大数据视域下个人信息侵权的归责原则

张雪晴

（天津商业大学法学院,天津 300134）

随着大数据步入人们的视野，政府、企业利用大数据技术成为可能。政府通过收集、处理数据从而更好地进行公共决策；企业通过挖掘海量数据资源，更好地做出商业决策，从而创造出更多的经济价值。“欲思其利，必虑其害”，大数据视域下，在享受其带给我们的信息红利的同时，也要注意权利保护问题。海量信息经过收集、加工和处理，可能引发一系列个人信息侵权和隐私泄露的问题。如近期引发争议不断的“车企在汽车驾驶室内安装摄像头事件”，企业的目的是防止客户疲劳驾驶和享受智能驾驶服务，但同时也会引发信息泄露问题。摄像头内储存的音像信息传到后台可能会被车企利用，从而进行大数据分析预测，导致用户的个人信息被滥用。大数据视域下，算法技术的应用，使得个人信息侵权问题日益突出，但当人们因个人信息权益受侵害诉至法院时，在证明侵权主体对侵害行为具有过错时存在困难，故受害者往往得不到有效救济。有别于传统侵权样态，大数据视域下的个人信息侵权行为类型多样，法律关系更是复杂，因此从大数据视域下个人信息侵权的特质出发，通过比较我国以及域外国家立法上有关个人信息侵权责任的归责路径，探寻出符合我国个人信息侵权纠纷事实规律与法律价值的归责原则，具有重要意义。

1 大数据视域下个人信息侵权的特质

1.1 侵权主体多元化

大数据视域下，个人信息侵权主体呈现多元化趋势，不仅包括网络用户，还有网络服务提供者。网络用户是指接受网络服务的当事人，包括自然人用户（网民）和法人用户。法人用户即具有网上交易能力和支付能力，且能够以自己的名义承担交易责任的法人组织[1]。网络服务提供者是指为网络用户提供网络技术服务或者网络内容服务的网络主体。随着互联网的发展，网络服务提供者变得具有双重属性，如新浪、腾讯等综合门户网站，既向网络用户提供技术服务又提供内容服务。个人信息侵权不单指网络用户或者网络服务提供者的单一侵权模式，也可能涉及多方主体间接侵权的新类型。单一侵权模式诸如网络用户恶意发布、转载他人的个人信息，或者网络服务提供者擅自截取、储存他人信息并用作商用。多方主体间接侵权的模式是指网络用户与网络服务提供者共同侵权，或者多个网络服务提供者之间共同侵权的行为类型。如网络用户在网上散布他人私密信息，信息主体将其遭遇侵权的事实通知网络服务提供者，而网络服务提供者在接到通知后置之不理，致使侵权损害后果进一步扩大；亦有网络服务提供者擅自收集用户信息，并交由另一网络服务提供者进行储存管理，而另一网络服务提供者由于管理技术不当导致了数据泄露。目前最为典型的就是一些电子商务平台假借“为用户提供更优质的服务”而肆无忌惮地收集用户的各种信息，然后将这些信息交由互联网大数据公司进行加工处理，而互联网公司在处理这些信息的过程中因管理操作不当导致了信息泄露或被盗用。

1.2 侵权行为方式技术化

大数据视域下，算法技术的应用使得个人信息侵权行为的方式愈加复杂。在大数据算法应用过程中，不同来源的数据被整合到一个数据库，在整合数据的基础上，可以做出新的推断预测，通过数据的整合可以创建关于个人的新数据。数据库本身并不存在风险，但通过分析处理数据库中的大量数据，可能会准确预测到某人未来的生活习惯等信息，这种对于隐私信息的侵犯应当引起警惕。譬如大数据信用评分公司依据人们的消费习惯来判断某个人的征信情况；通过手机读书软件收集用户的阅读记录，从而预测出用户的性格特点和价值取向，某人可能并不愿意自己的阅读习惯被公众知悉，但是大数据视域下却难逃信息的泄露。同时，大数据视域下的信息侵权可能会引发“连坐”现象。如在微信读书案①中，通过关联的好友关系可以收集本人及其好友的阅读书籍类型和读书想法等信息，这种信息的收集会使相关微信好友的信息泄露被“连坐”。

1.3 侵权损害具有无形性

大数据视域下，个人信息侵权的损害后果往往具有无形性与滞后性。个人信息侵权造成的损害后果，不如财产损害那样易于观察，同时，人们也很难及时发觉自己的个人信息被侵犯。在大数据视域下，人们在互联网上的所有操作行为几乎都会留下痕迹，这些痕迹将会成为大数据算法技术所使用的源数据。此过程中，人们并不会意识到大数据算法对自己个人信息的收集处理，可能导致信息泄露的潜在威胁，待漫天的诈骗电话与垃圾邮件席卷而来时，才会得知自己的个人信息已被泄露。在个人信息泄露之后，人们可能会花费大量时间与金钱来处理信息泄露造成的困扰和损失，由此造成的时间浪费是无形且难以估量的。如在Stephen Adkins诉Facebook案中，原告Adkins主张自己在处理数据泄露引发的后果时造成了时间损失，声称其收到了大约30封垃圾邮件，花了将近一个小时才整理完。随着信息泄露的继续蔓延，更多的网络钓鱼邮件将会堆积起来，原告投入的时间也将不断增加，在处理邮件的过程中，原告是损失了时间的。此外，个人信息泄露引起的冒用及盗用身份，会导致被害人个人信用降低，遭遇就业歧视等，这些都是无形的损害。

2 个人信息侵权归责原则的立法考察

2.1 我国个人信息侵权归责原则的立法考察

2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），在该法施行之前，对于个人信息侵权的救济，主要依赖《中华人民共和国民法典》（以下简称《民法典》）进行保护。《民法典》第一千一百九十四条②规定了网络侵权责任，大数据视域下的个人信息侵权作为网络侵权的一种类型，通常也适用网络侵权责任的相关规定。

从《民法典》侵权责任编的整体架构来看，第一千一百九十四条位于第三章的“责任主体的特殊规定”中，根据体系解释，由于其并没有位于第四至十章中关于特殊侵权责任的列举规定中，故个人信息侵权行为尚被排除于特殊侵权行为范畴，适用一般过错责任。《民法典》第一千一百九十五条③和一千一百九十七条④规定了网络用户直接侵权和网络服务提供者间接侵权的连带责任，该连带责任是一种过错责任。第一千一百九十七条的“知道规则”与第一千一百九十五条规定的“通知规则”并列适用，都涉及网络服务提供者“知道”侵权的过错责任。在个人信息侵权案件中，由权利人证明网络服务提供者知道或者应当知道侵权行为的存在，往往具有一定的困难，故这在司法实践中也是一个操作难题。

在我国台湾地区，2010年出台了“个人资料保护法”，其中对于个人信息侵权责任采用二元归责原则体系，其中第四章详细规定了损害赔偿及其救济方式，将侵权主体区分为公务机关与非公务机关，并分别采用无过错责任与过错推定责任[2]。之所以作此区分，是考虑到公务机关的权力之大，其在收集、利用公民信息时往往占据天然优势，故在个人信息侵权的风险承担上，理应冲锋在前。笔者认为我国台湾地区的归责模式稍有不妥，将公务机关的损害赔偿责任一律适用无过错归责，可能会造成公务机关动辄得咎。虽然公务机关在收集、处理数据时可能会占据优势，但也可能会逊色于一些掌握先进大数据技术的互联网商业巨头，因此仅仅以公务机关和非公务机关的区分模式来进行不同归责，有违公平之嫌。

《个人信息保护法》第六十九条第一款⑤，明确了个人信息处理者的损害赔偿责任，对于个人信息处理者的损害赔偿适用过错推定制度。这是我国在个人信息保护立法上的一大进步，充分地保护了信息主体的合法权益，但是对所有的个人信息处理主体均采取过错推定制度，是否加重了信息处理者的负担以及违背了过错推定的适用宗旨，引发学界争议。笔者较为赞同《个人信息保护法》的规定，建议采用过错推定制度。

2.2 国外个人信息侵权归责原则的立法考察

欧盟于2018年生效的《通用数据保护条例》（GDPR）是目前最为严格的保护公民隐私数据的法典，该条例既注重数据权利的保护，又强调数据的自由流通。该条例在第八章“补救措施、责任与处罚”中明确规定了数据主体对其个人数据权益受损享有获取救济的权利，其中第八十二条规定了侵权主体的损害赔偿责任以及免责事由。第八十二条第二款：“依据本条例，任何进行数据处理的数据控制者应该对其处理数据所造成的损害承担责任。如果没有遵守本条例的规定或者其行为超出法律规定，则应该对造成的损害承担责任。”第八十二条第三款：“如果数据控制者或者处理者能够证明其在引起损害的期间不应承担责任，则免于承担本条第二款所规定的责任。”[3]在欧盟的立法中，对于个人信息侵权适用无过错责任的归责原则，即不考虑数据控制者和处理者有无过错，只要违反相关法律规定致人损害，均需承担责任。

韩国的《个人信息保护法》是有关个人信息保护的专门立法，规定了个人信息的处理原则与救济手段，规范了韩国信息泄露、滥用频发的问题。2020年8月最新修订实施的韩国《个人信息保护法》中，第三十九条第一款：“数据主体因个人信息控制者违反本法而遭受损害，其有权要求个人信息控制者进行赔偿，如果个人信息控制者不证明其不存在故意或过失，则不能免除赔偿责任。”可以看出，对于信息处理者的侵权损害赔偿，韩国适用过错推定制度。

在德国的数据立法中，随着大数据技术的发展，采用人工智能自动化处理技术已然成为一种趋势。在此背景下，2018年最新修订的《联邦数据保护法》区分了采用自动化处理技术与非自动化处理技术下产生损害赔偿的归责原则。在自动化处理技术下，适用无过错责任，如果控制者违反本法或其他相关数据保护法规，处理个人数据造成损害，则数据主体有权向控制者请求赔偿；在非自动化处理技术下，采用过错推定责任，如果数据控制者已经根据相应情况采取适当措施，则无需承担赔偿责任[4]。

通过比较域外国家个人信息侵权的归责原则，可以看出我国对于个人信息的保护过于宽泛，主要依赖《民法典》及其他部门法进行保护，而大数据视域下个人信息侵权手段复杂隐蔽，且不同行为人与权利主体之间的关系并不相同，为此有必要重新审视大数据视域下个人信息侵权的归责原则。而《个人信息保护法》的通过可谓是雪中送炭，通过确立过错推定制度从而更好地解决大数据视域下的个人信息侵权纠纷，对个人信息保护具有里程碑意义。

3 个人信息侵权归责原则的司法适用

在审判实践中，依据侵权主体及侵权行为方式的不同，个人信息侵权纠纷大致可以分为三类。第一类，网络用户侵权。在审理个人信息侵权案件时，针对网络用户作为侵权主体的案件，采用一般的过错责任，无可非议⑥。第二类，网络服务提供者间接侵权。针对该种侵权纠纷，司法实践中往往采用一般的过错举证责任，主要依据《民法典》规定之第一千一百九十五条和一千一百九十七条⑦。第三类，网络服务提供者直接侵权。对于该种侵权归责原则的适用，法官在处理类似案件时往往莫衷一是。如在庞某某诉中国东方航空股份有限公司等隐私权纠纷案⑧中，原告委托其同事在被告下辖的网络购票平台处购得机票，但随之收到诈骗短信。原告庞某某诉至法院，主张被告两公司泄露其个人隐私信息，一审法院判决原告败诉，而二审法院最终撤销一审判决。如出一辙，在林某某诉四川航空股份有限公司侵权责任纠纷上诉案⑨中，原告林某某公司的工作人员在被告四川航空股份有限公司为其电话订购了一张机票，之后原告便收到了诈骗短信，谎称航班已取消。原告诉至法院，主张被告泄露了他的个人信息，一审法院判决被告败诉，二审法院最终却作出相反判决。

在上述两则案例中，一审法院和二审法院的审判结果大相径庭，究其原因在于双方当事人之间举证能力的差异，而这直接关系到个人信息侵权归责原则的认定问题。第一则案例中，二审法院在过错的举证上适用了过错推定，认为从收集证据的资金及技术等成本而言，法律不应该要求原告庞某某来证明必定是被告泄露了其个人信息，且被告也未举证证明涉案信息泄露归因于原告本人或第三人，故难以推翻被告泄露其个人信息的高度可能，由此推定被告对原告信息的泄露存在过错。第二则案例中，二审法院同样采用了过错推定，认为售票系统由被告和与其有合同关系的第三方管理，被告更易收集上述证据材料，在举证中处于有利地位，在原告已经将收集到的证据充分举示完毕，初步证明了其信息确实在被告处被泄露，且在被告没有举示证据推翻自身泄露可能的情况下，要求原告进一步举证，显然不符合民法上的公平原则。

在个人信息侵权审判实践中，不管是单一主体直接侵权的模式还是多方主体共同侵权的模式，大多数是由原告来对过错进行举证，而以上两则案例是对个人信息侵权适用一般过错责任归责的挑战，同时也为过错推定的适用奠定了基础。由此可见，我国在处理大数据视域下的个人信息侵权案件时，在适用具体的归责原则时也是存在分歧的，立法与司法的脱节对我国法官在处理类似纠纷时不利，导致自由裁量权滥用的现象频发，给民事审判带来了困惑。故在个人信息侵权归责原则的路径适用上，法院应当追求当事人之间实质的公平正义，结合具体案例场景，根据相关的立法规定、风险控制责任要素以及证据距离等因素，在双方当事人之间合理分配证明责任。

4 个人信息侵权适用过错推定制度的正当性分析

个人信息侵权归责原则的规定是审理大数据视域下个人信息侵权案件、解决网络信息侵权纠纷的重要依据，归责原则的不明晰、欠缺可执行性会阻碍审判机关的法律适用，权利人的合法权益也难以得到全面救济。目前大部分学者比较赞同采用一般过错责任，但也有学者意见相左。有学者主张对于个人信息侵权应当统一适用无过错责任原则，通过采用无过错责任，使受害人无须对加害人存在过错进行举证，同时也减免了区分自动化与非自动化数据处理下适用不同归责原则的繁文缛节。但是该归责原则并非一刀切地完全适用，可以在适用范围以及免责事由上进一步作出规定[5]。有学者主张二元归责模式，将责任主体分为国家机关和非国家机关。对于国家机关侵权，不用考虑其有无过错，即采取无过错责任；针对非国家机关，采取过错推定责任[6]。还有学者认为应当区分自动化与非自动化数据处理技术，确立三元归责原则体系。对于利用自动化处理下实施的侵权行为，公务机关作为侵权主体的适用无过错责任，反之非公务机关则适用过错推定；对于利用非自动化处理下实施的侵权行为，对数据处理者一律适用一般的过错责任[7]。甚至还有学者主张应当区分不同的责任主体与责任形式，确立多元归责模式，即一般过错责任、过错推定责任和无过错责任类型化适用[8]。笔者通过对比分析学术界各个专家学者的观点，结合司法实践中关于个人信息侵权纠纷的审理，建议对大数据视域下个人信息侵权采用过错推定的归责模式，以下将从风险控制责任理论、社会成本控制理论、企业社会责任理论以及证据距离理论来对过错推定制度适用的正当性进行论证。

4.1 风险控制责任理论

现代工业的发展促进了生产力和生产关系的高度发展，其所释放的风险和潜在威胁也逐渐暴露，人类社会从阶级社会向风险社会转变，风险管理成为每个社会成员要面临的问题[9]。风险控制责任理论认为，当损害结果发生在侵权人的领域时，侵权人应当承担证明责任。对“侵权人的领域”而言，不仅仅是指传统的具体物理空间、场所，在大数据视域下，应相应地对其做扩大解释，侵权人获取、处理以及管理个人信息时所凭借的网络、系统等也属于侵权人的领域。

大数据视域下，基于商业化用途，信息处理者等主体向各信息主体获取信息并经过海量处理与挖掘后予以利用。当个人信息由信息主体本身管控时，信息泄露、被盗用的风险就由其个人承担，但当信息主体将其个人信息与信息处理者“共享”时，该风险便向信息处理者等主体转移，由其承担风险控制的责任。因为基于一般的诚实信用、公序良俗原则，信息主体不会做出侵害自己信息权益的行为，那么当损害结果发生时，只能是处于侵权人的领域，由其承担证明责任。可谓利益与风险并存，想要获得一定利益，就要为此承担相应的风险。信息处理者将纷繁复杂的他人隐私进行收集并且利用，本身存在一定的风险，如果因为该行为造成了损失，那么引起风险的人就应当负责。所以，在个人信息侵权案件中，在过错举证责任的分配上，有必要考虑风险控制因素，由信息处理者承担主要的证明责任。而且，信息处理者能够充分了解自己所实施的侵权行为的技术手段，且对个人信息处理的操作手段具备控制能力，其完全有证据证明自己对于侵权损害结果的发生有无过错。

4.2 社会成本控制理论

从社会成本控制理论出发，无过错责任和一般的过错责任均不宜作为个人信息侵权的归责原则。如果将无过错责任作为个人信息侵权的归责原则，那么这些个人信息处理者诸如某些网络服务提供者为了避免承担过重的侵权责任，必须投入过量时间、精力和物质成本来应付网络上海量信息的审查或者对黑客等违法分子的监督，这就有悖于大数据时代的高速性特征，会导致社会资源的浪费。当然，并不是说信息处理者就毫无义务可言，他们还是要尽到合理的注意义务和保护义务，只是这些义务存在度的限制。由于我国正处于以大数据智能化为引领的产业转型升级阶段，如果不考虑网络服务提供者的过错与否，对于侵权案件一律由其承担责任，势必会影响我国网络技术研发的积极性和创造性，从而阻碍我国数字经济的发展。无过错责任是为弥补过错责任的弊端而设立的，应审慎适用，不得滥用。

如果采用一般的过错责任，由被侵权人对侵权人的行为存在过错进行举证，鉴于个人信息侵权主体采用大数据算法技术实施侵权的举证障碍，以及被侵权主体自身专业能力和科学技术能力的限制，则被侵权人务必要花费大量时间与金钱去收集证据，也会导致社会资源的浪费。故从传统的社会成本控制理论出发，过错推定制度作为个人信息侵权的归责原则较为适宜。

4.3 企业社会责任理论

随着“个人本位”向“社会本位”理念的转变以及“利益相关者理论”的提出，企业社会责任理论应运而生。过去人们普遍认为企业的社会责任就是实现股东利益最大化，然而企业社会责任理论的提出，转变了这一观点。企业社会责任理论认为，各个企业在实现股东利益最大化的同时，还要积极承担社会责任，要在个人利益和社会利益之间实现平衡。《中华人民共和国公司法》第五条第一款⑩就明确了公司的社会责任。在处理大数据视域下的个人信息侵权案件时，通过适用过错推定制度，让信息处理者证明自己没有过错，这符合企业社会责任理论的立法价值取向，从而倒逼企业在信息处理活动中尽到合理注意义务，以合法的手段来进行商业活动。

4.4 证据距离说理论

证据距离说理论由日本学者提出，是指依据双方当事人与证据的距离、证明难易以及盖然性为标准分配证明责任[10]。该理论对于过错推定制度在个人信息侵权适用中提供了很好的论证空间。在个人信息侵权纠纷中，从侵权者的角度而言，作为信息处理者等主体，亦是大数据算法等网络技术手段的应用者，其更了解损害发生的起因，了解网络服务设施，信息获取、分析、处理手段以及相应的管理法律法规及政策的要求，具有更加专业的技术能力和知识能力，更能预见因个人信息侵权行为的实施可能带来的风险，以及如何采取措施来避免或者减轻这种损害的发生；从被侵权者的角度而言，鉴于其技术能力以及专业能力受限，在收集证据时存在困难，其在举证环节处于不利地位。依据证据距离说理论，从举证能力以及证据距离的远近来看，被侵权人根本不了解网络服务提供者内部的信息管理系统，因此，客观上也不应要求其证明侵权人存在过错。相反，如果信息处理者也不能举示证据证明信息泄露归因于黑客攻击或者原告本人，则法院在排除其他泄露隐私信息可能性的情况下，结合案件的具体事实及相关证据来推定被告存在过错，由被告承担侵权责任。在具体的审判实践中，如何判定信息处理者存在主观过错，需要结合其所具备的信息处理能力、涉案侵权结果的严重程度以及采取的预防性措施等因素来进行综合判断，这样既符合双方当事人的利益诉求，又保证了诉讼的公平和正义。

5 结语

大数据视域下，个人信息保护已经成为全社会最密切关注的问题，《个人信息保护法》的通过回应了个人信息权益保护的迫切需求，为大数据企业数据隐私合规实践提供了法律指引。通过设立过错推定制度，免除被侵权人证明侵权人主观过错要件的举证责任，避免被侵权人因举证困难而无法保护自身权益。今后，在个人信息侵权审判实践中，是否需要对适用过错推定的条件作进一步限定，仍有待于我们继续探究。

注释：

①（2019）京0491民初16142号。

②《中华人民共和国民法典》第一千一百九十四条：“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。法律另有规定的，依照其规定。”

③《中华人民共和国民法典》第一千一百九十五条：“网络用户利用网络服务实施侵权行为的，权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。网络服务提供者接到通知后，应当及时将该通知转送相关网络用户，并根据构成侵权的初步证据和服务类型采取必要措施；未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。”

④《中华人民共和国民法典》第一千一百九十七条：“网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。”

⑤《中华人民共和国个人信息保护法》第六十九条第一款：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”

⑥（2019）浙01民终6426号。

⑦（2018）浙民再504号。

⑧（2017）京01民终509号。

⑨（2015）成民终字第1634号。

⑩《中华人民共和国公司法》第五条第一款：“公司从事经营活动，必须遵守法律、行政法规，遵守社会公德、商业道德，诚实守信，接受政府和社会公众的监督，承担社会责任。”