大数据时代个人信息侵权责任研究

2022-01-01上海师范大学孙铜

区域治理 2021年44期

上海师范大学孙铜

一、大数据时代个人信息概述

（一）个人信息的概念

个人信息是指依靠某些编号和身份因素可以直接或者间接锁定到个人的任何信息。目前，有关个人信息的概念主要采纳识别说的理论[1]。该学说从识别性角度界定个人信息，认为只要能通过直接或者间接的方式定位到某个特定个人的信息即可认定为个人信息。我国《网络安全法》第76条也以识别说来定义个人信息，《民法典》也是如此定义，能够直接或间接识别自然人身份的各类信息为个人信息[2]。

（二）个人信息权的法律属性

学术界和法律界对个人信息权的法律属性有各种讨论，有人认为个人信息权是宪法基本权；有人认为个人信息是一种人格权；还有人认为个人信息权等同于隐私权；也有人认为个人信息权应在财产权范围内。笔者赞同个人信息权是一种复合权利，个人信息权兼具人身和财产的属性。个人信息权与人身自由、人格尊严等人格权特征相关，具有人格权属性毋庸置疑。同时个人信息权还具备财产权属性，随着大数据时代的到来，个人信息的流通性增强，其潜在价值越来越明显，个人信息逐渐趋向商品化，作为一项重要资源在市场进行交易。某些市场主体在利益驱动下，擅自收集并滥用个人信息来获取巨额利润，这正是个人信息具备财产属性的表现[3]。

（三）大数据时代个人信息侵权的特殊性

1.侵权主体的虚拟性和广泛性

在大数据背景之下，侵害个人信息的主体可能是某一网络用户、网络服务提供者、网络运营商、也可能是国家机关等。侵权人在网络上收集、传播他人的个人信息，从而造成损害信息主体的后果。计算机技术不断发展与进步，网民人数不断增加，任何人都可能变成隐形的个人信息网络侵权主体。而被侵权人面对虚拟的互联网和广泛的网络用户却难以确认个人信息是在何时被何人侵犯。

2.侵权行为方式的多样性与技术性

与个人信息侵权相较，个人信息网络侵权体现了更高的技术性。例如互联网追踪系统对个人信息的收集，针对个人的浏览喜好推送相关广告信息，这种侵权行为很难被受害人发现。隐蔽性和技术性是个人信息网络侵权的主要特征，这种特征使得我们在确定侵权主体、侵权行为时存在一定的困难，不利于被侵权人的权益救济，不能尽快消除风险，难以对侵权人进行追责。

个人信息侵权行为和侵权结果之间具有非常复杂的因果关系。因为大数据时代掌握个人信息的主体广泛，网络主体在信息流通的各个环节都可能对个人信息进行非法收集、管理和使用。所以在侵权后果出现后，很难判断个人信息的泄漏是发生在哪一流通过程。

二、大数据时代个人信息侵权责任的困境

（一）我国个人信息权的立法现状

2017年我国《民法总则》第111条[4]提出对个人信息的保护，但仅仅是当作一种权益进行保护，既没有明确信息主体对个人信息所享有的各项权利，也没有规定侵权者应收到的处罚。即便个人信息权已经在学界得到普遍认可，但是在个人信息侵权判例中，没有明确的法律可以依据[5]。我国《消费者权益保护法》第14条[6]也同样明确了个人信息依法受到保护，第29条对信息控制主体收集、使用消费者个人信息方面的义务和准则作出了规定。《网络安全法》第40条规定，信息控制主体对其收集的个人信息负有维持拥护个人信息隐秘性的义务，应当充分保障信息主体的个人信息不受非法侵害，并提出了信息控制主体应当建立个人信息保护制度的要求。

以上法律对个人信息保护作出规定，但关于侵权人所应收到的处罚仍处于空白状态。个人信息受到侵权时，只能依靠隐私权或其他人格权的规定进行处理，但以上权利都无法完全包含个人信息权的特殊性。

（二）大数据时代个人信息侵权的困境

1.个人信息权的认定不统一

我国法律没有明确规定个人信息权，仅在《民法总则》第 111条规定了个人信息的保护。司法实践中存在个人信息侵权行为界定难的问题，因此信息主体往往通过隐私权、名誉权以及一般人格权纠纷向法院提起诉讼，但个人信息权与隐私权有很大的区别，其保护目的也不一致，权利界定不清会使信息主体的个人信息在遭受到侵权时无法根据个人信息权侵权进行权利的主张，损害难以得到救济。

2.归责原则较为单一

大数据时代个人信息侵权行为表现为多样化、复杂化，仅靠过错责任归责原则来认定个人信息侵权责任过于单一，对信息主体来说明显不利。《侵权责任法》确立的多元归责原则，采取一般性原则规定加特殊类型侵权归责原则的特别模式，具有一定合理性与实用性，能够给个人信息侵权责任归责原则认定提供部分法律依据，但实践中仍有不足。

在某些发达国家，水果大约有90%以上、蔬菜约有70%是经运输后进入销售环节。近年来，随着我国商品经济的飞速发展，果蔬运输也受到了前所未有的重视。

3.缺乏免责事由的规定

当前个人信息侵权归责只能适用《侵权责任法》的一般规定。个人信息作为一项人格权具有人格利益毋庸置疑，同时个人信息还作为重要的商业资源在市场发挥重要作用，仅靠《侵权责任法》免责事由的一般规定无法平衡其中的利益关系，阻碍了个人信息的流通和利用，不利于公共管理和社会的健康发展，无法全面保障相关主体的合法权益。

三、大数据时代个人信息侵权责任的完善建议

（一）明确个人信息权利

我国目前对个人信息的保护立法散见于各层级的法律之中，但仅仅是将个人信息作为法律上所保护的利益，损害了个人信息权积极主动性所带来的商业价值和信息市场流通价值。而且我国的司法实践因缺乏个人信息救济的法律依据，一般是通过隐私权或者一般人格权来保护个人信息，不全面且没有针对性。因此，个人信息权作为一项兼具人格权益和财产权益的民事权利具有独立的价值，应当单独确立。若要更好地保护自然人的个人信息，当前我国需要进一步对个人信息权进行确定，使个人信息侵权责任认定有法可依。

（二）确立多元的个人信息侵权责任归责原则

目前我国个人信息侵权责任认定的归责原则适用一般过错责任，单一的归责原则不能协调侵权行为人和被侵权信息主体两者间的利益关系，无法全面保障信息主体的合法权益，难以解决现实问题。本文认为我国可借鉴发达国家或者我国台湾地区的规定，结合司法实践对相关规定进行细致与完善。

1.公务机关及法律法规授权组织适用无过错责任原则

对于公务机关和法律法规授权组织的个人信息侵权责任归责原则可以借鉴德国和中国台湾地区的规定，采取无过错责任原则，即公务机关和法律法规授权组织的行为侵害了信息主体的个人信息权，无论主观上存在过错与否都要承担侵权责任。采用此规定的原因在于：其一，处于弱势地位的信息主体不仅难以在第一时间发现公务机关的权害行为且举证也存在困难。其二，公务机关基于管理或政治目的之需要，在法律的授权之下往往会收集、管理和利用大量真实具体的个人信息，具有合法性与强制性，因此应当对公务机关的侵权责任规定得更加严格。其三，国家公务作为行使国家权力的机关，应保证其公信力。

2.非公务机关适用过错推定责任原则

与一般侵权行为相比非公务机关的侵权行为具有隐蔽性，侵权人占据优势地位，若由信息主体承担举证责任十分困难而且维权成本高昂，不利于维护信息主体合法权益。若统一便用无过错责任原则，不符合公平原则。公务机关是在法律允许之下出于管理国家或者公共利益之目的对个人信息进行收集、处理和使用，而非公务机关是基于与信息主体的约定而进行，二者之间的侵权责任归责原则应是不同的，若非公务机关适用无过错责任原则，太过严格，重心完全偏向信息主体的个人权益会阻碍信息的利用。所以，非公务机关的个人信息侵权应适用过错推定责任原则，实行举证责任倒置，侵权人证明自己实施侵权行为主观上不存在故或者过失。这样的规定能很好解决司法实践中受害人举证困难等问题，平衡侵权主体和信息主体两者的利益关系，有利于信息的流通与使用，促进信息产业的发展与进步，对社会影响深远。

（三）明确规定个人信息侵权责任的免责事由

个人信息侵权责任免责事由的设立一方面是在形式上弥补概括式立法的不足，解决侵权归责过程中的例外情形；另一方面是维持个人信息权利保护与信息资源利用流通的平衡。对个人信息权保护的是现实需求，但过度宽泛的保护对于信息的利用和流通存在一定的影响。因此需要明确免责事由来平衡两方的矛盾。在大数据时代，仅采用侵权一般免责事由将不利于个人信息的开发和利用，还应从以下几个方面对个人信息的免责事由做出补充。

1.被侵权人同意

被侵权人同意这一免责事由在许多国家信息保护法中都有所体现，只要被侵权主体在对个人信息处理时没有做出明确反对的表示，被侵权主体就可以对一般信息收集和利用。对于个人敏感信息，收集和利用之前必须获得个人信息主体的明确同意。如果个人信息主体在符合公序良俗的情况下，以明示或默示的方式同意公开其个人信息，信息主体因此会丧失对公开的部分信息的控制权，随后他人再传播、利用其信息也就不承担责任。

2.新闻自由和学术研究需要

在大数据时代，新闻报道承担及时收集和传递信息的责任，但难免造成个人信息暴露在公众环境之下，与个人信息保护的目的相悖。若过度限制新闻报道，新闻自由的优势和目的难以达成。因此，可以借鉴我国台湾地区的规定，新闻工作者在工作范围内有合理使用信息主体个人信息的权利，因工作目的合理使用给信息主体造成损害的，新闻工作者不承担个人信息侵权的责任，但前提是新闻工作者不存在重大过失。

学术研究是建立在大量数据的统计分析基础上的，必须在其研究目的框架内对个人信息进行收集使用，同时做好保密措施。学术研究使用的信息比较敏感，信息主体应及时的采取有效措施，对个人信息进行匿名化处理，防止对个人信息主体带来负面影响。为学术研究的不断进步，在不对个人信息造成重大影响下，免除侵权责任也是合理的。

3.公共利益需要

我们既要考虑法律对个人信息的保护也要考虑个人信息对社会发展的重要作用。基于国家安全或者社会管理等公共利益的需要个人需要作出一定让步。基于公共利益的需要而收集、处理和使用个人信息的行为较为普遍。比如公安机关打击犯罪行为，国家机关制定国家政策而收集、处理公民个人信息。因此，应将公共利益之需要作为个人信息侵权责任的免责事由，平衡个人信息的保护和维护公共利益两者的关系，完善侵权责任认定制度。