网络服务商个人信息侵权责任的立法探讨

林 秋

(哈尔滨师范大学法学院，黑龙江 哈尔滨 150025)

随着网络的迅猛发展，信息在网络使用者之间极速传播，在此背景下，也给网络空间个人信息的保护带来极大的考验。近年来，关于个人信息秘密泄露事件比比皆是。对此，人民网曾经开展了一项调查，其调查结果是，曾遭遇个人信息被泄露的网友占受调查者的90%;认为当前个人信息泄露问题非常严重的网友占受调查者的94%。而个人信息受侵犯的情形如此普遍的原因之一是什么呢?央视记者在一项调查中发现许多知名网络服务商并未对用户个人信息提供相关保护技术，京东、携程、淘宝、国美等网民经常访问的网站都存在着注册名和密码用明文传输的问题，存在着用户信息被泄露的可能［1］。我国虽然在《侵权责任法》和《信息网络传播保护条例》中对网络服务商的侵权行为做了一些限制性规定，但有关网络服务商侵犯他人个人信息方面的立法尚不完善。相对于网络用户而言，网络服务商在网络服务中具有强大的技术优势，在网络世界中网络用户很难保护自身的个人信息，因此，通过法律手段来规制网络，保护个人信息免遭网络服务商侵害的问题就显得十分迫切。

一、网络服务商个人信息侵权责任制度的根本价值

无论是在系统论的视域中还是依照自然法学派的主张，制度的框架、内容及实施方式都是由其根本价值所决定的。而追究网络服务商个人信息侵权责任制度的根本价值是维护主体的人格尊严。“个人信息是指直接或与其他信息组合间接能够将某个人与其他人区别开来并加以识别的信息”［2］(P10)。而这些将个人与其他人区别开来并加以识别的信息恰如自然人的姓名、肖像、隐私等一样同是人格权的表征。从比较法来看，确认本人对个人信息进行控制与支配，即是对其人格尊严的保护，这在国际社会已基本达成一种共识。欧盟议会与欧盟理事会于1995年颁行的《欧盟数据保护指令》中规定，成员国在通过立法保护个人信息时，应当将维护个人信息及本人的基本尊严与自由作为其目标。在德国1990年修改后的《个人资料保护法》中，明确规定其立法宗旨是对个人资料主体人格权的保护。

我国台湾地区在《电脑处理个人资料保护法》中，也明确立法规制使用电脑处理个人资料行为，其目的是为了保护公民的人格权。明确网络服务商个人信息侵权责任制度的根本价值，有利于为个人信息的保护提供法理依据;明确侵害个人信息究竟属于侵害何种权利，有利于解决侵权行为包含的责任类型以及可否适用精神损害赔偿等问题。

二、网络服务商个人信息侵权责任的立法现状

目前，我国关于网络服务商侵权责任的法律体系是随着互联网的发展逐步建立起来的［3］(P158)。其中，包括:2000年4月，最高人民法院颁布实施的《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》;2005年4月，国家著作权局和信息产业部联合发布的《互联网著作权行政保护办法》;2006年7月，国务院颁布的《信息网络传播权保护条例》。而这些立法对网络服务商侵权责任之规制的重点主要集中在当网络服务商侵害权利人的著作权时要承担的责任上，有关个人信息保护方面的立法则极其有限。目前可适用的法律如下:其一，是2010年施行的《侵权责任法》第三十六条:“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。”其二，是我国在2012年12月28日实施的《关于加强网络信息保护的决定》。这些规定虽然涉及网络服务提供者的侵权责任，但内容比较笼统，在实践中可操作性不强，难以对网络空间个人信息提供有效的保护。

三、网络服务商个人信息侵权责任立法存在的不足

(一)网络服务商个人信息侵权责任的立法缺乏系统性及可操作性

目前，《关于加强网络信息保护的决定》和《侵权责任法》第三十六条虽然都涉及网络服务提供者的侵权责任，但对此规定得过于笼统，不但缺乏系统性，而且缺乏可操作性。

在系统性方面，首先，我国并没有一部专门规范网络服务商侵权责任的法律法规，对网络服务商的侵权责任立法都散见于各种“条例”、“办法”、“规定”及“解释”中，由于立法机关不同，规范的重点也有所不同，甚至可能出现关于网络服务商侵权责任的规定各部门存在相互矛盾现象，因此，在具体问题的规定上并不统一［4］(P96)。这就是法律规范体系缺乏系统性的表现。其次，从目前可适用的法律规范的内容来看，其规定过于笼统，没有列举出网络服务商侵权的各种情况，亦没有规定哪些具有特殊性的行为是不构成侵害他人民事权益的;当网络用户对网络服务商发出受到侵害的通知后，网络服务商应及时采取措施的合理期限是多长时间，以及对于给网络用户造成的实际损害，网络服务商承担的侵权责任应如何计算等问题尚没有规定。因此，从法律规范的内容来看，同样缺乏完整性和系统性。

在可操作性方面，由于法律规范的体系缺乏系统性，法律规范的内容过于笼统，导致实践中的可操作性不强，很难对网络用户起到警示作用，网络服务商也无法预期确认自己违法行为的成本，在审理涉及网络服务商侵权案件中，法官适用法律同样会很困难。

(二)对于网络服务商的类别没有进行明确地划分

我国法律并未对网络服务商的种类进行明确地划分，相关立法也仅是规定了网络内容提供商应承担侵权责任，而对于其他网络服务商是否要承担责任，怎样承担责任则没有规定。虽然有很多学者在探讨网络服务商的类别，但也仅限于学术观点，并不具有法律效力，不同的网络服务商在网络信息传播中起到的作用不同，他们对网络个人信息的掌握和操控程度也不尽相同，法律没有对网络服务商的类别进行划分，对不同的网络服务商适用同样的法律，要求承担相同的法律责任，这显然会使责任的分配、责任的承担存在不公平。

(三)个人信息没有纳入网络服务商侵权的客体

我国目前关于网络服务商侵权责任的立法，主要将权利人著作权受到侵犯时网络服务商侵权责任的追究作为立法的重点，如在《信息网络传播保护条例》的第十四条至第二十五条的内容都是有关网络空间中，当权利人的著作权受到侵犯时，应该如何对其著作权进行保护的规定，而针对个人信息受到侵犯时网络服务商应当承担何种责任，则没有规定。我国最高人民法院于2000年4月颁布的《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》，以及国家著作权局和信息产业部于2005年4月联合发布的《互联网著作权行政保护办法》更是仅仅针对网络著作权的保护，尚没有将网络空间个人信息作为侵权责任的客体，明确地纳入法律的保护中来。

(四)缺少有关网络服务商个人信息侵权责任归责原则的特殊规定

目前，我国法律法规中并没有关于网络服务商个人信息侵权责任归责原则的规定，立法主要是将网络服务商的侵权行为作为一般民事侵权行为来进行处理，《侵权责任法》第六条第一款规定:“行为人因过错侵害他人民事权益，应当承担侵权责任。”第二款规定:“根据法律规定推定行为人有过错，行为人不能证明自己没有过错的，应当承担侵权责任。”而关于网络服务商的侵权行为法律并没有规定“推定行为人有过错”，因而网络服务商侵权责任的归责原则即适用第一款中的过错责任原则。而相应出现的问题就是举证责任的不合理分配，当个人信息受到侵害后，需要证明网络服务商存在主观过错，如果不能举证证明，也就无法要求网络服务商承担侵权责任。而网络服务商拥有先进的网络设备和计算机网络技术，个人信息受侵害人很难证明网络服务商存在主观过错，也就无法实现权利的保护。

四、网络服务商个人信息侵权责任的立法完善

针对个人信息的保护，各国采用的保护模式主要有三种:一是以欧盟为代表的立法模式;二是以美国为代表的行业自律模式;三是以日本为代表的综合模式。立法模式和行业自律模式互有利弊。立法模式有法律的强制力保证实施，通过法律规定明确并加重了网络服务商的义务，虽然有利于个人信息的全面保护，但却阻碍了网络信息的自由流动，增加了网络服务商企业运营的成本和法律风险，对于网络经济的繁荣发展不利。行业自律模式则不会阻碍网络信息的自由流动，各行业根据本行业的特点制定行为规则，针对性强，也更加具有操作性。这样能够更好地促进企业发展，但这种模式的缺点在于缺乏有力的法律保障、没有处罚措施、保护力度不够等。以日本为代表的综合模式则吸收和摒弃了立法模式和行业自律模式的优缺点，在参考欧盟立法的同时，又运用美国的保护机制，通过政府立法和行业自律来共同实现对个人信息保护。我国是典型的成文法国家，个人信息保护的立法也应以立法形式出现为宜，且立法模式更能从源头断绝网络服务商逃避法律责任的机会主义思想，而行业自律模式可以作为立法模式的有益补充，应该建立和完善行业自律规范，承认行业自律规范的法律效力。

(一)明确个人信息作为网络侵权案件中侵权客体的类型

我国在目前关于网络侵权的立法中，重点集中在对于权利人的著作权受到侵犯的保护上，缺乏对个人信息受到侵犯时网络服务商应承担何种责任的规定，因此，笔者认为，应该拓宽网络侵权案件中侵权客体的类型，在立法或司法解释中应首先肯定个人信息是如同著作权等权利一样，受到法律保护。而随之而来的问题即是如何定位网络环境下个人信息的法律属性。如前文所述，网络服务商个人信息侵权责任制度的根本价值，在于维护主体的人格尊严。个人信息中蕴含着关于人格的法益，在网络信息时代，人类可以是“各种信息组成的集合，是一种信息的存在”［5］(P12)。而“根据大陆法系人格权理论，凡是与人格形成与发展有关的事情都属于人格权客体”［6］(P59)。伴随着对人格利益的关注，人格权保护的范围不断扩张，人格权理论进一步发展，用人格权理论保护个人信息，确认个人信息作为网络侵权案件中人格权客体这一类型，既是对个人信息法律保护的理论探索，也是对人格权范围的当代发展。

(二)细分网络服务商个人信息侵权责任的承担主体

网络服务商这一概念原本是一个计算机网络中的术语，其英文为Internet Service Provider，即因特网服务提供者，简称ISP。ISP也是网络中各类在线服务的经营者的统称。一般来说，网络服务提供者涵盖了所有以互联网为基础提供服务的个人、经济组织以及其他单位［7］(P78)。网络服务商为网络用户提供服务，从而实现其营利的目的或其他经济效益;网络用户则通过网络服务商，从而获得所需要的信息或服务。这就产生了在他们提供服务或接受服务的过程中，由于侵犯他人个人信息而承担的责任如何在二者之间划分的问题，由于网络服务商的类别、在网络服务中担任的角色不同，因此，对侵权责任的承担也不应相同。因而应该在探讨网络服务商类别的基础上，来探讨各类服务商应承担的侵权责任。依照网络服务商在网络服务中功能的不同，可将网络服务商分为网络接入服务商、网络内容服务商、网络平台服务商。

1.网络接入服务商是指为网络用户提供互联网的连接、IP地址的解析、分配和路由等服务的网络经营商，如中国联通、中国电信、中国铁通等。网络接入服务商的主要作用是为网络用户提供网络通道，使用户的计算机与互联网相连。网络接入服务商本身并不提供网络信息，也不对网络线路中传送的信息进行存储、编辑或监控，而在网络上每天传送的大量个人信息，如要求接入服务商筛选出所有可能涉及侵权的信息，成本是巨大的且会限制或制约网络的正常发展，因此，各国普遍不要求网络接入服务商承担侵权责任。当然，在下列两种情形下，网络接入服务商仍需承担侵权责任:一是故意对传输中的信息进行处理，从而导致对信息的发出者或接收者造成的侵害;二是明知或应知第三人的侵权行为却不予制止，从而对受害人的侵害。

2.网络内容服务商对各种网络信息进行收集、筛选并加工，最终通过互联网向用户提供各种信息服务，用户可随时访问［8］(P76)。该类网络服务商的代表就是形形色色的门户网站，他们在上载、转载信息或提供链接的服务中涉及的侵权情形主要有:一是网络内容服务商上传他人个人信息如果未经权利人的许可，且又不属于法定许可使用或合理使用的范畴，则需承担侵权责任;二是网络内容服务商明知他人使用的个人信息是侵权信息，但仍然转载或提供链接服务的，则应与侵权信息使用者承担共同侵权责任;三是网络内容服务商虽然事先并不知道所使用的个人信息系侵权信息，在得知侵权的事实后却仍然不停止使用，则应与提供侵权信息方承担共同侵权责任，但是，如果在其知道侵权事实后，主动采取了避免权利人损害进一步扩大的措施，则可以主张免责。

3.网络平台服务商主要指的是为网络用户提供一个虚拟的网络交流平台或交易平台的服务商，比如，各大论坛、博客、个人主页、网络硬盘、网络聊天室、视频分享网站 (如优酷、土豆、爱奇艺网)等。如果网络平台服务商本身上传的信息侵犯他人权利，则导致直接侵权，由该网络平台服务商直接向个人信息权利人承担侵权责任。如果网络平台服务商并没有直接上传侵害他人个人信息的内容，而是由其他网络用户上传的，则该网络平台服务商并不构成直接侵权，可以按照《侵权责任法》第三十六条的规定承担责任。

(三)完善网络服务商侵犯个人信息时的归责原则

由于在现有的过错责任原则下，受害人很难通过计算机技术掌握证据证明网络服务商对侵犯其个人信息的行为存在主观上的故意或者重大过失，而采用无过错责任原则又会过分加重网络服务商的责任，既影响网络经济的发展，又不符合国际立法趋势，有鉴于此，笔者认为对于网络服务商侵犯他人个人信息时的侵权责任归责原则应当采用过错推定原则更为适宜。在举证责任分配上，受害人应举证证明存在侵害的事实、损害的后果以及二者之间的因果关系;网络服务商则需要证明自己对受害人所受损害主观上不存在故意或重大过失。这既要求网络服务商承担相对较重的举证责任，又不会因为网络服务商过重的责任而影响网络经济的发展，调和了网络服务商与网络用户之间对网络信息控制力的不平等，使举证责任在二者之间合理地分配，更有益于维护网络用户的合法权益。

(四)在引入侵权责任的承担方式上引入惩罚性赔偿责任

依据我国现行法律，如果网络服务商构成对他人个人信息权益的侵犯，则承担停止侵害、消除影响、恢复名誉、赔礼道歉和赔偿损失等救济性的损害赔偿责任。而这种救济性的损害赔偿，显然无法填补受害人所受之侵害，虽然我国在2010年7月1日起施行的《侵权责任法》及2001年3月10日施行的《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》中都有关于精神损害赔偿的规定，但也仅限于侵权造成严重后果的，才可以根据受害人一方的请求，判令侵权行为人赔偿相应的精神损害抚慰金;对于一般侵权，则无法请求精神损害赔偿，而权利人为主张权益而付出的诉讼费和律师费等费用也无法得到赔偿，这就导致权利人没有主张权益的积极性，这无疑是对网络服务商侵犯他人个人信息的纵容甚至鼓励。马克思曾说:“人们奋斗所争取的一切都同他们的利益相关。”［9］(P82)因此，为了鼓励权利人积极主张权益，预防和遏制网络服务商侵犯他人个人信息的行为，建议在网络服务商侵犯他人个人信息权益领域引入惩罚性赔偿制度。

五、结语

在网络时代，信息成为重要的资源，个人信息侵权问题备受关注。网络服务商由于拥有强大的技术优势，对个人信息安全带来威胁，所以，构建网络服务商个人信息侵权的责任体系，完善网络服务商个人信息侵权的立法，对于保护网络空间个人信息的安全尤为重要。通过立法规范网络服务商的行为，明确网络服务商个人信息侵权的责任，使信息主体的权利得到保护，信息侵权行为受到制裁，营造一个安全、高效的网络环境。

［1］中新网．http://www．chinanews．com/．2013 －04 －01．

［2］白云．个人信用信息法律保护研究［M］．北京:法律出版社，2013．

［3］毛之敏．设链行为之间接侵权的认定——兼评优度诉迅雷一审判决［J］．电子知识产权，2008(7)．

［4］王眉．博客名誉侵权，网络服务商该当何责?——“中国博客第一案”引发的法律思考［J］．国际新闻界，2007(1)．

［5］洪海林．个人信息的民法保护研究［M］．北京:法律出版社，2010．

［6］齐爱民．信息法原论［M］．武汉:武汉大学出版社，2010．

［7］刘士国．侵权责任法若干问题研究［M］．济南:山东人民出版社，2004．

［8］王利明．电子商务法研究［M］．北京:中国法制出版社，2003．

［9］马克思恩格斯全集:第1卷［M］．北京:人民出版社，1972．