朱丹亚

(湘潭大学 法学院,湖南 湘潭 411105)

大数据时代的种种社会变革必然也会推动攸关社会文明未来走向的个人信息立法不断完善。自2016年起，立法机关对个人信息保护的立法倾斜已初见端倪，《网络安全法》《信息安全技术个人信息安全规范》在2016年至2019年间相继出台。2020年5月28日通过的《中华人民共和国民法典》(以下简称《民法典》)在《民法总则》原则性保护的基础上对个人信息做出了进一步延伸。然而，以《民法典》侵权责任编为例，个人信息侵权并未囊括到特殊侵权责任类型之中，有关的法律法规也缺失个人信息侵权责任构成与责任承担方式的规定。本文就有关个人信息侵权责任的归责原则、损害结果的承担、责任承担的方式三个问题进行论证分析并找到合理完善路径，以期推动个人信息保护的立法完善。

一、个人信息侵权责任的法律困境

(一)个人信息侵权主体众多

现有侵权主体主要由大型企业、电子商务平台、网络运营者组成。为了谋取个人信息中的经济利益，侵权主体通常选择借助网络数据平台，完成收集、处理、出售个人信息的灰色利益输送链条。以主体众多、分工明确为主要特点的个人信息侵权行为不断侵蚀着个人信息的权利边界。而又因上述特点，被害人难以凭个人之力举证侵权主体的侵权责任。例如，2013年南京朱某诉搜索引擎“精准”推送广告案中，朱某以搜索引擎违法投放与检索内容相关的广告提起诉讼。其实质是搜索引擎将朱某的网上浏览记录通过利益链条的形式向各大广告商进行输送，完成了对朱某个人信息的盗取，其本质是一种违法行为。然而因为侵权主体众多复杂，极大增加了个人的举证难度，二审法院以搜索引擎合理使用数据信息为理由，判决朱某败诉。可见，身处利益对峙末端的个人，受缚于法律保护的缺憾，无法依凭自身力量举证众多侵权主体的侵权行为，最终沦为众多侵权主体利益瓜分的对象。

(二)个人信息侵权归责原则有失偏颇

《民法典》《侵权责任法》均未对个人信息侵权归责原则作出明晰的规定，在司法实践中，个人信息侵权案件只能依据一般侵权案件进行处理，因此，根据《侵权责任法》第六条第一款规定，个人信息侵权作为一般侵权案件适用过错责任原则，即要求被侵权人就过错事实承担举证责任。因掌握数据资料能力的差异性，双方利益主体地位的不平等随着数字经济的日益发展不断加大，侵权主体通常为有雄厚经济实力、技术支撑的企业、网络运营商以及政府部门，而被侵权主体则是普通民众、个人，双方经济与技术力量的悬殊使得被侵权主体举证困难。双方主体诉讼地位的不平衡性决定了个人信息归责原则的倾斜性，即个人信息归责原则、举证责任的承担理应向侵权主体倾斜。但现行的过错责任制度加重了被侵权人举证责任，致使普通个体无法通过自身力量寻找到能证明被侵权人具有主观过错的合法证据。

(三)个人信息侵权责任承担方式有所疏漏

新出台的《民法典》并未解决《民法总则》遗留的基本属性不明晰的问题。以《民法典》第一千零三十四条为例，法条虽然明文规定自然人的个人信息受法律保护，但回避了个人信息权益与权利争议，也未肯定个人信息的财产属性。个人信息权属不明、定位模糊的现状导致在个人信息侵权纠纷中，法院通常将个人信息侵权案件纳入到一般人格权纠纷大类之中，并依据处理一般人格权的标准对待个人信息侵权案件。一般人格权侵权案件中，主要的责任承担方式包括停止侵害、赔礼道歉、精神损害赔偿、消除危险、恢复名誉等。但值得注意的是，一般人格权属消极确权，与个人信息权有根本性差异，一般人格权受到侵害后，为了达到救济被害人受损权利的目的，侵权法通常要求侵权主体停止对权利的损害并恢复到原始状态，而个人信息权是具有财产属性的积极确权，在侵权责任承担方式上，理应凸显其财产利益。事实上，检索以往个人信息侵权案例可以发现，所有判决结果均否决了被害人的财产性赔偿诉求。信息数据时代，个人信息资源成为当今时代各大利益主体争相发掘的数字财富。现有的个人信息侵权责任承担方式并不符合个人信息财产属性的定位标准，扩大其经济责任承担方式将是个人信息法律体系构建的必经之路。

二、个人信息侵权责任的域外借鉴

欧盟、美国早已建立了逻辑严密的个人信息保护体系。欧盟基于大陆法系的立法传统，采取的是集中统一的立法模式；美国遵从海洋法系立法的典型特征，采用的是分散立法模式。虽然立法模式相左，但美欧两域外国家对个人信息侵权责任方式的承担、归责原则的认定将拓展个人信息侵权责任承担问题研究的逻辑框架，为我国所面临的个人信息侵权责任承担问题提供新的解决思路。

(一)欧盟个人信息保护体系

欧盟数据保护模式植根于欧洲历史悠久的商品经济演变长河之中，其对个人数据的完全性保护回应了数据经济时代的发展要求。《通用数据保护条例》(简称GDPR)被称为国际上最严格的信息数据保护法，该法案对个人信息的举证责任、责任承担方式、保护范围做出了严格的规定。从举证责任方面来看，GDPR第五条规定信息主体仅需要证明侵权主体实施过不当收集、处理本人信息的行为，并造成相应的损害，不需要证明侵权主体有主观过错。在侵权责任承担上，GDPR又在无过错原则之下，对数据保护进行了进一步延伸，明确规定侵权主体为两方以上者应当承担连带责任，即信息控制者与信息处理者对个人信息保护负有同等的义务并共担责任，公民可以两者之中任一责任主体提起诉讼。GDPR个人信息侵权连带责任的确立给个人实施诉权提供便捷的制度空间。在个人信息侵权责任承担上，GDPR还规定侵权主体的经济损害赔偿责任。

(二)美国个人信息保护体系

美国个人信息保护条文分散于《隐私权法》《电子通信隐私法》《电子消费者保护法》等各个领域的法律中。《信息自由法》规定：“不论法律有任何其他规定，被告人在收到原告的诉状以后30天内，必须做出实质性答复。”为了平衡侵权案件双方所占物质资料的天然不平衡状态，《信息自由法》还规定了败诉方合理负担原告律师费用的责任承担方式。可以看出，该法案从最大程度维护公民个人信息权益角度出发，分别从加重侵权主体责任、减轻公民诉讼成本两方面来补缺公民在侵权案件中的不对等地位。2011年，在索尼泄露个人信息集体诉讼中，来自依利诺斯州的众议员波比·拉什也在事件发生后表态称，将重新启动立法程序，完善个人信息经济损害赔偿措施以确保网络用户个人数据安全。此次事件之后，美国个人信息侵权责任承担方式中的经济损害赔偿方式也开始不断完善。

三、个人信息侵权责任承担制度的完善

(一)引入连带责任制度

多个侵权主体之间相互协作共同完成侵害个人信息行为的侵权模式已在个人信息侵权领域普遍运用，并随着数据经济的发展，有逐渐扩大的趋势。由于各个侵权主体之间分工明确，被侵权主体无法依靠自身力量来举证各个侵权主体共同实施侵害个人信息权的行为，也无法举证侵权主体份额承担的大小。《侵权责任法》第三十六条规定了网络侵权的连带责任。基于数据经济时代个人信息侵权与网络侵权具有构成要件上的相似性，个人信息侵权案件应当借鉴网络侵权责任承担方式，引入连带责任制度。首先，个人信息侵权与网络信息侵权同具有侵权手段隐蔽化、技术化的特点，被侵权人虽然能够感知存在多个侵权主体，但受网络技术、专业知识的限制，往往无法举证侵权行为存在的客观事实。其次，个人信息与网络侵权案件同具有主体上的相似性，其通常牵涉到多个侵权主体且分工明确。基于双方主体地位相差悬殊，个人难以凭借自身力量举证侵权主体的数额以及其份额承担的大小。个人信息侵权不断集约化、共同化、体系化的态势给予了侵权案件适用连带责任制度充分的合理性、必要性要件。

(二)明确过错推定归责原则

现有个人信息侵权案件普遍参照一般人格权侵权，适用过错归责原则对案件进行裁判处理。这种归责原则显然并不利于遏制个人信息侵权快速发展态势。

我国个人信息侵权案件到底适用哪种类型的归责原则，笔者认为，从法律实用主义角度分析，个人信息侵权案件应当统一适用过错推定归责原则。首先，个人信息侵权适用过错归责原则变相加重了被侵权人的举证责任。无论对方主体是掌握自动化数据处理技术的政府机关还是未掌握自动化数据处理技术的企业个人，适用过错归责原则既要求被侵权主体证明的侵权主体实施了侵权行为又要其证明侵权人存在过错。其次，无过错责任原则与当前经济发展理念背道而驰。我国正处于社会经济发展转型的关键期，数据经济发展模式处在发展初期，适用无过错责任将加大企业运营成本，阻碍互联网、电子商务行业发展。同时，有经济价值的个人信息兼具商业属性，个人信息的合理使用也会推动数据经济前进步伐。最后，个人信息侵权适用过错推定责任有利于司法的统一适用，也将促进个人信息数据保护与信息正常流通之间的平衡。过错推定归责原则给予了被侵权主体一定的诉讼空间与产业生存空间，既保护了个人信息的安全也促进个人信息在公共领域的自由流通，维护了经济秩序的正常运行。

(三)构建经济损害赔偿责任体系

个人信息财产属性日益凸显意味着现有个人信息侵权责任方式已不能满足维护个人信息权益的需要，其责任的承担方式应当向经济赔偿方向倾斜，只有构建完整的经济损害赔偿制度，才能维护当前经济发展形态下的个人信息经济利益。

1.构建财产损害赔偿制度。构建财产损害赔偿制度需要确立财产损害赔偿的构成要件以及赔偿数额。《美国法典释义》第三条规定了构成财产损害赔偿的具体要件：一是要求侵权行为对被侵权主体产生一定损害后果；二是现有证据能够证明侵权行为与损害后果之间存在因果关系；三是具有通过赔偿损失来弥补损害后果的可能。当前国际上存在两种个人信息侵权责任赔偿方式:一种是以英国为代表的的全额赔偿责任;另一种是以德国为代表的最高限额赔偿责任。二者相比，全额赔偿责任更有利于保护信息主体的财产利益，故在个人信息侵权财产损害赔偿中，我国应当借鉴英美两国经验，即被侵权主体证明存在一定损害后果且侵权行为与后果具有因果关系以后，就可以向法院申请要求被侵权主体承担全额赔偿责任。其具体财产赔偿数额的标准应当参照《最高人民法院关于审理涉及计算机网络著作权纠纷案件具体应用法律若干问题的解释》，依据侵权行为造成的直接经济损失以及预期可得利益判定赔偿的金额。

2.引入惩罚性赔偿制度。在个人信息侵权纠纷中，无论是从诉讼能力还是举证能力来看，个体都越来越无法与企业、政府机关相抗衡。同时，数据经济遮蔽了个人信息侵权事件准确的时间节点，个人仅凭自身力量往往难以察觉个人信息利益受损的事实以至于错过最佳诉讼时机。基于此，个人信息侵权案件才会屡禁不止。我国早已确立了惩罚性赔偿制度，《消费者权益保护法》第五十五条规定了经营者的惩罚性赔偿责任。该项制度改善了消费者处于极度弱势的不利地位，实现了消费者与经营者主体地位之间的动态平衡。为了遏制个人信息侵权愈演愈烈的发展态势，个人信息侵权责任承担的方式不能仅局限于赔礼道歉、停止侵害等不涉及被侵权人核心利益的责任承担手段，应当加大对个人信息侵权案件的经济惩处力度。个人信息侵权责任承担方式应借鉴我国《消费者保护法》惩罚性赔偿的成熟经验，在个人信息侵权案件中引入惩罚性赔偿制度，加大侵权主体的违法成本，从而减弱侵权主体侵害个人信息的积极性，达到降低个人信息侵权案件数量的目的。