，信息的收集和處理成為常態(tài)，并蘊(yùn)藏著巨大的商機(jī)。網(wǎng)絡(luò)空間個(gè)人信息保護(hù)的義務(wù)主體及其法律責(zé)任的研究就尤為重要。

一、網(wǎng)絡(luò)空間個(gè)人信息保護(hù)民事法律責(zé)任主體：類(lèi)型化研究

網(wǎng)絡(luò)空間個(gè)人信息保護(hù)義務(wù)主體的研究相對(duì)較少，目前的研究主要集中在個(gè)人信息權(quán)利的研究上。對(duì)于個(gè)人信息權(quán)利的認(rèn)知，現(xiàn)在的主流觀點(diǎn)是一項(xiàng)獨(dú)立的人格權(quán)[1]，是對(duì)世權(quán)。對(duì)世權(quán)的義務(wù)主體是不特定的。由于網(wǎng)絡(luò)空間較現(xiàn)實(shí)空間有其特殊性，將網(wǎng)絡(luò)空間個(gè)人信息保護(hù)義務(wù)主體抑或是法律責(zé)任主體進(jìn)行類(lèi)型化研究，對(duì)于個(gè)人信息保護(hù)民事法律責(zé)任的界定具有重要意義?；诖?，筆者將網(wǎng)絡(luò)空間個(gè)人信息保護(hù)法律責(zé)任主體界定為三種類(lèi)型：一是公共部門(mén)。公共部門(mén)（public institution）是為社會(huì)提供公共管理和服務(wù)的部門(mén)?？杉?xì)分為政府機(jī)構(gòu)和公共服務(wù)機(jī)構(gòu)。政府機(jī)構(gòu)（也包括得到授權(quán)行使公共管理職能的機(jī)構(gòu)）為了實(shí)現(xiàn)對(duì)國(guó)家公共事務(wù)的管理，需要對(duì)個(gè)人信息進(jìn)行收集、處理和利用，政府部門(mén)在從事這些活動(dòng)時(shí)，會(huì)直接涉及個(gè)人信息權(quán)利，所以，政府部門(mén)可以成為個(gè)人信息保護(hù)的義務(wù)主體，進(jìn)而構(gòu)成個(gè)人信息保護(hù)民事法律責(zé)任主體。公共服務(wù)機(jī)構(gòu)為社會(huì)提供公共服務(wù)，不以營(yíng)利為目的。在其提供公共服務(wù)的過(guò)程中，基于服務(wù)的需要，會(huì)對(duì)個(gè)人信息進(jìn)行收集和控制。如教育和醫(yī)療機(jī)構(gòu)存有大量的個(gè)人信息，所以，公共服務(wù)機(jī)構(gòu)可成為個(gè)人信息保護(hù)民事法律責(zé)任主體。二是非公共部門(mén)。非公共部門(mén)也稱(chēng)私人部門(mén)，是除了公共部門(mén)以外的對(duì)個(gè)人信息進(jìn)行控制的法人和其他組織。非公共部門(mén)一般是以營(yíng)利為目的，對(duì)個(gè)人信息進(jìn)行商業(yè)化利用的組織，當(dāng)然可以成為個(gè)人信息保護(hù)的民事法律責(zé)任主體。在網(wǎng)絡(luò)空間，非公共部門(mén)個(gè)人信息保護(hù)的民事法律責(zé)任主體還可以類(lèi)型化為“為網(wǎng)絡(luò)提供服務(wù)和商業(yè)化利用”的主體，具體包括互聯(lián)網(wǎng)服務(wù)提供商（Internet Service Provider，ISP）、互聯(lián)網(wǎng)內(nèi)容提供商（Internet Content Provider，ICP）和應(yīng)用服務(wù)提供商（Application Service Provider，ASP）?；ヂ?lián)網(wǎng)服務(wù)提供商（Internet Service Provider，ISP）是向網(wǎng)絡(luò)用戶(hù)綜合提供互聯(lián)網(wǎng)接入業(yè)務(wù)、信息業(yè)務(wù)和增值業(yè)務(wù)的電信運(yùn)營(yíng)商，國(guó)內(nèi)較大的互聯(lián)網(wǎng)服務(wù)提供商有中國(guó)電信、中國(guó)移動(dòng)和中國(guó)聯(lián)通等;互聯(lián)網(wǎng)內(nèi)容提供商（Internet Content Provider，ICP）是向網(wǎng)絡(luò)用戶(hù)綜合提供互聯(lián)網(wǎng)信息業(yè)務(wù)和增值業(yè)務(wù)的電信運(yùn)營(yíng)商，國(guó)內(nèi)知名的互聯(lián)網(wǎng)內(nèi)容提供商有新浪、搜狐、163以及地市信息港等;應(yīng)用服務(wù)提供商（Application Service Provider，ASP）是為各種各樣的商務(wù)客戶(hù)和事務(wù)客戶(hù)提供其所需的應(yīng)用服務(wù)的專(zhuān)業(yè)公司。三是自然人。自然人不是具備法定資格的個(gè)人信息控制主體，自然人在其民事活動(dòng)中既會(huì)獲得他人的個(gè)人信息，也會(huì)通過(guò)黑客入侵等非法手段獲得個(gè)人信息，所以，自然人雖然不是網(wǎng)絡(luò)空間個(gè)人信息保護(hù)的主要義務(wù)主體，但是也可能由于其侵權(quán)行為而成為個(gè)人信息保護(hù)的民事法律責(zé)任主體。

二、網(wǎng)絡(luò)空間個(gè)人信息保護(hù)民事法律責(zé)任前設(shè)：個(gè)人信息保護(hù)義務(wù)

作為對(duì)世權(quán)的個(gè)人信息權(quán)利義務(wù)主體具有消極的不作為義務(wù)，即不侵犯信息主體權(quán)利的義務(wù)，但是在網(wǎng)絡(luò)空間個(gè)人信息保護(hù)義務(wù)主體往往是個(gè)人信息的利用主體，所以，個(gè)人信息保護(hù)義務(wù)主體除了具有不侵犯?jìng)€(gè)人信息這個(gè)消極的不作為義務(wù)以外，還應(yīng)當(dāng)負(fù)有一些積極的作為義務(wù)，這些義務(wù)主要包括：

（一）征求同意義務(wù)

征求同意義務(wù)是網(wǎng)絡(luò)空間個(gè)人信息收集主體在收集個(gè)人信息前應(yīng)征得信息主體同意的義務(wù)。征求同意義務(wù)對(duì)應(yīng)的是信息主體的控制權(quán)[2]，有學(xué)者也稱(chēng)其為決定權(quán)[3]，在學(xué)理上認(rèn)為基于信息主體對(duì)其個(gè)人信息的保有權(quán)，相應(yīng)地就擁有其對(duì)個(gè)人信息的收集、利用和處理的情況進(jìn)行決定的權(quán)利。網(wǎng)絡(luò)空間負(fù)有該義務(wù)的主體主要是互聯(lián)網(wǎng)內(nèi)容提供商和應(yīng)用服務(wù)提供商。這些主體在為網(wǎng)絡(luò)用戶(hù)提供服務(wù)的過(guò)程中會(huì)收集個(gè)人信息，但是基于信息主體對(duì)個(gè)人信息的控制權(quán)，互聯(lián)網(wǎng)內(nèi)容提供商和應(yīng)用服務(wù)提供商在收集個(gè)人信息前應(yīng)當(dāng)征得信息主體的同意，否則不能收集。

（二）目的明確義務(wù)

目的明確義務(wù)要求網(wǎng)絡(luò)空間個(gè)人信息保護(hù)義務(wù)主體在對(duì)個(gè)人信息進(jìn)行收集、處理和利用之前必須有明確而特定的目的。目的明確義務(wù)的權(quán)利基礎(chǔ)仍然是個(gè)人信息控制權(quán)。信息主體在對(duì)個(gè)人信息做出決定前有權(quán)知道信息收集主體是“基于何種利益的考慮儲(chǔ)存、處理和利用個(gè)人信息”[4]82。該義務(wù)既能保證網(wǎng)絡(luò)空間信息收集主體對(duì)個(gè)人信息的收集與利用的正當(dāng)理由，又防止對(duì)個(gè)人信息的濫用。該項(xiàng)義務(wù)包括目的特定、目的明確和目的正當(dāng)?shù)热齻€(gè)方面的內(nèi)容。目的特定是指在個(gè)人信息收集和利用之前應(yīng)通過(guò)法定或約定的方式將個(gè)人信息收集和利用的目的給予特別規(guī)定或約定。之所以特定，就是因?yàn)椴煌黧w基于不同業(yè)務(wù)進(jìn)行的個(gè)人信息收集和利用的目的都會(huì)有所不同，目的特定后，個(gè)人信息的收集與使用者便受到這一特定目的的限制，超出特定目的的收集和利用即為對(duì)個(gè)人信息的侵犯。目的明確要求個(gè)人信息收集與利用主體應(yīng)將法定或約定的目的以某種方式明確表示并確定下來(lái)。目的明確是目的特定的外在表現(xiàn)，是防止個(gè)人信息濫用的依據(jù)。目的正當(dāng)是指?jìng)€(gè)人信息收集和使用的目的合法并符合社會(huì)公序良俗。目的正當(dāng)是對(duì)個(gè)人信息保護(hù)的重要保證，是對(duì)個(gè)人信息收集與利用目的的必要限定[5]254-256。

（三）目的限制義務(wù)

目的限制義務(wù)要求網(wǎng)絡(luò)空間個(gè)人信息保護(hù)義務(wù)主體對(duì)個(gè)人信息的收集和利用均限于最初確立的目的，與該目的保持一致;并應(yīng)采取公平合理的收集方式[6]136。目的限制義務(wù)是個(gè)人信息控制權(quán)積極權(quán)能的體現(xiàn)，信息主體可以動(dòng)態(tài)控制其信息持有者對(duì)信息的收集和利用，不因同意信息收集而喪失信息的控制權(quán)。目的限制義務(wù)包括限制收集和限制利用兩個(gè)方面。限制收集要求對(duì)個(gè)人信息的收集要限制收集的目的，以預(yù)先明確的目的為限，一般情況下不可以超目的收集。限制收集的范圍，在法定的范圍內(nèi)收集，如敏感個(gè)人信息則禁止收集。限制收集的方式，以法律準(zhǔn)許的方式收集，如須征得信息主體同意方可收集的，則應(yīng)采用此方式。限制收集的主體，只有符合法定條件的主體才可以進(jìn)行個(gè)人信息的收集。限制利用是指?jìng)€(gè)人信息在利用時(shí)應(yīng)該嚴(yán)格限定在收集目的的范圍內(nèi)，不應(yīng)做收集目的之外利用[6]139。對(duì)個(gè)人信息利用的主體和利用的方式要做嚴(yán)格的限制，防止個(gè)人信息的濫用。

（四）告知義務(wù)

告知義務(wù)是網(wǎng)絡(luò)空間個(gè)人信息保護(hù)義務(wù)主體對(duì)個(gè)人信息主體告知其個(gè)人信息的收集、儲(chǔ)存、利用和處理情況的義務(wù)。告知義務(wù)是對(duì)信息主體查閱權(quán)或稱(chēng)訪問(wèn)權(quán)[7]的保障，也是個(gè)人信息權(quán)利積極權(quán)能的體現(xiàn)。告知義務(wù)是一項(xiàng)被動(dòng)義務(wù)，個(gè)人信息保護(hù)義務(wù)主體不必主動(dòng)為之，是應(yīng)信息主體的請(qǐng)求而履行的義務(wù)。

（五）保障信息品質(zhì)義務(wù)保障信息品質(zhì)義務(wù)是指網(wǎng)絡(luò)空間個(gè)人信息保護(hù)義務(wù)主體負(fù)有保障其收集、存儲(chǔ)、處理和利用的個(gè)人信息的正確、完整和最新的義務(wù)。保障信息品質(zhì)義務(wù)的具體內(nèi)容包括改正義務(wù)、補(bǔ)充義務(wù)、更新義務(wù)及封存義務(wù)。保障信息品質(zhì)義務(wù)是與個(gè)人信息主體更正權(quán)和封存權(quán)相對(duì)應(yīng)的義務(wù)。

（六）刪除、屏蔽、斷開(kāi)鏈接義務(wù)

刪除、屏蔽、斷開(kāi)鏈接的義務(wù)是網(wǎng)絡(luò)空間個(gè)人信息保護(hù)義務(wù)主體對(duì)過(guò)時(shí)的信息進(jìn)行刪除、屏蔽以及斷開(kāi)相關(guān)鏈接的義務(wù)。該項(xiàng)義務(wù)是網(wǎng)絡(luò)空間個(gè)人信息保護(hù)的一項(xiàng)重要義務(wù)，是對(duì)信息主體被遺忘權(quán)的保障。歐盟在2012年提出了個(gè)人信息保護(hù)的一項(xiàng)新的權(quán)利——被遺忘權(quán)，并通過(guò)2014年歐盟法院在Google Spain SL & Google Inc v Agenda Espanola de Proteccion de Datos （AEPD）& Costeja Gonzalez案的判決予以確認(rèn)?；诖隧?xiàng)權(quán)利信息主體可以要求個(gè)人信息保護(hù)義務(wù)主體刪除不充分、不相關(guān)或過(guò)時(shí)的信息[8]。刪除、屏蔽、斷開(kāi)鏈接義務(wù)能夠擦除信息主體在網(wǎng)絡(luò)空間留下的個(gè)人信息痕跡，是在當(dāng)前信息技術(shù)高速發(fā)展的情況下，保護(hù)個(gè)人信息的重要手段。

（七）安全保障義務(wù)安全保障義務(wù)是指網(wǎng)絡(luò)空間個(gè)人信息保護(hù)義務(wù)主體對(duì)個(gè)人信息安全負(fù)有技術(shù)和管理上的義務(wù)?！懊鎸?duì)大數(shù)據(jù)分析技術(shù)對(duì)個(gè)人信息保護(hù)的威脅，各國(guó)政府紛紛重新審視既有法律架構(gòu)的有效性，不斷強(qiáng)化個(gè)人信息保護(hù)力度，并將此提升至數(shù)據(jù)主權(quán)與國(guó)家安全的新高度”[9]。個(gè)人信息保護(hù)義務(wù)主體應(yīng)當(dāng)掌握保障信息安全的網(wǎng)絡(luò)技術(shù)，技術(shù)水平達(dá)到國(guó)家信息安全技術(shù)標(biāo)準(zhǔn)，防止黑客入侵導(dǎo)致信息泄露;應(yīng)當(dāng)建立個(gè)人信息安全管理規(guī)范，防止人為因素導(dǎo)致的信息泄露和侵權(quán)。

三、網(wǎng)絡(luò)空間個(gè)人信息保護(hù)民事法律責(zé)任類(lèi)型：合同責(zé)任與侵權(quán)責(zé)任

（一）合同責(zé)任

對(duì)個(gè)人信息的收集、處理和利用大致有兩種方式：一是公共部門(mén)為了公共利益的需要對(duì)個(gè)人信息的控制，在這種情況下一般是強(qiáng)制收集，不需要經(jīng)信息主體的同意;二是非公共部門(mén)對(duì)個(gè)人信息的控制，通常是經(jīng)信息主體的授權(quán)后，才能收集。在第二種情況下，信息主體與個(gè)人信息控制主體之間形成合同關(guān)系，相應(yīng)地就會(huì)產(chǎn)生合同責(zé)任，主要包括締約過(guò)失責(zé)任、違約責(zé)任和后契約責(zé)任。

締約過(guò)失責(zé)任是對(duì)誠(chéng)實(shí)信用原則的堅(jiān)守和對(duì)當(dāng)事人信賴(lài)?yán)娴谋Ｗo(hù)。創(chuàng)設(shè)締約過(guò)失責(zé)任的德國(guó)法學(xué)家耶林于1861年發(fā)表《契約締約之際的過(guò)失》一文，將德國(guó)普通法源的羅馬法擴(kuò)張解釋?zhuān)瑥V泛地承訓(xùn)信賴(lài)?yán)娴馁r償。他指出：“契約的締結(jié)產(chǎn)生了一種履行義務(wù)，若此種效力因法律的障礙而被排除時(shí)，也會(huì)產(chǎn)生一種損害賠償義務(wù)。所謂契約無(wú)效者，僅指不發(fā)生履行效力，不是說(shuō)不發(fā)生任何效力。當(dāng)事人因自己過(guò)失致使契約不成立者，應(yīng)對(duì)信其契約為有效成立的相對(duì)人，賠償基于此項(xiàng)信賴(lài)而產(chǎn)生的損害?！盵10]締約過(guò)失責(zé)任包括以下要件：一是一方或雙方當(dāng)事人意思表示瑕疵;二是締約的相對(duì)人誤信合同已經(jīng)成立;三是合同尚未成立;四是締約當(dāng)事人須受有損害;五是締約當(dāng)事人一方或雙方須有過(guò)錯(cuò)[10]。個(gè)人信息合同中的締約過(guò)失責(zé)任應(yīng)當(dāng)以上述構(gòu)成要件來(lái)確定。

信息主體與信息控制主體訂立個(gè)人信息合同后，雙方的權(quán)利、義務(wù)要受到合同的約束，如有不履行合同義務(wù)的情形即構(gòu)成違約，違約方承擔(dān)違約責(zé)任。如個(gè)人信息控制主體超出合同約定的目的、方式，對(duì)個(gè)人信息的處理和使用，未經(jīng)信息主體同意，將個(gè)人信息許可第三人使用等。違約責(zé)任的構(gòu)成要件分為一般構(gòu)成要件和特殊構(gòu)成要件。一般構(gòu)成要件為違約行為、不存在法定和約定的免責(zé)事由;特殊構(gòu)成要件包括違約行為、損害事實(shí)、因果關(guān)系、過(guò)錯(cuò)等[11]264-267。至于歸責(zé)原則，我國(guó)《合同法》是采用無(wú)過(guò)錯(cuò)原則為主、過(guò)錯(cuò)責(zé)任為輔的二元?dú)w責(zé)體系。個(gè)人信息控制合同中違約責(zé)任的歸責(zé)原則應(yīng)當(dāng)采用無(wú)過(guò)錯(cuò)責(zé)任。因?yàn)槟軌蚩刂苽€(gè)人信息的主體應(yīng)當(dāng)是具有法定資格的組織，應(yīng)當(dāng)賦予其較高的注意義務(wù)[12]。

個(gè)人信息合同終止后，信息控制主體基于誠(chéng)實(shí)信用的原則應(yīng)當(dāng)履行對(duì)已獲取信息的保密、刪除等義務(wù)。信息控制主體不履行此義務(wù)，給信息主體造成損失的要承擔(dān)后契約責(zé)任。后契約責(zé)任的構(gòu)成要件包括違反后契約義務(wù)的行為、損害事實(shí)、因果關(guān)系、主觀過(guò)錯(cuò)。在歸責(zé)原則上，后契約義務(wù)責(zé)任當(dāng)事人由于合同權(quán)利、義務(wù)已經(jīng)終止，但是基于個(gè)人信息在網(wǎng)絡(luò)空間易存儲(chǔ)、易流通的特性，還要賦予個(gè)人信息控制主體一定的注意義務(wù)，所以采用過(guò)錯(cuò)責(zé)任比較合適。在主觀過(guò)錯(cuò)的確定上，采取推定過(guò)錯(cuò)為好，既克服了信息主體舉證困難的問(wèn)題，也強(qiáng)化了信息控制主體的義務(wù)承擔(dān)意識(shí)。

（二）侵權(quán)責(zé)任

網(wǎng)絡(luò)空間個(gè)人信息侵權(quán)責(zé)任的構(gòu)成包括侵權(quán)行為、損害事實(shí)、因果關(guān)系、主觀過(guò)錯(cuò)。

侵權(quán)行為是對(duì)信息主體信息權(quán)利實(shí)施侵犯行為。筆者認(rèn)為，個(gè)人信息權(quán)利應(yīng)納入人格權(quán)的范疇，“人格權(quán)是指以主體依法固有的人格利益為客體的，以維護(hù)和實(shí)現(xiàn)人格平等、人格尊嚴(yán)、人身自由為目標(biāo)的權(quán)利”[13]14。它的權(quán)能有支配權(quán)、利用權(quán)和處分權(quán)等。個(gè)人信息權(quán)利的內(nèi)容包括控制權(quán)、查閱權(quán)、更正權(quán)、封存權(quán)、刪除權(quán)、收益權(quán)等?！皺?quán)利之內(nèi)容，為權(quán)利人在法律上得主張之利益，妨害此利益之享受，即有權(quán)利之侵害”[14]125。當(dāng)主體的行為妨礙個(gè)人信息權(quán)利人行使其個(gè)人信息權(quán)利內(nèi)容所指向的各項(xiàng)權(quán)利，權(quán)利人的人格利益受到侵害時(shí)，該行為即構(gòu)成侵權(quán)行為。

損害事實(shí)是被侵權(quán)人的權(quán)益損失，“損害（英damage;德Schaden）謂就法益所受之不利益……亦可定義為法益主體之生活條件之減少”[14]166。損害事實(shí)既包括財(cái)產(chǎn)利益的損失，也包括精神利益的損失。個(gè)人信息權(quán)利被侵害的損害事實(shí)以精神利益損失為主，在個(gè)人信息商業(yè)化利用的情況下也包括財(cái)產(chǎn)利益損失。個(gè)人信息侵權(quán)責(zé)任的構(gòu)成是否要求損害事實(shí)一定發(fā)生，筆者同意史尚寬先生的觀點(diǎn)，人格權(quán)受害時(shí)，損害之發(fā)生，為賠償義務(wù)成立之要件，而非侵權(quán)行為之要件[14]166。個(gè)人信息侵權(quán)損害結(jié)果的預(yù)防比損害賠償更重要，只要有損害事實(shí)發(fā)生的危險(xiǎn)，即可認(rèn)定構(gòu)成侵權(quán)責(zé)任要件。美國(guó)法官小奧利弗·溫德?tīng)枴せ裟匪梗↗r. Oliver Wendell Holmes）在言論自由領(lǐng)域提出一個(gè)具有歷史影響力的司法裁定原則：“明顯而即刻的危險(xiǎn)”（a clear and present danger）對(duì)言論自由的限制一樣，對(duì)個(gè)人信息的控制也應(yīng)以不構(gòu)成發(fā)生損害風(fēng)險(xiǎn)為限度。

侵權(quán)法上的因果關(guān)系是比較復(fù)雜的理論。在英美法系中“因果關(guān)系可以被區(qū)分為不同的兩種：事實(shí)上的因果關(guān)系和直接或法律上的因果關(guān)系。事實(shí)上的因果關(guān)系是探究實(shí)際上發(fā)生了什么;它關(guān)注于被告的行為是否實(shí)際上促成了原告的損害”[15]119。判斷的是行為與結(jié)果自然的、科學(xué)的聯(lián)系?！爸苯右蚬P(guān)系則相反，它與政策性問(wèn)題相關(guān)”[15]119，加入了價(jià)值判斷的因素?！胺梢蚬P(guān)系則是以事實(shí)因果關(guān)系的判斷為前提條件，只有當(dāng)事實(shí)因果關(guān)系得到確認(rèn)之后，才有進(jìn)一步討論法律因果關(guān)系的必要。而且法律因果關(guān)系更多地是從社會(huì)公平、正義、公共政策等角度出發(fā)對(duì)因果關(guān)系進(jìn)行價(jià)值判斷，注重考慮可預(yù)見(jiàn)性、介入原因等因素”[16]。法律上的因果關(guān)系的判斷規(guī)則有直接結(jié)果規(guī)則（Direct-causation rule）與可預(yù)見(jiàn)性規(guī)則（foreseeability rule）。大陸法系有條件說(shuō)、原因說(shuō)、相當(dāng)因果關(guān)系說(shuō)、法規(guī)目的說(shuō)等。條件說(shuō)是“無(wú)此行為，必不生此種損害”[17]193;原因說(shuō)引用格言“法律審究近因，不問(wèn)遠(yuǎn)因（in jure non remota causa sed proxima spectatur）”，用以說(shuō)明空間上或者時(shí)間上的接近性是區(qū)分出具有法律上重要意義的因果關(guān)系的標(biāo)準(zhǔn)或者是主要標(biāo)準(zhǔn)[18]86-87;相當(dāng)因果關(guān)系說(shuō)的解釋是“以行為時(shí)存在而可為條件之通常情事或特別情事中，于行為時(shí)依吾人智識(shí)經(jīng)驗(yàn)一般可得而知及為行為人所知之為基礎(chǔ)，而且其情事對(duì)于其結(jié)果，為不可缺之條件（拉conditio sine qna non），一般的（德generell）有發(fā)生同一種結(jié)果之可能者，其條件與其結(jié)果，為有相當(dāng)因果關(guān)系”[14]170;法規(guī)目的說(shuō)認(rèn)為：“行為人對(duì)于行為引發(fā)之損害是否應(yīng)負(fù)責(zé)任，非探究行為與損害間有無(wú)相當(dāng)因果關(guān)系，應(yīng)探究相關(guān)之法規(guī)（或契約）之意義與目的?！盵19]113個(gè)人信息侵權(quán)構(gòu)成中的因果關(guān)系應(yīng)適用相當(dāng)因果關(guān)系說(shuō)，因?yàn)閭€(gè)人信息侵權(quán)行為與結(jié)果之間很難認(rèn)定直接因果關(guān)系，而相當(dāng)因果關(guān)系說(shuō)承認(rèn)可能性的聯(lián)系，只要個(gè)人信息權(quán)的侵權(quán)人實(shí)施的侵權(quán)行為對(duì)結(jié)果的發(fā)生有可能性，侵權(quán)行為對(duì)結(jié)果的發(fā)生存在原因力，那么因果關(guān)系就成立。

網(wǎng)絡(luò)空間個(gè)人信息侵權(quán)的主體比較復(fù)雜，侵權(quán)責(zé)任的歸責(zé)原則應(yīng)該是一個(gè)多元化的體系。歸責(zé)原則是分配注意義務(wù)、舉證責(zé)任與損害的重要尺度，歸責(zé)原則的合理設(shè)定是確定公平的侵權(quán)責(zé)任的前提。網(wǎng)絡(luò)空間個(gè)人信息保護(hù)的義務(wù)主體中，自然人主體應(yīng)當(dāng)適用過(guò)錯(cuò)責(zé)任的歸責(zé)原則。因?yàn)樽匀蝗伺c個(gè)人信息主體是具有平等的法律地位，不應(yīng)賦予自然人更高的注意義務(wù)和舉證責(zé)任，所以，要求自然人在存在主觀過(guò)錯(cuò)的情況下實(shí)施了侵害個(gè)人信息權(quán)的行為，才承擔(dān)侵權(quán)責(zé)任是恰當(dāng)?shù)摹＞W(wǎng)絡(luò)空間個(gè)人信息保護(hù)的義務(wù)主體中非公共部門(mén)應(yīng)當(dāng)適用過(guò)錯(cuò)推定。非公共部門(mén)是組織，相對(duì)于非公共部門(mén)而言，個(gè)人信息主體是弱勢(shì)群體，二者存在事實(shí)上的不平等，為糾正這種不平等，要對(duì)非公共部門(mén)賦予更多的注意義務(wù);非公共部門(mén)是以營(yíng)利為目的的，對(duì)個(gè)人信息的控制往往也會(huì)為其帶來(lái)利益，本著權(quán)利義務(wù)對(duì)等的原則，在為個(gè)人信息的利用保有空間的同時(shí)，非公共部門(mén)應(yīng)當(dāng)負(fù)有更多的義務(wù);非公共部門(mén)是個(gè)人信息的控制者和技術(shù)提供者，是侵權(quán)證據(jù)的實(shí)際持有方，將舉證責(zé)任分配給非公共部門(mén)有利于查清事實(shí)，節(jié)約訴訟資源，也促進(jìn)非公共部門(mén)對(duì)個(gè)人信息的保護(hù)。在網(wǎng)絡(luò)空間個(gè)人信息保護(hù)的義務(wù)主體中，公共部門(mén)應(yīng)當(dāng)適用無(wú)過(guò)錯(cuò)責(zé)任。公共部門(mén)是強(qiáng)大的政府機(jī)構(gòu)或提供公共服務(wù)的部門(mén)，是比較強(qiáng)勢(shì)的組織，同時(shí)公共部門(mén)對(duì)個(gè)人信息是強(qiáng)制收集，而且，公共部門(mén)收集的個(gè)人信息是大量的，一旦泄露將會(huì)是災(zāi)難性的，所以，應(yīng)當(dāng)賦予公共部門(mén)更重的個(gè)人信息保護(hù)的注意義務(wù)，無(wú)過(guò)錯(cuò)責(zé)任是恰當(dāng)?shù)腫20]。

網(wǎng)絡(luò)空間個(gè)人信息侵權(quán)的免責(zé)事由應(yīng)當(dāng)包括網(wǎng)絡(luò)緊急避險(xiǎn)、不可抗力、信息主體故意、第三人原因、為了公共利益等。網(wǎng)絡(luò)緊急避險(xiǎn)是發(fā)生網(wǎng)絡(luò)安全突發(fā)事件時(shí)所做的緊急處置，是以損失較小利益保全較大利益的措施。如為緊急避險(xiǎn)之必須，采取了斷網(wǎng)、個(gè)人信息丟失或泄露等損害可以主張免責(zé)。不可抗力是發(fā)生了不能預(yù)見(jiàn)、不能克服、不能避免之事件的情況下，在網(wǎng)絡(luò)上造成了信息主體損害的，可以主張免責(zé)。信息主體故意是信息主體自己故意將個(gè)人信息散布在網(wǎng)上，或許可他人使用的情況下，善意使用人可以主張免責(zé)。第三人原因是由于第三人的原因使個(gè)人信息受到侵犯的，由第三人承擔(dān)侵權(quán)責(zé)任，信息控制主體可以主張免責(zé)。為了公共利益侵害了個(gè)人信息主體的權(quán)利，可以主張免責(zé)。

四、網(wǎng)絡(luò)空間個(gè)人信息保護(hù)民事法律責(zé)任制度安排：綜合立法模式

（一）網(wǎng)絡(luò)空間個(gè)人信息保護(hù)立法模式

目前，國(guó)際上比較典型的立法模式大致有三種：一是統(tǒng)一立法模式。該模式不區(qū)分公法與私法領(lǐng)域，制定一部統(tǒng)一的法律對(duì)個(gè)人信息進(jìn)行統(tǒng)一規(guī)范和保護(hù)。統(tǒng)一立法模式的典型國(guó)家是德國(guó)，德國(guó)從1970年起開(kāi)始著手制定《聯(lián)邦個(gè)人資料保護(hù)法草案》，并于1976年以《防止個(gè)人資料處理濫用法》的名稱(chēng)獲得通過(guò)。在以后的時(shí)間里，該法經(jīng)過(guò)1980年、1990年和2001年三次修正，演變?yōu)楝F(xiàn)在的《聯(lián)邦數(shù)據(jù)保護(hù)法》[21]。該法被認(rèn)為是世界上第一部保護(hù)個(gè)人信息的法律，適用的范圍既包括公務(wù)機(jī)關(guān)，也包括非公務(wù)機(jī)關(guān)對(duì)個(gè)人信息的收集、處理利用，是一部統(tǒng)一適用于各個(gè)領(lǐng)域不同類(lèi)型個(gè)人信息保護(hù)的法律。1995年10月24日，歐盟通過(guò)的《資料保護(hù)指令》是統(tǒng)一立法的典范，該指令采取了不區(qū)分公法和私法領(lǐng)域，統(tǒng)一就信息行為必須適用的原則性問(wèn)題做出規(guī)定的模式。隨著信息技術(shù)發(fā)展與廣泛應(yīng)用，歐盟為加強(qiáng)個(gè)人信息的保護(hù)，于2012年1月開(kāi)始起草《通用數(shù)據(jù)保護(hù)條例》，經(jīng)過(guò)四年的探討與協(xié)商，2016年4月歐盟正式通過(guò)這一條例并開(kāi)始試行，2018年5月25日該條例正式全面施行。隨著該條例的實(shí)施，歐盟個(gè)人信息保護(hù)的法律制度趨于成熟，形成了歐盟國(guó)家個(gè)人信息保護(hù)統(tǒng)一立法的格局。二是分散立法模式。分散立法模式是公法和私法采用不同的個(gè)人信息保護(hù)立法方式，公務(wù)機(jī)關(guān)和非公務(wù)機(jī)關(guān)在個(gè)人信息保護(hù)上適用不同的規(guī)則，沒(méi)有個(gè)人信息保護(hù)的統(tǒng)一立法，采用在不同領(lǐng)域、不同行業(yè)分別立法的方式保護(hù)個(gè)人信息。美國(guó)是分散立法模式的典型國(guó)家。美國(guó)在公共領(lǐng)域個(gè)人信息的保護(hù)主要是采用立法保護(hù)的方式，通過(guò)立法來(lái)控制政府機(jī)關(guān)收集、處理和利用個(gè)人信息，以隱私權(quán)的保護(hù)來(lái)維護(hù)個(gè)人信息的自由。在私人領(lǐng)域采用行業(yè)自律的方式，在個(gè)人信息保護(hù)與流動(dòng)之間構(gòu)建平衡[22]。在個(gè)人信息保護(hù)的立法層面，美國(guó)1974年的《隱私權(quán)法》和1966年的《聯(lián)邦信息公開(kāi)法》是兩大重要的法律。美國(guó)個(gè)人信息保護(hù)行業(yè)自律采用的主要方式有建議性的行業(yè)指引（suggestive industry guidelines）和網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃（online private seal program）。建議性的行業(yè)指引通過(guò)本行業(yè)內(nèi)的行為指引或隱私標(biāo)準(zhǔn)為行業(yè)內(nèi)的隱私保護(hù)提供示范;網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃通過(guò)認(rèn)證的網(wǎng)站要在其網(wǎng)站上張貼其隱私認(rèn)證標(biāo)志，遵守在線(xiàn)隱私資料收集的行為規(guī)則并接受監(jiān)督管理[23]。三是綜合立法模式。綜合立法模式是對(duì)分散立法模式和統(tǒng)一立法模式的折中，有統(tǒng)一的個(gè)人信息保護(hù)法，但在各個(gè)領(lǐng)域也會(huì)分別立法。日本是綜合立法模式的典型國(guó)家。日本于2003年頒布、2005年實(shí)施的《個(gè)人信息保護(hù)法》是個(gè)人信息保護(hù)的基本法，制定了個(gè)人信息保護(hù)的準(zhǔn)則。日本政府的個(gè)別領(lǐng)域和行業(yè)可以制定個(gè)人信息保護(hù)的個(gè)別法或者自律規(guī)范[24]。

（二）我國(guó)網(wǎng)絡(luò)空間個(gè)人信息保護(hù)民事法律責(zé)任制度的立法模式選擇

比較上述立法模式，各有利弊。統(tǒng)一立法模式的優(yōu)點(diǎn)在于法律確認(rèn)個(gè)人信息權(quán)利為法定權(quán)利，便于個(gè)人信息的保護(hù);個(gè)人信息保護(hù)有統(tǒng)一的立法，比較公平;法律救濟(jì)機(jī)制也比較完善，便于追究個(gè)人信息保護(hù)的法律責(zé)任。缺點(diǎn)是缺乏靈活性、立法滯后、守法成本高。所以，統(tǒng)一立法比較僵化，不能適應(yīng)信息技術(shù)快速發(fā)展的需要，不利于個(gè)人信息的流通，會(huì)在一定程度上限制信息產(chǎn)業(yè)的發(fā)展。分散立法模式克服了統(tǒng)一立法模式的缺點(diǎn)，立法有針對(duì)性，適合行業(yè)特點(diǎn);有靈活性，促進(jìn)信息流通;注重預(yù)防，降低司法成本。分散立法能夠在保護(hù)個(gè)人信息的同時(shí)，在很大程度上促進(jìn)信息產(chǎn)業(yè)的發(fā)展，但分散立法也存在缺點(diǎn)，比如，缺乏強(qiáng)制力、救濟(jì)機(jī)制和有效監(jiān)督，從而使法律規(guī)制的效果不夠理想，個(gè)人信息保護(hù)的程度不夠高。綜合立法模式是一種折中主義的保護(hù)模式，吸收了上述兩種模式的優(yōu)點(diǎn)，克服了兩種模式的不足，但是對(duì)立法技術(shù)有較高的要求，尤其是統(tǒng)一立法的調(diào)整范圍和各領(lǐng)域立法的協(xié)調(diào)問(wèn)題，需要認(rèn)真斟酌。

綜合上述個(gè)人信息保護(hù)立法模式的特點(diǎn)，筆者認(rèn)為，綜合立法模式比較適合我國(guó)個(gè)人信息保護(hù)民事法律責(zé)任制度的建立。我國(guó)信息產(chǎn)業(yè)處于迅速發(fā)展的時(shí)期，過(guò)嚴(yán)的立法、過(guò)重的個(gè)人信息保護(hù)民事法律責(zé)任不利于信息產(chǎn)業(yè)的發(fā)展，在法律體系還不十分完備的情況下，制定統(tǒng)一、完善的個(gè)人信息保護(hù)法難度也比較大，統(tǒng)一立法模式不大適合我國(guó)的國(guó)情。而分散立法模式也難以效仿，分散立法模式與我國(guó)的法律傳統(tǒng)相去甚遠(yuǎn)，我國(guó)市場(chǎng)主體的法治意識(shí)比較薄弱，行業(yè)自律的水平不高，如果采用分散立法的方式，在一定程度上會(huì)使個(gè)人信息保護(hù)民事法律責(zé)任落空。因此，以自律為主的分散立法模式也不適合中國(guó)。采用綜合立法模式是我國(guó)當(dāng)前比較現(xiàn)實(shí)的選擇。筆者建議，在未來(lái)的《民法典》中通過(guò)合同篇和侵權(quán)責(zé)任篇將個(gè)人信息保護(hù)的民事法律責(zé)任進(jìn)行原則性的規(guī)定，以此為基礎(chǔ)，制定一部原則性的《個(gè)人信息保護(hù)法》，作為統(tǒng)一的立法，將個(gè)人信息保護(hù)的義務(wù)和民事法律責(zé)任規(guī)定在個(gè)人信息保護(hù)法中。在該法的指導(dǎo)下，各領(lǐng)域再結(jié)合自己的特點(diǎn)進(jìn)行單項(xiàng)立法，如網(wǎng)絡(luò)領(lǐng)域、金融領(lǐng)域、醫(yī)療領(lǐng)域、教育領(lǐng)域等。在單項(xiàng)立法中進(jìn)一步明確各領(lǐng)域個(gè)人信息保護(hù)的法律主體、義務(wù)和責(zé)任，進(jìn)行有針對(duì)性的立法，從而適應(yīng)個(gè)人信息保護(hù)法律責(zé)任主體的類(lèi)型化和民事法律責(zé)任歸責(zé)原則的多元化。這樣既有利于立法的統(tǒng)一，又能夠照顧到行業(yè)的發(fā)展，是比較合適的選擇。

網(wǎng)絡(luò)空間個(gè)人信息保護(hù)民事法律責(zé)任的界定對(duì)個(gè)人信息法律保護(hù)體系至關(guān)重要。權(quán)利的實(shí)現(xiàn)源于義務(wù)的履行，義務(wù)的履行迫于責(zé)任的威懾。將網(wǎng)絡(luò)空間個(gè)人信息保護(hù)主體義務(wù)類(lèi)型化有利于分配義務(wù)、明確責(zé)任。只有將個(gè)人信息保護(hù)的義務(wù)與民事法律責(zé)任通過(guò)法律規(guī)范清晰地界定出來(lái)，才能實(shí)現(xiàn)網(wǎng)絡(luò)空間個(gè)人信息權(quán)利的保護(hù)。綜合立法模式是我國(guó)個(gè)人信息保護(hù)的現(xiàn)實(shí)選擇，在綜合立法模式下，個(gè)人信息保護(hù)民事法律責(zé)任得到原則性指引和具體規(guī)定，通過(guò)法律責(zé)任的強(qiáng)化，使網(wǎng)絡(luò)空間個(gè)人信息保護(hù)取得實(shí)效。

[參 考 文 獻(xiàn)]

[1]王利明.論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學(xué)，2013（4）.

[2]刁勝先.論個(gè)人信息權(quán)的權(quán)利結(jié)構(gòu)——以“控制權(quán)”為束點(diǎn)和視角[J].北京理工大學(xué)學(xué)報(bào)：社會(huì)科學(xué)版，2011（3）.

[3]楊立新.個(gè)人信息：法益抑或民事權(quán)利——對(duì)《民法總則》第111條規(guī)定的“個(gè)人信息”之解讀[J].法學(xué)論壇，2018（1）.

[4]齊愛(ài)民.信息法原論——信息法的產(chǎn)生與體系化[M].武漢：武漢大學(xué)出版社，2010.

[5]齊愛(ài)民.拯救信息社會(huì)中的人格：個(gè)人信息保護(hù)法總論[M].北京：北京大學(xué)出版社，2009.

[6]齊愛(ài)民.中國(guó)信息立法研究[M].武漢：武漢大學(xué)出版社，2009.

[7]葉名怡.論個(gè)人信息權(quán)的基本范疇[J].清華法學(xué)，2018（5）.

[8]鄭志峰.網(wǎng)絡(luò)社會(huì)的被遺忘權(quán)研究[J].法商研究，2015（6）.

[9]范為.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)[J].環(huán)球法律評(píng)論，2016（5）.

[10]楊立新.中國(guó)合同責(zé)任研究（下）[J].河南政法管理干部學(xué)院學(xué)報(bào)，2000（2）.

[11]王利明，房紹坤，王軼.合同法[M].北京：中國(guó)人民大學(xué)出版社，2002.

[12]張鴻霞.網(wǎng)絡(luò)服務(wù)提供者在個(gè)人信息保護(hù)中的注意義務(wù)研究[J].法制與經(jīng)濟(jì)，2015（Z2）.

[13]王利明.人格權(quán)法研究[M].北京：中國(guó)人民大學(xué)出版社，2005.

[14]史尚寬.債法總論[M].北京：中國(guó)政法大學(xué)出版社，2000.

[15]Vincent R. Johnson. Mastering Torts： A Students guide to the Law of Torts[M]. Carolina Academic Press， 2013.

[16]龍海濤.侵權(quán)法上因果關(guān)系的比較研究[C]//沈四寶，王軍.國(guó)際商法論叢：第8卷.北京：法律出版社，2006.

[17]王澤鑒.侵權(quán)行為法：第1冊(cè)[M].北京：中國(guó)政法大學(xué)出版社，2001.

[18]H.L.A.Hart， Tony Honoré. Causation in the Law[M]. Oford at the Clarendon Press， 1985.

[19]曾世雄.損害賠償法原理[M].北京：中國(guó)政法大學(xué)出版社，2001.

[20]刁勝先.個(gè)人信息網(wǎng)絡(luò)侵權(quán)責(zé)任形式的分類(lèi)與構(gòu)成要件[J].重慶郵電大學(xué)學(xué)報(bào)，2014（2）.

[21]齊愛(ài)民.論個(gè)人信息保護(hù)法的統(tǒng)一立法模式[J].重慶工商大學(xué)學(xué)報(bào)：社會(huì)科學(xué)版，2009（4）;侯富強(qiáng).我國(guó)個(gè)人信息保護(hù)立法模式研究[J].深圳大學(xué)學(xué)報(bào)：人文社會(huì)科學(xué)版，2015（3）.

[22]楊佶.域外個(gè)人信息保護(hù)立法模式比較研究——以美、德為例[J].圖書(shū)館理論與實(shí)踐，2012（6）.

[23]周欣月.論美國(guó)行業(yè)自律模式及對(duì)我國(guó)個(gè)人信息保護(hù)立法模式的啟示[J].商，2013（23）.

[24]謝青.日本的個(gè)人信息保護(hù)法制及啟示[J].國(guó)外法學(xué)，2006（6）.

[責(zé)任編輯 于 冰]

Abstract：The protection of private information rights in cyberspace has been paid more and more attention. However， only a few people noticed the duty of private information protection and civil legal liabilities in academic circles. Because of the particularity of private information protection in cyberspace， it is essentially the protection of private information utilization. We should carry on the type study towards the duty subject of private information protection and endow the subject with the positive obligation. According to the situation of collecting and utilizing private information in cyberspace， the civil and legal liability for the protection of private information in cyberspace should include contractual and tort liabilities. The principle of imputation of private information tort liabilities in cyberspace is a diversified system， which is convenient for the right relief of the information subject. Combining with the concrete situation of legal construction and the development of the information industry， the protection of private information in cyberspace should adopt the mode of comprehensive legislation.

Key words：Cyberspace Private information Obligations Legal liabilities