程 嘯

一、引 言

個(gè)人信息保護(hù)已經(jīng)成為現(xiàn)代社會(huì)越來(lái)越重要的法律問(wèn)題，各國(guó)對(duì)個(gè)人信息的保護(hù)都是公法與私法并重的。私法上保護(hù)個(gè)人信息的主要方式就是民事責(zé)任制度，即在自然人的個(gè)人信息遭受侵害時(shí)，被侵權(quán)人有權(quán)請(qǐng)求侵權(quán)人承擔(dān)停止侵害、排除妨礙、賠償損失、賠禮道歉等民事責(zé)任。我國(guó)《民法總則》第111條對(duì)個(gè)人信息保護(hù)作出了規(guī)定。當(dāng)前正在編纂的民法典人格權(quán)編草案更是在第六章對(duì)個(gè)人信息保護(hù)作出了詳細(xì)的規(guī)定。然而，無(wú)論是《民法總則》、民法典人格權(quán)編草案，還是現(xiàn)行的涉及個(gè)人信息保護(hù)的《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《電子商務(wù)法》等法律，均缺乏對(duì)侵害個(gè)人信息民事責(zé)任的具體規(guī)定。例如，在《民法典草案》中，盡管有八個(gè)條文來(lái)規(guī)定個(gè)人信息保護(hù)，可涉及民事責(zé)任的卻只有第999條和第1037條兩條。

當(dāng)前司法實(shí)踐中，侵害個(gè)人信息的民事糾紛日益增多，(1)筆者帶領(lǐng)的課題組于2019年6月在北京市第一中級(jí)人民法院、朝陽(yáng)區(qū)法院和海淀區(qū)法院進(jìn)行調(diào)研時(shí)了解到，近五年來(lái)北京市轄區(qū)法院的個(gè)人信息糾紛案件數(shù)量都在呈現(xiàn)明顯增長(zhǎng)的趨勢(shì)，如北京市第一中級(jí)人民法院近五年來(lái)審理的涉及個(gè)人信息案件共121件。朝陽(yáng)區(qū)人民法院近五年來(lái)審理的涉及侵害個(gè)人信息權(quán)益的民事案件總量為35件，主要案由以人格權(quán)糾紛為主，占比達(dá)到全部案件的62.9%。此外，由于現(xiàn)行的民事案件案由中并未單列個(gè)人信息糾紛作為案由，故而許多個(gè)人信息糾紛的案件被納入其他案由，未能統(tǒng)計(jì)進(jìn)來(lái)為更好地發(fā)揮私法保護(hù)個(gè)人信息的功能，立法上有必要對(duì)侵害個(gè)人信息的民事責(zé)任作出更明確具體的規(guī)范。從比較法來(lái)看，德國(guó)、日本、我國(guó)臺(tái)灣地區(qū)等成文法系國(guó)家和地區(qū)的民法典均編纂于20世紀(jì)工業(yè)文明時(shí)代，故此，它們的民法典中顯然不可能規(guī)定侵害個(gè)人信息的民事責(zé)任，只能交由個(gè)人信息保護(hù)法或數(shù)據(jù)保護(hù)法等單行立法加以規(guī)定。但是，我國(guó)當(dāng)前正在編纂民法典，我國(guó)的民法典是誕生于數(shù)字文明和信息時(shí)代的新型民法典。因此，我國(guó)完全可以發(fā)揮后發(fā)優(yōu)勢(shì)，在民法典中就侵害個(gè)人信息的民事責(zé)任問(wèn)題作出具體的規(guī)定，將個(gè)人信息保護(hù)義務(wù)的具體內(nèi)容交由個(gè)人信息保護(hù)法等單行立法規(guī)定，從而使二者相互配合，協(xié)力實(shí)現(xiàn)保護(hù)個(gè)人信息、促進(jìn)信息流動(dòng)與合理使用的立法目的。

鑒于理論界對(duì)侵害個(gè)人信息民事責(zé)任的研究尚不深入，故此，本文將就其中的幾個(gè)重大問(wèn)題如責(zé)任主體的界定、歸責(zé)原則、加害行為的證明以及損害等進(jìn)行研究，以供我國(guó)民法典編纂及最高人民法院起草個(gè)人信息權(quán)糾紛司法解釋之參考。

二、侵害個(gè)人信息的主體的界定

侵害個(gè)人信息的民事糾紛主要就是侵權(quán)糾紛。(2)實(shí)踐中，只有極個(gè)別的侵害個(gè)人信息案件中的當(dāng)事人提起違約之訴。參見(jiàn)“趙俊艷、中國(guó)南方航空股份有限公司航空旅客運(yùn)輸合同糾紛案”，廣州鐵路運(yùn)輸中級(jí)法院(2017)粵71民終11號(hào)民事判決書。在因侵權(quán)糾紛形成的侵權(quán)法律關(guān)系中，主體一般就是加害人與受害人、侵權(quán)人與被侵權(quán)人或者賠償權(quán)利人與賠償義務(wù)人。(3)程嘯：《侵權(quán)責(zé)任法》(第二版)，北京：法律出版社2015年版，第651頁(yè)。具體到侵害個(gè)人信息的案件，受害人、被侵權(quán)人或者賠償權(quán)利人就是個(gè)人信息遭受侵害的自然人，也稱“信息被收集者”或者“個(gè)人信息主體”。但是，侵害個(gè)人信息的加害人或者侵權(quán)人的類型則較為復(fù)雜。這是因?yàn)?，在個(gè)人信息的收集、存儲(chǔ)、傳輸、轉(zhuǎn)讓、使用等各個(gè)環(huán)節(jié)都會(huì)出現(xiàn)加害行為，不同環(huán)節(jié)的加害行為類型不同，實(shí)施該行為的加害人也有所不同。具體來(lái)說(shuō)，在個(gè)人信息的收集環(huán)節(jié)，如果自然人、法人或者非法人組織未經(jīng)信息被收集者的同意收集個(gè)人信息的，其行為屬于非法收集個(gè)人信息的行為，從事該行為的加害人就是“信息收集者”；如果合法收集了個(gè)人信息的主體，未經(jīng)信息被收集者的同意非法出售個(gè)人信息，或者違反約定或超越法定的范圍處理個(gè)人信息的，則從事這兩類加害行為的主體，就是所謂的“信息處分者”與“信息使用者”。至于那些因沒(méi)有妥善保管依法收集的個(gè)人信息而導(dǎo)致信息被泄露的主體，一般稱為“信息保管者”。此外，侵害個(gè)人信息的主體還有“信息傳輸者”和“信息存儲(chǔ)者”等其他主體。

這樣一來(lái)產(chǎn)生的問(wèn)題就是，在規(guī)范侵害個(gè)人信息民事責(zé)任的法律或者司法解釋中，是否應(yīng)根據(jù)加害行為的不同而對(duì)加害人采取不同的稱謂，從而有所區(qū)別，分別規(guī)范？在我國(guó)，由于尚未制定專門的個(gè)人信息保護(hù)法，故此對(duì)于那些負(fù)有個(gè)人信息保護(hù)義務(wù)并在違反義務(wù)時(shí)需要承擔(dān)法律責(zé)任的主體，并無(wú)統(tǒng)一的稱謂，基本上是由各個(gè)法律從自身調(diào)整范圍出發(fā)分別使用不同的名稱?！度珖?guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》采取的是“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位”的表述?！毒W(wǎng)絡(luò)安全法》則使用了“網(wǎng)絡(luò)運(yùn)營(yíng)者”的概念(第40條至第43條)。依據(jù)該法第76條第3項(xiàng)，所謂網(wǎng)絡(luò)運(yùn)營(yíng)者，是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。至于《消費(fèi)者權(quán)益保護(hù)法》與《電子商務(wù)法》，又分別采取了“經(jīng)營(yíng)者”和“電子商務(wù)平臺(tái)經(jīng)營(yíng)者”的表述。

在比較法上，歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)使用的是“控制者(controller)”與“處理者(processor)”這兩個(gè)概念。依據(jù)該條例第4條第7項(xiàng)與第8項(xiàng)的定義，控制者是指能夠單獨(dú)或者與他人聯(lián)合決定個(gè)人數(shù)據(jù)的處理目的與處理方法的自然人、法人、公共機(jī)構(gòu)、代理人或者其他組織；所謂處理者，是指為控制者處理個(gè)人數(shù)據(jù)的自然人、法人、公共機(jī)構(gòu)、代理人或者其他組織。作此區(qū)分的理由在于：數(shù)據(jù)的控制者決定的是數(shù)據(jù)處理的目的和方法等重大問(wèn)題，而數(shù)據(jù)的處理只是技術(shù)行為，數(shù)據(jù)控制者可以自行處理，也可以委托他人處理。在后者的情形中就發(fā)生了數(shù)據(jù)控制者與處理者的分離，當(dāng)然，對(duì)于數(shù)據(jù)控制者的規(guī)范在很大程度上也都適用于數(shù)據(jù)處理者。(4)京東法律研究院：《歐盟數(shù)據(jù)憲章：〈一般數(shù)據(jù)保護(hù)條例〉(GDPR)評(píng)述及實(shí)務(wù)指引》，北京：法律出版社2018年版，第93頁(yè)。日本法上使用的是“個(gè)人信息處理業(yè)者”的概念，依據(jù)2017年新修訂的日本《個(gè)人信息保護(hù)法》的規(guī)定，“個(gè)人信息處理業(yè)者”是指，已經(jīng)將個(gè)人信息數(shù)據(jù)庫(kù)等供業(yè)務(wù)使用者，但是不包括國(guó)家機(jī)關(guān)、地方公共團(tuán)體、獨(dú)立行政法人以及地方獨(dú)立行政法人等。我國(guó)臺(tái)灣地區(qū)的“個(gè)人資料保護(hù)法”也沒(méi)有使用專門的概念來(lái)稱呼個(gè)人信息保護(hù)的義務(wù)主體，而是將侵害個(gè)人信息的主體分為兩類，即“公務(wù)機(jī)關(guān)”(即依法行使公權(quán)力之中央或地方機(jī)關(guān)或行政法人)與“非公務(wù)機(jī)關(guān)”(即公務(wù)機(jī)關(guān)之外的自然人、法人或其他團(tuán)體)，并分別對(duì)這兩類主體對(duì)個(gè)人資料的收集、處理、使用作出了規(guī)范，施加了不同的法律責(zé)任。

在我國(guó)民法典編纂過(guò)程中，多數(shù)說(shuō)認(rèn)為，無(wú)須根據(jù)不同的加害環(huán)節(jié)來(lái)對(duì)侵害個(gè)人信息的責(zé)任主體使用不同的稱謂，而應(yīng)采取統(tǒng)一的概念。但是，究竟使用何種概念，又有不同的看法。一種觀點(diǎn)主張借鑒歐盟的做法，采取“信息控制者”或者“數(shù)據(jù)控制者”的表述，例如，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)起草的《個(gè)人信息安全規(guī)范》就使用了“個(gè)人信息控制者”的概念，并將之界定為“有權(quán)決定個(gè)人信息處理目的、方式等的組織或個(gè)人”(第3.4條)，該觀點(diǎn)被民法典人格權(quán)編草案第三次審議稿及民法典草案所接受(民法典草案第1036條，第1038條)。另一種觀點(diǎn)則主張采取“個(gè)人信息持有者”的表述，公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、公安部第三研究所制定的《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》第3.3條將“個(gè)人信息持有”界定為“對(duì)個(gè)人信息及相關(guān)資源、環(huán)境、管理體系等進(jìn)行計(jì)劃、組織、協(xié)調(diào)、控制的相關(guān)活動(dòng)或行為”。第3.4條將“個(gè)人信息持有者”界定為：“對(duì)個(gè)人信息進(jìn)行控制和處理的組織或個(gè)人?！痹撚^點(diǎn)為民法典人格權(quán)編草案所接受?！睹穹ǖ淙烁駲?quán)編草案(二審稿)》在第六章“隱私權(quán)和個(gè)人信息保護(hù)”中，使用了 “信息持有者”的表述(第815、817條)。

筆者認(rèn)為，我國(guó)民法典以及未來(lái)的個(gè)人信息保護(hù)立法應(yīng)當(dāng)借鑒歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)的做法，統(tǒng)一采取“信息控制者”的概念來(lái)涵蓋在信息的收集、記錄、存儲(chǔ)、修改、刪除、運(yùn)輸、轉(zhuǎn)讓、使用、披露、傳播等涉及個(gè)人信息的全部過(guò)程中，對(duì)于個(gè)人信息具有控制力的各類主體(包括自然人、法人或者非法人組織)。所謂信息控制者是指，對(duì)個(gè)人信息具有法律上或者事實(shí)上控制力的自然人、法人或者非法人組織。首先，使用“信息控制者”這一概念可以避免根據(jù)不同的信息處理的方法采取不同的稱呼，以致法律規(guī)范的義務(wù)主體類型過(guò)多，產(chǎn)生各種交叉重疊、重復(fù)沖突的問(wèn)題。其次，信息控制者的概念揭示了對(duì)于信息所具有的控制力這一核心要素，無(wú)論該控制力是法律上的還是事實(shí)上的。這也正是信息控制者被法律施加各種個(gè)人信息保護(hù)義務(wù)的根本原因所在。再次，對(duì)于信息的控制者與處理者沒(méi)有必要加以區(qū)分。無(wú)論信息控制者與信息處理者是否為同一主體，二者都負(fù)有相同的個(gè)人信息保護(hù)的法定義務(wù)，即便信息控制者與信息處理者之間存在合同的約定，也無(wú)法改變此種義務(wù)，只是二者內(nèi)部的法律關(guān)系而已。

三、侵害個(gè)人信息民事責(zé)任的歸責(zé)原則

(一)現(xiàn)行法上適用的是過(guò)錯(cuò)責(zé)任原則

在我國(guó)侵權(quán)法中，過(guò)錯(cuò)責(zé)任是最基本的損害賠償責(zé)任的歸責(zé)原則(《侵權(quán)責(zé)任法》第6條第1款)。至于過(guò)錯(cuò)推定責(zé)任或無(wú)過(guò)錯(cuò)責(zé)任，都必須以法律有明確規(guī)定為前提(《侵權(quán)責(zé)任法》第6條第2款、第7條第1款)。由于我國(guó)現(xiàn)行的法律并沒(méi)有就侵害個(gè)人信息的侵權(quán)責(zé)任規(guī)定無(wú)過(guò)錯(cuò)責(zé)任或者過(guò)錯(cuò)推定責(zé)任，因此，從解釋論的角度出發(fā)，現(xiàn)行法上侵害個(gè)人信息的侵權(quán)責(zé)任適用的是過(guò)錯(cuò)責(zé)任，換言之，《侵權(quán)責(zé)任法》第6條第1款是個(gè)人信息遭受侵害的被侵權(quán)人的請(qǐng)求權(quán)基礎(chǔ)。

有學(xué)者認(rèn)為，我國(guó)《網(wǎng)絡(luò)安全法》第74條第1款規(guī)定：“違反本法規(guī)定，給他人造成損害的，依法承擔(dān)民事責(zé)任”。由此可見(jiàn)，該款規(guī)定的是無(wú)過(guò)錯(cuò)責(zé)任，即“基于違法性的無(wú)過(guò)錯(cuò)責(zé)任”。(5)葉名怡：《個(gè)人信息的侵權(quán)法保護(hù)》，《法學(xué)研究》2018年第4期。筆者不贊同此種看法，因?yàn)椤毒W(wǎng)絡(luò)安全法》該款并非獨(dú)立的請(qǐng)求權(quán)基礎(chǔ)，更未確立無(wú)過(guò)錯(cuò)責(zé)任，該款只是依據(jù)我國(guó)立法慣例所做的一個(gè)銜接性的規(guī)定。在我國(guó)，很多行政管制性的法律均會(huì)在“法律責(zé)任”一章中作出類似的規(guī)定。事實(shí)上，這一點(diǎn)從該款中“依法承擔(dān)承擔(dān)民事責(zé)任”中“依法”一詞即可看出。也就是說(shuō)，即便違反本法規(guī)定給他人造成損害，如何承擔(dān)民事責(zé)任還是要依法(即依據(jù)《侵權(quán)責(zé)任法》等法律)來(lái)認(rèn)定。故此，不能認(rèn)為《網(wǎng)絡(luò)安全法》第74條第1款確立了侵害個(gè)人信息的無(wú)過(guò)錯(cuò)責(zé)任。

(二)未來(lái)立法上對(duì)侵害個(gè)人信息的民事責(zé)任應(yīng)適用無(wú)過(guò)錯(cuò)責(zé)任

從立法論的角度來(lái)看，我國(guó)法上是否應(yīng)當(dāng)對(duì)于侵害個(gè)人信息的侵權(quán)責(zé)任規(guī)定無(wú)過(guò)錯(cuò)責(zé)任或者過(guò)錯(cuò)推定責(zé)任呢？有學(xué)者認(rèn)為，未來(lái)我國(guó)的個(gè)人信息侵權(quán)責(zé)任應(yīng)當(dāng)采取三元?dú)w責(zé)體系，即公務(wù)機(jī)關(guān)以數(shù)據(jù)自動(dòng)處理技術(shù)實(shí)施的信息侵權(quán)適用無(wú)過(guò)錯(cuò)責(zé)任，采取自動(dòng)化處理系統(tǒng)的非公務(wù)機(jī)關(guān)的信息侵權(quán)則適用過(guò)錯(cuò)推定責(zé)任；至于那些沒(méi)有采取自動(dòng)數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)處理者，其信息侵權(quán)應(yīng)當(dāng)適用一般的過(guò)錯(cuò)責(zé)任。(6)葉名怡：《個(gè)人信息的侵權(quán)法保護(hù)》，《法學(xué)研究》2018年第4期。

從比較法來(lái)看，確實(shí)有不少國(guó)家或地區(qū)對(duì)侵害個(gè)人信息的侵權(quán)責(zé)任規(guī)定了過(guò)錯(cuò)推定責(zé)任或無(wú)過(guò)錯(cuò)責(zé)任。歐盟的《一般數(shù)據(jù)保護(hù)條例》(GDPR)第82條第2款規(guī)定：“參與處理的任何控制者應(yīng)當(dāng)為違反本條例的數(shù)據(jù)處理所導(dǎo)致的損害負(fù)責(zé)。任何處理者，僅在其未遵守本條例對(duì)于處理者義務(wù)的特別規(guī)定或采取超出控制者的合法指令或者與控制者的指令相反的處理行為時(shí)，應(yīng)為數(shù)據(jù)處理導(dǎo)致的損害負(fù)責(zé)。”該條第3款規(guī)定了控制者和處理者的免責(zé)事由，即如果能夠證明其無(wú)論如何都不應(yīng)對(duì)造成損害的事件負(fù)責(zé)時(shí)(it is not in any way responsible for the event giving rise to the damage)，才能免除第2款的責(zé)任。顯然這一免責(zé)事由比之前的歐盟《數(shù)據(jù)保護(hù)指令》的要求更高了。(7)按照歐盟《數(shù)據(jù)保護(hù)指令》(Data Protection Directive)第23條第2款的規(guī)定，如果數(shù)據(jù)的控制者能夠證明其無(wú)須對(duì)造成損害的事件負(fù)責(zé)，即可全部或部分免除責(zé)任。因?yàn)閿?shù)據(jù)的控制者和處理者基本上很難證明這一點(diǎn)，其即便證明了自己已經(jīng)完全按照《一般數(shù)據(jù)保護(hù)條例》(GDPR)的要求履行了全部的義務(wù)，也依然無(wú)法阻止損害的發(fā)生，前述免責(zé)事由也不會(huì)被適用。(8)Paul Voigt & Axel von dem Bussche, The EU General Data Protection Regulation(GDPR),Springer,2017,at 208.因此，歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)第82條對(duì)侵害個(gè)人信息的民事責(zé)任采取的是極為嚴(yán)格的責(zé)任，僅僅證明沒(méi)有過(guò)錯(cuò)或者履行了法定的義務(wù)等，都不足以免責(zé)。在德國(guó)，《聯(lián)邦數(shù)據(jù)保護(hù)法》第83條區(qū)分自動(dòng)化數(shù)據(jù)處理與非自動(dòng)化數(shù)據(jù)處理分別規(guī)定了無(wú)過(guò)錯(cuò)責(zé)任與過(guò)錯(cuò)推定。具體來(lái)說(shuō)，對(duì)于自動(dòng)化的數(shù)據(jù)處理所產(chǎn)生的損害適用無(wú)過(guò)錯(cuò)責(zé)任，即只要數(shù)據(jù)控制者處理他人數(shù)據(jù)的行為違反了《聯(lián)邦數(shù)據(jù)保護(hù)法》或其他法律并導(dǎo)致他人損害的，控制人或者其法人就負(fù)有損害賠償義務(wù)。但是，在非自動(dòng)化的數(shù)據(jù)處理的情形下，如果損害并不是由于控制人的過(guò)錯(cuò)所致，則其不負(fù)有賠償義務(wù)。(9)Vgl. Paal & Pauly, DS-GVO BDSG,2. Auflage 2018,Rn. 4-9.我國(guó)臺(tái)灣地區(qū)的“個(gè)人資料保護(hù)法”區(qū)分公務(wù)機(jī)關(guān)與非公務(wù)機(jī)關(guān)的信息侵權(quán)行為，分別規(guī)定了不同的責(zé)任。依據(jù)該法第28條，公務(wù)機(jī)關(guān)違反本法規(guī)定致個(gè)人資料遭不法收集、處理、利用或者其他侵害當(dāng)事人權(quán)利的情形的，但是損害因?yàn)樘鞛?zāi)、事變或者其他不可抗力所致者除外。同法第29條規(guī)定，非公務(wù)機(jī)關(guān)違反本法規(guī)定致個(gè)人資料遭不法收集、處理、利用或者其他侵害當(dāng)事人權(quán)利的情形的，負(fù)損害賠償責(zé)任，但是可以證明沒(méi)有故意或者過(guò)失的除外。由此可見(jiàn)，臺(tái)灣地區(qū)的公務(wù)機(jī)關(guān)與非公務(wù)機(jī)關(guān)侵害個(gè)人信息的侵權(quán)責(zé)任分別適用的是無(wú)過(guò)錯(cuò)責(zé)任與過(guò)錯(cuò)推定責(zé)任。(10)在我國(guó)臺(tái)灣地區(qū)，針對(duì)公務(wù)機(jī)關(guān)違反“個(gè)人資料保護(hù)法”而不法收集、處理、利用個(gè)人信息或其他侵害當(dāng)事人權(quán)利的行為，受害人請(qǐng)求公務(wù)機(jī)關(guān)承擔(dān)賠償責(zé)任時(shí)，程序上應(yīng)當(dāng)先適用“國(guó)家賠償法”的規(guī)定。參見(jiàn)林洲富：《個(gè)人資料保護(hù)法之理論與實(shí)務(wù)》，臺(tái)北：臺(tái)灣元照出版公司2019年版，第99頁(yè)。

應(yīng)當(dāng)說(shuō)，侵害個(gè)人信息的侵權(quán)責(zé)任是隨著網(wǎng)絡(luò)信息科技的發(fā)展而產(chǎn)生的新型侵權(quán)行為，并非一般侵權(quán)責(zé)任。如果對(duì)之適用過(guò)錯(cuò)責(zé)任，要求受害人證明加害人的過(guò)錯(cuò)，顯然是很困難的。即便在我國(guó)當(dāng)前的司法實(shí)踐中，法院審理個(gè)人信息侵權(quán)糾紛時(shí)，對(duì)于侵權(quán)人過(guò)錯(cuò)的認(rèn)定基本上也都采取了客觀化的判斷標(biāo)準(zhǔn)，即依據(jù)法律關(guān)于個(gè)人信息保護(hù)的義務(wù)性規(guī)范直接將侵權(quán)人違反此等法定義務(wù)之行為視作有過(guò)錯(cuò)的行為，即違法視為過(guò)失。例如，在“龐理鵬與北京趣拿信息技術(shù)有限公司等隱私權(quán)糾紛”中，法院認(rèn)為，《消費(fèi)者權(quán)益保護(hù)法》第29條第2款“在立法層面上對(duì)消費(fèi)者個(gè)人隱私和信息的保護(hù)，也是對(duì)經(jīng)營(yíng)者保護(hù)消費(fèi)者個(gè)人信息的強(qiáng)制性規(guī)定。經(jīng)營(yíng)者違反了該條規(guī)定，即視為其存在過(guò)錯(cuò)?！薄皬谋驹含F(xiàn)有證據(jù)看，東航和趣拿公司在被媒體多次報(bào)道涉嫌泄露乘客隱私后，即應(yīng)知曉其在信息安全管理方面存在漏洞，但是，該兩家公司卻并未舉證證明其在媒體報(bào)道后迅速采取了專門的、有針對(duì)性的有效措施，以加強(qiáng)其信息安全保護(hù)。而本案泄露事件的發(fā)生，正是其疏于防范導(dǎo)致的結(jié)果，因而可以認(rèn)定趣拿公司和東航具有過(guò)錯(cuò)，理應(yīng)承擔(dān)侵權(quán)責(zé)任?！?11)北京市第一中級(jí)人民法院(2017)京01民終509號(hào)民事判決書。類似的判決還可參見(jiàn)，“王艷春與王茹香、李春香等隱私權(quán)糾紛案”，北京市門頭溝區(qū)人民法院(2017)京0109民初4611號(hào)民事判決書。

筆者認(rèn)為，對(duì)于侵害個(gè)人信息的侵權(quán)責(zé)任不應(yīng)當(dāng)適用過(guò)錯(cuò)責(zé)任，而應(yīng)當(dāng)統(tǒng)一適用無(wú)過(guò)錯(cuò)責(zé)任，即受害人在針對(duì)信息控制者提起侵害個(gè)人信息的侵權(quán)之訴時(shí)，無(wú)須證明信息控制者存在過(guò)錯(cuò)，信息控制者只有在符合法定的免責(zé)事由時(shí)，才能免除責(zé)任。首先，統(tǒng)一適用無(wú)過(guò)錯(cuò)責(zé)任能夠更好地保護(hù)自然人的合法權(quán)益，使得自然人無(wú)須證明加害人的過(guò)錯(cuò)，同時(shí)也避免了實(shí)踐中自動(dòng)化數(shù)據(jù)處理與非自動(dòng)化數(shù)據(jù)處理而適用不同的歸責(zé)原則造成的麻煩。其次，雖然適用無(wú)過(guò)錯(cuò)責(zé)任，但是，可以在適用范圍和免責(zé)事由上針對(duì)各種主體從事的活動(dòng)的差異性而作出不同的規(guī)定，以便協(xié)調(diào)個(gè)人信息保護(hù)與合理自由(言論自由、信息自由等)的維護(hù)之間的關(guān)系。具體而言，一方面，如果被告從事的信息的收集和處理是純粹的個(gè)人或者家庭生活中進(jìn)行的活動(dòng)，則不適用無(wú)過(guò)錯(cuò)責(zé)任，(12)參見(jiàn)歐盟《一般數(shù)據(jù)保護(hù)條例(GDPR)》第2條第2款第C項(xiàng)的規(guī)定。如果產(chǎn)生侵權(quán)糾紛，仍然適用過(guò)錯(cuò)責(zé)任；另一方面，被告在證明存在以下事由之一的，可以免除侵權(quán)責(zé)任：(1)被告是在原告或者其監(jiān)護(hù)人同意的范圍內(nèi)實(shí)施的收集、使用或者公開(kāi)個(gè)人信息的行為；(2)被告所使用的信息是原告自行公開(kāi)的或者其他已合法公開(kāi)的信息，除非使用該信息侵害該自然人重大利益或者自然人明確拒絕他人使用；(3)被告是為了實(shí)施新聞報(bào)道、維護(hù)公共利益或者為了維護(hù)原告的人身財(cái)產(chǎn)權(quán)益而合理實(shí)施的收集、使用或者公開(kāi)個(gè)人信息的行為；(4)法律、行政法規(guī)規(guī)定的其他可以不經(jīng)原告同意而收集、使用或者公開(kāi)個(gè)人信息的情形。

四、侵害個(gè)人信息的行為類型與加害人的證明

(一)侵害個(gè)人信息的行為類型

由于個(gè)人信息是能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，故此，侵害個(gè)人信息的加害行為可以分為兩大類：其一，雖然侵害了個(gè)人信息，但加害人不以此為目的，而只是利用或借助個(gè)人信息來(lái)實(shí)現(xiàn)對(duì)受害人其他民事權(quán)益的侵害并造成損害。例如，犯罪分子非法竊取或購(gòu)買個(gè)人信息來(lái)實(shí)施電信詐騙或殺害受害人；(13)在美國(guó)發(fā)生的一起案件中，由于信息中介將一名婦女的社會(huì)保險(xiǎn)號(hào)和雇傭信息出售給了跟蹤者，結(jié)果導(dǎo)致該女士被找到并被槍殺。參見(jiàn)，Remsburg v. Docusearch,Inc, 149 N.H. 148, 816 A.2d 1001 (2003).再如，加害人公開(kāi)披露某人的家庭住址信息、工作場(chǎng)所信息、銀行存款信息等，從而損害受害人的隱私權(quán)、名譽(yù)權(quán)等人格權(quán)。由于這一類侵害個(gè)人信息行為的目的和后果是侵害受害人除個(gè)人信息之外的其他人身權(quán)益和財(cái)產(chǎn)權(quán)益，所以由此引發(fā)的侵權(quán)責(zé)任也主要表現(xiàn)為侵害生命權(quán)、隱私權(quán)、名譽(yù)權(quán)等的侵權(quán)責(zé)任。

其二，單純的侵害個(gè)人信息的加害行為，也就是說(shuō)，該加害行為的目的和主要后果就是侵害受害人的個(gè)人信息。其中，最典型的一類就是《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》第12條所規(guī)定的網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)“公開(kāi)自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動(dòng)等個(gè)人隱私和其他個(gè)人信息”。(14)由于現(xiàn)行的《民事案件案由規(guī)定》中并沒(méi)有“個(gè)人信息糾紛”這一案由，故此類案件即便不構(gòu)成隱私權(quán)糾紛或名譽(yù)權(quán)糾紛，也基本上會(huì)以這兩類案由立案審理。例如，“王金龍與漢庭星空(上海)酒店管理有限公司、浙江慧某驛站網(wǎng)絡(luò)有限公司隱私權(quán)糾紛案”，上海市浦東新區(qū)人民法院(2014)浦民一(民)初字第501號(hào)民事判決書。從司法實(shí)踐來(lái)看，這一類案件的數(shù)量也占侵害個(gè)人信息侵權(quán)案件的大多數(shù)，且主要是以隱私權(quán)糾紛出現(xiàn)。(15)根據(jù)北京市朝陽(yáng)區(qū)人民法院的統(tǒng)計(jì)資料，此類侵害個(gè)人信息的侵權(quán)行為占整個(gè)案件數(shù)量的比例高達(dá)56%。參見(jiàn)，北京市朝陽(yáng)區(qū)人民法院編：《個(gè)人信息保護(hù)類民事案件研討會(huì)參考資料》，2018年，第29頁(yè)。此外，從實(shí)踐來(lái)看，除了非法披露或公開(kāi)個(gè)人信息的加害行為之外，單純的侵害個(gè)人信息的行為至少還包括以下幾類：

(1)非法收集個(gè)人信息，如未經(jīng)被收集者的同意即收集個(gè)人信息，或者雖經(jīng)同意但是未依法明示收集、使用信息的目的、方式和范圍或超越目的、方式和范圍過(guò)度收集個(gè)人信息。(16)比較典型的案例就是“朱燁與北京百度網(wǎng)訊科技公司隱私權(quán)糾紛案”，南京市中級(jí)人民法院(2014)寧民終字第5028號(hào)民事判決書。

(2)泄露、毀損、丟失個(gè)人信息，即收集個(gè)人信息者違反法律規(guī)定和當(dāng)事人的約定，未采取應(yīng)有的技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，導(dǎo)致個(gè)人信息泄露、毀損、丟失。實(shí)踐中這一類案件主要表現(xiàn)為醫(yī)療機(jī)構(gòu)保管病歷不當(dāng)導(dǎo)致信息丟失、單位的人事部門或人力資源部門保管人事檔案不當(dāng)導(dǎo)致的信息缺損、電子設(shè)備維修不當(dāng)錯(cuò)誤刪除記錄等，其訴由主要是合同糾紛。(17)北京市朝陽(yáng)區(qū)人民法院編：《個(gè)人信息保護(hù)類民事案件研討會(huì)參考資料》，2018年，第29頁(yè)。

(3)非法利用個(gè)人信息，即雖然個(gè)人信息的收集是符合法律規(guī)定，經(jīng)過(guò)被收集人的同意，但是收集者沒(méi)有經(jīng)過(guò)被收集者的同意，違反法律、行政法規(guī)的規(guī)定或者雙方的約定使用個(gè)人信息的。目前比較常見(jiàn)的有：利用他人的身份信息將他人登記為公司的股東、法定代表人或者董事、監(jiān)事等；房產(chǎn)中介將客戶的身份證信息以及房源信息偽造固定住所進(jìn)而取得北京市居住證等。(18)相關(guān)案例參見(jiàn)，“趙鵬與被告北京鏈家房地產(chǎn)經(jīng)紀(jì)有限公司、宋英華、楊喜東，第三人宋金友一般人格權(quán)糾紛案”，北京市朝陽(yáng)區(qū)人民法院(2018)京0105民初9840號(hào)民事判決書。

(4)非法泄露或者買賣個(gè)人信息，即個(gè)人信息收集者泄露個(gè)人信息或者未經(jīng)被收集者同意將個(gè)人信息非法出售或者其他方式傳輸給他人的行為。這類加害行為主要表現(xiàn)為非法買賣公民個(gè)人信息的犯罪行為。例如，電信部門、金融機(jī)構(gòu)、房地產(chǎn)中介等利用職務(wù)之便，將獲取的客戶信息非法出售給他人牟利。

(5)其他侵害個(gè)人信息的行為，如因收集者的原因而致所收集的個(gè)人信息是錯(cuò)誤的，最典型的就是征信系統(tǒng)中記載的他人的信用信息是錯(cuò)誤的。

(二)加害行為的證明

由于信息具有很強(qiáng)的流動(dòng)性，而信息的收集、存儲(chǔ)、保管、使用等環(huán)節(jié)眾多，涉及的主體復(fù)雜，故此，一旦發(fā)生侵害個(gè)人信息給受害人造成損害的情形，受害人往往很難證明被告實(shí)施了侵害個(gè)人信息的加害行為。這種情形在個(gè)人信息被泄露，為犯罪分子所利用而實(shí)施電信詐騙的場(chǎng)合最為常見(jiàn)。此時(shí)，被告常以信息并非自己所泄露為由進(jìn)行抗辯，而原告要提出證據(jù)證明被告實(shí)施了泄露其個(gè)人信息的行為(作為或不作為)，十分困難。故此，一些法院只能以原告未能證明被告實(shí)施了加害行為為由駁回其訴訟請(qǐng)求。(19)相關(guān)案例參見(jiàn)，“孫旭東與平安銀行股份有限公司、深圳市鑫富源投資咨詢有限公司隱私權(quán)糾紛案”，廣東省深圳市中級(jí)人民法院(2017)粵03民終7378號(hào)民事判決書；“季海紅與被告江蘇蘇寧易購(gòu)電子商務(wù)有限公司隱私權(quán)糾紛案”，江蘇省南京市玄武區(qū)人民法院(2016)蘇0102民初1120號(hào)民事判決書。為了更好地保護(hù)個(gè)人信息，減輕原告在此類案件中的舉證負(fù)擔(dān)，在“龐理鵬與北京趣拿信息技術(shù)有限公司等隱私權(quán)糾紛案”中，法院提出了證明加害人的高度可能性的判斷標(biāo)準(zhǔn)，即只要原告提供的證據(jù)能夠表明被告存在泄露原告?zhèn)€人隱私信息的高度可能，而被告又不能反證推翻這種高度可能，就可以認(rèn)為被告實(shí)施了泄露個(gè)人信息的加害行為。(20)參見(jiàn)北京市第一中級(jí)人民法院(2017)京01民終509號(hào)民事判決書。該標(biāo)準(zhǔn)一經(jīng)提出，即在司法實(shí)踐中產(chǎn)生了很大的影響，一些法院在處理個(gè)人信息侵權(quán)案件時(shí)采取了該標(biāo)準(zhǔn)。(21)“申瑾與上海攜程商務(wù)有限公司，支付寶(中國(guó))網(wǎng)絡(luò)技術(shù)有限公司侵權(quán)責(zé)任糾紛案”，北京市朝陽(yáng)區(qū)人民法院(2018)京0105民初36658號(hào)民事判決書。

筆者認(rèn)為，以高度可能性的判斷標(biāo)準(zhǔn)來(lái)確認(rèn)被告是否實(shí)施了加害行為，是非常合理的，值得贊同。一方面，該標(biāo)準(zhǔn)并未改變民事訴訟法規(guī)定的舉證責(zé)任的分配，原告依然需要提出各種證據(jù)來(lái)證明被告存在泄露個(gè)人信息的高度可能；另一方面，考慮到現(xiàn)代信息社會(huì)中個(gè)人信息可能被很多主體所收集、存儲(chǔ)和利用，信息的傳遞本身也具有極大的隱蔽性，要求原告確切無(wú)疑地證明究竟泄露個(gè)人信息的主體是誰(shuí)，顯然強(qiáng)人所難。故此，只需要證明被告存在泄露個(gè)人信息的高度可能性就行。原告的舉證是否達(dá)到了證明被告存在泄露個(gè)人信息的高度可能，應(yīng)由法官結(jié)合案件的具體事實(shí)綜合判斷。一旦認(rèn)可了原告的證明達(dá)到了這種高度的可能，就應(yīng)當(dāng)由被告提供各種證據(jù)來(lái)推翻這種高度可能。

筆者認(rèn)為，在適用高度可能性的證明標(biāo)準(zhǔn)時(shí)，法院無(wú)論是在認(rèn)定原告對(duì)被告加害行為的舉證是否達(dá)到了高度的可能，還是在認(rèn)定被告的舉證是否足以推翻這種高度可能時(shí)，都需要綜合考慮以下幾個(gè)因素：(1)被告掌握原告被泄露的個(gè)人信息的范圍與程度。個(gè)人信息的類型眾多，被告掌握原告被泄露的個(gè)人信息的范圍越大，程度越深，則其泄露原告?zhèn)€人信息的可能性越大。(2)其他單位或個(gè)人掌握被泄露的個(gè)人信息的可能性。盡管現(xiàn)代社會(huì)中任何自然人的個(gè)人信息可能都被很多單位或個(gè)人所掌握，但每個(gè)單位或個(gè)人所掌握的個(gè)人信息是不同的，例如，航班信息往往是被航空公司以及票務(wù)公司所掌握，如果被泄露了，航空公司、票務(wù)公司泄露的可能性肯定要大于那些掌握自然人財(cái)務(wù)信息的銀行等金融機(jī)構(gòu)。(3)被告是否曾經(jīng)存在泄露自然人個(gè)人信息的情形。如果被告曾經(jīng)存在泄露自然人個(gè)人信息的情形，如被媒體披露過(guò)或者被相關(guān)政府主管部門進(jìn)行過(guò)批評(píng)、警告甚至處罰的，其泄露個(gè)人信息的可能性就更大。(4)被告已經(jīng)采取的個(gè)人信息的保護(hù)機(jī)制和具體措施。被告如果能夠舉證證明自己已經(jīng)采取了非常充分的個(gè)人信息的保護(hù)機(jī)制和具體措施，履行法律法規(guī)等規(guī)定的各種個(gè)人信息保護(hù)的義務(wù)，就可以在很大程度上推翻其泄露原告?zhèn)€人信息的高度可能性，至少將這種可能性降得比較低了。(5)信息收集者、信息存儲(chǔ)者、信息使用者對(duì)接入其平臺(tái)的第三方應(yīng)用是否建立準(zhǔn)入等相應(yīng)的管理機(jī)制和履行管理義務(wù)的情形。這主要涉及泄露個(gè)人信息究竟是平臺(tái)的提供者還是接入平臺(tái)的第三方應(yīng)用的問(wèn)題。

五、權(quán)益侵害與損害賠償

在《民法總則》《侵權(quán)責(zé)任法》規(guī)定的承擔(dān)侵權(quán)責(zé)任的八種方式中，有相當(dāng)一部分侵權(quán)責(zé)任的承擔(dān)方式性質(zhì)上屬于絕對(duì)權(quán)保護(hù)請(qǐng)求權(quán)，例如，停止侵害、排除妨礙、消除危險(xiǎn)等。這些侵權(quán)責(zé)任的承擔(dān)方式，在物權(quán)法上體現(xiàn)為物權(quán)請(qǐng)求權(quán)，在人格權(quán)法上就是人格權(quán)請(qǐng)求權(quán)。我國(guó)現(xiàn)行法雖未確認(rèn)個(gè)人信息是一種具體的人格權(quán)，但是，在認(rèn)定侵害個(gè)人信息的侵權(quán)責(zé)任時(shí)，個(gè)人信息被侵害的自然人也可以行使停業(yè)侵害、消除危險(xiǎn)等人格權(quán)請(qǐng)求權(quán)。

就損害賠償責(zé)任而言，侵害個(gè)人信息而給受害人造成損害多為財(cái)產(chǎn)損失的情形，即利用非法取得個(gè)人信息實(shí)施電信詐騙等侵害受害人的財(cái)產(chǎn)權(quán)益。此時(shí)，受害人要證明其損害還是比較容易的。例如，在“申瑾與上海攜程商務(wù)有限公司，支付寶(中國(guó))網(wǎng)絡(luò)技術(shù)有限公司侵權(quán)責(zé)任糾紛案”中，原告因個(gè)人的手機(jī)號(hào)和航班信息被他人泄露而被犯罪分子實(shí)施電信詐騙，損失了118 900元。(22)北京市朝陽(yáng)區(qū)人民法院(2018)京0105民初36658號(hào)民事判決書。但是，在不少情形下，加害人雖然實(shí)施了侵害個(gè)人信息的行為，受害人卻沒(méi)有財(cái)產(chǎn)損失或者難以證明財(cái)產(chǎn)損失。例如，被告未經(jīng)原告的同意，使用原告的房產(chǎn)信息和身份證信息為另一個(gè)被告辦理了居住證，導(dǎo)致原告在為其親戚辦理居住證時(shí)無(wú)法辦理，該案原告雖然要求被告承擔(dān)10萬(wàn)元的經(jīng)濟(jì)損失，但其并未能提出相關(guān)的證據(jù)加以證明。(23)“趙鵬與被告北京鏈家房地產(chǎn)經(jīng)紀(jì)有限公司、宋英華、楊喜東，第三人宋金友一般人格權(quán)糾紛案”，北京市朝陽(yáng)區(qū)人民法院(2018)京0105民初9840號(hào)民事判決書。

對(duì)此，《侵權(quán)責(zé)任法》第20條規(guī)定：“侵害他人人身權(quán)益造成財(cái)產(chǎn)損失的，按照被侵權(quán)人因此受到的損失賠償；被侵權(quán)人的損失難以確定，侵權(quán)人因此獲得利益的，按照其獲得的利益賠償；侵權(quán)人因此獲得的利益難以確定，被侵權(quán)人和侵權(quán)人就賠償數(shù)額協(xié)商不一致，向人民法院提起訴訟的，由人民法院根據(jù)實(shí)際情況確定賠償數(shù)額。”此外，《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》第18條第2款：“被侵權(quán)人因人身權(quán)益受侵害造成的財(cái)產(chǎn)損失或者侵權(quán)人因此獲得的利益無(wú)法確定的，人民法院可以根據(jù)具體案情在50萬(wàn)元以下的范圍內(nèi)確定賠償數(shù)額。”故此，在上述案件中，雖然原告沒(méi)有能夠證明其因個(gè)人信息被侵害而遭受財(cái)產(chǎn)損失的數(shù)額，但是，法院認(rèn)為：“針對(duì)趙鵬主張的經(jīng)濟(jì)損失，隨著社會(huì)的進(jìn)步和信息經(jīng)濟(jì)的發(fā)展，個(gè)人信息作為一種愈益重要的資源，其財(cái)產(chǎn)價(jià)值日益凸顯，個(gè)人信息處理業(yè)已形成產(chǎn)業(yè)鏈。個(gè)人信息同時(shí)體現(xiàn)著人格利益和財(cái)產(chǎn)價(jià)值，對(duì)個(gè)人信息的侵害必然帶來(lái)承擔(dān)相應(yīng)經(jīng)濟(jì)賠償責(zé)任。對(duì)于判定的經(jīng)濟(jì)損失數(shù)額，本院針對(duì)案件情況和侵權(quán)情節(jié)，確定經(jīng)濟(jì)損失賠償金額為10萬(wàn)元?！?24)“趙鵬與被告北京鏈家房地產(chǎn)經(jīng)紀(jì)有限公司、宋英華、楊喜東，第三人宋金友一般人格權(quán)糾紛案”，北京市朝陽(yáng)區(qū)人民法院(2018)京0105民初9840號(hào)民事判決書。

侵害個(gè)人信息如果造成了對(duì)受害人的隱私權(quán)、名譽(yù)權(quán)甚至生命權(quán)等人格權(quán)的侵害，常常會(huì)產(chǎn)生精神損害賠償責(zé)任的問(wèn)題。但是，單純侵害個(gè)人信息而并未造成對(duì)受害人某一具體人格權(quán)的侵害的，受害人可否請(qǐng)求精神損害賠償，值得研究。從我國(guó)《侵權(quán)責(zé)任法》第22條的規(guī)定來(lái)看，精神損害賠償責(zé)任適用的前提除了要求侵害人身權(quán)益之外，還要求造成嚴(yán)重精神損害。《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》第17條也規(guī)定：“網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者侵害他人人身權(quán)益，造成財(cái)產(chǎn)損失或者嚴(yán)重精神損害，被侵權(quán)人依據(jù)侵權(quán)責(zé)任法第二十條和第二十二條的規(guī)定請(qǐng)求其承擔(dān)賠償責(zé)任的，人民法院應(yīng)予支持。”故此，如果在侵害個(gè)人信息的案件中，原告無(wú)法證明自己遭受了嚴(yán)重的精神損害，則不得請(qǐng)求侵權(quán)人承擔(dān)精神損害賠償責(zé)任。