论侵害敏感个人信息权益的归责原则

赵明非,刘子华

(郑州大学 法学院,河南 郑州 450001)

在个人信息的加工、分析、分享等过程中,由于多环节、多主体的存在,个人信息被泄露、被盗用等侵权问题层出不穷。在中国裁判文书网上,以“个人信息”“隐私权”为关键词,搜索从2019年1月1日至2022年5月17日的民事判决书,共搜集到72份判决书。通过对这些民事判决书进行分析,发现我国个人信息的侵权样态主要集中在泄露、非法获取、非法公开以及擅自授权等方面,其中涉及泄露个人信息的判决书有16份,占比达30%。然而,在这些案件中信息主体只有5次胜诉,胜诉率仅占31%。胜诉比例低的主要原因来自信息主体的举证困难,即信息主体难以证明个人信息处理者具有过错或者因果关系。在胜诉的案件中,法官多采用由个人信息处理者承担举证责任或者降低证明标准的方式,来维护信息主体的合法权益。例如在“周裕婵与广东快客电子商务有限公司网络侵权责任纠纷案”中,因为快客公司泄露周裕婵个人信息导致周裕婵被诈骗而受损失。法院认为,从收集证据的成本以及技术能力等方面看,周裕婵对被告快客公司内部的管理是否具有漏洞难以举证,应当由被告快客公司对其不存在泄露信息的行为承担举证责任。2021年出台的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第69条亦采用该立场,规定由个人信息处理者承担不具有过错的举证责任,即规定了过错推定责任原则,但并没有从根本上解决信息主体面临的证据偏在困境。敏感个人信息面临着相同的现实困境,信息主体遭受侵害时更容易导致其人格尊严和人身、财产安全受到损害,因此,敏感个人信息价值位阶高于一般个人信息,需要特别的法律保护[1]。《个人信息保护法》采取了个人信息区别规制的立法思路,但有关敏感个人信息特别保护的规范较为简略[2]。两者虽然在“知情同意”等制度上进行了区分,但是对于侵害个人信息权益损害赔偿的归责原则上都采用了过错推定责任原则,这不仅与区别规制的思路相反,还会使得信息处理者在处理个人信息时不加以区分,从而导致信息主体受损,这种做法不利于敏感个人信息的保护。因此,敏感个人信息应当给予特殊的法律保护。

一、侵害敏感个人信息权益的归责原则的立法梳理

《中华人民共和国民法典》(以下简称《民法典》)第1034条至第1039条,用6个法条对敏感个人信息给予较为全面的保护。《个人信息保护法》在《民法典》的基础上,第69条明确规定了损害赔偿责任的归责原则,即由个人信息处理者证明其没有过错的过错推定责任原则。

(一)《民法典》的基本立场

《民法典》虽然用6个条文对敏感个人信息给予较为全面的保护,但这些条文仅规定了适用原则、处理个人信息原则、信息主体的权利、个人信息处理者的义务以及免责事由,对损害赔偿责任的归责原则并没有进行特殊规定。因此,对于损害赔偿责任的归责原则,只能适用第1165条所规定的一般侵权行为的归责原则,即过错责任原则,这对保护个人信息权益是不利的。

(二)《个人信息保护法》制定过程中的摇摆不定

在《个人信息保护法》制定过程中,对侵害敏感个人信息权益的损害赔偿责任的归责原则存在争议,主要争议是究竟采用无过错责任原则与过错推定责任原则并行还是采取单一的过错推定责任原则。

1.《个人信息保护法》(一审稿)

《个人信息保护法》(一审稿)第65条第2款规定,个人信息处理者可以通过证明其没有过错来减轻或者免除责任。一般认为,该条同时规定了过错推定责任原则与无过错责任原则。一方面,如果个人信息处理者在裁判时能够证明其不存在过错但依然需要承担责任,实际上就是无过错责任原则;另一方面,如果个人信息处理者在此过程中因证明其不存在过错而免责,实际上则是过错推定责任原则。这将会导致法官的自由裁量权过大,难以给予个人信息处理者合理的心理预期,对保护敏感个人信息是不利的。

2.《个人信息保护法》(二审稿)及《个人信息保护法》

《个人信息保护法》(二审稿)第68条第1款规定,个人信息处理者应当证明其没有过错,否则要承担相应的责任。一般认为,该条规定的是过错推定责任原则。这是对《个人信息保护法》(一审稿)双重归责原则的一次修正,具有重大意义。正式颁布的《个人信息保护法》第69条的规定,虽然在条文内容上与《个人信息保护法》(二审稿)不同,但并没有改变过错推定原则的基本立场。

(三)归责原则的立法评析

《个人信息保护法》第69条规定的过错推定责任原则,从立法层面平衡了个人信息权益的保护与促进信息的合理利用,值得肯定[3]。对于一些侵权损害案件适用过错推定责任与否,判定的标准往往在于对“危险领域”的控制力的大小,即一方当事人对“危险领域”的控制力相对另一方来讲较强,则适用过错推定原则[4]492。一般认为,个人信息处理者对个人信息的控制能力远远大于信息主体,个人信息在某种程度上是不受信息主体所控制的。因此,对侵害个人信息合法权益损害赔偿责任的归责原则至少应当是过错推定原则。如果就侵害个人信息权益的损害赔偿责任适用过错责任原则,就意味着信息主体对个人信息处理者具有过错负有举证责任,但在目前的社会实践当中,当事人难以证明个人信息处理者具有过错。例如,在“钟某某与成都申通快递实业有限公司财产损害赔偿纠纷一案”中,法院认为,原告钟某某提供的证据不足以证明诈骗分子是从被告申通快递处知晓原告信息,原告由于无法证明被告具有过错从而败诉。这种情况是因为技术发展产生的举证能力不对等所造成的,需要从立法层面予以纠正。立法如果采用无过错责任原则,则可能会对个人信息处理者产生极大的经济负担,如果采用过错推定责任原则,既降低了信息主体的举证责任,也没有过分苛责个人信息处理者。《个人信息保护法》虽将个人信息分为一般个人信息与敏感个人信息,并规定了不同强度的“知情同意”制度给予不同程度的保护,却没有因个人信息类型不同而规定不同的归责原则予以保护,这样的做法对于敏感个人信息的保护可能存在缺陷。敏感个人信息的价值位阶高于一般个人信息,其面临着更高的风险,敏感个人信息泄露或非法使用会给信息主体带来严重危害,对于敏感个人信息的保护应当区别于一般个人信息,采取更加严格的保护措施。

二、侵害敏感个人信息权益的归责原则的学说争议

目前,对于侵害敏感个人信息权益损害赔偿责任的归责原则的理论争议可以大致分为两类,即无过错责任原则说和区分说。

(一)无过错责任原则说

有学者认为,对于侵害个人信息权益的损害赔偿责任的归责原则应当不作区分,一律适用无过错责任原则[5]。主要理由如下：首先,统一适用无过错责任原则可以更好地保护信息主体的合法权益,降低了其举证责任;其次,可以避免采用区分说而适用不同的归责原则带来的麻烦;最后,个人信息处理者掌握雄厚的财力以及技术,理应对个人信息保护具有较高的注意义务,无过错责任原则可以间接提高个人信息处理者在处理个人信息过程中的注意义务。笔者认为,统一适用无过错责任原则并不利于《个人信息保护法》促进个人信息合理使用的立法目的的实现。对于一般个人信息若采用无过错责任,将会给企业带来巨大的经济成本且不利于信息流通,也不利于数字经济的发展。

(二)归责原则区分说

第一种观点认为,根据侵权主体的身份不同而采取二元归责原则,非公务机关采用过错推定原则,公务机关采用无过错责任原则[6]。其理由主要是相较于私主体,公权力主体在财力、技术上更具有优势。笔者认为,首先,归责原则的判定不能因为某一方的财力雄厚而负有举证责任,从财力上确定归责原则是对归责原则本质的背离。其次,从技术角度看,公权力主体的技术并不一定比私主体的技术强[7]。例如,武汉新冠疫情暴发之后,第一个健康码程序就是由阿里云公司做出的,紧接着各地政府才推出本地的健康宝[8]。最后,根据个人信息处理者的主体身份区分归责原则的标准没有相应的法理依据。无论是否为公务机关都应当对其储存、处理的个人信息负责,将两者区别对待,有偏袒非公务机关之嫌。

第二种观点认为,应当以是否采用了自动化处理手段来区分归责原则,采用自动化手段的适用过错推定责任原则,采用非自动化手段的适用过错责任原则[9]。其主要理由如下：一方面,在大数据时代,自动化技术导致信息主体对于信息处理环节、过程难以预测,更难以举证证明个人信息处理者具有过错,采用过错推定责任原则可以很好解决举证困难问题。另一方面,个人信息处理者不采用自动化的方式处理信息,将消除对受害人举证能力的影响,可以适用一般侵权的归责原则。笔者认为,第一,对于个人信息是否进行自动化处理并不是区分归责原则的原因,无论是采用自动化方式还是采用非自动化方式处理信息,对于信息主体而言,都很难确定个人信息处理者是否存在过错,根本原因在于信息的处理方式与是否存在过错并无直接因果关系。第二,在处理个人信息过程中难以将自动化手段与非自动化手段严格区分。例如,在非法公开的场景下,个人信息处理者将信息主体的部分个人信息挑选出来,使用自动化手段将其散布于网络中并用非自动化手段散布于现实之中。此时,对于整个非法公开场景,信息处理过程包括了自动化手段与非自动化手段,并非单一的处理手段类型。因此,以是否采用了自动化处理手段来区分归责原则难以在司法实践中适用。

第三种观点认为,应当采取三元归责体系,即根据处理手段与主体性质的不同而适用不同的归责原则。处理手段分为自动化处理与非自动化处理,主体性质分为公权力主体与私权利主体。对于不采用自动化处理手段的主体适用过错责任原则,对于采用自动化处理手段的私权利主体适用过错推定责任原则,而对于采用自动化手段处理的公权力主体则适用无过错责任原则[10]。笔者认为,该观点使得侵害个人信息权益损害赔偿责任的归责原则适用起来较为复杂,不仅需要判断是否使用了自动化手段处理个人信息,同时还需要判断个人信息处理者的主体性质。因此,这种三元归责体系不宜在司法实践中适用。

第四种观点认为,应根据个人信息的类型来区分适用归责原则,即对于侵害个人信息中的敏感个人信息适用无过错责任原则,而对于一般个人信息则适用过错推定责任原则[11]。笔者赞同该观点,因为该观点有利于解决“知情同意”制度所面临的现实困境,通过事后的严格救济制度,倒逼个人信息处理者遵守“知情同意”制度。此外,通过规定无过错责任原则可以消除证据偏在等问题,有利于保护个人信息权益及促进个人信息的合理使用。

三、无过错责任原则之证成

《个人信息保护法》对侵害个人信息权益的损害赔偿责任的归责原则规定了过错推定责任原则,或许能够满足保护信息主体一般个人信息的需要,但对保护价值位阶更高的敏感个人信息效果不尽如人意。因此,本研究将从危险理论、与“知情同意”制度相契合、解决证据偏在问题、经济负担之回应四个方面来论证,侵害敏感个人信息权益损害赔偿责任应当适用无过错责任原则。

(一)危险理论视角下的正当性

随着科学技术的发展,大工业迅速崛起,工业活动的危险性与日俱增。无过错责任原则正是在这样的大背景下产生与发展起来的,并适用于具有特殊危险的活动。按照无过错责任原则的规定,侵权人只要致人损害的,无须考虑其是否具有过错都应承担侵权损害赔偿责任[12]。有学者认为,对于某一侵权事项采用无过错责任原则主要是考虑到侵权主体开启了危险,抑或是其对危险具有较强的控制能力[13]。笔者认为,对敏感个人信息的侵害应该适用无过错责任原则,可以从危险开启理论与危险控制理论两个方面进行论证。

危险开启理论之所以规定侵权人需要承担危险责任,是因为其开启了危险并制造了原有社会中所不存在的危险,而这一危险将会给被侵权人的人身、财产安全带来巨大的风险[14]。在小数据时代(1)一般认为,2012年为大数据元年,在其之前的信息时代称为小数据时代。,个人信息处理者的处理能力弱,对个人信息所带来的威胁较小[15]。大数据时代,个人信息处理者处理个人信息的数量、规模、处理能力都有了极大的提升,而对于信息主体来说,其面临的危险却与日俱增。个人信息早在大数据时代来临之前,就已经存在于人类社会当中,其本身并不会带来危险,正是由于个人信息处理者的加入,才给信息主体的人身、财产安全带来了巨大的风险。个人信息处理者作为危险的开启者,在其将危险现实化并造成损害后,理应承担相应的责任。有学者认为,个人信息侵权通常不具备环境侵权等特殊侵权的危害性与特殊性[16]。实际上,从侵害敏感个人信息权益的角度看,其危险性不亚于侵害环境权益。敏感个人信息的安全风险在其被非法收集、利用之初并不确定,往往具有潜伏性、隐蔽性及极大的破坏性,最终这种风险将会侵害何种权益甚至是否会转变为具体的危险都尚不明确[17]。敏感个人信息的特殊性,决定了其受到的侵害涉及面广、影响深远、人数众多。例如,自然人的生物识别信息是与生俱来的,并且具有唯一性和难以更改性,一旦生物识别信息泄露,信息主体很难通过更改账号密码等方式去更改信息来避免后续侵害的发生[18]。

危险控制理论认为,行为人既然从事危险活动,就应该有相应的专业技术能力去避免其所从事危险活动所带来的危险,行为人若造成该危险的现实化,则需要承担相应责任[19]126。从现实角度看,个人信息处理者对个人信息有着绝对的控制力,信息主体难以真正意义上控制其个人信息。个人信息处理者通过其技术优势、组织优势以及信息优势获得市场强势地位甚至垄断地位,并且依靠市场强势地位使其获得个人信息处理规则的制定权以及谈判权,以此来获得更多的收益[20]。在信息处理活动中,无论是信息的收集、存储还是分享等过程中都存在不同的风险[21]。在信息分享环节,风险来自数据发送错误、非授权隐私泄露、第三方过失而造成数据泄露等。例如,某银行在未经信息主体授权的情况下,私自将该信息主体的个人账户流水信息提供给第三方。随后,中国银保监会消费者权益保护局对该银行进行了处罚,其公布的罚单信息显示,该银行因涉及客户信息保护体制机制不健全、客户信息收集环节管理不规范等四项违法违规行为,被处罚款450万元[22]。该案件从侧面反映出,个人信息处理者对个人信息的控制力相较于信息主体来说是绝对的。此外,在信息控制力方面,个人信息处理者对一般个人信息及敏感个人信息的控制力是一样的,并无差异性。个人信息处理者对敏感个人信息的一系列处理行为具有相当控制力,就应当具有对敏感个人信息处理危险性的认识以及相应的财力和物力去避免危险的发生。

综上,从危险开启理论以及危险控制理论的角度分析了个人信息处理者在处理敏感个人信息时作为危险的开启者与控制者,理应对侵害敏感个人信息权益的损害赔偿责任的归责原则适用无过错责任原则。

(二)契合“知情同意”制度

《个人信息保护法》第13条第1款规定,个人信息处理者处理个人信息的条件之一是取得信息主体同意,而第29条关于处理敏感个人信息的规定,则是需要取得信息主体的单独同意。理论上讲,同意可以是明示的也可以是默示的,只有特殊情况下才可以是沉默。在个人信息保护领域,同意不应通过沉默来做出,否则会导致个人信息保护法立法目的和规范意旨的落空[23]。单独同意是《个人信息保护法》的核心制度,所谓单独同意就是对于待同意事项逐一进行同意,而非一揽子进行。要求个人信息处理者在处理个人信息时,区分不同类型的个人信息,采用不同的“知情同意”制度,即对于一般个人信息适用普通同意,而对于敏感个人信息适用单独同意[24]。由此可见,《个人信息保护法》对一般个人信息和敏感个人信息采用了强弱不同的同意规定。然而,该法第69条规定的个人信息处理者对过错承担举证责任,并没有区分敏感个人信息和一般个人信息,这意味着在立法层面,一般个人信息与敏感个人信息的事后救济被给予了相同程度的保护,这与“知情同意”制度的分层同意给予强弱不同的保护相矛盾。“知情同意”制度给予敏感个人信息较为严格的保护,而在归责原则上却给予一般程度保护,前后不协调的规定,容易导致单独同意的虚置,对于敏感个人信息的保护是不利的。大数据时代,“知情同意”制度遭受到了现实困境,信息不对称、信息过载以及多环节的数据流通等问题削弱了“知情同意”制度的有效性[25]。正因如此,有学者认为同意不是个人信息处理的正当性基础[26],应该改造现有的“知情同意”制度,设计适应大数据时代的新型知情同意模式[27]。由此可见,作为事前保护的“知情同意”制度并不能发挥其应有的作用。虽然敏感个人信息规定了较为严格的“同意”,但在现实生活中个人信息处理者对于信息主体个人信息的收集、处理、使用等在操作层面上并无二致。在事前保护出现困境的情况下,只有加强事后救济,才能更好地维护信息主体的合法权益。对于侵害敏感个人信息权益的损害赔偿责任应当适用无过错责任原则,强调事前保护与事后救济相协调。此外,无过错责任原则的适用可以反作用于个人信息处理者加强完善“知情同意”制度的落实。

(三)消除证据偏在困境

证据偏在是指大量能够证明法律要件事实的证据被集中控制于一方当事人,且往往是加害的当事人一方[28]261。信息时代,个人信息在个人信息处理者之间来回流转与处理,信息主体很难知晓个人信息处理者如何处理其个人信息,更不用说举证其有过错,这加剧了证据偏在情况的发生。在个人信息侵权的案件中,信息主体所掌握的证据主要是有关损害结果的事实,对过错及因果关系都难以证明。正因如此,《个人信息保护法》规定了过错推定的归责原则。由于证据偏在的存在,个人信息处理者虽然承担了对于过错的举证责任,但可以通过举证其采取了相应的信息安全技术措施和其他必要措施来证明其没有过错,信息主体却没有反驳的“武器”。在侵害个人信息案件中,个人信息处理者一直掌握着主导权,信息主体只能“祈求”个人信息处理者没有做好相应的合规操作,才有可能获得诉讼的胜利。

在司法实践中,可看出端倪。以“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷一案”为例,在该案件当中,庞理鹏在订购机票后不久,就收到了诈骗短信,并遭受损失。由于当时《个人信息保护法》尚未出台,适用的是过错责任原则,原告由于举证不能而一审败诉。在二审中,法院对于证明标准采用了高度盖然性说[28]255。法院在认定被告具有过错时,是从被告作为个人信息处理者的义务以及被告的经济和能力出发。一方面,法院认为中国东方航空股份有限公司和北京趣拿信息技术有限公司作为个人信息处理者对于其收集到的个人信息具有确保信息安全的义务,如果个人信息处理者违反了该保护义务则认为其存在过错。另一方面,被告作为大型企业有能力和财力去保护信息主体的信息安全,在被曝光涉嫌泄露个人信息后,理应知晓其信息安全管理存在漏洞,但没有采取相应的措施来维护信息安全。因此,法院认定被告具有过错,应承担损害赔偿责任。从该案可以反推,如果被告举证证明自身已经尽到了足够的义务,那么原告还是会因为无法证明被告具有过错而败诉。

从上述案例可以看出,过错推定责任原则可以减轻信息主体的举证责任,但实际上,仅是采用法律技术使得本应由原告所承担的举证责任分配给被告,由被告承担其不存在过错的举证责任,其本身并没有脱离过错推定的范围[29]。只是缓解了目前由于证据偏在而导致举证能力严重不对称的问题,采取无过错责任原则就能够解决在过错证明方面的证据偏在问题[30]。考虑到敏感个人信息被侵害后对于人格尊严和人身、财产安全严重威胁的特点,以及对于一般个人信息合理利用目标,过错推定原则仍达不到对敏感个人信息的有效保护,对于侵害敏感个人信息应当适用无过错责任原则。

(四)经济负担之否定

首先,否定无过错责任原则者的忧虑源于对个人信息处理者的经济负担能力的担忧[17]。诚然,采用无过错责任原则会给个人信息处理者带来更多的经济成本,用于确保敏感个人信息的万无一失。一方面,保护敏感个人信息本身就是个人信息处理者应该去重点关注与投入成本的地方。随着信息主体个人隐私保护意识的不断觉醒,信息主体一般都会选择对隐私保护程度高的个人信息处理者。从积极的角度看,投入适量的成本保护敏感个人信息,并不是毫无价值的,而会收获一大批注重隐私保护的用户的青睐。另一方面,对于已经采取了高强度保护措施的个人信息处理者,由于第三人的原因遭遇“不幸”,即被第三人泄露或非法利用了敏感个人信息,可以通过购买商业保险的方式降低成本。保险是分散危险、消化损失的最佳经济补偿手段[31]42。自从人类社会产生以来,人们在生产和生活中经常会遇到各种各样的意外事故。这些意外事故,对社会经济的发展和人民生活的安定带来巨大的威胁甚至损害。因此,人们总是想将这些风险和损害转嫁至他处或限制在最低限度内[32]。无论是从成本投入还是风险化解方面,个人信息处理者都有途径或方法减轻经济负担。笔者认为,对于经济负担过重的质疑来自对个人信息处理者的过分保护。

其次,根据报偿原则,即利益之所在,风险之所归。因从事危险事务而获其利益者,应负赔偿责任,以承担其可能发生的外部成本[33]627。敏感个人信息与信息主体的人格尊严和人身、财产安全联系密切,对该种信息的处理会给信息主体带来重大风险[11]。一般个人信息的泄露或者非法使用并不会导致严重的后果,而敏感个人信息的泄露或非法处理会导致自然人难以承受的损害后果。因此,个人信息处理者在处理敏感个人信息带来收益时,应当承担相应的责任。

最后,从成本效率角度讲,基于个人信息的类型不同而给予了不同强度的保护,在处理敏感个人信息时需要更加复杂的保护程序,从而导致效率降低。然而,为了实现对人的保护而限制处理敏感个人信息,并不会构成对效率的损害。以损害“人”为代价而获得的效率,并不是一种真正的效率[34]231。纵容信息技术发展过程中产生的侵权行为,固然可以提高效率,但敏感个人信息一旦被不当利用,可能会给信息主体带来无尽的伤害。随着信息时代的发展,敏感个人信息日益与金融、信用体系相关联,敏感个人信息的泄露会导致更大的安全隐患,进而造成更大的经济成本[35]。

四、结语

个人信息不仅包含能体现个人价值的信息,还具有一定的社会价值。因此,一方面要保护个人信息权益,另一方面还要促进个人信息的合理流动,发挥其社会价值[36]。这样就会带来究竟是侧重保护还是侧重利用的问题,个人信息的分类正好可以回答这个问题。一般个人信息作为相对次要的信息应当被更加有效地利用,而敏感个人信息作为相对重要的信息应当被更加严格地保护,做到分而治之[37]。一般个人信息的可利用度高,而敏感个人信息的可利用度受其敏感度的制约而相对较低,需要采用不同程度的保护措施。正因如此,应当在保护与利用之间寻求平衡,使得敏感个人信息得到严格保护,一般个人信息得以有效利用,助力数字经济的发展。