董 嘉

（國際關(guān)系學院 研究生院，北京100091）

作為大數(shù)據(jù)的核心資源，個人信息的有效流通和合理利用成為數(shù)字經(jīng)濟發(fā)展進程中的重要課題。然而，信息代表著利益與價值，在利用信息資源的過程中會出現(xiàn)多方利益不均衡的現(xiàn)象，使個人信息面臨被侵害的風險，這就需要通過法律手段加以保護。

經(jīng)過長期的修訂與完善，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）于2021 年8 月正式出臺。該法融合了個人信息權(quán)益的私權(quán)保護與個人信息處理的公法監(jiān)管，其中涉及私法領(lǐng)域的部分與《民法典》規(guī)定的個人信息保護條款共同形成了體系化的個人信息保護規(guī)則。為使自身合法權(quán)益不受侵害，新的《民事案件案由規(guī)定》也單獨規(guī)定了“個人信息保護糾紛”案由，享有個人信息權(quán)益的自然人可以依法向人民法院提起訴訟，這對于個人信息權(quán)益的保護有著十分重大的意義。

一、個人信息侵權(quán)糾紛的起訴條件

作為訴訟行為的一種，起訴的實施需要符合法律規(guī)定的條件，才能達到相應(yīng)的法律效果。根據(jù)《個人信息保護法》所調(diào)整的法律關(guān)系以及《民事訴訟法》第119 條的規(guī)定，提起個人信息侵權(quán)訴訟必須符合以下幾個條件：

（一）適格原告：享有個人信息權(quán)益的自然人

適格原告應(yīng)是和本案有直接利害關(guān)系的自然人、法人或其他組織，并且同被告間的爭議直接關(guān)系到自身的民事權(quán)益。《個人信息保護法》明確了個人信息侵權(quán)糾紛中被侵權(quán)的主體是自然人，不包括法人和非法人組織，這就說明個人信息侵權(quán)糾紛的適格原告是享有個人信息權(quán)益的自然人，而雙方的爭議與其個人信息權(quán)益有直接的關(guān)聯(lián)。

如何理解個人信息權(quán)益，《民法典》人格權(quán)編將隱私權(quán)與個人信息歸為同一章，但在表述中并未將其稱之為“個人信息權(quán)”，有學者認為個人信息是一項基本的法益[1]，也有學者認為個人信息屬于人格權(quán)[2]，而《個人信息保護法》則是采用“個人信息權(quán)益”這一相對折中的表述，將其作為個人信息侵權(quán)責任的保護對象。個人信息權(quán)益的核心在于個人對其個人信息的自主決定，并在自主決定的基礎(chǔ)上形成完整的權(quán)利體系[3]。結(jié)合《民法典》中的相關(guān)規(guī)定，個人信息權(quán)益具體應(yīng)當包括自然人對其個人信息所享有的知情權(quán)、決定權(quán)、查詢權(quán)、復(fù)制權(quán)和更正權(quán)等權(quán)利。

（二）適格被告：明確的個人信息處理者

適格被告，即“明確的被告”，指的是原告在起訴中已經(jīng)將被告特定化、具體化，達到可識別的標準，便于起訴狀的送達?！蹲罡呷嗣穹ㄔ宏P(guān)于適用〈中華人民共和國民事訴訟法〉的司法解釋》中就指明，原告提供的被告信息應(yīng)當具體明確，使其與他人相區(qū)別，這樣才能被認定為適格的被告。

由于個人信息處理者是《個人信息保護法》所規(guī)定的侵權(quán)行為主體，因此在個人信息侵權(quán)訴訟中，適格的被告即為明確的個人信息處理者。事實上，《個人信息保護法》在個人信息處理者的范圍劃定方面覆蓋面很廣，幾乎任何個人和組織都可能成為“個人信息處理者”，但同時由于數(shù)據(jù)處理活動需要具備相應(yīng)的客觀條件，這就極大限制了主體范圍。條文中的“自主決定”是界定個人信息處理者的一個關(guān)鍵詞，只有依據(jù)自身需要能夠獨立決定個人信息處理目的和處理方式的組織或個人，才可以判定為個人信息處理者，并承擔相應(yīng)義務(wù)和責任。

網(wǎng)絡(luò)服務(wù)提供者是最常見也是最具有代表性的個人信息處理者，如網(wǎng)站、移動互聯(lián)網(wǎng)應(yīng)用程序（手機APP）提供商等。目前許多以電子商務(wù)平臺為中介的社交、購物行為，大量收集個人信息，并加以存儲和使用。因此，《個人信息保護法》要求互聯(lián)網(wǎng)平臺服務(wù)信息處理者盡到“特殊保護義務(wù)”。除此之外，國家機關(guān)在行使行政權(quán)進行行政管理的過程中，也會收集大量的個人信息而涉及個人信息的權(quán)益保護問題，所以，國家機關(guān)也屬于法律規(guī)定的個人信息處理者?！秱€人信息保護法》同樣嚴格規(guī)范了行政管理過程中國家機關(guān)對個人信息的處理行為。

（三）訴訟請求與訴訟標的

根據(jù)《民法典》的規(guī)定，民法領(lǐng)域中侵權(quán)責任調(diào)整的是因侵害民事權(quán)益而產(chǎn)生的民事關(guān)系。個人信息作為私權(quán)利的一種，當其受到侵害從而造成損失時，權(quán)利人可主張損害賠償，具體來講是指能夠令個人信息恢復(fù)到未遭受損害時的狀況。除此之外，《民法典》將個人信息與隱私權(quán)同章節(jié)歸納在人格權(quán)編中，說明從個人信息權(quán)益的性質(zhì)出發(fā)，這一權(quán)益也應(yīng)受到人格權(quán)請求權(quán)的保護。綜上，民事責任保護個人信息權(quán)益所對應(yīng)的請求權(quán)，是權(quán)利人所享有的侵權(quán)請求權(quán)，主要承擔損害賠償?shù)那謾?quán)責任；以及人格權(quán)請求權(quán)，主要承擔停止侵害、消除危險、排除妨礙、賠禮道歉等民事責任。在個人信息侵權(quán)糾紛案件中，原告可以在起訴中提出相應(yīng)的訴訟請求。

傳統(tǒng)的民事訴訟法學觀點認為，訴訟請求與訴訟標的是兩種不同的概念，前者是當事人在訴訟中提出的具體請求，后者則是當事人爭議的民事實體法律關(guān)系[4]。原告基于案件事實以及訴訟理由提出權(quán)利主張，便于法院審理以及被告進行答辯。在起訴中，“事實和理由”指的是原告提出的支持其訴訟請求的案件事實主張與法律依據(jù)，法院在審查受理時并不需要確認相關(guān)事實主張的真實性[5]。

在個人信息侵權(quán)訴訟中，作為個人信息權(quán)益享有者的自然人如何判斷自己的權(quán)益遭到了損害從而提起訴訟？換言之，個人信息侵權(quán)訴訟中的原告如何明確上述“事實和理由”？盡管《個人信息保護法》沒有逐一規(guī)定具體的侵權(quán)行為有哪些，但從自然人個人信息權(quán)益的權(quán)利內(nèi)容規(guī)定與個人信息處理者的應(yīng)盡義務(wù)規(guī)定中，能夠判斷何種行為會損害到個人信息權(quán)益，這部分內(nèi)容在后文的要件分析部分將展開詳述。

（四）管轄法院

根據(jù)《民事訴訟法》及相關(guān)司法解釋的規(guī)定，侵權(quán)訴訟的管轄法院是侵權(quán)行為地或被告住所地所在的人民法院，而侵權(quán)行為的實施地和侵權(quán)結(jié)果的發(fā)生地都屬于侵權(quán)行為地。就個人信息侵權(quán)等信息網(wǎng)絡(luò)侵權(quán)行為，又明確了信息設(shè)備所在地法院及被侵權(quán)人住所地法院也是相應(yīng)的管轄法院。

實際上，個人信息侵權(quán)的案件中，也存在適用約定管轄與合同管轄的情形，由此產(chǎn)生了相應(yīng)的管轄分歧。個人信息權(quán)益由于其自身的特殊性，很難用金錢價值來衡量，個案中的實際賠償金額也相對不高，不同的管轄裁定結(jié)果極大地影響了權(quán)益人維權(quán)的成本進而影響其維權(quán)的積極性。如果適用侵權(quán)管轄，權(quán)益人可依據(jù)法律規(guī)定選擇在其住所地起訴，從而大幅減少出行時間與訴訟費用等維權(quán)成本，保護其維權(quán)意愿。如果適用合同管轄，權(quán)益人也可以選擇在其住所地或收貨地（即合同履行地）起訴，同樣具有一定的便利性。但若適用約定管轄，情況就會有所不同，由于電子商務(wù)平臺一般會將其運營機構(gòu)所在地設(shè)定為約定管轄地，對于權(quán)益人來說會相應(yīng)地增加訴訟的難度[6]?？梢?，個人信息侵權(quán)類案件管轄制度的規(guī)范與健全是十分必要的，應(yīng)通過優(yōu)化訴訟的途徑減少管轄法院的不確定性來提高個人信息保護的水平。

二、個人信息侵權(quán)責任的要件分析

分析個人信息侵權(quán)責任的構(gòu)成要件，既有助于當事人合理確定提交給法院的“事實與理由”，法院也會據(jù)此作出案件最終的實體判決。

作為一種私法權(quán)益，個人信息權(quán)益主要通過民事侵權(quán)責任加以保護。以《個人信息保護法》第69 條為核心可以看出，法律規(guī)定的侵害個人信息權(quán)益的侵權(quán)責任，是指個人信息處理者違反法律規(guī)定的義務(wù)，實施侵害自然人個人信息權(quán)益的行為，并對個人信息權(quán)益造成損害，依法應(yīng)當承擔的損害賠償?shù)惹謾?quán)責任。本文將該侵權(quán)責任的構(gòu)成要件分為事實性要件與評價性要件加以說明。所謂事實性要件，是指該要件系以某一特定的社會事實為原型，在社會一般觀念中具有相同的或類似的印象，在訴訟中能夠?qū)⒃撘?nèi)容當作事實問題加以處理的法律要件，比如侵權(quán)責任中的加害行為、損害結(jié)果、因果關(guān)系等。所謂評價性要件，則是指該要件內(nèi)容并不是根據(jù)某一個特定的社會事實為原型，而是就各種社會事實進行推斷得出的一種價值判斷，在社會一般觀念中并不具有相同或類似的印象，在訴訟中不能夠直接將其作為事實問題加以處理的法律要件，比如侵權(quán)責任中的過錯與違法性要件。在侵權(quán)訴訟的場景下，區(qū)分事實性要件和評價性要件具有一定的必要性，這是因為事實性要件可以作為要件事實加以主張和證明，而評價性要件本身則不能成為主張和證明的對象，當事人應(yīng)當主張和證明可被涵射為該評價內(nèi)容的具體事實，即評價根據(jù)事實。評價事實同時也是法院認定事實的對象[7]。

（一）事實性要件

1.加害行為

《個人信息保護法》規(guī)定的個人信息侵權(quán)行為，是指個人信息處理者違反法律規(guī)定的義務(wù)，侵害自然人個人信息權(quán)益造成損害，應(yīng)當承擔民事責任的違法行為[8]。作為侵權(quán)責任規(guī)制的對象，侵犯個人信息的行為具有侵害手段的技術(shù)性、侵害方式的隱蔽性、侵害領(lǐng)域的無地域性以及侵害后果的嚴重性這些特征[9]。

根據(jù)《個人信息保護法》的規(guī)定，侵害個人信息權(quán)益的加害行為應(yīng)當是個人信息處理者在對個人信息進行收集、存儲、使用的過程中造成個人信息泄露，或使其遭到竊取、篡改、刪除，從而損害了自然人享有的個人信息權(quán)益。如果符合上述特征，則構(gòu)成個人信息侵權(quán)的具體行為。其中，以下幾種類型比較典型：違反法定的收集原則，不當收集個人信息；泄露個人信息；未經(jīng)個人同意使用個人信息，將所掌握的個人信息用于他用、不當使用、不當分享。除此之外，由用戶畫像或其他自動化決策所帶來的不利影響是否能夠構(gòu)成個人信息權(quán)益的侵害，也是存在爭議的情形，如評價分析、價格歧視、大數(shù)據(jù)殺熟等[10]。

2.損害結(jié)果

具有可賠償性的損害是法律意義上的損害，一般根據(jù)其是否具有財產(chǎn)價值、能否用金錢衡量分為財產(chǎn)性損害（也稱“物質(zhì)性損害”“有形損害”）與“非財產(chǎn)性損害”（也稱“非物質(zhì)性損害”“無形損害”）。在個人信息侵權(quán)訴訟中，若原告主張損害賠償，就需要證明個人信息處理者的侵權(quán)行為給自己造成了損害。例如，龐某某與東航及趣拿公司的隱私權(quán)糾紛一案，龐某某在去哪兒網(wǎng)站訂票后卻收到航班取消的詐騙信息，信息中準確顯示了龐某某的姓名、航班號等相關(guān)內(nèi)容，由于龐某某及時辨別出詐騙短信，沒有造成自身的經(jīng)濟損失，也沒有造成名譽損害、精神損害，故法院沒有支持龐某某損害賠償?shù)脑V訟請求，但兩家公司由于管理方面的疏忽，使龐某某的隱私信息存在被泄露的高度可能，應(yīng)當就其造成的不利影響承擔相應(yīng)的侵權(quán)責任，因此法院判決兩公司向龐某某賠禮道歉①。

上述案件中，個人信息處理者的侵權(quán)行為并沒有對自然人構(gòu)成直接的財產(chǎn)性損害。但是，與一般侵權(quán)行為造成的損害結(jié)果不同，個人信息侵權(quán)行為構(gòu)成的損害結(jié)果具有潛伏性、持續(xù)性和放大性的特點[11]，究其根本原因在于數(shù)據(jù)的可復(fù)制性和非消耗性。雖然已經(jīng)知曉侵害事實，但潛在損害結(jié)果依舊可能繼續(xù)發(fā)生并不斷放大。該案件中龐某某通過收到詐騙短信得知個人信息的泄露事實，但日后他很有可能還會繼續(xù)遭遇一些推銷與騷擾，這些麻煩與困擾很難徹底消失?？梢?，這就要求個人信息侵權(quán)案件中對損害結(jié)果的考量應(yīng)當適當?shù)財U大維度。

3.因果關(guān)系

分析因果關(guān)系，首先要明確行為人，其次要判斷行為人的特定行為（或狀態(tài)）是否是構(gòu)成特定損害（或侵害）的原因[12]。在處理個人信息的過程中，存在多個環(huán)節(jié)，包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等，上述環(huán)節(jié)可能存在多個信息處理者，并且各個環(huán)節(jié)的不當處理行為都可能構(gòu)成個人信息侵權(quán)。作為個人信息權(quán)益主體的自然人很難確定損害行為發(fā)生在哪一個環(huán)節(jié)并確定對應(yīng)的侵權(quán)行為人，即使證實了特定行為人也很難明確是其何種行為造成了損害結(jié)果。因此，因果關(guān)系要件的證明是個人信息侵權(quán)救濟中最為困難的一部分。在上述龐某某一案中，法院為避免龐某某出現(xiàn)舉證不能的情形，基于經(jīng)驗法則對其個人信息傳遞過程中多個環(huán)節(jié)的因果關(guān)系作出了司法推定。

值得注意的是，針對因果關(guān)系的證明難題，域外法中較多地采用了因果關(guān)系推定制度②。因果關(guān)系是關(guān)于行為人行為與損害結(jié)果之間的邏輯規(guī)則判斷，在涉及由于過失而違反了法定義務(wù)的判斷時，若采取過錯推定的立法技術(shù)，從法律邏輯自洽的角度，立法者也應(yīng)一并采用因果關(guān)系推定的立法技術(shù)，理論上稱之為雙重推定[13]。在雙重推定的立法技術(shù)下，被侵權(quán)人只要證明了可被推定為過錯的前提事實，法院應(yīng)同時推定存在過錯以及存在因果關(guān)系。在行為人證明了不存在過錯的評價妨礙事實時，法院應(yīng)同時推翻過錯與因果關(guān)系的推定結(jié)論[14]。但最終立法機關(guān)并未采用這一制度，故司法實踐中，確認侵權(quán)行為主體是否實施了加害行為即因果關(guān)系是否存在，依舊采取高度可能性的判斷標準。如果存在復(fù)數(shù)信息控制者參與同一個人信息的處理活動使得個人信息泄露時，受害人一般難以證明具體的加害人是哪一主體，此時應(yīng)當采用共同危險行為制度加以解決[15]。因果關(guān)系作為個人信息侵權(quán)責任構(gòu)成中的重要組成部分，在個案審理中要具體分析并判斷。

（二）評價性要件——過錯要件

過錯是現(xiàn)代侵權(quán)責任法的基石，侵權(quán)責任歸責原則圍繞過錯展開，違法性、抗辯事由、理性注意義務(wù)以及管理、保障、監(jiān)護等法定義務(wù)這些侵權(quán)責任法上的重要概念，都與過錯有密不可分的聯(lián)系[16]。作為過錯責任原則的核心內(nèi)容，過錯不僅是被侵權(quán)人請求權(quán)成立的要件之一，還是確定行為人責任范圍的依據(jù)。因此，它不僅是法院事實認定的重點，而且由于辯論原則的作用，也成為當事人攻擊防御的重點[17]。在個人信息權(quán)益遭到侵害時，主張責任承擔的享有個人信息權(quán)益的自然人行使侵權(quán)請求權(quán)，個人信息處理者同樣要具備過錯要件。

1.過錯要件的性質(zhì)

目前學界對于過錯性質(zhì)的判斷采取了主客觀要素相結(jié)合的概念，具體來說是支配行為人從事在法律上、道德上應(yīng)受非難的行為的故意和過失狀態(tài)，通常要采用客觀標準來評價[18]。而筆者傾向于過錯是一種應(yīng)受非難的個人心理狀態(tài)的主觀說觀點，即過錯體現(xiàn)為行為人對于加害行為與損害結(jié)果的因果關(guān)系存在故意或者過失的心理狀態(tài)，對于這種心理狀態(tài)下的行為是否具有法律上的可非難性，則通過違法性要件加以判斷。

從攻擊防御方法的角度，能夠清楚地考察過錯的性質(zhì)問題。所謂攻擊防御方法，也稱為訴訟資料，是指當事人圍繞案件訴訟標的所采取的一系列訴訟行為的總稱。具體包括：作為訴訟請求基礎(chǔ)而由當事人提出的法律上和事實上的主張；對對方當事人主張的認可或否認；證據(jù)的提出與采用；對對方當事人提出或者援用的證據(jù)的認可或者否認；證據(jù)抗辯等[19]。想要更好地完成攻擊防御，一方當事人提出的事實主張必須具備具體性與特定性，才能使對方當事人準確識別，而過錯作為侵權(quán)責任的法定要件，卻相對抽象與宏觀。所以，將過錯歸于評價性要件，負擔該要件主張證明責任的當事人即被侵權(quán)人，應(yīng)當主張并證明與之相對應(yīng)的案件具體事實，也就是評價根據(jù)事實。

2.過錯要件的評價結(jié)構(gòu)

一般情況下，想要直接證明過錯比較困難。實踐中，法院會在被侵權(quán)人證明了這些客觀事實如被告事發(fā)前后的言行舉止之后，借助其社會經(jīng)驗法則或一般邏輯規(guī)則對行為人事發(fā)時的主觀心理狀態(tài)加以評價，推論出社會客觀評價及是否存在過錯。這種三段論式的評價方式，與一般的事實推定存在類似的結(jié)構(gòu)。大前提是經(jīng)驗法則或邏輯規(guī)則，小前提則是評價根據(jù)事實，推定結(jié)論為是否存在過錯。需要注意的是，作為評價根據(jù)事實的小前提本身就是要件事實，所以選擇合理的大前提即合理的社會經(jīng)驗法則與一般邏輯規(guī)則是十分重要的。

在個人信息侵權(quán)責任中，“作為個人信息處理者必須知道在個人信息處理活動中，哪些行為是違反《個人信息保護法》的行為”應(yīng)當是合理的經(jīng)驗法則。如果認為上述經(jīng)驗法則的選取是合適的話，那么相應(yīng)的小前提事實就應(yīng)當是“個人信息處理者不當收集了個人信息”“個人信息處理者泄露了個人信息”“個人信息處理者未經(jīng)權(quán)益人同意將個人信息用于他用”等個人信息處理者未遵守法律規(guī)定盡到其義務(wù)的事實，被侵權(quán)人應(yīng)當對上述事實，加以主張和證明。

三、《個人信息保護法》第69 條第1 款的適用分析——兼論過錯推定制度

（一）確立過錯推定責任的合理性分析

根據(jù)《個人信息保護法》第69 條，在加害行為、損害結(jié)果、因果關(guān)系這些事實性要件都具備后，就可以推定個人信息處理者具有過錯?；趯嵺`經(jīng)驗可以判斷，法律上之所以進行這種推定是因為，個人信息處理者若嚴格遵循《民法典》《個人信息保護法》《數(shù)據(jù)安全法》等相關(guān)法律的規(guī)定處理個人信息，盡到個人信息的保護義務(wù)，就不會對個人信息權(quán)益造成損害，其主觀方面當然也就不存在過錯。相反，若在處理個人信息的過程中存在非法處理行為，或是沒有盡到其應(yīng)盡的個人信息保護義務(wù)，而造成了對個人信息權(quán)益的損害，就能夠確認個人信息處理者具有過錯，在這種情況下，個人信息處理者需要證明其已經(jīng)盡到個人信息保護義務(wù)，才可以推翻對其過錯的推定。

實際上，立法關(guān)于個人信息侵權(quán)責任應(yīng)當適用怎樣的歸責原則經(jīng)歷了不斷的優(yōu)化?！秱€人信息保護法（草案）》一審稿中指出，個人信息侵權(quán)責任適用一般過錯責任，在這樣的歸責原則下，個人信息處理者如果能夠證明自己不存在過錯，則可以減輕或者免除相應(yīng)的責任。隨著個人信息保護進程的推進，對個人信息侵權(quán)責任也相應(yīng)地提出了更高的要求，于是《個人信息保護法（草案）》二審稿中，歸責原則由一般過錯責任變更為過錯推定原則，并開始采用“個人信息處理者不能證明自己沒有過錯”這一表述。正式出臺的《個人信息保護法》第69 條第1款將二審稿的第一句做了調(diào)整，改為“處理個人信息侵害個人信息權(quán)益造成損害”，將適用過錯推定責任的侵權(quán)行為概括得更為準確[20]。

享有個人信息權(quán)益的自然人整體上相較于個人信息處理者處于弱勢地位，在信息的高速流轉(zhuǎn)中很難確定其個人信息如何被利用，實踐中常因舉證困難而無法得到救濟。相比之下，個人信息處理者掌握一定的處理技術(shù)，作為數(shù)據(jù)的實際控制者，也更容易說清楚“個人信息去哪兒了”，以及“個人信息如何被處理”，故過錯推定制度能夠強化信息處理者的舉證義務(wù)，減輕受害人的舉證負擔。

（二）傳統(tǒng)見解及其存在的問題分析

過錯的證明責任是否由于過錯推定制度的介入而發(fā)生轉(zhuǎn)換？對此，通說持肯定見解。從法條的表述來看，“個人信息處理者不能證明自己沒有過錯的，應(yīng)當承擔損害賠償?shù)惹謾?quán)責任”——由于過錯本來屬于被侵權(quán)人請求權(quán)成立的構(gòu)成要件，因此被侵權(quán)人對此承擔證明責任，而過錯推定規(guī)范的介入要求行為人“證明自己沒有過錯”，基于同一構(gòu)成要件不能同時由雙方當事人承擔證明責任，故行為人對“沒有過錯”承擔證明責任。

關(guān)于過錯推定是否涉及過錯的證明責任分配，筆者持否定觀點。過錯要件作為一種評價性要件，其本身是不能夠成為證明對象的，因為它并不是事實。換句話說，能夠分配證明責任的，不是過錯，而是過錯的評價根據(jù)事實。過錯推定本質(zhì)上是一種證明規(guī)范，沒有改變實體法上的歸責原則，行為人依然由于過錯而承擔侵權(quán)責任，由于沒有過錯而免于責任承擔。如果證明責任分配發(fā)生變化，原本侵權(quán)責任的成立要件轉(zhuǎn)化為侵權(quán)責任的妨礙要件，會導致實體法歸責原則體系的不穩(wěn)定。

事實上，過錯推定規(guī)范下關(guān)于過錯評價根據(jù)事實的證明責任分配與一般過錯責任案件中的證明責任分配沒有實質(zhì)上的區(qū)別。一般的過錯責任原則案件中，被侵權(quán)人要對過錯的評價根據(jù)事實負擔主張證明責任，如果該事實陷入真?zhèn)尾幻?，法院無法評價行為人存在過錯，則由被侵權(quán)人承擔敗訴風險。相應(yīng)地，行為人可以否認前提事實以及相關(guān)經(jīng)驗法則或提出新的事實主張即評價妨礙事實，如果行為人在評價根據(jù)事實成立的前提下提出新的評價妨礙事實，則應(yīng)當對此承擔證明責任，若該評價妨礙事實陷入真?zhèn)尾幻鳎瑒t由行為人而不是被侵權(quán)人承擔證明責任。在適用過錯推定規(guī)范的案件中，被侵權(quán)人需要證明的加害行為、損害結(jié)果與因果關(guān)系實際上就是法定的前提事實，法院據(jù)此依法判斷行為人是否存在過錯。一旦該事實陷入真?zhèn)尾幻?，法院就無法啟動推定規(guī)范。但如果法院啟動推定規(guī)范，行為人就需要證明“自身不存在過錯”，即行為人需要對可評價為不存在過錯的根據(jù)事實負擔證明責任，這里的根據(jù)事實正是一般過錯責任原則案件中的評價妨礙事實，行為人就此負擔證明責任沒有改變。若該事實陷入真?zhèn)尾幻?，法院依舊可以維持適用推定規(guī)范的結(jié)論[21]。

綜上所述，過錯推定規(guī)范并沒有轉(zhuǎn)換證明責任，包括過錯的評價根據(jù)事實以及評價妨礙事實的證明責任。過錯依舊是侵權(quán)責任的成立要件，不宜作為妨礙要件處理。

（三）過錯推定規(guī)則下當事人防御

《民事訴訟法》中的辯論原則要求當事人需要就有利于自己的要件事實負擔主張和證明責任。所謂歸責原則，應(yīng)當屬于侵權(quán)責任成立的構(gòu)成要件，從當事人攻擊防御的角度來看，應(yīng)當成為被侵權(quán)人獨立的攻擊方法[22]。就過錯責任而言，因為過錯屬于被侵權(quán)人請求權(quán)的成立要件，因此應(yīng)于訴訟中加以主張并證明相關(guān)事實；就無過錯責任而言，由于立法已經(jīng)將過錯從請求權(quán)成立的要件中剔除，因此被侵權(quán)人不需要就相關(guān)事實加以主張和證明。相較之下，過錯推定則不具備以上特點。就過錯推定而言，其在本質(zhì)上屬于法律上的推定制度，立法只是在關(guān)于過錯的證明問題上作出了特殊的安排，并沒有將過錯從請求權(quán)成立的要件中剔除，因此屬于過錯責任原則適用的特殊形式，不宜作為獨立的歸責原則加以看待。

在過錯推定制度中，作為推定對象的過錯，雖然本身也屬于侵權(quán)責任的成立要件，但很難認為其本身就是要件事實。因此，從評價性要件和事實性要件的分類出發(fā)，嚴格地講，過錯只有評價的問題，不存在推定的問題，所謂過錯推定制度這一稱謂是不成立的，而應(yīng)稱之為法律上的過錯評價制度，它與法律上的事實推定制度具有相同的制度目的以及類似的判斷結(jié)構(gòu)[23]。

相比法律明確規(guī)定過錯評價結(jié)構(gòu)中涉及的某些評價根據(jù)事實③，將“無過錯”的證明作為行為人的免責條件是過錯推定規(guī)范的真正含義，《個人信息保護法》第69條第1 款恰好符合這樣的過錯推定規(guī)范，也就是說法律并未明確規(guī)定個人信息處理者存在過錯的評價根據(jù)事實。還是以前文提到的龐某某案為例，兩公司應(yīng)當預(yù)見用戶的個人信息存在泄露的風險從而可能造成用戶權(quán)益的損害，但卻因為疏忽大意而沒有預(yù)見，或者已經(jīng)預(yù)見而輕信能夠避免。其評價根據(jù)事實可能是兩公司其他用戶的個人信息曾同樣出現(xiàn)被泄露的情況、該公司的網(wǎng)絡(luò)用戶平臺安全等級系數(shù)不高等。在過錯推定規(guī)范下，被侵權(quán)人不必主張和證明上述評價根據(jù)事實，而是只要證明其損害是由于兩公司處理個人信息時造成的即可，此時法院應(yīng)推定個人信息處理者存在過錯。

可以看出，真正的過錯推定規(guī)范的介入改變了被侵權(quán)人的主張證明對象，具體而言是改變了前提事實的屬性。由于不存在獨立的評價根據(jù)事實，在被侵權(quán)人完成加害行為、損害結(jié)果、因果關(guān)系的證明活動后，法院應(yīng)當推定行為人存在過錯。如此一來，真正的過錯推定規(guī)范確實達到了減輕被侵權(quán)人證明負擔的目的。

個人信息侵權(quán)責任中，個人信息處理者若認為其自身不存在過錯，可以從以下幾個方面依次展開防御：首先從事實主張的層面，可以否認被侵權(quán)人事實主張的真實性。如個人信息侵權(quán)責任中，被侵權(quán)人主張其個人信息由于個人信息處理者的不當處理行為遭到泄露，行為人可主張被侵權(quán)人個人信息的泄露是通過其他途徑造成，一旦行為人否認事實主張的真實性，則被侵權(quán)人就需要提供相應(yīng)的證據(jù)加以反駁。其次，個人信息處理者認為自己已經(jīng)盡到了其應(yīng)盡的義務(wù)，則應(yīng)主張和證明相應(yīng)的評價事實，比如在龐某某一案中，航空公司就可以證明訂票信息不存儲于航空公司系統(tǒng)，航空公司已經(jīng)盡到提醒乘客防止詐騙的義務(wù)，或者公司已經(jīng)采取了多重安全信息保障系統(tǒng)。該等事實的證明標準一如本證，如果法官得到確切的新證，則應(yīng)推翻此前的推定結(jié)論，即認定個人信息處理者不存在過錯。如果被侵權(quán)人主張的事實已經(jīng)得到法院的認定，行為人則可對作為評價大前提的經(jīng)驗法則或者注意義務(wù)提出異議，而法律依據(jù)的選擇應(yīng)當屬于法院職權(quán)范圍，不應(yīng)由當事人負擔證明責任。另外，如果評價結(jié)構(gòu)已經(jīng)形成，即法院已經(jīng)認定行為人存在過錯，則行為人可以提出一個新的事實主張，借由與之相關(guān)的經(jīng)驗法則的運用，達到推翻行為人過錯的目的。這一新的事實主張可以稱之為評價妨礙事實，如果該事實成立，則法院不能得出行為人存在過錯的結(jié)果。除了事實主張層面的防御模式，行為人也可從證明的角度針對被侵權(quán)人所提出證據(jù)的證據(jù)能力和證明力兩個方面展開攻擊防御，并提供相應(yīng)的反證。

綜上所述，《個人信息保護法》第69 條第1 款的規(guī)定確立了侵害個人信息的過錯推定責任，在深入理解過錯推定制度的基礎(chǔ)上需要明確過錯要件性質(zhì)是否改變、證明責任是否倒置，這對個人信息侵權(quán)訴訟中法院如何引導當事人展開攻擊防御具有重要意義。

注釋：

①北京市海淀區(qū)人民法院（2015）海民初字第10634號民事判決書； 北京市第一中級人民法院（2017）京01 民終字第509 號民事判決書。

②例如歐盟《一般數(shù)據(jù)保護條例》第82 條規(guī)定：復(fù)數(shù)控制者和/或處理者牽涉同一侵害性數(shù)據(jù)處理時，若控制者或處理者能夠證明其無論如何都不應(yīng)對致害事件負責，則可以免責。

③比如《中華人民共和國民法典》第1222 條關(guān)于醫(yī)療損害糾紛中醫(yī)療機構(gòu)的過錯推定：“患者在診療活動中受到損害，有下列情形之一的，推定醫(yī)療機構(gòu)有過錯：（一）違反法律、行政法規(guī)、規(guī)章以及其他有關(guān)診療規(guī)范的規(guī)定；（二） 隱匿或者拒絕提供與糾紛有關(guān)的病歷資料；（三）遺失、偽造、篡改或者違法銷毀病歷資料。 ”