吕 凯， 张 宇

(天津大学法学院， 天津300072)

网络服务提供者在数据信息的收集和传播过程中起着十分重要的作用，它既是数据信息的传播者，也是网络空间的守护者[1]，为网民提供上传和下载数据信息的平台，数据信息在其运营的平台中传播和交换，并负有法律规定的审查义务，对在其运营平台上面的信息进行及时合理的审查，守护网络环境的秩序[2]。我国在著作权法领域规定了网络服务提供者的责任和义务，如《信息网络传播权保护条例》中规定在接到侵权通知后有删除的义务；同时在《侵权责任法》中增加了第三十六条，该条指出了网络服务提供者的直接侵权责任和间接侵权责任，并将通知删除义务的应用从著作权侵权扩大到了任何数据信息侵权；《网络安全法》第四章规定了网络服务提供者对个人数据信息的保护义务，例如保密义务、主动审查义务和通知删除义务；《全国人民代表大会常务委员会关于加强网络信息保护的决定》中规定，涉及公民个人隐私和个人身份的电子信息均受到保护，对非法获取、出售、向他人提供公民的个人电子信息均是违法行为；《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》是对《侵权责任法》第三十六条的进一步解释，指出了数据信息侵权行为的受害人可以要求人身损害赔偿、财产损害赔偿和精神损害赔偿三种赔偿方式。

虽然我国已经出台了一系列针对数据信息侵权行为的法律法规，但是数据信息侵权问题仍然没有得到解决，反而越来越严重。根据《第四十二次互联网安全报告》显示，2018年上半年，有28.5%的网民遭受过个人信息泄露，19.7%的网民遭遇账号被盗或密码被盗，58.6%的网民遭遇过网络信息诈骗，如虚拟中奖信息诈骗、网络购物诈骗、社交网站冒充好友诈骗等[3]。2014年，12306火车票官方订票网站出现漏洞，导致近600万用户信息泄露。2016年12月，京东内部员工监守自盗泄露了50亿条公民的个人信息，严重危害了个人信息安全。2016年，高中生徐玉玉因个人信息泄露，接到自称招生机构的诈骗电话，财产受到损失，最后导致自杀身亡。要解决数据信息侵权问题，首先应该明确这类侵权行为的特点，针对这些特点找出我国现有法律法规存在的不足，从而进行改进和完善。

一、 网络服务提供者数据信息侵权的特点

网络服务提供者的个人数据信息侵权行为与一般的个人信息侵权行为本质上是相同的，都是在对个人信息的收集、传播、使用过程中产生的侵权问题，由于网络具有虚拟性和无边界性，因此网络服务提供者的数据信息侵权行为具有其自身的特点。

1. 侵权方式具有多样性

一般的个人数据信息侵权都是直接侵权，侵权人直接窃取他人的银行账号和密码，或者通过木马程序进入他人的电脑盗取他人的个人信息，但是网络服务提供者的侵权方式可以分为直接侵权和间接侵权。直接侵权是指网络服务提供者直接利用其所提供的服务非法收集、传播和利用用户的信息[4]，例如王某与北京凌云互动信息技术有限公司侵犯名誉权纠纷案中，凌云技术公司利用其所提供的大旗网站私自公开了王某的姓名、照片和家庭住址等个人信息，导致网友到王某家门口进行骚扰。在这一案例中，凌云公司利用其运营网络平台的优势私自曝光他人个人信息的行为属于直接侵权。间接侵权是指网络服务提供者没有直接实施侵权行为，但是故意引诱他人直接实施侵权行为，或者明知或应知他人将要或正在实施直接侵权行为，而为其提供帮助，或者明知他人已经实施侵权行为而不加以制止[5]。例如在金八文化传媒有限公司与华瑜婷、陈嘉炜网络侵权纠纷案中，金八公司并没有传播或利用原告的个人数据信息，但用户将原告个人信息上传到了该平台，而金八公司没有尽到注意义务，没有对用户上传的内容加以审查，也没有在接到通知后及时删除，故法院认定构成了间接侵权。

2. 侵权行为具有隐秘性且举证难度大

网络服务提供者作为网络平台的运营者、服务的提供者，掌握着高超的信息处理技术，可以利用其提供的服务轻易收集到用户的数据信息，并将收集到的数据信息非法出售给他人，或者利用信息传输技术将用户的个人数据信息在网络上进行传播，供他人浏览，而此时受害者却难以确定侵权者是个人用户还是网络服务提供者，进而难以追究侵权责任[6]。例如京东员工利用职务之便贩卖50亿条公民的个人信息，可能有很多被贩卖信息的受害者至今还不知道自己的信息已被贩卖。

3. 侵权客体的范围扩大

一般个人数据信息侵权行为的侵权客体是姓名、电话、家庭住址、身份证号码等，但是网络服务提供者的侵权客体不仅仅局限于通常的个人信息，还包括浏览记录、聊天记录、网购记录、医疗电子记录等。网络服务提供者可以利用Cookies等技术分析用户在其平台上的浏览记录，通过了解用户的喜好以分析市场走向。如淘宝网可以通过收集用户的网购记录，分析用户的消费习惯、市场走向，如果淘宝网将这些网购记录出售给他人或者通过网络进行传播，那么用户很有可能会收到相关的推销短信、电话、邮件等，影响用户的正常生活。美国的剑桥分析公司就曾经借助Facebook平台收集人们对时尚品牌的偏好，利用这些数据判断政治倾向，这一事件导致Facebook陷入信息泄露的丑闻中，而剑桥公司也面临破产危机。在一般的个人信息侵权中，人们的偏好可能并不是个人信息，但是由于在网络环境中通过分析成千上万条信息就会得出普遍规律，从而带来无限商机。

4. 损害后果更加严重

一般线下的个人信息侵权传播速度比较慢，传播范围较小并且可以控制，由于网络传播信息的即时性，个人数据信息一旦在网络上被公开，传播范围很有可能瞬间扩大。如某明星的个人就医记录被人发布到微博上，该记录很有可能瞬间被转发上万次，严重侵害了该明星的隐私权，即使传播者马上删除，也难以消除影响。同时，网络服务提供者作为运营者，掌握着整个平台的运营情况，一旦网络服务提供者未经用户同意，将用户的个人信息在网络上进行传播，会给用户带来严重的损害后果。

5. 免责事由具有特殊性

一般的行为人实施侵权行为后，其免责事由为受害人故意造成损害、第三人过错、不可抗力、自助行为和紧急避险。对于网络服务提供者而言，不仅可以具有这五种免责事由，还有自己独特的规定，如《侵权责任法》规定网络服务提供者在收到被侵权人的通知后，及时删除侵权内容，则可以免除侵权责任。同时，在司法实践中，网络服务提供者还可以以技术中立原则进行免责，例如迅雷网络技术有限公司、北京三面向版权代理有限公司侵害作品信息网络传播权纠纷案中，法院认为迅雷公司提供的下载软件仅仅是一种下载工具，并不需要对用户的下载内容负责，故可以采用技术中立原则免除侵权责任。

二、 网络服务提供者数据信息侵权现状

1. 侵权责任的归责原则不清晰

我国关于个人数据信息侵权的归责原则存在着争议。有的学者认为应当按照网络服务提供者的类型来区分归责原则[7]，也有学者认为：应当根据侵犯的不同民事权益判断归责原则[8]，还有的学者认为：应当区分直接侵权和间接侵权的归责原则[9]。虽然我国《侵权责任法》第三十六条第一款规定了网络服务提供者侵害他人合法权益时应该承担民事责任；第二款和第三款规定了网络服务提供者知道用户实施侵权行为而没有采取制止措施的应与用户承担连带责任，但该条款并没有明确指出应当适用的归责原则。首先，从立法表述上看，《侵权责任法》第三十六条规定，网络服务提供者侵害他人利益时应承担侵权责任，该规定从字面意思上看并不符合过错责任原则的表述，该规定并没有对网络服务提供者主观上是否具有过错进行明确表述，所以无法确定具体的归责原则。其次，从司法实践中看，由于我国法律没有明确规定应该适用的归责原则，所以很多案件都对这一问题进行了规避，例如在金八文化传媒有限公司与华瑜婷、陈嘉炜网络侵权责任纠纷案中，法院认为金八公司没有尽到注意义务，所以应承担责任，即该法院采取了过错责任的归责原则。但在闫某与新浪公司、百度公司侵犯名誉权、隐私权纠纷案中，法院认为被告没有证据证明其履行了注意义务并及时删除侵权内容，应该承担侵权责任，即法院适用了过错推定责任。虽然这两个案件的判决结果没有不同，但是因为适用的归责原则不同，造成了举证责任的分配不同，在过错责任原则下，由原告承担被告有过错的举证责任，而在过错推定原则下，由被告承担自己履行了注意义务和删除义务的证明责任。

2. 缺乏判定网络服务提供者间接侵权的标准

如上文所述，网络服务提供者的数据信息侵权方式具有多样性，既可以实施直接侵权行为，又可以实施间接侵权行为。直接侵权行为很好判定，但对于间接侵权行为的判定，在学理上存在着一些争议，在司法实践中，由于缺乏统一的判定标准，对于间接侵权的认定也存在着不同的结果。在我国，主要依据《侵权责任法》第三十六条第三款中的“知道”标准判定网络服务提供者的间接侵权责任，但在学理上，学者对于“知道”的理解却产生了分歧，一部分学者认为“知道”不包括“应知”，也就是不包括因违反注意义务而对用户造成侵权的情况，他们认为“知道”指的是网络服务提供者接到用户的侵权通知，或者用户有充分的证据证明网络服务提供者明知侵权行为存在[10]。另一部分学者认为“知道”应该包括“明知”和“应知”，“应知”是指网络服务提供者应当履行适当的注意义务，在事前发现侵权行为，从而制止侵权行为发生，但是并没有及时履行该义务，导致用户权益受到侵害[11]。

在司法实践中，由于缺乏统一的判定标准，法院既使用了“明知”的标准，也采纳了“应知”标准。在闫某与新浪公司、百度公司侵犯名誉权、隐私权纠纷案中，法院在判定新浪公司是否构成间接侵权时，采取了“应知”标准，认为新浪公司没有尽到《互联网电子公告服务管理规定》所规定的事前提示和事后监督义务，应该承担侵权责任。而对于百度公司，法院认为百度公司采取设置投诉链接、告知投诉步骤和权利声明等方法，起到了事前监督和事后审查的作用，所以不承担侵权责任。在这一案例中，法院认为设置了相关的投诉渠道等救济通道就视为网络服务提供者履行了注意义务，这种认定标准缺乏法律依据。在迅雷公司与北京三面向版权代理公司信息网络传播权纠纷案中，法院认为网络服务提供者是否构成间接侵权可以依据网络服务提供者是否主动对作品进行选择、编辑、推荐等进行判断，在这一案件中，迅雷公司只为用户提供了作品链接，并没有对该作品进行推荐或编辑，所以不构成间接侵权。从这两个案例中可以看出，法院在认定间接侵权行为时，具有很大的裁量空间，所依据的标准不统一，导致同案不同判。

3. 缺乏明确的数据信息侵权损害赔偿标准

由于个人数据信息侵权往往发生在网络上，传播速度快、范围广、受害者众多，所以难以根据现实的实际情况确定受害者受到的损害[12]。尤其是在精神损害赔偿方面，虽然我国有相关的司法解释规定精神损害赔偿应该考虑的因素，但是这些考量因素主观性较强，很难确定具体的损害赔偿数额，而且也没有规定最低额度和最高额度，这样也会增加法官的自由裁量幅度[13]，例如徐某与新浪公司名誉权纠纷案中，法院认为在判定损害数额时应该结合被告的过错程度、侵权行为持续时间等酌情判断。在周某与金山软件公司名誉权纠纷案中，法院认为应结合直接侵权人的身份、侵权内容、相关语境、受众情况和可能引发的后果等来判断损害赔偿数额。由于我国法律并没有区分网络服务提供者的直接侵权和间接侵权所应承担的损害赔偿，网络服务提供者的间接侵权往往是因为疏忽大意造成的，如果直接侵权和间接侵权所承担的损害赔偿责任相同的话，可能会增加网络服务提供者的负担，甚至助长网络服务提供者的侵权行为[14]。另外，《侵权责任法》第二十条规定的三种损害赔偿标准是按顺序适用的，如果受害者能证明自己的损失，则损害赔偿的数额仅限于受害者的损失，但是当侵权人的经济利益大于受害人的损失时，如果仍然局限于受害人的损失，那么即使侵权人赔偿了受害人的损失，侵权人仍然是获利的，这就违背了立法目的，无法达到惩戒违法犯罪行为的目的。

4. 没有具体规定网络服务提供者的免责事由

在司法实践中，网络服务提供者经常提出技术中立原则进行免责，但是我国法律没有明确规定技术中立原则的适用问题，这给法院判定网络服务提供者是否应当免责带来了困难，甚至在有些案件中直接援引美国的制度，缺乏与案件的联系性，也与我国的法律制度不相符合[15]。在快播案中，被告曾经以技术中立原则进行抗辩，但是由于我国并没有明确规定技术中立原则是什么，如何应用，在什么情况下可以作为免责事由，所以法律工作者并不能很好的运用技术中立原则，法官为了规避风险，几乎不赞同技术中立原则可以免责，但是这样往往会让技术研发者和提供者产生恐惧心理，阻碍科学技术的发展。即使采用技术中立原则为网络服务提供者免除了责任，但是却缺乏法律法规的支撑，如在迅雷公司与北京三面向版权代理公司信息网络传播权纠纷案中，法官仅通过理论来论证迅雷公司依据技术中立原则进行免责，但缺少法律依据，使判决结果缺乏一定的说服力。

虽然《侵权责任法》规定了通知与删除规则，并且有相关的司法解释对通知的内容作了规定，但法律并没有规定一旦通知不符合要求时，网络服务提供者该如何做，是否应当承担侵权责任。在实践中，可能很多受害者不了解通知的构成要件，发出的通知不符合要求，导致网络服务提供者按照自己的判断采取了一定的措施，未完全按照权利人的意思处理，从而使网络服务提供者被推上被告席，承担连带责任。

三、 进一步完善我国相关法规的建议

1. 规定多元的侵权责任归责原则

随着信息技术的发展，信息的种类逐渐多元化，获取信息的渠道越来越多，对网络服务提供者的技术要求也越来越高，网络服务提供者需要承担信息的传播、收集和保护责任，侵权行为类型可能逐渐多样化，针对不同的侵权行为应当采取不同的归责原则[16]。具体来说，网络服务提供者的侵权行为可以分为直接侵权和间接侵权。对于直接侵权，应适用一般过错责任原则，即如果网络服务提供者存在过错，则承担侵权责任，如果是用户个人的操作失误导致个人信息受到侵害，网络服务提供者不承担侵权责任。对于间接侵权，可以参考欧盟关于《个人数据保护指南》规定的过错推定原则，该指南规定，网络服务提供者应当对自己违反义务的行为承担损害赔偿责任，如果能够证明它不对任何产生损害的事件负责，可以免予承担该责任[17]。我国可以参照该指南，规定网络服务提供者存在过失或故意，帮助他人侵害用户的个人信息时，如果其不能证明自己不存在过错，则应当与侵权人共同承担侵权责任。适用过错推定责任有利于促进网络服务提供者履行注意义务，保护用户的合法权益[18]。

2. 明确间接侵权的判定标准

整合相关案例和法律法规，明确间接侵权的判定标准。结合相关的司法案例、法律法规和域外关于间接侵权的规定，对于间接侵权的认定应该将“明知”和“应知”标准相结合。 “明知”可以依据被侵权人发出的通知来判定，当被侵权人向服务提供者发出侵权通知时，即可确定其知悉运营的平台存在着侵权行为，服务提供者应该采取断开连接、删除相关内容等制止侵权行为[19]。对于“应知”，可以依据服务提供者是否履行了注意义务进行判定。注意义务是指服务提供者应该采取一些措施预防和控制侵权行为[20]，对于注意义务的标准可以参照美国的Tiffany案，该案法院认为，服务提供者不仅要在用户上传数据信息时进行审查，同时也要对每位用户上传的数据进行监控，明确每位用户上传的内容。我国虽然在《互联网电子公告服务管理规定》中明确了服务提供者事前提示和事后监督的义务，并要求其设置投诉渠道和权利声明，但是该规定法律位阶不高，且规定不全面，应出台相关的司法解释，对注意义务进行更明确的规定。

3. 完善对免责事由的规定

《侵权责任法》及相关的司法解释虽然对通知与删除规则进行了规定，但是法律并没有规定一旦通知不符合要求时，网络服务提供者该如何做，是否应当承担侵权责任。应该明确如果不符合要件，网络服务提供者要及时告知受害者通知的要求，并建议受害者重新发出通知，同时应当根据已经提供材料的范围采取一定的措施。如果受害者已经提供了充足的证据可以证明侵权行为，那么，网络服务提供者应当及时暂停侵权内容的链接、屏蔽侵权内容等措施，制止侵权行为的发生。

针对技术中立原则，虽然我国目前有很多指导意见和司法判例针对技术中立原则做出了一些总体规定，但是缺乏具体适用的法律规定。因此，我国法律应该明确规定技术中立原则的适用情况，在相关法律中明确指出技术提供者在什么情况下应承担责任，明确技术中立与侵权认定的关系，并提出处理二者关系的具体要求和实施方案，严格审查技术提供者承担侵权责任的条件[21]。另外，法律也应当严格限制技术中立原则的适用范围，可以采用列举法制定严格的技术中立原则的适用情况，防止技术研发者或提供者帮助他人实施违法犯罪之后，却利用技术中立原则逃避法律的制裁。

4. 制定详细的损害赔偿标准

服务提供者对受害人造成的财产损害后果主要是因信息泄露造成的个人财产被盗取和个人数据信息本身具有的商业价值被他人利用。第一种情形下，可以根据受害人被盗取的具体财产数额判定损害赔偿数额。但是对于第二种情形，由于个人数据信息的财产价值难以量化，侵权者往往是将成千上万的个人数据信息汇总成数据库，再利用数据库获取经济收益，而单独某一条个人数据信息可能并没有很高的经济价值，所以此时很难判定受害人的损失[22]。笔者认为，可以参考《著作权法》的规定，在使用他人数据信息时应当支付合理的使用费用，具体数额可以依据数据的用途、使用者的预期收益、数据的重要性等因素双方协商确定，而当出现数据信息侵权问题时，可以依据同类数据信息的使用费用来确定受害者的损失。在判定赔偿数额时，不应当局限于《侵权责任法》第二十条的规定，应当考虑案件的具体情况，如果侵权人所获得的收益高于受害人的损失，则法院可以在平衡各方利益后，在受害人的损失和侵权人获得的收益额度内确定一个合理的赔偿数额，这样既起到了惩戒作用，又使受害人得到了补偿。

大多数侵犯个人数据信息案件都会因隐私被公众知悉，而使受害人受到精神损害，对于精神损害赔偿的标准，笔者认为除了司法解释规定的考虑因素外，还应当考虑网站影响力、相关内容的点击率、转发量和网页的评论内容，从而判定精神损害的严重程度。之所以考虑这四种因素，有四点原因：第一，网站的影响力不同，传播的范围就不同，所造成的损害也不同，在知名度高的网站上发布他人的个人信息则可能造成很大的损害后果，如新浪微博公开他人的身份证号码、手机号码等，该信息很有可能在短时间内被广泛传播，给受害者的正常生活带来困扰；第二，点击率是相关内容受到关注程度的衡量指标，点击率越高说明浏览该信息的人越多，传播范围越广泛，点击率作为一个可以量化的数字，很好的反映了损害的程度，也可以约束法官的自由裁量权；第三，转发量是衡量侵权内容扩散程度的指标，通过转发可以将侵权内容在短时间内扩散，甚至难以将侵权内容删除殆尽，从而造成严重的损害结果；第四，网页的评论内容可以作为个人数据信息是否带来负面影响的判断标准，对判定名誉权侵权具有重要作用，即使带来积极评论也并不是侵权人免责的理由，即使带来了积极评论，仍然可以根据网络评论来判断相关内容的知晓率，从而判断损害扩大的程度[23]。同时，法律也应当规定精神损害赔偿的最低赔偿额度和最高赔偿额度，限制法官的自由裁量权。