侵害公民个人信息民事归责路径的类型化分析
——以信息安全与信息权利的“二分法”规范体系为视角

商希雪

(中国政法大学 刑事司法学院，北京 100088)

一、问题的提出

2012年发布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)第11条规定，违反本决定而侵害他人民事权益的行为应当承担民事责任。该决定原则上提供了确定网络服务提供者和其他企事业单位实施侵犯个人信息私人利益行为应承担民事责任的法律依据。《民法典》第999条规定了人格权的合理使用方式，为侵害个人信息的民事救济提供了明确的法律依据。《民法典》第1035条规定了个人信息处理的原则和条件，第1036条继续规定了处理个人信息的免责事由。两条规定有所重合又互相补充，第1035条主要针对数据控制者的数据安保义务，对应行政或刑事责任。第1036条则暗示了如果数据控制者违规做出信息处理则应承担民事责任，但在某些特定情形下存在责任豁免。《民法典》这样的规制方式事实上呈现了数据控制者的完整责任体系，包括行政责任、刑事责任与民事责任，同时适用公法与私法的规制体系。《个人信息保护法(草案)》第65条明确了侵害个人信息权益的主体应承担民事责任。由此，我国在规范层面明确了侵害个人信息行为的民事责任依据。

根据保护法益的具体内容，个人信息保护的民事责任体系由两个维度构成：信息安全保障与信息权利行使。两类规范体系在适用场景、法益性质、核心原则、责任主体、责任性质、责任模式、处理机关上存在差异。在信息安全保障的视角下，个人信息安全利益蕴含信息自身的完整性、机密性与准确性，相应的侵害行为表现为损害信息本身、信息泄露与信息窃取等。媒体报道中个人信息隐私泄露等表述，在法律意义上来说并不指向公民的隐私权保护，而是指向防范个人信息被泄露或窃取风险。结合打击个人信息网络黑灰产的执法目的来看，信息安全的规范目标重在防范信息的泄露与滥用，以在源头上切断下游犯罪的可能性，例如不法分子利用被泄露的个人信息实施电信诈骗。因此，以《刑法》《网络安全法》为主的公法规制旨在防范威胁集合性个人信息的安全风险，直接维护社会安全与秩序，进而间接保护个体的人身或财产权益；在信息权利保护的视角下，信息处理的基本原则(如目的限制、最小化原则)旨在保障信息产业的规范化运营，主要约束数据控制者的处理行为，旨在保障信息主体对于个人信息的控制能力与自决意愿，属于社会经济范畴。因此，以《网络安全法》《个人信息保护法(草案)》《App违法违规收集使用个人信息行为认定方法》(以下简称《App方法》)等行政责任模式所规管的信息侵犯行为，其违规性认定的核心在于是否违反上述信息处理原则，行政规制旨在维护信息产业的良性运转，进而间接地保护个体的信息权益。行政规制考虑到个人信息的安全保障，对于轻微的、未达到犯罪程度的信息侵害行为设置了对应的行政处罚措施。那么，在信息安全维护与信息产业运营中，针对信息侵害或侵犯行为，规范层面该如何直接保护自然人相关的民事权益？即如何保障自然人获得私权上的现实救济，而不仅是让数据控制者或第三方侵害者承担公法责任？对该问题的回答首先要明确个人信息所承载的自然人权益内容。个人信息保护中涉及的具体法益包括：(1)对于信息安全蕴含的个人利益，下游侵害的发生可能性直接关涉信息主体的具体人身权或财产权；(2)对于信息权利蕴含的个人利益，个人信息所承载的民事权益主要为人格利益，即个人信息权利，主要涵盖隐私利益与自决利益，在规范形式与行使机制上可划分为知情同意权与具体的信息自决权。该学理分析支撑了个人信息被侵害或侵犯时民事责任制度的正当性基础。由此，破坏个人信息私权利益的行为本质上侵犯了自然人的民事权利，行为人可能面临侵权责任或违约责任。然而，在目前司法处理中，民事保护思路缺乏可适用的具体规定及完整要件，学界应进行相关的探索，尤其是针对非损害类信息侵犯行为的定性与评价难题。

二、侵害个人信息安全行为的民事归责分析

物联网、人工智能等新型信息技术飞速发展，引发了数据的急剧爆发，数据安全问题也日益凸显，尤其是数据泄露现象愈加严重，导致数据安全事件频发，严重威胁到公民的人身与财产安全，引发公众普遍的担忧。因此，在信息安全领域同样面临自然人的私权保护问题。

(一)侵害信息安全行为的外延解读

《刑法》第253条之一专门规定了侵犯公民个人信息罪，犯罪行为包括非法获取(如黑客入侵数据库系统、工作人员超越权限获取信息等)、向他人出售或者提供公民个人信息。《决定》第3-4条规定的危害信息安全行为则包括：(1)泄露、篡改、毁损、丢失；(2)出售或者非法向他人提供；(3)非法获取。上述行为外延存在一定的重合，基于《刑法》第253条之一的表述，本文采纳广义的泄露概念，即凡是可能导致信息泄露的行为(如非法获取、出售、向他人提供)，均被视为信息泄露行为。《消费者权益保护法》第29条规定，经营者及其工作人员不得泄露、出售或者非法向他人提供消费者的个人信息。综合上述信息安全义务的有关规定，行为人侵犯信息安全的行为主要有三类：(1)信息泄露行为，包括“未经同意”的收集、处理与使用行为，例如共享、转移、披露等；(2)信息窃取行为；(3)信息破坏行为。

1.信息泄露的侵害行为。信息泄露(广义)的行为表现主要包括泄露(狭义)、非法获取、出售、向他人提供等。根据对泄露违法性的不同判断标准，可分为绝对禁止泄露与相对禁止泄露两类。绝对禁止披露义务源自强制性规范，例如《决定》第3条规定了网络服务提供者和其他企业事业单位及其工作人员在业务活动中的信息保密义务，不得泄露、篡改、毁损，不得出售或者非法向他人提供。对于绝对不可披露的行为规范，泄露行为对应强制性的保密义务，不存在征得信息主体同意的告知空间；相对禁止泄露则意味着在一定条件下可以披露，即存在主体知情同意的表达空间。一方面，以主体同意为基本原则的处理场景下，例如《网络安全法》第41条第1款规定了未经被收集者同意不得向他人提供个人信息；《民法典》第1035条规定收集、处理个人信息应当征得该自然人或者其监护人同意，该规定内容延续了《网络安全法》第41条关于主体同意机制的核心本意，即以主体同意为基本原则的允许处理态度。在该类情景下，主体同意表示是信息处理的启动机制。但是，知情同意表达也并非为数据处理免责的万能依据，应对告知同意的适用做出一定的限制，主要指不得超越信息主体的基本权利保护(如公民的宪法权利)。(1)参见张新宝：《个人信息收集：告知同意原则适用的限制》，载《比较法研究》2019年第6期。另一方面，在以禁止处理为基本原则的信息保护场景下，例如《民法典》第1033条规定的“除权利人明确同意外，任何组织或者个人不得处理他人的私密信息”。但是，在禁止处理为原则的情形下亦存在可处理的空间，对于未经同意的收集、处理、转移行为，若处理者履行告知同意的义务，并获取相关主体的明示同意，上述处理即可被允许。值得注意的是，关于私密信息以禁止处理为原则的情况，必须取得权利人的“明确同意”方可处理，知情同意的形式标准高于第一类情形。对比来看，第一类情形主要针对不规范的信息获取与利用行为，违反了主体同意原则(未取得信息主体的授权)，挑战了主体对自身信息的控制能力；第二类情形主要指未经同意的信息收集、处理与转移行为，该类行为并未直接侵犯到主体的信息自决意志(私权自治范畴)，而是导致信息面临被泄露的风险，侵犯了信息的安全利益。因此，尽管同样违背了信息主体的意思自治，引发信息泄露与侵犯信息自决的侵害信息安全行为，实质损害法益的性质与直接导致的危害后果存在本质区别。由此，从利益归属与行为启动看，即使同样基于同意制度，由于发生的利益动因与启动主体不同，对应的保护机制与责任性质存在本质区别，学理上应予以区分。

2.信息窃取的侵害行为。信息窃取行为包括偷拍、窃听等侵害表现。此处的信息窃取行为采取狭义概念，不包括黑客入侵、工作人员超越权限违规获取信息等行为。目前，法院经常受理关于个人私生活安宁的案件，比如偷拍、偷录、偷窥、性骚扰，非法公布位置信息等。(2)《响一声就完了？发骚扰短信也算侵犯隐私权 民法典明确禁止这些侵权行为》，载央广网，http://news.cnr.cn/native/gd/20200531/t20200531_525111163.shtml，访问日期：2020年6月1日。根据现实中的侵害表现与司法处理实践，信息窃取行为主要指偷拍、窃听、跟踪等信息侵害行为。之所以单独列信息窃取行为作为单独的信息安全侵害行为类型是因为，在当前的数字化生活时代，公民隐私权保护面临刑事规制缺失的问题。针对信息窃取或隐私侵犯的现象，《民法典》第1033条已做出规定，将偷拍、窃听等侵犯他人私密空间、私密活动、私密部位、私密信息的行为定性为侵犯隐私权的行为，适用侵权责任制度。在民事规制层面，偷拍、窃听等信息窃取行为在法益属性上主要侵犯了隐私权等人格权益。但是，《刑法》对于上述侵犯隐私权的行为尚无直接定性，在相关刑事案件中，司法实践将情节严重的偷拍、跟踪等行为一般以侵犯公民个人信息罪定罪处罚。(3)例如，在伍庞侵犯公民个人信息罪一案中，罗某(另案处理)因对被害人陈某不满，雇人跟踪陈某行踪并偷拍陈某的视频与照片，依此炮制成帖文并由伍庞署名在网上发表炒作。审理法院认为，被告人伍庞违反国家有关规定，非法窃取他人信息，通过信息网络发布公民个人信息，情节特别严重，其行为已触犯刑律，构成侵犯公民个人信息罪。参见广西壮族自治区玉林市玉州区人民法院作出的(2019)桂0902刑初358号刑事判决书；广西壮族自治区玉林市中级人民法院作出的(2019)桂09刑终427号刑事判决书。侵犯公民个人信息罪立法目的是为了保护公民的信息安全及其他相关合法权益，从而维护社会稳定，其法益保障目标并非针对公民的隐私权益，侧重打击个人信息非法买卖与提供的黑灰产犯罪，以预防信息被非法获取后引起下游的侵害，最终保护公民具体的人身与财产权益。所以，在目前的规范体系下，就信息安全角度而言，此类信息窃取行为在刑事规制层面属于信息安全的保护范畴。综上，对于信息窃取等侵犯公民隐私的行为，《刑法》目前存在规制缺失，民事救济手段则主要适用隐私权侵权保护制度。

3.信息破坏的侵害行为。篡改、毁损、丢失等信息破坏行为侵犯了信息自身的完整性，比如服务器被勒索病毒加密而宕机、内网电脑被攻击瘫痪等侵害行为导致信息系统及信息内容的破坏，进而给信息主体的相关具体权益带来损害，信息主体可能遭受身份假冒、资格丧失、志愿改变等。例如，在“山东青岛胶州考生志愿被篡改事件”中，考生个人的高考志愿被他人篡改，侵害了当事人的身份权益(包括受教育权)，造成了现实的公民权益损害。(4)参见于志刚:《关于“身份盗窃”行为的入罪化思考》，载《北京联合大学学报(人文社会科学版)》2011年第1期。可以看到，信息破坏行为一方面直接造成信息主体的权益损害，另一方面导致引发下游侵害行为的潜在风险，如果下游侵害现实发生，信息破坏行为则间接导致了下游侵害的发生，对损害后果存在因果关系，应对此承担一定的责任。此处，应注意区分身份信息盗用与身份信息冒用行为。自然人的身份信息盗用或冒用行为，本质上均属于非法获取信息行为及后续使用行为。从字义上分析，“盗用”强调的是盗的行为，核心指向非法获取环节；而 “冒用”强调的是冒名顶替，指向盗取后的使用阶段。因此，本文认为身份盗用与身份冒用的基本区别在于：身份盗用一般用于从事不良行为，如盗用他人身份信息后以他人身份留下“负面”的行政处罚记录(如吸毒史、交通违规等)；(5)例如，2020年8月13日江苏省南通市经济技术开发区人民法院公开开庭审理并当庭宣判了河南驻马店“被结婚”五次女子尚某诉江苏如东县民政局行政登记案，法院判决撤销被告如东县民政局拒绝纠错的答复，确认原告尚某与第三人沈某某在如东县民政局婚姻登记处办理的婚姻登记无效，被告应于判决生效之日起六十日内对原告的错误婚姻登记信息予以删除。而身份冒用则一般是顶替他人享有本该由真实身份者享有的“正面”权益，如受教育权、婚姻登记权，实则变相剥夺了他人的现实利益。当然，信息盗用往往也与信息破坏行为存在交集或竞合。《民法典》第1012条规定了自然人享有姓名权及其各项权能，第1014条则明确禁止任何组织或者个人不得以干涉、盗用、假冒等方式侵害他人的姓名权。可见，身份盗取或冒用行为侵犯了姓名权等人格权益。

(二)信息安全侵害行为的个人权益损害

在侵害信息安全权益的场景中如信息泄露、滥用等，一方面，下游侵害行为直接侵犯个人的人身或财产权益；另一方面，泄露与滥用行为本身，直接侵犯了信息主体的知情权与拒绝处理权等信息权利。

1. 民事归责的合理性。在暗网中被多次交易的个人数据主要来自电商、保险、酒店等平台，这些数据均为高度敏感的个人信息，公民个人信息被层层转卖泄露后，是公众遭遇骚扰电话、诈骗电话、精准诈骗的源头。被泄露的个人信息也可能被用于恶意注册账号甚至注册公司，进行网络赌博、网络诈骗、洗黑钱等违法犯罪活动。鉴于该现实，由《刑法修正案(七)》确立并由《刑法修正案(九)》进一步完善的侵犯公民个人信息罪，其立法根本考量是为了防范与制止可能的下游犯罪，以提前保护公民的人身与财产权益。与刑法的制裁目的对比，民法主要处理各法律主体之间的人身和财产关系，与个人信息相关的民事关系本质也是围绕具体的人身和财产权益。从司法实践来看，近年来我国严打侵犯公民个人信息现象，更容易得到处理的往往是个人信息刑事案件。目前我国立法与执法现状均呈现重“刑事定罪”和“行政处罚”、轻“民事确权”与“民事责任”的特征。(6)参见江耀炜：《大数据时代公民个人信息刑法保护的边界——以“违反国家有关规定”的实质解释为中心》，载《重庆大学学报(社会科学版)》2019年第1期；李川：《个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入》，载《中国刑事法杂志》2019年第5期。针对侵害信息安全的行为，民事责任制度该如何架构？信息安全侵害行为普遍表现为泄露行为(如非法提供、出售等)，对于侵犯公民信息安全又未构成信息犯罪的行为，受害人该如何寻求私权保护救济？前面提到信息泄露可能会导致下游侵害的发生，给个人带来人身与财产安全的威胁或者给正常生活带来困扰。因此，信息泄露行为在事实上间接侵犯了公民的民事权益，这也是目前频发的个人信息安全事件中受害者正面临的首要法律救济疑虑。

2.现实损害的的法益评价与救济思路。一是，具体人格权损害的归责分析。有观点认为，个人通讯不受他人非法打扰，例如禁止非法拦截、窃听、屏蔽、侵扰他人正常的通讯，禁止非法侵入他人的邮箱、收集他人的信息等，应视为一类特殊的隐私权。(7)参见王利明：《生活安宁权：一种特殊的隐私权》，载《中州学刊》2019年第7期。《民法典》第1034条确立了该思路，据此，当下游侵害行为以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰私人生活安宁时，则直接侵犯了公民的隐私权，也意味着上游的信息侵害行为间接侵犯了信息主体的隐私权。《民法典》第1032条规定了隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。第1033条也明确列举了侵害隐私权的具体行为表现包括：(1)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁；(2)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间；(3)拍摄、窥视、窃听、公开他人的私密活动；(4)拍摄、窥视他人身体的私密部位；(5)处理他人的私密信息。鉴于第1035条规定个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。由此分析，个人信息被泄露后，可能引发上述下游中第(1)项的侵害行为；第(2)、(3)、(4)项行为是侵犯他人私密空间、私密活动、私密部位的私密性的行为；第(5)项是非法收集、存储、使用、加工、传输、提供、公开他人私密信息的行为。所以，如果信息安全侵害行为直接或间接导致发生了明显侵犯隐私权、名誉权、荣誉权等具体人格权的下游侵害，应适用侵权责任制度，适用停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失等责任形式。如果信息安全侵害人与下游侵害人不一致，则两者应共同承担责任。对于该类损害情形，是否包括精神损害赔偿？根据《民法典》第1183条规定，如果下游侵害情形中侵犯了自然人的隐私权，受害者可主张精神损害赔偿。在比较视野下，新西兰《1993隐私法》(Privacy Act 1993)规定了明确的隐私违规通知，即任何人都可以向隐私专员投诉或声称某行为可能干涉了其个人隐私，一旦该行为涉及到了个人隐私即具有了违法性，尤其当该行为已经导致了财产损失或其他伤害时(例如对个人的权利、利益、义务或屈辱感产生了负面影响，丧失尊严或伤害个人感情)，则在违法性前提下担负更重的法律责任。(8)参见Part 8 Complaints，Art. 66, New Zealand Privacy Act 1993.因此呈现递进性责任模式，其违法性判断不需损害结果发生，损害发生后仅会加重责任。

二是，明显财产性损害的归责分析。当信息泄露行为引发了下游侵害财产权益的行为，例如，对于电信诈骗等主要侵犯公民财产权益的侵害情形，可适用请求返还财产的责任形式。原则上，请求返还的相对方应为直接实施下游侵害的行为人，但上游的信息侵害人应共同承担责任，分担形式可为补充责任，而非连带责任。根据《民法典》第1171条规定，分别侵权造成同一损害的行为人如果承担连带责任，需要每个人的侵权行为都足以造成全部的损害。尽管信息侵害行为与下游侵害行为均对下游的具体损害负有责任，但是信息侵害行为不足以导致全部损害的发生，甚至不必然会引起下游侵害的发生，因此信息安全侵害人不应承担连带责任。参照《民法典》第1198条规定的安全保障义务人责任制度模式，信息安全侵害人对于下游损害的作用与角色类似于信息安全保障义务人，对于下游损害的民事责任，上游侵害信息安全行为人应承担补充责任，具体的责任承担则需考量信息安全侵害行为的过错程度、原因力等因素，以确定侵权赔偿责任的大小。

3. 非现实损害的法益评价与救济思路。信息安全侵害行为的危害特殊性在于引发下游侵害发生的可能性，下游侵害未现实发生时，信息安全侵害呈现出非现实损害的损害后果状态，规范层面该如何考量与评价此类非现实损害？信息泄露的源头行为容易成为其他网络犯罪的“抓手”，国家机关执法重点打击的是信息泄露行为，包括窃取、非法买卖等不法信息行为，进而从源头上扼杀下游黑灰产业链中人身或财产犯罪的发生可能性。(9)2020年4月，公安部公布2019年以来公安机关侦破的10起侵犯公民信息违法犯罪典型案件，主要涉及“暗网”中非法买卖公民个人信息以及在侵犯公民个人信息犯罪链条中下游诈骗分子使用非法获取的个人信息实施诈骗犯罪。事实上，个人信息的非法交易有着庞大的买家需求，一定程度上刺激了个人信息黑灰产的猖獗与蔓延。买家通常将非法获取的公民个人信息用于精准投放广告和业务推广，同时也通过“暗网”交易平台继续出售已获取的个人信息，由此进入信息黑灰产的恶性循环，严重威胁公民的人身和财产安全，破坏社会安全与秩序。(10)例如，在北京首例网络“软暴力”恶势力犯罪集团案中，法院认为，被告人通过电信网络有组织地采用滋扰、纠缠等“软暴力”手段威胁、恐吓他人，足以使他人产生恐惧、恐慌进而形成心理强制，严重影响他人正常工作、生活，破坏社会秩序，情节恶劣，其行为构成寻衅滋事罪。由此，人们对于信息泄露的恐惧根本是在担忧下游侵害发生的可能性。也即意味着，信息安全侵害的普遍后果在于产生了下游侵害发生的可能性，该可能性引发人们的不安与恐惧，即使暂时未出现下游侵害，鉴于信息储存的永久性，未来发生侵害的可能性会一直存在。由此，发生可能性本身即为“现实损害”。所以，对于造成非现实损害的信息侵害行为，理应受到法律制裁，受害人也应得到现实的法律救济。鉴于非现实损害呈现不明显财产性或具体人格权损害的状态，有观点认为可以适用惩罚性赔偿制度。(11)《张新宝谈民法典：网络侵权越发复杂，应强化个人信息侵权责任》，载澎湃网，https://www.thepaper.cn/newsDetail_forward_7459941，访问日期：2020年5月27日。这是因为，单个受害人能够证明的金钱损失实际非常有限，在以往发生的信息安全侵害案件中，被侵害的信息主体主要遭受生活安宁被打扰以及潜在或无形的人身或财产安全威胁(取决于下游侵害是否现实发生)，因此对于个体而言，侵害个人信息安全所造成的真实损害实则难以量化。并且，个体受害者的受损利益远小于加害人因侵害行为所可能获得的金钱利益。基于上述考量，传统的损害赔偿制度难以有效遏制侵害个人信息行为的发生。因此，对于信息安全侵害行为适用惩罚性赔偿制度，应该能够加强侵权保护的防范效果。

(三)侵害信息安全行为的侵权判断思路

侵权制度的可行性适用与否，应明确现实侵害行为的法律要件符合程度。在信息泄露引发后续电话骚扰、营销轰炸等侵害个人生活安宁场景下，鉴于侵害人是多方多元的，而单个侵害人实施的侵害行为所导致的损害微小。此外，对于单个受害人的个人信息利用，侵害人所获取的收益也较少。因此，基于侵权的必要构成要件，对于常见的信息滥用行为，侵权保护模式实则无法起到有效的救济效用。再次，在传统侵权构成要件基础上，对于信息侵害等新型侵权表现，立法视点应转由设置具有现实可行性的责任落实条款与风险防范机制。

1.下游侵害未发生信息安全侵害情形。当事人寻求法律救济时，如果尚未发生现实的下游侵害，司法处理仅可针对信息侵害行为做出处理，由此涉及抽象损害的法律认可与责任判断。

(1)抽象(无形)损害的认定。在侵犯公民个人信息罪的司法处理中，披露与获取个人信息行为仅为下游财产犯罪的启动因素，并非为下游犯罪本身(如诈骗罪、敲诈勒索罪等)，在下游犯罪行为出现的情况下，应数罪并罚。(12)例如，在武亚东、王晋忠、窦一峰等侵犯公民个人信息罪一案中，对被告人王晋忠的数罪处罚(侵犯公民个人信息罪与敲诈勒索罪并处)。参见广西壮族自治区玉林市中级人民法院作出的(2019)桂09刑终428号刑事判决书。由此看到，侵犯公民个人信息罪的可罚性在于引发下游犯罪出现的可能性，不要求下游侵害的现实发生，并且上游和下游侵害中的实际获利或获利多少也不是核心定性因素，仅作为量刑考量因素。(13)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条列举了“情节严重”的情形，考量因素包括信息敏感度、违法所得、下游损害结果等。潜在的可能损害与精神损害是否可作为损害结果的考量因素？在比较视野下，关于信息泄露受损后果的法律认定，域外的立法规制与司法实践中存在个人信息私法救济的“提前保护思路”：(1)在美国的一起患者信息被诊所泄露的案件纠纷中，(14)2016年，黑客入侵了克拉克县一家医疗诊所的数据库，窃取了大约200000名患者的个人信息。诊所拒绝支付黑客要求的赎金，仅建议患者自行采取反欺诈保护措施。对此，三名患者提起诉讼要求诊所赔偿。乔治亚州最高法院(Georgia Supreme Court)认为原告的“指控不仅仅是造成伤害的幽灵”，潜在的受损可能性在诉讼中也应值得考虑。(15)参见Georgia Supreme Court Overturns Ruling on Athens Orthopedic Clinic Data Breach Lawsuit, https://www.hipaajournal.com/georgia-supreme-court-overturns-ruling-on-athens-orthopedic-clinic-data-breach-lawsuit/(last visited on January 23, 2020); Orthopedic Clinic Pays $1.5 Million to Settle Systemic Noncompliance with HIPAA Rules,https://www.hhs.gov/about/news/2020/09/21/orthopedic-clinic-pays-1.5-million-to-settle-systemic-noncompliance-with-hipaa-rules.html(last visited on January 23, 2020).(2)根据香港《个人资料(私隐)条例》中的相关规定，未经信息使用者同意下，若任何人披露取自该信息使用者的某信息主体的任何个人信息，该项披露若导致该信息当事人蒙受心理伤害，不论其意图如何，认定为犯罪(可能面临最高一百万港元罚款以及五年监禁的刑罚)。(3)在Rosenbach v. Six Flags Entertainment Corp.一案中，伊利诺斯州最高法院推翻了上诉法院的判决，认为公民根据《伊利诺斯生物特征信息隐私法》有资格成为“受损害的”人，并可根据该法案要求违约金和禁令救济，即使原告尚未受到实际伤害或不利影响，而只是被侵犯了本人根据该法案所应享有的公民权利。(16)参见Rosenbach v. Six Flags Entertainment Corp. 2017 IL App (2d) 170317，No. 2-17-0317.由此推断，法院在该案中确立的司法保护规则为：即使公民生物识别信息未遭受(下游的)实质损害，信息主体仍有权寻求司法救济。(17)在另一起Adina McCollough, individually and for all others similarly situated v. Smarte Carte Inc. 案例中，美国司法处理的态度进一步解释为：“对于法令授予的某项公民法定权利，立法层面在判断对其的无形损害时，并不意味着当事人关于此权利提出司法救济时已经发生了事实上的损害并对此提供证明。”U.S. District Court for the Northern District of Illinois Eastern Division, Case number 1:16-CV-03777.从上述司法与立法态度可以看出，认定个人信息侵权行为存在时间提前以及精神损害可视为信息侵权损害范畴。并且，司法处理也将下游侵权的发生可能性作为损害考量因素。事实上，公民个人信息泄露的具体风险与发生时间是不特定的，甚至存在“潜伏期”，因此对于个人信息危害后果的考量可以是抽象的，不必然是已经出现的现实危害。综上，对于信息泄露或非法提供信息行为的侵权定性一方面不要求上游或下游发生现实的具体损害；另一方面也不要求下游损害的实际发生(存在发生可能性即可)。进一步讲，即使发生现实性损害，也并不必然要求发生财产性损害。

(2)仅针对信息侵害行为的侵权定性。泄露、非法提供等以下游牟利为目的的源头行为(即准备工具阶段的行为)是否可作为独立的侵权认定要件？或者是否需要结合下游行为作综合评价？《刑法》第287条之二规定了“帮助信息网络犯罪活动罪”，基于帮助行为具备独立的法益侵害性，(18)参见于冲：《帮助行为正犯化的类型研究与入罪化思路》，载《政法论坛》2016年第4期。体现出网络犯罪帮助行为独立入罪的规制思路。同理，《刑法》第253条之一规定的侵犯公民个人信息罪的行为表现为“违反国家有关规定，向他人提供公民个人信息且情节严重”。由此可知，无论被提供者是否利用相关信息实施了下游具体的犯罪，提供行为本身即可成立犯罪。该规定所体现出的立法态度是：源头行为可能引发的现实危害性是不特定且不可控的，并且导致的危害后果也可能非常严重，因此将惩治措施提前到工具准备阶段。有鉴于此，单纯的信息泄露或非法提供行为亦被视为个人信息侵权的行为表现，不必然要求下游危害后果的发生，尤其是对于极其敏感的个人信息更应谨慎严格地进行“提前性”保护。因此，信息泄露作为侵害行为的认定不以发生了下游侵害为条件。如果存在两个以上的信息安全侵害人，信息主体该如何追偿？《欧盟通用数据保护条例》(简称GDPR)规定了信息主体享有受赔偿权(Liability and the right to compensation)，其可主张物质损害与非物质损害。(19)GDPR, Art. 82.对于共同侵权的情形，在责任分担方式上，一方面采取择一主张赔偿的模式。信息主体无需向所有对损害负有责任的实体组织提出诉讼和要求赔偿，因为这可能需要昂贵和漫长的诉讼程序。对其中一名联合信息控制者提起诉讼就足够了，该控制者可能要对全部损失负责；另一方面采取先行赔付的责任形式。在这种情况下，赔偿损失的数据控制者或处理者随后有权向参与处理的其他实体追讨所付的款项，并对违反规定的行为负责，承担其对损害的部分责任。当事人收到赔偿后，追偿程序在不同的联合控制者和处理者之间进行。

2.下游侵害发生信息安全侵害情形。尽管公民的实际损害一般由下游侵害行为直接导致，对于在源头上非法披露个人信息的行为人，对于受害人在下游侵害中遭受的实际损害，是否亦应承担民事责任？有观点认为，海量个人信息的侵权往往意味着侵权人极高的主观恶性与极广的社会影响，借鉴GDR的处罚思路，个人信息侵权行为适用惩罚性的赔偿制度更具有现实意义。然而，该做法终究是在行政规管模式下的惩处思路，对于受害者私权的现实救济于事无补。因此，对于受害方，侵害方应承担直接的民事救济责任。

(1)责任分配解读与责任形式选择。侵害网络用户信息安全的行为明显侵犯了自然人的信息安全利益及其相关的具体民事权利，应当为公民遭遇信息安全侵害提供私权保护救济。对此，需要进一步厘清上游信息安全侵害人与下游侵害人(在现实发生的情况下)各自的民事责任分配以及承担形式。在现实中，为实施下游的精准诈骗行为而窃取或非法收买个人信息的情形，目前已形成拖库—洗库—撞库一体化的操作流程与产业链条。即，不法黑客通过拖库获取原始的信息库，然后通过洗库将数据进行分类，最后通过撞库获取更多平台的用户信息，将撞库所得的信息再次进行洗库操作，如此循环往复，形成恶性循环的信息窃取产业链。信息安全侵害行为往往是为下游侵害行为提供工具与便利。个人信息被泄露后的现实危害在于可能引起下游侵害行为的发生，主要存在以下几类风险：(1)遭遇电信诈骗、网络诈骗或接到骚扰短信和电话；(2)账号密码被窃取，造成财产损失；(3)遭到恐吓威胁、敲诈勒索；(4)身份被冒用，个人名誉受损。因此，对于下游具体侵害行为的发生，上游侵害人的原因力极高，由此决定了信息侵害行为人应作为下游不法侵害行为的共同民事责任人。所以，当个人信息被用作实施下游侵害行为时，即认为上游的信息侵害行为发生了现实损害。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条规定，“造成被害人死亡、重伤、精神失常或者被绑架”、“造成重大经济损失或者恶劣社会影响”等严重后果，视为侵犯公民个人信息罪量刑幅度中的“情节特别严重”。由此，对于侵害个人信息引发的下游损失，刑事规制立场是将该损失纳入侵害个人信息罪的惩罚范围。那么，在私权救济层面，因信息泄露等上游侵害行为而导致下游现实损害的情况，除了下游的直接侵害人，受害人是否有权向上游的信息侵害行为人寻求赔偿？《最高人民法院关于审理人身损害赔偿案件适用法律若干问题的解释》(以下简称《人身损害赔偿解释》)首次明确确立了共同侵权行为的内涵，分为三种情形：一是共同故意；二是共同过失；三是虽无共同故意、共同过失，但其侵害行为直接结合发生了同一损害后果。本文认为，信息安全侵害行为间接导致信息主体遭遇下游不法行为的损害，上游的信息侵害行为与下游的损害行为及其造成的现实损害存在相当的因果关系，上下游的侵害行为符合上述共同侵权的第三类情形。《民法典》第1172条对该类侵权情形做出了分别侵权的定性，即二人以上分别实施侵权行为造成同一损害，能够确定责任大小的，各自承担相应的责任；难以确定责任大小的，平均承担责任。前款责任分配遵循《人身损害赔偿解释》第三条第二款的责任分配理念，即根据过失大小或者原因力比例各自承担相应的赔偿责任。信息安全侵害案件中，根据过失或原因力比例的划分情况，上游的信息安全侵害人应对下游损害承担符合比例的或平均的侵权责任。

《民法典》第179条规定了民事责任承担方式。根据《消费者权益保护法》第50条，经营者侵害消费者的个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。遵循该立法思路，基于信息安全的排除妨害诉求，应适用绝对权的保护请求权，包括停止侵害、排除妨碍、消除危险等。信息侵权的赔偿数额计算则可依据《侵权责任法》第20条和22条并结合《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条予以确定。(20)参见余远芳:《个人信息的侵权法救济：〈民法总则〉第111条的司法适用》，载互联网法治研究，https://mp.weixin.qq.com/s/hY5Lyg-iPATZZRuVmXx6dg，访问日期：2020年5月12日。

(2)过错形式分类与举证责任承担。鉴于民事责任赔偿制度在个人信息保护中的弱支撑性，《个人信息保护法(征求意见稿)》第65条规定了信息保护的民事赔偿制度，鉴于个人信息侵害救济中存在权利性质特殊和损失难以计算的问题，该制度与知识产权中的“法定赔偿制度”的起源相同，即如果信息主体可证明实际损失或获益的，侵害人以具体损失或获益承担赔偿责任；若难以计算损失或获益的，则由人民法院酌定赔偿数据。信息安全侵害主体包括自然人、国家机关、企业或其他组织。无论侵权之诉还是违约之诉，过错认定均具有重要的法律意义。对此，《个人信息保护法(草案)》第65条明确规定个人信息民事侵权赔偿适用过错推定原则，结合《民法典》第1165条的规定，个人信息处理者应承担举证自身无过错的责任，因此在实践中个人信息处理者应注意履行“处理无过错”的义务，在信息产业经营中应严格落实处理要求，并及时记录与备案规范处理的凭证。

三、侵害个人信息权利行为的民事归责分析

基于个人对其信息的自主控制诉求，《民法典》第1035条确立了个人对其信息的同意权，第1036条确立了知情权、更正权与删除权等。(21)参见周汉华：《个人信息保护的法律定位》，载《法商研究》2020年第3期。《个人信息保护法(草案)》第44条则创新性地表达了完整信息权利的系统化构成，即知情权与决定权。决定权指向的法益内涵为信息控制能力，蕴含同意权和具体的信息自决权，这即意味着《个人信息保护法(草案)》构建了完整的数据民事权利体系。基于信息处理的合法事由，对于侵害上述权利的行为，其归责路径包括侵权保护与合同保护机制。

(一)侵害信息权利行为的外延解读

个人信息权利是指自然人对其个人信息具有自我控制和排除侵害的权利，包括知情同意权与具体的信息自决权。目前制度保障主要采取了两类权利行使机制：(1)通过知情同意机制禁止行为人未经主体同意收集或披露个人数据或者将特定个人数据挪作他用；(22)参见丁道勤：《基础数据与增值数据的二元划分》，载《财经法学》2017年第2期。(2)明确认可信息主体可访问、更正与删除信息的自决权利。从权利行使角度审视，前者为消极防御性权利，呈现被动行权特征；后者则为积极利用性权利，呈现主动行使特征。

1.侵犯知情权、同意权的情形。在商业应用场景中，App运营者收集信息与获取权限原则上必须遵循知情同意规则，应履行告知同意义务。《App方法》规定了以下违规行为的构成与要求：“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则，收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”，上述超越必要权限、超范围的信息收集或权限获取行为，侵犯了信息主体通过知情同意机制控制自身信息的权利。即意味着，在App运营环节中信息主体享有行使知情同意权的空间。整体来看，《App方法》对于信息产业规范运营的规制思路主要从“未经同意”角度定性了数据处理者收集行为的违法违规性，核心围绕主体同意制度，体现了制度层面保障公民对其个人信息控制能力的态度，以尊重个人信息所承载的人格利益(本质为人格尊严)。因此，App运营者如果实施了上述违法违规的收集、获取、告知行为，均侵犯到了信息主体对其个人信息的知情同意权。《民法典》第1036条主要表达的是对于信息主体私权救济的免责性，通过对第1036条的分析，对于以下信息处理情形，即使未征得信息主体的同意，也无需承担民事责任：(1) 合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；(2)为维护公共利益或者该自然人合法权益，合理实施的其他行为。那么，必要性原则是否可作为获取知情同意的免责条款？在“人脸识别第一案”(23)参见浙江省杭州市富阳区人民法院作出的(2019)浙0111民初6971号民事判决书。审理过程中，法院认为，园方仅以优化客户体验为由要求年卡用户只能刷脸入园并不符合个人信息收集的“必要”原则，由此其未获取同意的收集行为侵犯了用户的个人信息权(本文认为应表达为知情同意权)。如果未经同意的获取行为符合必要原则，是否就属于免责事由？本文持否定态度，因为收集阶段核心在于知情同意机制，并且在现实操作上，尤其对于人脸等生物识别信息，并不存在来不及获取同意的情形，获取行为本身需要信息主体在场。对于其他类型信息的获取，如果获取时信息主体不在场，若为了及时维护信息主体的合法权益来不及取得同意时，可视具体情形衡量其必要性，以作为侵犯知情同意权的免责事由。

2. 侵犯具体信息自决权的情形。《民法典》第1037条赋予公民的信息自决权利，侵犯个人信息自决权利的纠纷主要由数据控制者未提供或拒绝信息主体访问、更正或删除个人信息导致。《个人信息保护法(草案)》全方面赋予了个人信息主体的信息自决权利，包括：(1) 知情权；(2) 决定权；(3) 限制权；(4) 拒绝权；(5) 查阅、复制权；(6) 更正、补充权；(7) 删除权；(8) 规则解释权。对于用户的信息自决权保障，《App方法》侧面要求了数据控制者须做到如下事项：(1)提供有效的更正、删除个人信息及注销用户账号功能；(2)不得为更正、删除个人信息或注销用户账号设置不必要或不合理条件；(3)及时响应用户更正、删除个人信息及注销用户账号的操作，需人工处理的，要在承诺时限内完成核查和处理；(4)App后台进程要与用户更正、删除个人信息或注销用户账号的操作时间一致。据《移动互联网应用个人信息安全报告(2019年)》显示，移动网络应用中侵犯个人信息的常见问题包括：个人信息收集使用规则效果不佳；强制、频繁、过度索权成为普遍现象；私自收集频发、超范围收集问题突出；数据共享行为不规范、缺乏约束措施；无开启或关闭个性化服务选项；设置不合理障碍、账号注销难。可以看到，上述违规行为主要侵害了信息主体的知情同意权与自决权。

(二)侵犯信息权利行为的民事责任路径

相较于侵害信息安全的民事归责路径，信息权利的民事归责路径更为直接，除侵权保护机制外，也同时适用合同保护机制。但是两种机制的适用前提与场景有所差异，应予以区分。上一部分阐释的侵权归责路径同样适用于信息权利的侵害场景，此处重点阐释个人信息权利的合同保护机制。

1. 民事责任模式的适用选择。针对信息控制能力的人格权益保护，侵权制度的适用与否应首先明确公民个人权利在规范层面的赋权。《个人信息保护法(草案)》第四章明确赋权个人对于其个人信息的处理享有知情权、决定权、限制处理权、拒绝处理权，为上述权利提供了明确的侵权救济请求权基础。因此，针对信息主体的知情权、决定权、限制处理权、拒绝处理权，可受侵权制度的保护。对比来看，同《民法典》一样，《个人信息保护法(草案)》仅赋予了信息主体查阅、复制、更正、删除、解释说明的请求权，而非直接赋权。由此，是否适用侵权保护路径仍然存在探讨空间。《民法典》为个人信息的私权法益提供了四种侵害救济请求权路径：侵权责任请求权、合同约定的请求权、人格权请求权(《民法典》第995条)、人格权请求权禁令(《民法典》第997条)，(24)参见丁宇翔：《民法典保护个人信息的三种请求权进路》，载《人民法院报》2020年9月25日。后两类请求权主要指向停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权等救济措施，并且该类请求权不受诉讼时效限制。《民法典》第995条与第997条提供的独立于侵权责任的救济路径选择，本质仍从属于个人信息人格权化的救济渠道，与侵权责任基于同一请求权基础。因此，整体而言，个人信息私权利益的救济请求权基础为两类：人格权化与可交易性。侵权机制对应的是信息权利的人格权化，合同机制对应的是信息使用权的可交易性。考虑到个体维权的可行性与信息使用场景的多元化，基于不同的发生场景，按照司法处理的便利性，信息主体可选择诉诸侵权保护或违约救济制度。参考网络虚拟财产的司法处理实践，刑事案件的判决主要根据物权理论认可用户享有网络虚拟财产权，以便于定罪量刑；民事案件的判决则主要从合同角度保护用户的网络虚拟财产权益。(25)参见江波：《虚拟财产司法保护研究》，北京大学出版社2015年版，第42-67页。然而，“物权法+合同法”的适用模式并不能完整解决网络虚拟财产权益的保护问题，因此网络虚拟财产权是独立于物权，并与物权、知识产权相并列的新型财产权。(26)参见孙山:《网络虚拟财产权单独立法保护的可行性初探》，载《河北法学》2019年第8期；申晨:《虚拟财产规则的路径重构》，载《法学家》2016年第1期。目前，在个人信息权益的司法纠纷中，“案件—诉讼—损害”的传统处理逻辑与“程序性违法—行政处罚+损害赔偿”的信息处理规范存在错位，需要厘清个人信息权益的独立司法保护地位。对此，一方面可以赋予信息主体针对第三人的请求权；另一方面也可基于网络服务合同构建信息主体与数据控制者之间的法律约束关系。在比较视野下，GDPR第6条第1(a)与(b)款规定，主体同意机制下启动的个人信息处理，包括个人同意与履行所签署合同两类情形，因此侵犯个人信息权利可由违约行为或侵权行为引起。我国《民法典》确认了个人信息权益的性质、内容及其保护规则，(27)参见程啸：《论我国民法典中的个人信息合理使用制度》，载《中外法学》2020年第4期。由此明确了个人信息承载着法定的私权法益。目前在司法实务中，侵害个人信息的民事纠纷主要为侵权纠纷，实践中只有极个别的侵害个人信息案件中的当事人提起违约之诉。(28)参见程啸：《论侵害个人信息的民事责任》，载《暨南学报(哲学社会科学版)》2020年第2期。

2. 信息控制能力的财产利益保护：合同保护机制的适用基础。以往个人信息规范体系将主体同意作为唯一处理依据，《个人信息保护法(草案)》则创新性地将个人信息处理的合法性基础扩展为六类，其中包括为订立或者履行个人作为一方当事人的合同所必需，从而为个人信息权益的保障与救济提供了合同请求权基础。那么，如何理解与落实信息保护的合同机制？参照欧洲数据保护委员会(EDPB)在指导文件《关于在向数据主体提供在线服务时依据GDPR第6(1) (b)条规定处理个人数据》中对于合同事由作为处理依据的解释，(29)European Data Protection Board, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, 12 April 2019.“必要性”必须是客观上的必要(objectively necessary)，而不是制定合同的经营商认为的必要，需要通过客观的事实做出判断。(30)这就意味着，信息主体在与信息控制者在订立合同时，已经合理期待和判断该服务的实现所必须执行的数据处理行为。同时，数据控制者也要证明某一项处理行为若没有进行，合同就会无法履行或者订立。需要注意，信息自决权益的合同保护机制属于公民私权的“意思自治”范畴，建立于主体的知情同意权之上，与信息处理的“合同所必要”基础存在差异。例如，知情同意基础的合同可涉及个人的数据被用在什么地方、是否被过度使用、有没有使用年限、用户如何终止数据的使用授权等诸多协议细节。(31)《支付宝年度账单惹怒用户 “愚蠢的错误”如何产生》，载腾讯网，https://tech.qq.com/a/20180104/020872.htm，最后访问时间：2020年9月3日。

个体的信息自决权益是人格权利益、数字生活便利、经济利益的混合体。在权利性质上，个人信息权是保障公民充分自我发展的社会经济权利，是维护自然人在政治、经济、人格权等领域中利益的工具，而非最终目的权利。在私有制主导的社会环境下，“信息自决权”是法律有效分配权利的方式，“信息自决权”似乎暗示个人对于自身信息的自决权本质是在排他地处分“个人财产”，“身份盗窃”概念的提出也预示了个人信息的“物化”趋势。事实上，“信息”并不先于它的“表达”或“披露”而存在，信息的产生依赖于信息网络技术的支持，所以从逻辑上来说，个人对于自身信息并不享有“天然的”原始权利。(32)参见Rouvroy Antoinette, Poullet Yves. The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, in Gutwirth, S., Poullet, Y., de Hert, P., de Terwangne, C., Nouwt, S. (Eds.). Reinventing Data Protection? Springer, 2009, p. 51.因此，个人信息的商品化与协商机制指向客观存在的法益，违约责任方式是维护信息自决权益的重要法律手段。对于信息主体，个人信息的财产属性与商品化一般表现为信息主体在某些情况下同意被收集个人信息，以此获取经济激励或生活便利，如精准定制服务、费用或价格降低、免费抽奖等。在该类场景下，信息主体可以通过与数据控制者协商以决定体现个人偏好的信息保护设置。(33)参见P. M. Schwartz, ‘Beyond Lessig’s Code for Internet Privacy: Cyberspace, Filters, Privacy control and Fair Information Practices’, Wisconsin Law Review, 2000, p. 749 et s.在个人信息的财产化路径下，个人信息被认为是一种有价值的商品，是可被讨价还价的对象，并通过合同机制与他人进行交易。(34)参见P. Samuelson, ‘Privacy as Intellectual Property’, 52 Stanford Law Rev., 2000, pp. 1125 and ff.; J. Litman, ‘Information Privacy/Information Property’, 52 Stanford Law Rev., 2000, p. 1250; K. BASHO, ‘The Licensing of the personal information. Is that a solution to Internet Privacy?’, 88 California Law Rev., 2000, p. 1507.受数据财产化理论的影响，合同机制把双方的协定视为后续处理数据的核心依据。但是，无论个人信息是否可被视为财产，合同约定方式均允许双方就个人信息的收集与处理进行要约和承诺。(35)参见J.Kang & B. Buchner, ‘Privacy in Atlantis’, 18 Harv. Journal Law &Techn., 2004, p. 4.并且，协商阶段不仅限于收集阶段，在后续的所有数据处理环节中，均可针对具体的数据处理目的为信息主体提供灵活的协商机制。用户的同意具备确定的合同法律效力，基于该约定的采集行为可免于不确定的合规风险。(36)参见Patrick Myers, Protecting Personal Information: Achieving a Balance Between User Privacy and Behavioral Targeting , 49 Michigan Journal of Law Reform 717, 741(2016).现实操作上，在信息最初被收集时，平台首先需要征得用户的同意，以及具体的信息自决权利的保障与落实应体现于平台协议中。但是，平台协议的条款内容不得违反《网络安全法》《App方法》《个人信息安全规范》《个人信息告知同意指南》《移动互联网应用(App)收集个人信息基本规范》等规范性文件中的行业运营合规要求。因此，双方可协商的信息权利处分空间仅限于强制规范内容(如必要权限、最小化信息范围)之外的意思自治事项。鉴于平台服务协议本质为合同，因此信息主体与数据处理者关于信息收集、权限获取、信息使用与处理等方面的格式条款与协商条款(自主选项、如隐私设置偏好等)，仅对双方具有约束力。关于信息权利行使产生纠纷时，应首先通过合同当初的约定解决争端。《民法典》第179条规定了支付违约金的责任形式，因此在平台服务协议中，双方也可就信息的合规使用制定违约金条款，同时也为付费模式的个体化信息服务提供违约救济保障。

(三)信息产业运营中隐私信息的制度适用

基于数据隐私性的分类，个人信息自决制度可分为一般信息与隐私信息的自决机制，因此隐私信息的法律保护制度是双重的：一是隐私权保护制度；二是个人信息权益保护制度。关于适用侵权保护模式的优先性存在两个层次的判断。其一，隐私权的侵权保护机制。基于信息的隐私性，个人信息可被分为隐私信息与非隐私信息。《民法典》第1034条第3款明确了私密信息与个人信息保护制度的适用关系，即隐私信息适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。上述顺序规定体现出适用关系的优先性，即，当上述两类制度竞合时应优先适用具体人格权制度，并且该优先性应当是强制性的，法律适用领域如司法处理应当严格遵循适用顺序。对此，本文存在的疑问是：首先，数据所承载的隐私法益内涵不限于被隐私保护诉求。对于隐私信息适用隐私权保护制度毋庸置疑，对于隐私信息承载的隐私法益，隐私权保护的制度功能仅限于维护个人的隐私“被隐蔽”的诉求。对于该诉求，基于私权领域的意思自治原则，立法应优先回应个人的自主意愿，但是，在数字生活普及的时代背景下，个人自主意愿不必然是隐私被隐蔽作为首要诉求。其二，个人信息权益的侵权保护机制。在个人信息保护制度下，首先，在私权法益分解上，信息利益包含隐私与自决利益。(37)张新宝教授认为，个人信息是一种民事权益，而隐私权则是一种民事权利，从权利位阶上看，权利的位阶要高于权益，因此隐私权作为高位阶的权利，具有适用的优先性。参见张新宝:《个人信息收集：告知同意原则适用的限制》，载《比较法研究》2019年第6期。事实上，隐私信息的隐私法益同样属于信息自决的客体范畴，体现的是个人对其信息的控制能力。因此关于信息自决能力的人格利益，当面临生活或工作中的数字服务时，提供服务的数据控制者与信息主体之间仍然存在协商约定的空间，由此对应信息自决利益的合同保护机制，并且在数字服务必需的数据处理过程中，不必然会发生隐私信息被披露的风险。事实上，信息处理的运营合规要求决定了信息处理过程原则上不应披露信息主体同意被收集与处理的个人信息(包括隐私信息)。其次，在现实操作的可行性上，以隐私保护为依据决定个人的哪些信息可提供给数据控制者的做法，其困境在于回避了隐私的道德地位，而是基于个人可以自行决定哪些信息属于隐私这一前提。(38)参见F. Schoeman, ‘Privacy Philosophical Dimensions of the Literature’, in Philosophical Dimensions of the Privacy, F.D. Schoeman (ed.), 1984, p. 3.在现实中，对于信息的“隐私保护诉求”，存在公众对隐私认知与法律定性的错位，法律定性的隐私信息的保护范围实则远小于个体主观认知的隐私范围。因此，现实的司法救济实则无法覆盖个体主观认定的隐私信息范畴。综上，对于隐私信息的侵权保护认定，不必然适用隐私权侵权保护机制，也可同等顺序适用个人信息权益的侵权保护制度。当然，两类侵权保护的认定可能会导致侵权救济的不同结果。从私权保护的价值判断上来看，尽管个人信息的人格权益一般高于财产权益，但信息自决权法益并不单纯属于财产范畴，由此，鉴于数字化生活的常态，法律实践应结合信息应用场景判断应维护的主要法益(隐私权制度保护的隐私被隐蔽诉求或个人信息权益制度保护的信息自决利益)。因此，当出现隐私利益(蕴含自决利益)的私权保护场景时，司法实践应追溯现实受损害的法益，避免仅依据个人信息保护制度或隐私权制度做出机械化的判断。

结语

个人信息安全的规范目标针对数据控制者对于集合性数据库的数据安保义务，对应的主要是行政或刑事责任。然而，现有规范体系对于网络安全事件中的受害者尚无具体且直接的救济措施和手段，受害者获得民事救济的法律依据不足。个人信息保护中的民事责任路径分为两类：(1)对于信息泄露的安全侵害行为(包括线上与线下的信息泄露与窃取行为)，民事责任主体包括数据控制者与数据泄露或窃取者等第三方侵害者；(2)信息产业运营中侵犯知情同意权与信息自决权的行为(仅限于信息网络环境中)，民事责任主体仅限于网络服务运营商(数据控制者)。对于个人信息安全利益的民事责任救济，一方面，体现出私法领域对于侵害信息安全行为所引发的潜在损害风险(非现实损害)以及已经发生的现实损害进行安抚与补偿的思路；另一方面，体现出对于信息主体具体的人身或财产权益进行预防性保护的思路。对比来看，对于个人信息权利的民事责任救济，则体现出私法领域努力维护信息主体的信息自决能力，鉴于目前信息产业领域中数据控制者与个体之间悬殊的数据控制能力，私法层面保护信息权利彰显的是对于信息主体人格尊严的尊重，并赋予信息主体行使权利的主动性与自控力。诚然，若落实个人信息保护的民事责任，鉴于用户的海量规模与不特定性，企业会面临极高的合规成本与司法诉累，非常不利于数字产业的创新发展。目前的法律保护实践与规制态度也并未通过赋权个体的方式为信息侵害行为提供私权救济渠道，主要通过行政规管方式、行政法律责任以及相应行政执法行动予以保障。然而，考虑到目前企业越权或过度获取信息的现象过于猖獗，相较于低成本的行政处罚，应要求企业对于严重的信息侵害行为承担民事救济责任，从而警示与防范信息侵害行为的蔓延。