论个人信息侵权归责原则

孔思祯

在当前大数据爆炸式增长的时代,大数据算法、人脸识别等大数据技术已经成为了社会发展以及公众生活的普遍需求。公众日常生活中不管是线上浏览行为还是线下活动都会被捕捉,从而形成信息数据被收集、整合。例如,智能手机就是一个数据库,每一次网页浏览、每听一首歌、每搜索一个词以及每一处使用痕迹都会被当作个人数据加以收集。淘宝、抖音等网络服务提供者就能通过对公众的个人数据进行分析,进而提供精准的个性化、定制化推荐。过度收集、恶意使用等滥用个人信息现象的频发,给公民的隐私权、名誉权等人格权以及财产权都带来了新的风险。甚至可以说,随着智能手机的普及率越来越高,滥用个人信息的风险无时无刻围绕在人们的日常生活中,导致个人信息侵权纠纷频发。

2021年施行的《中华人民共和国民法典》(以下简称《民法典》)将个人信息纳入人格权编。但此时并未作出具体、细化的规定,个人信息侵权仍属于一般侵权并适用一般过错责任原则。这其实并未充分考量到个人信息主体在专业技术等综合条件上的欠缺,其往往无法证明信息处理主体的行为具有过错,甚至根本不知道自己的权益已经受到侵犯,如果法院仍然严格按照“谁主张,谁举证”分配举证责任,就会难以实现个案的公平正义。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)体现了我国个人信息民法保护的专门性、系统性,进一步规范个人信息收集、使用、传输、加工等处理活动,促进个人信息的合理使用,保护个人信息权益不受侵害。其中本法第69条第1款明确规定,个人信息处理者在处理信息时侵害个人信息权益造成损害的,采用过错推定责任。随着《民法典》《个人信息保护法》的施行,个人信息侵权领域的过错推定责任如何得以精准地贯彻和实施依然是一个重大的解释论问题。

一、个人信息侵权归责原则的争议问题

《个人信息保护法》通过之前,侵犯他人个人信息的案件并不属于我国法定的特殊归责情形,因此,原则上都应采用一般过错责任原则,即由原告证明损害后果、侵害行为、因果关系与过错。《个人信息保护法》颁布之后,虽然明确了我国个人信息侵权的归责原则为过错推定原则,但对此原则学界与实务界仍然出现了明显分歧,具体表现为以下三种观点:

(一)单一过错推定原则

目前,我国在个人信息侵权领域的立法上采用单一过错推定原则,即《个人信息保护法》第69条确定以过错推定作为个人信息侵权民事责任的归责原则。采用过错推定责任确定侵害个人信息权益的侵权赔偿责任,即适用举证责任倒置规则,有利于减轻个人信息主体作为自然人的举证负担,这更有利于保护被侵权人的合法权益,同时对于个人信息处理者而言也没有过于苛刻,更符合民法中公平正义的理念。

(二)单一无过错归责原则

个人信息侵权损害赔偿不应当适用过错责任,应统一采用无过错归责原则,同时还需要明确可免除被告责任的法定免责事由[1]。即当信息主体在个人信息权益受损提起诉讼时,无须证明被告存在过错,被告只有存在法定免责事由的情况下,才能免除责任。同时在此基础上,针对不同主体、不同信息处理行为的适用范围和免责事由,还可以进一步细分作出不同的规定[2]。数字时代,计算机技术的发展使得组织、企业或个人之间通过数据交换实现自身利益的最大化,因此,个人信息处理者对个人信息的二次或者多次利用往往难以规制。采用无过错归责原则,一方面解决了实践中难以证明侵害人过错的难题,另一方面,也对个人信息权益加以最大保护。

(三)多元归责体系

在个人信息处理领域,由于信息网络技术的更新和发展,个人信息和处理主体的类型均具有多样性,当个人信息遭受侵害并产生损害后果时,应当对个人信息和处理主体进行类型化细分,分别确定其相应的归责原则[3]。大数据技术的应用加剧了个人与信息处理者在举证和诉讼能力上的差距,单一的归责原则不足以解决大数据时代下的各类个人信息侵权行为。由于技术、知识等综合因素差别,如果一概由受害人承担过错证明责任,必然不利于对各类信息主体合法权益的保护。应当根据不同的责任主体适用不同的归责原则,减轻受害者的诉讼负担,也能够更好地平衡诉讼双方的诉讼能力。

此外,采用何种标准对侵权主体进行分类目前学界还存在争议。有学者根据是否采用数据自动处理技术对侵权主体进行分类,分为采用数据自动处理技术的国家机关、采用数据自动处理技术的非国家机关以及未采用数据自动处理技术的其他数据处理者,并且分别适用无过错责任、过错推定责任以及一般过错原则[4]。此种分类方式与德国2018年颁布的《联邦数据保护法》具有相似性,即对自动化数据处理者和非自动化数据处理者分别适用无过错责任、过错推定责任。同时,由于国家机关是我国目前最大的信息数据控制者和管理者,部分学者认为应当区分个人信息处理者是国家机关还是非国家机关,并分别适用无过错责任和过错推定责任[5]。

二、个人信息侵权过错推定原则的合理性

(一)理论基础

在《个人信息保护法》立法过程中,过错推定原则的适用经过多次争论和修改。为进一步推进《个人信息保护法》的全面实施,需要厘清个人信息侵权适用过错推定原则的理论基础,进一步才能明确过错推定原则在个人信息侵权领域的适用路径。

一方面,个人信息侵权适用过错推定原则的正当性基础在于平衡个人信息侵权当事人双方的诉讼能力。考虑到个人信息处理者和自然人地位不对等,信息主体相较于个人信息处理者处于弱势地位,采用过错推定原则更有利于保护信息主体的合法权益[6]。信息主体往往是自然人,而个人信息处理者往往是掌握计算机自动化技术、数据交换技术的组织或企业,双方在信息、技术、资金等方面的能力存在较大的差距,加之信息处理活动往往具有专业性和技术性,信息主体作为原告难以提出证据证明被告在信息处理过程中存在不当甚至违法行为。因此,采用过错推定原则,实行举证责任倒置,不再要求原告对被告的过错承担证明责任,是缩小了个人信息侵权诉讼主体双方在举证能力的差距,平衡了双方的诉讼能力。

另一方面,个人信息侵权适用过错推定原则的实质性基础在于个人信息处理者负有先前处理行为引起的法定作为义务,先前行为作为产生法定作为义务的正当事由,也是追究特定义务人承担不作为责任的重要依据[7]。在个人信息处理者具有法定义务的前提下,一是可以通过明确被告未履行法定作为义务推定其有过错,二是被告对自己是否履行了法定作为义务承担证明责任。也就是说,依照《个人信息保护法》的相关规定推定侵害人有过错,当其不能证明自己已经履行了法定义务,不能证明自己没有过错,就应当承担侵权责任。从这种角度来看,个人信息处理者对自己的信息处理行为是否符合法律规定以及是否履行了法定作为义务承担证明责任,也就是对自己是否有过错承担证明责任,这也就构成了适用过错推定责任的实质性基础。

(二)对比优势

学界主流观点认为个人信息侵权不应适用一般过错责任,而是应当作为一种特殊的侵权行为对其适用特殊的归责原则,而到底适用何种特殊归责原则仍然争论不休。关于侵害个人信息权益赔偿责任的归责原则的诸多观点各有优缺点,总体上来说《个人信息保护法》所采取的过错推定责任更为妥当,也更具有优势。

首先,针对个人信息侵权统一适用无过错归责原则,在对个人信息加以更严格保护的同时,也是过度约束了个人、企业以及政府机关处理个人信息的行为。在大数据技术能给社会发展以及个人生活带来巨大便利的情况下,影响了个人信息在大数据技术的整合分析下产生的经济效益。例如,在历史上欧盟个人信息保护立法是采用的严格责任,但考虑严格责任的局限和适应社会发展对数据流通的需要,2018年5月25日颁布的《通用数据保护条例》(以下简称GDPR)转向过错推定原则。

其次,针对多元归责体系,目前学界主流的两种侵权主体的分类方法和归责原则的适用均存在一定的不妥当性。第一种,根据是否采用数据自动处理技术对侵权主体进行分类,在目前数字时代的背景下缺乏实际意义。个人信息保护法也是为了应对大数据技术逐步成熟给个人信息带来的风险下应运而生的,并且如今处理活动基本上都是通过计算机自动化技术进行的。第二种,将侵权主体分为国家机关和非国家机关,并对国家机关适用更严格的无过错责任,极大程度上影响了国家机关利用个人信息管理社会公共事务。虽然考虑到国家机关对于信息主体来说双方的地位和能力差距悬殊,若是国家机关处理个人信息的行为对信息主体造成的伤害往往是更加严重和恶劣的,但是不一定是需要以承担无过错责任的方式来规制。例如,信息主体遭受侵害时,还可以通过请求国家赔偿的方式弥补损害。根据侵权主体、个人信息主体的不同和个人信息敏感度的不同,进行类型化区分,分别适用不同的特殊归责原则,虽然是能够选择最利于个案信息主体的归责原则,但是类型过于复杂繁多使得在实践上缺乏可操作性。

最后,相较于以上两种归责原则,在个人信息侵权领域适用过错推定原则更具有优势,更加符合公众和社会对个人信息保护的期待。过错推定原则要求适用举证责任倒置规则,即在法律对个人信息保护有特别规定的情况下,以客观存在的损害事实为基础,推定信息处理者的行为具有过错并承担其没有过错的举证责任。并且,在个人信息能够带来巨大的社会效益和经济效益的前提下,过轻保护无法解决个人信息侵权泛滥的社会现象,过度保护又不利于信息间的自由交换和利用,进而妨害数字时代互联网科技和社会经济的发展。

三、个人信息侵权过错推定原则的适用范围

综上所述,个人信息侵权适用过错推定原则具有一定的理论基础和优势,通过解释论方法,仍需要进一步明确过错推定原则在个人信息侵权领域的具体适用范围。并不是在任何条件下进行了个人信息处理活动的主体,都需要承担过错推定责任。

(一)适用主体

《个人信息保护法》主要规制的是个人信息处理者对信息收集、传输、修改、储存等处理活动。在这一点上,我国一定程度的借鉴了欧盟的相关规定,GDPR在对侵害个人信息的主体的界定时规定了“信息控制者”与“信息处理者”两种。

根据《个人信息保护法》,“个人信息处理者”造成侵权时承担过错推定责任,并且在第73条中将个人信息处理者模糊定义为在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。因此,可以将侵权主体分为个人信息处理者和非个人信息处理者,即个人信息处理者适用上述规定,而非个人信息处理者应当适用《民法典》第1165条第1款的过错责任原则[8]。

(二)适用条件

根据《个人信息保护法》个人信息处理者承担侵权责任包括以下两个条件,一是其行为对他人个人信息权益造成了侵害并产生损害结果;二是需要证明自己的行为没有过错。而关于这一点仍有进一步解读的空间,个人信息处理者过错的判断标准上,什么情况下是有过错,什么情况下没有过错,还需要进一步释明。

个人信息处理者对信息的处理行为可以简单分为合法处理行为和非法处理行为两种。此种分类下,非法处理行为显然表明个人信息处理者违反了相关的法定义务,可以直接推定其处理行为存在过错,并且承担相应的证明责任。因此,应当将《个人信息保护法》《民法典》等相关法律规定的个人信息处理者法定义务和职责作为标准,来判断个人信息处理者是否存在过错。即个人信息处理者违反了上述义务则推定为有过错,如果个人信息处理者的行为符合上诉法定义务的规定则推定为没有过错。这种判断标准,一方面对诉讼主体双方的利益衡量更加公平,另一方面使得企业、组织、国家机关等个人信息处理者履行法定义务有着更严格的要求,有利于协调个人信息保护和合理利用的冲突。

四、结语

通过对学界不同观点进行梳理和分析,将过错推定责任作为个人信息侵权纠纷的归责原则,一定程度上加重了个人信息处理者作为侵权人的证明责任,严格规范了个人信息处理者的行为,体现了我国对个人信息民法保护的立法上兼顾个人信息保护和流通的价值取向。为加强对个人信息的保护,同时保护个人信息的合理流通和利用,对个人信息处理者适用过错推定原则具有正当性和优势。今后,仍需要在《民法典》《个人信息保护法》的框架下,通过解释论方法对过错推定原则的适用范围及相关概念进行释明,使得个人信息侵权过错推定原则在实践中更好的发挥作用。