诉讼视角下的个人信息侵权纠纷若干问题分析

董 嘉

（国际关系学院 研究生院，北京100091）

作为大数据的核心资源，个人信息的有效流通和合理利用成为数字经济发展进程中的重要课题。然而，信息代表着利益与价值，在利用信息资源的过程中会出现多方利益不均衡的现象，使个人信息面临被侵害的风险，这就需要通过法律手段加以保护。

经过长期的修订与完善，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）于2021 年8 月正式出台。该法融合了个人信息权益的私权保护与个人信息处理的公法监管，其中涉及私法领域的部分与《民法典》规定的个人信息保护条款共同形成了体系化的个人信息保护规则。为使自身合法权益不受侵害，新的《民事案件案由规定》也单独规定了“个人信息保护纠纷”案由，享有个人信息权益的自然人可以依法向人民法院提起诉讼，这对于个人信息权益的保护有着十分重大的意义。

一、个人信息侵权纠纷的起诉条件

作为诉讼行为的一种，起诉的实施需要符合法律规定的条件，才能达到相应的法律效果。根据《个人信息保护法》所调整的法律关系以及《民事诉讼法》第119 条的规定，提起个人信息侵权诉讼必须符合以下几个条件：

（一）适格原告：享有个人信息权益的自然人

适格原告应是和本案有直接利害关系的自然人、法人或其他组织，并且同被告间的争议直接关系到自身的民事权益。《个人信息保护法》明确了个人信息侵权纠纷中被侵权的主体是自然人，不包括法人和非法人组织，这就说明个人信息侵权纠纷的适格原告是享有个人信息权益的自然人，而双方的争议与其个人信息权益有直接的关联。

如何理解个人信息权益，《民法典》人格权编将隐私权与个人信息归为同一章，但在表述中并未将其称之为“个人信息权”，有学者认为个人信息是一项基本的法益[1]，也有学者认为个人信息属于人格权[2]，而《个人信息保护法》则是采用“个人信息权益”这一相对折中的表述，将其作为个人信息侵权责任的保护对象。个人信息权益的核心在于个人对其个人信息的自主决定，并在自主决定的基础上形成完整的权利体系[3]。结合《民法典》中的相关规定，个人信息权益具体应当包括自然人对其个人信息所享有的知情权、决定权、查询权、复制权和更正权等权利。

（二）适格被告：明确的个人信息处理者

适格被告，即“明确的被告”，指的是原告在起诉中已经将被告特定化、具体化，达到可识别的标准，便于起诉状的送达。《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的司法解释》中就指明，原告提供的被告信息应当具体明确，使其与他人相区别，这样才能被认定为适格的被告。

由于个人信息处理者是《个人信息保护法》所规定的侵权行为主体，因此在个人信息侵权诉讼中，适格的被告即为明确的个人信息处理者。事实上，《个人信息保护法》在个人信息处理者的范围划定方面覆盖面很广，几乎任何个人和组织都可能成为“个人信息处理者”，但同时由于数据处理活动需要具备相应的客观条件，这就极大限制了主体范围。条文中的“自主决定”是界定个人信息处理者的一个关键词，只有依据自身需要能够独立决定个人信息处理目的和处理方式的组织或个人，才可以判定为个人信息处理者，并承担相应义务和责任。

网络服务提供者是最常见也是最具有代表性的个人信息处理者，如网站、移动互联网应用程序（手机APP）提供商等。目前许多以电子商务平台为中介的社交、购物行为，大量收集个人信息，并加以存储和使用。因此，《个人信息保护法》要求互联网平台服务信息处理者尽到“特殊保护义务”。除此之外，国家机关在行使行政权进行行政管理的过程中，也会收集大量的个人信息而涉及个人信息的权益保护问题，所以，国家机关也属于法律规定的个人信息处理者。《个人信息保护法》同样严格规范了行政管理过程中国家机关对个人信息的处理行为。

（三）诉讼请求与诉讼标的

根据《民法典》的规定，民法领域中侵权责任调整的是因侵害民事权益而产生的民事关系。个人信息作为私权利的一种，当其受到侵害从而造成损失时，权利人可主张损害赔偿，具体来讲是指能够令个人信息恢复到未遭受损害时的状况。除此之外，《民法典》将个人信息与隐私权同章节归纳在人格权编中，说明从个人信息权益的性质出发，这一权益也应受到人格权请求权的保护。综上，民事责任保护个人信息权益所对应的请求权，是权利人所享有的侵权请求权，主要承担损害赔偿的侵权责任；以及人格权请求权，主要承担停止侵害、消除危险、排除妨碍、赔礼道歉等民事责任。在个人信息侵权纠纷案件中，原告可以在起诉中提出相应的诉讼请求。

传统的民事诉讼法学观点认为，诉讼请求与诉讼标的是两种不同的概念，前者是当事人在诉讼中提出的具体请求，后者则是当事人争议的民事实体法律关系[4]。原告基于案件事实以及诉讼理由提出权利主张，便于法院审理以及被告进行答辩。在起诉中，“事实和理由”指的是原告提出的支持其诉讼请求的案件事实主张与法律依据，法院在审查受理时并不需要确认相关事实主张的真实性[5]。

在个人信息侵权诉讼中，作为个人信息权益享有者的自然人如何判断自己的权益遭到了损害从而提起诉讼？换言之，个人信息侵权诉讼中的原告如何明确上述“事实和理由”？尽管《个人信息保护法》没有逐一规定具体的侵权行为有哪些，但从自然人个人信息权益的权利内容规定与个人信息处理者的应尽义务规定中，能够判断何种行为会损害到个人信息权益，这部分内容在后文的要件分析部分将展开详述。

（四）管辖法院

根据《民事诉讼法》及相关司法解释的规定，侵权诉讼的管辖法院是侵权行为地或被告住所地所在的人民法院，而侵权行为的实施地和侵权结果的发生地都属于侵权行为地。就个人信息侵权等信息网络侵权行为，又明确了信息设备所在地法院及被侵权人住所地法院也是相应的管辖法院。

实际上，个人信息侵权的案件中，也存在适用约定管辖与合同管辖的情形，由此产生了相应的管辖分歧。个人信息权益由于其自身的特殊性，很难用金钱价值来衡量，个案中的实际赔偿金额也相对不高，不同的管辖裁定结果极大地影响了权益人维权的成本进而影响其维权的积极性。如果适用侵权管辖，权益人可依据法律规定选择在其住所地起诉，从而大幅减少出行时间与诉讼费用等维权成本，保护其维权意愿。如果适用合同管辖，权益人也可以选择在其住所地或收货地（即合同履行地）起诉，同样具有一定的便利性。但若适用约定管辖，情况就会有所不同，由于电子商务平台一般会将其运营机构所在地设定为约定管辖地，对于权益人来说会相应地增加诉讼的难度[6]。可见，个人信息侵权类案件管辖制度的规范与健全是十分必要的，应通过优化诉讼的途径减少管辖法院的不确定性来提高个人信息保护的水平。

二、个人信息侵权责任的要件分析

分析个人信息侵权责任的构成要件，既有助于当事人合理确定提交给法院的“事实与理由”，法院也会据此作出案件最终的实体判决。

作为一种私法权益，个人信息权益主要通过民事侵权责任加以保护。以《个人信息保护法》第69 条为核心可以看出，法律规定的侵害个人信息权益的侵权责任，是指个人信息处理者违反法律规定的义务，实施侵害自然人个人信息权益的行为，并对个人信息权益造成损害，依法应当承担的损害赔偿等侵权责任。本文将该侵权责任的构成要件分为事实性要件与评价性要件加以说明。所谓事实性要件，是指该要件系以某一特定的社会事实为原型，在社会一般观念中具有相同的或类似的印象，在诉讼中能够将该要件内容当作事实问题加以处理的法律要件，比如侵权责任中的加害行为、损害结果、因果关系等。所谓评价性要件，则是指该要件内容并不是根据某一个特定的社会事实为原型，而是就各种社会事实进行推断得出的一种价值判断，在社会一般观念中并不具有相同或类似的印象，在诉讼中不能够直接将其作为事实问题加以处理的法律要件，比如侵权责任中的过错与违法性要件。在侵权诉讼的场景下，区分事实性要件和评价性要件具有一定的必要性，这是因为事实性要件可以作为要件事实加以主张和证明，而评价性要件本身则不能成为主张和证明的对象，当事人应当主张和证明可被涵射为该评价内容的具体事实，即评价根据事实。评价事实同时也是法院认定事实的对象[7]。

（一）事实性要件

1.加害行为

《个人信息保护法》规定的个人信息侵权行为，是指个人信息处理者违反法律规定的义务，侵害自然人个人信息权益造成损害，应当承担民事责任的违法行为[8]。作为侵权责任规制的对象，侵犯个人信息的行为具有侵害手段的技术性、侵害方式的隐蔽性、侵害领域的无地域性以及侵害后果的严重性这些特征[9]。

根据《个人信息保护法》的规定，侵害个人信息权益的加害行为应当是个人信息处理者在对个人信息进行收集、存储、使用的过程中造成个人信息泄露，或使其遭到窃取、篡改、删除，从而损害了自然人享有的个人信息权益。如果符合上述特征，则构成个人信息侵权的具体行为。其中，以下几种类型比较典型：违反法定的收集原则，不当收集个人信息；泄露个人信息；未经个人同意使用个人信息，将所掌握的个人信息用于他用、不当使用、不当分享。除此之外，由用户画像或其他自动化决策所带来的不利影响是否能够构成个人信息权益的侵害，也是存在争议的情形，如评价分析、价格歧视、大数据杀熟等[10]。

2.损害结果

具有可赔偿性的损害是法律意义上的损害，一般根据其是否具有财产价值、能否用金钱衡量分为财产性损害（也称“物质性损害”“有形损害”）与“非财产性损害”（也称“非物质性损害”“无形损害”）。在个人信息侵权诉讼中，若原告主张损害赔偿，就需要证明个人信息处理者的侵权行为给自己造成了损害。例如，庞某某与东航及趣拿公司的隐私权纠纷一案，庞某某在去哪儿网站订票后却收到航班取消的诈骗信息，信息中准确显示了庞某某的姓名、航班号等相关内容，由于庞某某及时辨别出诈骗短信，没有造成自身的经济损失，也没有造成名誉损害、精神损害，故法院没有支持庞某某损害赔偿的诉讼请求，但两家公司由于管理方面的疏忽，使庞某某的隐私信息存在被泄露的高度可能，应当就其造成的不利影响承担相应的侵权责任，因此法院判决两公司向庞某某赔礼道歉①。

上述案件中，个人信息处理者的侵权行为并没有对自然人构成直接的财产性损害。但是，与一般侵权行为造成的损害结果不同，个人信息侵权行为构成的损害结果具有潜伏性、持续性和放大性的特点[11]，究其根本原因在于数据的可复制性和非消耗性。虽然已经知晓侵害事实，但潜在损害结果依旧可能继续发生并不断放大。该案件中庞某某通过收到诈骗短信得知个人信息的泄露事实，但日后他很有可能还会继续遭遇一些推销与骚扰，这些麻烦与困扰很难彻底消失。可见，这就要求个人信息侵权案件中对损害结果的考量应当适当地扩大维度。

3.因果关系

分析因果关系，首先要明确行为人，其次要判断行为人的特定行为（或状态）是否是构成特定损害（或侵害）的原因[12]。在处理个人信息的过程中，存在多个环节，包括收集、存储、使用、加工、传输、提供、公开、删除等，上述环节可能存在多个信息处理者，并且各个环节的不当处理行为都可能构成个人信息侵权。作为个人信息权益主体的自然人很难确定损害行为发生在哪一个环节并确定对应的侵权行为人，即使证实了特定行为人也很难明确是其何种行为造成了损害结果。因此，因果关系要件的证明是个人信息侵权救济中最为困难的一部分。在上述庞某某一案中，法院为避免庞某某出现举证不能的情形，基于经验法则对其个人信息传递过程中多个环节的因果关系作出了司法推定。

值得注意的是，针对因果关系的证明难题，域外法中较多地采用了因果关系推定制度②。因果关系是关于行为人行为与损害结果之间的逻辑规则判断，在涉及由于过失而违反了法定义务的判断时，若采取过错推定的立法技术，从法律逻辑自洽的角度，立法者也应一并采用因果关系推定的立法技术，理论上称之为双重推定[13]。在双重推定的立法技术下，被侵权人只要证明了可被推定为过错的前提事实，法院应同时推定存在过错以及存在因果关系。在行为人证明了不存在过错的评价妨碍事实时，法院应同时推翻过错与因果关系的推定结论[14]。但最终立法机关并未采用这一制度，故司法实践中，确认侵权行为主体是否实施了加害行为即因果关系是否存在，依旧采取高度可能性的判断标准。如果存在复数信息控制者参与同一个人信息的处理活动使得个人信息泄露时，受害人一般难以证明具体的加害人是哪一主体，此时应当采用共同危险行为制度加以解决[15]。因果关系作为个人信息侵权责任构成中的重要组成部分，在个案审理中要具体分析并判断。

（二）评价性要件——过错要件

过错是现代侵权责任法的基石，侵权责任归责原则围绕过错展开，违法性、抗辩事由、理性注意义务以及管理、保障、监护等法定义务这些侵权责任法上的重要概念，都与过错有密不可分的联系[16]。作为过错责任原则的核心内容，过错不仅是被侵权人请求权成立的要件之一，还是确定行为人责任范围的依据。因此，它不仅是法院事实认定的重点，而且由于辩论原则的作用，也成为当事人攻击防御的重点[17]。在个人信息权益遭到侵害时，主张责任承担的享有个人信息权益的自然人行使侵权请求权，个人信息处理者同样要具备过错要件。

1.过错要件的性质

目前学界对于过错性质的判断采取了主客观要素相结合的概念，具体来说是支配行为人从事在法律上、道德上应受非难的行为的故意和过失状态，通常要采用客观标准来评价[18]。而笔者倾向于过错是一种应受非难的个人心理状态的主观说观点，即过错体现为行为人对于加害行为与损害结果的因果关系存在故意或者过失的心理状态，对于这种心理状态下的行为是否具有法律上的可非难性，则通过违法性要件加以判断。

从攻击防御方法的角度，能够清楚地考察过错的性质问题。所谓攻击防御方法，也称为诉讼资料，是指当事人围绕案件诉讼标的所采取的一系列诉讼行为的总称。具体包括：作为诉讼请求基础而由当事人提出的法律上和事实上的主张；对对方当事人主张的认可或否认；证据的提出与采用；对对方当事人提出或者援用的证据的认可或者否认；证据抗辩等[19]。想要更好地完成攻击防御，一方当事人提出的事实主张必须具备具体性与特定性，才能使对方当事人准确识别，而过错作为侵权责任的法定要件，却相对抽象与宏观。所以，将过错归于评价性要件，负担该要件主张证明责任的当事人即被侵权人，应当主张并证明与之相对应的案件具体事实，也就是评价根据事实。

2.过错要件的评价结构

一般情况下，想要直接证明过错比较困难。实践中，法院会在被侵权人证明了这些客观事实如被告事发前后的言行举止之后，借助其社会经验法则或一般逻辑规则对行为人事发时的主观心理状态加以评价，推论出社会客观评价及是否存在过错。这种三段论式的评价方式，与一般的事实推定存在类似的结构。大前提是经验法则或逻辑规则，小前提则是评价根据事实，推定结论为是否存在过错。需要注意的是，作为评价根据事实的小前提本身就是要件事实，所以选择合理的大前提即合理的社会经验法则与一般逻辑规则是十分重要的。

在个人信息侵权责任中，“作为个人信息处理者必须知道在个人信息处理活动中，哪些行为是违反《个人信息保护法》的行为”应当是合理的经验法则。如果认为上述经验法则的选取是合适的话，那么相应的小前提事实就应当是“个人信息处理者不当收集了个人信息”“个人信息处理者泄露了个人信息”“个人信息处理者未经权益人同意将个人信息用于他用”等个人信息处理者未遵守法律规定尽到其义务的事实，被侵权人应当对上述事实，加以主张和证明。

三、《个人信息保护法》第69 条第1 款的适用分析——兼论过错推定制度

（一）确立过错推定责任的合理性分析

根据《个人信息保护法》第69 条，在加害行为、损害结果、因果关系这些事实性要件都具备后，就可以推定个人信息处理者具有过错。基于实践经验可以判断，法律上之所以进行这种推定是因为，个人信息处理者若严格遵循《民法典》《个人信息保护法》《数据安全法》等相关法律的规定处理个人信息，尽到个人信息的保护义务，就不会对个人信息权益造成损害，其主观方面当然也就不存在过错。相反，若在处理个人信息的过程中存在非法处理行为，或是没有尽到其应尽的个人信息保护义务，而造成了对个人信息权益的损害，就能够确认个人信息处理者具有过错，在这种情况下，个人信息处理者需要证明其已经尽到个人信息保护义务，才可以推翻对其过错的推定。

实际上，立法关于个人信息侵权责任应当适用怎样的归责原则经历了不断的优化。《个人信息保护法（草案）》一审稿中指出，个人信息侵权责任适用一般过错责任，在这样的归责原则下，个人信息处理者如果能够证明自己不存在过错，则可以减轻或者免除相应的责任。随着个人信息保护进程的推进，对个人信息侵权责任也相应地提出了更高的要求，于是《个人信息保护法（草案）》二审稿中，归责原则由一般过错责任变更为过错推定原则，并开始采用“个人信息处理者不能证明自己没有过错”这一表述。正式出台的《个人信息保护法》第69 条第1款将二审稿的第一句做了调整，改为“处理个人信息侵害个人信息权益造成损害”，将适用过错推定责任的侵权行为概括得更为准确[20]。

享有个人信息权益的自然人整体上相较于个人信息处理者处于弱势地位，在信息的高速流转中很难确定其个人信息如何被利用，实践中常因举证困难而无法得到救济。相比之下，个人信息处理者掌握一定的处理技术，作为数据的实际控制者，也更容易说清楚“个人信息去哪儿了”，以及“个人信息如何被处理”，故过错推定制度能够强化信息处理者的举证义务，减轻受害人的举证负担。

（二）传统见解及其存在的问题分析

过错的证明责任是否由于过错推定制度的介入而发生转换？对此，通说持肯定见解。从法条的表述来看，“个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”——由于过错本来属于被侵权人请求权成立的构成要件，因此被侵权人对此承担证明责任，而过错推定规范的介入要求行为人“证明自己没有过错”，基于同一构成要件不能同时由双方当事人承担证明责任，故行为人对“没有过错”承担证明责任。

关于过错推定是否涉及过错的证明责任分配，笔者持否定观点。过错要件作为一种评价性要件，其本身是不能够成为证明对象的，因为它并不是事实。换句话说，能够分配证明责任的，不是过错，而是过错的评价根据事实。过错推定本质上是一种证明规范，没有改变实体法上的归责原则，行为人依然由于过错而承担侵权责任，由于没有过错而免于责任承担。如果证明责任分配发生变化，原本侵权责任的成立要件转化为侵权责任的妨碍要件，会导致实体法归责原则体系的不稳定。

事实上，过错推定规范下关于过错评价根据事实的证明责任分配与一般过错责任案件中的证明责任分配没有实质上的区别。一般的过错责任原则案件中，被侵权人要对过错的评价根据事实负担主张证明责任，如果该事实陷入真伪不明，法院无法评价行为人存在过错，则由被侵权人承担败诉风险。相应地，行为人可以否认前提事实以及相关经验法则或提出新的事实主张即评价妨碍事实，如果行为人在评价根据事实成立的前提下提出新的评价妨碍事实，则应当对此承担证明责任，若该评价妨碍事实陷入真伪不明，则由行为人而不是被侵权人承担证明责任。在适用过错推定规范的案件中，被侵权人需要证明的加害行为、损害结果与因果关系实际上就是法定的前提事实，法院据此依法判断行为人是否存在过错。一旦该事实陷入真伪不明，法院就无法启动推定规范。但如果法院启动推定规范，行为人就需要证明“自身不存在过错”，即行为人需要对可评价为不存在过错的根据事实负担证明责任，这里的根据事实正是一般过错责任原则案件中的评价妨碍事实，行为人就此负担证明责任没有改变。若该事实陷入真伪不明，法院依旧可以维持适用推定规范的结论[21]。

综上所述，过错推定规范并没有转换证明责任，包括过错的评价根据事实以及评价妨碍事实的证明责任。过错依旧是侵权责任的成立要件，不宜作为妨碍要件处理。

（三）过错推定规则下当事人防御

《民事诉讼法》中的辩论原则要求当事人需要就有利于自己的要件事实负担主张和证明责任。所谓归责原则，应当属于侵权责任成立的构成要件，从当事人攻击防御的角度来看，应当成为被侵权人独立的攻击方法[22]。就过错责任而言，因为过错属于被侵权人请求权的成立要件，因此应于诉讼中加以主张并证明相关事实；就无过错责任而言，由于立法已经将过错从请求权成立的要件中剔除，因此被侵权人不需要就相关事实加以主张和证明。相较之下，过错推定则不具备以上特点。就过错推定而言，其在本质上属于法律上的推定制度，立法只是在关于过错的证明问题上作出了特殊的安排，并没有将过错从请求权成立的要件中剔除，因此属于过错责任原则适用的特殊形式，不宜作为独立的归责原则加以看待。

在过错推定制度中，作为推定对象的过错，虽然本身也属于侵权责任的成立要件，但很难认为其本身就是要件事实。因此，从评价性要件和事实性要件的分类出发，严格地讲，过错只有评价的问题，不存在推定的问题，所谓过错推定制度这一称谓是不成立的，而应称之为法律上的过错评价制度，它与法律上的事实推定制度具有相同的制度目的以及类似的判断结构[23]。

相比法律明确规定过错评价结构中涉及的某些评价根据事实③，将“无过错”的证明作为行为人的免责条件是过错推定规范的真正含义，《个人信息保护法》第69条第1 款恰好符合这样的过错推定规范，也就是说法律并未明确规定个人信息处理者存在过错的评价根据事实。还是以前文提到的庞某某案为例，两公司应当预见用户的个人信息存在泄露的风险从而可能造成用户权益的损害，但却因为疏忽大意而没有预见，或者已经预见而轻信能够避免。其评价根据事实可能是两公司其他用户的个人信息曾同样出现被泄露的情况、该公司的网络用户平台安全等级系数不高等。在过错推定规范下，被侵权人不必主张和证明上述评价根据事实，而是只要证明其损害是由于两公司处理个人信息时造成的即可，此时法院应推定个人信息处理者存在过错。

可以看出，真正的过错推定规范的介入改变了被侵权人的主张证明对象，具体而言是改变了前提事实的属性。由于不存在独立的评价根据事实，在被侵权人完成加害行为、损害结果、因果关系的证明活动后，法院应当推定行为人存在过错。如此一来，真正的过错推定规范确实达到了减轻被侵权人证明负担的目的。

个人信息侵权责任中，个人信息处理者若认为其自身不存在过错，可以从以下几个方面依次展开防御：首先从事实主张的层面，可以否认被侵权人事实主张的真实性。如个人信息侵权责任中，被侵权人主张其个人信息由于个人信息处理者的不当处理行为遭到泄露，行为人可主张被侵权人个人信息的泄露是通过其他途径造成，一旦行为人否认事实主张的真实性，则被侵权人就需要提供相应的证据加以反驳。其次，个人信息处理者认为自己已经尽到了其应尽的义务，则应主张和证明相应的评价事实，比如在庞某某一案中，航空公司就可以证明订票信息不存储于航空公司系统，航空公司已经尽到提醒乘客防止诈骗的义务，或者公司已经采取了多重安全信息保障系统。该等事实的证明标准一如本证，如果法官得到确切的新证，则应推翻此前的推定结论，即认定个人信息处理者不存在过错。如果被侵权人主张的事实已经得到法院的认定，行为人则可对作为评价大前提的经验法则或者注意义务提出异议，而法律依据的选择应当属于法院职权范围，不应由当事人负担证明责任。另外，如果评价结构已经形成，即法院已经认定行为人存在过错，则行为人可以提出一个新的事实主张，借由与之相关的经验法则的运用，达到推翻行为人过错的目的。这一新的事实主张可以称之为评价妨碍事实，如果该事实成立，则法院不能得出行为人存在过错的结果。除了事实主张层面的防御模式，行为人也可从证明的角度针对被侵权人所提出证据的证据能力和证明力两个方面展开攻击防御，并提供相应的反证。

综上所述，《个人信息保护法》第69 条第1 款的规定确立了侵害个人信息的过错推定责任，在深入理解过错推定制度的基础上需要明确过错要件性质是否改变、证明责任是否倒置，这对个人信息侵权诉讼中法院如何引导当事人展开攻击防御具有重要意义。

注释：

①北京市海淀区人民法院（2015）海民初字第10634号民事判决书； 北京市第一中级人民法院（2017）京01 民终字第509 号民事判决书。

②例如欧盟《一般数据保护条例》第82 条规定：复数控制者和/或处理者牵涉同一侵害性数据处理时，若控制者或处理者能够证明其无论如何都不应对致害事件负责，则可以免责。

③比如《中华人民共和国民法典》第1222 条关于医疗损害纠纷中医疗机构的过错推定：“患者在诊疗活动中受到损害，有下列情形之一的，推定医疗机构有过错：（一）违反法律、行政法规、规章以及其他有关诊疗规范的规定；（二） 隐匿或者拒绝提供与纠纷有关的病历资料；（三）遗失、伪造、篡改或者违法销毁病历资料。 ”