作者简介:莫杨燊,男,广西藤县人,北京师范大学法学院/法治发展研究中心讲师,硕士生导师,法学博士,研究方向:侵权法、个人信息保护法。
摘要:个人信息侵权损害赔偿责任的归责范式宜采取一元化的过错推定原则。这既是信息处理者承担个人信息安全保障义务之制度逻辑的必然演绎,也是维系个人信息的保护与信息开发利用的促进二元衡平的应然要求。《民法典》第1034条第3款规定的私密信息隐私权保护优先规则导致的价值评价矛盾,可通过明确《个人信息保护法》规制的是实力地位不对称的信息主体与信息处理者间以识别分析为核心的信息处理活动,与《民法典》旨在调控的对象迥然有别而得以化解。在实行过错推定的背景下,判定个人信息侵权中过错的关键在于,信息处理者是否可以推翻科加于其身上的过错推定。为此,信息处理者除须证明自己已履行法定的个人信息保护义务之外,还应证明其已善尽一个具备通常智识经验的信息处理行业从业者应尽的注意义务。
关键词:个人信息侵权;过错推定责任;归责原则;体系协调;注意义务
一、问题的提出
《个人信息保护法》第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”这意味着该法在规制个人信息侵权上采行的是过错推定原则。实行过错推定在相当程度上矫正了信息主体和信息处理者之间的实力地位严重失衡,纾解了因双方各自距离证据的远近不同而生成的证据偏在困境,进而有利于强化对个人信息权益的侵权损害赔偿救济。但检视既有的学理研究与司法实践,仍有如下问题亟待澄清:其一,在《个人信息保护法》颁行之前,即有观点提出,在个人信息侵权中,应根据信息处理者的身份类别、是否使用了自动化信息处理技术(以下简称自动化技术)、所处理的是否为敏感个人信息等情况分别实行与之相适应的归责原则。此种采行多元归责原则的呼声不绝于耳,俨然居于主流;在《个人信息保护法》出台后,又出现了主张个人信息侵权损害赔偿责任应走向无过错归责原则,或者应根据是否运用了自动化技术而实行二元归责的观点。这些观点均构成了对《个人信息保护法》不加区分地采行过错推定原则的强烈质疑,有必要在重述个人信息侵权过错推定责任法理的基础上,对上述质疑进行有力的回应。其二,根据《民法典》第1034条第3款,对于个人信息之中的私密信息要优先适用隐私权规则来进行保护,该款的立法目的旨在利用周密成熟的隐私权规则体系赋予私密信息更高程度的保护。但隐私权的侵权构成须遵循《民法典》第1165条第1款确立的过错责任原则,与《个人信息保护法》第69条第1款实行的过错推定原则迥然不同。前者提供的侵权法保护强度显然不及后者,这就形成了体系矛盾,必须在解释论上予以调和。其三,在实行过错推定责任的背景下,应如何认定个人信息侵权中的过错,亦即过错推定在何种情况下应予维持,又在何种情况下应被推翻,也需要进行详细的探讨。本文拟就上述问题进行研究,以期能构建完善的个人信息侵权过错认定的解释论构造,为学理研究和司法实践提供有益借鉴,进而促进个人信息权益侵权损害赔偿救济的妥当实现。
二、个人信息侵权过错推定责任的质疑回应
(一)个人信息侵权过错推定的学理质疑
在个人信息侵权归责原则的建构上,比较法的立法趋势倾向于区分信息处理者是否为国家机关、是否使用自动化技术等情况而采行与之相适应的归责原则。例如,德国《联邦数据保护法》(2003)便以该法第7条、第8条确立了个人信息侵权的二元归责原则,规定若系国家机关使用自动化技术造成他人个人信息权益受损的,应承担无过错责任;反之,若数据控制者并非国家机关或者未运用自动化技术,则应适用过错推定责任。德国《联邦数据保护法》(2018)在整合前述条文的基础上,重新设计了二元归责原则,不再考虑数据控制者的身份,而纯粹基于其是否运用了自动化技术来区分不同归责原则的适用范围。该法第83条第1款规定,若数据控制者违法处理他人个人数据并致损的,在运用了自动化技术的场合,应承担无过错责任;而在未运用自动化技术的场合,则应承担过错推定责任。又如,我国台湾地区“个人资料保护法”也在区分信息处理者的身份是否为国家机关的基础上,确立了个人信息侵权的二元归责原则,规定若国家机关违法侵犯他人个人资料权益的,应适用无过错责任,而若实施侵权的是非国家机关的,则应适用过错推定责任。受此影响,颁行《个人信息保护法》之前,我国学界在个人信息侵权归责原则的设计上盛行二元归责论和三元归责论。二元归责论又可被细分为三种不同的观点。第一种观点认为,信息处理者的身份是否是公权力机关在归责原则的建构中具有决定性作用,应根据信息处理者是否为国家机关而分别适用无过错责任和过错推定责任;第二种观点指出,是否运用了自动化技术在归责原则的设计中更具决定性意义,应检视信息处理者是否运用了自动化技术实施侵权而对其分别科以过错推定责任和一般过错责任。第三种观点则主张,敏感个人信息关涉个人人格尊严以及人身财产安全的维护,应强化对敏感个人信息的保护。故而,当敏感个人信息受侵害时,应适用无过错责任,而当非敏感个人信息受侵害时,应适用过错推定责任。三元归责论则提出,对于国家机关运用自动化技术实施的侵权,宜科以无过错责任;而对于非国家机关运用自动化技术实施的侵权,宜科以过错推定责任;对于信息处理者未运用自动化技术实施的侵权,不论其身份为何,一律适用一般过错责任加以规制。
在《个人信息保护法》出台之后,围绕个人信息侵权归责原则的讨论仍未终止。有观点便质疑道,《个人信息保护法》第69条第1款实行过错推定,将过错要件的证明责任分配给加害人的规则设计,难以突破证据偏在困境,也不能解决过错要件事实识别的难题,因而无法自根本上改善对受害人救济不周的局面。所以,应转而确立无过错责任,如此方可维系当事人之间的利益衡平,并实现对个人信息权益的妥当救济。也有观点坚持认为,应根据是否采用了自动化技术而实行二元归责,进而将过错推定责任的适用范围限定在运用了自动化技术进行数据处理的场合。以上观点均与《个人信息保护法》第69条第1款采行单一过错推定责任的立场相左,严重动摇了该款确立的个人信息侵权过错推定责任的法理根基。有鉴于此,本文拟于下文重新阐释个人信息侵权过错推定责任的法理基础与价值立场,以期能够回应质疑并夯实这一制度安排的理论基石。
(二)个人信息侵权过错推定的理论证成
个人信息侵权的归责原则即便要一意摒除根据信息处理者的身份类别、是否使用自动化信息处理技术等因素而实行多元归责的体例,也不应走向无过错归责原则,而宜实行单一的过错推定原则,具有如下正当理据。
其一,区分国家机关和非国家机关难言合理。主张国家机关要比非国家机关承担更严格侵权责任的根据是国家机关拥有行使公权力的优势及便利,所收集和储存的个人信息数量之多、类型之丰富以及敏感性程度之高,均不是非国家机关所能企及的。而且,国家机关在资金、技术以及举证能力等方面均远胜于普通人,大数据技术的普及应用更强化了国家机关的实力地位,令个人愈发无法与其相抗衡。但仔细审究,以上根据并不成立。在非国家机关的主体中,众多行业领先、规模巨大的互联网企业掌握的数据资源和技术能力均足以和公务机关并驾齐驱,甚至有过之而无不及。实力地位强弱的差序格局不仅存在于个人与国家机关之间,也同样嵌入了个人与巨型的数据企业、互联网平台之间,并且不平衡的程度丝毫未减。而且,由于国家已经建构起严密的规范公权力行使的制约监督机制,国家机关较之非国家机关在权力运行、人员组织、决策形成等方面要受到更多的约束和限制。不止于此,国家机关收集与处理个人信息的目的通常旨在更好履行行政管理的职责与公共服务的功能,促进国家利益的实现和社会公共秩序的维护,相比于非国家机关中为追求商业利益而收集、处理个人信息的数据企业、互联网平台,在行为目的上显然更具有正当性。因此,令国家机关承受比非国家机关更为严苛的侵权归责原则的规制并无合理的根据。
其二,区分是否运用了自动化技术欠缺理据。信息主体的诉讼能力通常不足以证明其个人信息权益是被自动化技术侵害的,加之自动化技术在数字社会中已然遍及,为充分保障信息主体的个人信息权益,在根据自动化技术的运用与否而设置不同的归责原则时,原则上要推定信息处理者运用了自动化技术,而这一推定恰恰会大为消弭区分带来的意义。而且,在未使用自动化技术的场合,如果个人信息处理活动已构成或者目标是构成“结构化个人信息集合”(filing system)的一部分,那么比较法上的立法例通常会将该处理活动视同为自动化信息处理活动进行规制。例如,GDPR第4条第4款规定的“用户画像”(profiling)就包括了使用自动化方式处理个人信息的活动,还有已构成“结构化个人信息集合”(filing system)的一部分或者以形成该集合为目标的采用了非自动化方式的信息处理活动。又如,我国澳门地区《个人资料保护法》第3条第1款规定,该法既适用于所有以自动化方式对个人资料实施的处理,也适用于以非自动化方式对存于或将存于人工操作的资料库内的个人资料的处理。职是之故,在个人信息保护领域,区分自动化信息处理和非自动化信息处理并不具有绝对的意义,也缺乏重要的实践价值,与信息社会的发展趋势是相违背的。
其三,区分处理的个人信息是否为敏感个人信息殊无必要。界分敏感个人信息和非敏感个人信息,并对侵害前者的行为适用更为严格的归责原则,其法理依据在于,敏感个人信息与自然人人格尊严以及人身财产安全的维护紧密相关,处理敏感个人信息可能会给信息主体带来巨大的风险,基于危险开启理论和危险控制理论,唯有令信息处理者承担危险责任方契合事理逻辑。但这一依据实际上难经推敲。其一,处理敏感个人信息制造的危险,并无法与传统的危险责任旨在规制的高风险行为,如从事高度危险作业、占有或者使用高度危险物、向自然环境排放污染物质、制造或者销售缺陷产品等肇致的危险相比拟。故而,对侵害敏感个人信息的行为适用无过错责任规制显属过苛。其二,对敏感个人信息的强化保护完全可以经由损害的认定或者违法性的判断等途径实现,并非必须通过归责原则的设置来体现。
其四,实行无过错归责过于严苛。适用无过错责任的理论基点是行为的高度危险性和责任人对加害行为的强力支配控制。处理个人信息并不如饲养动物、驾驶机动车、从事高度危险作业等活动一般具有高度的危险性。而且,个人信息的处理基本发生在虚拟网络空间,流程复杂且参与的主体众多,加之个人信息天然带有共享和流通的属性,导致信息处理者难以对其实施有效的支配控制。故而,适用无过错责任规制个人信息侵权缺乏充分的归责理由。再者,就个人信息侵权适用无过错责任在法律政策上难谓妥当,将造成个人信息权益的维护与数字经济的繁荣发展之间的利益失衡。推动数字产业的繁荣需要为数据企业预留充足的科技创新空间,同时不能片面强调个人信息权益的保障,以免妨害信息的有序流通与合理利用,并最终有碍于信息科技的进步和数字经济的发展。维系个人信息权益的保障和信息的合理开发利用之间的二元衡平,是我们在大数据时代应秉持的基本价值立场。适用无过错责任会严重限缩数据企业的行为自由余地与商业创新空间,令其动辄得咎,这容易阻碍信息的流通与利用,挫伤数据企业研发、推广大数据产品或者服务的主动性和积极性,进而损及数字产业的发展。一言以蔽之,适用无过错责任不符合信息处理市场要兼顾风险规制和产业发展的公共政策需要。
其五,采行过错推定责任能够为信息主体提供适当的保护,既足以扭转对其救济乏力的困境,也不至于不当限缩信息处理者的行为自由与创新空间。个人信息侵权之诉中,信息主体通常面临着证明信息处理者主观过错的难题,其根本原因在于信息主体和信息处理者之间存在结构性的信息不对称。信息处理者往往是资金雄厚、技术强大、人力资源丰富的数据企业或者互联网平台,可以较为全面地掌握个人信息处理全生命周期各环节的情况,而信息主体常为普通个人,缺乏必要的专业知识、资金以及调查能力,难以追溯个人信息受侵害的详情。若实行过错推定,倒置过错要件的举证责任,改由掌握关键信息和主要证据的信息处理者负担,那么就可在相当程度上弥合信息主体和信息处理者之间横亘的信息鸿沟,破解过错证明的证据偏在困境,改变个人信息权益未获得妥善救济的境况。而且,在过错推定责任的框架下,信息主体仍须提供信息处理者存有过错的初步证据,信息处理者亦可组织各种证据和理由进行抗辩,表明自己主观上不存在过错。这既防止了信息主体滥起讼端,也使得信息处理者可以通过采取与自身的发展水平和承受能力相适应的安全技术措施来善尽个人信息安全保障义务,实现对自己主观过错的排除,从而免受侵权责任的追究。总结而言,过错推定责任顾及了信息处理市场兼具风险性和创新性的特征,令数据产业从业者能够经由企业合规管理的实施来获得行为自由的保障,有助于促进数据产业的商业创新、产品研发和技术应用,进而裨益数字经济的繁荣发展。
其六,实行过错推定是信息处理者承担个人信息安全保障义务的制度逻辑之必然。信息处理者开展信息处理活动时会将信息主体的个人信息带入风险之中。基于危险源开启理论,开启或者使危险持续的人,因其对危险具有控制力或者可从中牟利,负有义务采取与自身承受能力相适配的、具有期待可能性的必要预防措施,以防范危险的发生。因此,信息处理者在实施信息处理活动的过程中,要承担个人信息安全保障义务。《个人信息保护法》第51条、《网络安全法》第23条等法律规范为信息处理者承担个人信息安全保障义务提供了制定法上的明确根据,令该义务上升为一种法定义务。作为法定作为义务的个人信息安全保障义务,具有事实推定的效力。事实推定指的是,在具体的诉讼过程中,裁判者依靠经验法则和论理法则,根据已被确认的事实即间接事实推论出另一事实即待证事实。由于个人信息安全保障义务的性质为法定作为义务,它本身即足以充当信息处理者进行个人信息处理的行为规范,是认定信息处理者在实施信息处理行为时是否存在过失的客观标准。故而,当信息处理者违反个人信息安全保障义务时,法官可据此径行推导出信息处理者未善尽同一行业从业者应尽的合理注意义务,具有客观过失。不止于此,基于个人信息安全保障义务作为法定义务具有的公开性和强制性效力,个人信息安全保障义务还蕴含着要求信息处理者证明其已经妥当地履行该义务的规范拘束力,其需就自己已经履行安全保障义务的事实承担证明责任。由此可见,使信息处理者承担过错推定责任,是其负有个人信息安全保障义务的制度逻辑之必然演绎,也恰好契合举证责任分配的证据距离规则。与此同时,信息处理者为免于承担过错推定责任,势必要积极完善内部的组织体系和治理结构,加强员工的个人信息安全培训,采取各种必要的技术措施消除网络安全漏洞,以证明自己已善尽安全保障义务,达致了必要的注意水平,因而在主观上无过错。这对于提升信息处理者的个人信息合规管理水平,优化其对用户个人信息采取的安全保障措施也具有重要的推动作用。
其七,采行过错推定责任与比较法立法趋势相契合。梳理欧盟个人数据保护的立法流变可知,1995年通过的欧盟《个人数据保护指令》第23条确立的数据控制者损害赔偿责任的特点是无过错责任,数据控制者不能仅凭证明其主观上无过错来免于担责。之后,2018年施行的《通用数据保护条例》(以下简称GDPR)取代了欧盟《个人数据保护指令》,该法第82条只是倒置了证明过错的举证责任,如果数据控制者或处理者可以证明其等之行为并无过错,那么其等仍可免于损害赔偿责任的承担。欧盟由无过错责任到过错推定责任的转向,揭示了过错推定责任相较于无过错责任更能满足个人信息侵权诉讼的实践需求。韩国《个人信息保护法》第39条第1款规定,信息处理者实施了违反该法的行为造成信息主体受损的,应承担损害赔偿责任,除非其能举证排除其主观上的故意或者过失。这一规定显示韩国在个人信息侵权方面亦适用过错推定责任。我国澳门地区《个人资料保护法》第14条第1款及第2款规定,因违法处理他人的个人资料而致他人受损者,应向该他人负担损害赔偿责任,除非其能证明自己并非引致损害事实的归责者,方可得以部分或者全部免责。这表明我国澳门地区在规制个人信息侵权上亦采行的是过错推定责任。此外,在巴西,根据巴西《通用数据保护法》(以下简称LGPD)第42条第2款的规定,法官在认定指控可能存在且数据主体缺乏举证费用或者举证负担较重时,可以适用有利于数据主体的举证责任倒置。举证责任倒置的范围包括过错要件在内,因此当法官在个案中行使裁量权将过错要件的证明责任分配给数据控制者时,其效果与实行过错推定相类似。综上,关于个人信息侵权归责原则的选择,国际立法趋势走向了过错推定责任,充分彰显了过错推定责任的合理性。我国《个人信息保护法》第69条第1款采行过错推定责任,是与国际主流立法接轨汇流的妥当之举。
综上,在《个人信息保护法》颁行前后提出的一系列个人信息侵权归责原则设计方案均各有难以克服的弊端,实际上不足为采,而《个人信息保护法》第69条第1款采用过错推定责任具有坚实的正当性基础。因此,应在坚持这一归责原则的基础上,探讨如何协调其与《民法典》有关规范之间的适用关系,以及应如何在司法实践中对其进行合理的解释适用。
三、个人信息侵权过错推定责任的体系协调
《民法典》第1034条第3款实质上确立了私密信息隐私权保护优先规则。按照立法释义书的说明,建构私密信息隐私权保护优先规则的原因是:私密信息既属于个人信息的范畴,也是隐私权的重要组成部分,而《民法典》给予隐私权比之个人信息更高的保护力度,让私密信息优先适用隐私权的规定,可以避免隐私权规范体系中强化私密信息保护的规定沦为具文。但是,问题在于,隐私权侵权适用一般过错责任,个人信息侵权却采行的是过错推定责任,因而在侵权责任构成上,私密信息适用隐私权侵权规则要比适用个人信息侵权规则受到保护的程度更低,这就与《民法典》第1034条第3款的立法宗旨相背离,形成了价值评价矛盾。
(一)破解私密信息隐私权保护优先规则困局的既有方案及不足
为化解《民法典》第1034条第3款导致的价值评价矛盾,学理上提出了多种解释论方案,但均各有缺陷,不足为采。对此,本文分述如下:
第一,有观点认为,《民法典》第1034条第3款针对私密信息确立的二阶递进式法律适用模式辨析了隐私权与个人信息权益在私法属性上的差异,贯彻了权利不得减损原则和人格尊严高于私法自治的保护原则,具有相当的正当性。但根据该款设计的法律适用模式,隐私权规则被视为个人信息规则的特别法,这恰与比较法上的通行做法相反。比较法经验显示,个人信息保护制度是从隐私权的框架体系内孕育诞生的,是后者在数字社会的逻辑延伸,故而个人信息规则相对于隐私权规则属于特别法。为尽力弥补该款的规则设计缺陷,应对隐私权中私密信息的文义涵盖范围进行目的性限缩,限定为与身份识别无关的信息。
该说的不足如下:私密信息是隐私信息和个人信息的交叉重叠之处,既属于隐私的范畴,也是个人信息的一部分。因此,私密信息也具备个人信息的本质特征——可识别性,能够单独或者与其他信息相结合而识别到特定自然人。倘若该说提出的,与身份识别有关的私密信息和与身份识别无关的私密信息的二元划分,指的是可以识别特定自然人身份的私密信息和无法识别特定自然人身份的私密信息的界分,那么此种分类显然未考虑到可识别性是所有私密信息的本质属性,因而不具有可操作性。如果该说进行的类型划分指的是可以单独识别特定自然人身份的私密信息即直接个人私密信息,以及无法单独但和其他信息相结合可以识别特定自然人身份的私密信息即间接个人私密信息,就可能导致以下价值评判失衡的现象。直接个人私密信息可能是,即使被泄露或者滥用也不会给个人带来重大安全风险的一般个人信息;而间接个人私密信息却可能是,一旦遭到泄露或者滥用就极易导致个人的人格尊严受贬损或者人身财产安全遭遇重大威胁的敏感个人信息。若把《民法典》第1034条第3款的适用对象限缩为间接个人私密信息,将导致一般个人信息可以受到《个人信息保护法》第69条第1款规定的过错推定责任提供的强保护,而间接个人私密信息却仅能适用隐私权侵权的一般过错责任给予的弱保护的矛盾局面。这表明区分直接个人私密信息和间接个人私密信息而分别适用个人信息规则和隐私权规则并无足够充分且正当的理由。综上所述,该说具有无法克服的固有逻辑缺陷,应予摒弃。
第二,有观点提出,通过厘清《民法典》和《个人信息保护法》各自的调整范围,可以化解《民法典》第1034条第3款和《个人信息保护法》第69条第1款之间的规范冲突。具言之,该观点指出,《民法典》调整的是平等主体之间的人身和财产关系,而《个人信息保护法》规范的却是在专业知识、技术能力、财务资金等方面实力严重不对称的信息主体和信息处理者间的成规模、高频率、自动化的信息处理活动。如果私密信息受到侵犯是发生在成规模、高频率、自动化的信息处理活动中,那么应适用《个人信息保护法》第69条第1款规定的个人信息侵权过错推定责任;而若是发生在因个人或者家庭事务而引发的信息处理活动中,则应适用《民法典》中的隐私权侵权规则即一般过错责任。
该说通过界分《民法典》第1034条第3款和《个人信息保护法》第69条第1款各自的调整范围,以避免两者之间发生规范冲突的思路值得肯定。但该说存在的不足是,未能准确地厘清《个人信息保护法》的调整范围之所在。因为《个人信息保护法》的调整对象并不局限于大规模、自动化的个人信息处理活动,该法第72条仅提及应将因个人或者家庭事务而实施的个人信息处理剔除出该法的调整范围之外,但剔除后剩余的个人信息处理活动范畴并不完全等同于大规模、自动化的个人信息处理活动,而是要大于后者。举例而言,比较法上,根据欧盟GDPR第2条第2款的规定,GDPR亦将自然人在纯粹个人或家庭活动中实施的个人数据处理排除出适用范围之外,但这并不意味着GDPR所调整的范围便限于大规模、自动化的个人数据处理活动。依据该法第4条,该法实际上将符合特定条件的手动处理等非自动化处理也纳入个人数据处理(Processing)的行列。需要说明的是,本文并不赞同GDPR对“处理”的宽泛定义,提及此例仅为说明不可根据《个人信息保护法》第72条进行反向推导得出该法的适用范围限于大规模、自动化的个人信息处理的结论。把握个人信息处理的定义是辨析《个人信息保护法》适用范围的关键,关于这个问题本文将在下文展开讨论,此处不赘。
第三,有观点指出,纾解私密信息隐私权保护优先规则面临的困境,可行的途径并非对个人信息侵权规则和隐私权侵权规则各自的适用范围进行调整,而是当适用隐私权规则救济受侵害之私密信息时,降低对过错要件的证明标准,以促使隐私权侵权规则在侵权构成上给予私密信息的保护强度可以向个人信息侵权规则靠拢。在具体操作上,法院可通过实施事实推定来降低原告在证明其私密信息受侵害方面的门槛,而这可藉由违反保护性规定即推定过错存在的方法予以实现。
该说的偏差之处在于:其一,过错推定责任直接将过错要件的证明责任分配给了被告,原告只须就过错的存在提供一个初步证据,而事实推定和违法推定过失均无法实现证明责任的转移,只是减轻了过错认定的困难,原告仍须承担对过错的举证未能达到证明标准和事实处于真伪不明状态时的败诉风险。这两者之间存在本质区别,也致使后者充其量只能接近而永远无法达致前者所能给予受害人的保护力度。因此,该说提供的解释方案实质上无法令私密信息在适用隐私权侵权规则时,可以获得和适用个人信息侵权规则同等程度的侵权法保护。其二,事实推定和违法推定过失等证明方法的运用,在一般过错责任框架下的侵权案件中也多有出现,该说不过是将常见的民事诉讼证明规则进行了重述,并未创设出针对私密信息适用一般过错责任时遇到的特有证明困难的证明手段,实际上并未真正降低对过错要件的证明要求。
第四,有观点主张,《民法典》第1034条第3款与《个人信息保护法》第69条第1款之间不存在体系冲突,两者是融洽统一的。其主要理由为,虽然由于私密信息隐私权保护优先规则的存在,在处理私密信息侵权纠纷时,《民法典》中的隐私权侵权规则是作为《个人信息保护法》中的个人信息侵权规则的特别法存在的。但是,《民法典》中的隐私权侵权规则并未就过错要件的证明责任分配作出规定,而《个人信息保护法》第69条第1款对此有具体、细化的规定,根据《民法典》第1034条第3款后半句,此时应适用《个人信息保护法》第69条第1款确立的举证规则,让信息处理者承担证明责任。
该说的谬误之处如下:《民法典》中的隐私权侵权规则其实并非未就过错要件的证明责任分配进行规定。《民法典》中的隐私权侵权适用一般过错责任,一般过错责任与过错推定责任的区别在于,前者把过错要件的证明责任分配给了原告,而后者则将举证责任倒置,改由被告负担。所以,并不能说实行过错推定的个人信息侵权规则在证明责任分配上构成了对采行一般过错责任的隐私权侵权规则的补充和细化,而应该是修改和倒置。也因此,该说提出的理由不能成立。
综上,既有的化解《民法典》第1034条第3款导致的价值评价矛盾的解释论方案均有缺陷与不足,有必要设计新的更具有妥当性的解释方案。
(二)破解私密信息隐私权保护优先规则困局的应然方案之建构
《民法典》第1034条第3款存在法律漏洞的根本原因是,无论是隐私权侵权规则抑或个人信息侵权规则均可为私密信息提供侵权法保护,后者比之前者可以提供的保护力度更高,但该款却规定要优先适用前者,且该款如此规定的本意是为私密信息提供更强的保护力度,这就形成了矛盾。虽然完整的个人信息侵权规则是由《民法典》中的个人信息侵权规则和《个人信息保护法》中的个人信息侵权规则两部分组成的,但可为私密信息提供高于隐私权侵权规则之保护的是后者。通过澄清隐私权侵权规则与《个人信息保护法》中的个人信息侵权规则在规制范畴上的区隔,亦即明晰《民法典》与《个人信息保护法》在调整范围上的不同,就可以化解前述矛盾。
通说早已指出,《民法典》调整的是平等主体之间的人身和财产关系,对此无须多言,需要澄清的是《个人信息保护法》的调整范围为何。《个人信息保护法》是藉由规范个人信息处理活动的路径来保护个人信息的,个人信息处理概念的定义不仅是界分《个人信息保护法》与其他法律关系的关键,也在厘定《个人信息保护法》的适用边界上发挥决定性作用。因此,欲辨析《个人信息保护法》的适用范围,须以明晰个人信息处理概念为基础和依托。我国《个人信息保护法》第4条第2款对“个人信息处理”从纯粹技术性的角度作了极为宽泛的定义,指出个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。比较法上,各国制定的个人信息保护专门立法就“个人信息处理”的含义所作之界定通常也呈现出技术性强、涵盖范围广的特点,侧重于全面列举个人信息处理涉及的技术手段,倾向于将指向或者可能触及个人信息的各种操作均囊括进“个人信息处理”的内涵中,诸如欧盟GDPR第4条第2款、德国《联邦数据保护法》第3条第4款、韩国《个人信息保护法》第2条第2款、新加坡《个人数据保护法》第2条第1款、巴西LGPD第5条第10款、印度2022年《数字个人数据保护法草案》第2条第16款等皆是如此。但是,秉持建构无所不包的个人信息处理概念的立场,纯粹从技术维度对个人信息处理概念进行界定,将会导致以下弊端:其一,将任何与个人信息有关的活动均视作是个人信息处理的做法,在计算机少量出现但尚未全面普及且信息网络技术方兴未艾但尚未高度发展和普遍应用的时代,具有相当的合理性。但是,这一做法若放在当下运用大数据技术处理个人信息已成为广泛现象的数字社会,却显得不合时宜。因为这将导致个人信息保护法的规制范畴扩张得无远弗届,形成对个人信息利用行为的过度干涉,也会使得《个人信息保护法》与众多其他法律的调整范围出现大面积的交叉重叠,进而引发法律适用上的混乱。不止于此,还会让《个人信息保护法》偏离规制的重心,无法专注于规制会给个人信息权益带来实质性风险与威胁的信息处理行为。其二,单纯从技术维度对个人信息处理概念进行定义,一方面会致使任何涉及个人信息的操作行为均有可能落入个人信息保护法的调整范围,进而催生上文提及的个人信息保护法规制对象泛化的现象产生;另一方面会让个人信息处理概念无法融注入价值判断与政策考量等因素,进而导致其在价值负荷与规范目的承载上有所缺失。法律概念为一定之目的,而经由设计将一定的特征组合或排列在一起,并将一定的价值储存于其中,以构成一个当为的命题。故而,法律概念在建构的过程中,必须有规范目的的嵌入和价值的负荷。没有规范目的和价值的个人信息处理概念将徒具形式而缺乏实质,难以实现规范的使命。本文赞同高富平教授提出的在融合技术标准和法律标准的前提下界定个人信息处理概念,将其限定为给个人信息权益带来实质性影响的以识别分析(profiling)为目的而使用个人信息的行为的观点,理由如下:
身处一个高度数字化、网络化、智能化的大数据时代,个人信息的收集、存储、传输以及分析无处不在、无时不在,它既是网络购物、即时通讯、社交媒体、电子政务、智慧交通、无人零售、精准营销等新型治理模式和经济业态运行与发展的重要驱动引擎,也是个人实现数字化生活的底层技术支撑,已经构成了维持整个社会正常运转的基本需求。倘若把当前通说意义上的一切个人信息处理行为均纳入规制的范畴,既会令规制的重点无法聚焦,从而忽略了对真正有危害的处理行为的规制,也会影响对信息资源的合理开发利用,进而阻碍数字经济的蓬勃发展和数字社会的深入建设。并不是当前通说意义上的一切个人信息处理行为均会给个人信息权益造成实质性的影响,在大数据时代,真正会对个人的人身财产安全以及人格尊严、人格自由的维护带来实质性风险与威胁的,其实是以识别分析为目的的个人信息处理行为。此类个人信息处理行为立基于信息彼此之间的关联性,通过运用大数据技术对信息进行深度的整合、分析与挖掘,藉此描绘个人的数据画像,预测其行为选择,从而为信息处理者的决策提供资讯和参考。借助大数据技术强力的信息采集、整合、分析以及挖掘能力,以识别分析为核心的个人信息处理行为可以轻易地在碎片化、无关联的信息间建立相关关系,进而使得个人的家庭隐私、性格特征、个人偏好、人际交往、行为趋向、活动轨迹等情况,在强大的推测和计算面前纤毫毕现、无所遁形。也因此,以识别分析为目的的个人信息处理行为一旦被滥用,就会给信息主体的个人信息权益造成巨大的危害。而虽然运用了计算机,却并非是以识别分析为核心的、简单的、不成规模的个人信息处理行为,例如班干部在微信腾讯文档小程序上录入班上各位同学的姓名、联系方式、家庭住址等信息制作班级通讯录的行为,不会影响个人塑造“他人眼中的自我”,也不会给个人信息权益造成严重威胁,是个人在数字化时代生存所必须容忍的生活风险,通过《民法典》人格权编和侵权责任编的规范制度以及其他特别民法中涉及个人信息保护的规定予以保护足以,无须适用《个人信息保护法》进一步规制。故而,对个人信息处理概念进行目的性限缩,限定解释为以识别分析为目的的个人信息处理行为,而将除此之外的其他个人信息处理行为剔除出个人信息处理概念的内涵之外,正是照应到了大数据时代信息技术应用与发展的现实。
在厘定个人信息处理概念的定义之后,鉴于《个人信息保护法》规制的核心是个人信息处理行为,由此可推知,《个人信息保护法》的调整范围是,规制以识别分析为目的的持续性使用计算机处理个人信息的行为。换言之,《个人信息保护法》的客体仅限于以自动化方式处理的具有可计算性(算法识别性)的个人信息。行文至此,《民法典》和《个人信息保护法》各自的调整范围均已厘清,私密信息受侵害时的规则适用亦可明确如下:当以识别分析为目的的个人信息处理行为侵害了私密信息时,应适用《个人信息保护法》中的个人信息侵权规则予以救济;当非以识别分析为目的的个人信息处理行为侵害了私密信息时,隐私权侵权规则和《民法典》中的个人信息侵权规则均有适用的余地,此时前者要优先于后者获得适用。藉此,在处理私密信息侵权纠纷时,适用《民法典》第1034条第3款时可能导致的价值评价矛盾可得以化解。
四、个人信息侵权过错推定责任的规则适用
《个人信息保护法》第69条第1款在个人信息侵权方面采行了过错推定责任,将过错要件的举证责任进行了倒置。“证明责任不仅先于主张责任存在,而且还决定了主张责任的分配”,由此主张责任也发生了移转。申言之,这意味着在个人信息侵权之诉中,作为加害人的信息处理者既须向法院主张自己不存在过错的案件事实,还须就此承担证明责任,包括行为意义上的证明责任,即对其所主张之不存在过错的案件事实搜集并提出证据加以证明的责任;以及结果意义上的证明责任,即当其是否具有过错这一待决事实处于真伪不明的状态之时,由其承担败诉风险的责任。由此,在个人信息侵权之诉中,过错要件是否被满足的争议焦点在于,信息处理者是否可以推翻科加于其身上的过错推定,进而证明其自己主观上不存在过错。
(一)个人信息侵权之中故意推定的推翻
过错包括故意和过失,故而过错推定即推定行为人在主观上具有故意或者过失。如欲究明故意推定的推翻方法,需先探讨认定故意的标准。我国全国人大及其常委会制定的法律并未就故意的典型形态及其认定标准作出规定,但最高人民法院颁行的《最高人民法院关于审理侵害知识产权民事案件适用惩罚性赔偿的解释》(法释〔2021〕4号)第3条与《最高人民法院关于审理生态环境侵权纠纷案件适用惩罚性赔偿的解释》(法释〔2022〕1号)第7条分别明确了侵害知识产权和污染环境、破坏生态的故意的典型表现形式以及判断标准,可资借鉴。在参考前述司法解释并结合有关学理的基础上,本文认为,在无过错推定的背景下,认定个人信息侵权中的故意可分先后两个步骤进行。
第一步,当信息处理者实施了下列行为之一的,可初步认定其具有故意:(1)信息处理者重复实施个人信息侵权行为的;(2)信息处理者在信息主体已经限缩或者取消所给予的个人信息处理授权之后,仍超出信息处理者的允许实施个人信息处理的;(3)人民法院已经认定信息处理者实施的信息处理行为构成了侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪等主观心态为故意的犯罪的;(4)信息处理者明知自己不具备任何个人信息处理的合法性基础仍实施个人信息处理的:(5)信息处理者明知对已公开个人信息的处理会对信息主体的个人信息权益产生重大影响,仍在未征得信息主体同意的情况下实施个人信息处理的;(6)信息处理者对敏感个人信息实施的处理属于法律规定应事先取得信息处理者的书面同意或者相关行政许可的情形,但却未履行获得信息处理者的书面同意或者相关行政许可的手续的;(7)未全面贯彻落实个人信息安全保障义务,反而经常通过伪造监测数据、网络运行日志等手段逃避监管,以致于发生了个人信息安全事件的;(8)其他可被认定为故意的情形。
第二步,当信息处理者实施的信息处理行为并不属于前述情形之一时,则应当立足于信息处理者所属行业具备通常智识经验的从业者的立场,综合考量被侵害个人信息的类型,信息处理行为的目的、方式,信息处理者实施信息处理行为的动机,还有信息处理者的生活情况、附随经历等因素来认定个人信息侵权中的故意。
据此可反向推导出,在过错推定的背景下,当法院认定信息处理者实施的侵权行为属于前文第一步列举的可径行判定其具有故意之行为范畴时,信息处理者唯有通过举证证明法院认定的事实有误或者存在合理的抗辩事由方能推翻科加于自己身上的故意推定;当信息处理者实施的侵权行为并非前文第一步列举的前七种情形之一时,其可从受侵害之个人信息的类型,实施的信息处理行为的目的、方式,实施的信息处理行为的动机,还有其之生活情况以及附随经历等各方面展开论述,以求推翻对其之故意推定。
(二)个人信息侵权之中过失推定的推翻
就过失推定的推翻而言,因为现代侵权法认定过失的标准已经客观化,一般以是否尽到合理的注意义务来认定是否存在过失,所以信息处理者通常可通过证明自己已善尽一个具备通常智识经验的同一行业从业者应尽的注意义务来推翻过失推定。而信息处理者在实施个人信息处理活动时未违反有关个人信息保护的法律规范,且已尽到了法律规范确立的个人信息保护义务之事实,可以作为信息处理者已善尽一个具备通常智识经验的同一行业从业者应尽的注意义务的重要根据。《民法典》《个人信息保护法》等法律法规确立的个人信息保护义务之类型与内容可胪列如下:
1.遵循个人信息处理规则的义务。《民法典》第1035条、第1036条以及《个人信息保护法》第二章等法律规范建构了以知情同意规则为核心的个人信息处理规则,规范涵盖个人信息处理全生命流程各环节的信息处理活动,藉此防范个人信息处理活动给信息主体的人身财产安全以及人格自由、人格尊严的维护可能带来的风险与威胁,平衡个人信息的保护与利用之间的关系。信息处理者必须切实履行遵循个人信息处理规则的义务,以促进自身开展的信息处理活动的规范化。
2.维护信息主体在个人信息处理活动中享有的一系列权利的义务。《个人信息保护法》第44—48条赋予了信息主体在个人信息处理活动中享有知情权、决定权、限制或者拒绝处理权、查阅权、复制权、删除权、可携带权、更正权、补充权以及解释说明权等一系列权利。为保障信息主体的个人信息权益,必须要求信息处理者保障信息主体在个人信息处理活动中享有的一系列权利得以充分实现。
3.个人信息安全保障义务。《民法典》第1038条及第1039条、《个人信息保护法》第51条至第58条,还有《网络安全法》第23条、第27条以及第44条等法律规范规定了信息处理者的个人信息安全保障义务。更具体地,该义务的内容可被分为技术措施和组织管理等两个方面。在技术措施方面,该义务的内容主要包括:信息处理者应对其处理的个人信息采取分类管理、加密、去标识化、重要数据备份、防范计算机病毒、实时监测或者拦截网络入侵等技术措施,监测、记录并按规定留存关于网络运行状态、网络安全事件的网络日志,以保障个人信息免受未经授权的访问、泄露、篡改以及丢失等侵害;还包括在发生个人信息安全事件时,信息处理者应立即采取补救措施并及时通知信息主体和履行个人信息保护职责的部门,以防止个人信息侵权损害的泛滥蔓延。在组织管理方面,该义务的内容主要包括:信息处理者应制定并组织实施个人信息安全事件应急预案等内部管理制度和操作规程,合理控制被授权处理个人信息者的操作权限,并定期对内部员工进行网络安全教育和技能培训等等,以提高关涉个人信息保护的内部控制管理水平。如果信息处理者的身份是大型互联网平台,该义务的内容还包括:信息处理者应建立健全个人信息保护合规制度体系,成立由外部人员组成的独立监督机构,制定合理的个人信息处理规则,对严重违法的平台内经营者停止提供服务等。
在个人信息侵权实行过错推定的背景下,采取违法推定过失的方法来认定信息处理者的过错已殊无必要。但却可反其道而行之,令信息处理者通过证明其在个人信息处理活动中并未违反有关个人信息保护的法律规范之要求,换言之,即已善尽法律规范确立的个人信息保护义务,来作为推翻过错推定的重要根据。若信息处理者未能完成上述证明活动,则通常无法推翻科加于其身上的过错推定,会被认定具有过错。例如,在“陶龙、中国移动通信集团江西有限公司个人信息保护纠纷案”中,法院便认为,被告应对其处理原告个人信息的行为不存在过错承担举证责任,如果其举证不能,就应当依法认定其行为构成侵权。现被告无法证实其将手机号码为XXX26的身份证号登记为原告的身份证号并将客户名称登记为原告姓名之行为的合法性,且原告本人并未申请办理过案涉XXX26手机号码的注册使用登记,因此被告在主观上具有过错,应当承担侵权责任。
值得注意的是,即使信息处理者开展的信息处理活动已经符合了有关个人信息保护的法律规范之要求,履行了法律规范确立的个人信息保护义务,也不必然就可以证明其在主观上不存在过错。有关个人信息保护的法律规范设置的行为标准具有一定的滞后性,无法时刻与社会现时通行的个人信息保护标准保持一致,故而其对过错的认定只能起到一个初步的辅助作用。信息处理者要推翻对其之过错推定,除了要证明自己实施的信息处理行为未违反法律规范的要求,已经善尽个人信息保护义务之外,还需证明其已尽到了一个具备通常智识经验的同一行业从业者应尽的注意义务。例如,在“薛祥飞、浙江淘宝网络有限公司隐私权纠纷案”中,法院便认为,在具体的操作步骤和判定标准上,信息处理者要证明其并无过错需要经历如下流程:首先,要证明其未违反有关个人信息处理的法律规范;其次,要证明其采取了与案涉处理行为相关的必要的个人信息保护合规措施;最后,还需证明其已尽到了与其专业能力相匹配的一般理性人在特定情形下应尽的安全保障注意义务。在该案中,法院依据其提出的前述操作步骤和判定标准并结合具体案情进行分析后,认定被告“没有违反个人信息处理规则的法律规范,采取了与案涉处理行为相关联的个人信息保护必要合规措施,没有违反与案涉处理行为相关联的关于个人信息处理者保护个人信息安全的义务的法律规范,也已经尽到了合理谨慎主体在案涉特定个人信息处理活动中应尽到的安全保障注意义务”,并判决被告在实施信息处理行为时不具有过错。
结语
维系个人信息权益的保障与信息开发利用的促进二元衡平是融贯整个个人信息保护始终的基本导向,亦为个人信息保护规范体系借以展开的主线,形塑个人信息侵权过错认定的解释论构造时也须以此为指导。为此,在个人信息侵权归责原则的设计上,应不分信息处理者的身份类别、是否采用了自动化处理技术、所处理的是否为敏感个人信息等因素,一概采行处于过错归责原则与无过错归责原则之间的过错推定原则,如此方可一方面扭转对个人信息权益救济乏力的困境,另一方面也保障信息处理者的行为自由与创新空间。在个人信息侵权过错推定责任的体系协调方面,要明确当以识别分析为目的的个人信息处理行为侵害了私密信息时,应适用《个人信息保护法》第69条第1款规定的过错推定责任;而当非以识别分析为目的的个人信息处理行为侵害了私密信息时,应适用《民法典》第1165条规定的一般过错责任,藉此可化解私密信息隐私权保护优先规则导致的价值评价矛盾,并可由此根据信息处理行为危害性程度的不同而对私密信息实施差异化的保护。在个人信息侵权过错推定责任的规则适用方面,应紧紧围绕过错推定之推翻这个首要之点进行体系梳理与理论阐释,从而在保障受害的个人信息权益可以获得充分救济的基础上,防止信息处理者对数据进行挖掘利用的行为遭到不当限缩。依此而为,可构建起妥当的个人信息侵权过错认定解释论构造,进而促进个人信息侵权损害赔偿规范构造的发展与完善。
因篇幅限制,已省略注释及参考文献。
引注:莫杨燊:《个人信息侵权的过错推定责任: 质疑回应、体系协调与规则适用》,载《河北法学》2026年第1期,第139页-159页。
