个人信息的司法救济
——以1 383份“App越界索权”裁判文书为分析样本

陈 晨 李思頔

引 言

“App越界索权”[注]“App越界索权”的提法，参见蒋齐光：“‘APP越界索权’呼唤规范治理”，载《人民日报》2018年3月22日，第014版。指应用软件运营商超过抓取或使用权限，擅自抓取或使用用户个人信息的侵权行为。随着大数据解构社会行为模式的加深，信息抓取类案件数量激增。国内首起安全软件号码标注隐私权纠纷案、朱某诉百度隐私权纠纷案、新浪微博诉脉脉不正当竞争案、徐玉玉电信诈骗案等皆为因“App越界索权”直接或间接引发的民事、刑事诉讼。

笔者将信息抓取类案件裁判文书所涉高频词汇作为关键词，通过北京审判信息网导出裁判文书1 383份。[注]检索时间为2018年4月12日，共导出北京法院信息抓取类案件1 383份，其中包括“软件_隐私权”所导出的裁判文书42件，“数据_隐私权”所导出的裁判文书88件，“抓取_隐私权”所导出的裁判文书6件，“软件_不正当竞争”所导出的裁判文书667件；“数据_不正当竞争”所导出的裁判文书549件；“抓取_不正当竞争”所导出的裁判文书31件。案由涉及不正当竞争纠纷、隐私权纠纷及名誉权、知情权纠纷等，该组裁判文书基本囊括北京法院2011～2018年审结的信息抓取类民事案件，对个人信息司法救济研究具有典型示范意义。该1 383份裁判文书的数量分布参见图1。

图1 北京法院1 383份裁判文书数量分布图

一、样本分析：个人信息司法救济之现状审视

DCCI互联网数据中心与腾讯社会研究中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2017一季度)》显示，800多个安卓手机应用隐私权限检测中，获取隐私权限高达96.6%，25.3%属于越界索权。[注]参见董丝雨：“APP索要权限 不能任性越界”，载《人民日报》2018年7月26日，第014版。2018年，北京市消协《手机APP(应用软件)个人信息安全调查报告》指出，近九成受访者认为App过度采集个人信息。[注]参见前注〔1〕，蒋齐光文。因App默认勾选协议、大量收集用户隐私、与第三方不当共享而造成的信息外泄现象时有发生，App越界索权已成网络诈骗重要源头。[注]参见孙宪忠等：“个人信息保护法为啥未列入今年立法计划”，载《南方都市报》2018年4月29日，第002版。然而，北京地区个人信息司法救济力度不足。具体分析如下：

第一，近三年个人信息隐私权纠纷案件数量增势明显。以笔者提取的82件隐私权纠纷案为例：2015年案件数量16件，同比上升220%；2016年21件，同比上升31.25%；2017年36件，同比上升71%。该类案件数量增长情况请参见图2。这说明，近年通过诉讼进行个人信息救济的自然人数量逐渐增多，个人信息司法救济模式亟待确立。

图2 信息抓取类隐私权纠纷案件数量增长示意图

第二，抓取信息类案件中，隐私权纠纷占比偏低。虽然信息抓取类隐私权纠纷案件数量有所增多，但案件数量占信息抓取类案件总量的比例仍属偏低。以笔者所选样本为例，隐私权纠纷82件，占比6%；不正当竞争纠纷818件，占比59%。所选样本的案由分布情况请参见图3。

图3 北京法院信息抓取类案件案由示意图

第三，信息抓取类隐私权纠纷胜诉比例偏低。以笔者所提取样本为例，不正当竞争纠纷的胜诉比例明显高于隐私权纠纷。笔者选取的82件信息抓取类隐私权纠纷中，胜诉比例仅为5%，且其精神损害赔偿皆未获得支持；但不正当竞争纠纷的胜诉比例却高达67%，且其损害赔偿皆得到法院不同比例的支持。所选样本中两类纠纷案件诉讼结果比对情况请参见图4。

综上所述，当前北京地区自然人提起的信息抓取类案件占比偏低且较难胜诉，个人信息司法救济呈现侵害规模大、胜诉比例低、诉讼动力不足的特点，个人信息司法救济路径受阻，用户个人信息维权存在多重阻碍。

图4 信息抓取类案件诉讼结果对比示意图

二、问题检视：个人信息司法救济之实务困境

北京地区个人信息司法救济主要以隐私权为主。该救济模式将“个人信息”限缩至隐私权范畴进行保护，排除未明显侵害隐私权但侵害个人信息自决权的侵权行为。单纯依靠隐私权进行个人信息的司法救济在侵权行为及侵权责任认定等方面存在实务困境，无法实现对个人信息的充分救济。具体情况分析如下：

(一)侵权行为认定问题

1.隐私权仅保护具有隐私属性的“个人信息”

隐私权纠纷中，涉诉信息是否具有隐私属性是侵权行为认定的前提条件。该界定标准将用户自行上传、公开展示或用于广泛查阅的电话号码、通讯簿等信息排除在外，[注]国内首起安全软件号码标注隐私权纠纷案[《北京市西城区人民法院民事判决书》，(2015)西民初字等28460号]、美国“hiQ Labs, Inc. v. Linkedin Corporation”案皆持该观点。只保护可指向特定个体的自然人基因信息、病历资料、家庭住址、私人活动等整体信息。[注]参见《北京市第一中级人民法院民事判决书》，(2017)京01民终509号。其观点认为，经权利人许可在网上公开披露的个人资料已表明权利人放弃其隐私，视为其明知个人信息将被不特定的主体收集、挖掘、分析，相关信息应作为公共资源看待，不具有隐私属性。[注]参见王利明：《人格权法研究》，中国人民大学出版社2005年版，第634页。因此，司法裁判未将其认定为隐私侵权行为。[注]参见《北京市西城区人民法院民事判决书》，(2015)西民初字第28460号。这说明隐私权纠纷中隐私权并未作扩大解释，而是将“个人信息”限缩至隐私权范畴进行保护，排除未明显侵犯隐私权但侵害个人信息自决权的侵权行为。

2.隐私权仅保护具有实质侵害的信息泄露行为

隐私权纠纷案件的侵权认定要求对个人隐私权存在明显实质侵害。由于侵权行为隐秘、实损难以证明，法院一般不认定单纯抓取信息构成侵害隐私权。同时，司法实践将捆绑安装行为、[注]参见《黑龙江省哈尔滨市道里区人民法院民事判决书》，(2013)里民三初字第1953号。标记行为、[注]参见前注〔9〕。关联App个人信息共享行为[注]参见北京市海淀区人民法院(2018)京0108民初13661号民事案件，该案现正在审理中。及强制安装或私自保存[注]参见北京市海淀区人民法院(2018)京0108民初12676号民事案件，该案现正在审理中。等对隐私权不存在实质侵害的行为都排除在规制范畴之外，只规制对隐私权存在实质侵害的泄露行为。[注]参见前注〔7〕。

(二)侵权责任认定问题

以笔者所掌握的样本为例，“App越界索权”所涉侵权责任形式包括停止侵害、消除影响、赔礼道歉和损害赔偿四类。然而，当前隐私权纠纷侵权责任认定标准较高，自然人举证能力与证明标准严重失衡，个人信息司法救济路径严重受阻。主要表现如下：

1.用户与App运营商技术力量和信息掌握程度不对等

从收集证据的资金、技术等成本上看，普通用户只能通过手机软件证明，上传个人信息后卸载相关App无法同步删除其移动终端存储的cookie数据，但对“App是否抓取信息”及“抓取行为与损害结果的因果关系”的举证能力较弱，用户与App运营商技术力量和信息掌握程度的不对等,使得作为个人信息真正权利人的自然人举证路径严重受阻。

2.现有侵权责任形式无法实现个人信息充分救济

隐私权纠纷案件中证明标准较为严苛，不但要求权利人证明App运营商泄漏信息，同时还需证明因泄漏行为导致实际经济损失或明显精神痛苦。[注]同上注。这使得诉讼证明标准与自然人举证能力严重失衡，现有侵权责任形式无法实现个人信息的充分救济。

首先，权利人财产损害赔偿司法救济路径缺位。App运营商只要未从信息买卖中直接获利，权利人则较难提供完整证据链条证明因泄漏信息本身造成财产损害，从而难以获得财产损害赔偿。笔者所提取的样本也尚未出现因泄漏信息而提起的财产损害赔偿请求。

其次，权利人精神损害赔偿司法救济路径受阻。精神损害赔偿的适用前提是客观上违反社会公共利益和社会公德并且引发明显精神痛苦。[注]参见王利明：《侵权责任法研究》(上)，中国人民大学出版社2016年版，第549～550页。当事人必须证明因行为人违反社会公共利益、社会公德侵犯隐私权，且引发明显精神痛苦，法院才可能支持其精神损害赔偿请求。[注]参见前注〔7〕。但泄露信息降低社会评价的证明难度较高，难以证明因泄漏信息本身造成明显精神痛苦。这使得司法实践中隐私权纠纷案件中损害赔偿支持率较低。[注]以笔者选取的北京法院1383份裁判文书为例，隐私权纠纷精神损害赔偿支持率为0。

再次，停止侵害等侵权责任形式间接影响消费者自由选择权。排除其他救济途径后，权利人只能选择停止侵害、消除影响、赔礼道歉来进行个人信息的司法救济。如确实存在侵权行为，造成权利人权益受损，请求多会得到支持。但是，在目前技术水平无法达到完全避免个人信息读取或使用的情况下，停止侵权意味着权利人可能被迫放弃APP相关功能的使用权，停止使用相关服务。这从消费者权益保护角度，又影响消费者的自由选择权，使其选择权逐渐降低甚至完全消失。[注]参见刘新炎等：“隐私保护和企业权利平衡需更多实践”，载《南方都市报》2018年3月21日，第17版。

三、原因探究：信息抓取类案件司法救济的考量因素

2017年10月起实施的《民法总则》的第111条首次通过民事基本法确立个人信息的法律地位，[注]参见中国审判理论研究会民商事专业委员会：《〈民法总则〉条文理解与司法适用》，法律出版社2017年版，第197页。学界对个人信息权利属性的讨论也早已有之。学界通说倾向于严格区分个人信息与个人隐私，排斥将个人信息笼统纳入隐私权范畴进行立法与司法救济的模式。[注]参见程啸：“论大数据时代的个人数据权利”，《中国社会科学》2018年第3期，第114页；王利明：“论个人信息权的法律保护——以个人信息权与隐私权的界分为中心”，《现代法学》2013年第4期，第66页；廖宇羿：“我国个人信息保护范围界定——兼论个人信息与个人隐私的区分”，《社会科学研究》2016年第2期，第70～76页；张鹏：“个人信息(权)与隐私(权)的区分”，载《中国社会科学报》2017年12月13日，第005版等。其认为，自然人享有的个人信息权旨在保护其对个人信息的自主决定利益，既包括身份信息也包括私密信息，同时关注财产利益和精神利益。[注]参见上注，程啸文，第114页；上注，王利明文，第66页。而隐私信息更多涉及自然人私密信息，更多关注精神利益。[注]参见杨立新：“个人信息:法益抑或民事权利——对《民法总则》第111条规定的‘个人信息’之解读”，《法学论坛》2018年第1期，第39页。但《民法总则》实施以来，个人信息司法救济模式仍以隐私权为主，尚未出现通过个人信息权进行司法救济的案件。[注]参见郝思洋：“大数据时代个人信息保护的路径探索”，《北京邮电大学学报(社会科学版)》2016年第5期，第16页；王利明：“论个人信息权在人格权法中的地位”，《苏州大学学报(哲学社会科学版)》2012年第6期，第32页。将“个人信息”限缩至隐私权范畴进行保护，排除未明显侵犯隐私权但侵害个人信息自决权的侵权行为，导致《民法总则》第111条规定的自然人个人信息权保护落空。

(一)个人信息权限缩地依托隐私权保护的原因

单纯依靠隐私权进行个人信息救济显然不够完善，对个人身份信息的保护力度亟须加强。那么，选择该种模式的实务原因尤为值得关注。

1.当前立法欠缺相应激励机制

我国民事法律对于个人信息的保护相对模糊且略显原则。现有民事法律体系只确立了个人信息的法律地位和基本行为规范，尚未明确个人信息范畴及具体权利，欠缺必要的个人信息民事救济路径，而《网络安全法》等法律则主要从公法层面规定侵犯信息安全所应承担的行政处罚责任。[注]在“法律法规数据库”以“个人信息”为关键词进行检索，涉及“个人信息”的主要包括《民法总则》《网络安全法》《消费者权益保护法》《旅游法》等11部，主要从公法层面规定企业责任及其侵犯信息安全所应承担的行政处罚责任。参见法律法规数据库，http://search.chinalaw.gov.cn/search2.html，最后访问时间：2018年5月1日。针对性的个人信息民事救济路径相对缺位。

2.责任填平原则导致具体人格权诉讼倾向较为明显

我国《侵权责任法》核心功能在于补救，损害赔偿责任适用填补原则，即对不幸的受害人的损害进行填补，赔偿存在的明显精神损害或造成的经济损失。[注]参见前注〔16〕,王利明书，第506页。然而，大数据时代个人信息的价值不再单纯来源于它的基本用途，而更多源于它的二次利用。[注]参见〔英〕维克托·迈尔·舍恩伯格、肯尼思·库克耶：《大数据时代生活、工作与思维的大变革》，盛杨燕、周涛译，浙江人民出版社2013年版，第197～198页。信息只有通过二次收集整理形成企业或政府大数据才蕴含经济价值，单个权利人对个人数据享有的经济利益不明显，在现有侵权责任法体系下单纯侵犯信息自决权的抓取行为、捆绑安装行为等很难被认定造成明显精神损害或实际经济损失，损害赔偿难获法院支持；即使获得支持，数额通常较小，甚至出现诉讼成本倒挂现象。

3.案由确立简单盲目影响司法救济力度

首先，司法案由的确定对于当事人准确选择救济途径具有较大引导作用。司法实践中，法官一般根据当事人诉讼请求的直接表述，按照最高法院《民事案件案由规定》(2011)的规定选择案由，其所反映的是法院对诉讼争议所含法律关系的概括。[注]参见曹建明：《人民法院民事案件案由规定理解与适用》，人民法院出版社2008年版，第1页。案由的主要功能是确定法院受理案件的类型，并根据纠纷类型准确选择救济途径。[注]参见罗东川、黄建中：“《民事案件案由规定》的理解与适用”，《人民司法》2008年第5期，第18～23页。虽然审判庭可根据实际诉讼标的和法律关系对立案庭确定的案由进行调整，但是立案庭初步确立的案由对于当事人诉讼请求、救济方式及案件的整体走向仍有极为重要的作用。错误的立案案由存在先入为主的误导，易影响当事人的举证及法官对案件的正确判断，浪费司法资源甚至导致错误裁判。[注]参见薛同忠、何友成：“关于立案案由的几点思考”，载《江苏经济报》2003年7月9日，第B03版。

其次，案由确立的简单盲目性一定程度影响个人信息的司法救济力度。一审法院立案时多依据当事人在立案阶段所提供的材料，尤其是当事人的诉讼请求确定具体案由，而未充分考虑当事人主张民事法律关系的性质。[注]参见宋旺兴：“论民事案由确定制度的完善”，《法律适用》2012年第2期，第66～69页。同时，隐私权纠纷在先案例较多，一定程度上加剧了实务中选择隐私权进行个人信息司法救济的盲目性，使得法院多依照当事人的诉讼请求将案由确定为第6项隐私权纠纷。案由确立的简单盲目性使得诉讼中侵权行为和损害赔偿的认定都倾向于以人格权相关法律作为诉讼依据，导致诉讼请求集中于因侵害隐私权而提起的停止侵害、消除影响和精神损害赔偿。而法院则将“个人信息”简单等同于“隐私”范畴，只规制实质损害隐私，只赔偿明显精神痛苦，在一定程度上影响了对个人信息的司法救济力度。

(二)个人信息独立救济的必要性

从上述分析可以看出，通过当前司法实践的线性分析和司法统计，将个人信息限缩至隐私权进行司法救济，无法实现个人信息的充分保护。此外，个人信息独立救济还存在以下必要：

1.侵害个人信息现象愈发凸显且影响恶劣

根据对1 383份“App越界索权”裁判文书的分析，个人信息相关纠纷的数量逐年上升，个人信息遭受到侵害的现象日渐严峻。虽然个人信息的聚合和利用是大数据的形成和运用的一个方面，为个人生活带来一定的便利，但在网络时代中，附随而来的个人信息被不当利用、个人生活遭受侵扰、财产安全甚至人身安全危机也在急剧地、大规模地爆发，甚至由此引起的电信诈骗等刑事犯罪也屡见不鲜。因此，在科技日益发展的今天，对个人信息加以保护，进而巩固国家信息安全迫在眉睫。

2.个人信息的独特性

如前文所述，隐私权控制的客体范围及行为方式虽然与个人信息之间存在交叉，但并不能完全被后者涵盖，寻求其他权利的救济已经完全不能满足对个人信息的保护。

3.个人信息救济成为国际共识

在互联网时代，信息交流已经不仅限于个别国家和地区，全球各地的用户都已经成为信息的生产者和传播者，对个人信息的保护也随着信息传播的便捷与迅速而成为国际共识。美国早在1974年就通过《隐私法》，并在随后通过《联邦电子通信隐私权法》《2009个人隐私与安全法案》等法律，结合行业自律及司法判例对个人信息予以全方面保护；日本于2003年实施《个人信息保护法》，并为适应时代发展于2015年5月27日对该法案进行修订；欧盟于2018年5月25日出台《一般数据保护条例》(General Data Protection Regulation，以下简称GDPR)，该条例被称为史上最严的个人数据保护条例。因此，对个人信息的保护不仅是个别国家的专属，对个人信息采集、利用等行为进行规制，进而统一世界范围内对信息及数据的使用规则也成为时代趋势。

(三)对个人信息进行保护的范围

在论及个人信息保护之前，首先需明确个人信息的范围，以及受个人信息权利所控制的行为界限。

1.个人信息的范围

根据《信息安全技术个人信息安全规范》(以下简称《规范》)中相关规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。根据该定义，个人信息的重要特征在于其标识作用，即通过该信息可以明确指向特定主体。《规范》对个人信息的类型及范围也进行了划分，包括个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康生理信息、个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息及其他信息。上述信息基本涵盖了能够指向特定主体的信息。

其中，《规范》另对个人信息中的个人敏感信息进行了特别挑选，个人财产信息、个人健康生理信息、个人生物识别信息、其他信息项下的部分信息属于个人敏感信息。个人敏感信息一旦予以不当利用会对该信息指向的主体的财产或人身安全造成威胁。

2.个人信息权的内容

虽然《民法总则》第111条规定自然人的个人信息受法律保护，但从实践来看，对于个人信息享有权利的主体包括该信息指向的自然人本人，也包括通过本人授权或其他合法途径获得该个人信息的主体。个人信息指向的主体本人，对该个人信息享有完整的权利。结合GDPR相关规定，笔者认为个人信息从产生到消除可能涉及的权利应当包含对个人信息的发布权、使用权、访问权、更正权、删除权、限制处理权、数据携带权、反对权等权利，上述权利在涉及公共安全、国家利益等必要事项时会予以一定限制。而第二手权利人则会根据获得授权的范围在一定界限内行使相关权利。

如此看来，可能侵害个人信息的主体既包括未经授权的第三人，也包括超出授权范围使用个人信息的主体。同时，侵害个人信息的行为从个人信息的产生到消除都可能存在。对第三人而言，侵害个人信息的行为包括未经权利人许可非法获取、披露、使用、篡改、删除个人信息等行为。其中需强调的是，获取行为本身虽然表面看来不会对权利人造成损害，但是，权利人对个人信息享有权利的重要体现之一就在于其可以选择向特定人公开或不公开个人信息，而第三人的获取行为则破坏了权利人对个人信息的控制，同时，后续对个人信息的使用行为均是基于获取行为本身，且一般而言，个人信息的价值在于对其的利用，获取信息后一般会包括继续实施后续的使用行为的意图。因此，获取行为本身也是一种侵害。第二手甚至再下手的侵权行为则可能包括超出授权范围向他人披露、授权、泄露，非法使用、篡改、删除个人信息等行为。

四、司法应对：个人信息司法救济的完善

如上所述，当前我国个人信息司法救济路径仍以隐私权为主，由于保护权益局限、举证能力与证明标准失衡、损害赔偿认定标准较高，用户个人信息司法救济路径严重受阻。笔者认为，拟可通过逻辑、实践两层面探究现有法律框架内个人信息司法救济之应然路径，助力民事诉讼制度改革视野下互联网纠纷解决机制的合理转换。

(一)个人信息侵权责任中过错的认定

《侵权责任法》中规定侵权构成要件包括侵权行为、过错、损害事实和因果关系。 就侵权行为而言，上文已经对此予以说明，此处就不再赘述，就损害事实与因果关系而言，各类侵权责任形式基本不存在过多差别，故此处着重说明个人信息侵权责任中过错的认定。

如前所述，个人信息分为一般个人信息与个人敏感信息。就一般个人信息而言， 如采取过错责任原则，侵权行为实施者的过错一般可以从侵权行为实施者未获得授权等消极事实、其采取技术手段破坏对个人信息保护措施等积极事实予以证明。但是根据对1 383份“App越界索权”裁判文书的分析，受到侵害的一般是个人信息的原始权利人，即该个人信息指向的自然人，而一般侵权行为实施者为拥有较强技术能力的互联网企业。在这样双方技术水平与举证能力存在较大差距的情况下，要求主张权利的自然人承担证明侵权行为实施者存在过错的举证责任，对于权利人而言略过苛刻。因此，笔者建议一般个人信息侵权责任认定中采取过错推定责任，由被诉侵权者承担证明自身不存在过错，即相关信息存在合法来源的举证责任，平衡双方责任。

而对于个人敏感信息来说，由于极具特殊性，与权利人的人身安全和财产安全存在密切关联，因此对个人敏感信息的保护应当相较于一般个人信息更强。一方面在过错认定时，建议采取无过错责任，只要存在侵害个人敏感信息的行为即可以认定对个人信息权利的侵害；另一方面对于授权环节也应当严格把控，通过自然人授权获得个人敏感信息的主体进行再授权或转授权时，应承担更高的注意义务，严格审查相关资质及使用目的，保护个人敏感信息安全。

(二)合理情形下的侵权排除

《民法总则》及《侵权责任法》对不承担及减轻责任的情形进行了规定，其中被诉侵权主体最常采取的抗辩理由就是其已经在服务协议中，事先对其采集和利用个人信息予以告知，用户亦勾选该协议表示同意。要判断该项抗辩是否成立，就要判断服务协议中个人信息相关条款是否有效。当前服务协议中的条款一般较为固定，为格式条款，根据《合同法》相关规定，提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的，该条款无效。个人信息条款一般会免除被诉侵权主体， 即提供格式条款的一方主体就获取和利用个人信息方面应当承担的责任，排除权利人对个人信息授权等方面的权利，因此，在格式条款未明确标识，权利人亦不认可该条款效力的情况下，其中个人信息条款应属无效，用户同意的抗辩亦不成立。

《信息网络传播权保护条例》第22条对侵害信息网络传播权的信息存储空间网络服务提供者不承担赔偿责任的条件进行了规定，该避风港原则对于个人信息侵权中网络服务提供者责任的确定也可予以借鉴。虽然个人信息相关权利与信息网络传播权分属不同权利性质，但对于信息存储空间而言，其仅为存储平台，要求其对平台中用户发布的所有信息是否属于其自身真实信息而非他人个人信息、是否未经他人授权擅自发布他人信息等情节予以审查，则属于对该网络服务提供者提出过高的注意义务要求。因此，借鉴避风港原则，在网络服务提供者接到权利人通知并及时删除相关信息时，可以免除其赔偿责任。与此同时，与避风港原则紧密联系的红旗规则也同样适用。需要强调的是，对于个人敏感信息，需负有较高注意义务。

(三)侵权与合同竞合的处理

如果App服务协议的部分条款无效，其他条款有效，则受害人享有违约损害赔偿请求权与个人信息权侵权请求权的竞合，可适用《合同法》第122条的规定，按照请求权竞合的处理方式和规则、程序进行请求权选择。

1.App服务协议无效时，建议公益诉讼

违约责任的适用前提是App服务协议有效。消费者注册App时，签署同意的App服务协议中的有关条款，可能属于格式条款、霸王条款，违反合同法、消费者权益保护法的规定，则构成了无效格式条款，在这种情况下当事人只能请求确认合同无效，而无法主张违约责任。那么，在涉及大量的消费者信息权受侵害的情形下，可能符合《民诉法》第55条、《消费者权益保护法》第47条规定的消费民事公益诉讼的适用条件，消费者可向消费者协会投诉，并以消费者协会的名义提起公益诉讼，从根本上否定侵害消费者信息权的格式条款效力。

2. 明显侵害固有利益时，建议适用侵权责任

由于目前立法机关尚未明细个人信息权侵权的相关司法救济途径，故而在现有法律框架内，在明显侵害隐私权等固有权益的情况下，仍建议权利人选择隐私权进行权利救济。这种司法救济的优势在于：已明显侵害隐私权，权利人举证难度相对较小；适用侵权责任无须解除合同，可直接主张停止侵害、消除影响；选择侵权责任可主张精神损害赔偿。[注]参见王利明：《合同法研究》(第2卷)，中国人民大学出版社2011年版，第406页。

3.其他情形，建议适用网络服务合同进行救济

在合同有效且未明显侵害固有利益时，建议适用网络服务合同进行救济。原因在于，法律目前只确定了个人信息的法律地位，相关配套民事法律责任及救济体系缺位，如主张侵害个人信息权难获法院支持，[注]参见王利明：“违约责任和侵权责任的区分标准”，《法学》2002年第5期，第45～52页。而违约责任只需证明违规使用信息，举证难度较低，恶意捆绑、违规存储等行为都可纳入合同法保护范畴。

(四)证据规则运用与损害赔偿认定

通过侵权责任与违约责任的分工协作，可初步解决隐私权纠纷案件举证责任高、权益保护范围窄的问题，但仍无法解决用户举证难、赔偿低、维权难的现实问题。在信息抓取类案件中，法官可通过释明，引导权利人灵活运用诉讼证据规则、增加或变更诉讼请求，适当调整类案审判思路，以推动现有法律框架内个人信息司法救济路径的完善。

1.双方举证：积极进行法官举证引导

在隐私权纠纷案件中，对查清权利人的实际损害、侵权人的侵权获利确有困难的，可通过证据规则合理分配举证责任，引导当事人对判赔参考因素积极举证，提高个人信息救济的合理性。法官可通过询问当事人被诉侵权App授权范围、信息使用方式、是否可在其他平台中查到诉争信息、是否存在间接经济损失或精神痛苦等判定侵权事实，并引导权利人提交公证书、网页截图、发票等证据，甚至可以在双方同意的情况下进行现场勘验。

2.举证责任分配：灵活运用举证妨碍、事案释明义务等证据规则

关于个人信息权侵权诉讼所面临的举证困难问题，可基于《民事证据规定》的举证妨碍规定，适用提供证据责任的转移规则。更直接的理论依据是民事证据法上的事案解明义务，对于侵权行为、损害等事实的证据，由不负客观证明责任的一方当事人(即抓取和利用个人信息、持有和控制相关证据的一方)提供该证据，可以解决此类案件因证据分布偏在而引发的受害人举证困难的问题。

同时，隐私权纠纷案件中，对于权利人举证难度较大的侵权事实，法官可运用民事证据高度盖然性标准，[注]参见李国光主编：《最高人民法院〈关于民事诉讼证据的若干规定〉的理解与适用》，中国法制出版社2002年版,第462页。在权利人可证明涉案信息特殊性、信息泄露渠道单一性、被诉侵权App获取信息可能性或者因果关系的较高关联性的情况下，如对方提出抗辩则举证责任转移，要求其对未实施相应行为或其他免责事由进行举证，如未提出有力反证，则可根据高度盖然性标准认定其侵害隐私权。[注]参见江伟主编：《民事诉讼法》，高等教育出版社2013年版，第225页。

3.损害赔偿认定：充分考虑权利人的合理支出及获利返还

由于权利人直接证明实际损失难度较大，在权利人为购买App相关服务支出费用的情况下应充分考虑其间接损失。[注]参见陈龙业：“解析网络隐私权侵权的损害与赔偿——以‘艳照门’事件为中心”，《政治与法律》2008年第4期，第15～18页。对间接损失的认定，要综合考虑案件的难易程度、诉讼代理人的工作强度、律师是否出庭应诉等多个因素，可包括个人信息许可使用费用、因信息不当利用而支出的额外费用、为制止信息抓取或使用采取措施产生的费用、维权合理费用等。同时，可参考《侵权责任法》第20条获利返还规则，结合其抓取、使用信息的目的，尝试通过认定App运营商收集数据可获得的预期利益来认定损害赔偿数额，并依照完全赔偿原则对权利人遭受的个人信息损害进行填补。

4.精神赔偿认定：可通过法官释明权进行扩大解释

可将安宁生活权益纳入个人信息的保护范畴。[注]参见刘保玉、周玉辉：“论安宁生活权”，《当代法学》2013年第2期，第49～56页。对于因信息泄露而导致权利人安稳安静生活状态受到严重侵扰的，应认定为因侵害人格权而引发明显精神痛苦，支持相关精神损害赔偿诉求。此外，对恶意侵权或重复侵权等侵权情节严重的，要依法从高赔偿或考虑进行惩罚性赔偿，防止出现诉讼成本倒挂。

结语

个人信息保护问题学界讨论已久，但作为真正权利人的个人信息司法救济路径却未得到充分关注。笔者以北京法院1 383份信息抓取类案件裁判文书作为第一手资料，系统梳理当前北京法院个人信息司法救济现状，检视分析以隐私权为主的司法救济模式所存在的实务困境，推动我国个人信息救济路径的完善。本文所展开的个人信息司法救济研究并非形而上的纯理论探讨，而是立足于当前个人信息司法救济侵害规模大、胜诉比例低、诉讼动力不足的问题，思考研究现有法律框架内个人信息救济的完善路径。此外，我们仍呼吁学界关注个人信息的源头保护，尽早颁布《个人信息保护法》，使App运营商最小限度抓取和使用个人信息，以实现网络安全、科技发展、个人信息保护之间的动态平衡。