商希雪

(中國(guó)政法大學(xué) 刑事司法學(xué)院，北京 100088)

一、問(wèn)題的提出

2012年發(fā)布的《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(以下簡(jiǎn)稱(chēng)《決定》)第11條規(guī)定，違反本決定而侵害他人民事權(quán)益的行為應(yīng)當(dāng)承擔(dān)民事責(zé)任。該決定原則上提供了確定網(wǎng)絡(luò)服務(wù)提供者和其他企事業(yè)單位實(shí)施侵犯?jìng)€(gè)人信息私人利益行為應(yīng)承擔(dān)民事責(zé)任的法律依據(jù)?！睹穹ǖ洹返?99條規(guī)定了人格權(quán)的合理使用方式，為侵害個(gè)人信息的民事救濟(jì)提供了明確的法律依據(jù)?！睹穹ǖ洹返?035條規(guī)定了個(gè)人信息處理的原則和條件，第1036條繼續(xù)規(guī)定了處理個(gè)人信息的免責(zé)事由。兩條規(guī)定有所重合又互相補(bǔ)充，第1035條主要針對(duì)數(shù)據(jù)控制者的數(shù)據(jù)安保義務(wù)，對(duì)應(yīng)行政或刑事責(zé)任。第1036條則暗示了如果數(shù)據(jù)控制者違規(guī)做出信息處理則應(yīng)承擔(dān)民事責(zé)任，但在某些特定情形下存在責(zé)任豁免?！睹穹ǖ洹愤@樣的規(guī)制方式事實(shí)上呈現(xiàn)了數(shù)據(jù)控制者的完整責(zé)任體系，包括行政責(zé)任、刑事責(zé)任與民事責(zé)任，同時(shí)適用公法與私法的規(guī)制體系?！秱€(gè)人信息保護(hù)法(草案)》第65條明確了侵害個(gè)人信息權(quán)益的主體應(yīng)承擔(dān)民事責(zé)任。由此，我國(guó)在規(guī)范層面明確了侵害個(gè)人信息行為的民事責(zé)任依據(jù)。

根據(jù)保護(hù)法益的具體內(nèi)容，個(gè)人信息保護(hù)的民事責(zé)任體系由兩個(gè)維度構(gòu)成：信息安全保障與信息權(quán)利行使。兩類(lèi)規(guī)范體系在適用場(chǎng)景、法益性質(zhì)、核心原則、責(zé)任主體、責(zé)任性質(zhì)、責(zé)任模式、處理機(jī)關(guān)上存在差異。在信息安全保障的視角下，個(gè)人信息安全利益蘊(yùn)含信息自身的完整性、機(jī)密性與準(zhǔn)確性，相應(yīng)的侵害行為表現(xiàn)為損害信息本身、信息泄露與信息竊取等。媒體報(bào)道中個(gè)人信息隱私泄露等表述，在法律意義上來(lái)說(shuō)并不指向公民的隱私權(quán)保護(hù)，而是指向防范個(gè)人信息被泄露或竊取風(fēng)險(xiǎn)。結(jié)合打擊個(gè)人信息網(wǎng)絡(luò)黑灰產(chǎn)的執(zhí)法目的來(lái)看，信息安全的規(guī)范目標(biāo)重在防范信息的泄露與濫用，以在源頭上切斷下游犯罪的可能性，例如不法分子利用被泄露的個(gè)人信息實(shí)施電信詐騙。因此，以《刑法》《網(wǎng)絡(luò)安全法》為主的公法規(guī)制旨在防范威脅集合性個(gè)人信息的安全風(fēng)險(xiǎn)，直接維護(hù)社會(huì)安全與秩序，進(jìn)而間接保護(hù)個(gè)體的人身或財(cái)產(chǎn)權(quán)益；在信息權(quán)利保護(hù)的視角下，信息處理的基本原則(如目的限制、最小化原則)旨在保障信息產(chǎn)業(yè)的規(guī)范化運(yùn)營(yíng)，主要約束數(shù)據(jù)控制者的處理行為，旨在保障信息主體對(duì)于個(gè)人信息的控制能力與自決意愿，屬于社會(huì)經(jīng)濟(jì)范疇。因此，以《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法(草案)》《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》(以下簡(jiǎn)稱(chēng)《App方法》)等行政責(zé)任模式所規(guī)管的信息侵犯行為，其違規(guī)性認(rèn)定的核心在于是否違反上述信息處理原則，行政規(guī)制旨在維護(hù)信息產(chǎn)業(yè)的良性運(yùn)轉(zhuǎn)，進(jìn)而間接地保護(hù)個(gè)體的信息權(quán)益。行政規(guī)制考慮到個(gè)人信息的安全保障，對(duì)于輕微的、未達(dá)到犯罪程度的信息侵害行為設(shè)置了對(duì)應(yīng)的行政處罰措施。那么，在信息安全維護(hù)與信息產(chǎn)業(yè)運(yùn)營(yíng)中，針對(duì)信息侵害或侵犯行為，規(guī)范層面該如何直接保護(hù)自然人相關(guān)的民事權(quán)益？即如何保障自然人獲得私權(quán)上的現(xiàn)實(shí)救濟(jì)，而不僅是讓數(shù)據(jù)控制者或第三方侵害者承擔(dān)公法責(zé)任？對(duì)該問(wèn)題的回答首先要明確個(gè)人信息所承載的自然人權(quán)益內(nèi)容。個(gè)人信息保護(hù)中涉及的具體法益包括：(1)對(duì)于信息安全蘊(yùn)含的個(gè)人利益，下游侵害的發(fā)生可能性直接關(guān)涉信息主體的具體人身權(quán)或財(cái)產(chǎn)權(quán)；(2)對(duì)于信息權(quán)利蘊(yùn)含的個(gè)人利益，個(gè)人信息所承載的民事權(quán)益主要為人格利益，即個(gè)人信息權(quán)利，主要涵蓋隱私利益與自決利益，在規(guī)范形式與行使機(jī)制上可劃分為知情同意權(quán)與具體的信息自決權(quán)。該學(xué)理分析支撐了個(gè)人信息被侵害或侵犯時(shí)民事責(zé)任制度的正當(dāng)性基礎(chǔ)。由此，破壞個(gè)人信息私權(quán)利益的行為本質(zhì)上侵犯了自然人的民事權(quán)利，行為人可能面臨侵權(quán)責(zé)任或違約責(zé)任。然而，在目前司法處理中，民事保護(hù)思路缺乏可適用的具體規(guī)定及完整要件，學(xué)界應(yīng)進(jìn)行相關(guān)的探索，尤其是針對(duì)非損害類(lèi)信息侵犯行為的定性與評(píng)價(jià)難題。

二、侵害個(gè)人信息安全行為的民事歸責(zé)分析

物聯(lián)網(wǎng)、人工智能等新型信息技術(shù)飛速發(fā)展，引發(fā)了數(shù)據(jù)的急劇爆發(fā)，數(shù)據(jù)安全問(wèn)題也日益凸顯，尤其是數(shù)據(jù)泄露現(xiàn)象愈加嚴(yán)重，導(dǎo)致數(shù)據(jù)安全事件頻發(fā)，嚴(yán)重威脅到公民的人身與財(cái)產(chǎn)安全，引發(fā)公眾普遍的擔(dān)憂(yōu)。因此，在信息安全領(lǐng)域同樣面臨自然人的私權(quán)保護(hù)問(wèn)題。

(一)侵害信息安全行為的外延解讀

《刑法》第253條之一專(zhuān)門(mén)規(guī)定了侵犯公民個(gè)人信息罪，犯罪行為包括非法獲取(如黑客入侵?jǐn)?shù)據(jù)庫(kù)系統(tǒng)、工作人員超越權(quán)限獲取信息等)、向他人出售或者提供公民個(gè)人信息?！稕Q定》第3-4條規(guī)定的危害信息安全行為則包括：(1)泄露、篡改、毀損、丟失；(2)出售或者非法向他人提供；(3)非法獲取。上述行為外延存在一定的重合，基于《刑法》第253條之一的表述，本文采納廣義的泄露概念，即凡是可能導(dǎo)致信息泄露的行為(如非法獲取、出售、向他人提供)，均被視為信息泄露行為。《消費(fèi)者權(quán)益保護(hù)法》第29條規(guī)定，經(jīng)營(yíng)者及其工作人員不得泄露、出售或者非法向他人提供消費(fèi)者的個(gè)人信息。綜合上述信息安全義務(wù)的有關(guān)規(guī)定，行為人侵犯信息安全的行為主要有三類(lèi)：(1)信息泄露行為，包括“未經(jīng)同意”的收集、處理與使用行為，例如共享、轉(zhuǎn)移、披露等；(2)信息竊取行為；(3)信息破壞行為。

1.信息泄露的侵害行為。信息泄露(廣義)的行為表現(xiàn)主要包括泄露(狹義)、非法獲取、出售、向他人提供等。根據(jù)對(duì)泄露違法性的不同判斷標(biāo)準(zhǔn)，可分為絕對(duì)禁止泄露與相對(duì)禁止泄露兩類(lèi)。絕對(duì)禁止披露義務(wù)源自強(qiáng)制性規(guī)范，例如《決定》第3條規(guī)定了網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位及其工作人員在業(yè)務(wù)活動(dòng)中的信息保密義務(wù)，不得泄露、篡改、毀損，不得出售或者非法向他人提供。對(duì)于絕對(duì)不可披露的行為規(guī)范，泄露行為對(duì)應(yīng)強(qiáng)制性的保密義務(wù)，不存在征得信息主體同意的告知空間；相對(duì)禁止泄露則意味著在一定條件下可以披露，即存在主體知情同意的表達(dá)空間。一方面，以主體同意為基本原則的處理場(chǎng)景下，例如《網(wǎng)絡(luò)安全法》第41條第1款規(guī)定了未經(jīng)被收集者同意不得向他人提供個(gè)人信息；《民法典》第1035條規(guī)定收集、處理個(gè)人信息應(yīng)當(dāng)征得該自然人或者其監(jiān)護(hù)人同意，該規(guī)定內(nèi)容延續(xù)了《網(wǎng)絡(luò)安全法》第41條關(guān)于主體同意機(jī)制的核心本意，即以主體同意為基本原則的允許處理態(tài)度。在該類(lèi)情景下，主體同意表示是信息處理的啟動(dòng)機(jī)制。但是，知情同意表達(dá)也并非為數(shù)據(jù)處理免責(zé)的萬(wàn)能依據(jù)，應(yīng)對(duì)告知同意的適用做出一定的限制，主要指不得超越信息主體的基本權(quán)利保護(hù)(如公民的憲法權(quán)利)。(1)參見(jiàn)張新寶：《個(gè)人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期。另一方面，在以禁止處理為基本原則的信息保護(hù)場(chǎng)景下，例如《民法典》第1033條規(guī)定的“除權(quán)利人明確同意外，任何組織或者個(gè)人不得處理他人的私密信息”。但是，在禁止處理為原則的情形下亦存在可處理的空間，對(duì)于未經(jīng)同意的收集、處理、轉(zhuǎn)移行為，若處理者履行告知同意的義務(wù)，并獲取相關(guān)主體的明示同意，上述處理即可被允許。值得注意的是，關(guān)于私密信息以禁止處理為原則的情況，必須取得權(quán)利人的“明確同意”方可處理，知情同意的形式標(biāo)準(zhǔn)高于第一類(lèi)情形。對(duì)比來(lái)看，第一類(lèi)情形主要針對(duì)不規(guī)范的信息獲取與利用行為，違反了主體同意原則(未取得信息主體的授權(quán))，挑戰(zhàn)了主體對(duì)自身信息的控制能力；第二類(lèi)情形主要指未經(jīng)同意的信息收集、處理與轉(zhuǎn)移行為，該類(lèi)行為并未直接侵犯到主體的信息自決意志(私權(quán)自治范疇)，而是導(dǎo)致信息面臨被泄露的風(fēng)險(xiǎn)，侵犯了信息的安全利益。因此，盡管同樣違背了信息主體的意思自治，引發(fā)信息泄露與侵犯信息自決的侵害信息安全行為，實(shí)質(zhì)損害法益的性質(zhì)與直接導(dǎo)致的危害后果存在本質(zhì)區(qū)別。由此，從利益歸屬與行為啟動(dòng)看，即使同樣基于同意制度，由于發(fā)生的利益動(dòng)因與啟動(dòng)主體不同，對(duì)應(yīng)的保護(hù)機(jī)制與責(zé)任性質(zhì)存在本質(zhì)區(qū)別，學(xué)理上應(yīng)予以區(qū)分。

2.信息竊取的侵害行為。信息竊取行為包括偷拍、竊聽(tīng)等侵害表現(xiàn)。此處的信息竊取行為采取狹義概念，不包括黑客入侵、工作人員超越權(quán)限違規(guī)獲取信息等行為。目前，法院經(jīng)常受理關(guān)于個(gè)人私生活安寧的案件，比如偷拍、偷錄、偷窺、性騷擾，非法公布位置信息等。(2)《響一聲就完了？發(fā)騷擾短信也算侵犯隱私權(quán) 民法典明確禁止這些侵權(quán)行為》，載央廣網(wǎng)，http://news.cnr.cn/native/gd/20200531/t20200531_525111163.shtml，訪問(wèn)日期：2020年6月1日。根據(jù)現(xiàn)實(shí)中的侵害表現(xiàn)與司法處理實(shí)踐，信息竊取行為主要指偷拍、竊聽(tīng)、跟蹤等信息侵害行為。之所以單獨(dú)列信息竊取行為作為單獨(dú)的信息安全侵害行為類(lèi)型是因?yàn)椋诋?dāng)前的數(shù)字化生活時(shí)代，公民隱私權(quán)保護(hù)面臨刑事規(guī)制缺失的問(wèn)題。針對(duì)信息竊取或隱私侵犯的現(xiàn)象，《民法典》第1033條已做出規(guī)定，將偷拍、竊聽(tīng)等侵犯他人私密空間、私密活動(dòng)、私密部位、私密信息的行為定性為侵犯隱私權(quán)的行為，適用侵權(quán)責(zé)任制度。在民事規(guī)制層面，偷拍、竊聽(tīng)等信息竊取行為在法益屬性上主要侵犯了隱私權(quán)等人格權(quán)益。但是，《刑法》對(duì)于上述侵犯隱私權(quán)的行為尚無(wú)直接定性，在相關(guān)刑事案件中，司法實(shí)踐將情節(jié)嚴(yán)重的偷拍、跟蹤等行為一般以侵犯公民個(gè)人信息罪定罪處罰。(3)例如，在伍龐侵犯公民個(gè)人信息罪一案中，羅某(另案處理)因?qū)Ρ缓θ岁惸巢粷M(mǎn)，雇人跟蹤陳某行蹤并偷拍陳某的視頻與照片，依此炮制成帖文并由伍龐署名在網(wǎng)上發(fā)表炒作。審理法院認(rèn)為，被告人伍龐違反國(guó)家有關(guān)規(guī)定，非法竊取他人信息，通過(guò)信息網(wǎng)絡(luò)發(fā)布公民個(gè)人信息，情節(jié)特別嚴(yán)重，其行為已觸犯刑律，構(gòu)成侵犯公民個(gè)人信息罪。參見(jiàn)廣西壯族自治區(qū)玉林市玉州區(qū)人民法院作出的(2019)桂0902刑初358號(hào)刑事判決書(shū)；廣西壯族自治區(qū)玉林市中級(jí)人民法院作出的(2019)桂09刑終427號(hào)刑事判決書(shū)。侵犯公民個(gè)人信息罪立法目的是為了保護(hù)公民的信息安全及其他相關(guān)合法權(quán)益，從而維護(hù)社會(huì)穩(wěn)定，其法益保障目標(biāo)并非針對(duì)公民的隱私權(quán)益，側(cè)重打擊個(gè)人信息非法買(mǎi)賣(mài)與提供的黑灰產(chǎn)犯罪，以預(yù)防信息被非法獲取后引起下游的侵害，最終保護(hù)公民具體的人身與財(cái)產(chǎn)權(quán)益。所以，在目前的規(guī)范體系下，就信息安全角度而言，此類(lèi)信息竊取行為在刑事規(guī)制層面屬于信息安全的保護(hù)范疇。綜上，對(duì)于信息竊取等侵犯公民隱私的行為，《刑法》目前存在規(guī)制缺失，民事救濟(jì)手段則主要適用隱私權(quán)侵權(quán)保護(hù)制度。

3.信息破壞的侵害行為。篡改、毀損、丟失等信息破壞行為侵犯了信息自身的完整性，比如服務(wù)器被勒索病毒加密而宕機(jī)、內(nèi)網(wǎng)電腦被攻擊癱瘓等侵害行為導(dǎo)致信息系統(tǒng)及信息內(nèi)容的破壞，進(jìn)而給信息主體的相關(guān)具體權(quán)益帶來(lái)?yè)p害，信息主體可能遭受身份假冒、資格喪失、志愿改變等。例如，在“山東青島膠州考生志愿被篡改事件”中，考生個(gè)人的高考志愿被他人篡改，侵害了當(dāng)事人的身份權(quán)益(包括受教育權(quán))，造成了現(xiàn)實(shí)的公民權(quán)益損害。(4)參見(jiàn)于志剛:《關(guān)于“身份盜竊”行為的入罪化思考》，載《北京聯(lián)合大學(xué)學(xué)報(bào)(人文社會(huì)科學(xué)版)》2011年第1期。可以看到，信息破壞行為一方面直接造成信息主體的權(quán)益損害，另一方面導(dǎo)致引發(fā)下游侵害行為的潛在風(fēng)險(xiǎn)，如果下游侵害現(xiàn)實(shí)發(fā)生，信息破壞行為則間接導(dǎo)致了下游侵害的發(fā)生，對(duì)損害后果存在因果關(guān)系，應(yīng)對(duì)此承擔(dān)一定的責(zé)任。此處，應(yīng)注意區(qū)分身份信息盜用與身份信息冒用行為。自然人的身份信息盜用或冒用行為，本質(zhì)上均屬于非法獲取信息行為及后續(xù)使用行為。從字義上分析，“盜用”強(qiáng)調(diào)的是盜的行為，核心指向非法獲取環(huán)節(jié)；而 “冒用”強(qiáng)調(diào)的是冒名頂替，指向盜取后的使用階段。因此，本文認(rèn)為身份盜用與身份冒用的基本區(qū)別在于：身份盜用一般用于從事不良行為，如盜用他人身份信息后以他人身份留下“負(fù)面”的行政處罰記錄(如吸毒史、交通違規(guī)等)；(5)例如，2020年8月13日江蘇省南通市經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)人民法院公開(kāi)開(kāi)庭審理并當(dāng)庭宣判了河南駐馬店“被結(jié)婚”五次女子尚某訴江蘇如東縣民政局行政登記案，法院判決撤銷(xiāo)被告如東縣民政局拒絕糾錯(cuò)的答復(fù)，確認(rèn)原告尚某與第三人沈某某在如東縣民政局婚姻登記處辦理的婚姻登記無(wú)效，被告應(yīng)于判決生效之日起六十日內(nèi)對(duì)原告的錯(cuò)誤婚姻登記信息予以刪除。而身份冒用則一般是頂替他人享有本該由真實(shí)身份者享有的“正面”權(quán)益，如受教育權(quán)、婚姻登記權(quán)，實(shí)則變相剝奪了他人的現(xiàn)實(shí)利益。當(dāng)然，信息盜用往往也與信息破壞行為存在交集或競(jìng)合。《民法典》第1012條規(guī)定了自然人享有姓名權(quán)及其各項(xiàng)權(quán)能，第1014條則明確禁止任何組織或者個(gè)人不得以干涉、盜用、假冒等方式侵害他人的姓名權(quán)?？梢?jiàn)，身份盜取或冒用行為侵犯了姓名權(quán)等人格權(quán)益。

(二)信息安全侵害行為的個(gè)人權(quán)益損害

在侵害信息安全權(quán)益的場(chǎng)景中如信息泄露、濫用等，一方面，下游侵害行為直接侵犯?jìng)€(gè)人的人身或財(cái)產(chǎn)權(quán)益；另一方面，泄露與濫用行為本身，直接侵犯了信息主體的知情權(quán)與拒絕處理權(quán)等信息權(quán)利。

1. 民事歸責(zé)的合理性。在暗網(wǎng)中被多次交易的個(gè)人數(shù)據(jù)主要來(lái)自電商、保險(xiǎn)、酒店等平臺(tái)，這些數(shù)據(jù)均為高度敏感的個(gè)人信息，公民個(gè)人信息被層層轉(zhuǎn)賣(mài)泄露后，是公眾遭遇騷擾電話(huà)、詐騙電話(huà)、精準(zhǔn)詐騙的源頭。被泄露的個(gè)人信息也可能被用于惡意注冊(cè)賬號(hào)甚至注冊(cè)公司，進(jìn)行網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)詐騙、洗黑錢(qián)等違法犯罪活動(dòng)。鑒于該現(xiàn)實(shí)，由《刑法修正案(七)》確立并由《刑法修正案(九)》進(jìn)一步完善的侵犯公民個(gè)人信息罪，其立法根本考量是為了防范與制止可能的下游犯罪，以提前保護(hù)公民的人身與財(cái)產(chǎn)權(quán)益。與刑法的制裁目的對(duì)比，民法主要處理各法律主體之間的人身和財(cái)產(chǎn)關(guān)系，與個(gè)人信息相關(guān)的民事關(guān)系本質(zhì)也是圍繞具體的人身和財(cái)產(chǎn)權(quán)益。從司法實(shí)踐來(lái)看，近年來(lái)我國(guó)嚴(yán)打侵犯公民個(gè)人信息現(xiàn)象，更容易得到處理的往往是個(gè)人信息刑事案件。目前我國(guó)立法與執(zhí)法現(xiàn)狀均呈現(xiàn)重“刑事定罪”和“行政處罰”、輕“民事確權(quán)”與“民事責(zé)任”的特征。(6)參見(jiàn)江耀煒：《大數(shù)據(jù)時(shí)代公民個(gè)人信息刑法保護(hù)的邊界——以“違反國(guó)家有關(guān)規(guī)定”的實(shí)質(zhì)解釋為中心》，載《重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2019年第1期；李川：《個(gè)人信息犯罪的規(guī)制困境與對(duì)策完善——從大數(shù)據(jù)環(huán)境下濫用信息問(wèn)題切入》，載《中國(guó)刑事法雜志》2019年第5期。針對(duì)侵害信息安全的行為，民事責(zé)任制度該如何架構(gòu)？信息安全侵害行為普遍表現(xiàn)為泄露行為(如非法提供、出售等)，對(duì)于侵犯公民信息安全又未構(gòu)成信息犯罪的行為，受害人該如何尋求私權(quán)保護(hù)救濟(jì)？前面提到信息泄露可能會(huì)導(dǎo)致下游侵害的發(fā)生，給個(gè)人帶來(lái)人身與財(cái)產(chǎn)安全的威脅或者給正常生活帶來(lái)困擾。因此，信息泄露行為在事實(shí)上間接侵犯了公民的民事權(quán)益，這也是目前頻發(fā)的個(gè)人信息安全事件中受害者正面臨的首要法律救濟(jì)疑慮。

2.現(xiàn)實(shí)損害的的法益評(píng)價(jià)與救濟(jì)思路。一是，具體人格權(quán)損害的歸責(zé)分析。有觀點(diǎn)認(rèn)為，個(gè)人通訊不受他人非法打擾，例如禁止非法攔截、竊聽(tīng)、屏蔽、侵?jǐn)_他人正常的通訊，禁止非法侵入他人的郵箱、收集他人的信息等，應(yīng)視為一類(lèi)特殊的隱私權(quán)。(7)參見(jiàn)王利明：《生活安寧權(quán)：一種特殊的隱私權(quán)》，載《中州學(xué)刊》2019年第7期。《民法典》第1034條確立了該思路，據(jù)此，當(dāng)下游侵害行為以電話(huà)、短信、即時(shí)通訊工具、電子郵件、傳單等方式侵?jǐn)_私人生活安寧時(shí)，則直接侵犯了公民的隱私權(quán)，也意味著上游的信息侵害行為間接侵犯了信息主體的隱私權(quán)?！睹穹ǖ洹返?032條規(guī)定了隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息。第1033條也明確列舉了侵害隱私權(quán)的具體行為表現(xiàn)包括：(1)以電話(huà)、短信、即時(shí)通訊工具、電子郵件、傳單等方式侵?jǐn)_他人的私人生活安寧；(2)進(jìn)入、拍攝、窺視他人的住宅、賓館房間等私密空間；(3)拍攝、窺視、竊聽(tīng)、公開(kāi)他人的私密活動(dòng)；(4)拍攝、窺視他人身體的私密部位；(5)處理他人的私密信息。鑒于第1035條規(guī)定個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等。由此分析，個(gè)人信息被泄露后，可能引發(fā)上述下游中第(1)項(xiàng)的侵害行為；第(2)、(3)、(4)項(xiàng)行為是侵犯他人私密空間、私密活動(dòng)、私密部位的私密性的行為；第(5)項(xiàng)是非法收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)他人私密信息的行為。所以，如果信息安全侵害行為直接或間接導(dǎo)致發(fā)生了明顯侵犯隱私權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)等具體人格權(quán)的下游侵害，應(yīng)適用侵權(quán)責(zé)任制度，適用停止侵害、恢復(fù)名譽(yù)、消除影響、賠禮道歉，并賠償損失等責(zé)任形式。如果信息安全侵害人與下游侵害人不一致，則兩者應(yīng)共同承擔(dān)責(zé)任。對(duì)于該類(lèi)損害情形，是否包括精神損害賠償？根據(jù)《民法典》第1183條規(guī)定，如果下游侵害情形中侵犯了自然人的隱私權(quán)，受害者可主張精神損害賠償。在比較視野下，新西蘭《1993隱私法》(Privacy Act 1993)規(guī)定了明確的隱私違規(guī)通知，即任何人都可以向隱私專(zhuān)員投訴或聲稱(chēng)某行為可能干涉了其個(gè)人隱私，一旦該行為涉及到了個(gè)人隱私即具有了違法性，尤其當(dāng)該行為已經(jīng)導(dǎo)致了財(cái)產(chǎn)損失或其他傷害時(shí)(例如對(duì)個(gè)人的權(quán)利、利益、義務(wù)或屈辱感產(chǎn)生了負(fù)面影響，喪失尊嚴(yán)或傷害個(gè)人感情)，則在違法性前提下?lián)?fù)更重的法律責(zé)任。(8)參見(jiàn)Part 8 Complaints，Art. 66, New Zealand Privacy Act 1993.因此呈現(xiàn)遞進(jìn)性責(zé)任模式，其違法性判斷不需損害結(jié)果發(fā)生，損害發(fā)生后僅會(huì)加重責(zé)任。

二是，明顯財(cái)產(chǎn)性損害的歸責(zé)分析。當(dāng)信息泄露行為引發(fā)了下游侵害財(cái)產(chǎn)權(quán)益的行為，例如，對(duì)于電信詐騙等主要侵犯公民財(cái)產(chǎn)權(quán)益的侵害情形，可適用請(qǐng)求返還財(cái)產(chǎn)的責(zé)任形式。原則上，請(qǐng)求返還的相對(duì)方應(yīng)為直接實(shí)施下游侵害的行為人，但上游的信息侵害人應(yīng)共同承擔(dān)責(zé)任，分擔(dān)形式可為補(bǔ)充責(zé)任，而非連帶責(zé)任。根據(jù)《民法典》第1171條規(guī)定，分別侵權(quán)造成同一損害的行為人如果承擔(dān)連帶責(zé)任，需要每個(gè)人的侵權(quán)行為都足以造成全部的損害。盡管信息侵害行為與下游侵害行為均對(duì)下游的具體損害負(fù)有責(zé)任，但是信息侵害行為不足以導(dǎo)致全部損害的發(fā)生，甚至不必然會(huì)引起下游侵害的發(fā)生，因此信息安全侵害人不應(yīng)承擔(dān)連帶責(zé)任。參照《民法典》第1198條規(guī)定的安全保障義務(wù)人責(zé)任制度模式，信息安全侵害人對(duì)于下游損害的作用與角色類(lèi)似于信息安全保障義務(wù)人，對(duì)于下游損害的民事責(zé)任，上游侵害信息安全行為人應(yīng)承擔(dān)補(bǔ)充責(zé)任，具體的責(zé)任承擔(dān)則需考量信息安全侵害行為的過(guò)錯(cuò)程度、原因力等因素，以確定侵權(quán)賠償責(zé)任的大小。

3. 非現(xiàn)實(shí)損害的法益評(píng)價(jià)與救濟(jì)思路。信息安全侵害行為的危害特殊性在于引發(fā)下游侵害發(fā)生的可能性，下游侵害未現(xiàn)實(shí)發(fā)生時(shí)，信息安全侵害呈現(xiàn)出非現(xiàn)實(shí)損害的損害后果狀態(tài)，規(guī)范層面該如何考量與評(píng)價(jià)此類(lèi)非現(xiàn)實(shí)損害？信息泄露的源頭行為容易成為其他網(wǎng)絡(luò)犯罪的“抓手”，國(guó)家機(jī)關(guān)執(zhí)法重點(diǎn)打擊的是信息泄露行為，包括竊取、非法買(mǎi)賣(mài)等不法信息行為，進(jìn)而從源頭上扼殺下游黑灰產(chǎn)業(yè)鏈中人身或財(cái)產(chǎn)犯罪的發(fā)生可能性。(9)2020年4月，公安部公布2019年以來(lái)公安機(jī)關(guān)偵破的10起侵犯公民信息違法犯罪典型案件，主要涉及“暗網(wǎng)”中非法買(mǎi)賣(mài)公民個(gè)人信息以及在侵犯公民個(gè)人信息犯罪鏈條中下游詐騙分子使用非法獲取的個(gè)人信息實(shí)施詐騙犯罪。事實(shí)上，個(gè)人信息的非法交易有著龐大的買(mǎi)家需求，一定程度上刺激了個(gè)人信息黑灰產(chǎn)的猖獗與蔓延。買(mǎi)家通常將非法獲取的公民個(gè)人信息用于精準(zhǔn)投放廣告和業(yè)務(wù)推廣，同時(shí)也通過(guò)“暗網(wǎng)”交易平臺(tái)繼續(xù)出售已獲取的個(gè)人信息，由此進(jìn)入信息黑灰產(chǎn)的惡性循環(huán)，嚴(yán)重威脅公民的人身和財(cái)產(chǎn)安全，破壞社會(huì)安全與秩序。(10)例如，在北京首例網(wǎng)絡(luò)“軟暴力”惡勢(shì)力犯罪集團(tuán)案中，法院認(rèn)為，被告人通過(guò)電信網(wǎng)絡(luò)有組織地采用滋擾、糾纏等“軟暴力”手段威脅、恐嚇?biāo)?，足以使他人產(chǎn)生恐懼、恐慌進(jìn)而形成心理強(qiáng)制，嚴(yán)重影響他人正常工作、生活，破壞社會(huì)秩序，情節(jié)惡劣，其行為構(gòu)成尋釁滋事罪。由此，人們對(duì)于信息泄露的恐懼根本是在擔(dān)憂(yōu)下游侵害發(fā)生的可能性。也即意味著，信息安全侵害的普遍后果在于產(chǎn)生了下游侵害發(fā)生的可能性，該可能性引發(fā)人們的不安與恐懼，即使暫時(shí)未出現(xiàn)下游侵害，鑒于信息儲(chǔ)存的永久性，未來(lái)發(fā)生侵害的可能性會(huì)一直存在。由此，發(fā)生可能性本身即為“現(xiàn)實(shí)損害”。所以，對(duì)于造成非現(xiàn)實(shí)損害的信息侵害行為，理應(yīng)受到法律制裁，受害人也應(yīng)得到現(xiàn)實(shí)的法律救濟(jì)。鑒于非現(xiàn)實(shí)損害呈現(xiàn)不明顯財(cái)產(chǎn)性或具體人格權(quán)損害的狀態(tài)，有觀點(diǎn)認(rèn)為可以適用懲罰性賠償制度。(11)《張新寶談民法典：網(wǎng)絡(luò)侵權(quán)越發(fā)復(fù)雜，應(yīng)強(qiáng)化個(gè)人信息侵權(quán)責(zé)任》，載澎湃網(wǎng)，https://www.thepaper.cn/newsDetail_forward_7459941，訪問(wèn)日期：2020年5月27日。這是因?yàn)?，單個(gè)受害人能夠證明的金錢(qián)損失實(shí)際非常有限，在以往發(fā)生的信息安全侵害案件中，被侵害的信息主體主要遭受生活安寧被打擾以及潛在或無(wú)形的人身或財(cái)產(chǎn)安全威脅(取決于下游侵害是否現(xiàn)實(shí)發(fā)生)，因此對(duì)于個(gè)體而言，侵害個(gè)人信息安全所造成的真實(shí)損害實(shí)則難以量化。并且，個(gè)體受害者的受損利益遠(yuǎn)小于加害人因侵害行為所可能獲得的金錢(qián)利益。基于上述考量，傳統(tǒng)的損害賠償制度難以有效遏制侵害個(gè)人信息行為的發(fā)生。因此，對(duì)于信息安全侵害行為適用懲罰性賠償制度，應(yīng)該能夠加強(qiáng)侵權(quán)保護(hù)的防范效果。

(三)侵害信息安全行為的侵權(quán)判斷思路

侵權(quán)制度的可行性適用與否，應(yīng)明確現(xiàn)實(shí)侵害行為的法律要件符合程度。在信息泄露引發(fā)后續(xù)電話(huà)騷擾、營(yíng)銷(xiāo)轟炸等侵害個(gè)人生活安寧場(chǎng)景下，鑒于侵害人是多方多元的，而單個(gè)侵害人實(shí)施的侵害行為所導(dǎo)致的損害微小。此外，對(duì)于單個(gè)受害人的個(gè)人信息利用，侵害人所獲取的收益也較少。因此，基于侵權(quán)的必要構(gòu)成要件，對(duì)于常見(jiàn)的信息濫用行為，侵權(quán)保護(hù)模式實(shí)則無(wú)法起到有效的救濟(jì)效用。再次，在傳統(tǒng)侵權(quán)構(gòu)成要件基礎(chǔ)上，對(duì)于信息侵害等新型侵權(quán)表現(xiàn)，立法視點(diǎn)應(yīng)轉(zhuǎn)由設(shè)置具有現(xiàn)實(shí)可行性的責(zé)任落實(shí)條款與風(fēng)險(xiǎn)防范機(jī)制。

1.下游侵害未發(fā)生信息安全侵害情形。當(dāng)事人尋求法律救濟(jì)時(shí)，如果尚未發(fā)生現(xiàn)實(shí)的下游侵害，司法處理僅可針對(duì)信息侵害行為做出處理，由此涉及抽象損害的法律認(rèn)可與責(zé)任判斷。

(1)抽象(無(wú)形)損害的認(rèn)定。在侵犯公民個(gè)人信息罪的司法處理中，披露與獲取個(gè)人信息行為僅為下游財(cái)產(chǎn)犯罪的啟動(dòng)因素，并非為下游犯罪本身(如詐騙罪、敲詐勒索罪等)，在下游犯罪行為出現(xiàn)的情況下，應(yīng)數(shù)罪并罰。(12)例如，在武亞?wèn)|、王晉忠、竇一峰等侵犯公民個(gè)人信息罪一案中，對(duì)被告人王晉忠的數(shù)罪處罰(侵犯公民個(gè)人信息罪與敲詐勒索罪并處)。參見(jiàn)廣西壯族自治區(qū)玉林市中級(jí)人民法院作出的(2019)桂09刑終428號(hào)刑事判決書(shū)。由此看到，侵犯公民個(gè)人信息罪的可罰性在于引發(fā)下游犯罪出現(xiàn)的可能性，不要求下游侵害的現(xiàn)實(shí)發(fā)生，并且上游和下游侵害中的實(shí)際獲利或獲利多少也不是核心定性因素，僅作為量刑考量因素。(13)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》第5條列舉了“情節(jié)嚴(yán)重”的情形，考量因素包括信息敏感度、違法所得、下游損害結(jié)果等。潛在的可能損害與精神損害是否可作為損害結(jié)果的考量因素？在比較視野下，關(guān)于信息泄露受損后果的法律認(rèn)定，域外的立法規(guī)制與司法實(shí)踐中存在個(gè)人信息私法救濟(jì)的“提前保護(hù)思路”：(1)在美國(guó)的一起患者信息被診所泄露的案件糾紛中，(14)2016年，黑客入侵了克拉克縣一家醫(yī)療診所的數(shù)據(jù)庫(kù)，竊取了大約200000名患者的個(gè)人信息。診所拒絕支付黑客要求的贖金，僅建議患者自行采取反欺詐保護(hù)措施。對(duì)此，三名患者提起訴訟要求診所賠償。喬治亞州最高法院(Georgia Supreme Court)認(rèn)為原告的“指控不僅僅是造成傷害的幽靈”，潛在的受損可能性在訴訟中也應(yīng)值得考慮。(15)參見(jiàn)Georgia Supreme Court Overturns Ruling on Athens Orthopedic Clinic Data Breach Lawsuit, https://www.hipaajournal.com/georgia-supreme-court-overturns-ruling-on-athens-orthopedic-clinic-data-breach-lawsuit/(last visited on January 23, 2020); Orthopedic Clinic Pays $1.5 Million to Settle Systemic Noncompliance with HIPAA Rules,https://www.hhs.gov/about/news/2020/09/21/orthopedic-clinic-pays-1.5-million-to-settle-systemic-noncompliance-with-hipaa-rules.html(last visited on January 23, 2020).(2)根據(jù)香港《個(gè)人資料(私隱)條例》中的相關(guān)規(guī)定，未經(jīng)信息使用者同意下，若任何人披露取自該信息使用者的某信息主體的任何個(gè)人信息，該項(xiàng)披露若導(dǎo)致該信息當(dāng)事人蒙受心理傷害，不論其意圖如何，認(rèn)定為犯罪(可能面臨最高一百萬(wàn)港元罰款以及五年監(jiān)禁的刑罰)。(3)在Rosenbach v. Six Flags Entertainment Corp.一案中，伊利諾斯州最高法院推翻了上訴法院的判決，認(rèn)為公民根據(jù)《伊利諾斯生物特征信息隱私法》有資格成為“受損害的”人，并可根據(jù)該法案要求違約金和禁令救濟(jì)，即使原告尚未受到實(shí)際傷害或不利影響，而只是被侵犯了本人根據(jù)該法案所應(yīng)享有的公民權(quán)利。(16)參見(jiàn)Rosenbach v. Six Flags Entertainment Corp. 2017 IL App (2d) 170317，No. 2-17-0317.由此推斷，法院在該案中確立的司法保護(hù)規(guī)則為：即使公民生物識(shí)別信息未遭受(下游的)實(shí)質(zhì)損害，信息主體仍有權(quán)尋求司法救濟(jì)。(17)在另一起Adina McCollough, individually and for all others similarly situated v. Smarte Carte Inc. 案例中，美國(guó)司法處理的態(tài)度進(jìn)一步解釋為：“對(duì)于法令授予的某項(xiàng)公民法定權(quán)利，立法層面在判斷對(duì)其的無(wú)形損害時(shí)，并不意味著當(dāng)事人關(guān)于此權(quán)利提出司法救濟(jì)時(shí)已經(jīng)發(fā)生了事實(shí)上的損害并對(duì)此提供證明?！盪.S. District Court for the Northern District of Illinois Eastern Division, Case number 1:16-CV-03777.從上述司法與立法態(tài)度可以看出，認(rèn)定個(gè)人信息侵權(quán)行為存在時(shí)間提前以及精神損害可視為信息侵權(quán)損害范疇。并且，司法處理也將下游侵權(quán)的發(fā)生可能性作為損害考量因素。事實(shí)上，公民個(gè)人信息泄露的具體風(fēng)險(xiǎn)與發(fā)生時(shí)間是不特定的，甚至存在“潛伏期”，因此對(duì)于個(gè)人信息危害后果的考量可以是抽象的，不必然是已經(jīng)出現(xiàn)的現(xiàn)實(shí)危害。綜上，對(duì)于信息泄露或非法提供信息行為的侵權(quán)定性一方面不要求上游或下游發(fā)生現(xiàn)實(shí)的具體損害；另一方面也不要求下游損害的實(shí)際發(fā)生(存在發(fā)生可能性即可)。進(jìn)一步講，即使發(fā)生現(xiàn)實(shí)性損害，也并不必然要求發(fā)生財(cái)產(chǎn)性損害。

(2)僅針對(duì)信息侵害行為的侵權(quán)定性。泄露、非法提供等以下游牟利為目的的源頭行為(即準(zhǔn)備工具階段的行為)是否可作為獨(dú)立的侵權(quán)認(rèn)定要件？或者是否需要結(jié)合下游行為作綜合評(píng)價(jià)？《刑法》第287條之二規(guī)定了“幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪”，基于幫助行為具備獨(dú)立的法益侵害性，(18)參見(jiàn)于沖：《幫助行為正犯化的類(lèi)型研究與入罪化思路》，載《政法論壇》2016年第4期。體現(xiàn)出網(wǎng)絡(luò)犯罪幫助行為獨(dú)立入罪的規(guī)制思路。同理，《刑法》第253條之一規(guī)定的侵犯公民個(gè)人信息罪的行為表現(xiàn)為“違反國(guó)家有關(guān)規(guī)定，向他人提供公民個(gè)人信息且情節(jié)嚴(yán)重”。由此可知，無(wú)論被提供者是否利用相關(guān)信息實(shí)施了下游具體的犯罪，提供行為本身即可成立犯罪。該規(guī)定所體現(xiàn)出的立法態(tài)度是：源頭行為可能引發(fā)的現(xiàn)實(shí)危害性是不特定且不可控的，并且導(dǎo)致的危害后果也可能非常嚴(yán)重，因此將懲治措施提前到工具準(zhǔn)備階段。有鑒于此，單純的信息泄露或非法提供行為亦被視為個(gè)人信息侵權(quán)的行為表現(xiàn)，不必然要求下游危害后果的發(fā)生，尤其是對(duì)于極其敏感的個(gè)人信息更應(yīng)謹(jǐn)慎嚴(yán)格地進(jìn)行“提前性”保護(hù)。因此，信息泄露作為侵害行為的認(rèn)定不以發(fā)生了下游侵害為條件。如果存在兩個(gè)以上的信息安全侵害人，信息主體該如何追償？《歐盟通用數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱(chēng)GDPR)規(guī)定了信息主體享有受賠償權(quán)(Liability and the right to compensation)，其可主張物質(zhì)損害與非物質(zhì)損害。(19)GDPR, Art. 82.對(duì)于共同侵權(quán)的情形，在責(zé)任分擔(dān)方式上，一方面采取擇一主張賠償?shù)哪Ｊ健Ｐ畔⒅黧w無(wú)需向所有對(duì)損害負(fù)有責(zé)任的實(shí)體組織提出訴訟和要求賠償，因?yàn)檫@可能需要昂貴和漫長(zhǎng)的訴訟程序。對(duì)其中一名聯(lián)合信息控制者提起訴訟就足夠了，該控制者可能要對(duì)全部損失負(fù)責(zé)；另一方面采取先行賠付的責(zé)任形式。在這種情況下，賠償損失的數(shù)據(jù)控制者或處理者隨后有權(quán)向參與處理的其他實(shí)體追討所付的款項(xiàng)，并對(duì)違反規(guī)定的行為負(fù)責(zé)，承擔(dān)其對(duì)損害的部分責(zé)任。當(dāng)事人收到賠償后，追償程序在不同的聯(lián)合控制者和處理者之間進(jìn)行。

2.下游侵害發(fā)生信息安全侵害情形。盡管公民的實(shí)際損害一般由下游侵害行為直接導(dǎo)致，對(duì)于在源頭上非法披露個(gè)人信息的行為人，對(duì)于受害人在下游侵害中遭受的實(shí)際損害，是否亦應(yīng)承擔(dān)民事責(zé)任？有觀點(diǎn)認(rèn)為，海量個(gè)人信息的侵權(quán)往往意味著侵權(quán)人極高的主觀惡性與極廣的社會(huì)影響，借鑒GDR的處罰思路，個(gè)人信息侵權(quán)行為適用懲罰性的賠償制度更具有現(xiàn)實(shí)意義。然而，該做法終究是在行政規(guī)管模式下的懲處思路，對(duì)于受害者私權(quán)的現(xiàn)實(shí)救濟(jì)于事無(wú)補(bǔ)。因此，對(duì)于受害方，侵害方應(yīng)承擔(dān)直接的民事救濟(jì)責(zé)任。

(1)責(zé)任分配解讀與責(zé)任形式選擇。侵害網(wǎng)絡(luò)用戶(hù)信息安全的行為明顯侵犯了自然人的信息安全利益及其相關(guān)的具體民事權(quán)利，應(yīng)當(dāng)為公民遭遇信息安全侵害提供私權(quán)保護(hù)救濟(jì)。對(duì)此，需要進(jìn)一步厘清上游信息安全侵害人與下游侵害人(在現(xiàn)實(shí)發(fā)生的情況下)各自的民事責(zé)任分配以及承擔(dān)形式。在現(xiàn)實(shí)中，為實(shí)施下游的精準(zhǔn)詐騙行為而竊取或非法收買(mǎi)個(gè)人信息的情形，目前已形成拖庫(kù)—洗庫(kù)—撞庫(kù)一體化的操作流程與產(chǎn)業(yè)鏈條。即，不法黑客通過(guò)拖庫(kù)獲取原始的信息庫(kù)，然后通過(guò)洗庫(kù)將數(shù)據(jù)進(jìn)行分類(lèi)，最后通過(guò)撞庫(kù)獲取更多平臺(tái)的用戶(hù)信息，將撞庫(kù)所得的信息再次進(jìn)行洗庫(kù)操作，如此循環(huán)往復(fù)，形成惡性循環(huán)的信息竊取產(chǎn)業(yè)鏈。信息安全侵害行為往往是為下游侵害行為提供工具與便利。個(gè)人信息被泄露后的現(xiàn)實(shí)危害在于可能引起下游侵害行為的發(fā)生，主要存在以下幾類(lèi)風(fēng)險(xiǎn)：(1)遭遇電信詐騙、網(wǎng)絡(luò)詐騙或接到騷擾短信和電話(huà)；(2)賬號(hào)密碼被竊取，造成財(cái)產(chǎn)損失；(3)遭到恐嚇威脅、敲詐勒索；(4)身份被冒用，個(gè)人名譽(yù)受損。因此，對(duì)于下游具體侵害行為的發(fā)生，上游侵害人的原因力極高，由此決定了信息侵害行為人應(yīng)作為下游不法侵害行為的共同民事責(zé)任人。所以，當(dāng)個(gè)人信息被用作實(shí)施下游侵害行為時(shí)，即認(rèn)為上游的信息侵害行為發(fā)生了現(xiàn)實(shí)損害。根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》第5條規(guī)定，“造成被害人死亡、重傷、精神失?；蛘弑唤壖堋薄ⅰ霸斐芍卮蠼?jīng)濟(jì)損失或者惡劣社會(huì)影響”等嚴(yán)重后果，視為侵犯公民個(gè)人信息罪量刑幅度中的“情節(jié)特別嚴(yán)重”。由此，對(duì)于侵害個(gè)人信息引發(fā)的下游損失，刑事規(guī)制立場(chǎng)是將該損失納入侵害個(gè)人信息罪的懲罰范圍。那么，在私權(quán)救濟(jì)層面，因信息泄露等上游侵害行為而導(dǎo)致下游現(xiàn)實(shí)損害的情況，除了下游的直接侵害人，受害人是否有權(quán)向上游的信息侵害行為人尋求賠償？《最高人民法院關(guān)于審理人身?yè)p害賠償案件適用法律若干問(wèn)題的解釋》(以下簡(jiǎn)稱(chēng)《人身?yè)p害賠償解釋》)首次明確確立了共同侵權(quán)行為的內(nèi)涵，分為三種情形：一是共同故意；二是共同過(guò)失；三是雖無(wú)共同故意、共同過(guò)失，但其侵害行為直接結(jié)合發(fā)生了同一損害后果。本文認(rèn)為，信息安全侵害行為間接導(dǎo)致信息主體遭遇下游不法行為的損害，上游的信息侵害行為與下游的損害行為及其造成的現(xiàn)實(shí)損害存在相當(dāng)?shù)囊蚬P(guān)系，上下游的侵害行為符合上述共同侵權(quán)的第三類(lèi)情形?！睹穹ǖ洹返?172條對(duì)該類(lèi)侵權(quán)情形做出了分別侵權(quán)的定性，即二人以上分別實(shí)施侵權(quán)行為造成同一損害，能夠確定責(zé)任大小的，各自承擔(dān)相應(yīng)的責(zé)任；難以確定責(zé)任大小的，平均承擔(dān)責(zé)任。前款責(zé)任分配遵循《人身?yè)p害賠償解釋》第三條第二款的責(zé)任分配理念，即根據(jù)過(guò)失大小或者原因力比例各自承擔(dān)相應(yīng)的賠償責(zé)任。信息安全侵害案件中，根據(jù)過(guò)失或原因力比例的劃分情況，上游的信息安全侵害人應(yīng)對(duì)下游損害承擔(dān)符合比例的或平均的侵權(quán)責(zé)任。

《民法典》第179條規(guī)定了民事責(zé)任承擔(dān)方式。根據(jù)《消費(fèi)者權(quán)益保護(hù)法》第50條，經(jīng)營(yíng)者侵害消費(fèi)者的個(gè)人信息依法得到保護(hù)的權(quán)利的，應(yīng)當(dāng)停止侵害、恢復(fù)名譽(yù)、消除影響、賠禮道歉，并賠償損失。遵循該立法思路，基于信息安全的排除妨害訴求，應(yīng)適用絕對(duì)權(quán)的保護(hù)請(qǐng)求權(quán)，包括停止侵害、排除妨礙、消除危險(xiǎn)等。信息侵權(quán)的賠償數(shù)額計(jì)算則可依據(jù)《侵權(quán)責(zé)任法》第20條和22條并結(jié)合《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》第18條予以確定。(20)參見(jiàn)余遠(yuǎn)芳:《個(gè)人信息的侵權(quán)法救濟(jì)：〈民法總則〉第111條的司法適用》，載互聯(lián)網(wǎng)法治研究，https://mp.weixin.qq.com/s/hY5Lyg-iPATZZRuVmXx6dg，訪問(wèn)日期：2020年5月12日。

(2)過(guò)錯(cuò)形式分類(lèi)與舉證責(zé)任承擔(dān)。鑒于民事責(zé)任賠償制度在個(gè)人信息保護(hù)中的弱支撐性，《個(gè)人信息保護(hù)法(征求意見(jiàn)稿)》第65條規(guī)定了信息保護(hù)的民事賠償制度，鑒于個(gè)人信息侵害救濟(jì)中存在權(quán)利性質(zhì)特殊和損失難以計(jì)算的問(wèn)題，該制度與知識(shí)產(chǎn)權(quán)中的“法定賠償制度”的起源相同，即如果信息主體可證明實(shí)際損失或獲益的，侵害人以具體損失或獲益承擔(dān)賠償責(zé)任；若難以計(jì)算損失或獲益的，則由人民法院酌定賠償數(shù)據(jù)。信息安全侵害主體包括自然人、國(guó)家機(jī)關(guān)、企業(yè)或其他組織。無(wú)論侵權(quán)之訴還是違約之訴，過(guò)錯(cuò)認(rèn)定均具有重要的法律意義。對(duì)此，《個(gè)人信息保護(hù)法(草案)》第65條明確規(guī)定個(gè)人信息民事侵權(quán)賠償適用過(guò)錯(cuò)推定原則，結(jié)合《民法典》第1165條的規(guī)定，個(gè)人信息處理者應(yīng)承擔(dān)舉證自身無(wú)過(guò)錯(cuò)的責(zé)任，因此在實(shí)踐中個(gè)人信息處理者應(yīng)注意履行“處理無(wú)過(guò)錯(cuò)”的義務(wù)，在信息產(chǎn)業(yè)經(jīng)營(yíng)中應(yīng)嚴(yán)格落實(shí)處理要求，并及時(shí)記錄與備案規(guī)范處理的憑證。

三、侵害個(gè)人信息權(quán)利行為的民事歸責(zé)分析

基于個(gè)人對(duì)其信息的自主控制訴求，《民法典》第1035條確立了個(gè)人對(duì)其信息的同意權(quán)，第1036條確立了知情權(quán)、更正權(quán)與刪除權(quán)等。(21)參見(jiàn)周漢華：《個(gè)人信息保護(hù)的法律定位》，載《法商研究》2020年第3期。《個(gè)人信息保護(hù)法(草案)》第44條則創(chuàng)新性地表達(dá)了完整信息權(quán)利的系統(tǒng)化構(gòu)成，即知情權(quán)與決定權(quán)。決定權(quán)指向的法益內(nèi)涵為信息控制能力，蘊(yùn)含同意權(quán)和具體的信息自決權(quán)，這即意味著《個(gè)人信息保護(hù)法(草案)》構(gòu)建了完整的數(shù)據(jù)民事權(quán)利體系?；谛畔⑻幚淼暮戏ㄊ掠?，對(duì)于侵害上述權(quán)利的行為，其歸責(zé)路徑包括侵權(quán)保護(hù)與合同保護(hù)機(jī)制。

(一)侵害信息權(quán)利行為的外延解讀

個(gè)人信息權(quán)利是指自然人對(duì)其個(gè)人信息具有自我控制和排除侵害的權(quán)利，包括知情同意權(quán)與具體的信息自決權(quán)。目前制度保障主要采取了兩類(lèi)權(quán)利行使機(jī)制：(1)通過(guò)知情同意機(jī)制禁止行為人未經(jīng)主體同意收集或披露個(gè)人數(shù)據(jù)或者將特定個(gè)人數(shù)據(jù)挪作他用；(22)參見(jiàn)丁道勤：《基礎(chǔ)數(shù)據(jù)與增值數(shù)據(jù)的二元?jiǎng)澐帧罚d《財(cái)經(jīng)法學(xué)》2017年第2期。(2)明確認(rèn)可信息主體可訪問(wèn)、更正與刪除信息的自決權(quán)利。從權(quán)利行使角度審視，前者為消極防御性權(quán)利，呈現(xiàn)被動(dòng)行權(quán)特征；后者則為積極利用性權(quán)利，呈現(xiàn)主動(dòng)行使特征。

1.侵犯知情權(quán)、同意權(quán)的情形。在商業(yè)應(yīng)用場(chǎng)景中，App運(yùn)營(yíng)者收集信息與獲取權(quán)限原則上必須遵循知情同意規(guī)則，應(yīng)履行告知同意義務(wù)。《App方法》規(guī)定了以下違規(guī)行為的構(gòu)成與要求：“未公開(kāi)收集使用規(guī)則”、“未明示收集使用個(gè)人信息的目的、方式和范圍”、“未經(jīng)用戶(hù)同意收集使用個(gè)人信息”、“違反必要原則，收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息”、“未經(jīng)同意向他人提供個(gè)人信息”，上述超越必要權(quán)限、超范圍的信息收集或權(quán)限獲取行為，侵犯了信息主體通過(guò)知情同意機(jī)制控制自身信息的權(quán)利。即意味著，在App運(yùn)營(yíng)環(huán)節(jié)中信息主體享有行使知情同意權(quán)的空間。整體來(lái)看，《App方法》對(duì)于信息產(chǎn)業(yè)規(guī)范運(yùn)營(yíng)的規(guī)制思路主要從“未經(jīng)同意”角度定性了數(shù)據(jù)處理者收集行為的違法違規(guī)性，核心圍繞主體同意制度，體現(xiàn)了制度層面保障公民對(duì)其個(gè)人信息控制能力的態(tài)度，以尊重個(gè)人信息所承載的人格利益(本質(zhì)為人格尊嚴(yán))。因此，App運(yùn)營(yíng)者如果實(shí)施了上述違法違規(guī)的收集、獲取、告知行為，均侵犯到了信息主體對(duì)其個(gè)人信息的知情同意權(quán)?！睹穹ǖ洹返?036條主要表達(dá)的是對(duì)于信息主體私權(quán)救濟(jì)的免責(zé)性，通過(guò)對(duì)第1036條的分析，對(duì)于以下信息處理情形，即使未征得信息主體的同意，也無(wú)需承擔(dān)民事責(zé)任：(1) 合理處理該自然人自行公開(kāi)的或者其他已經(jīng)合法公開(kāi)的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；(2)為維護(hù)公共利益或者該自然人合法權(quán)益，合理實(shí)施的其他行為。那么，必要性原則是否可作為獲取知情同意的免責(zé)條款？在“人臉識(shí)別第一案”(23)參見(jiàn)浙江省杭州市富陽(yáng)區(qū)人民法院作出的(2019)浙0111民初6971號(hào)民事判決書(shū)。審理過(guò)程中，法院認(rèn)為，園方僅以?xún)?yōu)化客戶(hù)體驗(yàn)為由要求年卡用戶(hù)只能刷臉入園并不符合個(gè)人信息收集的“必要”原則，由此其未獲取同意的收集行為侵犯了用戶(hù)的個(gè)人信息權(quán)(本文認(rèn)為應(yīng)表達(dá)為知情同意權(quán))。如果未經(jīng)同意的獲取行為符合必要原則，是否就屬于免責(zé)事由？本文持否定態(tài)度，因?yàn)槭占A段核心在于知情同意機(jī)制，并且在現(xiàn)實(shí)操作上，尤其對(duì)于人臉等生物識(shí)別信息，并不存在來(lái)不及獲取同意的情形，獲取行為本身需要信息主體在場(chǎng)。對(duì)于其他類(lèi)型信息的獲取，如果獲取時(shí)信息主體不在場(chǎng)，若為了及時(shí)維護(hù)信息主體的合法權(quán)益來(lái)不及取得同意時(shí)，可視具體情形衡量其必要性，以作為侵犯知情同意權(quán)的免責(zé)事由。

2. 侵犯具體信息自決權(quán)的情形?！睹穹ǖ洹返?037條賦予公民的信息自決權(quán)利，侵犯?jìng)€(gè)人信息自決權(quán)利的糾紛主要由數(shù)據(jù)控制者未提供或拒絕信息主體訪問(wèn)、更正或刪除個(gè)人信息導(dǎo)致。《個(gè)人信息保護(hù)法(草案)》全方面賦予了個(gè)人信息主體的信息自決權(quán)利，包括：(1) 知情權(quán)；(2) 決定權(quán)；(3) 限制權(quán)；(4) 拒絕權(quán)；(5) 查閱、復(fù)制權(quán)；(6) 更正、補(bǔ)充權(quán)；(7) 刪除權(quán)；(8) 規(guī)則解釋權(quán)。對(duì)于用戶(hù)的信息自決權(quán)保障，《App方法》側(cè)面要求了數(shù)據(jù)控制者須做到如下事項(xiàng)：(1)提供有效的更正、刪除個(gè)人信息及注銷(xiāo)用戶(hù)賬號(hào)功能；(2)不得為更正、刪除個(gè)人信息或注銷(xiāo)用戶(hù)賬號(hào)設(shè)置不必要或不合理?xiàng)l件；(3)及時(shí)響應(yīng)用戶(hù)更正、刪除個(gè)人信息及注銷(xiāo)用戶(hù)賬號(hào)的操作，需人工處理的，要在承諾時(shí)限內(nèi)完成核查和處理；(4)App后臺(tái)進(jìn)程要與用戶(hù)更正、刪除個(gè)人信息或注銷(xiāo)用戶(hù)賬號(hào)的操作時(shí)間一致。據(jù)《移動(dòng)互聯(lián)網(wǎng)應(yīng)用個(gè)人信息安全報(bào)告(2019年)》顯示，移動(dòng)網(wǎng)絡(luò)應(yīng)用中侵犯?jìng)€(gè)人信息的常見(jiàn)問(wèn)題包括：個(gè)人信息收集使用規(guī)則效果不佳；強(qiáng)制、頻繁、過(guò)度索權(quán)成為普遍現(xiàn)象；私自收集頻發(fā)、超范圍收集問(wèn)題突出；數(shù)據(jù)共享行為不規(guī)范、缺乏約束措施；無(wú)開(kāi)啟或關(guān)閉個(gè)性化服務(wù)選項(xiàng)；設(shè)置不合理障礙、賬號(hào)注銷(xiāo)難?？梢钥吹?，上述違規(guī)行為主要侵害了信息主體的知情同意權(quán)與自決權(quán)。

(二)侵犯信息權(quán)利行為的民事責(zé)任路徑

相較于侵害信息安全的民事歸責(zé)路徑，信息權(quán)利的民事歸責(zé)路徑更為直接，除侵權(quán)保護(hù)機(jī)制外，也同時(shí)適用合同保護(hù)機(jī)制。但是兩種機(jī)制的適用前提與場(chǎng)景有所差異，應(yīng)予以區(qū)分。上一部分闡釋的侵權(quán)歸責(zé)路徑同樣適用于信息權(quán)利的侵害場(chǎng)景，此處重點(diǎn)闡釋個(gè)人信息權(quán)利的合同保護(hù)機(jī)制。

1. 民事責(zé)任模式的適用選擇。針對(duì)信息控制能力的人格權(quán)益保護(hù)，侵權(quán)制度的適用與否應(yīng)首先明確公民個(gè)人權(quán)利在規(guī)范層面的賦權(quán)。《個(gè)人信息保護(hù)法(草案)》第四章明確賦權(quán)個(gè)人對(duì)于其個(gè)人信息的處理享有知情權(quán)、決定權(quán)、限制處理權(quán)、拒絕處理權(quán)，為上述權(quán)利提供了明確的侵權(quán)救濟(jì)請(qǐng)求權(quán)基礎(chǔ)。因此，針對(duì)信息主體的知情權(quán)、決定權(quán)、限制處理權(quán)、拒絕處理權(quán)，可受侵權(quán)制度的保護(hù)。對(duì)比來(lái)看，同《民法典》一樣，《個(gè)人信息保護(hù)法(草案)》僅賦予了信息主體查閱、復(fù)制、更正、刪除、解釋說(shuō)明的請(qǐng)求權(quán)，而非直接賦權(quán)。由此，是否適用侵權(quán)保護(hù)路徑仍然存在探討空間。《民法典》為個(gè)人信息的私權(quán)法益提供了四種侵害救濟(jì)請(qǐng)求權(quán)路徑：侵權(quán)責(zé)任請(qǐng)求權(quán)、合同約定的請(qǐng)求權(quán)、人格權(quán)請(qǐng)求權(quán)(《民法典》第995條)、人格權(quán)請(qǐng)求權(quán)禁令(《民法典》第997條)，(24)參見(jiàn)丁宇翔：《民法典保護(hù)個(gè)人信息的三種請(qǐng)求權(quán)進(jìn)路》，載《人民法院報(bào)》2020年9月25日。后兩類(lèi)請(qǐng)求權(quán)主要指向停止侵害、排除妨礙、消除危險(xiǎn)、消除影響、恢復(fù)名譽(yù)、賠禮道歉請(qǐng)求權(quán)等救濟(jì)措施，并且該類(lèi)請(qǐng)求權(quán)不受訴訟時(shí)效限制?！睹穹ǖ洹返?95條與第997條提供的獨(dú)立于侵權(quán)責(zé)任的救濟(jì)路徑選擇，本質(zhì)仍從屬于個(gè)人信息人格權(quán)化的救濟(jì)渠道，與侵權(quán)責(zé)任基于同一請(qǐng)求權(quán)基礎(chǔ)。因此，整體而言，個(gè)人信息私權(quán)利益的救濟(jì)請(qǐng)求權(quán)基礎(chǔ)為兩類(lèi)：人格權(quán)化與可交易性。侵權(quán)機(jī)制對(duì)應(yīng)的是信息權(quán)利的人格權(quán)化，合同機(jī)制對(duì)應(yīng)的是信息使用權(quán)的可交易性?？紤]到個(gè)體維權(quán)的可行性與信息使用場(chǎng)景的多元化，基于不同的發(fā)生場(chǎng)景，按照司法處理的便利性，信息主體可選擇訴諸侵權(quán)保護(hù)或違約救濟(jì)制度。參考網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的司法處理實(shí)踐，刑事案件的判決主要根據(jù)物權(quán)理論認(rèn)可用戶(hù)享有網(wǎng)絡(luò)虛擬財(cái)產(chǎn)權(quán)，以便于定罪量刑；民事案件的判決則主要從合同角度保護(hù)用戶(hù)的網(wǎng)絡(luò)虛擬財(cái)產(chǎn)權(quán)益。(25)參見(jiàn)江波：《虛擬財(cái)產(chǎn)司法保護(hù)研究》，北京大學(xué)出版社2015年版，第42-67頁(yè)。然而，“物權(quán)法+合同法”的適用模式并不能完整解決網(wǎng)絡(luò)虛擬財(cái)產(chǎn)權(quán)益的保護(hù)問(wèn)題，因此網(wǎng)絡(luò)虛擬財(cái)產(chǎn)權(quán)是獨(dú)立于物權(quán)，并與物權(quán)、知識(shí)產(chǎn)權(quán)相并列的新型財(cái)產(chǎn)權(quán)。(26)參見(jiàn)孫山:《網(wǎng)絡(luò)虛擬財(cái)產(chǎn)權(quán)單獨(dú)立法保護(hù)的可行性初探》，載《河北法學(xué)》2019年第8期；申晨:《虛擬財(cái)產(chǎn)規(guī)則的路徑重構(gòu)》，載《法學(xué)家》2016年第1期。目前，在個(gè)人信息權(quán)益的司法糾紛中，“案件—訴訟—損害”的傳統(tǒng)處理邏輯與“程序性違法—行政處罰+損害賠償”的信息處理規(guī)范存在錯(cuò)位，需要厘清個(gè)人信息權(quán)益的獨(dú)立司法保護(hù)地位。對(duì)此，一方面可以賦予信息主體針對(duì)第三人的請(qǐng)求權(quán)；另一方面也可基于網(wǎng)絡(luò)服務(wù)合同構(gòu)建信息主體與數(shù)據(jù)控制者之間的法律約束關(guān)系。在比較視野下，GDPR第6條第1(a)與(b)款規(guī)定，主體同意機(jī)制下啟動(dòng)的個(gè)人信息處理，包括個(gè)人同意與履行所簽署合同兩類(lèi)情形，因此侵犯?jìng)€(gè)人信息權(quán)利可由違約行為或侵權(quán)行為引起。我國(guó)《民法典》確認(rèn)了個(gè)人信息權(quán)益的性質(zhì)、內(nèi)容及其保護(hù)規(guī)則，(27)參見(jiàn)程嘯：《論我國(guó)民法典中的個(gè)人信息合理使用制度》，載《中外法學(xué)》2020年第4期。由此明確了個(gè)人信息承載著法定的私權(quán)法益。目前在司法實(shí)務(wù)中，侵害個(gè)人信息的民事糾紛主要為侵權(quán)糾紛，實(shí)踐中只有極個(gè)別的侵害個(gè)人信息案件中的當(dāng)事人提起違約之訴。(28)參見(jiàn)程嘯：《論侵害個(gè)人信息的民事責(zé)任》，載《暨南學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2020年第2期。

2. 信息控制能力的財(cái)產(chǎn)利益保護(hù)：合同保護(hù)機(jī)制的適用基礎(chǔ)。以往個(gè)人信息規(guī)范體系將主體同意作為唯一處理依據(jù)，《個(gè)人信息保護(hù)法(草案)》則創(chuàng)新性地將個(gè)人信息處理的合法性基礎(chǔ)擴(kuò)展為六類(lèi)，其中包括為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需，從而為個(gè)人信息權(quán)益的保障與救濟(jì)提供了合同請(qǐng)求權(quán)基礎(chǔ)。那么，如何理解與落實(shí)信息保護(hù)的合同機(jī)制？參照歐洲數(shù)據(jù)保護(hù)委員會(huì)(EDPB)在指導(dǎo)文件《關(guān)于在向數(shù)據(jù)主體提供在線(xiàn)服務(wù)時(shí)依據(jù)GDPR第6(1) (b)條規(guī)定處理個(gè)人數(shù)據(jù)》中對(duì)于合同事由作為處理依據(jù)的解釋?zhuān)?29)European Data Protection Board, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, 12 April 2019.“必要性”必須是客觀上的必要(objectively necessary)，而不是制定合同的經(jīng)營(yíng)商認(rèn)為的必要，需要通過(guò)客觀的事實(shí)做出判斷。(30)這就意味著，信息主體在與信息控制者在訂立合同時(shí)，已經(jīng)合理期待和判斷該服務(wù)的實(shí)現(xiàn)所必須執(zhí)行的數(shù)據(jù)處理行為。同時(shí)，數(shù)據(jù)控制者也要證明某一項(xiàng)處理行為若沒(méi)有進(jìn)行，合同就會(huì)無(wú)法履行或者訂立。需要注意，信息自決權(quán)益的合同保護(hù)機(jī)制屬于公民私權(quán)的“意思自治”范疇，建立于主體的知情同意權(quán)之上，與信息處理的“合同所必要”基礎(chǔ)存在差異。例如，知情同意基礎(chǔ)的合同可涉及個(gè)人的數(shù)據(jù)被用在什么地方、是否被過(guò)度使用、有沒(méi)有使用年限、用戶(hù)如何終止數(shù)據(jù)的使用授權(quán)等諸多協(xié)議細(xì)節(jié)。(31)《支付寶年度賬單惹怒用戶(hù) “愚蠢的錯(cuò)誤”如何產(chǎn)生》，載騰訊網(wǎng)，https://tech.qq.com/a/20180104/020872.htm，最后訪問(wèn)時(shí)間：2020年9月3日。

個(gè)體的信息自決權(quán)益是人格權(quán)利益、數(shù)字生活便利、經(jīng)濟(jì)利益的混合體。在權(quán)利性質(zhì)上，個(gè)人信息權(quán)是保障公民充分自我發(fā)展的社會(huì)經(jīng)濟(jì)權(quán)利，是維護(hù)自然人在政治、經(jīng)濟(jì)、人格權(quán)等領(lǐng)域中利益的工具，而非最終目的權(quán)利。在私有制主導(dǎo)的社會(huì)環(huán)境下，“信息自決權(quán)”是法律有效分配權(quán)利的方式，“信息自決權(quán)”似乎暗示個(gè)人對(duì)于自身信息的自決權(quán)本質(zhì)是在排他地處分“個(gè)人財(cái)產(chǎn)”，“身份盜竊”概念的提出也預(yù)示了個(gè)人信息的“物化”趨勢(shì)。事實(shí)上，“信息”并不先于它的“表達(dá)”或“披露”而存在，信息的產(chǎn)生依賴(lài)于信息網(wǎng)絡(luò)技術(shù)的支持，所以從邏輯上來(lái)說(shuō)，個(gè)人對(duì)于自身信息并不享有“天然的”原始權(quán)利。(32)參見(jiàn)Rouvroy Antoinette, Poullet Yves. The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, in Gutwirth, S., Poullet, Y., de Hert, P., de Terwangne, C., Nouwt, S. (Eds.). Reinventing Data Protection? Springer, 2009, p. 51.因此，個(gè)人信息的商品化與協(xié)商機(jī)制指向客觀存在的法益，違約責(zé)任方式是維護(hù)信息自決權(quán)益的重要法律手段。對(duì)于信息主體，個(gè)人信息的財(cái)產(chǎn)屬性與商品化一般表現(xiàn)為信息主體在某些情況下同意被收集個(gè)人信息，以此獲取經(jīng)濟(jì)激勵(lì)或生活便利，如精準(zhǔn)定制服務(wù)、費(fèi)用或價(jià)格降低、免費(fèi)抽獎(jiǎng)等。在該類(lèi)場(chǎng)景下，信息主體可以通過(guò)與數(shù)據(jù)控制者協(xié)商以決定體現(xiàn)個(gè)人偏好的信息保護(hù)設(shè)置。(33)參見(jiàn)P. M. Schwartz, ‘Beyond Lessig’s Code for Internet Privacy: Cyberspace, Filters, Privacy control and Fair Information Practices’, Wisconsin Law Review, 2000, p. 749 et s.在個(gè)人信息的財(cái)產(chǎn)化路徑下，個(gè)人信息被認(rèn)為是一種有價(jià)值的商品，是可被討價(jià)還價(jià)的對(duì)象，并通過(guò)合同機(jī)制與他人進(jìn)行交易。(34)參見(jiàn)P. Samuelson, ‘Privacy as Intellectual Property’, 52 Stanford Law Rev., 2000, pp. 1125 and ff.; J. Litman, ‘Information Privacy/Information Property’, 52 Stanford Law Rev., 2000, p. 1250; K. BASHO, ‘The Licensing of the personal information. Is that a solution to Internet Privacy?’, 88 California Law Rev., 2000, p. 1507.受數(shù)據(jù)財(cái)產(chǎn)化理論的影響，合同機(jī)制把雙方的協(xié)定視為后續(xù)處理數(shù)據(jù)的核心依據(jù)。但是，無(wú)論個(gè)人信息是否可被視為財(cái)產(chǎn)，合同約定方式均允許雙方就個(gè)人信息的收集與處理進(jìn)行要約和承諾。(35)參見(jiàn)J.Kang & B. Buchner, ‘Privacy in Atlantis’, 18 Harv. Journal Law &Techn., 2004, p. 4.并且，協(xié)商階段不僅限于收集階段，在后續(xù)的所有數(shù)據(jù)處理環(huán)節(jié)中，均可針對(duì)具體的數(shù)據(jù)處理目的為信息主體提供靈活的協(xié)商機(jī)制。用戶(hù)的同意具備確定的合同法律效力，基于該約定的采集行為可免于不確定的合規(guī)風(fēng)險(xiǎn)。(36)參見(jiàn)Patrick Myers, Protecting Personal Information: Achieving a Balance Between User Privacy and Behavioral Targeting , 49 Michigan Journal of Law Reform 717, 741(2016).現(xiàn)實(shí)操作上，在信息最初被收集時(shí)，平臺(tái)首先需要征得用戶(hù)的同意，以及具體的信息自決權(quán)利的保障與落實(shí)應(yīng)體現(xiàn)于平臺(tái)協(xié)議中。但是，平臺(tái)協(xié)議的條款內(nèi)容不得違反《網(wǎng)絡(luò)安全法》《App方法》《個(gè)人信息安全規(guī)范》《個(gè)人信息告知同意指南》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用(App)收集個(gè)人信息基本規(guī)范》等規(guī)范性文件中的行業(yè)運(yùn)營(yíng)合規(guī)要求。因此，雙方可協(xié)商的信息權(quán)利處分空間僅限于強(qiáng)制規(guī)范內(nèi)容(如必要權(quán)限、最小化信息范圍)之外的意思自治事項(xiàng)。鑒于平臺(tái)服務(wù)協(xié)議本質(zhì)為合同，因此信息主體與數(shù)據(jù)處理者關(guān)于信息收集、權(quán)限獲取、信息使用與處理等方面的格式條款與協(xié)商條款(自主選項(xiàng)、如隱私設(shè)置偏好等)，僅對(duì)雙方具有約束力。關(guān)于信息權(quán)利行使產(chǎn)生糾紛時(shí)，應(yīng)首先通過(guò)合同當(dāng)初的約定解決爭(zhēng)端?！睹穹ǖ洹返?79條規(guī)定了支付違約金的責(zé)任形式，因此在平臺(tái)服務(wù)協(xié)議中，雙方也可就信息的合規(guī)使用制定違約金條款，同時(shí)也為付費(fèi)模式的個(gè)體化信息服務(wù)提供違約救濟(jì)保障。

(三)信息產(chǎn)業(yè)運(yùn)營(yíng)中隱私信息的制度適用

基于數(shù)據(jù)隱私性的分類(lèi)，個(gè)人信息自決制度可分為一般信息與隱私信息的自決機(jī)制，因此隱私信息的法律保護(hù)制度是雙重的：一是隱私權(quán)保護(hù)制度；二是個(gè)人信息權(quán)益保護(hù)制度。關(guān)于適用侵權(quán)保護(hù)模式的優(yōu)先性存在兩個(gè)層次的判斷。其一，隱私權(quán)的侵權(quán)保護(hù)機(jī)制?；谛畔⒌碾[私性，個(gè)人信息可被分為隱私信息與非隱私信息?！睹穹ǖ洹返?034條第3款明確了私密信息與個(gè)人信息保護(hù)制度的適用關(guān)系，即隱私信息適用有關(guān)隱私權(quán)的規(guī)定；沒(méi)有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定。上述順序規(guī)定體現(xiàn)出適用關(guān)系的優(yōu)先性，即，當(dāng)上述兩類(lèi)制度競(jìng)合時(shí)應(yīng)優(yōu)先適用具體人格權(quán)制度，并且該優(yōu)先性應(yīng)當(dāng)是強(qiáng)制性的，法律適用領(lǐng)域如司法處理應(yīng)當(dāng)嚴(yán)格遵循適用順序。對(duì)此，本文存在的疑問(wèn)是：首先，數(shù)據(jù)所承載的隱私法益內(nèi)涵不限于被隱私保護(hù)訴求。對(duì)于隱私信息適用隱私權(quán)保護(hù)制度毋庸置疑，對(duì)于隱私信息承載的隱私法益，隱私權(quán)保護(hù)的制度功能僅限于維護(hù)個(gè)人的隱私“被隱蔽”的訴求。對(duì)于該訴求，基于私權(quán)領(lǐng)域的意思自治原則，立法應(yīng)優(yōu)先回應(yīng)個(gè)人的自主意愿，但是，在數(shù)字生活普及的時(shí)代背景下，個(gè)人自主意愿不必然是隱私被隱蔽作為首要訴求。其二，個(gè)人信息權(quán)益的侵權(quán)保護(hù)機(jī)制。在個(gè)人信息保護(hù)制度下，首先，在私權(quán)法益分解上，信息利益包含隱私與自決利益。(37)張新寶教授認(rèn)為，個(gè)人信息是一種民事權(quán)益，而隱私權(quán)則是一種民事權(quán)利，從權(quán)利位階上看，權(quán)利的位階要高于權(quán)益，因此隱私權(quán)作為高位階的權(quán)利，具有適用的優(yōu)先性。參見(jiàn)張新寶:《個(gè)人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期。事實(shí)上，隱私信息的隱私法益同樣屬于信息自決的客體范疇，體現(xiàn)的是個(gè)人對(duì)其信息的控制能力。因此關(guān)于信息自決能力的人格利益，當(dāng)面臨生活或工作中的數(shù)字服務(wù)時(shí)，提供服務(wù)的數(shù)據(jù)控制者與信息主體之間仍然存在協(xié)商約定的空間，由此對(duì)應(yīng)信息自決利益的合同保護(hù)機(jī)制，并且在數(shù)字服務(wù)必需的數(shù)據(jù)處理過(guò)程中，不必然會(huì)發(fā)生隱私信息被披露的風(fēng)險(xiǎn)。事實(shí)上，信息處理的運(yùn)營(yíng)合規(guī)要求決定了信息處理過(guò)程原則上不應(yīng)披露信息主體同意被收集與處理的個(gè)人信息(包括隱私信息)。其次，在現(xiàn)實(shí)操作的可行性上，以隱私保護(hù)為依據(jù)決定個(gè)人的哪些信息可提供給數(shù)據(jù)控制者的做法，其困境在于回避了隱私的道德地位，而是基于個(gè)人可以自行決定哪些信息屬于隱私這一前提。(38)參見(jiàn)F. Schoeman, ‘Privacy Philosophical Dimensions of the Literature’, in Philosophical Dimensions of the Privacy, F.D. Schoeman (ed.), 1984, p. 3.在現(xiàn)實(shí)中，對(duì)于信息的“隱私保護(hù)訴求”，存在公眾對(duì)隱私認(rèn)知與法律定性的錯(cuò)位，法律定性的隱私信息的保護(hù)范圍實(shí)則遠(yuǎn)小于個(gè)體主觀認(rèn)知的隱私范圍。因此，現(xiàn)實(shí)的司法救濟(jì)實(shí)則無(wú)法覆蓋個(gè)體主觀認(rèn)定的隱私信息范疇。綜上，對(duì)于隱私信息的侵權(quán)保護(hù)認(rèn)定，不必然適用隱私權(quán)侵權(quán)保護(hù)機(jī)制，也可同等順序適用個(gè)人信息權(quán)益的侵權(quán)保護(hù)制度。當(dāng)然，兩類(lèi)侵權(quán)保護(hù)的認(rèn)定可能會(huì)導(dǎo)致侵權(quán)救濟(jì)的不同結(jié)果。從私權(quán)保護(hù)的價(jià)值判斷上來(lái)看，盡管個(gè)人信息的人格權(quán)益一般高于財(cái)產(chǎn)權(quán)益，但信息自決權(quán)法益并不單純屬于財(cái)產(chǎn)范疇，由此，鑒于數(shù)字化生活的常態(tài)，法律實(shí)踐應(yīng)結(jié)合信息應(yīng)用場(chǎng)景判斷應(yīng)維護(hù)的主要法益(隱私權(quán)制度保護(hù)的隱私被隱蔽訴求或個(gè)人信息權(quán)益制度保護(hù)的信息自決利益)。因此，當(dāng)出現(xiàn)隱私利益(蘊(yùn)含自決利益)的私權(quán)保護(hù)場(chǎng)景時(shí)，司法實(shí)踐應(yīng)追溯現(xiàn)實(shí)受損害的法益，避免僅依據(jù)個(gè)人信息保護(hù)制度或隱私權(quán)制度做出機(jī)械化的判斷。

結(jié)語(yǔ)

個(gè)人信息安全的規(guī)范目標(biāo)針對(duì)數(shù)據(jù)控制者對(duì)于集合性數(shù)據(jù)庫(kù)的數(shù)據(jù)安保義務(wù)，對(duì)應(yīng)的主要是行政或刑事責(zé)任。然而，現(xiàn)有規(guī)范體系對(duì)于網(wǎng)絡(luò)安全事件中的受害者尚無(wú)具體且直接的救濟(jì)措施和手段，受害者獲得民事救濟(jì)的法律依據(jù)不足。個(gè)人信息保護(hù)中的民事責(zé)任路徑分為兩類(lèi)：(1)對(duì)于信息泄露的安全侵害行為(包括線(xiàn)上與線(xiàn)下的信息泄露與竊取行為)，民事責(zé)任主體包括數(shù)據(jù)控制者與數(shù)據(jù)泄露或竊取者等第三方侵害者；(2)信息產(chǎn)業(yè)運(yùn)營(yíng)中侵犯知情同意權(quán)與信息自決權(quán)的行為(僅限于信息網(wǎng)絡(luò)環(huán)境中)，民事責(zé)任主體僅限于網(wǎng)絡(luò)服務(wù)運(yùn)營(yíng)商(數(shù)據(jù)控制者)。對(duì)于個(gè)人信息安全利益的民事責(zé)任救濟(jì)，一方面，體現(xiàn)出私法領(lǐng)域?qū)τ谇趾π畔踩袨樗l(fā)的潛在損害風(fēng)險(xiǎn)(非現(xiàn)實(shí)損害)以及已經(jīng)發(fā)生的現(xiàn)實(shí)損害進(jìn)行安撫與補(bǔ)償?shù)乃悸罚涣硪环矫?，體現(xiàn)出對(duì)于信息主體具體的人身或財(cái)產(chǎn)權(quán)益進(jìn)行預(yù)防性保護(hù)的思路。對(duì)比來(lái)看，對(duì)于個(gè)人信息權(quán)利的民事責(zé)任救濟(jì)，則體現(xiàn)出私法領(lǐng)域努力維護(hù)信息主體的信息自決能力，鑒于目前信息產(chǎn)業(yè)領(lǐng)域中數(shù)據(jù)控制者與個(gè)體之間懸殊的數(shù)據(jù)控制能力，私法層面保護(hù)信息權(quán)利彰顯的是對(duì)于信息主體人格尊嚴(yán)的尊重，并賦予信息主體行使權(quán)利的主動(dòng)性與自控力。誠(chéng)然，若落實(shí)個(gè)人信息保護(hù)的民事責(zé)任，鑒于用戶(hù)的海量規(guī)模與不特定性，企業(yè)會(huì)面臨極高的合規(guī)成本與司法訴累，非常不利于數(shù)字產(chǎn)業(yè)的創(chuàng)新發(fā)展。目前的法律保護(hù)實(shí)踐與規(guī)制態(tài)度也并未通過(guò)賦權(quán)個(gè)體的方式為信息侵害行為提供私權(quán)救濟(jì)渠道，主要通過(guò)行政規(guī)管方式、行政法律責(zé)任以及相應(yīng)行政執(zhí)法行動(dòng)予以保障。然而，考慮到目前企業(yè)越權(quán)或過(guò)度獲取信息的現(xiàn)象過(guò)于猖獗，相較于低成本的行政處罰，應(yīng)要求企業(yè)對(duì)于嚴(yán)重的信息侵害行為承擔(dān)民事救濟(jì)責(zé)任，從而警示與防范信息侵害行為的蔓延。