摘 要：民法典与个人信息保护法应当注重完善侵害个人信息的民事责任。就个人信息在立法上应当规定侵害个人信息的侵权责任适用无过错责任。侵害个人信息的行为类型众多，在证明被告是否实施了加害行为时，应当采取高度可能性的证明标准，由法官结合案件事实并综合考虑相应的因素加以确定。

关键词：个人信息保护;侵权责任;举证责任分配

当前司法实践中，侵害个人信息的民事纠纷日益增多，为更好地发挥私法保护个人信息的功能，立法上有必要对侵害个人信息的民事责任作出更明确具体的规范。

一、侵害个人信息的行为类型

由于个人信息是自然人可以区别于其他人的各种信息的综合，因此，可以将侵害个人信息的行为大体分为两类：

其一，加害人将侵害个人信息作为手段，进而侵犯受害者的其他权益。例如，犯罪分子通过非法窃取或购买个人信息，进行诈骗活动或者其他不法行为;由于此侵害个人信息的行为目的并不是单纯侵害个人信息，而是以此为手段，主要是为了侵害受害人其他权益。

其二，单纯的侵害个人信息行为，简单来说，就是该加害行为主要是侵害受害人的个人信息。公开自然人基因信息、病历资料、私人活动等个人隐私和其他个人信息。

从实践来看，单纯侵害个人信息的行为还包括以下几种：

（1）非法收集个人信息，未经被收集人同意收集其个人信息，或者是以欺骗或其他形式使其同意但是未依法明示收集、使用信息的目的、方式和范围或超越目的、方式和范围过度收集个人信息。

（2）泄露、毁损、丢失个人信息，即收集个人信息者违反法律规定和当事人的约定，导致个人信息泄露、毁损、丢失。在现实中这一类案件主要表现为单位的人事部门或人力资源部门保管人事档案不当导致的信息缺损、电子设备维修不当错误删除记录等。

（3）非法利用个人信息，虽个人信息的收集符合法律规定，已经经过被收集人的同意，但收集者没有经过被收集者的同意，违反法律、行政法规的规定或者双方的约定使用个人信息。比如利用他人的身份信息登记为公司的股东、法定代表人或者董事、监事等。

（4）非法泄露或者买卖个人信息，即个人信息收集者泄露个人信息或者未经被收集者同意将个人信息非法出售或者其他方式传输给他人的行为。这类加害行为主要表现为非法买卖公民个人信息的犯罪行为。

（5）其他侵害个人信息的行为，如因收集者的原因而致所收集的个人信息是错误的。

二、加害行为的证明

一旦发生侵害个人信息给受害人造成损害的情形，受害人很难证明被告实施了侵害个人信息的加害行为。这种情形在个人信息被泄露，为犯罪分子所利用而实施电信诈骗的场合最为常见。

因此在现实生活中为了更好地保护个人信息，降低原告在此类案件中的举证负担，法院创设性的提出了证明加害人的高度可能性的判断标准。即原告所提交的证据能够表明被告存在泄露原告个人隐私的高度可能，而被告又不能反证推翻可能的，就应当认定被告实施了泄露个人信息的加害行为。

这一判断标准来确认被告是否实施了加害行为，是非常合理的。一则，该标准并未推翻民事诉讼法所规定的举证责任分配;二则，考虑到原告能够明确的证明究竟泄露个人信息的主体是谁，显然并不现实。故此，应当明确原告仅需证明被告存在泄露个人信息的高度可能性。原告的举证是否达到了证明被告存在泄露个人信息的高度可能，应由法官结合案件的具体事实综合判断。

笔者认为，在适用高度可能性的证明标准时，法院无论是在认定原告对被告加害行为的举证 是否达到了高度的可能，还是在认定被告的举证是否足以推翻这种高度可能时，都需要综合考虑以下几个因素：

（1）被告掌握原告被泄露的个人信息的范围以及程度。个人信息的类型众多，被告掌握原告被泄露的个人信息的范围越大，程度越深，则其泄露原告个人信息的可能性越大。对原告所产生的影响也越大。

（2）其他单位或个人掌握被泄露的个人信息的可能性。尽管现代社会中任何自然人的个人信息可能都被很多单位或个人所掌握，但每个单位或个人所掌握的个人信息是不同的，

（3）被告是否曾经存在泄露自然人个人信息的情形。如果被告曾经存在泄露自然人个人信息的情形，如被媒体披露过或者被相关政府主管部门进行过批评、警告甚至处罚的，其泄露个人信息的可能性就更大。

（4）被告已经采取的个人信息的保护机制和具体措施。被告如果能够举证证明自己已经采取了非常充分的个人信息的保护机制和具体措施，就可以在很大程度上推翻其泄露原告个人信息的高度可能性。

（5）信息收集者、信息存储者、信息使用者对接入其平台的第三方应用是否建立准入等相应的管理机制和履行管理义务的情形。这主要涉及泄露个人信息究竟是平台的提供者还是接入平台的第三方应用的问题。

三、权益侵害与损害赔偿

在《民法总则》、《侵权责任法》规定的承担侵权责任的八种方式中，有相当一部分侵权责任的承担方式性质上属于绝对权保护请求权。但是，在认定侵害个人信息的侵权责任时，个人信息被侵害的自然人也可以行使停业侵害、消除危险等人格权请求权。在不少情形下，加害人雖然实施了侵害个人信息的行为，受害人却没有或财产损失或者财产损失。

对此，《侵权责任法》第20条规定：“侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失赔偿;被侵权人的损失难以确定，侵权人因此获得利益的，按照其获得的利益赔偿;侵权人因此获得的利益难以确定，被侵权人和侵权人就赔偿数额协商不一致，向人民法院提起诉讼的，由人民法院根据实际情况确定赔偿数额。”

从我国《侵权责任法》第22条的规定来看，精神损害赔偿责任适用的前提除了要求侵害人身权益之外，还要求造成严重精神损害。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第17条也规定：“网络用户或者网络服务提供者侵害他人人身权益，造成财产损失或者严重精神损害，被侵权人依据侵权责任法第二十条和第二十二条的规定请求其承担赔偿责任的，人民法院应予支持。”故此，如果在侵害个人信息的案件中，原告无法证明自己遭受了严重的精神损害，则不得请求侵权人承担精神损害赔偿责任。

作者简介：

翟坤（1978—），男，汉族，天津，本科，律所主任，研究方向：法学。