谷田園

(山東大學法學院，山東 青島 266237)

基于算法的自動化信息處理、大數據分析、人工智能、區(qū)塊鏈、物聯網等技術的發(fā)展，個人信息的含義與價值得以重塑，間接個人信息內涵的擴張以及對個人信息財產利益的挖掘使得個人信息的不法利用行為日趨復雜化和多樣化，譬如垃圾短信、騷擾電話、“大數據殺熟”、精準廣告推送等，不僅是對私人空間的侵擾還導致受害人個人財產的損失。個人信息的違法泄露和非法交易還可能會引發(fā)國家安全危機。例如，劍橋分析公司(Cambridge Analytica)被指通過數據分析操縱美國總統(tǒng)選舉；滴滴公司美國上市引發(fā)了通過分析國家公務人員出行軌跡可能導致國家秘密泄露和針對國家公務人員的間諜活動的擔憂；結合人臉識別技術和無人飛行器可對特定目標精準打擊的武器可能助長恐怖主義蔓延等，從而嚴重危害個人安全與國家安全，因而亟待建立立體的、多層次的個人信息法律保護體系。在我國刑法保護先行的情況下，對個人信息的私法保護亦日臻完善，《民法典》及《個人信息保護法》(以下簡稱《個保法》)的出臺彌補了通過侵權賠償救濟反制個人信息違法行為路徑的不足。民事訴訟程序是法律實施的重要途徑，證明責任分配理論則是溝通民事實體法與程序法的重要橋梁[1]，是“民事訴訟的脊梁”[2]，是影響訴訟程序進程中發(fā)現真實和當事人敗訴結果承擔的關鍵性要素[3]。我國立法采納了羅森貝克的“規(guī)范說”理論，證明責任具有雙重含義，即提出證據證明法律關系存在的主觀證明責任和承擔敗訴后果的客觀證明責任。本文著重討論提出證據的責任即主觀證明責任的分配問題，并聚焦于個人信息保護糾紛案件中的過錯要件事實的舉證責任分配，因其不僅是司法實踐中判斷是否構成侵權的關鍵事實，也是爭議焦點之所在和立法關注的熱點問題。《個保法》第69條規(guī)定統(tǒng)一適用過錯推定原則，結束了實踐中對于過錯要件事實舉證責任分配適用原則的爭論，但是對于適用過錯推定原則的合理性仍存在不同聲音。本文結合分析實踐案例、現行法律規(guī)范、舉證責任理論及域外法相關立法經驗，探索符合我國現行法律體系以及當前社會實際需求的應然方案，提出針對《個保法》第69條的優(yōu)化建議。

一、過錯要件事實舉證責任分配的現狀分析

(一)過錯要件事實舉證責任分配的規(guī)范考察

1.以“規(guī)范說”為理論基礎

我國舉證責任分配規(guī)則吸收了德國學者萊奧·羅森貝克的“規(guī)范說”理論，即我國所稱“法律要件分類說”理論。根據羅森貝克的理論，證明責任具有雙重性，包括客觀證明責任與主觀舉證責任。客觀證明責任即結果意義上的證明責任，當事實處于真?zhèn)尾幻鲿r，主張法律關系存在的當事人承擔不利后果。主觀舉證責任即行為意義上的證明責任，即提出證據的責任，當事人必須“主張和證明對其有利的規(guī)范的條件”[4]，即根據實體法規(guī)范對法律關系構成要件事實承擔舉證責任從而證明自己主張的事實為真實。由此，實體法規(guī)范又可以分為基本規(guī)范與相對規(guī)范兩大類?；A規(guī)范為本訴請求權的權利產生規(guī)范，作為本訴請求權人的當事人主張該權利存在則其需要證明該權利的構成要件事實存在。相對規(guī)范為妨礙、消滅、阻卻基本規(guī)范發(fā)生效力的另一規(guī)范，阻卻基本規(guī)范法律效力的產生，通常由另一方當事人主張并承擔相應法律構成要件事實存在的舉證責任，表現為抗辯權或權利妨礙規(guī)范，若據此提起反訴，則為反訴中的基本規(guī)范。相對規(guī)范舉證責任的履行將必然導致基本規(guī)范的證明不能，進而由本訴請求權人承擔于其不利的訴訟結果。[5]1991年《最高人民法院關于適用<中華人民共和國民事訴訟法>的解釋》(以下簡稱《民訴法解釋》)第64條第1次規(guī)定了“誰主張，誰舉證”規(guī)則，而后2001年出臺的《最高人民法院關于民事訴訟證據的若干規(guī)定》(以下簡稱《民事證據規(guī)定》)第2條，對“誰主張、誰舉證”規(guī)則作進一步明釋，首次明確了舉證責任的雙重含義，包括行為意義上的提出證據的舉證責任(主觀舉證責任)和承擔不利訴訟后果的結果意義上的舉證責任(客觀證明責任)。由此，我國基本建立了以“規(guī)范說”為理論基礎的舉證責任分配規(guī)則。2012年《民訴法解釋》第91條進一步基于“規(guī)范說”理論完善舉證責任分配規(guī)則，其第1款首先點明本條規(guī)定是舉證責任分配的一般原則。而第2款和第3款更是參考“規(guī)范說”的內容，[6]分別對應著基本規(guī)范與相對規(guī)范的舉證責任分配規(guī)則。

在個人信息保護糾紛案件中，法律構成要件事實包括加害行為、損害結果、過錯和因果關系，在無特殊規(guī)定的情況下，由主張侵權關系存在的主體承擔對上述四項事實的舉證責任。其中，過錯要件事實舉證責任的分配又由實體法規(guī)定的歸責原則決定，包括作為一般原則的過錯歸責原則，以及作為特殊原則的過錯推定責任原則與無過錯責任原則。

2.自由裁量權的從有到無

2019年《民事證據規(guī)定》對舉證責任作重要調整，其中一項就是刪除2001年《民事證據規(guī)定》第7條關于法官根據公平原則和誠實信用原則自由裁量舉證責任分配的規(guī)定，排除了法官在舉證責任分配領域的自由裁量權。對此，最高人民法院有以下考量：第一，“規(guī)范說”暗含著舉證責任分配法定的要求，舉證責任分配規(guī)則包含在實體法規(guī)范中，不應當賦予法官裁量權；第二，第7條的設置本意是通過法官的自由裁量平衡具體個案中當事人訴訟力量的差距，司法實踐中不僅沒有達到預期效果，反而造成了法官權力的濫用；第三，保留例外規(guī)定，針對個案中可能出現的由舉證責任分配導致的明顯不公平問題，可請示最高人民法院并通過批復的形式解決。[7]因此，在無法律明確規(guī)定的情況下，過錯要件事實的舉證責任必須由主張侵權法律關系存在的當事人承擔。

3.過錯推定責任原則的從無到有

與個人信息保護糾紛有關的條文主要規(guī)定在《民法典》與《個保法》中?！睹穹ǖ洹返娜烁駲嗑幰?guī)定了個人信息保護的相關內容，但是該編與侵權責任編均未對個人信息保護糾紛案件的舉證責任分配作特殊規(guī)定，而《個保法》第69條則明確規(guī)定了適用過錯推定責任原則。由此引發(fā)兩個問題：第一，如何定位《民法典》與《個保法》的關系，《民法典》未規(guī)定的事項，《個保法》能否作特殊規(guī)定；第二，《個保法》統(tǒng)一適用過錯推定責任原則是否合理。有論者認為過錯推定原則過于激進，不利于相關企業(yè)的發(fā)展；亦有論者認為其過于保守，應當適用無過錯責任原則。對于這些問題，下文將會進一步分析并回應。

(二)過錯要件事實舉證責任分配的實踐檢視

《個保法》于2021年11月1日正式實施，2019年《民事證據規(guī)定》修改之前的案件法官可行使自由裁量權，其修改之后到《個保法》實施之前的案件則均應當嚴格適用一般舉證責任分配規(guī)則。此前的實踐案例中已然存在對一般舉證責任分配規(guī)則的突破，主要體現在個人信息泄露案件中，法官基于公平原則，在原告完成初步舉證之后要求被告承擔證明其無過錯的舉證責任。同時，亦有法官對過錯要件事實的舉證責任倒置持反對意見。以下對兩類案件作對比分析，以探求過錯要件事實認定爭議癥結之所在。

1.對過錯推定責任原則的支持

在“龐某某訴中國東方航空股份有限公司、北京趣拿信息技術有限公司隱私權糾紛案”中，法官認為龐某某一方提供的證據達到高度蓋然性標準，可以證明個人信息的泄露與涉事公司存在因果關系，進而認定涉事公司存在過錯。法官認為龐某某已經在其能力范圍內最大程度履行了舉證責任，繼續(xù)要求其證明涉事公司的系統(tǒng)存在漏洞是超出其能力范圍且不可能實現的，也不應當由其承擔，應當由涉事公司繼續(xù)證明其沒有過錯，因涉事公司無法證明其不存在過錯，故法官認定涉事公司應當承擔侵權責任。(1)參見北京市第一中級人民法院(2017)京01民終字第509號民事判決書。類似案件還有“林某某訴四川航空股份有限公司侵權責任糾紛上訴案”(2)參見成都市中級人民法院(2015)成民終字第1634號民事判決書。，法官認為林某某已經在其能力范圍內完成了舉證，可以證明信息泄露與航空公司存在因果關系，其沒有能力繼續(xù)對其他事實進行舉證；而航空公司未能提出證據證明其沒有過錯抑或證明為第三方原因導致信息泄露，故而認定航空公司侵權行為成立。

在上述個人信息保護糾紛案件中，過錯要件的舉證責任分配有以下幾個特點：第一，行為人過錯的判斷基于因果關系是否存在。上述兩案的裁判邏輯為，如果出現信息泄露的結果且該結果與行為人有因果關系，進而推定行為人有過錯。第二，對過錯存在的最終認定還取決于行為人能否進一步舉證證明其沒有過錯。因此，在上述案例中，通常認為法官適用了過錯推定責任，將過錯責任倒置由行為人承擔。但亦有觀點認為權利人對過錯要件承擔了初步的舉證責任，實質上是減輕了權利人的舉證責任，不存在倒置的問題。

筆者認為，上述案件應當認定為適用了過錯推定責任原則。過錯推定責任其實質為法律上的事實推定，其含義為，權利人首先提出證據證明與過錯要件事實無關的其他事實存在，進而根據法律的規(guī)定，因其他事實的存在可以推定行為人對損害事實的發(fā)生存在過錯，作為推定事實的其他事實必須為法定。因推定事實是假定事實不能等同于實際事實，因而可以被推翻，但是推翻之前應當認定其為真實，故而行為人可以通過舉證證明自己沒有過錯避免侵權責任的承擔。過錯推定原則中法律規(guī)定的推定事實的證明難度一定小于過錯要件事實的證明難度，而過錯推定責任原則設置的目的就是要降低過錯要件事實的舉證責任難度。[8]其中的舉證邏輯為，A為非過錯要件事實，根據法律特殊規(guī)定，若A存在則過錯存在，權利人首先舉證證明A存在，進而根據法律規(guī)定推定過錯當然存在。若行為人欲推翻該邏輯鏈條，首先可以舉證證明A不存在，此時行為人提出的證據是反證；其次可以證明過錯不存在，因為此時過錯為法律推定的過錯，權利人不曾對該要件提出證據，亦不存在法官對該要件事實的自由心證，此時行為人提出的證據為本證，其目的是說服法官對過錯不存在形成心證，而不是降低過錯存在的心證程度。因而可以得出，適用過錯推定責任原則導致的是過錯要件舉證責任的倒置而非過錯要件證明標準的降低。

龐某某案的裁判邏輯可以進一步總結為，根據生活經驗推定加害行為與損害結果有因果關系，進而因為存在因果關系推定行為人有過錯，此時侵權行為的構成要件全部成就；或者說不能排除損害的客觀結果與侵權人加害行為的因果關系，則推定行為人存在過錯，在此不問其主觀上是否有故意或過失。另一方面，法官認為航空公司應當履行保護消費者個人信息不被泄露的法定義務，而其行為違反了此法定義務，暗含著以違法性推定過錯的含義。因此，過錯要件的構成事實是通過權利人舉證證明非過錯要件事實推定而來，權利人實際未直接對過錯要件進行舉證，實際排除了權利人過錯要件事實的舉證責任，過錯要件事實的舉證責任實際由行為人承擔，是對過錯要件事實舉證責任的倒置，符合過錯推定責任原則的要求。

2.對一般過錯責任原則的堅持

在個人信息糾紛案件中，存在上述案件中對一般規(guī)則的突破，但是，因為缺少實體法規(guī)范支持，更多的案件依舊適用一般過錯歸責原則，這也是個人信息糾紛案件中權利人敗訴的重要原因。例如，在“馬某某訴中國南方航空股份有限公司網絡侵權責任糾紛上訴案”(3)參見南京市中級人民法院(2016)蘇01民終字第3947號民事判決書。與“謝某與江蘇蘇寧易購電子商務有限公司網絡侵權責任糾紛案”(4)參見陽江市江城區(qū)人民法院(2016)粵1702民初1098號民事判決書。中，權利人均因為沒能進一步舉證證明涉案公司在信息管理上存在漏洞，提供的證據不能認定涉案公司存在過錯而被判敗訴。此外，在其他個人信息保護糾紛中，司法實踐也貫徹適用了一般舉證責任分配規(guī)則。以“朱某訴百度科技公司案隱私權糾紛案”為例(5)參見南京市中級人民法院(2014)寧民終字第5028號民事判決書。。朱某使用百度搜索引擎搜索特定關鍵詞后，在其他網站出現針對該關鍵詞的推銷廣告，故朱某以百度利用cookies技術未經允許收集其個人信息侵犯其隱私權為由提起訴訟，一審法院支持了朱某的訴訟請求。但是，二審法院最終判決朱某敗訴，其中一個重要理由就是法官認為百度公司停供了隱私協(xié)議，已經依法明確告知義務，且朱某點擊了確認收悉，百度公司亦在《使用百度前必讀》中提供了退出機制。告知同意機制是個人信息商業(yè)使用法律保護的重要機制，主要對侵權行為起到事先的預防作用，通常表現為安裝軟件或者接受服務時，服務提供商提供的隱私協(xié)議。然而該隱私協(xié)議或因內容過長或因重點條款標注不明，成為一種擺設，成為侵權人逃脫責任的借口。正如在朱某訴百度案中，告知同意機制不僅沒有起到事先預防的作用，反而是百度利用該協(xié)議躲避了責任的承擔。同時，cookies技術是一種自動化程序，其收集、共享個人信息的方式對于用戶來說是自動且秘密進行的，而cookies技術實際收集了何種信息又共享給了哪些第三方的證據均由百度公司掌握，如果要求朱某進一步提供證據證明百度公司存在過錯實質上是不可能的。類似情況也發(fā)生在“顧某訴奇智軟件公司案”(6)參見杭州市中級人民法院(2014)浙杭民終字第1813號民事判決書。中。顧某認為，奇智軟件公司的瀏覽器秘密收集了其計算機上安裝的其他軟件的使用信息侵犯了其隱私權，法院同樣以奇智公司在安裝軟件時履行了告知義務為由，認為侵權行為不成立。

(三)法律規(guī)范對實踐經驗的吸收

如前文所述，個人信息保護體現出司法先行的特點，針對司法實踐中的不同裁判經驗，《民法典》與《個保法》在規(guī)定個人信息保護條款時進行了選擇與吸納。

1.以《個保法》為統(tǒng)一規(guī)范

如前文所述，《民法典》與《個保法》對于個人信息保護糾紛案件的過錯要件事實舉證責任分配選擇了不同的路徑，分別規(guī)定了一般過錯責任原則與過錯推定責任原則，因此對于該立法中的矛盾應該如何解讀是首要任務。筆者贊同吳沈括博士的觀點?！秱€保法》是公民個人信息保護的“頂層法律設計”[9]，綜合規(guī)定了個人信息保護的各項內容，是個人信息保護統(tǒng)一立法的最終成果，統(tǒng)合了民法、刑法、行政法等各部門法中關于個人信息的規(guī)定，可以被理解為我國個人信息統(tǒng)分合一模式下立法體系中的基本法，是個人信息保護領域的特別法，全面規(guī)定了包括個人信息保護的目的、原則、個人信息權人的權利、個人信息處理者的義務、監(jiān)督機構、法律責任等。因此，《民法典》與《個保法》的規(guī)定并不沖突，與個人信息保護有關的糾紛解決應當優(yōu)先適用《個保法》的規(guī)定。筆者認為，我國對于個人信息的立法保護采取了統(tǒng)分結合的模式，以《個保法》為總則統(tǒng)一規(guī)定個人信息保護的基礎框架，同時以其他部門法中的個人信息保護條款為補充，構成完整的個人信息保護法律體系。

2.以過錯推定責任為統(tǒng)一原則

《個保法》第69條明確了過錯推定責任原則，吸收了前述龐某某案的裁判經驗。首先，承認了個人信息保護糾紛當事人因技術原因在舉證方面存在能力差異。其次，發(fā)揮歸責原則在調節(jié)舉證能力以及損失賠償方面的優(yōu)勢，根據糾紛特點規(guī)定相對應的歸責原則，符合證據法與侵權法的要求。第三，過錯推定責任原則法定，如何解讀“個人信息權益造成損害”是關鍵。《個保法》中關于個人信息處理者的法定義務以及作為個人信息主體可主張權利對象的具體處理行為的規(guī)定實際暗含了個人信息權益造成損害的具體表現形式：當個人信息處理者的行為構成對法定義務的違反，或者未配合個人信息主體為一定的行為時，則其行為具有了違法性，并推定有過錯。違法性為法律上的事實判斷，以行為的結果為判斷標準，當結果出現時則視為違法，具有客觀性；過錯或過失則是對行為人主觀意思的判斷，當行為在客觀層面具備違法性時，法律追究行為人的責任是否還要進一步考慮其主觀上的意思表示當由法律明確規(guī)定，類似于刑法領域的犯罪構成“兩階層”理論。[10]對此，應當理解為該條對于行為人過錯的判斷采用了客觀過錯說，以行為的違法性推定行為人具有過錯，[11]是法律推定的過錯。

二、一體化模式的局限性

我國當前對個人信息糾紛案件過錯要件事實的舉證責任分配采取了一體化模式，即統(tǒng)一適用過錯推定責任原則。結合司法實踐，適用過錯推定責任原則的案件具有特殊性，大致可概括為行為人使用網絡手段導致其與權利人之間的舉證能力存在差異和行為人違反法定義務兩個特點。但是，綜觀《個保法》等相關法律，受法律規(guī)制的個人信息處理行為類型多樣，并非全部具有前述特點，并且排除一般過錯歸責原則和無過錯歸責原則的使用是否合理也存在爭議。過錯要件事實舉證責任分配采用一體化模式尚存在以下局限性。

(一) 統(tǒng)一的分配規(guī)則難以涵蓋類型多樣化的侵權行為

個人信息保護糾紛案件呈現多樣化特征，侵權行為呈現類型化特征，各類案件當事人之間舉證能力的差異各不相同，對于過錯要件事實的證明難度亦存在差異，統(tǒng)一的分配規(guī)則難以適應個人信息權益侵權行為司法規(guī)制需求。

1.個人信息保護糾紛中的典型侵權行為

根據《個保法》《民法典》《網絡安全法》《信息安全技術——個人信息安全規(guī)范》等規(guī)定，個人信息侵權行為可以大致概括為以下幾種典型類型。

第一，未經同意的收集，包括違反告知同意原則并侵犯個人信息權人知情權的秘密收集和過度收集。點擊流數據、cookies和web bugs等技術的應用，使得收集行為可以秘密進行，過度收集典型表現為手機軟件強制用戶以手機號注冊賬號，或強制收集通訊錄及地理位置信息等與其業(yè)務無關的信息，否則無法提供服務的情形，明顯有違信息收集的合目的性原則和限制收集原則。

第二，未經允許和導致歧視結果的自動化決策。通過自動化決策對個人信息主體進行精準畫像是個人信息利用的主要方式。通過前期大量收集個人信息形成大數據庫，進而利用基于算法技術的大數據分析手段，可以輕易分析出特定信息主體的行為習慣、興趣愛好、消費能力、年齡、家庭住址等個人信息?；趯π畔⒅黧w的精準畫像，進而可以根據信息主體的個人特點，向其推送專門化定制的廣告并誘導消費，包括常見的微信朋友圈、微博等社交媒體推送的營銷廣告，或是根據不同信息主體的不同消費水平，就同一商品做不同定價，這就是所謂的“大數據殺熟”現象。近年來，各大電子商務平臺相繼曝出同物不同價的丑聞，或因人而異，或因地點而異，或因是否有會員資格而異。發(fā)展迅速的健康產業(yè)，如運動手環(huán)、家庭健康監(jiān)測設備等也是基于自動化決策技術、人工智能技術提供服務。與傳統(tǒng)基于云計算(cloud computing)的自動化決策不同，醫(yī)療康養(yǎng)軟件多基于霧計算(fogcomputing)提供服務，即個人身體數據存于本地，通過本地的網關、移動設備或其他網絡基礎設施進行計算提供健康指導。雖然一定程度避免了身體數據上網存在的泄露風險，但是這種計算同樣可能產生運算偏差導致不利后果。[12]此時的侵權行為與前述基于云計算自動化決策的侵權行為不能等同。

第三，數據泄露。個人信息處理者的數據泄露行為包括經營者主動泄露和未盡信息安全保障義務的被動泄露。主動泄露主要表現為以謀取不正當利益為目的非法交易和非法共享個人信息，以及為第三方行為人竊取用戶個人信息提供便利。被動泄露可以分為經營者管理不善導致的內部員工故意或過失產生的信息泄露，以及未做好安全防護措施，導致黑客或者其他第三方入侵系統(tǒng)非法獲取用戶個人信息。雖然直接行為人不同，但這兩類情形都可歸因于個人信息處理者未盡到法定義務。

第四，數據共享。數據共享是當前個人信息流通的常見方式，例如攜程等出行服務整合平臺，與平臺商家共享其收集的用戶信息。如前述龐某某訴東航和趣拿案，用戶通過趣拿平臺購買東航的機票，使用的是趣拿公司提供的手機軟件，東航公司亦可通過趣拿公司數據庫開放的接口，共享趣拿公司的用戶數據。又比如百度、谷歌等公司提供廣告業(yè)務，允許第三方接入其數據庫或通過cookies等截取流量的技術獲取用戶瀏覽信息等。

第五，未經允許的公開。這種行為常見于網絡服務提供商。例如，未經學員同意，培訓機構私自將學員的照片和成績公布于網站。再如近期深陷剎車丑聞的特斯拉公司。特斯拉公司研發(fā)并銷售智能汽車，車載智能設備自動收集行車數據甚至錄音、錄像。其用戶在網絡公開投訴其剎車存在問題后，特斯拉公司未經用戶同意公開了其收集的用戶行車數據。

第六，拒絕個人信息主體行使查閱權、復制權、可攜權、更證權和刪除權?！秱€保法》賦予個人信息主體查閱權、復制權、可攜權、更證權和刪除權等一系列基于個人信息自決權的權利，信息處理者有義務配合權利人行使權力，當信息處理者無正當理由拒絕權利人的合法請求時，權利人有權依法向人民法院提起訴訟。在歐盟法院審理的“谷歌隱私權案”(7)See CJEU, Case C-131/12 [2012] OJ C165/11.中，西班牙報紙《先鋒報》(La Vanguardia)刊登了由社保所依據西班牙勞動和社會事務部(Spanish Ministry of Labour and Social Affairs)的指令發(fā)出的強制出售物業(yè)債務的決定，并上傳了該報紙的網絡電子版，物業(yè)所有人馬里奧·岡薩雷斯(Mario Costeja González)的名字也因此被公布。在拍賣結束十幾年后，Costeja在谷歌搜索自己的名字時，在搜索結果中發(fā)現該份公告，便要求報社刪除相關數據但遭到拒絕，而后其以谷歌西班牙子公司為被告向西班牙數據保護局(AEPD)提起訴訟，后被上訴至歐盟法院?；趥€人信息自決權，權利人有權要求信息處理者刪除與己有關的個人信息，在不違反公共利益保護等法定不得刪除的情況下，信息處理者應當刪除。

2. 個人信息侵權行為的類型化分析

上述侵權行為又可以根據不同的標準進一步歸納為以下幾種類型。

(1)基于行為人在侵權行為中的地位

雖然上文部分列舉了多種個人信息侵權行為，但是從舉證責任的分配角度出發(fā)，根據行為人在侵權行為中的地位，可以歸納為三類行為：“直接侵權行為”“未盡法定義務+第三方侵權”“主動侵權+第三方侵權”，而在“已盡到法定義務+第三方侵權”這一情形中，行為人并不存在侵權行為無需承擔侵權責任。這一分類主要涉及網絡服務提供者是否享有“避風港”原則賦予的侵權責任豁免。

“避風港”原則是指基于技術的中立性，以及鼓勵企業(yè)經濟和技術發(fā)展的考量，作為中介的網絡服務提供商不對發(fā)生在其平臺上的侵權行為承擔責任。例如，提供網絡交易平臺的電子商務平臺，通常情況下不對交易雙方之間發(fā)生的違約或侵權行為承擔責任。但是，作為服務中介的網絡服務提供者是個人信息的管理者，保有大量的個人信息，考慮數據泄露后的嚴重后果以及網絡服務提供者的技術能力，因而其通常被要求承擔一定的安全保障義務。

直接侵權的情形包括未經允許的公開以及拒絕個人信息主體行使查閱權、復制權、可攜權、更正權和刪除權。此兩種情形具有侵權行為清晰、證據易得的特點，并不存在由于技術導致的證據偏在以及舉證能力差異的問題。未經同意的收集以及未經允許的自動化決策也是直接侵權的表現形式，但是此二者涉及通過算法進行自動化處理的情況，加大了信息主體對過錯要件的舉證難度。

“主動侵權+第三方侵權”“未盡法定義務+第三方侵權”“已盡到法定義務+第三方侵權”則是共同侵權或共同危險的不同表現形式。第一，對其直接侵權或幫助或與第三方合謀侵權的行為，信息處理者當然承擔相應的侵權責任。通常情形是非法的數據買賣。第二，針對未盡到法律義務而造成的第三方侵權，信息處理者當承擔相應的侵權責任。這是基于過失侵權原則的要求，即民事過失責任的承擔在于“行為人違反了對他人的注意義務并造成對他人的損害，行為人對受害人應負的注意義務的違反，是行為人負過失責任的根據”[13]。對已經盡到合理注意義務的個人信息處理者，不得再讓其負擔第三方導致的侵權責任，因為此時其行為與第三方的侵權行為不再具有法律上的因果關系。

(2)侵權行為是否基于自動化處理技術

從技術角度出發(fā)，侵權行為又可以歸納為兩類，即基于自動化處理技術和非基于自動化處理技術的行為。

是否借助互聯網信息技術是造成個人信息處理者不同侵權行為損害程度不同的核心原因，借助自動化處理技術是導致侵權行為危險程度增強和難以被證明的重要原因。基于預設算法程序運行沒有人工的干預，造成網絡個人信息侵權行為具有極強隱秘性。欲要證明行為人有過錯需要先證明程序運行有問題，然后證明程序的運行問題由行為人造成且可以避免，因此由行為人提交必要的電子數據以及對程序進行鑒定可能成為必要條件，這必然加劇個人信息主體的舉證難度。以是否運用自動化處理技術為依據對網絡用戶個人信息侵權行為進行分類，有利于后續(xù)構建合理、有效的舉證責任分配制度。

(3) 特殊行為主體的責任承擔

在上述各類糾紛中，還暗含兩種符合法律規(guī)定之特殊主體構成侵權行為進而承擔侵權責任的情形。一是從行為人與個人信息處理程序的關系角度出發(fā)，個人信息侵權行為可以分為：程序的開發(fā)者和程序的使用者侵權行為。此種分類的實質在于不同行為人對程序的了解程度和使用不同。舉例說明，法院的“智慧法院”系統(tǒng)通常是由第三方機構研發(fā)，法院本身并不了解系統(tǒng)的運行機制，只是根據系統(tǒng)提供的功能進行使用。當個人信息發(fā)生泄露時，既有可能是法院人員操作不當導致，亦有可能是系統(tǒng)底層架構、程序本身存在問題。此時如果追究責任，程序的開發(fā)者與使用者對程序的掌握和了解程度并不相同，在證明過錯要件時應當承擔不同的責任。根據《民法典》關于產品生產者承擔無過錯責任的規(guī)定，如果個人信息糾紛案件中的當事人有符合該規(guī)定的情形，應當適用無過錯責任原則。二是符合《民法典》用工單位責任承擔的情形。以英國的“莫里森(Morrisons)數據泄露案”為例，其員工為報復公司私自泄露客戶信息并承擔了刑事責任，莫里森公司雖然證明泄露行為并未得到公司的授權并且采取了合理的防止信息泄露措施，一審高等法院(8)See Various Claimants v WM Morrisons Supermarket Plc [2017] EWHC 3113 (QB), [2018] 3 WLR 691.與上訴法院(9)See WM Morrison Supermarkets Plc v Various Claimants [2018] EWCA Civ 2339, [2019] QB 772.仍然判決其承擔替代賠償責任，認為符合用工單位責任承擔的情形。但案件上訴至最高法院后結果反轉，最高法院認為只有當雇員的行為與他們在工作中的職責密切相關時，雇主才能對他們的行為負責，因而免除了莫里森公司的替代責任。(10)See WM Morrison Supermarkets plc v Various Claimants [2020] UKSC 12, [2020] 2 WLR 941.根據我國《民法典》規(guī)定，上述兩類主體應當承擔無過錯責任，適用無過錯歸責原則，顯然與《個保法》第69條規(guī)定相矛盾。

綜上所述，個人信息侵權行為存在多種形式，每種形式各具其特點，不宜簡單適用統(tǒng)一的舉證責任分配規(guī)則。

(二)統(tǒng)一的分配規(guī)則不符合歸責原則的功能目的要求

過錯要件事實的舉證責任分配規(guī)則以實體法規(guī)定的歸責原則為基礎。歸責的含義是判斷誰來承擔損害賠償責任。[14]因為損害賠償法的基本原理是“享有權益者自擔損害”，所以將損害賠償責任歸于“享有權益者”之外的他人需要存在特殊理由，即歸責事由。[15]有損害是歸責的前提，又依據自我責任原則和其衍生的肇事原則要求，行為人行為需對權利人造成損害，且對損害結果的發(fā)生具有過錯，而非意外導致。[16]因此，過錯是歸責的核心事由，歸責原則是判斷由誰承擔賠償責任所遵循的依據，對過錯事由是否要證明以及由誰來證明的不同要求形成了三種歸責原則：過錯責任原則、過錯推定責任原則和無過錯責任原則。三種歸責原則并非同時產生，而是法律為了適應社會發(fā)展和科學技術進步逐步調整產生。結合上文對個人信息侵權行為的類型化分析，不同侵權行為受科技發(fā)展的影響不同，對當事人雙方舉證能力的影響亦不同，如果適用統(tǒng)一的分配規(guī)則不符合歸責原則適應社會發(fā)展、平衡當事人能力，平衡損害賠償與經濟發(fā)展的功能目的需求。

過錯歸責原則是最基本的原則。法理上，該原則體現了個人主義、自我責任原則的要求，行為人享有其行為的有利后果并承擔不利后果，同時不應當為他人的過錯承擔責任。在社會發(fā)展層面，為了促進經濟的發(fā)展，提供安全的發(fā)展環(huán)境，過錯歸責原則充分給予行為人自由和安全的發(fā)展空間，避免其承擔不必要的損失。[17]在該原則下，由權利主體對過錯要件進行舉證。

過錯推定責任原則，是過錯責任原則適應社會需要的延伸發(fā)展，其核心還是過錯責任。資本主義的發(fā)展導致了以下問題：雇主與雇員兩個階層在各方面存在能力差異；科學和技術的發(fā)展使得部分領域的知識專業(yè)程度過高而不得為所有人所知，證明行為人存在過錯的難度過高。[18]由此，過錯推定責任應時而生，其含義、實質和舉證邏輯如前文所述。過錯推定責任原則的目的就是要倒置過錯要件舉證責任而非降低非過錯要件證明標準。

無過錯責任原則是適應社會發(fā)展、進一步解決過錯要件事實難以舉證的產物。無過錯責任原則不再以過錯為歸責事由，不再以行為人的主觀意識為歸責依據，而是以作為客觀因素的風險和控制力為歸責事由，是一種補償責任。關于風險，一方面，在工業(yè)化時代，技術和設備本身就存在風險，損害結果并非立馬可見的，但是存在造成損害的巨大可能性，這種風險是社會發(fā)展的必然產物，很難要求某一個人承擔由此帶來的損害賠償責任；但是另一方面，受到損失的人應當獲得賠償。因此，法律要求技術、設備的管理者，通常為組織，對損害結果承擔無過錯責任，對受損害人進行補償?？刂屏κ掠傻某闪⒈仨毚嬖谝粋€直接的行為人和一個可以控制行為人的控制人，控制人有以下幾個特點：對直接行為人或者造成損害的物品或者動物在觀念和行為上有支配力；行為人創(chuàng)造的利益由控制人享有；控制人擁有更強的賠償能力。同時，由于無過錯責任是一種補償責任，要避免相關組織和控制者承擔超出其能力范圍的賠償責任，通常伴隨著成熟的保險規(guī)則，由整個社會共擔發(fā)展所要承擔的必然風險。[19]如我國《民法典》中規(guī)定監(jiān)護人、動物飼養(yǎng)人和產品生產者均承擔無過錯責任。

(三)統(tǒng)一的分配規(guī)則不符合分配規(guī)則功能目的要求

功能與目的是規(guī)則設計的前提依據。舉證責任分配規(guī)則是證明責任功能目的實現的具體方式，證明責任作為民事訴訟法的一部分當然受民事訴訟程序功能與目的的影響。而舉證責任分配規(guī)則存在上述問題的首要原因就是功能與目的的不明確，具體要從民事訴訟程序與證明責任制度的功能目的兩方面進行分析。

1.民事訴訟程序以實現公正與效益為目標

行為都有目的，目的背后是價值的選擇，價值選擇是設計制度規(guī)則的統(tǒng)領和最高遵循。基于價值的選擇進一步衍生出具體原則的選擇和發(fā)展。[20]舉證責任的“程序規(guī)則說”和“實體法規(guī)則說”的爭論由來已久，有學者認為舉證責任本質上是實體法的問題，[21]有學者認為“證明責任法定化是不可能實現的烏托邦”，證明責任應當歸為程序法問題。[22]但是，無論秉持何種觀點都無法否認其與民事訴訟程序的密切關系，舉證責任的分配規(guī)則當符合民事訴訟程序的功能和價值選擇。

根據《民事訴訟法》第2條規(guī)定，民事訴訟法的任務是發(fā)現案件事實，實現實體公正。訴訟的過程是解決糾紛的過程，是發(fā)現案件事實，正確適用法律，最終公正裁判的過程。[23]訴訟的價值在于實現實體公正，而盡最大可能地客觀再現爭執(zhí)事實是實現實體公正的必要前提，[24]而訴訟中再現客觀事實就是通過分配給當事人舉證責任，由當事人提出證明案件事實的證據的方式實現。實現實體公正是舉證責任分配應當遵循的首要價值要求。其次是效益價值，其包含兩層意思：一是實現當事人雙方利益的平衡從而解決糾紛，二是時間上的效益即效率，遲到的正義不是正義。[25]

2.證明責任以幫助法官作出判決為根本目的

證明責任的意義在于法律的實踐中，在構成要件不確定的情況下幫助法官作出終局判決，即首要功能是幫助法官裁判的功能。法官在法律要件事實真?zhèn)尾幻鲿r不得拒絕裁判，因此證明責任制度幫助法官判決未能證明其主張為真實的當事人承擔不利后果。提出證據的責任即舉證責任被視為證明責任“訴訟外的意義”，[26]承擔不利后果倒逼提出主張的當事人提供證據證明主張的真實，同時另一方當事人則為了阻止權利人利益的實現提出于己有利的其他事實。因此，證明責任具有雙重性特點，其中占主導的是客觀證明責任。

同時，證明責任具有幫助民事訴訟法實現公正與效益的功能，具體來說就是幫助發(fā)現實體真實，同時暗含維護“法秩序”，亦即，使得存在糾紛的法律規(guī)范恢復如初的功能。故而，證明責任的功能決定了在受大陸法系影響的國家，舉證責任的分配制度以“規(guī)范說”為原則。另一方面，功能和目的必須是可實現的，舉證責任的分配規(guī)則是證明責任功能與目的實現的重要保障，因而羅森貝克認為在證明責任法定的背景下，舉證責任的分配更加重要。[27]分配規(guī)則是關于主觀證明責任的規(guī)則，即由誰提出證據的規(guī)則。從維護法秩序角度出發(fā)，當事人提起訴訟則法秩序存在不穩(wěn)定，長期的不穩(wěn)定則將威脅到法秩序的存在；從當事人角度出發(fā)，法律的權威在于實施，權利人在舉證責任的分配規(guī)則下是有實現權利效力可能性的，即法律構成要件事實是可以提出證據證明的，證據對于權利人來說是可獲得的，如果證據完全沒有獲得的可能性或者獲取的難度過于大，權利人則沒有動力提起訴訟，放任糾紛的存在，其功能目的也無法實現，規(guī)則被棄之不用則失去其權威。因此亦可得知，利益衡量原則其實暗含在舉證責任規(guī)則之中。

3.兼顧利益衡量與風險防控是舉證責任分配規(guī)則的應有之義

根據利益衡量說理論，法律關系主體各有其個人利益，在兩種利益進行對比時必須有參照物，通常為法律的“制度利益”，同時對比要遵循一定的利益位階，經過對比最終得出哪一方當事人的利益更值得保護。[28]實體法是舉證責任分配的前提依據，突破舉證責任的一般原則只能由實體法明確規(guī)定，而實體法規(guī)定特殊情形時當然考慮法律主體間的利益平衡，考慮法規(guī)范意圖實現的目的。遵循利益平衡原則，正視個人信息主體與個人信息處理者現實存在的懸殊的力量對比，個人信息主體存在舉證上的困難，以及這種懸殊不符合法律實現公平與效益的目的追求，適用特殊證明規(guī)則因而是必要的。首先，根據網絡技術的特點，個人信息處理者是相關技術和數據的控制者，個人信息主體很難獲得個人信息處理者侵權的證據，同時根據“行為人不證其罪”的共識，無法期待個人信息處理者會主動提交于己不利的證據。其次，基于知識掌握上的差距，網絡環(huán)境下個人信息保護糾紛表現出的高度專業(yè)化，個人信息處理者在相關知識的掌握上明顯優(yōu)于個人信息主體，無疑進一步加大了二者在能力上的不平等。第三，網絡侵權行為的證據以電子數據為主要形式，而電子數據離不開鑒定，如果由個人信息主體承擔一般侵權舉證責任并負擔高昂的鑒定費用，無疑相當于直接判定個人信息主體敗訴?？紤]法律制度公平效益的追求，鑒于二者在經濟實力上的差距，應當在特定情況下要求個人信息處理者承擔更重的舉證責任。

風險預防原則是現代性語境下的基本原則，現代社會語境下的法律制度應當符合現代性的要求?，F代社會的基本特征就是風險社會，知識風險是其中的重要內容。一方面，知識形成壟斷，出現了專家集團；另一方面，科學本身存在風險，人類對科學的判斷局限于當前的認識水平，很難宣稱對某一科學技術是完全了解的。[29]科學技術隨著人類的認知不斷發(fā)展進步。網絡技術作為現代社會的產物，其侵權后果具有不可控性，舉證責任分配規(guī)則需要引入風險預防原則。網絡技術發(fā)展日新月異，對個人信息的保護愈加困難。首先，大數據技術的發(fā)展使得個人信息的匿名化成為一紙空談，只要擁有足夠多的數據樣本，通過算法技術對數據進行分析，都能夠完成個人信息的重新顯名化。同時，人工智能的發(fā)展存在難以預測的不確定性，人們擔憂，模仿人腦思維的人工智能會否脫離人類的掌控。再次，數據的可復制性以及無法徹底刪除的屬性，使得個人信息一旦泄露，損害將永遠無法挽回?；诰W絡技術的上述特點，法律作為規(guī)制社會秩序的重要手段，應當發(fā)揮其預防和威懾作用，舉證責任規(guī)則的設置也應當回應這一要求。

侵權法本身伴隨社會的發(fā)展在不斷調整，從過錯原則到過錯推定原則再到嚴格責任下的無過錯原則便是順應風險社會發(fā)展和平衡糾紛雙方利益的結果。[30]適用特殊舉證責任規(guī)則，加重個人信息處理者的舉證責任是符合利益衡量理論與風險預防原則的選擇。個人信息處理者作為互聯網技術的開發(fā)者和使用者，作為個人信息數據的管理者和控制者，加重其舉證責任有利于鞭策個人信息處理者積極遵守法律規(guī)定、履行法律義務。

因此，根據前述分析，統(tǒng)一的舉證責任分配規(guī)則難以滿足案件多樣化的需求，而現行法律規(guī)定排除了公平原則的適用，因而需要實體法在具體領域作出回應，對過錯要件事實的舉證責任分配做特殊規(guī)定。根據案件類型制定多樣化的分配規(guī)則可能會被詬病為過于復雜、不利于實施，但是根據前述分析，個人信息保護糾紛案件雖然類型多樣，但總體可以依據是否使用自動化處理技術與行為主體類型兩條路徑進行歸類，兼顧多元化與可實施性。

三、三元歸責模式下的舉證責任分配

基于個人信息侵權行為是否使用自動化技術以及行為主體類型兩條類型化路徑，批判性吸收歐盟《一般數據保護條例》(以下簡稱《歐盟數保條例》)和德國2018年《聯邦數據保護法》(以下簡稱《德國數保法》)的立法經驗，結合我國《個保法》《民法典》等相關規(guī)定，建議構建三元歸責模式下的個人信息保護糾紛舉證責任分配制度，在《個保法》第69條規(guī)定的過錯推定原則基礎之上，細化過錯推定原則的適用條件，增加適用一般過錯責任原則與無過錯責任原則的情形。

(一) 域外經驗的批判性分析

《歐盟數保條例》第82條規(guī)定了個人數據控制者和處理者的法律責任。根據第82條第2款規(guī)定，參與處理的任何控制者如果違反《歐盟數保條例》應當承擔賠償責任，處理者如果違反《歐盟數保條例》要求其承擔的法律義務或者超出控制者提供的工具合理使用范圍的行為應當承擔責任。第82條第3款規(guī)定控制者和處理者如想免責，則需要證明其不應當在任何方面對損害事實負責。

《歐盟數保條例》有以下幾個特點：第一，從體系解釋的角度分析，《歐盟數保條例》屬于歐盟統(tǒng)一數字市場戰(zhàn)略下制定的法律規(guī)范，側重于數字經濟的立法規(guī)制，對象為以電子數據為載體的個人信息即個人數據，法律關系主體限定為網絡服務提供者與網絡用戶。[31]第二，采納以行為違法性為判斷依據的客觀過錯說，控制者與處理者承擔過錯推定責任。根據文義解釋，《歐盟數保條例》序言第146條和正文第82條使用了“not to be responsible(不承擔任何責任)”而非“fault(過錯)”這一術語，應適當理解為只要造成了《歐盟數保條例》規(guī)定的損害結果，除非排除因果關系的存在，否則不論是否具有主觀過錯都應當承擔賠償責任。[32]第三，《歐盟數保條例》暗含了自動化處理的含義。電子數據的處理過程是基于程序本身的設計邏輯進行，在程序完成開發(fā)之后，由程序自動運行，極少存在人工干預的情況。在數據收集的入口端，或由信息主體主動提供數據，或由程序自動收集，而控制者和處理者對信息主體主動提供數據的行為免責。第四，控制者被賦予更多的監(jiān)管義務。根據第82條第4款規(guī)定，多個控制者與處理者同時存在則對外承擔連帶責任，結合第24條規(guī)定，處理者需在控制者允許的范圍內處理數據。因此，當處理者違規(guī)處理數據時，控制者雖然并不直接實施違反《歐盟數保條例》規(guī)定的行為，但可能被認定承擔無過錯的連帶責任。

《德國數保法》第83條第1款規(guī)定了個人信息侵權的無過錯責任以及過錯推定責任，責任承擔以侵權行為是否基于自動化處理或非自動化處理為依據。這是出于對自動化技術導致信息處理者與個人信息權人能力差異的考慮，信息處理者可以在短時間內利用自動化處理技術處理大量數據或鏈接而自然人難以干預控制這一處理過程。[33]加之自動化處理在技術上呈現出難以預測性，如錯誤或過時的信息也可被長期存儲，企業(yè)之間可以做到實時數據共享和調閱信息等，這些復雜的自動化技術使得信息控制者侵犯個人信息的可能性顯著增加。[34]因此，德國法針對自動化信息處理行為選擇適用無過錯責任，對采用非自動處理技術的行為適用過錯推定責任。其次，該部法律第1條第1款限制了該法的適用范圍，僅適用于純粹使用自動化技術的處理行為和部分使用自動化處理的行為。

域外法的不同選擇實際暗含了不同的價值選擇?！兜聡鴶当７ā犯觽戎赜趯€人信息權人的補償，只要有損失就要有補償，但可能存在信息處理者的責任負擔過重的問題。參考英國的“莫里森(Morrisons)數據泄露案”，其員工為報復公司私自泄露客戶信息，而莫里森公司雖然證明泄露行為并未得到公司的授權并且盡到了合理的防止信息泄露的措施，但仍然被判決承擔替代賠償責任?！稓W盟數保條例》與《德國數保法》對比，二者采取了不同的類型區(qū)分標準，前者以信息管理者對數據的控制力大小為標準，雖統(tǒng)一適用過錯推定原則，但要求控制者承擔更廣泛的侵權責任且在特定情況下承擔無過錯連帶責任，承擔賠償責任的范圍與控制力大小相適應；后者直接以侵權行為是否運用自動化技術為劃分依據，兩種類型的侵權行為分別適用不同的歸責原則。《德國數保法》的規(guī)定更加概括，《歐盟數保條例》暗含適用自動化處理行為的同時，還進一步區(qū)分了兩類數據處理者；但是《歐盟數保條例》更加注重個人數據主體與數據處理者的利益平衡，未擴大無過錯原則的適用。

(二)過錯要件分配規(guī)則三元歸責模式的構建路徑

我國《個保法》第69條規(guī)定應當吸取域外立法的經驗并根據個人信息的處理方式和侵權行為的類型做細致化規(guī)定，基于以下兩條優(yōu)化路徑，構建三元過錯要件事實歸責模式。

首先，《個保法》并沒有將保護范圍限定于基于計算機與互聯網技術的以電子數據為表現形式的個人信息的處理行為。技術的發(fā)展程度是影響舉證能力的重要原因，歸責原則的設置應當充分考慮權利人的舉證能力，因而應當為非技術參與下的處理行為規(guī)定一般過錯責任原則，或者增加限制本法適用范圍的條款。一是建議參考《德國數保法》以是否使用自動化技術為依據，分別適用一般過錯責任原則以及過錯推定原則。同時，在條文中增加規(guī)定，明確適用客觀過錯說。二是建議借鑒《歐盟數保條例》的條文表述，將《個保法》第69條第1款修改為：個人信息處理者基于自動化技術處理個人信息，行為違反本法規(guī)定的義務和要求并侵害個人信息權益造成損害，不能證明自己對損害沒有責任的，應當承擔損害賠償等民事責任。

其次，應當增加無過錯責任的適用情形。一方面，如上文莫里森案，如果適用了過錯推定責任原則，損害結果已經發(fā)生，個人無能力賠償而公司免除了責任，將會出現無人賠償的結果。無過錯責任的出現就是為了解決“有損害但是沒有賠償”的尷尬局面，此時要解決的是應當由誰承擔補充賠償責任。因此，可以規(guī)定部分主體承擔無過錯責任，如政府和部分企業(yè)。政府作為國家管理者，有維護公共利益、保護公民權益不受損害的法定職責；其次，政府擁有強大的賠償能力，政府機關參與的個人信息侵權行為應當承擔無過錯責任。對于企業(yè)來說，保障個人信息的安全亦是一種社會責任。掌握大量個人信息或設計信息處理底層程序架構的企業(yè)，其享受由個人信息帶來的巨大收益的同時又是風險的管理者且具有強大的控制力，有些技術如區(qū)塊鏈僅由部分企業(yè)掌握，其對個人信息風險的控制力甚至強于政府，應當承擔更多社會責任，符合無過錯責任原則的功能目的。對于企業(yè)個人信息保護糾紛無過錯責任的承擔，可以參考英國對企業(yè)社會責任的規(guī)定，上市公司與其他公司分別適用強制性規(guī)則與任意性規(guī)則。另一方面，莫里森案實際也暗含用工單位承擔無過錯責任的要求。如果個人信息保護糾紛案件符合《民法典》關于用工單位責任承擔的情形，用工單位應當承擔無過錯責任。還有，在個人信息保護糾紛案件中存在開發(fā)者與使用者侵權的情況。自動化處理技術實際為一套運行程序，運行程序實質也是一件由其開發(fā)者生產的產品，使用者購買程序并使用向用戶提供服務。根據《民法典》關于產品生產者承擔無過錯責任的規(guī)定，如果個人信息糾紛案件中的當事人有符合該規(guī)定的情形，應當適用無過錯責任原則。《歐盟數保條例》對控制者與使用者進行區(qū)分也體現了產品生產者承擔無過錯責任的要求。此外，無過錯責任原則的適用需要配套完善的社會風險承擔政策以分擔責任人的責任，但鑒于我國當前相關政策尚不完善，因而應當謹慎適用無過錯責任原則。因此，建議第69條增加一款，作為第2款：符合《民法典》侵權責任編對有關責任主體特殊規(guī)定的，依照《民法典》相關規(guī)定，原第2款作為第3款。

四、余論

以個人信息保護糾紛為代表的新型權利糾紛是人類社會高速發(fā)展的產物，對該類糾紛的規(guī)制應當符合社會發(fā)展的規(guī)律。新型權利糾紛通常是科學技術發(fā)展的產物，具有復雜性和多樣性的特點，需要法律的精細化治理。新型權利糾紛通常也是多種利益碰撞的結果，且利益的影響范圍廣于傳統(tǒng)權利糾紛，無論選擇保護哪一方利益，另一方都有可能遭受不可預估的危害結果，要求法律規(guī)范要謹慎規(guī)制。新型權利糾紛基于新技術的產生而產生，亦會伴隨著技術的發(fā)展而不斷變化。未來，我國對于個人信息糾紛的治理還需根據實踐經驗不斷調整和完善。