侵权责任视角下个人信息处理合法性基础的认定

□ 文 刘思婷

1 引言

在目前广泛讨论的个人信息赋权模式下，权利概念的形式理性的基本要求往往被忽视,即所谓的个人信息权是否达到了排除效能、归属效能，还有社会典型公开性的检验，是否达到形式理性所要求的权利特征。笔者认为，目前只是走在权利化的道路上，更多应从司法实践上，即对《个人信息保护法》与《民法典》侵权责任编之间的逻辑关系如何，如何协调好个人信息保护的一般法与专门法的复杂关系，如何实现个案裁判中法律适用的统一等问题进行研究回答，以实现个人信息上承载的权益的保护实效性。

2 个人信息处理合法性基础的法律规定及认定困境

2.1 个人信息处理合法性基础的法律规定

我国个人信息处理合法性基础主要规定于《个人信息保护法》第13条与《民法典》第1036条所规定的个人信息合理使用制度，两者存在明显差异。第一，合法性基础规范的直接对象是“处理者”，而《民法典》规范的直接对象是“行为人”，两者的差别主要体现在是否仅限于“自己责任”。《个人信息保护法》的效力还延及安全保障义务，危险责任与担保责任，而《民法典》从行为人的角度进行规定，在效力范围上存在差异。第二，合法性基础规范采取“方可”处理的前因性判断，处理行为最开始发生的场景，偏向于公共利益的管制型规范；而《民法典》采取“不承担民事责任”的后果性判断，属于免责事由，是对于最终承担的法律效果的直接规定，因此，整体而言，《民法典》的个人信息合理使用制度是对处理行为进行整体判断的法律依据，而《个人信息保护法》的个人信息处理合法性基础侧重事前的，是结合处理行为目的与场景进行利益衡量的法律依据，更为完善。

合法性基础规范根据利益保护的位阶顺序，成为司法裁判以及行政执法的决策依据之一。

2.2 个人信息处理的合法性基础认定困境

合法性基础规范根据利益保护的位阶顺序，成为司法裁判以及行政执法的决策依据之一。《民法典》第1036条虽规定了个人信息合理使用制度，但面对极其复杂的信息安全风险，在侵权责任成立上仅依靠该法律，采用单一私法规范将不可避免在合法性基础的认定上存在困境。

首先，在法律适用中，法秩序是一个无矛盾而互统筹的规范体系。如将《个人信息保护法》与《民法典》二者割裂，就会破坏法秩序的和谐和法律适用的统一，不利于个人信息保护；其次，《个人信息保护法》第13条确立的合法性基础，该条款确立了许可要求型管制型规范，与《民法典》第1036条规定的个人信息合理适用制度存在明显差异。再次，合法性基础是判断个人信息处理是否合法与侵权责任是否成立的重要依据。若合法性基础难以完整有效认定，则会导致司法实践侵权责任是否成立处于模糊的状态，个人信息难以得到切实完整的保护。因此，在侵权责任视角下解决个人信息处理合法性基础的认定问题，才能实现裁判考量因素的统筹，厘清侵权责任构成要件，最终促进公私法体系和谐与适法统一。

3 个人信息处理合法性基础认定困境根源

在个人信息处理合法性基础方面，国际条约与国内立法均普遍体现个人数据中自然人最重要的法益：人的尊严。而在当前广泛讨论的赋权模式下，权利与自由的概念经常被混淆，以至于所有的个人信息都被一同视为私权的客体，即将合法性基础认为是“同意授权”，但需明确的是，大部分个人信息都不满足作为权利所要求的形式特征。若一味强加个人信息私权化，则会造成个人信息私权化的矛盾与困境，不仅在法理层面无法形成逻辑自洽，在具体实施的过程中也会面临着巨大挑战。

3.1 个人信息不具备权利的形式理性要求

处理者在使用个人信息时应当尊重信息主体的个人意愿。然而，在社会环境中，个人信息只有通过流动，才能创造出价值。基于此，个人信息并不足以完全归属于个人，因此不可能具有“归属效能”。而以“归属效能”为前提的“排他效能”也更无从谈起了。个人信息也不具有“社会典型公开性”。综上所述，个人信息不具备权利的形式理性要求，若盲目的偏向个人信息私权化，将会不利于个人信息的利用与保护。

3.2 个人信息无法发生授权效果

首先，《民法典》第111条规定:“自然人的个人信息受法律保护。”这就表明个人信息实质上并不属于上述两类“人格权”,而是一种十分重要的独立民事权益类型。并且在比较法上，个人信息的同意向来不发生授权的效果。在欧盟层面，1950年颁布的《人权和基本自由欧洲公约》规定了对隐私的干预必须有正当理由，其理念是处理个人信息必须满足特定条件；而在美国层面，为了鼓励个人信息的自由流动，在“同意”规则上，美国只有在联邦层面某些特定立法中规定了“事先同意”制度，如《健康保险携带和责任法》与《儿童在线隐私保护法》，均是为了保护特定私人信息或特定未成年人主体的个人信息而创设。

3.3 个人信息与隐私权联系密切

由于法域间的隐私概念界定并不相同，英美法系在利益考量上侧重数据的自由流动，主张推进较为开放的数字经济制度建设。因此，所有与个人相关的权益保护都建立在隐私权的框架下进行讨论，如美国并没有对“隐私信息”与“个人信息”作出严格区分。而欧盟将个人信息与隐私权分开进行保护，其确立的个人信息合法性基础的最终根源是对“人的尊严”的保护，体现了欧洲立法实践中，由早期通过对权益的合法限制的立法思路逐步演化为对处理者行为的合法性基础的规范。通过行为规制的方式避开了实践中关于个人信息权利认定的难题。

不可否认的是，英美法系与欧盟立法均将个人信息作为一种民事权益而不是私权。若将个人信息视为私权，则会导致在个人信息私权与隐私权中存在难以分割认定的情形，造成权利的混淆。

3.4 单一私法保护难以应对信息安全风险

在过去几年中，隐私和数据安全问题频繁发生。愈繁杂的个人信息收集方式以及非规范化的个人信息流动导致用户无法真实、合理地判断和预防这些复杂的信息安全风险，即便受到侵害，也无法证实自身遭受的具体损害。

综上，个人信息易于流通与分享，因此不能完全由信息主体排他性地占有和控制。在此背景下，公私法的整体运用成为大数据时代个人信息保护的必然选择。

个人信息处理的合法性是侵权判断的基础。个人信息处理的合法性要求信息用户的个人信息处理行为符合法律的规定。

4 个人信息处理合法性基础认定衔接的可能性

4.1 个人信息处理合法性基础的性质

个人信息处理的合法性是侵权判断的基础。个人信息处理的合法性要求信息用户的个人信息处理行为符合法律的规定。

在很多情况下，合法性与正当性处于同义混用状态。需要注意的是，合法性不等同于正当性。合法性基础更偏向于形式理性的判断，赋予个人信息处理者行为依据，引导和规范处理者的处理行为，而信息主体需要承担法律规定的容忍义务，而这种容忍义务不是无限的，而是根据场景为利益平衡划定了一个合理界限，那么这个界限就是正当性的限度。即正当性更多为实质理性的角度出发，而合法性更偏向于形式理性，即形式合法性，主要是指个人信息处理者处理信息时应遵循相关法律规定，如告知同意程序。

关于个人信息处理合法性基础的性质确定，目前存在两种学说：“许可说”与“赋权说”，“许可说”认为个人信息自始具有社会性与公共性，合法性基础并不可能为使用人创设自由，因此，信息处理者虽处理信息符合第13条的情形，也不一定不侵权。而“赋权说”认为，势必要产生个人信息权类似于著作权的权利化倒推结论，则会产生个人信息私权化的结果。笔者赞同前者。合法性基础性质应界定为许可要求型制度。若将合法性基础性质界定为赋权性质的法定许可制度，则会产生如前所述的个人信息私权化的矛盾与困境。

4.2 个人信息处理合法性基础的立法定位

关于个人信息处理合法性性基础的立法定位，主要体现在管道性功能：通过利益衡量情境的类型化梳理，联通了《民法典》《网络安全法》《消费者权益保护法》等的细化规定，确定了利益衡量的思路和方式，以及涉及的利益类型和影响程度。通过第五项兜底条款，连接了包括《个人信息保护法》《民法典》在内的关于“合法原则”判断的特别条款。对“违法性”基于整体法秩序进行综合判断，为跨越法域实现统合式保护提供了路径，即信息处理关系中行为合法性根据可通过将该条款引介至《民法典》侵权责任编进行援用保护。

4.3 “相互工具化”衔接理论

个人信息的快速发展必须通过综合法域的体系保护，二者的衔接实际上体现了“相互工具化”理论。

合法性基础作为个人信息处理的管制型规范，引导和规范信息处理者的处理行为并吸收可能产生的私法防范成本。即从综合法域层面而言，合法性基础是事前确定准入门槛、事中开展行为监管、事后进行责难处罚的法律依据，能够引导和规范信息处理者的处理行为。

另一方面，合法性基础作为侵权责任转介条款的管道性规范，与侵权责任编中的一般侵权责任相连接，其第13条中的（七）法律、行政法规规定的其他情形与其他法领域的法律法规相连接，同时确定利益衡量和动态系统论的场景，作为法效果判断的逻辑起点。从逻辑起点意义来看，连通了各个个人信息保护法制，通过私法工具将管制成本平均分散于个体，达成了整体法秩序的和谐。即从《民法典》侵权责任成立层面而言，合法性基础根据场景理论，在一定程度上界定了具体私法案件中利益衡量所涉及到的利益主体、利益类型和范围，以及动态系统论，有助于促进适法统一。

通过“相互工具化”理论，在《民法典》侵权责任成立中引入详细的、可操作的合法性基础认定规范，不仅可以丰富和完整侵权成立认定标准，还可以使个人信息保护的一般法与特别法相互支持，实现相互“工具化”。

5 侵权责任下认定个人信息处理合法性基础的具体路径

5.1 合法性基础作为侵权责任成立阶段违法性判断的基础标准之一

关于合法性基础是否具有目的性的考量，目前存在两种观点，分别为“肯定说”与“否认说”。“肯定说”认为是合法性基础作为一个前置性的判断，具有目的性的考量，如《个人信息保护法》第13条所指出的为“为应对突发公共卫生事件”“为公共利益”等行为目的合法情形；“否定说”认为目的合法是适用法律的前提，即个人信息处理行为若目的非法，则应当由其他法律调整，《个人信息保护法》无法适用。笔者赞同前者，《个人信息保护法》中的合法性具有个人信息处理合法的目的考量，合法性基础正是以处理目的为核心，合法性基础提供了检验处理行为的前因性、基础性的法律工具，应作为侵权责任成立阶段违法性判断的基础标准之一。除了这一项基础标准，个人信息处理行为还需要满足“方式合法性”，以及“正当、必要、诚信”原则的检验，而这些原则所蕴含的利益衡量方法也需要在合法性基础所确定的前因性框架内进行，从而实现法秩序整体的和谐统一。

5.2 以违法性的相关关系连接事实要件

围绕着违法性的判断，同时通过相关关系说，对事实要件产生影响。重点考察个人信息被侵害所涉及的利益种类与侵害行为样态，并联系侵权行为样态与受侵害的民事权益两者事实上的因果关系，即事实要件应当包括：侵害行为样态、侵害的民事权益、事实上的因果关系，并将事实要件整体与过错要件（违法性）相联系，考察是否具有违法阻却事由。以此实现对于一般违法性的认定判断。

5.3 以违法性的行为可责难性连接过错要件

通过采用缓和违法一元论判断标准，应考虑“违法性＝一般违法性＋可罚违法性”，因此除需考虑一般违法性外，还需考虑行为的行为的可责难性，以事实要件行为的可责难性联系过错要件。我国《个人信息保护法》规定，侵害个人信息权益造成损害的侵权赔偿责任适用过错推定责任。

统筹裁判考量因素，确立个人信息侵权责任构成要件，促进适法统一。《个人信息保护法》第13条确立的合法性基础通过“行为目的违法性”影响违法性判断，通过“相关关系”影响“行为方式违法性”以及侵害行为样态和侵害民事权益的类型的认定，并通过行为可责难性判断间接影响过错要件。需要注意的是，考虑侵权责任不仅需要考虑目的合法性，还需结合整体的法效果的判断，如方式合法性。目的合法性与方式合法性共同决定了违法性的认定；其次，还需考虑《个人信息保护法》确定的正当必要诚信原则的检验；最终，需考虑侵权责任赔偿范围的特殊规定：《民法典》的合理使用制度通过法律上因果关系的阻断实现了赔偿范围的限缩，如抗辩事由、过失相抵、损益相抵。需综合考虑在司法实践中确定司法决策的赔偿范围。

可以说，合法性基础是动态系统论和利益衡量的逻辑起点，是个人信息侵权责任证立中牵一发而动全身的基础性规范。

目前，个人信息赋权模式下所呈现出的私权化趋势可归因于未能深入理解个人信息的社会性与公共性。

6 结束语

目前，个人信息赋权模式下所呈现出的私权化趋势可归因于未能深入理解个人信息的社会性与公共性。传统私法保护已不足以应对现代社会频发大规模、复杂的信息安全风险，应考虑通过特别法《个人信息保护法》衔接来弥补不足。通过将《个人信息保护法》第13条确立的合法性基础作为合法事由的引举，以此建构合法性基础在个人信息侵权责任认定中的整合保护模式，实现《个人信息保护法》与侵权责任成立阶段的良好衔接，回应实践诉求。■