張雪晴
(天津商業(yè)大學(xué)法學(xué)院,天津 300134)
隨著大數(shù)據(jù)步入人們的視野,政府、企業(yè)利用大數(shù)據(jù)技術(shù)成為可能。政府通過收集、處理數(shù)據(jù)從而更好地進(jìn)行公共決策;企業(yè)通過挖掘海量數(shù)據(jù)資源,更好地做出商業(yè)決策,從而創(chuàng)造出更多的經(jīng)濟(jì)價值?!坝计淅貞]其害”,大數(shù)據(jù)視域下,在享受其帶給我們的信息紅利的同時,也要注意權(quán)利保護(hù)問題。海量信息經(jīng)過收集、加工和處理,可能引發(fā)一系列個人信息侵權(quán)和隱私泄露的問題。如近期引發(fā)爭議不斷的“車企在汽車駕駛室內(nèi)安裝攝像頭事件”,企業(yè)的目的是防止客戶疲勞駕駛和享受智能駕駛服務(wù),但同時也會引發(fā)信息泄露問題。攝像頭內(nèi)儲存的音像信息傳到后臺可能會被車企利用,從而進(jìn)行大數(shù)據(jù)分析預(yù)測,導(dǎo)致用戶的個人信息被濫用。大數(shù)據(jù)視域下,算法技術(shù)的應(yīng)用,使得個人信息侵權(quán)問題日益突出,但當(dāng)人們因個人信息權(quán)益受侵害訴至法院時,在證明侵權(quán)主體對侵害行為具有過錯時存在困難,故受害者往往得不到有效救濟(jì)。有別于傳統(tǒng)侵權(quán)樣態(tài),大數(shù)據(jù)視域下的個人信息侵權(quán)行為類型多樣,法律關(guān)系更是復(fù)雜,因此從大數(shù)據(jù)視域下個人信息侵權(quán)的特質(zhì)出發(fā),通過比較我國以及域外國家立法上有關(guān)個人信息侵權(quán)責(zé)任的歸責(zé)路徑,探尋出符合我國個人信息侵權(quán)糾紛事實規(guī)律與法律價值的歸責(zé)原則,具有重要意義。
大數(shù)據(jù)視域下,個人信息侵權(quán)主體呈現(xiàn)多元化趨勢,不僅包括網(wǎng)絡(luò)用戶,還有網(wǎng)絡(luò)服務(wù)提供者。網(wǎng)絡(luò)用戶是指接受網(wǎng)絡(luò)服務(wù)的當(dāng)事人,包括自然人用戶(網(wǎng)民)和法人用戶。法人用戶即具有網(wǎng)上交易能力和支付能力,且能夠以自己的名義承擔(dān)交易責(zé)任的法人組織[1]。網(wǎng)絡(luò)服務(wù)提供者是指為網(wǎng)絡(luò)用戶提供網(wǎng)絡(luò)技術(shù)服務(wù)或者網(wǎng)絡(luò)內(nèi)容服務(wù)的網(wǎng)絡(luò)主體。隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)服務(wù)提供者變得具有雙重屬性,如新浪、騰訊等綜合門戶網(wǎng)站,既向網(wǎng)絡(luò)用戶提供技術(shù)服務(wù)又提供內(nèi)容服務(wù)。個人信息侵權(quán)不單指網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者的單一侵權(quán)模式,也可能涉及多方主體間接侵權(quán)的新類型。單一侵權(quán)模式諸如網(wǎng)絡(luò)用戶惡意發(fā)布、轉(zhuǎn)載他人的個人信息,或者網(wǎng)絡(luò)服務(wù)提供者擅自截取、儲存他人信息并用作商用。多方主體間接侵權(quán)的模式是指網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)服務(wù)提供者共同侵權(quán),或者多個網(wǎng)絡(luò)服務(wù)提供者之間共同侵權(quán)的行為類型。如網(wǎng)絡(luò)用戶在網(wǎng)上散布他人私密信息,信息主體將其遭遇侵權(quán)的事實通知網(wǎng)絡(luò)服務(wù)提供者,而網(wǎng)絡(luò)服務(wù)提供者在接到通知后置之不理,致使侵權(quán)損害后果進(jìn)一步擴(kuò)大;亦有網(wǎng)絡(luò)服務(wù)提供者擅自收集用戶信息,并交由另一網(wǎng)絡(luò)服務(wù)提供者進(jìn)行儲存管理,而另一網(wǎng)絡(luò)服務(wù)提供者由于管理技術(shù)不當(dāng)導(dǎo)致了數(shù)據(jù)泄露。目前最為典型的就是一些電子商務(wù)平臺假借“為用戶提供更優(yōu)質(zhì)的服務(wù)”而肆無忌憚地收集用戶的各種信息,然后將這些信息交由互聯(lián)網(wǎng)大數(shù)據(jù)公司進(jìn)行加工處理,而互聯(lián)網(wǎng)公司在處理這些信息的過程中因管理操作不當(dāng)導(dǎo)致了信息泄露或被盜用。
大數(shù)據(jù)視域下,算法技術(shù)的應(yīng)用使得個人信息侵權(quán)行為的方式愈加復(fù)雜。在大數(shù)據(jù)算法應(yīng)用過程中,不同來源的數(shù)據(jù)被整合到一個數(shù)據(jù)庫,在整合數(shù)據(jù)的基礎(chǔ)上,可以做出新的推斷預(yù)測,通過數(shù)據(jù)的整合可以創(chuàng)建關(guān)于個人的新數(shù)據(jù)。數(shù)據(jù)庫本身并不存在風(fēng)險,但通過分析處理數(shù)據(jù)庫中的大量數(shù)據(jù),可能會準(zhǔn)確預(yù)測到某人未來的生活習(xí)慣等信息,這種對于隱私信息的侵犯應(yīng)當(dāng)引起警惕。譬如大數(shù)據(jù)信用評分公司依據(jù)人們的消費習(xí)慣來判斷某個人的征信情況;通過手機(jī)讀書軟件收集用戶的閱讀記錄,從而預(yù)測出用戶的性格特點和價值取向,某人可能并不愿意自己的閱讀習(xí)慣被公眾知悉,但是大數(shù)據(jù)視域下卻難逃信息的泄露。同時,大數(shù)據(jù)視域下的信息侵權(quán)可能會引發(fā)“連坐”現(xiàn)象。如在微信讀書案①中,通過關(guān)聯(lián)的好友關(guān)系可以收集本人及其好友的閱讀書籍類型和讀書想法等信息,這種信息的收集會使相關(guān)微信好友的信息泄露被“連坐”。
大數(shù)據(jù)視域下,個人信息侵權(quán)的損害后果往往具有無形性與滯后性。個人信息侵權(quán)造成的損害后果,不如財產(chǎn)損害那樣易于觀察,同時,人們也很難及時發(fā)覺自己的個人信息被侵犯。在大數(shù)據(jù)視域下,人們在互聯(lián)網(wǎng)上的所有操作行為幾乎都會留下痕跡,這些痕跡將會成為大數(shù)據(jù)算法技術(shù)所使用的源數(shù)據(jù)。此過程中,人們并不會意識到大數(shù)據(jù)算法對自己個人信息的收集處理,可能導(dǎo)致信息泄露的潛在威脅,待漫天的詐騙電話與垃圾郵件席卷而來時,才會得知自己的個人信息已被泄露。在個人信息泄露之后,人們可能會花費大量時間與金錢來處理信息泄露造成的困擾和損失,由此造成的時間浪費是無形且難以估量的。如在Stephen Adkins訴Facebook案中,原告Adkins主張自己在處理數(shù)據(jù)泄露引發(fā)的后果時造成了時間損失,聲稱其收到了大約30封垃圾郵件,花了將近一個小時才整理完。隨著信息泄露的繼續(xù)蔓延,更多的網(wǎng)絡(luò)釣魚郵件將會堆積起來,原告投入的時間也將不斷增加,在處理郵件的過程中,原告是損失了時間的。此外,個人信息泄露引起的冒用及盜用身份,會導(dǎo)致被害人個人信用降低,遭遇就業(yè)歧視等,這些都是無形的損害。
2021年8月20日,第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過了《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》),在該法施行之前,對于個人信息侵權(quán)的救濟(jì),主要依賴《中華人民共和國民法典》(以下簡稱《民法典》)進(jìn)行保護(hù)。《民法典》第一千一百九十四條②規(guī)定了網(wǎng)絡(luò)侵權(quán)責(zé)任,大數(shù)據(jù)視域下的個人信息侵權(quán)作為網(wǎng)絡(luò)侵權(quán)的一種類型,通常也適用網(wǎng)絡(luò)侵權(quán)責(zé)任的相關(guān)規(guī)定。
從《民法典》侵權(quán)責(zé)任編的整體架構(gòu)來看,第一千一百九十四條位于第三章的“責(zé)任主體的特殊規(guī)定”中,根據(jù)體系解釋,由于其并沒有位于第四至十章中關(guān)于特殊侵權(quán)責(zé)任的列舉規(guī)定中,故個人信息侵權(quán)行為尚被排除于特殊侵權(quán)行為范疇,適用一般過錯責(zé)任?!睹穹ǖ洹返谝磺б话倬攀鍡l③和一千一百九十七條④規(guī)定了網(wǎng)絡(luò)用戶直接侵權(quán)和網(wǎng)絡(luò)服務(wù)提供者間接侵權(quán)的連帶責(zé)任,該連帶責(zé)任是一種過錯責(zé)任。第一千一百九十七條的“知道規(guī)則”與第一千一百九十五條規(guī)定的“通知規(guī)則”并列適用,都涉及網(wǎng)絡(luò)服務(wù)提供者“知道”侵權(quán)的過錯責(zé)任。在個人信息侵權(quán)案件中,由權(quán)利人證明網(wǎng)絡(luò)服務(wù)提供者知道或者應(yīng)當(dāng)知道侵權(quán)行為的存在,往往具有一定的困難,故這在司法實踐中也是一個操作難題。
在我國臺灣地區(qū),2010年出臺了“個人資料保護(hù)法”,其中對于個人信息侵權(quán)責(zé)任采用二元歸責(zé)原則體系,其中第四章詳細(xì)規(guī)定了損害賠償及其救濟(jì)方式,將侵權(quán)主體區(qū)分為公務(wù)機(jī)關(guān)與非公務(wù)機(jī)關(guān),并分別采用無過錯責(zé)任與過錯推定責(zé)任[2]。之所以作此區(qū)分,是考慮到公務(wù)機(jī)關(guān)的權(quán)力之大,其在收集、利用公民信息時往往占據(jù)天然優(yōu)勢,故在個人信息侵權(quán)的風(fēng)險承擔(dān)上,理應(yīng)沖鋒在前。筆者認(rèn)為我國臺灣地區(qū)的歸責(zé)模式稍有不妥,將公務(wù)機(jī)關(guān)的損害賠償責(zé)任一律適用無過錯歸責(zé),可能會造成公務(wù)機(jī)關(guān)動輒得咎。雖然公務(wù)機(jī)關(guān)在收集、處理數(shù)據(jù)時可能會占據(jù)優(yōu)勢,但也可能會遜色于一些掌握先進(jìn)大數(shù)據(jù)技術(shù)的互聯(lián)網(wǎng)商業(yè)巨頭,因此僅僅以公務(wù)機(jī)關(guān)和非公務(wù)機(jī)關(guān)的區(qū)分模式來進(jìn)行不同歸責(zé),有違公平之嫌。
《個人信息保護(hù)法》第六十九條第一款⑤,明確了個人信息處理者的損害賠償責(zé)任,對于個人信息處理者的損害賠償適用過錯推定制度。這是我國在個人信息保護(hù)立法上的一大進(jìn)步,充分地保護(hù)了信息主體的合法權(quán)益,但是對所有的個人信息處理主體均采取過錯推定制度,是否加重了信息處理者的負(fù)擔(dān)以及違背了過錯推定的適用宗旨,引發(fā)學(xué)界爭議。筆者較為贊同《個人信息保護(hù)法》的規(guī)定,建議采用過錯推定制度。
歐盟于2018年生效的《通用數(shù)據(jù)保護(hù)條例》(GDPR)是目前最為嚴(yán)格的保護(hù)公民隱私數(shù)據(jù)的法典,該條例既注重數(shù)據(jù)權(quán)利的保護(hù),又強(qiáng)調(diào)數(shù)據(jù)的自由流通。該條例在第八章“補(bǔ)救措施、責(zé)任與處罰”中明確規(guī)定了數(shù)據(jù)主體對其個人數(shù)據(jù)權(quán)益受損享有獲取救濟(jì)的權(quán)利,其中第八十二條規(guī)定了侵權(quán)主體的損害賠償責(zé)任以及免責(zé)事由。第八十二條第二款:“依據(jù)本條例,任何進(jìn)行數(shù)據(jù)處理的數(shù)據(jù)控制者應(yīng)該對其處理數(shù)據(jù)所造成的損害承擔(dān)責(zé)任。如果沒有遵守本條例的規(guī)定或者其行為超出法律規(guī)定,則應(yīng)該對造成的損害承擔(dān)責(zé)任?!钡诎耸l第三款:“如果數(shù)據(jù)控制者或者處理者能夠證明其在引起損害的期間不應(yīng)承擔(dān)責(zé)任,則免于承擔(dān)本條第二款所規(guī)定的責(zé)任?!盵3]在歐盟的立法中,對于個人信息侵權(quán)適用無過錯責(zé)任的歸責(zé)原則,即不考慮數(shù)據(jù)控制者和處理者有無過錯,只要違反相關(guān)法律規(guī)定致人損害,均需承擔(dān)責(zé)任。
韓國的《個人信息保護(hù)法》是有關(guān)個人信息保護(hù)的專門立法,規(guī)定了個人信息的處理原則與救濟(jì)手段,規(guī)范了韓國信息泄露、濫用頻發(fā)的問題。2020年8月最新修訂實施的韓國《個人信息保護(hù)法》中,第三十九條第一款:“數(shù)據(jù)主體因個人信息控制者違反本法而遭受損害,其有權(quán)要求個人信息控制者進(jìn)行賠償,如果個人信息控制者不證明其不存在故意或過失,則不能免除賠償責(zé)任?!笨梢钥闯?,對于信息處理者的侵權(quán)損害賠償,韓國適用過錯推定制度。
在德國的數(shù)據(jù)立法中,隨著大數(shù)據(jù)技術(shù)的發(fā)展,采用人工智能自動化處理技術(shù)已然成為一種趨勢。在此背景下,2018年最新修訂的《聯(lián)邦數(shù)據(jù)保護(hù)法》區(qū)分了采用自動化處理技術(shù)與非自動化處理技術(shù)下產(chǎn)生損害賠償?shù)臍w責(zé)原則。在自動化處理技術(shù)下,適用無過錯責(zé)任,如果控制者違反本法或其他相關(guān)數(shù)據(jù)保護(hù)法規(guī),處理個人數(shù)據(jù)造成損害,則數(shù)據(jù)主體有權(quán)向控制者請求賠償;在非自動化處理技術(shù)下,采用過錯推定責(zé)任,如果數(shù)據(jù)控制者已經(jīng)根據(jù)相應(yīng)情況采取適當(dāng)措施,則無需承擔(dān)賠償責(zé)任[4]。
通過比較域外國家個人信息侵權(quán)的歸責(zé)原則,可以看出我國對于個人信息的保護(hù)過于寬泛,主要依賴《民法典》及其他部門法進(jìn)行保護(hù),而大數(shù)據(jù)視域下個人信息侵權(quán)手段復(fù)雜隱蔽,且不同行為人與權(quán)利主體之間的關(guān)系并不相同,為此有必要重新審視大數(shù)據(jù)視域下個人信息侵權(quán)的歸責(zé)原則。而《個人信息保護(hù)法》的通過可謂是雪中送炭,通過確立過錯推定制度從而更好地解決大數(shù)據(jù)視域下的個人信息侵權(quán)糾紛,對個人信息保護(hù)具有里程碑意義。
在審判實踐中,依據(jù)侵權(quán)主體及侵權(quán)行為方式的不同,個人信息侵權(quán)糾紛大致可以分為三類。第一類,網(wǎng)絡(luò)用戶侵權(quán)。在審理個人信息侵權(quán)案件時,針對網(wǎng)絡(luò)用戶作為侵權(quán)主體的案件,采用一般的過錯責(zé)任,無可非議⑥。第二類,網(wǎng)絡(luò)服務(wù)提供者間接侵權(quán)。針對該種侵權(quán)糾紛,司法實踐中往往采用一般的過錯舉證責(zé)任,主要依據(jù)《民法典》規(guī)定之第一千一百九十五條和一千一百九十七條⑦。第三類,網(wǎng)絡(luò)服務(wù)提供者直接侵權(quán)。對于該種侵權(quán)歸責(zé)原則的適用,法官在處理類似案件時往往莫衷一是。如在龐某某訴中國東方航空股份有限公司等隱私權(quán)糾紛案⑧中,原告委托其同事在被告下轄的網(wǎng)絡(luò)購票平臺處購得機(jī)票,但隨之收到詐騙短信。原告龐某某訴至法院,主張被告兩公司泄露其個人隱私信息,一審法院判決原告敗訴,而二審法院最終撤銷一審判決。如出一轍,在林某某訴四川航空股份有限公司侵權(quán)責(zé)任糾紛上訴案⑨中,原告林某某公司的工作人員在被告四川航空股份有限公司為其電話訂購了一張機(jī)票,之后原告便收到了詐騙短信,謊稱航班已取消。原告訴至法院,主張被告泄露了他的個人信息,一審法院判決被告敗訴,二審法院最終卻作出相反判決。
在上述兩則案例中,一審法院和二審法院的審判結(jié)果大相徑庭,究其原因在于雙方當(dāng)事人之間舉證能力的差異,而這直接關(guān)系到個人信息侵權(quán)歸責(zé)原則的認(rèn)定問題。第一則案例中,二審法院在過錯的舉證上適用了過錯推定,認(rèn)為從收集證據(jù)的資金及技術(shù)等成本而言,法律不應(yīng)該要求原告龐某某來證明必定是被告泄露了其個人信息,且被告也未舉證證明涉案信息泄露歸因于原告本人或第三人,故難以推翻被告泄露其個人信息的高度可能,由此推定被告對原告信息的泄露存在過錯。第二則案例中,二審法院同樣采用了過錯推定,認(rèn)為售票系統(tǒng)由被告和與其有合同關(guān)系的第三方管理,被告更易收集上述證據(jù)材料,在舉證中處于有利地位,在原告已經(jīng)將收集到的證據(jù)充分舉示完畢,初步證明了其信息確實在被告處被泄露,且在被告沒有舉示證據(jù)推翻自身泄露可能的情況下,要求原告進(jìn)一步舉證,顯然不符合民法上的公平原則。
在個人信息侵權(quán)審判實踐中,不管是單一主體直接侵權(quán)的模式還是多方主體共同侵權(quán)的模式,大多數(shù)是由原告來對過錯進(jìn)行舉證,而以上兩則案例是對個人信息侵權(quán)適用一般過錯責(zé)任歸責(zé)的挑戰(zhàn),同時也為過錯推定的適用奠定了基礎(chǔ)。由此可見,我國在處理大數(shù)據(jù)視域下的個人信息侵權(quán)案件時,在適用具體的歸責(zé)原則時也是存在分歧的,立法與司法的脫節(jié)對我國法官在處理類似糾紛時不利,導(dǎo)致自由裁量權(quán)濫用的現(xiàn)象頻發(fā),給民事審判帶來了困惑。故在個人信息侵權(quán)歸責(zé)原則的路徑適用上,法院應(yīng)當(dāng)追求當(dāng)事人之間實質(zhì)的公平正義,結(jié)合具體案例場景,根據(jù)相關(guān)的立法規(guī)定、風(fēng)險控制責(zé)任要素以及證據(jù)距離等因素,在雙方當(dāng)事人之間合理分配證明責(zé)任。
個人信息侵權(quán)歸責(zé)原則的規(guī)定是審理大數(shù)據(jù)視域下個人信息侵權(quán)案件、解決網(wǎng)絡(luò)信息侵權(quán)糾紛的重要依據(jù),歸責(zé)原則的不明晰、欠缺可執(zhí)行性會阻礙審判機(jī)關(guān)的法律適用,權(quán)利人的合法權(quán)益也難以得到全面救濟(jì)。目前大部分學(xué)者比較贊同采用一般過錯責(zé)任,但也有學(xué)者意見相左。有學(xué)者主張對于個人信息侵權(quán)應(yīng)當(dāng)統(tǒng)一適用無過錯責(zé)任原則,通過采用無過錯責(zé)任,使受害人無須對加害人存在過錯進(jìn)行舉證,同時也減免了區(qū)分自動化與非自動化數(shù)據(jù)處理下適用不同歸責(zé)原則的繁文縟節(jié)。但是該歸責(zé)原則并非一刀切地完全適用,可以在適用范圍以及免責(zé)事由上進(jìn)一步作出規(guī)定[5]。有學(xué)者主張二元歸責(zé)模式,將責(zé)任主體分為國家機(jī)關(guān)和非國家機(jī)關(guān)。對于國家機(jī)關(guān)侵權(quán),不用考慮其有無過錯,即采取無過錯責(zé)任;針對非國家機(jī)關(guān),采取過錯推定責(zé)任[6]。還有學(xué)者認(rèn)為應(yīng)當(dāng)區(qū)分自動化與非自動化數(shù)據(jù)處理技術(shù),確立三元歸責(zé)原則體系。對于利用自動化處理下實施的侵權(quán)行為,公務(wù)機(jī)關(guān)作為侵權(quán)主體的適用無過錯責(zé)任,反之非公務(wù)機(jī)關(guān)則適用過錯推定;對于利用非自動化處理下實施的侵權(quán)行為,對數(shù)據(jù)處理者一律適用一般的過錯責(zé)任[7]。甚至還有學(xué)者主張應(yīng)當(dāng)區(qū)分不同的責(zé)任主體與責(zé)任形式,確立多元歸責(zé)模式,即一般過錯責(zé)任、過錯推定責(zé)任和無過錯責(zé)任類型化適用[8]。筆者通過對比分析學(xué)術(shù)界各個專家學(xué)者的觀點,結(jié)合司法實踐中關(guān)于個人信息侵權(quán)糾紛的審理,建議對大數(shù)據(jù)視域下個人信息侵權(quán)采用過錯推定的歸責(zé)模式,以下將從風(fēng)險控制責(zé)任理論、社會成本控制理論、企業(yè)社會責(zé)任理論以及證據(jù)距離理論來對過錯推定制度適用的正當(dāng)性進(jìn)行論證。
現(xiàn)代工業(yè)的發(fā)展促進(jìn)了生產(chǎn)力和生產(chǎn)關(guān)系的高度發(fā)展,其所釋放的風(fēng)險和潛在威脅也逐漸暴露,人類社會從階級社會向風(fēng)險社會轉(zhuǎn)變,風(fēng)險管理成為每個社會成員要面臨的問題[9]。風(fēng)險控制責(zé)任理論認(rèn)為,當(dāng)損害結(jié)果發(fā)生在侵權(quán)人的領(lǐng)域時,侵權(quán)人應(yīng)當(dāng)承擔(dān)證明責(zé)任。對“侵權(quán)人的領(lǐng)域”而言,不僅僅是指傳統(tǒng)的具體物理空間、場所,在大數(shù)據(jù)視域下,應(yīng)相應(yīng)地對其做擴(kuò)大解釋,侵權(quán)人獲取、處理以及管理個人信息時所憑借的網(wǎng)絡(luò)、系統(tǒng)等也屬于侵權(quán)人的領(lǐng)域。
大數(shù)據(jù)視域下,基于商業(yè)化用途,信息處理者等主體向各信息主體獲取信息并經(jīng)過海量處理與挖掘后予以利用。當(dāng)個人信息由信息主體本身管控時,信息泄露、被盜用的風(fēng)險就由其個人承擔(dān),但當(dāng)信息主體將其個人信息與信息處理者“共享”時,該風(fēng)險便向信息處理者等主體轉(zhuǎn)移,由其承擔(dān)風(fēng)險控制的責(zé)任。因為基于一般的誠實信用、公序良俗原則,信息主體不會做出侵害自己信息權(quán)益的行為,那么當(dāng)損害結(jié)果發(fā)生時,只能是處于侵權(quán)人的領(lǐng)域,由其承擔(dān)證明責(zé)任??芍^利益與風(fēng)險并存,想要獲得一定利益,就要為此承擔(dān)相應(yīng)的風(fēng)險。信息處理者將紛繁復(fù)雜的他人隱私進(jìn)行收集并且利用,本身存在一定的風(fēng)險,如果因為該行為造成了損失,那么引起風(fēng)險的人就應(yīng)當(dāng)負(fù)責(zé)。所以,在個人信息侵權(quán)案件中,在過錯舉證責(zé)任的分配上,有必要考慮風(fēng)險控制因素,由信息處理者承擔(dān)主要的證明責(zé)任。而且,信息處理者能夠充分了解自己所實施的侵權(quán)行為的技術(shù)手段,且對個人信息處理的操作手段具備控制能力,其完全有證據(jù)證明自己對于侵權(quán)損害結(jié)果的發(fā)生有無過錯。
從社會成本控制理論出發(fā),無過錯責(zé)任和一般的過錯責(zé)任均不宜作為個人信息侵權(quán)的歸責(zé)原則。如果將無過錯責(zé)任作為個人信息侵權(quán)的歸責(zé)原則,那么這些個人信息處理者諸如某些網(wǎng)絡(luò)服務(wù)提供者為了避免承擔(dān)過重的侵權(quán)責(zé)任,必須投入過量時間、精力和物質(zhì)成本來應(yīng)付網(wǎng)絡(luò)上海量信息的審查或者對黑客等違法分子的監(jiān)督,這就有悖于大數(shù)據(jù)時代的高速性特征,會導(dǎo)致社會資源的浪費。當(dāng)然,并不是說信息處理者就毫無義務(wù)可言,他們還是要盡到合理的注意義務(wù)和保護(hù)義務(wù),只是這些義務(wù)存在度的限制。由于我國正處于以大數(shù)據(jù)智能化為引領(lǐng)的產(chǎn)業(yè)轉(zhuǎn)型升級階段,如果不考慮網(wǎng)絡(luò)服務(wù)提供者的過錯與否,對于侵權(quán)案件一律由其承擔(dān)責(zé)任,勢必會影響我國網(wǎng)絡(luò)技術(shù)研發(fā)的積極性和創(chuàng)造性,從而阻礙我國數(shù)字經(jīng)濟(jì)的發(fā)展。無過錯責(zé)任是為彌補(bǔ)過錯責(zé)任的弊端而設(shè)立的,應(yīng)審慎適用,不得濫用。
如果采用一般的過錯責(zé)任,由被侵權(quán)人對侵權(quán)人的行為存在過錯進(jìn)行舉證,鑒于個人信息侵權(quán)主體采用大數(shù)據(jù)算法技術(shù)實施侵權(quán)的舉證障礙,以及被侵權(quán)主體自身專業(yè)能力和科學(xué)技術(shù)能力的限制,則被侵權(quán)人務(wù)必要花費大量時間與金錢去收集證據(jù),也會導(dǎo)致社會資源的浪費。故從傳統(tǒng)的社會成本控制理論出發(fā),過錯推定制度作為個人信息侵權(quán)的歸責(zé)原則較為適宜。
隨著“個人本位”向“社會本位”理念的轉(zhuǎn)變以及“利益相關(guān)者理論”的提出,企業(yè)社會責(zé)任理論應(yīng)運(yùn)而生。過去人們普遍認(rèn)為企業(yè)的社會責(zé)任就是實現(xiàn)股東利益最大化,然而企業(yè)社會責(zé)任理論的提出,轉(zhuǎn)變了這一觀點。企業(yè)社會責(zé)任理論認(rèn)為,各個企業(yè)在實現(xiàn)股東利益最大化的同時,還要積極承擔(dān)社會責(zé)任,要在個人利益和社會利益之間實現(xiàn)平衡?!吨腥A人民共和國公司法》第五條第一款⑩就明確了公司的社會責(zé)任。在處理大數(shù)據(jù)視域下的個人信息侵權(quán)案件時,通過適用過錯推定制度,讓信息處理者證明自己沒有過錯,這符合企業(yè)社會責(zé)任理論的立法價值取向,從而倒逼企業(yè)在信息處理活動中盡到合理注意義務(wù),以合法的手段來進(jìn)行商業(yè)活動。
證據(jù)距離說理論由日本學(xué)者提出,是指依據(jù)雙方當(dāng)事人與證據(jù)的距離、證明難易以及蓋然性為標(biāo)準(zhǔn)分配證明責(zé)任[10]。該理論對于過錯推定制度在個人信息侵權(quán)適用中提供了很好的論證空間。在個人信息侵權(quán)糾紛中,從侵權(quán)者的角度而言,作為信息處理者等主體,亦是大數(shù)據(jù)算法等網(wǎng)絡(luò)技術(shù)手段的應(yīng)用者,其更了解損害發(fā)生的起因,了解網(wǎng)絡(luò)服務(wù)設(shè)施,信息獲取、分析、處理手段以及相應(yīng)的管理法律法規(guī)及政策的要求,具有更加專業(yè)的技術(shù)能力和知識能力,更能預(yù)見因個人信息侵權(quán)行為的實施可能帶來的風(fēng)險,以及如何采取措施來避免或者減輕這種損害的發(fā)生;從被侵權(quán)者的角度而言,鑒于其技術(shù)能力以及專業(yè)能力受限,在收集證據(jù)時存在困難,其在舉證環(huán)節(jié)處于不利地位。依據(jù)證據(jù)距離說理論,從舉證能力以及證據(jù)距離的遠(yuǎn)近來看,被侵權(quán)人根本不了解網(wǎng)絡(luò)服務(wù)提供者內(nèi)部的信息管理系統(tǒng),因此,客觀上也不應(yīng)要求其證明侵權(quán)人存在過錯。相反,如果信息處理者也不能舉示證據(jù)證明信息泄露歸因于黑客攻擊或者原告本人,則法院在排除其他泄露隱私信息可能性的情況下,結(jié)合案件的具體事實及相關(guān)證據(jù)來推定被告存在過錯,由被告承擔(dān)侵權(quán)責(zé)任。在具體的審判實踐中,如何判定信息處理者存在主觀過錯,需要結(jié)合其所具備的信息處理能力、涉案侵權(quán)結(jié)果的嚴(yán)重程度以及采取的預(yù)防性措施等因素來進(jìn)行綜合判斷,這樣既符合雙方當(dāng)事人的利益訴求,又保證了訴訟的公平和正義。
大數(shù)據(jù)視域下,個人信息保護(hù)已經(jīng)成為全社會最密切關(guān)注的問題,《個人信息保護(hù)法》的通過回應(yīng)了個人信息權(quán)益保護(hù)的迫切需求,為大數(shù)據(jù)企業(yè)數(shù)據(jù)隱私合規(guī)實踐提供了法律指引。通過設(shè)立過錯推定制度,免除被侵權(quán)人證明侵權(quán)人主觀過錯要件的舉證責(zé)任,避免被侵權(quán)人因舉證困難而無法保護(hù)自身權(quán)益。今后,在個人信息侵權(quán)審判實踐中,是否需要對適用過錯推定的條件作進(jìn)一步限定,仍有待于我們繼續(xù)探究。
注釋:
①(2019)京0491民初16142號。
②《中華人民共和國民法典》第一千一百九十四條:“網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的,應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。法律另有規(guī)定的,依照其規(guī)定?!?/p>
③《中華人民共和國民法典》第一千一百九十五條:“網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實施侵權(quán)行為的,權(quán)利人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。通知應(yīng)當(dāng)包括構(gòu)成侵權(quán)的初步證據(jù)及權(quán)利人的真實身份信息。網(wǎng)絡(luò)服務(wù)提供者接到通知后,應(yīng)當(dāng)及時將該通知轉(zhuǎn)送相關(guān)網(wǎng)絡(luò)用戶,并根據(jù)構(gòu)成侵權(quán)的初步證據(jù)和服務(wù)類型采取必要措施;未及時采取必要措施的,對損害的擴(kuò)大部分與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任?!?/p>
④《中華人民共和國民法典》第一千一百九十七條:“網(wǎng)絡(luò)服務(wù)提供者知道或者應(yīng)當(dāng)知道網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益,未采取必要措施的,與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任?!?/p>
⑤《中華人民共和國個人信息保護(hù)法》第六十九條第一款:“處理個人信息侵害個人信息權(quán)益造成損害,個人信息處理者不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任?!?/p>
⑥(2019)浙01民終6426號。
⑦(2018)浙民再504號。
⑧(2017)京01民終509號。
⑨(2015)成民終字第1634號。
⑩《中華人民共和國公司法》第五條第一款:“公司從事經(jīng)營活動,必須遵守法律、行政法規(guī),遵守社會公德、商業(yè)道德,誠實守信,接受政府和社會公眾的監(jiān)督,承擔(dān)社會責(zé)任?!?/p>