陈金金

(贵州贵达律师事务所,贵州 贵阳 550000)

一、背景综述：信息纠纷解决难的困境

对主体的区分是相应法律权利和义务得以认定的前提，也是主体本身合规责任得以履行的基础，信息保护中亦是如此。当下我国相继颁布各类法律、规范性文件及行业技术标准对信息保护作出规定，如《网络安全法》《APP违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全规范(2020年版)》等。在特别法《个人信息保护法》尚未正式施行的背景下，《民法典》以市场经济基本法的视角明确规定信息保护原则、个人信息处理者的义务和责任，为特别法的制定奠定法律基础，具有重要的指导意义和现实意义。但反观《民法典》及其他规范性文件，与其他国家立法中将信息利用主体划分为信息控制者和信息处理者不同，《民法典》对信息利用主体采用统一、一元“信息处理者”的概念，在此背景下，以信息处理者为主要信息保护义务和责任主体的体系逐渐成型，司法如何在遵循立法原意的基础上对复杂的信息实践纠纷作出回应，是司法的应有之意和时代要求。

实践中，信息侵权案件频发，信息侵权行为屡禁不止。根据《第45次中国互联网络发展状况统计报告》统计，至2020年3月我国网络安全事件中信息安全问题凸显——位居第一(见表1)。[1]但与此同时，信息侵权纠纷得以解决的较少，进入司法程序则更少。究其缘由，主要有以下三个原因：首先，信息侵权行为的发生较为隐匿，加之信息主体习惯“以隐私换便利”，缺乏信息保护意识，加剧了主体自身的弱势地位；其次，与信息处理者相比，信息主体在信息处理技术和信息利用周期的控制上均处于弱势地位，主体在侵权发生后往往难以固定证据，而现有举证责任对个体来说难度较大；最后，信息侵权行为发生以后往往会给信息主体带来不可逆转的影响，但在其进行举证的过程中被侵权人不能有效通过法律对自身进行保护，在进入司法程序后该影响也没有统一的衡量标准，在当下对信息保护的立法体系中缺乏对精神损害的规定，如传统民法中的“损害差额说”理论中受害人甚至连所遭受的损害究竟是什么都无法证明。[2]有鉴于此，司法机关应作出有效应对，发挥司法机关的能动性，为妥善实现信息保护的法治目标提供可能路径。

二、立法审视：民法典关于信息处理者的立法定位

(一)信息处理者与信息控制者的概念梳理

1.信息控制者。从概念发展的历程看，数据控制者的概念最早源于1981年欧洲理事会的《108号公约》(1)1981年，欧洲理事会(Council of Europe，非欧盟的European Council)发布了《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，下称“108号公约”)之中，表现形式为“文档控制者”(controller of the file)。之后在欧盟《数据保护指令》(以下简称《指令》)中确立了数据控制者(controller)的概念，《一般数据保护条例》出台后沿袭《指令》关于数据控制者的界定。对信息控制者的理解可以从其控制力来理解，具体而言，其控制力可通过两种形式表现出来：其一，法律条文的规定，不论是在欧盟的“权力话语”视域下的赋权模式还是美国“市场话语”视域下的实用主义，(2)欧盟在“比信息自由流动更重要的还是维护欧洲权利制度中人的尊严与隐私”的价值取向下，区分数据控制者和数据处理者的义务以实现“个人数据保护权”；美国“隐私控制论”则认为在法律承认个人数据为财产的情形下，财产法规则能更好地保护个人利益与社会整体利益。因此，他们鼓励人们将“个人数据/隐私视为商品”并倡导通过财产法规则而非侵权规则保护个人数据。部分国家的法律或规范性文件会直接对信息控制者进行规定；其二，在没有任何法律规定的情况下可通过事实判断推定信息控制者，但需要结合个案进行分析，如某金融平台将其营销推送的广告业务与不同的组织签订合同，即明确需要投放的广告、客户群体等，各公司有一定的裁量权，但最终的数据控制者仍然是该金融平台，但若其中A公司为了生成附加值而对个人信息进行处理，则A公司因该行为成为新的信息控制者。

2.信息处理者。信息处理者的产生依赖于信息控制者。欧盟在《指令》中第一次在数据保护法律中适用该概念。信息控制者可决定由哪些人对信息进行加工处理，可以是自然人、法人、公共权力机关或外部代理机构。由此观之，信息处理者的主体广泛，但信息处理的方式由信息控制者决定，具体而言，信息处理者基本特点之一即为相对信息控制者而言具有法律上独立的实体(separate legal entity with respect to the controller)，特点之二即为其代表信息控制者具体处理个人信息，此处的“代表”意味着为了他人的利益而服务，与委托法律关系相似。对于各信息利用者而言，其在个人信息的收集、使用、处理的各个阶段中均有可能是信息控制者，也可能被认定为信息处理者，主要依其心理利用的行为而改变，如当信息主体在银行开立账户时银行对其进行金融信息的收集，并决定这些金融信息的处理方式，若信息处理者的信息利用方式超出与控制者的预先约定，则其有可能会成为新的信息控制者，甚至有可能出现共同控制者的情况。

3.差异之思辨。特定的法律概念表征着立法的法律保护对象及其法律关系。由信息控制者和信息处理者的概念差异可窥见两者的差异：其一，作为核心词语，“控制”意味着主体能自主决定信息处理的目的、方式、信息处理的用途，并能自主决定收集哪类信息、由谁收集、是否告知个人信息主体或重新征求其同意，以及信息利用之后的保存时间等，“处理”则蕴含着该主体能决定信息的进一步加工处理的环节，可决定信息将如何存储、以何种方式共享等；其二，主体概念的不同决定其义务的不同，该点主要体现在法律或规范性文件对两者进行界分的情况下，如我国在《个人信息规范》中规定了信息控制者应承担全面的义务和责任，其中包括原则性、一般性义务、风险管理等，[3]而信息处理者的义务主要是合同义务，又如欧盟《一般数据保护条例》中对处理者规定了合同义务，也规定了需承担与其权限、处理行为相匹配的合规义务及责任。

(二)民法典对信息处理者规定的立法选择

1.“处理行为”的内涵。法律若要安定，概念的构成与特征就应尽可能被精确地确定，因为不确定的法律概念及概括性条款易生歧见，进而危害法律的安定性。[4]承前所述，对信息利用主体存在信息控制者与信息处理者之说，但我国民法典中采用了一元的信息处理者的概念，对该概念的理解决定了信息利用主体的义务和责任，同时也将影响司法对信息纠纷的处理。而对该概念的理解又将基于对“处理行为”的理解。首先，应明确的是信息处理的“原料”是数据、信息、知识，也即信息是处理行为的客体和基本资源，是之后业务得以创新、共享的基础；其次，处理行为的合理性和合法性的判断需要基于特定的事实，如企业通过爬虫的方式爬取网页自行公开或其他合法公开的信息，则对于个体的信息主体而言应当属于合理处理，但对于公开信息的网页而言则有可能构成不正当竞争行为；最后，《民法典》吸收学者意见，对处理行为作出了扩展，参照GDPR的规定，(3)General Data Protection Regulation, Article 4(2)：‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;将对信息的收集、存储、使用、加工、传输、提供、公开等包含在“处理”行为之中。

2.信息处理者的界定。根据《民法典》第一千零三十七条、第一千零三十八条的表述来看，我国《民法典》笼统的赋予信息利用主体义务，采用“信息处理者”这一概念，未区分“信息处理者”“信息控制者”“受委托者”等概念。作为对信息负有安全保障义务的主体，信息处理者涵盖了信息收集者、信息控制者的概念。根据《民法典》的规定，可进一步对信息处理者的义务体系和责任进行细化理解，即《民法典》第一千零三十五条同样适用于信息控制者。实践中“处理者”一般对应的概念是受信息控制者委托处理个人信息的主体，部分行业中甚至已经形成“处理者”和“控制者”的实质分工，[5]“控制者”和“处理者”的行为所受规制不同，信息控制者往往承担更多的义务，义务源于要在个人信息控制者约定范围内处理信息。由此可见，实践中的信息控制者对信息有着重要的决定权，不仅会处理信息，更影响着信息处理的方法和目的。这种决定权或控制权可能源于明示或默示的法律职责，但不作为其排除对《民法典》规定义务履行的事由。此外，应客观的看到，不论《民法典》采取何种概念界定，“信息控制者”与“信息处理者”的概念区分在立法选择与司法实践中更为重要的是明确各概念客体的内涵与外延，以期实现对信息侵权事件或信息权益纠纷作出回应，提供可操作的指引。

三、策略选择：信息纠纷案件中司法机关的应对

(一)发挥司法定分止争的作用

1.坚持信息纠纷处理中的基本原则。信息利用的原则是信息利用“法规精神所生之原则”。[6]《民法典》第一千零三十五条明确规定了处理个人信息应遵循合法、正当、必要的原则。根据立法可窥见在处理复杂信息纠纷案件时，若无明确法律依据，可根据以上原则进行判决，这也是司法发挥其职能的应有之义。根据现有规定可从以下三点对信息保护原则进行理解：其一，合法性原则，合法性是信息处理者进行信息利用行为的前提，合法性的基础一方面源于信息主体的知情同意，另一方面源于法律明文规定；其二，正当性原则，即信息收集和处理过程中手段和目的正当，手段、目的的正当性不仅要求其不违法，更要求手段、目的应符合诚实信用原则，以个体易于理解的、透明的方式进行告知；[7]其三，必要性原则，必要即处理者所收集和处理的信息仅限于实现正当目所必须。此外，《民法典》中还新增“不得过度处理”个人信息的要求，也是对“必要原则”的深化。

2.厘清信息处理者的责任及其例外。信息处理者对信息的处理有条件要求和例外。是否满足条件或例外是司法机关判断其责任及其责任轻重的重要依据，若不能满足条件的则应承担责任，符合例外情形则可成为其免责事由。其一，同意是信息得以处理的合法性基础，但同意之外存在“法律、行政法规另有规定的除外”的情形，这一看似兜底式的规定，为司法实践中处理个人信息权益与衡平其他合法利益提供了法律依据。当然，应辩证的看到，例外的出现应遵循必要性原则。例如，新冠肺炎疫情严控期间根据《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》等法律、行政法规的规定，有关单位可收集信息主体的信息，该例外仅限于法律和行政法规的规定。其二，在利用《民法典》第一千零三十六条时，需要考量个人利益的保护和信息流转的价值，在解决信息纠纷过程中应兼顾个人利益的保护和社会发展对个人信息合理使用的需求。

3.明晰信息纠纷案件中的举证责任问题。《民法典》对信息纠纷解决中举证责任的规定仍适用一般侵权的路径。故对于信息纠纷中的举证责任，仍适用“谁主张、谁举证”的原则，也即原告需对侵权责任的构成要件(侵权行为、损害后果、因果联系以及侵权人存在过错)承担举证责任。在司法实践过程中，第一批最高人民法院发布互联网典型案例将“去哪儿网案”列入个人信息保护领域的典型案例，该案中法院没有突破“谁主张、谁举证”原则，但侵权事实的认定层面，将具有“高度盖然性”即认定为原告完成举证责任。但“高度盖然性”的认定不论在学理层面还是司法实践层面都极为复杂，难以得出统一认定标准。“去哪儿网案”发生前后，很多法院在裁判过程中都是按照传统的“谁主张、谁举证”的原则分配举证责任，诸如“苏宁易购案”“京东案”等。法院根据诚实信用和公平原则要求被告企业承担自己旅行信息安全保障义务的举证责任，但这种方式在法律规则上可能会存在问题。若大量推行这种规则可能增加企业的诉讼压力和合规成本。如何降低起诉难度，同时又不给信息处理者带来过重的压力，是《个人信息保护法》及《最高人民法院关于审理个人信息权纠纷案件适用法律若干问题的解释》理应明确的问题，也是司法机关在个案审判中应不断探索的重任。

(二)强化司法价值引导效应

1.为信息安全划定利用底线。信息安全底线的遵循是一切信息处理行为得以开展的基础。任何信息利用活动的进行均不能突破信息安全底线，信息安全底线可具体划分为国家安全底线、行业发展底线、个人信息安全底线。在具体的案件处理过程中，国家安全层面可遵循《数据安全法》中构架的国家层面的数据安全制度进行判断，其中可能包括信息跨境等问题；在行业层面上的信息安全，应以保障行业安全发展，避免信息风险的传递，如金融信息安全事件的发生，不仅关系金融行业的稳定，也涉及国家经济民生等的安全；在个人信息安全层面，主要从信息处理行为是否违反法定或约定的利用事由。对任何打破上述信息安全底线的利用行为，都将失去其利用信息的合法性基础，也将成为其承担法律责任的事实依据。当然，信息利用安全底线的划定，也为各主体的信息利用行为提供了反向的合规指引，避免出现“数据堂”等信息安全事件。

2.为信息利用行为预留空间。与传统诉讼中的某些标的物不同，信息价值具有不确定性。一方面，信息价值的确定没有统一标准，各主体对统一信息的价值存在感知差异，某些主体认为视为“废物”的信息或信息集可能在另一主体眼中视为“宝藏”和“金矿”；[8]另一方面，信息具有增值的不确定性，其他案件中涉及的物品可能只出售一次，便完成了所有权的移转，但信息除约定可独家利用的情形，往往可多次、反复使用，甚至存在越用越升值的现象。在此背景下，对信息纠纷的处理应为信息价值的发挥预留空间，在规则不甚明晰的情况下，应遵循信息利用的客观规律和市场对信息资源的调配。具体而言，在遵循信息安全底线的基础上，可考量信息在哪个主体控制下能避免碎片化发挥应有的价值，可考量主体为信息或信息集形成所付出的精力和成本，其权利的厚度能否与其诉求相匹配。